AUDITORA INFORMTICACap.

3
CAPTULO 3
1. Qu diferencias y similitudes existen entre las metodologas cualitativas y las cuantitativas? Qu ventajas y qu inconvenientes tienen? Diferencias: Las cuantitativas se basan en un modelo matemtico numrico que ayuda a la realizacin del trabajo, y las cualitativas se basan en el razonamientohumano capaz de definir un proceso de trabajo. Similitudes: Ambas van encaminadas a establecer y mejorar un entramado decontramedidas que garanticen que la probabilidad de que las amenizas sematerialicen, sean lo ms baja posible o al menos quede reducida de unaforma razonable en costobeneficio, y tambin dependen de un profesional. Ventajas: Cualitativas: enfoca lo ms amplio, plan de trabajo flexible y reactivo, se concentra en la identificacin de eventos, incluye factores intangibles. Cuantitativas: enfoca pensamientos mediante uso de nmeros, facilita la comparacin de vulnerabilidades muy distintas, proporciona una cifra justificante para cada contramedida. Desventajas: Cualitativas: depende fuertemente de la habilidad y calidad del personal involucrado, puede excluir riesgos significantes desconocidos, identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular, dependencia de un profesional. Cuantitativas: estimacin de probabilidad dependen de estadsticas fiables inexistentes, estimacin de las prdidas potenciales slo si sonvalores cuantificables, metodologas estndares difciles de mantener o modificar, dependencia de un profesional. 2. Cules son los componentes de una contramedida o control (pirmide de la seguridad)? Qu papel desempean las herramientas de control? Cules son las herramientas de control ms frecuentes? Componentes: La normativa, la organizacin, las metodologas, los objetivos de control, los procedimientos de control, tecnologas de seguridad, las herramientas de control.

Oscar Cajamarca Sacoto

Pgina 1

AUDITORA INFORMTICACap. 3
El papel que desempean las herramientas de control que permite definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control. Herramientas de control ms frecuentes: seguridad lgica del sistema, seguridad lgica complementaria al sistema, seguridad lgica para entornos distribuidos, control de acceso fsico, control de presencia, control de copias, gestin de soporte magntico, gestin y control de impresin y envo de listados por red, control de proyectos, control de versiones, control y gestin de incidencias, control de cambios. 3. Qu tipos de metodologas de Plan de Contingencias existen? En qu se diferencian? Qu es un Plan de Contingencias? Existen dos tipos de metodologa de plan de contingencia, que son: contingencia informtica y contingencia corporativa. Diferencias: la corporativa cubre no slo la informtica sino todos los departamentos de una entidad, y puede incluir tambin el informativo como un departamento ms. Un plan de contingencia es: una estrategia planificada por un conjunto de recursos de respaldo, una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los servicios de negocios afectados por una paralizacin total o parcial de la capacidad operativa de la empresa. 4. Qu metodologas de auditora informtica existen? Para qu se usa cada una? Existen dos familias distintas: las auditorias de controles generales y las metodologas de los auditores internos. Las auditorias de controles generales se usan para obtener una opinin sobre la fiabilidad de los datos del computador, y estn basadas en pequeos cuestionarios estndares que dan como resultados informes muy generalistas. En cambio la metodologa de auditor interno, tambin cumple la misma funcin pero tiene la necesidad de a estas metodologas crearlas y disearlas por el propio auditor. 5. Qu es el nivel de exposicin y para qu sirve? El nivel de exposicin tiende a ser un indicativo definido subjetivamente que permite en base a la evaluacin final de la ltima auditora realizada sobre ese tema, definir la fecha de la repeticin de la misma auditora. 6. Qu diferencias existen entre las figuras de auditora informtica y control interno informtico? Cules son las funciones ms importantes de ste?

Oscar Cajamarca Sacoto

Pgina 2

AUDITORA INFORMTICACap. 3
La diferencia ms visible entre ambos elementos es que, el control interno monta los controles del proceso informtico, mientras que la auditoria informtica evala el grado de control. Funciones principal del Control interno informtico son: funciones de control dual con otros departamentos, funcin normativa y del cumplimiento del marco jurdico, es

responsable del desarrollo y mantenimiento del plan de contingencias, manuales de procedimientos y plan de seguridad, control de calidad de Software, control de costes, controles de medidas de seguridad fsica o corporativa en la informacin, control de cambios y versiones. 7. Cules son las dos metodologas ms importantes para control interno informtico? Para qu sirve cada una? Las metodologas son: Cuantitativas y Cualitativas Cuantitativas sirven para producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numricos. Cualitativas: precisan la involucracin de un profesional experimentado, pero requieren menos recursos humanos/tiempo que las cuantitativas. 8. Qu papel tienen las herramientas de control en los controles? Las herramientas de control son elementos software que por sus caractersticas funcionales permiten vertebrar el control de una manera ms actual y ms automatizadas. 9. Cules son los objetivos de control en el acceso lgico? Segregacin de funciones entre los usuarios del sistema, integridad de los log e imposibilidad de desactivarlos por ningn perfil para poder revisarlos, gestin centralizada de la seguridad o al menos nica, contrasea nica para los distintos sistemas de la red, la contrasea y archivos con perfiles y derechos inaccesibles a todos incluso a los administradores de seguridad, el sistema debe rechazar a los usuarios que no usan la clave o los derechos de uso correctamente, separacin de entornos, el log o los logs de actividad no podrn desactivarse a voluntad si se duda de su integridad, el sistema debe obligar a los usuarios a cambiar la contrasea y es frecuente encontrar mecanismos de auto-logout.

Oscar Cajamarca Sacoto

Pgina 3

AUDITORA INFORMTICACap. 3
10. Qu es el Single SignOn? Por qu es necesario un software especial para el control de acceso en los entornos distribuidos? Este concepto lo podemos definir como; Que es necesario solamente un password y un User ID, para un usuario, para acceder y usar su informacin y sus recursos, de todos los sistemas como si de un solo entorno se tratara. Se necesita un software especial ya que precede una serie de requisitos para su uso, adems que permita conseguir en el escenario de los entornos distribuidos el control como si de un computador con un solo control de acceso se tratara, e incluso mejorar el nivel de control y observar la seguridad lgica total como un todo.

Oscar Cajamarca Sacoto

Pgina 4