Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SECCIÓN: 0801
TEMA:
Guia Teorica
RREELLAACCIIÓ
ÓN EENNTTRREE RRIIEESSGGOOSS
YY CCAUUSAAS DDE R IIEESSGGOO
Una causa puede generar
CAUSAS DEL R IIEESGO ((AAMENAZAS )) más de un tipo de riesgo.
Se refieren a los medios, medios o circunstancias y agentes EEJJE
EMMPPLLOO::
que generan riesgos. La causa incendio en el centro de
cómputo podría generar varios de los
EEJJE
EMMPPLLOOSS:: riesgos considerados como ser: el
- Incendio en el centro de computo daño y destrucción de activos.
por no tener controles adecuados. Pérdida de negocios, pérdida de
- Funciones incompatibles en el ingresos (futuros) Etc.
personal que procesa aplicaciones.
TERMINOS Y DEFINICIONES
Valoración del Riesgo: proceso de
comparar el riesgo estimado contra los
criterios del riesgo dados para
determinar la significación del riesgo.
Gestión del Riesgo: Actividades
dirigidas para dirigir y controlar una
organización con respecto al riesgo.
EEJJEEMMPPLLOOSSDDEEAAMMEENNAAZZAASS::
Amenazas naturales:
inundaciones tsunamis o maremotos,
tornados, huracanes, sismos,
tormentas,
incendios forestales.
Amenazas humanas: Huelgas,
TERMINOS Y DEFINICIONES
epidemias, materiales peligrosos,
Amenaza: Una causa potencial de un incidente no
problemas de transporte, pérdida de
deseado, que puede resultar en daño para un sistema u
personal clave.
organización.
Amenazas tecnológicas: Virus,
TTIIPPOOSS DDEEAAMMEENNAAZZAASS hacking, perdida de datos, fallas de
Naturales: Terremotos que destruyan el hardware, fallas de software, fallas
centro de cómputo. en la red, fallas en las líneas
Humanas: Fraude realizado al modificar los telefónicas.
saldos de cuentas por cobrar.
Software: Cambios no autorizados al
sistemaque realicen cálculos incorrectos..
TERMINOS Y DEFINICIONES
Vulnerabilidad: Es una debilidad de un activo o grupo de activos
que pueden ser aprovechados por una o más amenazas.
EJEMPLOS DE VULNERABILIDADES: 1. Seguridad de los recursos humanos: falta de
1. Cuentas de usuarios sin contraseña; entrenamiento enseguridad, carencia de toma de conciencia
2. Personal externo no registra su en seguridad, falta de mecanismos de monitoreo, falta de
entrada y salida a las instalaciones; políticas para el uso correcto de las telecomunicaciones
3. Falta de directrices para la 2. Control de acceso: Segregación inapropiada de redes, falta
construcción de contraseñas; de
4. No hay un software de control de política sobre escritorio y pantalla limpia.
3. Seguridad física y ambiental de equipos: Control de
acceso
accesos; físico inadecuado a oficinas, salones y edificios, ubicación en áreas
5. No contar con un plan de sujeta a inundaciones, almacenes desprotegidos,
recuperación de desastres.
CONCEPTOS FUNDAMENTALES DE AUDITORIA DE SISTEMAS DE INFORMCION
PRUEBAS DE AUD IITTOR IIAA
DDEESSDDEE EELL PPUUNNTTOO DDEE VVIISSTTAA DDEE SSUU EEJJEECCUUCCIIO
ONN PPUUEEDDEENN SSEERR::
Manuales
Con asistencia del computador (CAATs)
DDEESSDDEE EELL PPUUNNTTOO DDEE VVIISSTTAA DDEE SSUU OOBBJJEETTIIVVOO PPUUEEDDEENN SSEERR::
PRUEBAS DE CUMPLIMIENTO
También llamadas pruebas de control, verifican el grado de
cumplimiento y/ó funcionamiento del control.
PRUEBAS SUSTANTIVAS
También llamadas prueba de riesgo, su propósitoes
sustentar cifras y/ó determinar el grado de
ocurrencia de eventos, hechos, riesgos, etc.
MMAASSEEJJEEMMPPLLOOSS::
7. El que revisa y controla
operaciones no debe ingresar datos
ni actualizar o postear
8. El que ingresa datos no debe
autorizar transacciones
Ejemplo de funciones incompatibles a nivel de funciones 9. Los que ingresan datos no deben
operativas y secciones o unidades en TI: tener acceso a formularios
EEJJE
EMMPPLLOOSS:: 10. Las personas que modifican y
1. Ser cajera y llevar el control de cuentas por pagar. revisan la modificación y/o cambios a
2. Ser programador y operador de aplicaciones programas deben ser diferentes
3. Ser bibliotecario y programador o analista
4. Ser administrador de redes y administrador de base de datos
5. Ser programador y operador de computadora
6. Que operador de aplicaciones pueda ingresar o cambiar
datos