Documentos de Académico
Documentos de Profesional
Documentos de Cultura
METODOLOGÍAS DE CONTROL
INTERNO, SEGURIDAD Y
AUDITORÍA INFORMÁTICA
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS
TECNOLOGÍAS DE SEGURIDAD,
NORMAS
es donde están todos los elementos
ya sean Hardware o software, que
ORGANIZACION ayudan a controlar un riesgo
informático.
METODOLOGÍA
OBJETIVOS DE CONTROL
LAS HERRAMIENTAS DE
PROCESAMIENTO CONTROL, son elementos software
que permiten definir uno o varios
procedimientos de control para
TECNOLOGIAS DE SEGURIDAD
cumplir una normativa y un objetivo
de control
HERRAMIENTAS DE
CONTROL
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS
Control Informático
Responsable de Ficheros
3.2 Metodologías de
Evaluación de Sistemas
3.2.1 Conceptos Fundamentales
Análisis de Riesgos
Auditoria Informática
3.2.1 Conceptos Fundamentales
Amenaza
Vulnerabilidad
Riesgo
Exposición o Impacto
3.2.1 Conceptos Fundamentales
Evitarlos
Transferirlos
Reducirlos
Asumirlos
3.2.2 Tipos de Metodologías
Simulaciones Etapa 5
Marion-Francia
* No contempla probabilidades.
* Contempla esperanzas matemáticas (aprox. numéricas)
Tipos de metodologías de análisis de riesgo
Marion
Marion
Marion
bancos
Agricultura
Energí
Energía
2
Construcció
Construcción
Metalú
Metalúrgica
3 Transporte
Comercio
Hospedaje
Tipos de metodologías de análisis de riesgo
Marion
Marion
Nota:
- Las pérdidas posibles no deben nunca sobrepasar el “VALOR DE
RIESGO MAXIMO ADMISIBLE”
RISCKPAC
RISCKPAC
Calcula para cada aplicación un factor de riesgo:
1= nominal, ..., 5 = catastrofe.
Facilidades
Del sistema
Riesgos relacionados
Integridad, fraude
Lógica de control
divididos en 26 De acceso
categorías de
Riesgo en cada nivel
Tipos de metodologías de análisis de riesgo
CRAMM-Reino Unido
metodología española(1990)
enfoque subjetivo
Características
Cubrir necesidades de los proyectos de un plan de seguridad
Adaptable
Cuestionarios para identificar fallas de controles
Proporciona un sistema de ayuda
Informes finales
Lista de ayuda y cuestionarios son abiertos
Tipos de metodologías de análisis de riesgo
Identificación de
Toma de acción Amenazas
debilidades
Vulnerabilidades
Definición de
contramedidas
Prioridad
Costo valoración de
Dificultad contramedidas
duración
Preparación del
Plan de acción
Riesgos
Plan de acción
Plan de proyectos Informe final
Fases de la metodología
PRIMA
Plan de Contingencia
Herramientas
Deben contener:
•BD relacional * Generador de informes
•Módulos de entrada * ayuda,etc
•Módulos de consulta
•Procesador de textos
Herramienta-Meycor Cobit
Herramienta-Meycor Cobit
Herramienta-Meycor Cobit
METODOLOGIAS DE AUDITORIA
INFORMATICA
Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los
auditores financieros para que puedan utilizar los sistemas de información para sus
dictamenes.
Las partes con las que cuenta un plan auditor informatico son:
- Funciones
- Procedimientos para las distintas tareas de las auditorias
- Tipos de auditoria
- Sistema de evaluación
- Nivel de exposición
- Lista de distribución de informes
- Seguimiento de acciones correctorias
- Plan quincenal
- Plan de trabajo anual
AUDITORIA INTERNA Y EXTERNA
CONTROL INFORMÁTICO
- Tiene funciones propias (administración de la seguridad lógica, etc)
- Funciones de control dual con otros departamentos
- Funciones normativas y del cumplimiento del marco jurídico.
- Operan según procedimientos de control en los que se ven involucrados y que luego desarrollarán.
- Al igual que en la auditoria y de forma opcional puede ser el soporte informático de control interno
no informático
- El objetivo es de que exista una “actuación segura” entre los usuarios, la informática y control
interno. Todos ellos auditados por auditoria informática
- El “plan de Seguridad Informatica” tiene 2 proyectos de vital importancia “clasificación de la
información” (B) y “procedimientos de control “ (C)
Análisis de Contramedida
A riesgo 1
Objetivo de
Clasificación control
B de la Plan de
información Contramedida acciones
tecnología 2
Objetivo de
Control 1
Contramedida
C
Objetivo de 3
Control 2
3.5.2 METODOLOGÍAS DE CLASIFICACION DE LA
INFORMACION Y DE OBTENCION DE LOS PROCEDIMIENTOS
DE CONTROL
CLASIFICACION DE LA INFORMACION.- Metodología “PRIMA”
• ANÁLISIS DE PLATAFORMA
• ANÁLISIS DE APLICACIONES
- ¿Permite el producto establecer un conjunto de reglas de control aplicables a todos los recursos del
sistema?
- ¿Permite el producto al administrador de seguridad establecer un perfil de privilegios de acceso para
un usuario o grupos de usuarios
- ¿Permite el producto al administrador de seguridad asignar diferentes administradores?
- ¿Permite el producto al administrador de seguridad asignar a estos administradores la
responsabilidad de gestionar privilegios de acceso para grupos y recursos definidos?
- ¿Permite a un administrador pedir acceso para él mismo, tanto como para cualquier usuario de su
área de responsabilidad?
- ¿impide el producto que un administrador se provea él mismo de sus propias peticiones?
FACTORES
RED
ADMINISTRACION
ADMINISTRACION
• SINGLE SIGN ON
(que es necesario sólo un password y un user ID para un usuario acceder y usar su información
y sus recursos de todos los sistemas como si de un solo entorno se tratara)
• FACILIDADES DE USO Y REPORTING
(se valora la interfase de usuario y la calidad de la misma)
• SEGURIDADES
(se trata de ver aspectos de seguridad clásico del propio producto como que el administrador no
vea los password de los usuarios, longitud del password mínimo, que el producto requiera un ID
y password de longitud mínima para el acceso del propio producto etc.)
• ADQUISICION, INSTALACION E IMPLANTACION , FORMACION DE MANUALES DE
PROCESAMIENTO DE CONTROL
PORCENTAJE DE PARTICIPACIÓN
Apellidos y Nombres %