Edgar Eduardo Montenegro 200711554

Introduccin a las Metodologas

Metodologa es un conjunto de mtodos que se sigue en una investigacin cientfica, o en una exposicin doctrinal. Una metodologa en un equipo de profesionales es indispensable para el alcance de objetivos homogneos, como si fuera una sola persona quien hubiera realizado el trabajo de auditora.

Seguridad de los Sistemas de Informacin

Es la doctrina que trata de los riesgos creados por la informtica, La informtica crea riesgos de los que hay que proteger a la organizacin, por lo que se deben crear contramedidas que ayuden a mejorar los puntos dbiles de los sistemas informticos, esto con base en factores bsicos para que la contramedida sea efectiva.

Factores de una Contramedida

Normatividad
Debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual como prctico, de lo general a lo particular. Deben inspirarse en:
Polticas Marco Jurdico Polticas y normas de la empresa

Luis Eduardo Terron Ramos 200711732

Organizacin
Son personas que tienen funciones especficas y actuaciones concretas dentro del control de riesgos informticos. Define sus metodologas para la evaluacin del riesgo y estas son autorizadas por la alta direccin de la organizacin.

Metodologas
Son los mtodos que se utilizan para realizar un examen de riesgo informtico, de una forma ordenada y eficaz.

Objetivos de Control
Es uno de los conceptos ms importantes, definir los objetivos del control de riesgos de una auditora informtica, ya que esto ayudar a definir eficazmente las metodologas a utilizar para realizar el examen y evitar los riesgos informticos.

Procedimientos de Control
Son los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la direccin.

Tecnologa de Seguridad
Dentro de la tecnologa de seguridad estn los elementos, ya sean hardware o software que ayudarn a controlar un riesgo informtico..

Herramientas de Control
Son elementos de software que permiten definir uno o varios procedimientos de control para cumplir con una normativa y un objeto de control.

Jose Luciano Canel Subuyuj 200813382

Metodologas de Evaluacin de Sistemas

Conceptos Fundamentales.

Metodologas
Anlisis de Riesgo Amenaza Vulnerabilidad Riesgo

Auditora Informtica Exposicin o Impacto

Beneficios de las Metodologas

ESTABLECER Y MEJORAR CONTRAMEDIDAS

MATERIALIZA CIN DE AMENZAS LO MAS BAJO POSIBLE

QUEDE REDUCIDA COSTOBENEFICIO

Mynor Isai Revolorio 200711484

Tipos de Metodologa
Las metodologas se agrupan en dos grandes familias, siendo estas las siguientes: Cuantitativas Cualitativas

Metodologas Cuantitativas
Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo.

Metodologas Cualitativas/Subjetivas
Basadas en el criterio y raciocinio humano, capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada.

P R O S

Cuantitativa Enfoca pensamientos mediante el uso de nmeros. Facilita la comparacin de vulnerabilidades muy distitnas. Porporciona una cifra "justificante" para cada contramedida.

Cualitativa / Subjetiva Enfoque lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identifiacin de eventos. Incluye factores intangibles.

C O N T R A S

Estimacin de probabilidad depende de estadsticas fiables inexistentes. Estimacin de las prdidas potenciales solo si son valores cuantificables. Metodologas estndares. Difciles de mantener o modificar. Dependencia de un profesional.

Depende fuertemente de la habilidad y calidad del personal involucrado. Puede existir riesgos significativos desconocidos (depende de la capacidad del profesional para usar el check-list/gua). Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia de un profesional

Jerson Leonel Chavez Martinez 200812163

Metodologas ms Comunes
Anlisis de Riesgos Plan de Contingencias
Controles Generales

Anlisis de Riesgos
1

Cuestionario Identificacin de los Riesgos

Calcular el Impacto
Identificar las contramedidas y el Coste Simulaciones Creacin de los Informes

Plan de Contingencias

Jonathan David Cuxun Hernndez 200613030

Metodologa de Auditora en Informtica

Se encarga de identificar el nivel de exposicin por la falta de controles mientras el anlisis de riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologas existentes en seguridad de sistemas, van encaminadas a establecer y mejorar un medidas que garanticen que la productividad y que las amenazas sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio.

Tipos de Metodologa de Auditora en Informtica

Controles Generales: El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera, el resultado forma parte del informe de auditora, se hacen notar las vulnerabilidades encontradas. Estn basados en pequeos cuestionarios estndares que dan resultados muy generales. Metodologa de los Auditores Internos: Esta metodologa debe ser diseada y desarrollada por el propio auditor interno y esta ser la significacin de su grado de experiencia y habilidad. Crea cuestionarios genricos con una orientacin de controles a revisar.

Auditora Informtica Basados en Riesgos

Existen otros tres tipo de metodologa en auditoria interna basados en la minimizacin de riesgos. R.O.A. (RISK ORIENTED APPROACH), que significa ENFOQUE ORIENTADO A RIESGO diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS En s las tres metodologas estn basadas en la minimizacin de los riesgos, que se conseguir en funcin de que existan los controles y de que stos funcionen

Wagner Manuel Perez Boror 200920912

Plan Informtico del Auditor

Es el esquema metodolgico ms importante del auditor informtico. es el documento en que se define esta funcin y el trabajo que realiza dentro de la entidad en que se encuadra Su contenido debe estar orientado con la estrategia organizativa y con el resto de los planes de los auditores hasta la entrega del informe final

Etapas del Plan Informtico

Definicin de mbito y objetivos Diagnstico Etapa de justificacin Etapa de adecuacin Etapa de formalizacin Etapa de desarrollo e implantacin Presentacin del informe final

Roger Castellanos 200513108

Control Interno Informtico, sus Mtodos y Procedimientos, las Herramientas de Control

La funcin de control se inclina porque los datos sean un fiel reflejo de la realidad, que sean exactos, oportunos, suficientes.

Clasificacin de los Controles de los Sistemas de Informacin

Controles Generales Controles Operativos Controles Tcnicos

Diferencias entre las Funciones de Control Informtico y Auditora Informtica

Auditoria Informtica
Control Interno Informtico
-Vigilancia y evaluacin mediante dictmenes. -Tienen sus propios objetivos distintos a los auditores de cuentas -La funcin de soporte informtico de todos los auditores. -Definicin de propietarios y perfiles -Promover el Plan de Seguridad Informtica -Dictar Normas de Seguridad Informtica -Definir los Procedimientos de Control

Andrea Lisseth Mejia Avalos 200711384

Metodologa de Clasificacin de la Informacin y Obtencin de los Procedimientos de Control

Clasificacin de la Informacin
Caractersticas de la Metodologa de Prevencin de Riesgos Informticos con Metodologa Abierta: Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos que conllevan a un plan de seguridad. Es fcilmente adaptable a cualquier tipo de herramienta. Posee cuestionarios de preguntas. Posee listas de ayuda. Permite fcilmente la generacin de informes finales. Permite que el profesional pueda aadir en la herramienta niveles o jerarquas.

Clasificacin de la Informacin
Pasos de la Metodologa de Prevencin de Riesgos Informticos con Metodologa Abierta: Identificacin de la informacin. Inventario de informacin . Creacin de usuarios con perfiles distintos (restricciones) Definicin de jerarquas de la informacin. Definicin de polticas, estndares objetivos de control. Confeccin de la matriz de clasificacin.

Mayra Carolina Rodrguez Mazariegos 200812879

Obtencin de los Procedimientos de Control

El desarrollo de la metodologa por medio de los planes de accin y de seguridad permiten que el proceso de obtencin de los procedimientos de control se realice a travs de fases, tal y como se muestra a continuacin: Fase 1. Definicin de Objetivos de Control Tarea 1. Anlisis de la Empresa: Se estudian los procesos, organigramas y funciones. Tarea 2. Recopilacin de Estndares: Se estudian todas las fuentes de informacin necesarias para conseguir definir en la siguiente fase de los objetivos de control a cumplir.

Obtencin de los Procedimientos de Control

Fase I. Definicin de Objetivos de Control Tarea 3. Definir los objetivos de controles. Fase II. Definicin de los Controles Tarea 1. Definir Controles: Con los objetivos de control definidos, se analizan los procesos y se va definiendo los distintos controles que se necesiten. Tarea 2. Definicin de Necesidades Tecnolgicas: Hardware y herramientas de control.

Obtencin de los Procedimientos de Control

Fase II. Definicin de los Controles Tarea 3. Definicin de los Procedimientos de Control: Se desarrollan los distintos procedimientos que se generan en las reas usuarias, informtica, control informtico y control no informtico. Tarea 4. Definicin de las Necesidades de Recursos Humanos.

Obtencin de los Procedimientos de Control

Fase III. Implantacin de los Controles Una vez definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta ms que implantarlos en forma de acciones especficas.

Obtencin de los Procedimientos de Control

Terminado el proceso de implantacin de acciones habr que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes sern: Procedimientos propios de control de la actividad informtica (control interno informtico). Procedimientos de distintas reas usuarias de la informtica, mejorados. Procedimientos de reas informticas, mejorados. Procedimientos de control dual entre control interno informtica y el rea informtica, los usuarios informticos, y el rea de control no informtico.

Victor Eduardo Coyoy Hernndez 200418474

Las Herramientas de Control

Evaluacin de las Herramientas de Control

Anlisis de Plataformas Anlisis de las Aplicaciones

Facilidad y Uso
Necesidad de Usuarios
Seguridad y Control

Eliezer Isaac de Len Ayala 200813188

Ejemplo de Metodologa de Auditora de una Aplicacin

Objetivos: Determinar que los sistemas produzcan informacin exacta y completa en el momento oportuno. Emitir opinin sobre el cumplimiento de los objetivos, planes y presupuestos contenidos en el plan de sistemas de informacin sobre la aplicacin a auditar.

Ejemplo de Metodologa de Auditora de una Aplicacin

Programacin de la Revisin: Verificar y evaluar las actividades de los procesos que se desarrollan dentro del rea. Evaluar las funciones del rea. Obtener un conocimiento detallado de la aplicacin o sistema.

Ejemplo de Metodologa de Auditora de una Aplicacin

Informe Previo: Para mantener una relacin buena con el rea revisada, se emite un informe previo de los puntos principales de la revisin. Informe Final: Opinin global (conclusin). Riesgos Actuales Problemas especficos. Implementacin de las medidas de seguridad.

Ami Sara Palacios 200116153

Conclusiones
Es una doctrina que trata del Riesgo. El papel del auditor es muy importante. La dependencia de los equipos de computacin es que justifica la aplicacin.

Maria Lucrecia Mrida Barrios 9411374

Recomendaciones
Existen diferentes metodologas para realizar un sistema de seguridad de la informacin entre ellas se pueden mencionar la Auditora en Informtica y Anlisis de Riesgos; de dichas metodologas la ms acertada para la salvaguarda de la informacin es la de Anlisis de Riesgos; la primera solamente se limita a identificar la inexistencia de controles mientras que en la de riesgos provee una evaluacin y recomienda acciones con base al beneficio de las mismas.

Recomendaciones
La auditora informtica efecta sus actividades mediante una metodologa, contar con un mtodo garantiza que el auditor pueda trabajar en equipo y que la obtencin de resultados sean de calidad, es por ello que se recomienda seguir un esquema metodolgico; el plan del auditor informtico es el documento que definir el trabajo que se ha de realizar.