Beruflich Dokumente
Kultur Dokumente
Normatividad
Debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual como prctico, de lo general a lo particular. Deben inspirarse en:
Polticas Marco Jurdico Polticas y normas de la empresa
Organizacin
Son personas que tienen funciones especficas y actuaciones concretas dentro del control de riesgos informticos. Define sus metodologas para la evaluacin del riesgo y estas son autorizadas por la alta direccin de la organizacin.
Metodologas
Son los mtodos que se utilizan para realizar un examen de riesgo informtico, de una forma ordenada y eficaz.
Objetivos de Control
Es uno de los conceptos ms importantes, definir los objetivos del control de riesgos de una auditora informtica, ya que esto ayudar a definir eficazmente las metodologas a utilizar para realizar el examen y evitar los riesgos informticos.
Procedimientos de Control
Son los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la direccin.
Tecnologa de Seguridad
Dentro de la tecnologa de seguridad estn los elementos, ya sean hardware o software que ayudarn a controlar un riesgo informtico..
Herramientas de Control
Son elementos de software que permiten definir uno o varios procedimientos de control para cumplir con una normativa y un objeto de control.
Metodologas
Anlisis de Riesgo Amenaza Vulnerabilidad Riesgo
Tipos de Metodologa
Las metodologas se agrupan en dos grandes familias, siendo estas las siguientes: Cuantitativas Cualitativas
Metodologas Cuantitativas
Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo.
Metodologas Cualitativas/Subjetivas
Basadas en el criterio y raciocinio humano, capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada.
P R O S
Cuantitativa Enfoca pensamientos mediante el uso de nmeros. Facilita la comparacin de vulnerabilidades muy distitnas. Porporciona una cifra "justificante" para cada contramedida.
Cualitativa / Subjetiva Enfoque lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identifiacin de eventos. Incluye factores intangibles.
C O N T R A S
Estimacin de probabilidad depende de estadsticas fiables inexistentes. Estimacin de las prdidas potenciales solo si son valores cuantificables. Metodologas estndares. Difciles de mantener o modificar. Dependencia de un profesional.
Depende fuertemente de la habilidad y calidad del personal involucrado. Puede existir riesgos significativos desconocidos (depende de la capacidad del profesional para usar el check-list/gua). Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia de un profesional
Metodologas ms Comunes
Anlisis de Riesgos Plan de Contingencias
Controles Generales
Anlisis de Riesgos
1
Calcular el Impacto
Identificar las contramedidas y el Coste Simulaciones Creacin de los Informes
Plan de Contingencias
Clasificacin de la Informacin
Caractersticas de la Metodologa de Prevencin de Riesgos Informticos con Metodologa Abierta: Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos que conllevan a un plan de seguridad. Es fcilmente adaptable a cualquier tipo de herramienta. Posee cuestionarios de preguntas. Posee listas de ayuda. Permite fcilmente la generacin de informes finales. Permite que el profesional pueda aadir en la herramienta niveles o jerarquas.
Clasificacin de la Informacin
Pasos de la Metodologa de Prevencin de Riesgos Informticos con Metodologa Abierta: Identificacin de la informacin. Inventario de informacin . Creacin de usuarios con perfiles distintos (restricciones) Definicin de jerarquas de la informacin. Definicin de polticas, estndares objetivos de control. Confeccin de la matriz de clasificacin.
Facilidad y Uso
Necesidad de Usuarios
Seguridad y Control
Conclusiones
Es una doctrina que trata del Riesgo. El papel del auditor es muy importante. La dependencia de los equipos de computacin es que justifica la aplicacin.
Recomendaciones
Existen diferentes metodologas para realizar un sistema de seguridad de la informacin entre ellas se pueden mencionar la Auditora en Informtica y Anlisis de Riesgos; de dichas metodologas la ms acertada para la salvaguarda de la informacin es la de Anlisis de Riesgos; la primera solamente se limita a identificar la inexistencia de controles mientras que en la de riesgos provee una evaluacin y recomienda acciones con base al beneficio de las mismas.
Recomendaciones
La auditora informtica efecta sus actividades mediante una metodologa, contar con un mtodo garantiza que el auditor pueda trabajar en equipo y que la obtencin de resultados sean de calidad, es por ello que se recomienda seguir un esquema metodolgico; el plan del auditor informtico es el documento que definir el trabajo que se ha de realizar.