Professional Documents
Culture Documents
Asignatura:
ACADÉMICA
- Master Administración de proyectos, UNITEC
- Licenciatura informática administrativa, UNAH.
- Miembro del Project Management Institute, PMI.
PROFESIONAL
- Gerente de Proyectos de TI en Grupo INTUR.
- Gerente de Sistemas Operadores logísticos RANSA
- Coordinador de sistemas zona centro-sur Central de Ingenios
azucareros.
- Consultor independiente ORACLE, SQL Server, Aplicaciones
Microsoft(.Net)
POLITICAS DEL CURSO:
Proyecto 20%
Total 100%
Jornalizacion de contenidos
GENERAL
Desarrollar en el estudiante las competencias necesarias para
administrar el riesgo y seguridad en las empresas
infotecnológicas.
ESPECÍFICOS
- Establecer las bases de las políticas de seguridad y
administración del riesgo en los centros de infotecnología.
- Comprender esquemas de seguridad.
- Conocer normas internacionales de auditoria, aplicables a los
centros de datos.
Primero: ¿Qué es la auditoria?
Muñoz (2002,34)
Auditoria
La palabra auditoría viene del latín auditorius y de esta proviene
auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar
encaminado a un objetivo.
Auditor
Recursos
TIC
Objetivos generales de la Auditoría.
• Auditoria Externa
• Auditoria Interna
Auditoria Externa.
• Auditoría Financiera(Contable).
• Auditoría Administrativa.
• Auditoría Ocupacional.
• Auditoría Integral.
• Auditoría Gubernamental.
• Auditoría Informática.
Auditorias por su Área de Aplicación
Auditoría operacional.
- Es la revisión sistemática, exhaustiva y especifica que se realiza
a las actividades de una empresa, con el fin de evaluar su
existencia, suficiencia, eficacia, eficiencia y el correcto desarrollo
de sus operaciones.
Auditoría integral.
- Es la revisión exhaustiva, sistemática y global que realiza un
equipo multidisciplinario de profesionales a todas las actividades
y operaciones de una empresa, con el propósito de evaluarla de
manera integral, todas sus áreas administrativas.
Auditorias por su Área de Aplicación
Auditoría gubernamental.
- Es la revisión exhaustiva, sistemática y concreta que se realiza
a todas las actividades y operaciones de una entidad
gubernamental.
Auditoría informática.
- Es la revisión técnica, especializada y exhaustiva que se realiza
a los sistemas computacionales, software e información utilizados
en una empresa, sean individuales, compartidos o de redes, así
como a sus instalaciones, telecomunicaciones, equipos
periféricos, y demás componentes. El propósito fundamental es
evaluar el uso adecuado de los sistemas informáticos para el
correcto ingreso de los datos, el procesamiento adecuado y la
emisión oportuna de sus resultados en la organización.
Auditoría Informática
Objetivo:
Disponer de mecanismos que permitan capturar de una auditoría
la relación del personal con el acceso a las bases de datos
incluyendo la capacidad de generar, modificar y/o eliminara
datos.
Importancia:
Dentro de los aspectos de mayor importancia de la auditoría del
entorno de bases de datos radica en que es el punto de partida
para poder realizar la auditoría de las aplicaciones que se utilizan,
además que toda la información de una compañía reside en una
de estas, ya que debe existir controles adecuados y relacionados
con el acceso a las mismas.
Tipos de Auditoria Informática.
Auditoría de Comunicaciones.
Revisión de la topología de Red y de terminación de posibles
mejoras, análisis de caudales y grados de utilización.
Tres niveles:
Estratégicos: (4-5 años)
Táctico: (1-2 años) fijación de un plan informático (prioridades)
Operacional: Asociación de tareas o actividades diarias.
Auditoria De Un Sistema De Información
Auditor Informático:
Es un profesional dedicado al análisis de
sistemas de información e informáticos, que
está especializado en algunas de las
múltiples ramas de la auditoria informática,
que tiene conocimientos generales o
específicos y que además posea las
características necesarias para actuar como
consultor con su auditado, dándole ideas de
cómo enfocar la construcción de los
elementos de control y de gestión y actuar
como consejero en la organización en la que
está desarrollando su labor.
Cualidades De Un Auditor Informático
Competencias Profesionales.
Competencias Profesionales.
Competencias Personales.
Revisión de Mantenimiento:
Determinar que los sistemas se han modificado de acuerdo con las
políticas de la organización.
Revisión de Adquisición:
Determinar que los recursos de la organización se están utilizando
de forma económica.
Dimensiones del Trabajo del Auditor
Informático
Revisión de la Gestión de Recursos del Procesamiento de
Datos:
Determinar su adecuación en el cumplimiento de los objetivos
organizativos.
Objetivos
Conceptos:
Conceptos:
1. Confidencialidad
2. Integridad
3. Disponibilidad
Principios de Seguridad Informática
Confidencialidad
Flujo Normal
Emisor Receptor
Atacante
Ataques contra el flujo de la información
Interrupción
Emisor Receptor
Atacante
Ataques contra el flujo de la información
Intercepción
Emisor Receptor
Atacante
Ataques contra el flujo de la información
Modificación.
Emisor Receptor
Atacante
Ataques contra el flujo de la información
Fabricación.
Emisor Receptor
Atacante
Riesgos
Riesgo:
Alto
Riesgo
Administrado
Logro de
Objetivos
Ineficacia Ineficacia por
por controles
exposición
Bajo
Gobierno
Control Interno
Concepto fundamental de la administración y control, aplicable en
las entidades del Estado para describir las acciones que
corresponde adoptar a sus titulares y funcionarios para preservar,
evaluar y monitorear las operaciones y la calidad del servicio.
Conceptos
Mapa de Riesgos
Gestión de Riesgos
Dentro del
Apetito de
Riesgo
Bajo
Tolerancia al riesgo
El nivel de variación que la organización está dispuesta a asumir
en caso de desviación a los objetivos empresariales trazados
Estrategia de negocio
Límite de Desempeño
Real
Variación
tolerancia
Inaceptable Meta Fijada
Límite de
tolerancia
Variación
Inaceptable
Tiempo
Una política de gestión de riesgos.
• Objetivos de control interno y de gestión de riesgos (gobierno)
• Una declaración de la actitud de la organización para con los riesgos
(estrategia)
• Descripción de la cultura consciente de los riesgos o ambiente de
control
• Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo)
• Organización de la gestión de riesgos y acuerdos (arquitectura)
• Detalle de los procedimientos para el reconocimiento de riesgos y su
priorización (evaluación de riesgos)
• Lista de documentación para analizar y reportar riesgos (protocolos de
riesgo)
• Requerimientos de mitigación de riesgos y mecanismos de control
(respuesta al riesgo)
• Prioridades y temas de entrenamiento en gestión de riesgos
• Asignación de los recursos apropiados para la gestión de riesgos
• Actividades y prioridades relacionadas a la gestión de riesgos para el
año venidero
Gestión de Riesgos
1. Identificación de Riesgos
Técnicas de Diagramación
Técnicas de Recopilación de
Información
Diagrama causa/efecto
Tormenta de Ideas
Técnica Delphi
Entrevistas
Criterios Fundamentales:
• Incumplimiento parcial de normas y procedimientos internos
dentro del período evaluado. (no repetitivo)
Criterios Fundamentales:
• Incumplimiento reiterativo de procedimientos internos dentro del
período evaluado
• Desactualización de normas y procedimientos internos
relacionados con la administración de activos.
Criterios Fundamentales:
• Afectación al cumplimiento de los objetivos estratégicos
• Afectación de la imagen institucional (trascendencia pública a
nivel nacional)
• Interrupción de las operaciones que afecten la prestación de los
servicios y que generen un efecto económico negativo.
• Fraudes: robos e irregularidades internacionales
• Omisión en la aplicación de controles críticos en los procesos
estratégicos, operativos y soporte
P o c o pro bable / P uede o c urrir s ó lo en c irc uns tanc ias El des arro llo del pro c es o s ufre un daño m eno r - C o n
2 2 M eno r
R aro exc epc io nales perdida financ iera m eno r
P ro bablem ente o c urriria en la El des arro llo del pro c es o s ufre un deterio ro , dific ultando
3 P ro bable 3 M o derado
m ayo ria de c irc uns tanc ias o retrazando s u c um plim iento - C o n afec tac ió n financ iera
P uede o c urrir en la m ayo ría de El des arro llo del pro c es o es afec tado s ignific ativ am ente -
4 P o tenc ial 4 M ayo r
c irc uns tanc ias P érdida financ iera m ayo r
Se es pera que o c urra en la m ayo ria de El pro c es o es grav em ente dañado - Eno rm e perdida
5 C as i c ierto 5 C atas tro fic o
c irc uns tac ias financ iera
Evaluar los riesgos
Moderado Ba jo Modera do Al to Al to Al to
Poco
Ra ra vez Oca s i ona l Frecuente Muy frecuente
frecuente
FRECUENCIA
Evaluar los riesgos
Evaluar los riesgos
Tratamiento de Riesgos
Evitar o eliminar el riesgo:
Por ejemplo sustituyendo el activo por otro que no se vea afectado por la
amenaza o eliminando la actividad que lo produce.
Reducirlo o mitigarlo:
Tomando las medidas oportunas para que el nivel de riesgo se sitúe por
debajo del umbral.
Transferirlo, compartirlo o asignarlo a terceros:
En ocasiones la empresa no tiene la capacidad de tratamiento y precisa la
contratación de un tercero con capacidad para reducir y gestionar el riesgo
dejándolo por debajo del umbral.
Aceptarlo:
Se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo
bien en situaciones en las que los costes de su tratamiento son elevados
y aun siendo riesgos de impacto alto su probabilidad de ocurrencia es baja o
porque aun a pesar del riesgo la empresa no quiere dejar de aprovechar la
oportunidad que para su negocio supone esa actividad arriesgada.