Piña Andrades Mcluz. Suarez Rondon Libni Mabel. Fuentes Gomez Omeris de Jesus. Mendoza Sulbaran Josue Armando. Villalobos Marquez Randy Jesus. Rivas leidy.
Capitulo 3: Metodologías de control interno, seguridad y auditoría informática 1- ¿Que diferencia y similitudes existen entre las metodologías cualitativas y las cuantitativas? ¿Qué ventajas y que inconvenientes tiene? Diferencias: las cuantitativas se basan en un modelo matemático numérico que ayuda a la realización del trabajo, y las cualitativas se basan en el razonamiento humano capaz de definir un proceso de trabajo. Similitudes: ambas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de que las amenizas se materialicen, sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio, y también dependen de un profesional. Ventajas: - Cualitativas: enfoca lo más amplio, plan de trabajo flexible y reductivo, se concentra en la identificación de eventos, incluye factores intangibles. - Cuantitativas: enfoca pensamientos mediante uso de números, facilita la comparación de vulnerabilidades muy distintas, proporciona una cifra justificante para cada contramedida. Desventajas: - Cualitativas: depende fuertemente de la habilidad y calidad del personal involucrado, puede excluir riesgos significantes desconocidos, identificación de eventos reales mas claros al no tener que aplicar probabilidades complejas de calcular, dependen de un profesional. - Cuantitativas: la estimación de probabilidades dependen de estadísticas fiables inexistentes, estimación de las pérdidas potenciales solo si son valores cuantificables, metodologías estándares difíciles de mantener o modificar.
2- ¿Cuáles son los componentes de una contramedida o control (pirámide de la seguridad)? ¿Qué papel desempeñan las herramientas de control? ¿Cuáles son las herramientas de control mas frecuentes?
Componentes: la normativa, la organización, las metodologías, los objetivos de control, los procedimientos de control, tecnologías de seguridad, las herramientas de control. - El papel que desempeñan las herramientas de control que permite definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control. Herramientas de control mas frecuentes: seguridad lógica del sistema, seguridad lógica complementaria al sistema, seguridad lógica para entornos distribuidos, control de acceso físico, control de copias, gestión de soporte magnético, gestión y control de impresión y envío de listados por red, control de proyectos, control de versiones, control y gestión de incidencias, control de cambio.
3- ¿Qué tipo de metodologías de plan de contingencia existen? ¿en que se diferencian? ¿Qué es un plan de contingencia? -Existen dos tipos de metodología plan de contingencia, que son contingencia informática y contingencia corporativa. - Diferencias: la corporativa cubre no sola la informática sino todos los departamentos de una entidad, y puede incluir también el informativo como un departamento más. -Un plan de contingencia es una estrategia planificada por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación encaminada a conseguir una restauración progresiva y ágil de los servicios de negocios afectados por una paralización total o parcial de la capacidad operativa de la empresa. 4- ¿Qué metodologías de auditoria informática existen? ¿Para que se usa cada una? Existen dos familias distintas, las auditorias de controles generales y las metodologías de los auditores internos. Las auditorias de controles generales se usan para obtener una opinión sobre la fiabilidad de los datos, basadas en pequeños cuestionarios estándares que dan como resultados informes muy generalistas. Por otro lado la metodología de auditor interno también cumple la misma función pero son diseñadas por el propio auditor.
5- ¿Qué es el nivel de exposición y para que sirve? El nivel de exposición es un indicativo definido subjetivamente que permite en base a la evaluación final de la última auditoria realizada definir la fecha de la repetición de la misma auditoria. 6- ¿Qué diferencias existen entre las figuras de auditoria informática y control interno informático? ¿Cuales son las funciones más importantes de este?
La clara diferencia entre ambos elementos es que, el control interno monta los controles del proceso informático, mientras que la auditoria informática evalúa el grado de control. Funciones principal: - Control interno informático: funciones de control dual con otros departamentos, normativa y del cumplimiento del marco jurídico, responsable del desarrollo y mantenimiento del plan de contingencias, controles de coste, controles de medida de seguridad física o corporativa en la información.
7- ¿Qué papel tienen las herramientas de control en los controles? Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar el control de una manera más actual y más automatizadas. 8- ¿Cuáles son los objetivos de control en el acceso lógico? Segregación de funciones entre los usuarios, integridad de los “log” e imposibilidad de desactivarlos por ningún perfil para poder revisarlos, gestión centralizada de la seguridad o al menos única, contraseña única para los distintos sistemas de la red, la contraseña y archivos con perfiles y derechos inaccesibles a todos, el sistema debe rechazar a los usuarios que no usan la clave, separación de entornos, el log o los log’s de actividad no podrán desactivarse a voluntad, el sistema debe obligar a los usuarios a cambiar la contraseña y es frecuente encontrar mecanismos de auto-loguot. 9- ¿Que es el single sing on? ¿Por qué es necesario un software especial para el control de acceso en los entornos distribuidos? Este concepto lo podemos definir como; “Que es necesario solamente un password y un User ID, para un usuario, para acceder y usar su información y sus recursos, de todos los sistemas como si de un solo entorno se tratara”. Se necesita un software especial que permita conseguir en el escenario de los entornos distribuidos el control como si de un computador con un solo control de acceso se tratara, e incluso mejorar el nivel de control y observar la seguridad lógica total como un todo.