Auditoria de información

Riesgo? – la posibilidad de que ocurra un evento adverso que afecte el logro de los objetivos.

NCI - CGR – RC 320 – 2006 – CE

Caso -2018

Posibilidad de que ocurra un evento a efectos negativamente a la consecución de los objetivos

IGO 31000

“efecto de la incertidumbre en los objetivos”

 Proceso de gestión de riesgo:

1.- planeamiento
2.- identificación del riesgo
3.-analisis del riesgo
4.- respuesta del riesgo

 Clasificación de los riesgos:

1.- riesgos estratégicos
2.- riesgo operativo
3.- riesgo financiero
4.- riesgo de cumplimiento
5.- riesgo de corrupción
6.-riesgo de tecnología

 Clasificación de riesgos (caso 2013)

1.-externas: 2.- internas:
Económicas infraestructura
entorno natural dirección o gestión
regulatorio personal
sociales acceso de archivos
tecnológicos tecnología
corrupción fraude y/o corrupción
integridad
confiabilidad
disponibilidad
factores de riesgo

1.- factor ambiental. - se refiere parte externa de la empresa ejem: tormentas, inundaciones,
humedad, calor, etc.

2.- tecnología. - falla de la energía eléctrica, ataque de virus, falla de software y hardware.

3.- humano. - fraude, modificación, revelación, sabotaje, hacker, falsificación, robo de

contraseñas, intuición, alteración, adulteración, vandalismo, perdida.

Principales características de los virus informáticos

1.- auto reproducción. – sin intervención o consentimiento de virus.

2.- infección. - a través de códigos.

 Propósito de los virus informáticos

1.- afectar el software

2.- afectar el hardware

Clasificación de los virus informáticos

1.- Virus genérico o de archivos -- archivos ejecutados

2.- virus mutante – archivos generados como copia

3.- virus re combinables – intercambio de códigos y crear uno nuevo

4.- virus “bonaty hunter” – caja recompensas

5.- virus específicos para redes – coleccionar contraseñas de acceso a red

6.- virus de sector de arranque – se alojan en los discos duros

7.- virus macro – acompaña a la información de mayor envergadura

8.- virus internet – página web

Hacker. - son personas con avanzados conocimientos de información y utiliza su habilidad para
una intervención de sistemas de que no tiene acceso autorizado.

Objetivos:

1.- invadir un sistema protegido

2.- prueba un sistema a través de fallas

Cracker. - es una persona con avanzado conocimiento técnicos en el área informático y utiliza
su habilidad para acceder a información no autorizado.

Objetivos:

1.- destruir parcialmente el sistema

2.- obtener un beneficio personal (tangible o intangible)

Mecanismo de seguridad ¿qué es?

Es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y

la disponibilidad de un sistema informático.

Clasificación según su función:

1.- preventivo: actúa antes de un hecho

Función: detener agentes no deseados.

2.- correctivo: actúa luego de los ocurrido

Función:

3.- delictivos: actúa antes del hecho

Función: revelar la presencia de agentes no deseados.

 Seguridad física

¿Qué debemos proteger?

HARDWARE:

 Procesador
 Memoria principal
 Dispositivo de entrada
 Dispositivo de salida
 Dispositivo de almacenamiento

¿Cómo?

 Restringir el acceso a las áreas de computadoras

 Restringir el área de impresoras
 Instalar detectores de humo y extintores
 Colocar los dispositivos lejos del piso
 Colocar los dispositivos lejos de la ventana
 Colocar para rayos
 Proteger las antenas externas

Administración de riesgo de tecnología de información

1.- establecer marco general

 Leyes y regulaciones
 Ambiente social
 Entorno económico
 Amiente tecnológico
 Clientes
 Competencias
 Estructura organizacional
 Líneas de negocios
 Procesos
 Actividades
 Productos.

Objetivos:

 Rendimiento financiero
 Crecimiento institucional
 Crecimiento competitivo
 Calidad
 Servicio al cliente

2.- identificar riesgos -- Criterios de evaluación

Integridad, confidencialidad y disponibilidad efectividad, eficiencia, cumplimiento de normas

negocio.

Sistemas de información – módulos, interfaces – E.P.S

3.- análisis de riesgo

riesgo (causa) = probabilidad X impacto

1. Rara vez ocurre

2. Poco probable
3. Algunas veces
4. Probable
5. Muy probable

4.- evaluar y priorizar riesgos

5.- tratamiento del riesgo

1. Implementación de nuevos mecanismos de control

2. Cambios, beneficios o eliminar controles existentes
3. Combinar mecanismos de control.

Ciclo de vida de un sistema de información

Etapas:

1.- planificación 6.- instalación y despliegue

 Ámbito del proyecto componentes terminados

 Estudio de viabilidad
 Análisis de riesgo 7.- uso y mantenimiento
 Estimación mantenimiento adoptivo
 Planificación temporal mantenimiento corruptivo
 Asignación de recursos mantenimiento perfectivo

2.- análisis ¿Qué?

 Requerimiento funcionales
 Requerimiento no funcionales
 Moldeado de datos
 Moldeado de procesos

3.- diseño ¿Cómo?

 Diseña base de datos

 Diseña aplicaciones

4.- implementación

 Es la adquisición de componentes
 Es la creación e integración de los recursos necesarios

5.-pruebas

 Pruebas de unidad
 Pruebas de integración
 Pruebas alfa
 Pruebas beta
 Test de aceptación