Seguridad y Auditoria de sistemas de informacion

Descripción

Mapa Mental sobre Seguridad y Auditoria de sistemas de informacion, creado por Nicolas Angelico el 15/10/2015.
Nicolas Angelico
Mapa Mental por Nicolas Angelico, actualizado hace más de 1 año
Nicolas Angelico
Creado por Nicolas Angelico hace alrededor de 9 años
22
1

Resumen del Recurso

Seguridad y Auditoria de sistemas de informacion

Nota:

  • Proceso de control del ambiente informático. Gestiona los recursos de un modo responsable.
  1. Seguridad
    1. Niveles de seguridad

      Nota:

      • Existen 3 puntos de vista o niveles en seguridad: 1.Seguridad desde el punto de vista organizacional o tecnico: Son las herramientas, técnicas y la tecnología necesaria para garantizar un nivel de seguridad requerido. 2.Seguridad desde el punto de vista social o etico: Se refieren a las politicas de seguridad. 3.Seguridad desde el punto de vista jurídico o legal: Que se cumplan con los requisitos legales.
      1. Aspectos importantes

        Nota:

        • La gestión de la seguridad debe tener en cuenta tres aspectos: 1. Integridad: que la información en los sistemas es consistente con la realidad. 2. Disponibilidad: Acceder a los recursos o información de un sistema cuando se requiera. 3. Confidencialidad: Preservar la información, y solo permitir que accedan los que deben hacerlo.
        1. Perdida de seguridad

          Nota:

          • La perdida de seguridad es "la falla de los elementos de un sistema de información computarizado que impide realizar las funciones o brindar los servicios para los cuales estaba destinado"
          1. Metodología generica

            Nota:

            • El principal objetivo cuando se selecciona controles y contra medidas y, por lo tanto, cuando se definen políticas de seguridad, es crear una situación equilibrada entre los costos del riesgo y los costos de control.
            1. 1. Identificación de riesgos

              Nota:

              • Un riesgo es la probabilidad de que una amenaza explote una vulnerabilidad del sistema  provocando un fallo en la seguridad.
              1. Fuentes de amenazas potenciales

                Nota:

                • Las amenazas pueden clasificarse en:  - Logicas o fisicas - Accidentales o deliberadas - Pasiva o activas
                1. Activos que son vulnerables a la perdida
                  1. Ubicación de esos riesgos
                    1. Establecer las vulnerabilidades
                    2. 2. Análisis de riesgo

                      Nota:

                      • Esta etapa consiste en analizar la frecuencia y el impacto producido por una amenaza. Esto permite establecer un limite de gastos en reducir cada amenaza para que no supere el costo de la misma.
                      1. Tipos de perdidas

                        Nota:

                        • Los tipos de perdida pueden ser: -Hardware -Datos e informacion -Software -Capacidad de procesamiento -Personal -Fondos de la compania -De disponibilidad -Falla en la integración/ precisión -Confidencialidad
                        1. Impacto del reisgo
                          1. Matriz de gravedad de amenaza
                          2. 3. Manejo del riesgo

                            Nota:

                            • Consiste en la aplicación de controles y contra medidas apropiadas para el riesgo, de acuerdo con el tiempo, el dinero y otros limites.
                            1. Estrategias genericas (Contramedidas)

                              Nota:

                              • El propósito es identificar el mejor método de manejo de riesgo, donde mejor significa buscar la forma mas efectiva en cuanto al costo.
                              1. Prevenir el riesgo

                                Nota:

                                • Busca evitar la amenaza en lo que pueda evitarse.
                                1. Asumir el riesgo

                                  Nota:

                                  • se recurre a ella cuando los riesgos son de bajo costo y tener alguna otra estrategia para evitarlos o reducirlo es incomoda para la organización.
                                  1. Reducir el riesgo

                                    Nota:

                                    • Esta es un compromiso conveniente, y consiste en la introducción de controles y contra medidas para reducir la probabilidad de ocurrencia y/o para reducir las perdidas resultantes de una falla de seguridad.
                                    1. Transferir el riesgo

                                      Nota:

                                      • Consiste en transferir los costos resultantes de una falla en la seguridad a un tercero, que en general implica pólizas de seguros o contratos de mantenimiento. Esta se utiliza con aquellos riesgos que tiene un costo alto, y una probabilidad de ocurrencia baja.
                                    2. Seguridad en capas

                                      Nota:

                                      • Los controles y contra medidas no son un único conjunto homogéneo. Para dar como resultado una buena seguridad, las diversas amenazas deben ser combatidas por capas de controles dirigidos a diferentes aspectos del uso y magnament de los IS.
                                    3. 4. Recuperación ante desastres

                                      Nota:

                                      • La prevención total del riesgo es poco practica o imposible, por lo tanto las empresas deben planificar como enfrentarse a las inevitable rupturas de seguridad. Esto es lo que se denomina plan de contingencia, e incluye planes para métodos de trabajo que permitan que la empresa sobreviva al desastre y para los procesos de recuperación a largo plazo.
                                      1. Etapas

                                        Nota:

                                        • Deben tenerse en cuenta 3 aspectos durante la plan de recuperación: -Tiempo de inhabilitación: Cantidad de tiempo antes de que las operaciones vuelvan a funcionar parcial o completamente -Respaldo: Mantener el funcionamiento de la empresa a través de los sistemas claves hasta volver a la normalidad. Reinstalación: sistemas de actualización con todos los datos generados durante el tiempo de inhabilitación.
                                        1. Corto plazo

                                          Nota:

                                          • La primera etapa consiste en incrementar la seguridad, minimizar los daños y facilitar el regreso al trabajo lo antes posible.
                                          1. Largo plazo

                                            Nota:

                                            • la segunda etapa consiste en minimizar los efectos secundarios del desastre. 
                                          2. Tipos de sistemas
                                        2. Políticas de seguridad

                                          Nota:

                                          • Conjunto de requisitos definidos por los responsables directos e indirectos de un sistema que indica en términos generales que esta y que no esta permitido en el área de seguridad. 
                                          1. Ciclo de vida
                                            1. Tipos de políticas

                                              Nota:

                                              • -Permisivas: Solo prohíben lo que expresamente especificado, todo lo demás esta permitido. -Prohibitivas: Lo que no esta expresamente permitido esta prohibido.
                                          2. Auditoria informatica

                                            Nota:

                                            • La auditoria informatica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos. -Opinión de nivel profesional -Sustentada en procedimientos (normas) -Maneja una determinada información -Obtenida en cierto soporte -Con la finalidad de determinar si representa adecuadamente la realidad o es fiable.
                                            1. Etapas de auditoria
                                              1. 1. Identificar los Objetivos y el Alcance de la AI
                                                1. 2. Realizar el estudio inicial del ambiente a auditar
                                                  1. 3. Determinar los recursos necesarios para auditar
                                                    1. 4. Elaborar el plan de trabajo
                                                      1. 5. Realizar las actividades de auditoria
                                                        1. 6. Realizar el informe final
                                                          1. 7. Carta de presentación y manifestaciones
                                                          2. Áreas de AI

                                                            Nota:

                                                            • 1. La auditoria fisica 2. Auditoria de la Ofimatica 3. Auditoria de la direccion 4. Auditoria de la explotacion 5. Auditoria del desarrollo 6. Auditoria del matenimiento 7. Auditoria de base de datos 8. La auditoria de tecnicas de sistemas 9. Auditoria de la calidad 10. Auditoria de la seguridad 11. Auditoria de redes 12. Auditoria de aplicaciones https://prezi.com/pjhwxeufthwd/principales-areas-de-la-auditoria-informatica/
                                                            1. Riesgos del auditor

                                                              Nota:

                                                              • -Inerente: asociado propiamente a la naturaleza de la actividad auditora. -De control: errores que no se pueden detectar por el control interno. -De detección: realiza pruebas exitosas a partir de pruebas erróneas.
                                                              1. Tipos de auditorias

                                                                Nota:

                                                                • Interna: No depende del departamento que se va a auditar, normalmente depende del gerente general. Funciona como asesora. Externa: Los auditores no pertenecen a la organización, el resultado tiene un impacto publico.
                                                                1. Tecnicas

                                                                  Nota:

                                                                  • El trabajo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. -Cuestionarios-Entrevistas-Productos software-Peritaje
                                                                  1. Fuentes de evidencia
                                                                  2. Control interno informatico

                                                                    Nota:

                                                                    • Controla diariamente que toda actividades de los SI/TI sean realizadas cumpliendo con los estándares, normas y procedimientos fijados por la dirección de la org. para asegurar que estas sean correctas y validas.
                                                                    1. Tipos de control interno

                                                                      Nota:

                                                                      • 1. Control de Prevencion 2. Control de Deteccion 3. Control de Recuperacion
                                                                    2. Control interno vs Auditoria interna

                                                                      Nota:

                                                                      • http://aabbccddee.galeon.com/winpy.htm
                                                                      Mostrar resumen completo Ocultar resumen completo

                                                                      Similar

                                                                      Francés - Vocabulario Básico
                                                                      maya velasquez
                                                                      Esquema del reformismo ilustrado en España
                                                                      maya velasquez
                                                                      "Formas de integrar TIC en un aula de clases"
                                                                      Diana Peñailillo
                                                                      Inglés
                                                                      maya velasquez
                                                                      Fuentes del Derecho Mercantil
                                                                      Jetzabell Guerre
                                                                      Prehistoria de la humanidad.
                                                                      Katherine Forero
                                                                      LEY 1/2000 ENJUICIAMIENTO CIVIL: "De los procesos matrimoniales y de menores" (II)
                                                                      Miguel Angel del Rio
                                                                      RESUMEN LEY 39
                                                                      Eva Fernandez
                                                                      Mapas conceptuales
                                                                      Eve Contreras
                                                                      mapa conceptual
                                                                      giovanny toro
                                                                      Tipos de Investigación Científica
                                                                      Karen Dubón