respaldo, una organización de emergencia y
1- ¿Que diferencia y similitudes existen
entre las metodologías cualitativas y las
cuantitativas? ¿Qué ventajas y que
inconvenientes tiene?
Diferencias: las cuantitativas se basan en un
modelo matemático numérico que ayuda a la
realización del trabajo, y las cualitativas se
basan en el razonamiento humano capaz de
definir un proceso de trabajo.
Similitudes: ambas van encaminadas a
establecer y mejorar un entramado de
contramedidas que garanticen que la
probabilidad de que las amenizas se
materialicen, sea lo mas baja posible o al
menos quede reducida de una
forma razonable en costo-beneficio, y
también dependen de un profesional.
Ventajas:
- Cualitativas: enfoca lo más amplio, plan de
trabajo flexible y reductivo, se
concentra en la identificación de eventos,
incluye factores intangibles.
- Cuantitativas: enfoca pensamientos
mediante uso de números, facilita la
comparación de vulnerabilidades muy
distintas, proporciona una cifra
justificante para cada contramedida.
Desventajas:
- Cualitativas: depende fuertemente de la
habilidad y calidad del personal
involucrado, puede excluir riesgos
significantes desconocidos, identificación
de eventos reales mas claros al no tener que
aplicar probabilidades complejas
de calcular, dependen de un profesional.
- Cuantitativas: la estimación de
probabilidades dependen de estadísticas
fiables inexistentes, estimación de las
pérdidas potenciales solo si son
valores cuantificables, metodologías
estándares difíciles de mantener o
modificar.
2- ¿Cuáles son los componentes de una
contramedida o control (pirámide de la
seguridad)? ¿Qué papel desempeñan las
herramientas de control? ¿Cuáles son
las herramientas de control mas frecuentes?
Componentes: la normativa, la organización,
las metodologías, los objetivos de control,
los procedimientos de control, tecnologías de
seguridad, las herramientas de control.
- El papel que desempeñan las herramientas
de control que permite definir uno o varios
procedimientos de control para cumplir una
normativa y un objetivo de control.
Herramientas de control más frecuentes:
seguridad lógica del sistema, seguridad lógica
complementaria al sistema, seguridad lógica
para entornos distribuidos, control de
acceso físico, control de copias, gestión de
soporte magnético, gestión y control de
impresión y envío de listados por red, control
de proyectos, control de versiones, control
y gestión de incidencias, control de cambio.
3- ¿Qué tipo de metodologías de plan de
contingencia existen? ¿en que se
diferencian? ¿Qué es un plan de
contingencia?
-Existen dos tipos de metodología plan de
contingencia, que son contingencia
informática y contingencia corporativa.
- Diferencias: la corporativa cubre no sola la
informática sino todos los departamentos
de una entidad, y puede incluir también el
informativo como un departamento más.
-Un plan de contingencia es una estrategia
planificada por un conjunto de recursos de
User ID, para un usuario, para acceder y usar
unos procedimientos de actuación
encaminada a conseguir una restauración
progresiva y ágil de los servicios de negocios
afectados por una paralización total o parcial
de la capacidad operativa de la empresa.
4- ¿Qué metodologías de auditoria
informática existen? ¿Para que se usa cada
una?
Existen dos familias distintas, las auditorias
de controles generales y las metodologías
de los auditores internos.
Las auditorias de controles generales se usan
para obtener una opinión sobre la
fiabilidad de los datos, basadas en pequeños
cuestionarios estándares que dan como
resultados informes muy generalistas. Por
otro lado la metodología de auditor interno
también cumple la misma función pero son
diseñadas por el propio auditor.
5- ¿Qué es el nivel de exposición y para que
sirve?
El nivel de exposición es un indicativo
definido subjetivamente que permite en base
a la
evaluación final de la última auditoria
realizada definir la fecha de la repetición de
la
misma auditoria.
6- ¿Qué diferencias existen entre las figuras
de auditoria informática y control interno
informático? ¿Cuales son las funciones más
importantes de este?
La clara diferencia entre ambos elementos es
que, el control interno monta los controles
del proceso informático, mientras que la
auditoria informática evalúa el grado de
control.
Funciones principales:
- Control interno informático: funciones de
control dual con otros departamentos,
normativa y del cumplimiento del marco
jurídico, responsable del desarrollo y
mantenimiento del plan de contingencias,
controles de coste, controles de medida de
seguridad física o corporativa en la
información.
7- ¿Qué papel tienen las herramientas de
control en los controles?
Las herramientas de control son elementos
software que por sus características
funcionales permiten vertebrar el control de
una manera más actual y más
automatizadas.
8- ¿Cuáles son los objetivos de control en el
acceso lógico?
Segregación de funciones entre los usuarios,
integridad de los “log” e imposibilidad de
desactivarlos por ningún perfil para poder
revisarlos, gestión centralizada de la
seguridad o al menos única, contraseña única
para los distintos sistemas de la red, la
contraseña y archivos con perfiles y derechos
inaccesibles a todos, el sistema debe
rechazar a los usuarios que no usan la clave,
separación de entornos, el log o los log’s
de actividad no podrán desactivarse a
voluntad, el sistema debe obligar a los
usuarios a
cambiar la contraseña y es frecuente
encontrar mecanismos de auto-loguot.
9- ¿Que es el single sing on? ¿Por qué es
necesario un software especial para el
control de acceso en los entornos
distribuidos?
Este concepto lo podemos definir como;
“Que es necesario solamente un password y
un
su información y sus recursos, de todos
los sistemas como si de un solo entorno se
tratara”.
Se necesita un software especial que permita
conseguir en el escenario de los entornos
distribuidos el control como si de un
computador con un solo control de acceso se
tratara, e incluso mejorar el nivel de control y
observar la seguridad lógica total como
un todo.
9- ¿Cuáles son los objetivos de control en
el acceso lógico?
Segregación de funciones entre los usuarios,
integridad de los “log” e imposibilidad
de desactivarlos por ningún perfil para poder
revisarlos, gestión centralizada de
la seguridad o al menos única, contraseña
única para los distintos sistemas de la red,
la contraseña y archivos con perfiles y
derechos inaccesibles a todos, el sistema
debe rechazar a los usuarios que no usan la
clave, separación de entornos, el log o los
log’s de actividad no podrán desactivarse a
voluntad, el sistema debe obligar a los
usuarios a cambiar la contraseña y es
frecuente encontrar mecanismos de auto-
loguot
Que es la certificación de seguridad? ¿Qué
aporta la ISO 17779? ¿Que Metodologia se
utilizan en el desarrollo de un SGSI?
Un certificado de seguridad es una medida
adicional de confianza a los usuarios que
visitan y realizan actividades o transacciones
en una página web. Permite el cifrado de los
datos entre el servidor representante a la
página y los datos del ordenador del usuario.
Un concepto más preciso sería que
un certificado de seguridad logra que los
datos personales de los usuarios queden en
criptados y de esta forma sea imposible por
los demás usuarios interceptarlos.
La ISO 17799 da la pauta en la definición
sobre cuáles metodologías, políticas o
criterios técnicos pueden ser aplicados en el
régimen de manejo de la seguridad de
la información.
Se utiliza la Metodología de PDCA.