You are on page 1of 58

Edgar Eduardo Montenegro 200711554

Introducción a las Metodologías
• Metodología es un conjunto de métodos que se sigue en una investigación científica, o en una exposición doctrinal. Una metodología en un equipo de profesionales es indispensable para el alcance de objetivos homogéneos, como si fuera una sola persona quien hubiera realizado el trabajo de auditoría.

Seguridad de los Sistemas de Información
• • Es la doctrina que trata de los riesgos creados por la informática, La informática crea riesgos de los que hay que proteger a la organización, por lo que se deben crear contramedidas que ayuden a mejorar los puntos débiles de los sistemas informáticos, esto con base en factores básicos para que la contramedida sea efectiva.

Factores de una Contramedida

Deben inspirarse en: • • • Políticas Marco Jurídico Políticas y normas de la empresa • . de lo general a lo particular.Normatividad • Debe definir de forma clara y precisa todo lo que debe existir y ser cumplido. tanto desde el punto de vista conceptual como práctico.

Luis Eduardo Terron Ramos 200711732 .

Define sus metodologías para la evaluación del riesgo y estas son autorizadas por la alta dirección de la organización.Organización • Son personas que tienen funciones específicas y actuaciones concretas dentro del control de riesgos informáticos. . Metodologías • Son los métodos que se utilizan para realizar un examen de riesgo informático. de una forma ordenada y eficaz.

y por lo tanto deben estar documentados y aprobados por la dirección. definir los objetivos del control de riesgos de una auditoría informática.Objetivos de Control • Es uno de los conceptos más importantes. para la consecución de uno o varios objetivos de control. obtenidos con una metodología apropiada. . Procedimientos de Control • Son los procedimientos operativos de las distintas áreas de la empresa. ya que esto ayudará a definir eficazmente las metodologías a utilizar para realizar el examen y evitar los riesgos informáticos.

ya sean hardware o software que ayudarán a controlar un riesgo informático.. .Tecnología de Seguridad • Dentro de la tecnología de seguridad están los elementos. Herramientas de Control • Son elementos de software que permiten definir uno o varios procedimientos de control para cumplir con una normativa y un objeto de control.

Jose Luciano Canel Subuyuj 200813382 .

.Metodologías de Evaluación de Sistemas • Conceptos Fundamentales.

Metodologías • Análisis de Riesgo • Amenaza • Vulnerabilidad • Riesgo • Auditoría Informática • Exposición o Impacto .

Beneficios de las Metodologías ESTABLECER Y MEJORAR CONTRAMEDIDAS MATERIALIZA CIÓN DE AMENZAS LO MAS BAJO POSIBLE QUEDE REDUCIDA COSTOBENEFICIO .

Mynor Isai Revolorio 200711484 .

Tipos de Metodología Las metodologías se agrupan en dos grandes familias. siendo estas las siguientes: • • Cuantitativas Cualitativas .

Metodologías Cuantitativas Basadas en un modelo matemático numérico que ayuda a la realización del trabajo. . capaz de definir un proceso de trabajo. para seleccionar en base a la experiencia acumulada. Metodologías Cualitativas/Subjetivas Basadas en el criterio y raciocinio humano.

Puede existir riesgos significativos desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Porporciona una cifra "justificante" para cada contramedida. Facilita la comparación de vulnerabilidades muy distitnas. Depende fuertemente de la habilidad y calidad del personal involucrado. Difíciles de mantener o modificar. Estimación de las pérdidas potenciales solo si son valores cuantificables. Plan de trabajo flexible y reactivo. Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular. C O N T R A S Estimación de probabilidad depende de estadísticas fiables inexistentes.P R O S Cuantitativa Enfoca pensamientos mediante el uso de números. Dependencia de un profesional . Cualitativa / Subjetiva Enfoque lo amplio que se desee. Metodologías estándares. Dependencia de un profesional. Se concentra en la identifiación de eventos. Incluye factores intangibles.

Jerson Leonel Chavez Martinez 200812163 .

Metodologías más Comunes • Análisis de Riesgos • Plan de Contingencias • Controles Generales .

Análisis de Riesgos 1 • Cuestionario • Identificación de los Riesgos 2 3 • Calcular el Impacto • Identificar las contramedidas y el Coste • Simulaciones • Creación de los Informes 4 5 6 .

Plan de Contingencias .

Jonathan David Cuxun Hernández 200613030 .

. van encaminadas a establecer y mejorar un medidas que garanticen que la productividad y que las amenazas sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio. Todas las metodologías existentes en seguridad de sistemas.Metodología de Auditoría en Informática Se encarga de identificar el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma.

el resultado forma parte del informe de auditoría. . • Metodología de los Auditores Internos: Esta metodología debe ser diseñada y desarrollada por el propio auditor interno y esta será la significación de su grado de experiencia y habilidad. Están basados en pequeños cuestionarios estándares que dan resultados muy generales. Crea cuestionarios genéricos con una orientación de controles a revisar.Tipos de Metodología de Auditoría en Informática • Controles Generales: El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera. se hacen notar las vulnerabilidades encontradas.

A.O.  AUDITORIA DE PRODUCTOS En sí las tres metodologías están basadas en la minimización de los riesgos.  R. (RISK ORIENTED APPROACH). que se conseguirá en función de que existan los controles y de que éstos funcionen .Auditoría Informática Basados en Riesgos Existen otros tres tipo de metodología en auditoria interna basados en la minimización de riesgos.  CHECKLIST o cuestionarios. que significa ENFOQUE ORIENTADO A RIESGO diseñada por Arthur Andersen.

Wagner Manuel Perez Boror 200920912 .

Plan Informático del Auditor Es el esquema metodológico más importante del auditor informático. es el documento en que se define esta función y el trabajo que realiza dentro de la entidad en que se encuadra Su contenido debe estar orientado con la estrategia organizativa y con el resto de los planes de los auditores hasta la entrega del informe final .

Etapas del Plan Informático • • • • • • • Definición de ámbito y objetivos Diagnóstico Etapa de justificación Etapa de adecuación Etapa de formalización Etapa de desarrollo e implantación Presentación del informe final .

Roger Castellanos 200513108 .

oportunos. .Control Interno Informático. sus Métodos y Procedimientos. las Herramientas de Control La función de control se inclina porque los datos sean un fiel reflejo de la realidad. que sean exactos. suficientes.

Clasificación de los Controles de los Sistemas de Información • • • Controles Generales Controles Operativos Controles Técnicos .

Diferencias entre las Funciones de Control Informático y Auditoría Informática Auditoria Informática Control Interno Informático -Vigilancia y evaluación mediante dictámenes. -Tienen sus propios objetivos distintos a los auditores de cuentas -La función de soporte informático de todos los auditores. -Definición de propietarios y perfiles -Promover el Plan de Seguridad Informática -Dictar Normas de Seguridad Informática -Definir los Procedimientos de Control .

Andrea Lisseth Mejia Avalos 200711384 .

Metodología de Clasificación de la Información y Obtención de los Procedimientos de Control .

Clasificación de la Información Características de la Metodología de Prevención de Riesgos Informáticos con Metodología Abierta: • Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos que conllevan a un plan de seguridad. • Posee cuestionarios de preguntas. . • Posee listas de ayuda. • Es fácilmente adaptable a cualquier tipo de herramienta. • Permite fácilmente la generación de informes finales. • Permite que el profesional pueda añadir en la herramienta niveles o jerarquías.

. • Creación de usuarios con perfiles distintos (restricciones) • Definición de jerarquías de la información. • Definición de políticas. • Confección de la matriz de clasificación. • Inventario de información . estándares objetivos de control.Clasificación de la Información Pasos de la Metodología de Prevención de Riesgos Informáticos con Metodología Abierta: • Identificación de la información.

Mayra Carolina Rodríguez Mazariegos 200812879 .

organigramas y funciones. Definición de Objetivos de Control • Tarea 1. Análisis de la Empresa: Se estudian los procesos. tal y como se muestra a continuación: • Fase 1. Recopilación de Estándares: Se estudian todas las fuentes de información necesarias para conseguir definir en la siguiente fase de los objetivos de control a cumplir. • Tarea 2. .Obtención de los Procedimientos de Control El desarrollo de la metodología por medio de los planes de acción y de seguridad permiten que el proceso de obtención de los procedimientos de control se realice a través de fases.

Definir los objetivos de controles.Obtención de los Procedimientos de Control • Fase I. . • Fase II. Definir Controles: Con los objetivos de control definidos. • Tarea 2. Definición de Objetivos de Control • Tarea 3. Definición de Necesidades Tecnológicas: Hardware y herramientas de control. Definición de los Controles • Tarea 1. se analizan los procesos y se va definiendo los distintos controles que se necesiten.

Definición de los Controles • Tarea 3. informática. . control informático y control no informático. Definición de los Procedimientos de Control: Se desarrollan los distintos procedimientos que se generan en las áreas usuarias. Definición de las Necesidades de Recursos Humanos. • Tarea 4.Obtención de los Procedimientos de Control • Fase II.

Obtención de los Procedimientos de Control • Fase III. las herramientas de control y los recursos humanos necesarios. . Implantación de los Controles • Una vez definidos los controles. no resta más que implantarlos en forma de acciones específicas.

Obtención de los Procedimientos de Control Terminado el proceso de implantación de acciones habrá que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes serán: • Procedimientos propios de control de la actividad informática (control interno informático). • Procedimientos de control dual entre control interno informática y el área informática. . los usuarios informáticos. • Procedimientos de distintas áreas usuarias de la informática. • Procedimientos de áreas informáticas. y el área de control no informático. mejorados. mejorados.

Victor Eduardo Coyoy Hernández 200418474 .

Las Herramientas de Control .

Evaluación de las Herramientas de Control .

Análisis de Plataformas Análisis de las Aplicaciones .

Facilidad y Uso Necesidad de Usuarios Seguridad y Control .

Eliezer Isaac de León Ayala 200813188 .

Ejemplo de Metodología de Auditoría de una Aplicación Objetivos: • Determinar que los sistemas produzcan información exacta y completa en el momento oportuno. planes y presupuestos contenidos en el plan de sistemas de información sobre la aplicación a auditar. . • Emitir opinión sobre el cumplimiento de los objetivos.

. • Obtener un conocimiento detallado de la aplicación o sistema.Ejemplo de Metodología de Auditoría de una Aplicación Programación de la Revisión: • Verificar y evaluar las actividades de los procesos que se desarrollan dentro del área. • Evaluar las funciones del área.

• Implementación de las medidas de seguridad. • Riesgos Actuales • Problemas específicos. se emite un informe previo de los puntos principales de la revisión.Ejemplo de Metodología de Auditoría de una Aplicación Informe Previo: • Para mantener una relación buena con el área revisada. . Informe Final: • Opinión global (conclusión).

Ami Saraí Palacios 200116153 .

• La dependencia de los equipos de computación es que justifica la aplicación. • El papel del auditor es muy importante.Conclusiones • Es una doctrina que trata del Riesgo. .

Maria Lucrecia Mérida Barrios 9411374 .

Recomendaciones Existen diferentes metodologías para realizar un sistema de seguridad de la información entre ellas se pueden mencionar la Auditoría en Informática y Análisis de Riesgos. . la primera solamente se limita a identificar la inexistencia de controles mientras que en la de riesgos provee una evaluación y recomienda acciones con base al beneficio de las mismas. de dichas metodologías la más acertada para la salvaguarda de la información es la de Análisis de Riesgos.

contar con un método garantiza que el auditor pueda trabajar en equipo y que la obtención de resultados sean de calidad. el plan del auditor informático es el documento que definirá el trabajo que se ha de realizar. .Recomendaciones La auditoría informática efectúa sus actividades mediante una metodología. es por ello que se recomienda seguir un esquema metodológico.