Ejecución De Una Auditoría De Sistemas De Información
Enviado por rollandram10 • 26 de Enero de 2014 • 1.190 Palabras (5 Páginas) • 346 Visitas
Objetivo:
• Contestar las preguntas de la actividad y dar ejemplos.
• Elaborar un reporte.
Procedimiento:
1. Revisar los temas correspondientes al modulo.
2. Analizar la actividad a realizar.
3. Buscar más información para completar en aprendizaje.
4. Desarrollar la actividad.
5. Finalmente concluir.
Resultados:
Como en toda planeación, dentro de la auditoría también se debe tomar en cuenta los riesgos en la organización, por lo que es preciso identificar los diferentes tipos de riesgos a los que la organización es susceptible; así como el proceso de administración de riesgos y el método de análisis de los mismos.
Así mismo, han de marcarse los diferentes objetivos en la auditoría y las pruebas que al final respaldan todos los hallazgos. Los resultados de la empresa deben de estar respaldados por evidencia y, a su vez, por pruebas que demostrarán si los procesos de la organización funcionan adecuadamente.
Al terminar la auditoría se debe de presentar un informe con los resultados y hallazgos de la auditoría con la administración de la organización en la cual se ha de lograr su validación y compromisos para darle seguimiento a los hallazgos
Conforme a la actividad integradora, a continuación identificamos los conceptos que se plantean:
¿Qué es el análisis del riesgo?
Consiste en la detección de las amenazas, las cuales pueden ser operacionales, financieras, del entorno, etcétera. Pero independientemente de su naturaleza, el objetivo será proteger la confidencialidad, integridad y disponibilidad de la información y de la infraestructura de la organización.
Se documentan y se ponen prioridades de los riesgos actuales, incluyendo los desastres naturales y los errores provocados por la mano del hombre, debe incluir los apartados necesarios donde se calculen los riesgos de algún suceso y que dañen toda la infraestructura informática.
Enumera 3 riesgos que identifiques en una sucursal de banco (respecto a seguridad de la información e infraestructura de TI)
Gusanos:
Los gusanos informáticos, son un tipo de virus que tienen la particularidad de auto propagarse ellos mismos, ósea que no necesitan de ningún otro virus ni usuario malicioso para infectar ordenadores y Pc´s.
Bombas lógicas:
Programas o códigos maliciosos que tras ser introducidos en el ordenador de la víctima, se activan a la espera de producirse un evento o situación determinada en el futuro. Es lo más parecido a una mina anti persona que espera pacientemente en el disco duro de la víctima hasta que llega la fatal fecha para la que ha sido programada.
Intercepción de líneas, por grabación de llamadas durante la transmisión:
Las llamadas se graban o escuchan en el punto final de transmisión
La contraparte no tiene un nivel de seguridad adecuado, se pueden grabar las llamadas desde el conmutador, cajas de cableado y micrófonos en el equipo u oficina.
Determina las diferencias entre las técnicas para la determinación de los riesgos.
• Aceptar el riesgo. Cuando la administración decide que el beneficio es mayor que el riesgo.
• Reducirlo. Aplicar acciones y métodos para minimizar la ocurrencia de las amenazas.
• Transferirlo. Adquiriendo un seguro para proteger los activos.
• Rechazarlo. No hacer nada ni tomar medidas preventivas esperando que el riesgo no se presente.
Identifica que técnicas utilizarías en los riesgos que enumeraste.
Consideramos que sería mejor reducirlo.
Redacta el proceso de administración de riesgos que aplicación.
Nos parece que las amenazas más peligrosas proceden del interior de la empresa, especialmente de los propios empleados, este es un riesgo que antes no se contemplaba. Así, la confidencialidad de los datos puede verse comprometida, por lo que además de establecer y actualizar controles como antivirus y firewalls será necesario concientizar a los colaboradores sobre la necesidad de aceptar los valores de la empresa y desarrollarlos en su vida, como parte de la cultura organizacional.
¿Por qué es importante establecer el objetivo de la auditoría?
Para saber qué es lo que vamos a realizar, por ejemplo la auditoría puede enfocarse a verificar el cumplimiento de leyes y estándares o revisar la confirmación
...