Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Introducción a la Auditoría Informática: Objetivos, Principios y Controles, Diapositivas de Informática

Angélica González, licenciada en Computación y consultora de seguridad de la información en GAS & OIL, presenta una introducción a la auditoría informática. En este documento, aprenderás los principios básicos de la auditoría informática, promocionaremos su importancia para el manejo de riesgos tecnológicos en la sociedad digital y te proporcionaremos información sobre ciberataques, vulnerabilidades y controles. Además, te brindaremos casos internacionales de ciberataques y tipos de ciberataques, así como las normativas internacionales más relevantes para la gestión de ciberseguridad.

Tipo: Diapositivas

2019/2020

Subido el 05/11/2020

angelica-g-2
angelica-g-2 🇲🇽

2 documentos

1 / 15

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Introducción a la
Auditoría
Informática
Introducci
Introducció
ón a la
n a la
Auditor
Auditorí
ía
a
Inform
Informá
ática
tica
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff

Vista previa parcial del texto

¡Descarga Introducción a la Auditoría Informática: Objetivos, Principios y Controles y más Diapositivas en PDF de Informática solo en Docsity!

Introducción a la

Auditoría

Informática

Introducci^ Introducci

óó

n a lan a la

Auditor^ Auditor

íaía

Inform^ Inform

áá

ticatica

FACILITADORA

Ang^ Ang

élica Gonzélica Gonz

álezález

  • Licenciada en Computación, egresada de La Universidad del Zulia (LUZ) –> Punto Fijo* 14 años de experiencia en la industria petrolera (PDVSA) en el área Informática y Ciberseguridad.* Cargo Actual: Consultora de Seguridad de la Información (GAS & OIL) –> Red corporativa e industrial* Facilitadora en el proceso de formación en el área de Seguridad de la Información y Ciberseguridad.* Certificaciones Internacionales relevantes:AENOR -> España
  • Gestión de Riesgos (ISO 31000 )- Sistema de Gestión de Continuidad del Negocio (ISO 22301)- Sistema de Gestión de Seguridad de la Información(ISO 27001, ISO 27004, ISO 27005)Fondonorma -> VenezuelaAuditoría en Sistemas de Gestión (ISO 19001)CAES -> Costa Rica Software Testing

(Pruebas de Sistemas)

Global Secure -> Chile^ Security Intrusion Auditor

(auditoría de seguridad y pruebas de intrusión) y hacker ético

Google -> EEUU^ Marketing Digital

Agenda 01 Transformación digital yuso de datos Ciberataques 02 internacionales 03 Vulnerabilidades y riesgos Controles 04 Ciberseguridad 05 Retos de ciberseguridad 06

RIESGO

Agenda 01 Transformación digital yuso de datos Ciberataques 02 internacionales 03 Vulnerabilidades y riesgos Controles 04 Ciberseguridad 05 Retos de ciberseguridad 06

RIESGO

Transformación digital y uso de datos

IoT / IIoT

IA^ blockchain big data

Cloud

IOT / IIoT El comité IEEE describió lafrase «Internet de lasCosas» como:Una red de elementos –cada uno integrado consensores – que estánconectados a Internet. Aplica: -Hogar-Industrias

-Empresas <>

VIDEO

32.45$15% Ciberataque a nivel 01 personal (^0203) Ciberataque a nivelempresarial Ciberataque a nivelindustrial Ciberataques Internacionales^0102

Tipos de ciberataques Cibercrimen Casos Internacionales de ciberataques

: Utiliza tecnicas como el phishing para hurtar la identidad de personas o empresas pararealizar fraudes bancarios y/o comercio electrónico. Hacktivismo

: Atacan páginas de empresas o del gobierno con el objetivo ideológico, social, entre losmas conocidos se encuentra Anonymous. Ciberespionaje

: Compromete la ciberseguridad en las empresas para hurtar información sensible yvaliosa: financiera, clientes, empleados queposteriormente puede venderse a muy altos costos. Ciberterrorismo

: Ataques dirigidos contra gobiernos o países, afectando a servicios como salud ,defensae infraestructuras de gran importancia.

Gesti NormativasInternacionales

ón^

de

Ciberseguridad

ISO 27001 Sistema de Gestión deSeguridad de Información ISO 27002 Código de Buenas Prácticas ISO 27017 – ISO 27018 Seguridad Cloud

ISO 31000 Directrices para lagestión de riesgos ISO 25012 Calidad del Dato

ISO 27032 Gestión de Ciberseguridad

ISO 22301 Gestión de la Continuidaddel Negocio IEC 62443 Seguridad en los sistemasde control Industrial

RGPD: Reglamento Generalde Protección de datos

ISO 27004 Métricas de Seguridadde Información

Existen diversos controles a implementar para diferentes escenarios de riesgosque pueden referirse en las normativas internacionales: ISO 27001, ISO 27002,ISO 22301, ISO/IEC 27032, ISO 27017,ISO 27018, ISO 25012, ISO 31000, IEC62443 , RGPD.Entre los controles mas comunes referidos en las arquitecturas y consultorías deseguridad, se destacan los siguientes:•Monitoreo de la red • Escaneo de vulnerabilidades técnicas • Hackeo ético, auditoría técnica y Pentest • Aseguramiento de desarrollo de aplicaciones • Capacitación de seguridad al talento humano a todos los niveles de laorganización • Marco de administración de riesgos tecnológicos • Diseño y pruebas de planes de contingencias • Seguridad en cloud , moviles y gestión de riesgos de proveedores • Cifrado de datos confidenciales • Cumplimiento legal • Seguridad física y ambiental

Controles

Gesti

ón^

de

Ciberseguridad

  • Arquitectura de Seguridad enSistema de Control Industrial TI 6 5 4 TO

Retos de ciberseguridad

-^ Aumentar capacitación del talento humano y realizar auditoríastécnicas (Pentest y hacking ético) •^ Reforzar la detección y respuesta de incidentes •^ Fortalecer el monitoreo de amenazas internas y externas •^ Incorporar el análisis predictivo y la inteligencia artificial para losanálisis de riesgos con el uso de BIG DATA •^ Mantener análisis de vulnerabilidades técnicas •^ Aplicar controles de acceso lógicos en la red y monitorear los accesosdesde dispositivos móviles. •^ Cifrar el envío de la información confidencial hacia la nube •^ Auditar el cumplimiento de políticas y contratos de proveedores deservicios •^ Elaborar y auditar los planes de contingencias para validar lacapacidad de respuesta ante incidentes •^ Revisar el comportamiento de los usuario y los datos en los sistemas