Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Riesgos tecnologicos, Apuntes de Auditoría

Aspectos importantes para determinar un riesgo tecnologíco

Tipo: Apuntes

2017/2018

Subido el 10/02/2023

erick-sierra-1
erick-sierra-1 🇧🇴

1 / 6

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Gestión de Riesgos - Auditoría de Sistemas
Evaluación de riesgos
Identificación y evaluación de los riesgos mas relevantes que pueden provocar la
interrupción de los procesos críticos, los cuales deben ser considerados en la
estrategia de recuperación.
Amenazas y vulnerabilidades más relevantes que puedan generar
interrupciones en los procesos críticos.
Activos importantes para los procesos críticos: Proceso/Gente,
aplicaciones, registros vitales, infraestructura, instalaciones.
Clasificación de los activos por su nivel de criticidad o relevancia para el
negocio y la probabilidad de que se vean afectados por algún evento
Identificar medidas de mitigación de riesgos necesarias
Activos
Son Activos, los recursos del sistema de información o relacionados con
éste, necesarios para que la Organización funcione correctamente y alcance los
objetivos propuestos por su dirección.
El activo esencial es la información que maneja el sistema; o sea los datos.
Y alrededor de estos datos se pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los
servicios que se necesitan para poder gestionar dichos datos.
Las aplicaciones informáticas (software) que permiten manejar los
datos.
Los equipos informáticos (hardware) que permiten hospedar datos,
aplicaciones y servicios.
Los soportes de información que son dispositivos de
almacenamiento de datos.
El equipamiento auxiliar que complementa el material informático.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informáticos y de
comunicaciones.
Las personas que explotan u operan todos los elementos
anteriormente citados.
pf3
pf4
pf5

Vista previa parcial del texto

¡Descarga Riesgos tecnologicos y más Apuntes en PDF de Auditoría solo en Docsity!

Gestión de Riesgos - Auditoría de Sistemas

Evaluación de riesgos

Identificación y evaluación de los riesgos mas relevantes que pueden provocar la interrupción de los procesos críticos, los cuales deben ser considerados en la estrategia de recuperación.  Amenazas y vulnerabilidades más relevantes que puedan generar interrupciones en los procesos críticos.  Activos importantes para los procesos críticos: Proceso/Gente, aplicaciones, registros vitales, infraestructura, instalaciones.  Clasificación de los activos por su nivel de criticidad o relevancia para el negocio y la probabilidad de que se vean afectados por algún evento  Identificar medidas de mitigación de riesgos necesarias

Activos

 Son Activos, los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.  El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes:  Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.  Las aplicaciones informáticas (software) que permiten manejar los datos.  Los equipos informáticos (hardware) que permiten hospedar datos, aplicaciones y servicios.  Los soportes de información que son dispositivos de almacenamiento de datos.  El equipamiento auxiliar que complementa el material informático.  Las redes de comunicaciones que permiten intercambiar datos.  Las instalaciones que acogen equipos informáticos y de comunicaciones.  Las personas que explotan u operan todos los elementos anteriormente citados.

Clasificación de Activos

Considerando la NTP 17799: La clasificación se realiza mediante el proceso siguiente:  Por Naturaleza  Se determina la clase de Activo a la que pertenece: Tangible, Intangible o Servicios de TI. Esta clasificación permite:  identificar la cantidad de activos que posee la empresa.  identificar cuál es la clase de activo más importante de la empresa.  Por Ponderación  La clasificación por Ponderación es la continuación de la Clasificación por Naturaleza, ya que una vez identificado que clase de activos posee la empresa, debemos hacer una ponderación de qué clase de activo es la más importante.  Esta ponderación estará sujeta a la siguiente tabla: Nivel Descripción 5 Máxima Importancia 4 Muy Importante 3 Moderadamente Importante 2 Puede ser Importante 1 No es Importante Clase de activo Entorno de TI global Nombre del activo Clasificación de activo Tangible Infraestructura física Centro de datos 5 Tangible Infraestructura física Servidores 5 Tangible Infraestructura física Equipos de escritorio 3 Tangible Infraestructura física Equipos móviles 2 Tangible Infraestructura física Teléfonos móviles 2 Tangible Infraestructura física Enrutadores 4 Tangible Infraestructura física Conmutadores de red 3 Tangible Infraestructura física Equipos Fax 1 Tangible Infraestructura física Medios extraíbles (por ejemplo, cintas, disquetes, CD- ROM, DVD, discos duros, portátiles, dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.) 4 Intangible Reputación 3 Intangible Buena Voluntad 3 Intangible Moral de empleados 3 Intangible Productividad de empleados 4

Amenaza

 Causa potencial de un incidente no deseado que puede resultar en daño al sistema u organización (NTP-ISO/IEC 17799)  Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos.  Condición del entorno del sistema de información que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad.  Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.  No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.

Nivel de Riesgo

Consideren que está metodología está basda en la NTP 17799:

 Valoración del Riesgo

Para hacer el cálculo del riesgo se utilizará un semáforo de comparación entre Impacto y Probabilidad.