SlideShare una empresa de Scribd logo

Metodologia prima

Descargar como PPTX, PDF
Paolita Gomez
Paolita Gomez
1 de 23
METODOLOGIA PRIMA DIANA BUITRAGO DIANA CHAVEZ LICETH CORREA LIZETH CELIS GENNY GOMEZ
INTRODUCCIÓN A LAS METODOLOGÍAS Seguridad de los Sistemas de Información: es la doctrina que trata de los riesgos informáticos o creados por la informática. La informática crea unos riesgos informáticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas. Para explicar este aspecto diremos que cualquier contramedida nace de la composición de varios factores expresados en el siguiente grafico:
METODOLOGIA PRIMA Es una metodología de clasificación de la información y de obtención de los procedimientos de control. PRIMA define: Estratégica (información muy restringida, muy confidencial, vital para la subsistencia de la empresa). Restringida ( a los propietarios de la información). De uso interno (a todos los empleados). De uso general (sin restricción)
PASOS DE LA METODOLOGIA PRIMA Identificación de la información Inventario de entidades de información residentes y operativas. Inventario de programas, ficheros de datos, soportes de información. Identificación de propietarios. Son los que necesitan para su trabajo, usan o custodian la información. Definición de jerarquías de información. Suelen ser cuatro. Definición de la matriz de clasificación. Consiste en definir las políticas, estándares por tipos y jerarquías de información.
Confección de la matriz de clasificación. Se relaciona cada entidad de información con los elementos que se correlacionan (transacción, ficheros, soportes, propietarios, jerarquía) Realización del plan de acciones. Se confecciona el plan de acciones. Implantación y mantenimiento. Se implanta el plan de acciones y se mantiene actualizado.
INTRODUCCIÓN A LAS METODOLOGÍAS NORMATIVA, debe definir todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual, cómo práctico. ORGANIZACIÓN, es la que integran personas con funciones específicas y con actuaciones concretas; éste es el aspecto más importante, dado que in él, nada es posible. METODOLOGÍAS, son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL
CONCEPTOS FUNDAMENTALES Todos estos riesgos podemos: Evitarlos no construir un centro donde hay peligro constante de inundaciones. Transferirlos  uso de un centro de calculo contratado. Reducirlos  sistema de detección y extinción de incendios. Asumirlos  que es lo que hacemos si no se controla el riesgo en absoluto.
TIPOS DE METODOLOGIAS Metodologías Cuantitativas Basadas en un modelo matemático numérico que ayuda a la realización de trabajo.
Metodologías Cualitativas/Subjetivas Basadas en métodos estadísticos y raciocinio humano. Precisan de la involucración de un profesional experimentado. Pero requieren menos recursos humanos que las metodologías cuantitativas.
Plan de Seguridad: es una estrategia planificada de acciones y productos que lleven a un sistemas de información y sus centros de proceso de una situación inicial determinada a una situación mejorada. en el siguiente grafico se observará la tendencia actual en la organización de la seguridad de sistemas en la empresa. Organización Interna de la Seguridad Informática
Sistema de control interno informático Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
Clasificación de los objetivos de los controles informáticos Preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
Implantación de un sistema de controles internos informáticos Los controles pueden implantarse a varios niveles diferentes. La evaluación de los controles de la Tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuración del sistema, con el objeto de identificar los elemntos, productos y herramientas que existen para saber donde pueden implantarse controles, asi como para identificar posibles riesgos.
PRIMA(PREVENCIÓN DE RIESGOS INFORMÁTICOS CON METODOLOGÍA ABIERTA) Características esenciales. Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos necesarios de un plan de seguridad Fácilmente adaptable a cualquier tipo de herramienta Posee cuestionarios de preguntas para la identificación de debilidades o faltas de controles Posee listas de ayuda para los usuarios menos experimentados de debilidades, riesgos y contramedidas Permite fácilmente la generación de informes finales Las listas de ayuda y los cuestionarios son abiertos
OBEJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos , este es el segundo más importante.PROCESAMIENTO: son los procedimientos operativos de las distintas áreas de la empresa, la tendencia habitual de los informáticos es la de dar más peso a las herramientas que al control o contramedida, pero no debemos olvidar que: “UNA HERRAMIENTA NUNCA ES UNA SOLUCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR”
TECNOLOGÍAS DE SEGURIDAD: es donde están todos los elementos ya sean Hardware o software, que ayudan a controlar un riesgo informático. LAS HERRAMIENTAS DE CONTROL: son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control
METODOLOGIAS MAS COMUNES Las metodologías más comunes de evaluación de sistemas que podemos encontrar son de análisis de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las de auditoría de controles generales.
MARION RISCKPAC CRAMM PRIMA
MARION Método cuantitativo que se basa en esperanzas matemáticas y no en probabilidades. Está documentado en dos libros franceses. Hay dos productos: MARION AP+ y MARION RSX.
MARION AP+ Utiliza cuestionarios y parámetros correlacionados enfocados a la representación gráfica de las distintas soluciones de contramedidas en cada uno de los factores.
RISCKPAC Metodología cualitativa / Subjetiva, estructurada en tres niveles: Entorno / Procesador / Aplicación
CRAMM Desarrollado entre 1985 y 1987 por BIS Y CCTA Metodología cualitativa y permite hacer análisis.
PRIMA Prevención de Riesgos Informáticos con Metodología Abierta ,[object Object]

Recomendados

Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Karla Ordoñez
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaNancy Gamba Porras
 
Tema 3
Tema 3Tema 3
Tema 3Carmelo Branimir España Villegas
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 
Auditora de-redes
Auditora de-redesAuditora de-redes
Auditora de-redesalexaldaz5
 
Peti Metodologia
Peti MetodologiaPeti Metodologia
Peti Metodologiafabiolaidrogo
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 

Recomendados

Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Karla Ordoñez
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaNancy Gamba Porras
 
Tema 3
Tema 3Tema 3
Tema 3Carmelo Branimir España Villegas
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 
Auditora de-redes
Auditora de-redesAuditora de-redes
Auditora de-redesalexaldaz5
 
Peti Metodologia
Peti MetodologiaPeti Metodologia
Peti Metodologiafabiolaidrogo
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo1416nb
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informaticonehifi barreto
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Anabel Jaramillo
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionJUNJI - Junta Nacional de Jardines Infantiles
 
PERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOPERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOivanvelascog
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Valores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticosValores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticosDoraliza Veloz
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaGabriela Mariangel Valderrama Hernandez
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Informe Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaInforme Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaJose Rafael
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAAnabel Jaramillo
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOGiovani Roberto Gómez Millán
 
Métodos predictivos y Descriptivos - MINERÍA DE DATOS
Métodos predictivos y Descriptivos - MINERÍA DE DATOSMétodos predictivos y Descriptivos - MINERÍA DE DATOS
Métodos predictivos y Descriptivos - MINERÍA DE DATOSlalopg
 
Marco jurídico de la auditoría informática
Marco jurídico de la auditoría informáticaMarco jurídico de la auditoría informática
Marco jurídico de la auditoría informáticaGalo Lalangui
 
Auditoria explotacion
Auditoria explotacionAuditoria explotacion
Auditoria explotacionmariadiazsandoval
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control internoRolando Arguello
 

Más contenido relacionado

La actualidad más candente

Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo1416nb
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informaticonehifi barreto
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Anabel Jaramillo
 
PERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOPERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOivanvelascog
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Valores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticosValores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticosDoraliza Veloz
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Informe Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaInforme Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaJose Rafael
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAAnabel Jaramillo
 
Métodos predictivos y Descriptivos - MINERÍA DE DATOS
Métodos predictivos y Descriptivos - MINERÍA DE DATOSMétodos predictivos y Descriptivos - MINERÍA DE DATOS
Métodos predictivos y Descriptivos - MINERÍA DE DATOSlalopg
 
Marco jurídico de la auditoría informática
Marco jurídico de la auditoría informáticaMarco jurídico de la auditoría informática
Marco jurídico de la auditoría informáticaGalo Lalangui
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 

La actualidad más candente (20)

Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informatico
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De Informacion
 
PERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOPERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICO
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Valores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticosValores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticos
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Informe Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaInforme Sobre Auditoria Informatica
Informe Sobre Auditoria Informatica
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICA
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
Métodos predictivos y Descriptivos - MINERÍA DE DATOS
Métodos predictivos y Descriptivos - MINERÍA DE DATOSMétodos predictivos y Descriptivos - MINERÍA DE DATOS
Métodos predictivos y Descriptivos - MINERÍA DE DATOS
 
Marco jurídico de la auditoría informática
Marco jurídico de la auditoría informáticaMarco jurídico de la auditoría informática
Marco jurídico de la auditoría informática
 
Auditoria explotacion
Auditoria explotacionAuditoria explotacion
Auditoria explotacion
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 

Similar a Metodologia prima

Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control internoRolando Arguello
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgosAlexLeonardoCantillo
 
Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3GLENIAMARIA
 
Presentacion2
Presentacion2Presentacion2
Presentacion2AGCR22
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
COBIT / INVESTIGACION 2
COBIT / INVESTIGACION 2COBIT / INVESTIGACION 2
COBIT / INVESTIGACION 2MERCADEO2009
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfFabianaOcchiuzzi2
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxDanny Israel Ligua Heras
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica1803127313001
 

Similar a Metodologia prima (20)

Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control interno
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgos
 
Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
 
COBIT / INVESTIGACION 2
COBIT / INVESTIGACION 2COBIT / INVESTIGACION 2
COBIT / INVESTIGACION 2
 
Seguridad
Seguridad Seguridad
Seguridad
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Actividad 3.metodos pptx
Actividad 3.metodos pptxActividad 3.metodos pptx
Actividad 3.metodos pptx
 
Actividad 3.metodos pptx
Actividad 3.metodos pptxActividad 3.metodos pptx
Actividad 3.metodos pptx
 
Seguridad de la informática
Seguridad de la informáticaSeguridad de la informática
Seguridad de la informática
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 

Metodologia prima

  • 1. METODOLOGIA PRIMA DIANA BUITRAGO DIANA CHAVEZ LICETH CORREA LIZETH CELIS GENNY GOMEZ
  • 2. INTRODUCCIÓN A LAS METODOLOGÍAS Seguridad de los Sistemas de Información: es la doctrina que trata de los riesgos informáticos o creados por la informática. La informática crea unos riesgos informáticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas. Para explicar este aspecto diremos que cualquier contramedida nace de la composición de varios factores expresados en el siguiente grafico:
  • 3. METODOLOGIA PRIMA Es una metodología de clasificación de la información y de obtención de los procedimientos de control. PRIMA define: Estratégica (información muy restringida, muy confidencial, vital para la subsistencia de la empresa). Restringida ( a los propietarios de la información). De uso interno (a todos los empleados). De uso general (sin restricción)
  • 4. PASOS DE LA METODOLOGIA PRIMA Identificación de la información Inventario de entidades de información residentes y operativas. Inventario de programas, ficheros de datos, soportes de información. Identificación de propietarios. Son los que necesitan para su trabajo, usan o custodian la información. Definición de jerarquías de información. Suelen ser cuatro. Definición de la matriz de clasificación. Consiste en definir las políticas, estándares por tipos y jerarquías de información.
  • 5. Confección de la matriz de clasificación. Se relaciona cada entidad de información con los elementos que se correlacionan (transacción, ficheros, soportes, propietarios, jerarquía) Realización del plan de acciones. Se confecciona el plan de acciones. Implantación y mantenimiento. Se implanta el plan de acciones y se mantiene actualizado.
  • 6. INTRODUCCIÓN A LAS METODOLOGÍAS NORMATIVA, debe definir todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual, cómo práctico. ORGANIZACIÓN, es la que integran personas con funciones específicas y con actuaciones concretas; éste es el aspecto más importante, dado que in él, nada es posible. METODOLOGÍAS, son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL
  • 7. CONCEPTOS FUNDAMENTALES Todos estos riesgos podemos: Evitarlos no construir un centro donde hay peligro constante de inundaciones. Transferirlos  uso de un centro de calculo contratado. Reducirlos  sistema de detección y extinción de incendios. Asumirlos  que es lo que hacemos si no se controla el riesgo en absoluto.
  • 8. TIPOS DE METODOLOGIAS Metodologías Cuantitativas Basadas en un modelo matemático numérico que ayuda a la realización de trabajo.
  • 9. Metodologías Cualitativas/Subjetivas Basadas en métodos estadísticos y raciocinio humano. Precisan de la involucración de un profesional experimentado. Pero requieren menos recursos humanos que las metodologías cuantitativas.
  • 10. Plan de Seguridad: es una estrategia planificada de acciones y productos que lleven a un sistemas de información y sus centros de proceso de una situación inicial determinada a una situación mejorada. en el siguiente grafico se observará la tendencia actual en la organización de la seguridad de sistemas en la empresa. Organización Interna de la Seguridad Informática
  • 11. Sistema de control interno informático Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
  • 12. Clasificación de los objetivos de los controles informáticos Preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
  • 13. Implantación de un sistema de controles internos informáticos Los controles pueden implantarse a varios niveles diferentes. La evaluación de los controles de la Tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuración del sistema, con el objeto de identificar los elemntos, productos y herramientas que existen para saber donde pueden implantarse controles, asi como para identificar posibles riesgos.
  • 14. PRIMA(PREVENCIÓN DE RIESGOS INFORMÁTICOS CON METODOLOGÍA ABIERTA) Características esenciales. Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos necesarios de un plan de seguridad Fácilmente adaptable a cualquier tipo de herramienta Posee cuestionarios de preguntas para la identificación de debilidades o faltas de controles Posee listas de ayuda para los usuarios menos experimentados de debilidades, riesgos y contramedidas Permite fácilmente la generación de informes finales Las listas de ayuda y los cuestionarios son abiertos
  • 15. OBEJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos , este es el segundo más importante.PROCESAMIENTO: son los procedimientos operativos de las distintas áreas de la empresa, la tendencia habitual de los informáticos es la de dar más peso a las herramientas que al control o contramedida, pero no debemos olvidar que: “UNA HERRAMIENTA NUNCA ES UNA SOLUCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR”
  • 16. TECNOLOGÍAS DE SEGURIDAD: es donde están todos los elementos ya sean Hardware o software, que ayudan a controlar un riesgo informático. LAS HERRAMIENTAS DE CONTROL: son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control
  • 17. METODOLOGIAS MAS COMUNES Las metodologías más comunes de evaluación de sistemas que podemos encontrar son de análisis de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las de auditoría de controles generales.
  • 19. MARION Método cuantitativo que se basa en esperanzas matemáticas y no en probabilidades. Está documentado en dos libros franceses. Hay dos productos: MARION AP+ y MARION RSX.
  • 20. MARION AP+ Utiliza cuestionarios y parámetros correlacionados enfocados a la representación gráfica de las distintas soluciones de contramedidas en cada uno de los factores.
  • 21. RISCKPAC Metodología cualitativa / Subjetiva, estructurada en tres niveles: Entorno / Procesador / Aplicación
  • 22. CRAMM Desarrollado entre 1985 y 1987 por BIS Y CCTA Metodología cualitativa y permite hacer análisis.
  • 23.
  • 24. Fácil adaptación a cualquier tipo de herramienta
  • 25. Cuestionarios que faciliten identificar las debilidades o faltas.