SlideShare una empresa de Scribd logo

Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..

U
U
UNIVERSIDAD TECNICA PARTICULAR DE LOJAUNIVERSIDAD TECNICA PARTICULAR DE LOJA

AUTOEVALUACIONES Y EVALUACIONES DE: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN, METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SI YDEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI.

Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..

1 de 12
Descargar para leer sin conexión
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
UNIDAD 1: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE
INFORMACIÓN.
Conteste correctamente la siguiente autoevaluación (seleccione una respuesta
correcta en cada pregunta de múltiples opciones o caso contrario conteste V si es
verdadero o F si es falso):
1. (F) El Control Interno Informático asegura que las medidas de los mecanismos
implantados sean solamente correctas.
2. (F) La Auditoría Informática es el proceso de recoger evidencias para
determinar si un control es válido.
3. (V) Los informes del Control Interno Informáticos son enviados a la Dirección de
Departamento de Informática.
4. (V) Los Controles Detectivos son usados para conocer donde está la falla
porque el control preventivo no funcionó.
5. (F) Los Controles Correctivos son usados para evitar que ciertos riesgos del
sistema de información se ejecuten.
6. Cuál de los controles de la siguiente lista no es un control general organizativo.
a. Estándares
b. Políticas
c. Metodología del Ciclo de Vida
d. Políticas del Personal
7. Dentro de los controles generales organizativos – planificación, a que planes se
debe efectuar el control:
a. Plan a corto, mediano y largo plazo.
b. Plan Estratégico de Información, Informático, General de Seguridad y de
emergencia de desastre.
c. Plan de gestión de recursos.
d. Plan de procedimientos de elección de sw y hw.
8. (V) El auditor es el responsable de revisar e informar a la Dirección de
Informática el funcionamiento de los controles implantados.
9. (F) La Dirección de Informática, define las directrices para los sistemas de
información en base a la exigencia del negocio, que podrán ser internas o
externas.
10. (F) El Plan Informático, garantiza la confidencialidad, integridad y
disponibilidad de la información.
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
CUESTIONARIO DE REPASO DEL TEXTO
1. ¿Qué cambios en las empresas provocan tensión en el control interno
existente?
*La restauración de los procesos empresariales
* La gestión de la calidad total
* El rendimiento por reducción o por aumento del tamaño hasta el nivel
correcto
*La concentración externa
* La descentralización
2. ¿Cuáles son las funciones del control interno informático?
* Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, asegurándose de su cumplimiento.
* Asesorar sobre el conocimiento de las normas.
* Colaborar y apoyar el trabajo de auditoría informática así como la
auditoría externa del grupo
* Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informático.
* Seguridad informática
* Licencias y relaciones contractuales con terceros
* Asesorar y transmitir cultura sobre el riesgo informático.
3. ¿Cuáles son los objetivos de la Auditoria informática?
* Objetivos de protección de activos e integridad de datos
* Objetivos de gestión que abarcan la eficacia y eficiencia
4. ¿Cuáles son las semejanzas y diferencias entre Control Interno y
Auditoria Informática.
Semejanzas:
Personal interno
Conocimiento especializado de TI
Verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la Dirección Informática y Dirección
General de Sistemas
Diferencias:
Control Interno Informático.- Análisis de los controles día a día;
Auditor Informático: Análisis en el momento informático determinado
Control Interno Informático.- Solo personal Interno
Auditor Informático:, Personal interno y/o externo
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
Control Interno Informático.- Informa a la Dirección del Departamento de
Informática
Auditor Informático: Informa a la Dirección General de la Organización,
Control Interno Informático.- tiene alcance sobre el De Departamento de
Informática
Auditor Informático tiene cobertura sobre todos los componentes de los
sistemas de información de la Organización.
5. Ponga ejemplos de controles correctivos en diversas áreas
informáticas.
• Recuperación de un archivo defectuoso por medio de las copias de
seguridad.
• Puesta en marcha de un servidor caído, con otro que hacía de espejo.
• Si un número indeterminado de persona accede a los servidores se
implantaría un sistema de seguridad dactilar para acceso a los servidores
• Si las personas del departamento Informático acceden a redes sociales u
otros tipos de descargas de archivos, implantar software que impida
6. ¿Cuáles son los principales controles en el área de desarrollo?
 La Alta Dirección debe publicar normativas sobre el uso de metodologías
del ciclo de vida de un sistema y revisarlo periódicamente
 Estándares de prueba de programas y sistemas
 Plan de validación, verificación y pruebas
 La metodología debe establecer responsabilidades de las áreas del
departamento de Informática y usuarios; así como composición y
responsabilidades del equipo de proyecto.
 Las especificaciones del nuevo sistema debe ser definida por los usuarios y
estar escritas y aprobadas antes de iniciar el desarrollo
 Establecer estudios tecnológicos de vialidad en el cual se formulen
alternativas para alcanzar los objetivos del proyecto (costo-beneficio)
 Seleccionada la alternativa debe realizase un plan director del proyecto
donde debe existir la metodología de control de costos.
 Plan de conversión
 El software que se adquiera debe seguir la políticas de adquisición de la
 organización, los productos deben ser probados y revisados antes del pago
 La contratación de programas a medida ha de ser justificada mediante
petición escrita del director del proyecto.
 Deberán prepararse manuales de operación, mantenimiento y del usuario.
7. ¿Qué procesos definiría para controlar la informática distribuida y
redes?
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
 Planes adecuados de implantación, conversión y pruebas de aceptación
para la red
 Existencia de un grupo de control de red
 Controles que asegurar la compatibilidad del conjunto de datos entre
aplicaciones en red distribuida
 Procedimientos que definan las medidas y controles de seguridad a usarse
en la red en conexión con la distribución del contenido entre departamento
que usan la red.
 Que se identifique todos los conjuntos de datos sensibles de la red y que se
han determinado las especificaciones para su seguridad.
 Existencia de inventarios de todos los activos de la red.
 Procedimiento de respaldo del hardware y software de la redo Existencia de
mantenimiento preventivo de todos los activos.
 Existencia de controles que verifiquen que todo los mensajes de salida se
validad de forma rutinaria para asegurar que contienen direcciones de
destino válidas.
8. ¿Qué controles se deberían establecer en las aplicaciones?
* Control de entrada de datos
* Controles de tratamiento de datos
* Controles de salida de datos
9. ¿Cómo justificaría ante un directivo de empresa la inversión necesaria
en control y auditoria informática?
Sencillamente teniendo en cuenta que si no aplica los controles internos en
su empresa, institución u organización esta será un desorden, porque no
habrá parámetros, o un control de cómo hacer las cosas, y si no hace la
auditoria informática, no va a estar al tanto de que todo marcha bien en
cuanto a esa área.
10.Describa la Informática como modo de estructuración de las
empresas.
La informática en una empresa en estos tiempos es muy importante ya que
las pequeñas, medianas y grandes empresas brindan un servicio muy
amplio, por así decirlo, por ello necesita de la informática para que la
realización de todas las tares que se hagan, se realicen de una forma
rápida y fácil. No hay un modo específico de como describir la informática
como modo de estructuración de una empresa ya que estas son muy
diferentes i la informática se aplica en formas diferente, en otras palabras la
informática se le aplicara a la empresa dependiendo de la empresa.
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
UNIDAD 2: METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA
AUDITORÍA DE SI.
Conteste correctamente la siguiente evaluación (seleccione una respuesta
correcta en cada pregunta de múltiples opciones o caso contrario conteste V si es
verdadero o F si es falso):
1. (F) El método es un conjunto de herramientas y técnicas, que juntas, dan como
resultado un producto en particular.
2. (V) El factor más importante de una contramedida es la Organización, ya que
sin él, nada es posible.
3. Cuando hablamos de la situación creada por la falta de uno o varios controles,
nos referimos a:
a. Amenaza
b. Vulnerabilidad
c. Riesgo
d. Impacto
4. Si la organización crea/tiene un sistema de detección y extinción de incendios,
es para que el riesgo sea:
a. Evitado
b. Transferido
c. Reducido
d. Asumido
5. (V) Las metodologías cualitativas son basadas en el criterio y raciocinio humano
capaz de definir un proceso de trabajo y seleccionar en base a la experiencia.
6. (V) Las metodologías de Análisis de Riesgo están desarrolladas para la
identificación de la falta de controles y el establecimiento de un plan de
contramedidas.
7. (F) En este sentido, la Seguridad Informática sirve para la protección de la
información, en contra de amenazas o peligros, para evitar daños y para
maximizar riesgos, relacionados con ella.
8. (F) La Gestión de Riesgo es un método solo para clasificar el riesgo y
posteriormente implementar mecanismos que permitan controlarlo.
9. (V) En la Seguridad de la Información el objetivo de la protección son los datos
mismos y trata de evitar su perdida y modificación no-autorizado.
10. (V) El objetivo de la protección de datos no son los datos en sí mismo, sino el
contenido de la información sobre personas, para evitar el abuso de ésta.
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
11. (V) Los Elementos de información son todos los componentes que contienen,
mantienen o guardan información. También se los conoce como Activos o
Recursos.
12. (F) Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o
acción que no puede producir un daño.
13. (F) Riesgo = Probabilidad de Amenaza x Vulnerabilidad.
14. (V) Plan de Contingencias es una estrategia planificada constituida por un
conjunto de recursos, una organización de emergencia y unos procedimientos.
15. Las fases de un Plan de Contingencias son:
a. Análisis y Diseño.
b. Desarrollo del Plan
c. Pruebas y Mantenimiento
d. Todas las anteriores
16. (F) El Plan del Auditor Informático es el mismo que el Plan de Contingencias.
17. Cuando se habla de un valor definido que permite definir la fecha de la
repetición de la misma auditoría, en base a la evaluación final de la última
auditoría realizada sobre ese tema, se refiere a :
a. Funciones
b. Procedimientos
c. Planes
d. Nivel de Exposición
18. (V) En el Plan de trabajo anual se debe estimar tiempos de manera racional y
componer un calendario que dé un resultado de horas de trabajo previstas y, por
tanto, los recursos que se necesitarán.
CUESTIONARIO DE REPASO DEL TEXTO
1. ¿Qué diferencia y similitudes existen entre las metodologías
cualitativas y las cuantitativas? ¿Qué ventajas y que inconvenientes
tienen?
* Diferencias: las cuantitativas se basan en un modelo matemático numérico
y las cualitativas se basan en el razonamiento humano.
* Similitudes: ambas están orientadas a establecer y mejorar las
contramedidas que aseguren que la probabilidad que una amenaza se
materialice, sea lo más baja posible.
* Ventajas.
Publicidad

Recomendados

Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaDavid Thomas
 
Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Jack Daniel Cáceres Meza
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 

Más contenido relacionado

La actualidad más candente

UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Ramiro Cid
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Clasificacion general de control
Clasificacion general de controlClasificacion general de control
Clasificacion general de controlRoderick Arauz
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Maestros Online
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 
Semana 11 controles y auditoría de la seguridad física
Semana 11   controles y auditoría de la seguridad físicaSemana 11   controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaedithua
 

La actualidad más candente (20)

10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en Aplicaciones
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
 
Clasificacion general de control
Clasificacion general de controlClasificacion general de control
Clasificacion general de control
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacion
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Semana 11 controles y auditoría de la seguridad física
Semana 11   controles y auditoría de la seguridad físicaSemana 11   controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad física
 

Destacado

Contabilidad de costos UTPL
Contabilidad de costos UTPLContabilidad de costos UTPL
Contabilidad de costos UTPLUniversidad
 
UTPL-AUDITORÍA I-II-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
UTPL-AUDITORÍA I-II-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)UTPL-AUDITORÍA I-II-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
UTPL-AUDITORÍA I-II-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)Videoconferencias UTPL
 
UTPL-AUDITORÍA I-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
UTPL-AUDITORÍA I-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)UTPL-AUDITORÍA I-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
UTPL-AUDITORÍA I-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)Videoconferencias UTPL
 
CONTABILIDAD DE COSTOS I ( I Bimestre Abril Agosto 2011)
CONTABILIDAD DE COSTOS I ( I Bimestre Abril Agosto 2011)CONTABILIDAD DE COSTOS I ( I Bimestre Abril Agosto 2011)
CONTABILIDAD DE COSTOS I ( I Bimestre Abril Agosto 2011)Videoconferencias UTPL
 
UTPL-ADMINISTRACIÓN I-II BIMESTRE-(abril agosto 2012)
UTPL-ADMINISTRACIÓN I-II BIMESTRE-(abril agosto 2012)UTPL-ADMINISTRACIÓN I-II BIMESTRE-(abril agosto 2012)
UTPL-ADMINISTRACIÓN I-II BIMESTRE-(abril agosto 2012)Videoconferencias UTPL
 

Destacado (9)

Contabilidad de costos UTPL
Contabilidad de costos UTPLContabilidad de costos UTPL
Contabilidad de costos UTPL
 
UTPL-AUDITORÍA I-II-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
UTPL-AUDITORÍA I-II-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)UTPL-AUDITORÍA I-II-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
UTPL-AUDITORÍA I-II-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
 
UTPL-AUDITORÍA I-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
UTPL-AUDITORÍA I-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)UTPL-AUDITORÍA I-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
UTPL-AUDITORÍA I-I-BIMESTRE-(OCTUBRE 2011-FEBRERO 2012)
 
CONTABILIDAD DE COSTOS I ( I Bimestre Abril Agosto 2011)
CONTABILIDAD DE COSTOS I ( I Bimestre Abril Agosto 2011)CONTABILIDAD DE COSTOS I ( I Bimestre Abril Agosto 2011)
CONTABILIDAD DE COSTOS I ( I Bimestre Abril Agosto 2011)
 
UTPL-ADMINISTRACIÓN I-II BIMESTRE-(abril agosto 2012)
UTPL-ADMINISTRACIÓN I-II BIMESTRE-(abril agosto 2012)UTPL-ADMINISTRACIÓN I-II BIMESTRE-(abril agosto 2012)
UTPL-ADMINISTRACIÓN I-II BIMESTRE-(abril agosto 2012)
 
CONTABILIDAD DE COSTOS I
CONTABILIDAD DE COSTOS ICONTABILIDAD DE COSTOS I
CONTABILIDAD DE COSTOS I
 
Contabilidad de Costos
Contabilidad de CostosContabilidad de Costos
Contabilidad de Costos
 
Contabilidad de Costos I( I Bimestre)
Contabilidad de Costos I( I Bimestre)Contabilidad de Costos I( I Bimestre)
Contabilidad de Costos I( I Bimestre)
 
Contabilidad de Costos I
Contabilidad de Costos IContabilidad de Costos I
Contabilidad de Costos I
 

Similar a Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..

Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Maria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionMaria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionGabrielaMartinez728
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxDanny Israel Ligua Heras
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaveroalexa10
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1   control interno y auditoría de sistemas de informaciónClase 1   control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticarubicolimba
 

Similar a Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.. (20)

Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Maria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionMaria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacion
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
 
Control interno
Control internoControl interno
Control interno
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informatica
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informatica
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoria
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1   control interno y auditoría de sistemas de informaciónClase 1   control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
R52851
R52851R52851
R52851
 
R52851
R52851R52851
R52851
 
Auditoria informatica 12
Auditoria informatica 12Auditoria informatica 12
Auditoria informatica 12
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 

Último

Lasso_Anthony_Tarea_2.pdf, EVOLUCION DE INTERNETE
Lasso_Anthony_Tarea_2.pdf, EVOLUCION DE INTERNETELasso_Anthony_Tarea_2.pdf, EVOLUCION DE INTERNETE
Lasso_Anthony_Tarea_2.pdf, EVOLUCION DE INTERNETEalexlasso65
 
Prueba 1_Jessica J.docx_Evaluación grupo 1
Prueba 1_Jessica J.docx_Evaluación grupo 1Prueba 1_Jessica J.docx_Evaluación grupo 1
Prueba 1_Jessica J.docx_Evaluación grupo 1jessicamaribeljaneta
 
Ecosistema componente El biotopo y sus características
Ecosistema  componente El biotopo y sus característicasEcosistema  componente El biotopo y sus características
Ecosistema componente El biotopo y sus característicasalisonguaman1rod
 
Infografía de la U.E. Instituto Diocesano Barquisimeto.pdf
Infografía de la U.E. Instituto Diocesano Barquisimeto.pdfInfografía de la U.E. Instituto Diocesano Barquisimeto.pdf
Infografía de la U.E. Instituto Diocesano Barquisimeto.pdfMoisés Rodríguez
 
Rojas_Carolina__Alumno1_Ruiz_Joseph_Alumno2.pdf
Rojas_Carolina__Alumno1_Ruiz_Joseph_Alumno2.pdfRojas_Carolina__Alumno1_Ruiz_Joseph_Alumno2.pdf
Rojas_Carolina__Alumno1_Ruiz_Joseph_Alumno2.pdfcarolinarojas476396
 
Lasso_Anthony_Tarea_1.pdf sociedad de lal
Lasso_Anthony_Tarea_1.pdf sociedad de lalLasso_Anthony_Tarea_1.pdf sociedad de lal
Lasso_Anthony_Tarea_1.pdf sociedad de lalalexlasso65
 
Modalidades educativas SEN.pptx
Modalidades educativas SEN.pptxModalidades educativas SEN.pptx
Modalidades educativas SEN.pptxJunkotantik
 
Licenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxLicenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxgeomaster9
 
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"elizabethauquilla123
 
Prueba objetiva - Parcial 1_Grupo 1 Infopedagogía
Prueba objetiva - Parcial 1_Grupo 1 InfopedagogíaPrueba objetiva - Parcial 1_Grupo 1 Infopedagogía
Prueba objetiva - Parcial 1_Grupo 1 Infopedagogíaferpatfut1109
 
Presentación programa educativo Radio Edu
Presentación programa educativo Radio EduPresentación programa educativo Radio Edu
Presentación programa educativo Radio Edumariajosecasadobueno
 
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdfPresentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdfJohnCarvajal23
 
Lasso_Anthony_Practica_1pdf.pdf.........
Lasso_Anthony_Practica_1pdf.pdf.........Lasso_Anthony_Practica_1pdf.pdf.........
Lasso_Anthony_Practica_1pdf.pdf.........alexlasso65
 
Impacto ambiental Green Illustrated Sustainable World
Impacto ambiental Green Illustrated Sustainable WorldImpacto ambiental Green Illustrated Sustainable World
Impacto ambiental Green Illustrated Sustainable WorldJohnCarvajal23
 
Oxidos Básicos.pdf
Oxidos Básicos.pdfOxidos Básicos.pdf
Oxidos Básicos.pdfvanesacaiza
 
reciente evolucion de la economia china y su impacto en el mundo
reciente evolucion de la economia china y su impacto en el mundo reciente evolucion de la economia china y su impacto en el mundo
reciente evolucion de la economia china y su impacto en el mundo Carlos Alberto Aquino Rodriguez
 
herramientas manuales grado cuarto primaria.pptx
herramientas manuales grado cuarto primaria.pptxherramientas manuales grado cuarto primaria.pptx
herramientas manuales grado cuarto primaria.pptxnelsontobontrujillo
 
Guardianes medioambientales CEIP Atalaya Cartegena
Guardianes medioambientales CEIP Atalaya CartegenaGuardianes medioambientales CEIP Atalaya Cartegena
Guardianes medioambientales CEIP Atalaya CartegenaCEINFPRIATALAYACEINF
 

Último (20)

Tema 2.- E-BUSINESS GLOBAL Y COLABORACIÓN.pdf
Tema 2.- E-BUSINESS GLOBAL Y COLABORACIÓN.pdfTema 2.- E-BUSINESS GLOBAL Y COLABORACIÓN.pdf
Tema 2.- E-BUSINESS GLOBAL Y COLABORACIÓN.pdf
 
Lasso_Anthony_Tarea_2.pdf, EVOLUCION DE INTERNETE
Lasso_Anthony_Tarea_2.pdf, EVOLUCION DE INTERNETELasso_Anthony_Tarea_2.pdf, EVOLUCION DE INTERNETE
Lasso_Anthony_Tarea_2.pdf, EVOLUCION DE INTERNETE
 
Prueba 1_Jessica J.docx_Evaluación grupo 1
Prueba 1_Jessica J.docx_Evaluación grupo 1Prueba 1_Jessica J.docx_Evaluación grupo 1
Prueba 1_Jessica J.docx_Evaluación grupo 1
 
Ecosistema componente El biotopo y sus características
Ecosistema  componente El biotopo y sus característicasEcosistema  componente El biotopo y sus características
Ecosistema componente El biotopo y sus características
 
Infografía de la U.E. Instituto Diocesano Barquisimeto.pdf
Infografía de la U.E. Instituto Diocesano Barquisimeto.pdfInfografía de la U.E. Instituto Diocesano Barquisimeto.pdf
Infografía de la U.E. Instituto Diocesano Barquisimeto.pdf
 
Rojas_Carolina__Alumno1_Ruiz_Joseph_Alumno2.pdf
Rojas_Carolina__Alumno1_Ruiz_Joseph_Alumno2.pdfRojas_Carolina__Alumno1_Ruiz_Joseph_Alumno2.pdf
Rojas_Carolina__Alumno1_Ruiz_Joseph_Alumno2.pdf
 
Lasso_Anthony_Tarea_1.pdf sociedad de lal
Lasso_Anthony_Tarea_1.pdf sociedad de lalLasso_Anthony_Tarea_1.pdf sociedad de lal
Lasso_Anthony_Tarea_1.pdf sociedad de lal
 
Modalidades educativas SEN.pptx
Modalidades educativas SEN.pptxModalidades educativas SEN.pptx
Modalidades educativas SEN.pptx
 
Licenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxLicenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptx
 
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
Tarea 1. Ensayo sobre "La sociedad de la ignorancia"
 
Prueba objetiva - Parcial 1_Grupo 1 Infopedagogía
Prueba objetiva - Parcial 1_Grupo 1 InfopedagogíaPrueba objetiva - Parcial 1_Grupo 1 Infopedagogía
Prueba objetiva - Parcial 1_Grupo 1 Infopedagogía
 
Presentación programa educativo Radio Edu
Presentación programa educativo Radio EduPresentación programa educativo Radio Edu
Presentación programa educativo Radio Edu
 
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdfPresentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
 
Lasso_Anthony_Practica_1pdf.pdf.........
Lasso_Anthony_Practica_1pdf.pdf.........Lasso_Anthony_Practica_1pdf.pdf.........
Lasso_Anthony_Practica_1pdf.pdf.........
 
Impacto ambiental Green Illustrated Sustainable World
Impacto ambiental Green Illustrated Sustainable WorldImpacto ambiental Green Illustrated Sustainable World
Impacto ambiental Green Illustrated Sustainable World
 
Oxidos Básicos.pdf
Oxidos Básicos.pdfOxidos Básicos.pdf
Oxidos Básicos.pdf
 
reciente evolucion de la economia china y su impacto en el mundo
reciente evolucion de la economia china y su impacto en el mundo reciente evolucion de la economia china y su impacto en el mundo
reciente evolucion de la economia china y su impacto en el mundo
 
Händel.pdf
Händel.pdfHändel.pdf
Händel.pdf
 
herramientas manuales grado cuarto primaria.pptx
herramientas manuales grado cuarto primaria.pptxherramientas manuales grado cuarto primaria.pptx
herramientas manuales grado cuarto primaria.pptx
 
Guardianes medioambientales CEIP Atalaya Cartegena
Guardianes medioambientales CEIP Atalaya CartegenaGuardianes medioambientales CEIP Atalaya Cartegena
Guardianes medioambientales CEIP Atalaya Cartegena
 

Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..

  • 1. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL UNIDAD 1: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN. Conteste correctamente la siguiente autoevaluación (seleccione una respuesta correcta en cada pregunta de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso): 1. (F) El Control Interno Informático asegura que las medidas de los mecanismos implantados sean solamente correctas. 2. (F) La Auditoría Informática es el proceso de recoger evidencias para determinar si un control es válido. 3. (V) Los informes del Control Interno Informáticos son enviados a la Dirección de Departamento de Informática. 4. (V) Los Controles Detectivos son usados para conocer donde está la falla porque el control preventivo no funcionó. 5. (F) Los Controles Correctivos son usados para evitar que ciertos riesgos del sistema de información se ejecuten. 6. Cuál de los controles de la siguiente lista no es un control general organizativo. a. Estándares b. Políticas c. Metodología del Ciclo de Vida d. Políticas del Personal 7. Dentro de los controles generales organizativos – planificación, a que planes se debe efectuar el control: a. Plan a corto, mediano y largo plazo. b. Plan Estratégico de Información, Informático, General de Seguridad y de emergencia de desastre. c. Plan de gestión de recursos. d. Plan de procedimientos de elección de sw y hw. 8. (V) El auditor es el responsable de revisar e informar a la Dirección de Informática el funcionamiento de los controles implantados. 9. (F) La Dirección de Informática, define las directrices para los sistemas de información en base a la exigencia del negocio, que podrán ser internas o externas. 10. (F) El Plan Informático, garantiza la confidencialidad, integridad y disponibilidad de la información.
  • 2. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL CUESTIONARIO DE REPASO DEL TEXTO 1. ¿Qué cambios en las empresas provocan tensión en el control interno existente? *La restauración de los procesos empresariales * La gestión de la calidad total * El rendimiento por reducción o por aumento del tamaño hasta el nivel correcto *La concentración externa * La descentralización 2. ¿Cuáles son las funciones del control interno informático? * Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, asegurándose de su cumplimiento. * Asesorar sobre el conocimiento de las normas. * Colaborar y apoyar el trabajo de auditoría informática así como la auditoría externa del grupo * Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático. * Seguridad informática * Licencias y relaciones contractuales con terceros * Asesorar y transmitir cultura sobre el riesgo informático. 3. ¿Cuáles son los objetivos de la Auditoria informática? * Objetivos de protección de activos e integridad de datos * Objetivos de gestión que abarcan la eficacia y eficiencia 4. ¿Cuáles son las semejanzas y diferencias entre Control Interno y Auditoria Informática. Semejanzas: Personal interno Conocimiento especializado de TI Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección Informática y Dirección General de Sistemas Diferencias: Control Interno Informático.- Análisis de los controles día a día; Auditor Informático: Análisis en el momento informático determinado Control Interno Informático.- Solo personal Interno Auditor Informático:, Personal interno y/o externo
  • 3. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL Control Interno Informático.- Informa a la Dirección del Departamento de Informática Auditor Informático: Informa a la Dirección General de la Organización, Control Interno Informático.- tiene alcance sobre el De Departamento de Informática Auditor Informático tiene cobertura sobre todos los componentes de los sistemas de información de la Organización. 5. Ponga ejemplos de controles correctivos en diversas áreas informáticas. • Recuperación de un archivo defectuoso por medio de las copias de seguridad. • Puesta en marcha de un servidor caído, con otro que hacía de espejo. • Si un número indeterminado de persona accede a los servidores se implantaría un sistema de seguridad dactilar para acceso a los servidores • Si las personas del departamento Informático acceden a redes sociales u otros tipos de descargas de archivos, implantar software que impida 6. ¿Cuáles son los principales controles en el área de desarrollo?  La Alta Dirección debe publicar normativas sobre el uso de metodologías del ciclo de vida de un sistema y revisarlo periódicamente  Estándares de prueba de programas y sistemas  Plan de validación, verificación y pruebas  La metodología debe establecer responsabilidades de las áreas del departamento de Informática y usuarios; así como composición y responsabilidades del equipo de proyecto.  Las especificaciones del nuevo sistema debe ser definida por los usuarios y estar escritas y aprobadas antes de iniciar el desarrollo  Establecer estudios tecnológicos de vialidad en el cual se formulen alternativas para alcanzar los objetivos del proyecto (costo-beneficio)  Seleccionada la alternativa debe realizase un plan director del proyecto donde debe existir la metodología de control de costos.  Plan de conversión  El software que se adquiera debe seguir la políticas de adquisición de la  organización, los productos deben ser probados y revisados antes del pago  La contratación de programas a medida ha de ser justificada mediante petición escrita del director del proyecto.  Deberán prepararse manuales de operación, mantenimiento y del usuario. 7. ¿Qué procesos definiría para controlar la informática distribuida y redes?
  • 4. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL  Planes adecuados de implantación, conversión y pruebas de aceptación para la red  Existencia de un grupo de control de red  Controles que asegurar la compatibilidad del conjunto de datos entre aplicaciones en red distribuida  Procedimientos que definan las medidas y controles de seguridad a usarse en la red en conexión con la distribución del contenido entre departamento que usan la red.  Que se identifique todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.  Existencia de inventarios de todos los activos de la red.  Procedimiento de respaldo del hardware y software de la redo Existencia de mantenimiento preventivo de todos los activos.  Existencia de controles que verifiquen que todo los mensajes de salida se validad de forma rutinaria para asegurar que contienen direcciones de destino válidas. 8. ¿Qué controles se deberían establecer en las aplicaciones? * Control de entrada de datos * Controles de tratamiento de datos * Controles de salida de datos 9. ¿Cómo justificaría ante un directivo de empresa la inversión necesaria en control y auditoria informática? Sencillamente teniendo en cuenta que si no aplica los controles internos en su empresa, institución u organización esta será un desorden, porque no habrá parámetros, o un control de cómo hacer las cosas, y si no hace la auditoria informática, no va a estar al tanto de que todo marcha bien en cuanto a esa área. 10.Describa la Informática como modo de estructuración de las empresas. La informática en una empresa en estos tiempos es muy importante ya que las pequeñas, medianas y grandes empresas brindan un servicio muy amplio, por así decirlo, por ello necesita de la informática para que la realización de todas las tares que se hagan, se realicen de una forma rápida y fácil. No hay un modo específico de como describir la informática como modo de estructuración de una empresa ya que estas son muy diferentes i la informática se aplica en formas diferente, en otras palabras la informática se le aplicara a la empresa dependiendo de la empresa.
  • 5. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL UNIDAD 2: METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SI. Conteste correctamente la siguiente evaluación (seleccione una respuesta correcta en cada pregunta de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso): 1. (F) El método es un conjunto de herramientas y técnicas, que juntas, dan como resultado un producto en particular. 2. (V) El factor más importante de una contramedida es la Organización, ya que sin él, nada es posible. 3. Cuando hablamos de la situación creada por la falta de uno o varios controles, nos referimos a: a. Amenaza b. Vulnerabilidad c. Riesgo d. Impacto 4. Si la organización crea/tiene un sistema de detección y extinción de incendios, es para que el riesgo sea: a. Evitado b. Transferido c. Reducido d. Asumido 5. (V) Las metodologías cualitativas son basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo y seleccionar en base a la experiencia. 6. (V) Las metodologías de Análisis de Riesgo están desarrolladas para la identificación de la falta de controles y el establecimiento de un plan de contramedidas. 7. (F) En este sentido, la Seguridad Informática sirve para la protección de la información, en contra de amenazas o peligros, para evitar daños y para maximizar riesgos, relacionados con ella. 8. (F) La Gestión de Riesgo es un método solo para clasificar el riesgo y posteriormente implementar mecanismos que permitan controlarlo. 9. (V) En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su perdida y modificación no-autorizado. 10. (V) El objetivo de la protección de datos no son los datos en sí mismo, sino el contenido de la información sobre personas, para evitar el abuso de ésta.
  • 6. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL 11. (V) Los Elementos de información son todos los componentes que contienen, mantienen o guardan información. También se los conoce como Activos o Recursos. 12. (F) Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que no puede producir un daño. 13. (F) Riesgo = Probabilidad de Amenaza x Vulnerabilidad. 14. (V) Plan de Contingencias es una estrategia planificada constituida por un conjunto de recursos, una organización de emergencia y unos procedimientos. 15. Las fases de un Plan de Contingencias son: a. Análisis y Diseño. b. Desarrollo del Plan c. Pruebas y Mantenimiento d. Todas las anteriores 16. (F) El Plan del Auditor Informático es el mismo que el Plan de Contingencias. 17. Cuando se habla de un valor definido que permite definir la fecha de la repetición de la misma auditoría, en base a la evaluación final de la última auditoría realizada sobre ese tema, se refiere a : a. Funciones b. Procedimientos c. Planes d. Nivel de Exposición 18. (V) En el Plan de trabajo anual se debe estimar tiempos de manera racional y componer un calendario que dé un resultado de horas de trabajo previstas y, por tanto, los recursos que se necesitarán. CUESTIONARIO DE REPASO DEL TEXTO 1. ¿Qué diferencia y similitudes existen entre las metodologías cualitativas y las cuantitativas? ¿Qué ventajas y que inconvenientes tienen? * Diferencias: las cuantitativas se basan en un modelo matemático numérico y las cualitativas se basan en el razonamiento humano. * Similitudes: ambas están orientadas a establecer y mejorar las contramedidas que aseguren que la probabilidad que una amenaza se materialice, sea lo más baja posible. * Ventajas.
  • 7. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL * Cualitativas: se enfoca en lo más amplio, es decir tiene un plan flexible y reductivo que se concentra en identificar eventos, además incluye elementos intangibles. * Cuantitativas: se especializa en pensamientos a través del uso de números. Ayuda con la comparación de puntos débiles y entrega cifras acorde a cada contramedida. * Desventajas. * Cualitativas: Depende mucho de la habilidad, calidad y experiencia del personal involucrado, puede obviar riesgos significativos y desconocidos. Depende de un profesional. * Cuantitativas: Depende de estadísticas fiables que no existen, esto influye en la estimación de probabilidades. La estimación de pérdidas se sujeta a valores cuantificables. Los estándares y metodologías son difíciles de mantener. 2. ¿Cuáles son los componentes de una contramedida o control (pirámide de la seguridad)? ¿Qué papel tienen las herramientas de control? ¿Cuáles son las herramientas de control más frecuentes? Componentes: * La Normativa * La Organización * Las Metodologías * Los Objetivos de Control * Los Procedimientos de Control * Tecnologías de Seguridad * Las Herramientas de Control * El papel que desempeñan las herramientas de control es la permisión de definir uno o varios procedimientos controladores para cumplir una normativa y un objetivo. * Herramientas de control más frecuentes: * Seguridad Lógica del Sistema * Seguridad Lógica Complementaria al Sistema * Seguridad Lógica para Entornos Distribuidos * Control de Acceso Físico * Control de Copias * Gestión de Soporte Magnético * Gestión y Control de Impresión y Envío de Listados de Red * Control de Proyectos * Control de Versiones * Control y Gestión de Incidencias * Control de Cambios 3. ¿Qué tipos de metodologías de Plan de Contingencias existen? ¿En que se diferencian? ¿Qué es un Plan de Contingencias? Existen 2 tipos de metodologías en planes de contingencia.
  • 8. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL * Contingencia Informática. * Contingencia Corporativa. Diferencias: La corporativa incluye todos los departamentos de la empresa. LA informática solo a TI. Un plan de contingencia es una estrategia completamente planificada por una serie de elementos de respaldo, es decir una forma de organización de emergencia y procedimientos de actuación que tienen como objetivo obtener una restauración progresiva y rápida de los servicios del negocio afectados por cualquier tipo de paralización. 4. ¿Qué metodologías de auditoria informática existen? ¿Para qué se usa cada uno? Existen 2 metodologías distintas, las auditorias de controles generales y las metodologías de los auditores internos. Las auditorias de controles generales se utilizan para la obtención de una opinión sobre la confiabilidad de los datos, todo esto basado en pequeños cuestionarios estandarizados que dan como resultado informes generales. Las metodologías de auditor interno también cumplen la misma función que las auditorías de controles generales pero son diseñadas por el propio auditor 5. ¿Qué es el nivel de exposición y para que sirve? Es un indicativo definido de forma subjetiva y permite en base a la evaluación final de la última auditoría realizada, definir la fecha de repetición de la misma auditoría. 6. ¿Qué diferencias existen entre las figuras de auditoría informática y control interno informático? ¿Cuáles son las funciones más importantes de éste? La diferencia entre ambas es clara; el control interno monta los controles del proceso informático, mientras que la auditoría informática evalúa el grado de control. 7. ¿Cuáles son las dos metodologías más importantes para el control interno informático? ¿Para qué sirve cada una? * Clasificación de la Información. Sirve para que el profesional pueda añadir en las herramientas niveles o jerarquías estándares y objetivos a cumplir por nivel y ayudas de contramedidas. * Obtención de los procedimientos de control. Constituye sumándose a los distintos proyectos de un plan de seguridad para mejorar el entramada de contramedidas
  • 9. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL 8. ¿Qué papel tiene las herramientas de control en los controles? Las herramientas de control son elementos – software que por sus principales características funcionales nos permite organizar el control de una manera más actual y más automatizada. 9. ¿Cuáles son los objetivos de control en el acceso lógico? Segregación de funciones entre los usuarios, integridad de los log e imposibilidad de desactivarlos por ningún perfil que tenga desee revisarlos, gestión centralizada de la seguridad o al menos única, contraseña única para los distintos sistemas de la red, la contraseña y archivos con perfiles y derechos inaccesibles a todos, el sistema debe obligar a los usuarios a cambiar la contraseña y es frecuente encontrar mecanismos de auto log out. 10.¿Qué es la certificación de seguridad? ¿Qué aporta la ISO 17799? ¿Qué metodologías se utilizan en el desarrollo de un SGSI? El Single Sing On, se lo puede definir como: “Es necesario solamente un Password y un User ID, para un único usuario, para acceder y usar su informacióny sus recursos, de todos los sistemas como si de un solo entorno se tratara” Es necesario un software que permita conseguir en el escenario de los entornos distribuidos, el control como si de un computador con un solo control de acceso se tratara, e incluso mejorar el nivel de control y observar la seguridad lógica tal como un todo. UNIDAD 3: DEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI. 1. (V) Según COSO, el control interno es un proceso, ejercido por el consejo de administración de la organización, diseñado para proporcionar seguridad razonable. 2. (V) Los recursos de información son usados por la organización para soportar sus procesos operativos o de negocios. 3. (V) Un recurso de información son las PERSONAS. 4. (F) El departamento de auditoría de los SI, puede estar ubicado en cualquier parte de la organización. 5. (F) No son necesarios los recursos económicos en el departamento de auditoría de los SI.
  • 10. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL 6. (F) El estatuto de auditoría de los SI es cualquier documento donde solamente conste los objetivos que se quieren lograr en la auditoría. 7. (F) El estatuto debe ser privado y sólo debe conocerlo el auditor y el auditado. 8. (V ) El primer paso para AUDITAR es establecer ¿Qué se debe auditar?. 9. (V) El análisis de riesgo es establecer una medida de importancia relativa a cada uno de los elementos de la organización a auditar. 10. (F) Cualquier persona de cualquier perfil puede conformar el equipo de auditoria de SI. 11. (V) Una de las características más importantes al seleccionar al personal del equipo de auditoría de SI, es que tenga un magnífico trato con las personas. 12. (F) Trato con las personas significa que debe ser paciente, prudente y flexible, y no defender sus puntos de vista. 13. (F) El principio de comportamiento profesional significa que el auditor debe estar plenamente capacitado para la realización de la auditoría. 14. (V) El auditor debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad para desarrollar la auditoría. 15. (F) El auditor está en libertad de usar los conocimientos adquiridos en una auditoría y usarlos en contra del auditado. 16. (V) El auditor debe tener un secreto profesional sobre la información obtenida durante la auditoría. 17. (V) El auditor deberá actuar en la auditoría con criterio propio, así lo dictamina el principio de independencia. 18. (V) El auditor deberá proteger los derechos económicos del auditado. 19. (F) Es necesario que el auditor sea veraz en la información que dé en la auditoría, aunque ésta no esté respaldada. 20. (F) El auditor no se puede negar a participar en actividades ilegales o impropias de la auditoría.
  • 11. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL CUESTIONARIO DE REPASO DEL TEXTO 1. Identifique tres aspectos importantes para evaluar y decidir acerca de la ubicación geográfica de un departamento de auditoria de SI dentro de su organización. Establecimiento de la misión y responsabilidades del departamento de auditoría de los SI Definición de la organización del departamento de auditoría de los SI Elaboración de los planes de trabajo del departamento de la auditoria de los SI 2. Identifique competencias y habilidades que deben tener los auditores de SI Un auditor de SI debe tener las siguientes habilidades. Revisar la existencia y suficiencia de los controles de los recursos de información que soportan los procesos de negocio. Validar que los recursos de información apoyan los objetivos de negocio y cumplen los requerimientos establecidos. Analizar el nuevo riesgo derivados de las nuevas tecnologías y de los nuevos negocios. Formar y divulgar respectos de los riesgos amenazas que se derivan de una inadecuada utilización de los recursos de información. 3. Cuál cree el lector que debe ser la ubicación en el organigrama de su organización del departamento de auditoria de SI. La ubicación de la función de la auditoria de los SI dentro de la organización debe de estar englobada con la función de la auditoría interna de dicha organización. En el cronograma la auditoria de SI está en el tercer lugar y abarca análisis de riego, planificación, evaluación, recomendación y seguimiento. 4. Exponga al menos tres procedimientos que debe contener la metodología de un departamento de auditoria SI. Trabajo de auditoría. Objetivos del Informe. Objetivo General. 5. Defina una estrategia para establecer el universo de TI. De una organización.
  • 12. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL Se podría decir que un total de la integración de los SI en los procesos operativo de las organizaciones. Esta estrategia provoca que determinar dónde terminar el proceso puramente operativo y donde comienza el proceso informático sea totalmente imposible. 6. ¿Cuál cree que es el aspecto más relevante para determinar la dimensión de un departamento de auditoria de SI en su organización? La sensibilidad de los órganos de gobiernos y dirección de organización que tiene el control interno 7. Exponga dos aspectos relevantes de la definición de control interno. Es la valoración de riesgo y las actividades de control que pueden ser tanto política como de procedimiento 8. ¿De qué órgano depende la función de auditoria de SI? La función de la auditoria depende del gobierno. 9. ¿Qué son los recursos de información? Nómbrelos. Datos Software de aplicaciones Tecnología Instalaciones Personas 10.Exponga los pasos en los que se descompone la planificación de auditoria de SI. A corto plazo y a largo plazo.