Este documento contiene varias autoevaluaciones sobre auditoría informática y seguridad física. Incluye preguntas de verdadero o falso sobre conceptos como outsourcing, auditoría de TI, seguridad física y lógica, gestión de riesgos, planes de contingencia y metodologías de auditoría. También presenta cuestionarios de repaso sobre estos temas.
El graffiti y la pintada han sido objeto ya de numerosos análisis, si bien es cierto que casi siempre se enfocaban desde el punto de vista estético. La pintada, al carecer de cualquier voluntad artística, ha quedado a menudo relegada a un segundo plano, aunque también ha despertado curiosidad por su innegable valor comunicativo y social.
Aquí esta lo que tu esperabas la Matriz FODA elaborada en forma metódica, con este modelo podrás sacar adelante el Numeral 4 Contexto de la Organización 4.1 Compresión de la Organización y de su Contexto.
https://edu.symbaloo.com/mix/pleayudascalidad
(Entorno Personal de Aprendizaje)
http://ayudascalidad.blogspot.com.co/
(Blogger Ayudas Calidad)
https://www.youtube.com/watch?v=ABLXLeeqWJ8&list=PLmDSY-JAYgtf1BHB7Id8I5zPie_J4ntWe
(Lista de reproducción Vídeos en YouTube – Ayudas Calidad)
https://www.youtube.com/channel/UCcO2zl8wUFfZxGBlXoqu5mw
(Canal de YouTube – Ayudas Calidad)
La toma de decisiones es la selección de un curso de acción entre varias opciones.
Un aspecto fundamental en la toma de decisiones es la percepción de la situación por parte del individuo o grupo de personas implicadas.
El graffiti y la pintada han sido objeto ya de numerosos análisis, si bien es cierto que casi siempre se enfocaban desde el punto de vista estético. La pintada, al carecer de cualquier voluntad artística, ha quedado a menudo relegada a un segundo plano, aunque también ha despertado curiosidad por su innegable valor comunicativo y social.
Aquí esta lo que tu esperabas la Matriz FODA elaborada en forma metódica, con este modelo podrás sacar adelante el Numeral 4 Contexto de la Organización 4.1 Compresión de la Organización y de su Contexto.
https://edu.symbaloo.com/mix/pleayudascalidad
(Entorno Personal de Aprendizaje)
http://ayudascalidad.blogspot.com.co/
(Blogger Ayudas Calidad)
https://www.youtube.com/watch?v=ABLXLeeqWJ8&list=PLmDSY-JAYgtf1BHB7Id8I5zPie_J4ntWe
(Lista de reproducción Vídeos en YouTube – Ayudas Calidad)
https://www.youtube.com/channel/UCcO2zl8wUFfZxGBlXoqu5mw
(Canal de YouTube – Ayudas Calidad)
La toma de decisiones es la selección de un curso de acción entre varias opciones.
Un aspecto fundamental en la toma de decisiones es la percepción de la situación por parte del individuo o grupo de personas implicadas.
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
AUTOEVALUACIONES Y EVALUACIONES DE: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN, METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SI YDEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI.
Autoevaluaciones de la guia didáctiva y evaluaciones del texto basico de CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN. 3: DEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI.
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “ROMPECABEZAS DE ECUACIONES DE 1ER. GRADO OLIMPIADA DE PARÍS 2024”. Esta actividad de aprendizaje propone retos de cálculo algebraico mediante ecuaciones de 1er. grado, y viso-espacialidad, lo cual dará la oportunidad de formar un rompecabezas. La intención didáctica de esta actividad de aprendizaje es, promover los pensamientos lógicos (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia, viso-espacialidad. Esta actividad de aprendizaje es de enfoques lúdico y transversal, ya que integra diversas áreas del conocimiento, entre ellas: matemático, artístico, lenguaje, historia, y las neurociencias.
Durante el período citado se sucedieron tres presidencias radicales a cargo de Hipólito Yrigoyen (1916-1922),
Marcelo T. de Alvear (1922-1928) y la segunda presidencia de Yrigoyen, a partir de 1928 la cual fue
interrumpida por el golpe de estado de 1930. Entre 1916 y 1922, el primer gobierno radical enfrentó el
desafío que significaba gobernar respetando las reglas del juego democrático e impulsando, al mismo
tiempo, las medidas que aseguraran la concreción de los intereses de los diferentes grupos sociales que
habían apoyado al radicalismo.
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptxOsiris Urbano
Evaluación de principales hallazgos de la Historia Clínica utiles en la orientación diagnóstica de Hemorragia Digestiva en el abordaje inicial del paciente.
Ponencia en I SEMINARIO SOBRE LA APLICABILIDAD DE LA INTELIGENCIA ARTIFICIAL EN LA EDUCACIÓN SUPERIOR UNIVERSITARIA. 3 de junio de 2024. Facultad de Estudios Sociales y Trabajo, Universidad de Málaga.
La Unidad Eudista de Espiritualidad se complace en poner a su disposición el siguiente Triduo Eudista, que tiene como propósito ofrecer tres breves meditaciones sobre Jesucristo Sumo y Eterno Sacerdote, el Sagrado Corazón de Jesús y el Inmaculado Corazón de María. En cada día encuentran una oración inicial, una meditación y una oración final.
LA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJEjecgjv
La Pedagogía Autogestionaria es un enfoque educativo que busca transformar la educación mediante la participación directa de estudiantes, profesores y padres en la gestión de todas las esferas de la vida escolar.
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁClaude LaCombe
Recuerdo perfectamente la primera vez que oí hablar de las imágenes subliminales de los Testigos de Jehová. Fue en los primeros años del foro de religión “Yahoo respuestas” (que, por cierto, desapareció definitivamente el 30 de junio de 2021). El tema del debate era el “arte religioso”. Todos compartíamos nuestros puntos de vista sobre cuadros como “La Mona Lisa” o el arte apocalíptico de los adventistas, cuando repentinamente uno de los participantes dijo que en las publicaciones de los Testigos de Jehová se ocultaban imágenes subliminales demoniacas.
Lo que pasó después se halla plasmado en la presente obra.
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
1. UNIVERSIDAD TECNICA PARTICULAR DE LOJA
ALEXANDRA CAGUANA
AUDITORIA INFORMATICA
AUTOEVALUACIONES
AUTOEVALUACION 4
Conteste correctamente las preguntas según sea el caso (V si es Verdadero
o F si es falso):
1. (F) El outsourcing es una simple contratación de servicios que una empresa
busca para
cubrir una necesidad.
2. (F) La auditoría de outsorcing de TI se presenta como una herramienta de
especial utilidad para asegurar la discontinuidad del negocio.
3. (V) El servicio de aseguramiento de la calidad que desee una empresa se lo
puede tomar como un proceso independiente. (outsourcing).
4. (V) Para auditar el Outsourcing se debe conocer el entorno en que se desarrolla
el proceso y los agentes que participaron en ello.
5. (V) Un elemento dentro del acuerdo de Outsourcing son los Acuerdos de nivel
de servicio SLA’s.
6. (V) Contrato de Outsourcing es un contrato profesional, donde cada cláusula es
importante.
7. (F) La herramienta básica para comunicar los resultados del servicio en
outsourcing es el informe de gestión.
8. (V) Los elementos de gestión en un SLA describen los pasos a dar para
asegurar la efectividad del servicio y resolver cualquier problema que pudiera
darse.
9. (F) Si no se cumple con el acuerdo de nivel de servicios no existen
penalizaciones.
10. (F) Una de las acciones indispensables en la Auditoría del Outsourcing de TI
es identificar claramente la relación entre el tercero, el cliente y los usuarios de la
empresa.
11. (V) Mantener una relación estrecha y de comunicación continua con el
proveedor para verificar las necesidades del servicio es una política,
procedimiento o control del modelo ITIL.
12. (F) El modelo CMMI se centra sólo en las políticas, dejando de lado los
procesos de los diferentes elementos a gestionar para ser certificado.
2. UNIVERSIDAD TECNICA PARTICULAR DE LOJA
ALEXANDRA CAGUANA
AUDITORIA INFORMATICA
AUTOEVALUACIONES
AUTOEVALUACION 5
Conteste correctamente las preguntas según sea el caso (V si es verdadero
o F si es falso):
1. (V) Seguridad física son todos los mecanismos destinados a proteger
físicamente cualquier recurso de un sistema.
2. (V) Los recursos de un sistema pueden ser desde un simple mouse hasta un
disco duro con toda la información de la empresa.
3. (F) La Seguridad Física está enfocada a cubrir solo amenazas ocasionadas por
la naturaleza del medio físico en que se encuentra la empresa.
4. (F) No es necesario instalaciones adecuadas para que un sistema informático
de cierta empresa funcione correctamente.
5. (V) Uno de los objetivos de la auditoría de la seguridad física es: tener medidas
para atender los riesgos de fallos, local o general de la seguridad física de la
organización.
6. (F) Una medida para atender riesgos de fallos de seguridad durante el desastre
es mantener un adecuado nivel de seguridad física sobre los activos, por ejemplo:
ubicación del edificio.
7. (V) Una medida para atender riesgos de fallos de seguridad después del
desastre es hacer efectivo el aseguramiento de la empresa.
8. (F) Existen solamente 3 áreas de seguridad física que el auditor debe tomar en
cuenta a la hora de evaluar y dar su opinión.
9. (F) La fase de la auditoría de la seguridad física donde se realiza una
verificación de los procedimientos, políticas, materiales y otros requerimientos es
el alcance de la auditoría.
10. (V) La etapa final de la auditoría de la seguridad física es presentar el informe
final donde se recogen todos los hallazgos encontrados en la misma.
CUESTIONARIO DE REPASO
1. Comente las cuatro normas básicas de la seguridad física tradicional
Las cuatro normas tradicionales son : evitar, retrasar, detectar y defender
(entendiéndose por defender una respuesta activa contra el hecho) siendo
estas de aplicación a la protección física de los sistema de información.
3. UNIVERSIDAD TECNICA PARTICULAR DE LOJA
ALEXANDRA CAGUANA
AUDITORIA INFORMATICA
AUTOEVALUACIONES
2. Exponga el concepto de defensa en profundidad
Estrategia de seguridad usando distintas técnicas para limitar los daños en el
caso de intrusión en la primera línea de defensa. Es útil contra un ataque de
día cero, ya que pone las máximas trabas posibles al atacante
3. Explique lo que se entiende por protección de perímetro
La métodos o sistemas que se implante para proteger el área donde se
almacenan soportes de información o que albergan instalaciones de proceso
de datos
4. ¿Qué indicadores se utilizan para medir la eficacia de los controles de
seguridad física?
La eficacia de cualquier perímetro de seguridad dependerá en gran medida del
nivel de seguridad de los puntos de acceso y del tipo de control de acceso que
se establezca, entendiendo por control de acceso todo aquello que abarca la
necesidad de un pase o sistema de reconocimiento personal, incluyendo los
sistemas de control y el acompañamiento de visitas autorizadas.
5. ¿Qué medida de seguridad implantaría para poder cumplir el objetivo
de control “Seguridad del cableado” de la norma ISO- 27002?
a) Disponer de líneas de fuerza (energía) y de telecomunicaciones
subterráneas protegidas, en cuanto sea posible.
b) Proteger el cableado de la red contra la interceptación o daño.
c) Separar los cables de energía de los cables de comunicaciones.
6. Explique como las medidas que tomaría para aplicar el criterio de MAP
“Se deben ubicar los terminales que manejen información y datos
sensibles en lugares donde se reduzca el riesgo de que aquellos estén
a la vista”
El indicador de riesgos ofrece un valor al proceso que permite establecer un
orden de prioridad a su supervisión y monitoreo. Este indicador permite
jerarquizar los riesgos ya que ofrece información a la administración para
tomar decisiones acerca de cuáles procesos tienen un indicador de riesgo
mayor y requieren de atenciones inmediatas y cuales son de menor
importancia que pueden ser atendidos posteriormente.
4. UNIVERSIDAD TECNICA PARTICULAR DE LOJA
ALEXANDRA CAGUANA
AUDITORIA INFORMATICA
AUTOEVALUACIONES
7. ¿Qué experto cree que deben formar parte de un equipo que va a
realizar una auditoria física de unas instalaciones de TI?
Experto que maneja hardware y software
8. Mejore y complete el cuestionario de seguridad física que se incluye
en el capítulo.
1. ¿El lugar donde se ubica el centro de cómputo está seguro de inundaciones,
robo o cualquier otra situación que pueda poner en peligro los equipos?
Si ______No ______
2. ¿El centro de cómputo da hacia el exterior?
Si ______No ______
3. ¿El material con que está construido el centro de cómputo es confiable?
Si ______No ______
4. ¿Dentro del centro de cómputo existen materiales que puedan ser
inflamables o causar algún daño a los equipos?
Si _____ ¿Cuál?_________No______
5. ¿Existe lugar suficiente para los equipos?
Si ______No ______
6. ¿Aparte del centro de cómputo se cuenta con algún lugar para almacenar
otros equipos de cómputo, muebles, suministros, etc.?
Si _____ ¿Dónde? _________________________________________ No
7. ¿Se cuenta con una salida de emergencia?
Si ______No ______
8. Existen señalamientos que las hagan visibles?
Si _____ ¿Dónde? __________________________________________No
5. UNIVERSIDAD TECNICA PARTICULAR DE LOJA
ALEXANDRA CAGUANA
AUDITORIA INFORMATICA
AUTOEVALUACIONES
AUTOEVALUACION 6
Conteste o seleccione la pregunta según sea el caso V o F:
1. (F) Un actor que genera una amenaza sólo pueden ser los humanos.
2. (V) Un activo es cualquier objeto de valor de la organización que puede ser
afectado por un evento y crear un impacto en la organización.
3. (V) Para identificar un riesgo primero debemos visualizar una vulnerabilidad o
amenaza.
4. (V) El impacto debe traducirse a términos del negocio.
5. (V) Cada riesgo debe tener asociada una probabilidad de ocurrencia.
6. (F) La magnitud del riesgo es igual a la probabilidad de ocurrencia únicamente.
7. (V) El impacto es un indicador que compone el riesgo y que indica las
consecuencias en caso de que se materialice un riesgo.
8. (V) La probabilidad e impacto son los 2 componentes que definen al riesgo.
9. (V) COBIT define los objetivos de control que componen el proceso de
administración de riesgos de TI.
10. (F) El impacto puede definirse con métodos cuantitativos únicamente.
CUESTIONARIO DE REPASO
1. ¿Qué diferencias y similitudes existen entre las metodologías
cualitativas y cuantitativas? ¿Qué ventajas y que inconvenientes
tienen?
Diferencias:
Las cuantitativas se basan en un modelo matemático numérico que ayuda a la
realización del trabajo, y las cualitativas se basan en el razonamiento humano
capaz de definir un proceso de trabajo.
Similitudes:
Ambas van encaminadas a establecer y mejorar un entramado de
contramedidas que garanticen que la probabilidad de que las amenizas se
materialicen, sea lo más baja posible o al menos quede reducida de una forma
razonable en costo-beneficio, y también dependen de un profesional.
6. UNIVERSIDAD TECNICA PARTICULAR DE LOJA
ALEXANDRA CAGUANA
AUDITORIA INFORMATICA
AUTOEVALUACIONES
Ventajas:
- Cualitativas: enfoca lo más amplio, plan de trabajo flexible y reductivo, se
concentra en la identificación de eventos, incluye factores intangibles.
- Cuantitativas: enfoca pensamientos mediante uso de números, facilita la
comparación de vulnerabilidades muy distintas, proporciona una cifra
justificante para cada contramedida.
Desventajas:
- Cualitativas: depende fuertemente de la habilidad y calidad del personal
involucrado, puede excluir riesgos significantes desconocidos, identificación de
eventos reales más claros al no tener que aplicar probabilidades complejas de
calcular, dependen de un profesional.
- Cuantitativas: la estimación de probabilidades dependen de estadísticas
fiables inexistentes, estimación de las pérdidas potenciales solo si son valores
cuantificables, metodologías estándares difíciles de mantener o modificar.
2. ¿Cuáles son los componentes de una contramedida o control (pirámide
de la seguridad)? ¿Qué papel desempeñan las herramientas de control?
¿Cuáles son las herramientas de control más frecuentes?
Componentes: la normativa, la organización, las metodologías, los objetivos de
control, los procedimientos de control, tecnologías de seguridad, las
herramientas de control.
- El papel que desempeñan las herramientas de control que permite definir uno
o varios procedimientos de control para cumplir una normativa y un objetivo de
control.
Herramientas de control más frecuentes: seguridad lógica del sistema,
seguridad lógica complementaria al sistema, seguridad lógica para entornos
distribuidos, control de acceso físico, control de copias, gestión de soporte
magnético, gestión y control de impresión y envío de listados por red, control
de proyectos, control de versiones, control y gestión de incidencias, control de
cambio.
3- ¿Qué tipo de metodologías de plan de contingencia existen? ¿en que
se diferencian? ¿Qué es un plan de contingencia?
-Existen dos tipos de metodología plan de contingencia, que son contingencia
informática y contingencia corporativa.
7. UNIVERSIDAD TECNICA PARTICULAR DE LOJA
ALEXANDRA CAGUANA
AUDITORIA INFORMATICA
AUTOEVALUACIONES
- Diferencias: la corporativa cubre no sola la informática sino todos los
departamentos de una entidad, y puede incluir también el informativo como un
departamento más.
-Un plan de contingencia es una estrategia planificada por un conjunto de
recursos de respaldo, una organización de emergencia y unos procedimientos
de actuación encaminada a conseguir una restauración progresiva y ágil de los
servicios de negocios afectados por una paralización total o parcial de la
capacidad operativa de la empresa.
4- ¿Qué metodologías de auditoria informática existen? ¿Para qué se usa
cada una?
Existen dos familias distintas, las auditorias de controles generales y las
metodologías de los auditores internos.
Las auditorias de controles generales se usan para obtener una opinión sobre
la fiabilidad de los datos, basadas en pequeños cuestionarios estándares que
dan como resultados informes muy generalistas. Por otro lado la metodología
de auditor interno también cumple la misma función pero son diseñadas por el
propio auditor.
5- ¿Qué es el nivel de exposición y para qué sirve?
El nivel de exposición es un indicativo definido subjetivamente que permite en
base a la evaluación final de la última auditoría realizada definir la fecha de la
repetición de la misma auditoria.
6- ¿Qué diferencias existen entre las figuras de auditoria informática y
control interno informático? ¿Cuáles son las funciones más importantes
de este?
La clara diferencia entre ambos elementos es que, el control interno monta los
controles del proceso informático, mientras que la auditoria informática evalúa
el grado de control.
Funciones principal:
- Control interno informático: funciones de control dual con otros
departamentos normativa y del cumplimiento del marco jurídico, responsable
del desarrollo y mantenimiento del plan de contingencias, controles de coste,
controles de medida de seguridad física o corporativa en la información.
8. UNIVERSIDAD TECNICA PARTICULAR DE LOJA
ALEXANDRA CAGUANA
AUDITORIA INFORMATICA
AUTOEVALUACIONES
7- ¿Cuáles son las dos metodologías más importantes para control
interno informático? ¿Para qué sirve cada una?
Cuantitativa: sirve para la realización de un trabajo.
Cuantitativa: sirve para definir un proceso de trabajo y seleccionar en base las
experiencias acumuladas.
8- ¿Qué papel tienen las herramientas de control en los controles?
Las herramientas de control son elementos software que por sus
características funcionales permiten vertebrar el control de una manera más
actual y más automatizadas.
9- ¿Cuáles son los objetivos de control en el acceso lógico?
Segregación de funciones entre los usuarios, integridad de los “log” e
imposibilidad de desactivarlos por ningún perfil para poder revisarlos, gestión
centralizada de la seguridad o al menos única, contraseña única para los
distintos sistemas de la red, la contraseña y archivos con perfiles y derechos
inaccesibles a todos, el sistema debe rechazar a los usuarios que no usan la
clave, separación de entornos, el log o los log’s de actividad no podrán
desactivarse a voluntad, el sistema debe obligar a los usuarios a cambiar la
contraseña y es frecuente encontrar mecanismos de auto-loguot.
10-¿Qué es la certificación de seguridad? ¿Qué aporta la ISO 17799?
¿Qué metodología se utiliza en el desarrollo de un SGSI?
Es una medida adicional de confianza a los usuarios que visitan y realizan
actividades o transacciones en una página web. Permite el cifrado de los datos
entre el servidor representante a la página y los datos del ordenador del
usuario.
Un concepto más preciso sería que un certificado de seguridad logra que los
datos personales de los usuarios queden en citados y de esta forma sea
imposible por los demás usuarios interceptarlos.