El documento presenta información sobre auditoría de sistemas e ingeniería de sistemas y seguridad informática impartida por el Mg. Ing. Jack Daniel Cáceres Meza, PMP. Se incluyen definiciones de riesgo tecnológico, modelos de seguridad de la información, marcos de control como COBIT y niveles de gobernanza, entre otros temas relacionados a la seguridad de sistemas y auditoría.
La auditoría de sistemas nos permite conocer las fortalezas y debilidades de nuestra empresa respecto a los controles de sistemas e información. Es importante realizar auditorías para mantener la seguridad y confiabilidad de los sistemas y mejorar procesos. Existen varios tipos de auditorías como de explotación, desarrollo de proyectos, comunicaciones y seguridad.
Estudio detallado de los sistemas de información del SNIP actualmente operand...Jack Daniel Cáceres Meza
Este documento resume los resultados de una evaluación técnica de los sistemas de información del Sistema Nacional de Inversión Pública (SNIP) en Perú. La evaluación encontró que los sistemas de información del SNIP presentan un alto riesgo debido a la falta de procesos establecidos, procedimientos documentados y controles de seguridad de la información en los servidores y equipos de comunicación. Se recomienda que la Dirección General de Programación de Inversiones (DGPI) y la Oficina General de Tecnologías de Información (
El documento trata sobre las prácticas de auditoría informática. Explica que la auditoría tiene como objetivo revisar los controles establecidos para mantener la seguridad de los sistemas de información y asegurar que la información producida sea confiable. También describe algunas herramientas de software que pueden usarse para facilitar la auditoría, como generadores de datos de prueba y monitores de rendimiento.
Este documento presenta los conceptos básicos de la auditoría informática, incluyendo las características, factores que la propician, riesgos informáticos, amenazas, vulnerabilidades, impacto y administración de riesgos. También describe normas como COBIT, COSO e ISO y los cuatro dominios de COBIT para gobernar efectivamente la tecnología de la información: planear y organizar, adquirir e implementar, entregar y dar soporte, y monitorear y evaluar.
Principales areas de la auditoria informaticaCarlos Ledesma
El documento describe cinco tipos de auditoría: física, de ofimática, de dirección, de explotación y de desarrollo. La auditoría física audita la seguridad física de los activos. La auditoría de ofimática audita los sistemas de oficina como hojas de cálculo y bases de datos. La auditoría de dirección audita los procesos gerenciales. La auditoría de explotación audita los procesos de producción informática. Y la auditoría de desarrollo audita el desarrollo de nuevos sistemas.
La auditoría de sistemas nos permite conocer las fortalezas y debilidades de nuestra empresa respecto a los controles de sistemas e información. Es importante realizar auditorías para mantener la seguridad y confiabilidad de los sistemas y mejorar procesos. Existen varios tipos de auditorías como de explotación, desarrollo de proyectos, comunicaciones y seguridad.
Estudio detallado de los sistemas de información del SNIP actualmente operand...Jack Daniel Cáceres Meza
Este documento resume los resultados de una evaluación técnica de los sistemas de información del Sistema Nacional de Inversión Pública (SNIP) en Perú. La evaluación encontró que los sistemas de información del SNIP presentan un alto riesgo debido a la falta de procesos establecidos, procedimientos documentados y controles de seguridad de la información en los servidores y equipos de comunicación. Se recomienda que la Dirección General de Programación de Inversiones (DGPI) y la Oficina General de Tecnologías de Información (
El documento trata sobre las prácticas de auditoría informática. Explica que la auditoría tiene como objetivo revisar los controles establecidos para mantener la seguridad de los sistemas de información y asegurar que la información producida sea confiable. También describe algunas herramientas de software que pueden usarse para facilitar la auditoría, como generadores de datos de prueba y monitores de rendimiento.
Este documento presenta los conceptos básicos de la auditoría informática, incluyendo las características, factores que la propician, riesgos informáticos, amenazas, vulnerabilidades, impacto y administración de riesgos. También describe normas como COBIT, COSO e ISO y los cuatro dominios de COBIT para gobernar efectivamente la tecnología de la información: planear y organizar, adquirir e implementar, entregar y dar soporte, y monitorear y evaluar.
Principales areas de la auditoria informaticaCarlos Ledesma
El documento describe cinco tipos de auditoría: física, de ofimática, de dirección, de explotación y de desarrollo. La auditoría física audita la seguridad física de los activos. La auditoría de ofimática audita los sistemas de oficina como hojas de cálculo y bases de datos. La auditoría de dirección audita los procesos gerenciales. La auditoría de explotación audita los procesos de producción informática. Y la auditoría de desarrollo audita el desarrollo de nuevos sistemas.
Este documento presenta una agenda para una clase sobre auditoría de sistemas. Explica conceptos clave como qué es una auditoría de sistemas y sus tipos principales. Los objetivos generales de una auditoría de sistemas incluyen mejorar la relación costo-beneficio de los sistemas, incrementar la satisfacción de los usuarios, y asegurar la integridad y confidencialidad de la información a través de recomendaciones de seguridad y controles.
El documento describe los diferentes tipos de auditoría informática, incluyendo la auditoría de sistemas, de desarrollo de proyectos, de comunicaciones, de seguridad y de explotación. También detalla los objetivos, áreas y etapas de una auditoría, así como las herramientas y recursos necesarios para llevarla a cabo de manera efectiva.
La auditoría de seguridad informática evalúa los sistemas informáticos para detectar errores y fallas de seguridad, con el fin de mejorar la protección de la información. Incluye el análisis de equipos, redes, procedimientos de seguridad y vulnerabilidades, para generar informes que identifiquen problemas y recomienden medidas correctivas. El objetivo es conocer el estado actual de la seguridad y fortalecerla mediante la corrección de fallos y la prevención de amenazas.
El documento habla sobre la definición, métodos y tipos de auditoría informática. Explica que la auditoría interna evalúa los recursos y procesos de una organización mientras que la externa es realizada por personas ajenas a la empresa. También describe los objetivos, ventajas, alcances y síntomas que indican la necesidad de una auditoría, así como los fundamentos, consideraciones y aspectos a evaluar durante el proceso.
Este documento presenta el plan de prácticas pre-profesionales para realizar una auditoría de red informática en el Centro de Salud Pueblo Joven Centenario en Abancay. El objetivo general es desarrollar un modelo de gestión mediante la verificación de vulnerabilidades y riesgos en la red. Se utilizará la metodología COBIT para la planificación, ejecución e informe de la auditoría. La auditoría evaluará aspectos como la seguridad, recursos humanos y sistemas informáticos para mejorar el control y toma de
La auditoría de bases de datos es importante para garantizar la integridad y seguridad de la información almacenada. Es necesario evaluar los riesgos, analizar los controles de acceso, y establecer pruebas para cada base de datos y usuario. La planificación de la auditoría incluye identificar todas las bases de datos, clasificar los niveles de riesgo de los datos, y analizar los permisos de acceso existentes.
El documento habla sobre auditoría de sistemas informáticos. Explica que una auditoría de sistemas es el proceso de revisar y evaluar todos los aspectos de los sistemas computarizados de procesamiento de información, incluyendo procedimientos no automatizados e interfaces. El objetivo es mejorar la relación costo-beneficio de los sistemas, conocer la situación actual del área de TI y garantizar que la tecnología apoye los objetivos de la organización. La auditoría evalúa la seguridad, uso de recursos y base de datos.
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
El documento describe los antecedentes históricos de la auditoría y la auditoría de sistemas de información. Comenzó en la década de 1950 con la introducción de las máquinas de proceso de datos y ha evolucionado para adaptarse a los cambios tecnológicos, pasando por etapas como la auditoría alrededor del ordenador, la auditoría del ordenador y la auditoría con el ordenador. También destaca cómo la tecnología ha impactado las funciones de la auditoría y las ventajas de la auditoría asistida por computadora.
Auditoria, seguridad y control de sistemas.pptFredy EC
Este documento describe los conceptos y tipos de auditoría informática. Explica que la auditoría informática evalúa la efectividad y eficiencia del uso de recursos informáticos y si estos apoyan los objetivos del negocio. Describe cuatro tipos principales de auditoría informática: de inversión, seguridad, organización y dirección. También detalla cuatro áreas específicas de auditoría: explotación, sistemas, comunicaciones y desarrollo de proyectos. Finalmente, explica algunas herramientas y técnicas comunes util
Este documento discute el concepto de calidad de la información. Explica que la calidad de la información se juzga según cuatro categorías: accesibilidad, presentación, contexto e intrínseca. También describe los principales atributos que debe cumplir la información para ser de calidad como contenido apropiado, oportunidad, actualización y exactitud. Además, presenta la información como un producto con un ciclo de vida que involucra a recolectores, custodios y consumidores.
El documento propone una metodología para la auditoría de seguridad de aplicaciones web que identifique las características y funcionalidades más comunes de las aplicaciones web y determine las vulnerabilidades y amenazas a las que están expuestas. La metodología verificará las características de las aplicaciones web para identificar vulnerabilidades y amenazas y recomendar medidas de seguridad.
El documento presenta el plan de trabajo de una auditoría de hardware y software que se llevará a cabo en las estaciones de trabajo de una empresa. La auditoría evaluará aspectos de seguridad física, políticas de uso y transferencia de datos, y seguridad de activos. El plan describe 11 etapas que incluyen recopilación de información, identificación de riesgos, determinación y prueba de controles, obtención de resultados, y presentación de informes preliminares y finales a los directivos de la empresa.
Este documento presenta un libro sobre auditoría informática. El libro cubre conceptos clave de auditoría y control interno, métodos de auditoría informática, aspectos jurídicos y deontológicos, y aplicaciones de auditoría en diversos sectores como banca, transporte aéreo y administración pública. El libro está dirigido a auditores, profesionales de TI, directivos, abogados y estudiantes interesados en ampliar sus conocimientos sobre esta área.
El documento describe las áreas más vulnerables de seguridad en una organización, incluyendo el organigrama, auditoría interna, administración de seguridad, centro de procesamiento de datos, equipos y comunicaciones, y seguridad física del personal. También detalla los pasos para auditar estas áreas, como observación de instalaciones, revisión de documentos, entrevistas con el personal y uso discreto de herramientas como cuadernos de campo, grabadoras y cámaras.
Este documento define una auditoría de seguridad y describe sus parámetros clave. Explica que una auditoría de seguridad es un examen sistemático de una planta para verificar la suficiencia de su programa de seguridad y salud. Luego describe objetivos, principios, alcance, frecuencia, criterios de auditoría y contenido de una auditoría de seguridad. El contenido incluye elementos como liderazgo, análisis de riesgos, investigación de accidentes, capacitación y equipos de protección personal.
Este documento describe la auditoría de aplicaciones informáticas. Resume los tipos de controles, herramientas y etapas de la auditoría, incluyendo entrevistas, encuestas, observación, pruebas de conformidad y validación. También cubre el uso del computador para la auditoría y objetivos como evaluar el control de accesos y la satisfacción de los usuarios.
El documento describe los controles de proyectos de desarrollo de software. Explica que el objetivo de los controles es vigilar las actividades de desarrollo para evitar desviaciones de costos y plazos. Describe los tipos de controles (preventivos, detectivos y correctivos) y el procedimiento para realizar controles que incluye definir puntos de control, controlar tareas, proponer acciones correctivas y controlar cambios.
El documento habla sobre la importancia de la seguridad física en sistemas de información. Menciona que las áreas más vulnerables son el organigrama, la auditoría interna y la administración de la seguridad. También describe técnicas de auditoría como la observación, revisión de documentos e entrevistas con el personal.
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
El documento describe varias metodologías y herramientas para la auditoría de bases de datos. Explica los objetivos de control a lo largo del ciclo de vida de una base de datos, así como los sistemas, software y herramientas necesarios para la auditoría como sistemas de gestión de bases de datos, software de auditoría y herramientas de minería de datos. También cubre aspectos como la seguridad física y lógica, auditoría de aplicaciones, producción, bases de datos, comunicaciones y redes, y continuidad de operaciones.
Este documento trata sobre la auditoría de sistemas de información. Explica que inicialmente la informática apoyó áreas como contabilidad y nóminas, lo que llevó al desarrollo de la auditoría de sistemas. Ahora, la tecnología informática es fundamental para todas las actividades empresariales. La auditoría en informática es un proceso formal para evaluar que los recursos tecnológicos se administran de forma adecuada y apoyan la rentabilidad del negocio.
La norma ISO 27001 adopta un enfoque basado en procesos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información en una organización. La norma ayuda a proteger los activos de información de una organización y otorga confianza a clientes, proveedores y socios a través de un enfoque centrado en procesos.
Este documento presenta una agenda para una clase sobre auditoría de sistemas. Explica conceptos clave como qué es una auditoría de sistemas y sus tipos principales. Los objetivos generales de una auditoría de sistemas incluyen mejorar la relación costo-beneficio de los sistemas, incrementar la satisfacción de los usuarios, y asegurar la integridad y confidencialidad de la información a través de recomendaciones de seguridad y controles.
El documento describe los diferentes tipos de auditoría informática, incluyendo la auditoría de sistemas, de desarrollo de proyectos, de comunicaciones, de seguridad y de explotación. También detalla los objetivos, áreas y etapas de una auditoría, así como las herramientas y recursos necesarios para llevarla a cabo de manera efectiva.
La auditoría de seguridad informática evalúa los sistemas informáticos para detectar errores y fallas de seguridad, con el fin de mejorar la protección de la información. Incluye el análisis de equipos, redes, procedimientos de seguridad y vulnerabilidades, para generar informes que identifiquen problemas y recomienden medidas correctivas. El objetivo es conocer el estado actual de la seguridad y fortalecerla mediante la corrección de fallos y la prevención de amenazas.
El documento habla sobre la definición, métodos y tipos de auditoría informática. Explica que la auditoría interna evalúa los recursos y procesos de una organización mientras que la externa es realizada por personas ajenas a la empresa. También describe los objetivos, ventajas, alcances y síntomas que indican la necesidad de una auditoría, así como los fundamentos, consideraciones y aspectos a evaluar durante el proceso.
Este documento presenta el plan de prácticas pre-profesionales para realizar una auditoría de red informática en el Centro de Salud Pueblo Joven Centenario en Abancay. El objetivo general es desarrollar un modelo de gestión mediante la verificación de vulnerabilidades y riesgos en la red. Se utilizará la metodología COBIT para la planificación, ejecución e informe de la auditoría. La auditoría evaluará aspectos como la seguridad, recursos humanos y sistemas informáticos para mejorar el control y toma de
La auditoría de bases de datos es importante para garantizar la integridad y seguridad de la información almacenada. Es necesario evaluar los riesgos, analizar los controles de acceso, y establecer pruebas para cada base de datos y usuario. La planificación de la auditoría incluye identificar todas las bases de datos, clasificar los niveles de riesgo de los datos, y analizar los permisos de acceso existentes.
El documento habla sobre auditoría de sistemas informáticos. Explica que una auditoría de sistemas es el proceso de revisar y evaluar todos los aspectos de los sistemas computarizados de procesamiento de información, incluyendo procedimientos no automatizados e interfaces. El objetivo es mejorar la relación costo-beneficio de los sistemas, conocer la situación actual del área de TI y garantizar que la tecnología apoye los objetivos de la organización. La auditoría evalúa la seguridad, uso de recursos y base de datos.
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
El documento describe los antecedentes históricos de la auditoría y la auditoría de sistemas de información. Comenzó en la década de 1950 con la introducción de las máquinas de proceso de datos y ha evolucionado para adaptarse a los cambios tecnológicos, pasando por etapas como la auditoría alrededor del ordenador, la auditoría del ordenador y la auditoría con el ordenador. También destaca cómo la tecnología ha impactado las funciones de la auditoría y las ventajas de la auditoría asistida por computadora.
Auditoria, seguridad y control de sistemas.pptFredy EC
Este documento describe los conceptos y tipos de auditoría informática. Explica que la auditoría informática evalúa la efectividad y eficiencia del uso de recursos informáticos y si estos apoyan los objetivos del negocio. Describe cuatro tipos principales de auditoría informática: de inversión, seguridad, organización y dirección. También detalla cuatro áreas específicas de auditoría: explotación, sistemas, comunicaciones y desarrollo de proyectos. Finalmente, explica algunas herramientas y técnicas comunes util
Este documento discute el concepto de calidad de la información. Explica que la calidad de la información se juzga según cuatro categorías: accesibilidad, presentación, contexto e intrínseca. También describe los principales atributos que debe cumplir la información para ser de calidad como contenido apropiado, oportunidad, actualización y exactitud. Además, presenta la información como un producto con un ciclo de vida que involucra a recolectores, custodios y consumidores.
El documento propone una metodología para la auditoría de seguridad de aplicaciones web que identifique las características y funcionalidades más comunes de las aplicaciones web y determine las vulnerabilidades y amenazas a las que están expuestas. La metodología verificará las características de las aplicaciones web para identificar vulnerabilidades y amenazas y recomendar medidas de seguridad.
El documento presenta el plan de trabajo de una auditoría de hardware y software que se llevará a cabo en las estaciones de trabajo de una empresa. La auditoría evaluará aspectos de seguridad física, políticas de uso y transferencia de datos, y seguridad de activos. El plan describe 11 etapas que incluyen recopilación de información, identificación de riesgos, determinación y prueba de controles, obtención de resultados, y presentación de informes preliminares y finales a los directivos de la empresa.
Este documento presenta un libro sobre auditoría informática. El libro cubre conceptos clave de auditoría y control interno, métodos de auditoría informática, aspectos jurídicos y deontológicos, y aplicaciones de auditoría en diversos sectores como banca, transporte aéreo y administración pública. El libro está dirigido a auditores, profesionales de TI, directivos, abogados y estudiantes interesados en ampliar sus conocimientos sobre esta área.
El documento describe las áreas más vulnerables de seguridad en una organización, incluyendo el organigrama, auditoría interna, administración de seguridad, centro de procesamiento de datos, equipos y comunicaciones, y seguridad física del personal. También detalla los pasos para auditar estas áreas, como observación de instalaciones, revisión de documentos, entrevistas con el personal y uso discreto de herramientas como cuadernos de campo, grabadoras y cámaras.
Este documento define una auditoría de seguridad y describe sus parámetros clave. Explica que una auditoría de seguridad es un examen sistemático de una planta para verificar la suficiencia de su programa de seguridad y salud. Luego describe objetivos, principios, alcance, frecuencia, criterios de auditoría y contenido de una auditoría de seguridad. El contenido incluye elementos como liderazgo, análisis de riesgos, investigación de accidentes, capacitación y equipos de protección personal.
Este documento describe la auditoría de aplicaciones informáticas. Resume los tipos de controles, herramientas y etapas de la auditoría, incluyendo entrevistas, encuestas, observación, pruebas de conformidad y validación. También cubre el uso del computador para la auditoría y objetivos como evaluar el control de accesos y la satisfacción de los usuarios.
El documento describe los controles de proyectos de desarrollo de software. Explica que el objetivo de los controles es vigilar las actividades de desarrollo para evitar desviaciones de costos y plazos. Describe los tipos de controles (preventivos, detectivos y correctivos) y el procedimiento para realizar controles que incluye definir puntos de control, controlar tareas, proponer acciones correctivas y controlar cambios.
El documento habla sobre la importancia de la seguridad física en sistemas de información. Menciona que las áreas más vulnerables son el organigrama, la auditoría interna y la administración de la seguridad. También describe técnicas de auditoría como la observación, revisión de documentos e entrevistas con el personal.
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
El documento describe varias metodologías y herramientas para la auditoría de bases de datos. Explica los objetivos de control a lo largo del ciclo de vida de una base de datos, así como los sistemas, software y herramientas necesarios para la auditoría como sistemas de gestión de bases de datos, software de auditoría y herramientas de minería de datos. También cubre aspectos como la seguridad física y lógica, auditoría de aplicaciones, producción, bases de datos, comunicaciones y redes, y continuidad de operaciones.
Este documento trata sobre la auditoría de sistemas de información. Explica que inicialmente la informática apoyó áreas como contabilidad y nóminas, lo que llevó al desarrollo de la auditoría de sistemas. Ahora, la tecnología informática es fundamental para todas las actividades empresariales. La auditoría en informática es un proceso formal para evaluar que los recursos tecnológicos se administran de forma adecuada y apoyan la rentabilidad del negocio.
La norma ISO 27001 adopta un enfoque basado en procesos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información en una organización. La norma ayuda a proteger los activos de información de una organización y otorga confianza a clientes, proveedores y socios a través de un enfoque centrado en procesos.
El sílabo presenta la asignatura de Auditoría de Sistemas de la carrera de Ingeniería de Sistemas y Seguridad Informática. La asignatura dura 17 semanas con 3 evaluaciones, abarca temas como la introducción a la auditoría, normatividad referente a seguridad informática, y utiliza métodos como exposición dialogada, lluvia de ideas y desarrollo de casos para lograr las competencias de reconocer y comprender los conceptos de auditoría.
Este documento presenta el sílabo de la asignatura "Minicomputadoras". Describe los objetivos generales del curso, que son comprender la estructura y funcionamiento de las minicomputadoras comparadas con los microcomputadores, y proporcionar conocimientos sobre sus aplicaciones y tecnologías. También presenta el programa semanal con los contenidos temáticos, la metodología de enseñanza, y la forma de evaluación del aprendizaje.
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datosJack Daniel Cáceres Meza
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos.
Fue dictado en la Universidad Tecnológica del Perú -UTP, Lima - Perú, en los ciclos 2011-2 (junio/2011), 2011-3 (octubre/2011) y 2012-1 (abril/2012).
2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_danielJack Daniel Cáceres Meza
Este documento describe los factores que deben considerarse para dimensionar adecuadamente un proyecto informático, incluyendo métodos de dimensionamiento, claridad en los requerimientos, suposiciones, alcances del proyecto, pruebas, herramientas, documentación y soporte. El objetivo es valorar la importancia de un dimensionamiento exhaustivo para el éxito del proyecto.
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicioJack Daniel Cáceres Meza
Este documento presenta información sobre acuerdos de nivel de servicio (ANS) para redes de telecomunicaciones. Explica objetivos de ANS, algunas definiciones clave, expectativas de usuarios, y consideraciones técnicas importantes como ancho de banda mínimo y retardo máximo. También discute mejores prácticas para la implementación efectiva de ANS y sus beneficios para proveedores y clientes.
Curso: Administración de proyectos informáticos: 08 Métricas de proyectosJack Daniel Cáceres Meza
Curso: Administración de proyectos informáticos: 08 Métricas de proyectos.
Dictado en la Universidad Telesup, Lima - Perú, en los ciclos 2007-2 (noviembre/2007), 2008-1 (febrero/2008), 2009-1 (marzo/2009), 2010-1 (marzo/2010), 2011-1 (marzo/2011).
Curso: Comunicación de datos y redes: 10 Redes de área amplia.
Dictado en la Universidad Telesup -UPT, Lima - Perú, en los ciclos 2008-2 (noviembre/2008), 2009-1 (marzo/2009), 2010-0 (enero/2010), 2010-1 (marzo/2010), 2011-1 (marzo/2011).
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...Jack Daniel Cáceres Meza
Este documento presenta la introducción a un curso sobre seguridad de la información dictado por el ingeniero Jack Daniel Cáceres Meza. Se detallan los objetivos del curso, la metodología, el sistema de evaluación y consideraciones generales. También se incluye información sobre el expositor, normas ISO/IEC de seguridad de la información y conceptos básicos para el desarrollo de un sistema de gestión de seguridad de la información.
Este documento presenta una introducción a la auditoría informática. Define la auditoría y las características de un auditor. Explica las ventajas y desventajas de las auditorías internas y externas. Define la auditoría informática y su importancia para una organización. Detalla los objetivos y características de la auditoría informática.
El documento presenta conceptos clave sobre riesgos en seguridad informática como riesgo, amenaza, vulnerabilidad e impacto. Explica la clasificación de activos y la importancia de valorar la información como un activo valioso. También describe procesos de gestión de riesgos como la evaluación, identificación y análisis de riesgos usando métodos como DREAD.
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas en seguridad de la información.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
1)Generalidades de la seguridad del área física.
2)Seguridad lógica y confidencial.
3)Seguridad personal.
4)Clasificación de los controles de seguridad.
5)Seguridad en los datos y software de aplicación.
6)Controles para evaluar software de aplicación.
7)Controles para prevenir crímenes y fraudes informáticos.
8)Plan de contingencia, seguros, procedimientos de recuperación de desastres.
9)Técnicas y herramientas relacionadas con la seguridad física y del personal.
10)Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación.
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de aplicar en una red de datos corporativa.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Jack Daniel Cáceres Meza
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de seguridad modernas.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
El documento trata sobre la seguridad informática. Explica conceptos como confidencialidad, integridad y disponibilidad. Detalla factores de riesgo como errores de usuarios, virus y hackers. También describe mecanismos de seguridad como cifrado, cortafuegos y copias de seguridad. Resalta la importancia de proteger la información y usar herramientas de seguridad para minimizar riesgos.
Este documento presenta un análisis técnico de seguridad. Explica que este análisis identifica vulnerabilidades evaluando cómo los activos de una empresa están configurados, estructurados en la red y administrados. Luego describe los pasos para analizar técnicamente diferentes tipos de activos como estaciones de trabajo, servidores, equipos de conectividad, conexiones, bases de datos y aplicaciones. Finalmente, proporciona ejemplos para ilustrar este proceso de análisis.
El documento presenta información sobre ciberseguridad y marcos de referencia relacionados. Discute el Marco de Ciberseguridad del NIST, incluido su desarrollo y aplicación. También cubre la situación actual de Colombia en materia de ciberseguridad y marcos regulatorios. El documento enfatiza la importancia del talento humano para el éxito de los programas y estrategias de ciberseguridad.
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
Este documento trata sobre la gestión de seguridad en redes. Explica la importancia de implementar controles de red y sistemas de gestión de seguridad para proteger la información y los activos de una organización. También recomienda el uso de herramientas como firewalls, antivirus, sistemas anti-spam e IDS para fortalecer la seguridad de la red.
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesJack Daniel Cáceres Meza
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales.
Dictado en la Universidad Telesup -UPT, Lima - Perú, en los ciclos 2008-2 (noviembre/2008), 2009-1 (marzo/2009), 2010-0 (enero/2010), 2010-1 (marzo/2010), 2011-1 (marzo/2011).
Ibm inf sec_tratamientodatos_briefprensa_v1Kandu Tapia
El documento discute la protección de datos personales y la seguridad de la información. Explica que se necesita la cantidad adecuada de seguridad basada en el riesgo y las prioridades de la organización, no simplemente seguir las recomendaciones de proveedores. También aboga por una colaboración innovadora que complemente los enfoques tradicionales de seguridad y por implementar controles de seguridad en varias capas para cumplir con los requisitos de protección de datos. Finalmente, enfatiza que la seguridad es un proceso continuo
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Kandu Tapia
Enfoque de IBM en torno al tema de Seguridad de la Información desde una perspectiva del Negocio, así como un acercamiento a la Ley Federal de Datos Personales en Posesión de los Particulares (LFDPPP).
Presentada por Roque C. Juárez, CISSP, CISA, CISM, ISO 27001 LA, Consultor de Seguridad de la Información en IBM de México.
Análisis de seguridad de la información para betmakerMarvin Zumbado
El documento analiza la seguridad de la información de una empresa de apuestas deportivas. Identifica los activos, riesgos y vulnerabilidades existentes, así como los controles de seguridad implementados y recomendados. Concluye que la seguridad de la información requiere más inversión, monitoreo continuo y simulacros para estar preparados ante posibles amenazas.
Este documento describe los pasos para establecer un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO 27001. Explica la importancia de la información como un activo valioso para las empresas y los riesgos a los que está expuesta. Luego detalla cada paso del proceso de implementación de un SGSI, incluyendo identificar los activos de información, evaluar riesgos, desarrollar un plan de implementación y monitorear el sistema de seguridad. El objetivo final es ayudar a las organizaciones a
Similar a Curso: Auditoría de sistemas: 02 Plan de trabajo (20)
ITIL® es un modelo de referencia que resume un extenso conjunto de procesos de gestión que ayudan a las organizaciones a lograr calidad y eficiencia en sus operaciones de TI. La adecuada gestión de los servicios de TI es clave para la Gobernabilidad de TI cuyo objetivo es asegurar que el área de TI, a través de indicadores y controles apropiados y confiables, está actuando como verdadero soporte de las estrategias del negocio y no como un silo, y así coadyuvar al negocio en lograr grandes ventajas competitivas. Por ejemplo, ITIL® ha sido adoptado por miles de organizaciones en todo el mundo, entre otras la NASA, Microsoft y HSBC.
ITIL® es un modelo de referencia que resume un extenso conjunto de procesos de gestión que ayudan a las organizaciones a lograr calidad y eficiencia en sus operaciones de TI. La adecuada gestión de los servicios de TI es clave para la Gobernabilidad de TI cuyo objetivo es asegurar que el área de TI, a través de indicadores y controles apropiados y confiables, está actuando como verdadero soporte de las estrategias del negocio y no como un silo, y así coadyuvar al negocio en lograr grandes ventajas competitivas. Por ejemplo, ITIL® ha sido adoptado por miles de organizaciones en todo el mundo, entre otras la NASA, Microsoft y HSBC.
Este documento presenta la información sobre un curso de COBIT 5 Fundamentos dictado por el ingeniero Jack Daniel Cáceres Meza. El curso tiene como objetivo proveer principios y prácticas mundialmente aceptados de gobierno y gestión de TI para ayudar a incrementar la confianza y el valor de los sistemas de información alineados con los objetivos del negocio. El curso consta de 4 sesiones que cubren temas como introducción a COBIT 5, principios y catalizadores de COBIT 5 e implementación. Se utilizará una
El documento presenta la información de un taller de certificación ITIL® que será dictado por el Ingeniero Jack Daniel Cáceres Meza. El taller cubrirá cuatro sesiones con contenido sobre los conceptos y procesos clave de ITIL® para ayudar a los participantes a prepararse para el examen de certificación Fundamentos de ITIL®. El documento incluye los objetivos del curso, la metodología a seguir, el programa detallado y la información de contacto del expositor.
Este documento presenta la biografía y experiencia profesional de Mg. Ing. Jack Daniel Cáceres Meza, PMP. Cáceres es ingeniero electrónico con más de 33 años de experiencia en gestión de proyectos, servicios, seguridad de la información y calidad. Ha trabajado como consultor en tecnologías de la información y comunicaciones y tiene experiencia en jefatura de centros de cómputo, planeamiento estratégico de TIC, auditoría informática y diseño e implementación de redes.
El documento presenta los resultados de una encuesta realizada a áreas técnicas de OFIN y DIGETE sobre el cumplimiento de la norma ISO/IEC 17799 en seguridad de la información. Se identificó bajo cumplimiento de los controles de seguridad, con respuestas negativas en el 72% de los casos. Además, los dominios que recibieron mayor atención fueron operaciones y control de accesos, mientras que gestión de activos, incidentes, continuidad y cumplimiento regulatorio tuvieron baja priorización. El anális
Este documento define el alcance propuesto para el Sistema de Gestión de Seguridad de la Información del Ministerio de Educación del Perú. Se propone que el alcance incluya los procesos de la Dirección General de Tecnologías Educativas y la Oficina de Informática, debido a que estas áreas son responsables de prestar servicios tecnológicos clave que apoyan las funciones del Ministerio. Adicionalmente, se justifica que estas áreas están alineadas con la estrategia y objetivos institucionales del Ministerio, los cuales
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Jack Daniel Cáceres Meza
El documento presenta una propuesta para ampliar los servicios de una compañía de telecomunicaciones (RCP) al ámbito de las tecnologías de la información y comunicaciones (TIC). La propuesta incluye una evaluación del mercado, una estrategia de localización, una descripción de los nuevos servicios TIC, un análisis FODA y precios sugeridos para los nuevos servicios. El objetivo principal es satisfacer la creciente demanda de los clientes por servicios mejorados y complementarios relacionados con las TIC.
Este documento presenta una introducción al sistema operativo UNIX. Explica que UNIX es un sistema operativo que controla el funcionamiento del computador y provee herramientas para los usuarios. Luego describe brevemente la historia de UNIX, desde sus orígenes en los años 1960 como un proyecto en los Laboratorios Bell para crear un sistema operativo multiusuario, hasta su evolución y popularización en las décadas siguientes. Finalmente, resume la estructura básica de UNIX, incluyendo su arquitectura de capas, la jerarquía de archivos y directorios, y
El documento describe el área de soporte de servicios informáticos de la UPC. El objetivo es brindar el mejor soporte mediante la investigación continua y satisfacer los requerimientos de los clientes. El área provee servicios como redes, servidores, bases de datos, mantenimiento de cuentas, respaldos, seguridad y comunicaciones. Los atributos incluyen confiabilidad, calidad, comunicación clara y seguridad. Los clientes son tanto internos como externos a la UPC.
Este documento describe los procedimientos para realizar pases a producción de aplicaciones y sistemas. Define el proceso de solicitud de pases, los requisitos para la ejecución de pases, y los procedimientos de ejecución de pases. El área de desarrollo prepara las solicitudes de pase y el área de soporte ejecuta los pases según el horario establecido, realizando respaldos previos y recuperaciones en caso de fallas.
Este documento describe el proceso de control y monitoreo de servidores, servicios y bases de datos en una institución. Incluye detalles sobre el monitoreo de parámetros como el uso de CPU, memoria y disco, así como la disponibilidad de servicios de red y correo electrónico. Establece normas para el monitoreo en distintos niveles y la configuración de herramientas en servidores Windows y Linux.
Este documento describe los procedimientos para la instalación y configuración de equipos en la Universidad Peruana de Ciencias Aplicadas (UPC) de acuerdo a las políticas de seguridad. Detalla los pasos a seguir desde la recepción del equipo hasta su entrega al usuario final, incluyendo la instalación del hardware, software de base y configuración de seguridad. Además, proporciona recomendaciones para planificar e implementar prácticas de seguridad como mantener sistemas actualizados y sólo proveer servicios de red aprobados.
Este documento describe los procedimientos para la administración de cuentas de usuarios en la Universidad. Incluye instrucciones para la creación, mantenimiento y eliminación de cuentas de estudiantes, profesores, personal administrativo y otros usuarios. Las solicitudes deben provenir de las áreas autorizadas como Recursos Humanos o Secretarías Académicas y deben incluir la información requerida. El proceso asegura que solo las cuentas autorizadas tengan acceso a los sistemas de la universidad.
Este documento describe los procedimientos para el mantenimiento correctivo de equipos, incluyendo la atención de solicitudes externas e internas, el diagnóstico y reparación de equipos, y los roles de soporte técnico, activos y help desk. El objetivo es resolver problemas de hardware y software de manera eficiente y con el mínimo impacto en los usuarios.
Este documento describe los procedimientos y políticas de seguridad de información de una universidad. Establece que la información debe estar disponible y segura dentro de los límites tecnológicos. Detalla los clientes, proveedores, resultados e insumos involucrados en la seguridad de información. También enumera las normas y políticas de seguridad, así como los indicadores para medir el espacio en disco de los servidores.
El documento presenta información sobre la gerencia de informática de AFP Horizonte. Explica la visión, misión y análisis OPEDEPO de la gerencia de informática, así como el estado de evolución tecnológica. También incluye el modelamiento de datos de los procesos de previsión, con diagramas de descomposición funcional, entidad-relación y ciclo de vida de las bases de datos.
Este documento presenta el planeamiento estratégico de la Gerencia de Informática de AFP Horizonte. Incluye una revisión del negocio de AFP Horizonte, su historia y estrategia. También describe el modelo de negocio, la arquitectura de datos y sistemas, y propone una arquitectura tecnológica. El objetivo general es mejorar los sistemas de información para apoyar los objetivos de negocio de AFP Horizonte de manera eficiente y de calidad.
Este documento describe el proceso de evaluación de colaboradores de acuerdo a la política de recursos humanos de la Oficina de Informática (OFIN) del Ministerio de Educación. El proceso incluye la selección, evaluación del desempeño y retiro de colaboradores. Se establecen normas y procedimientos para garantizar que los colaboradores tengan el perfil técnico y las competencias requeridas por la institución.
Este documento establece la norma de seguridad para productos de software del Ministerio de Educación. Detalla las responsabilidades, normas consultadas, definiciones clave, condiciones generales y específicas, y el procedimiento para evaluar la seguridad de un producto de software. El objetivo es asegurar que los productos de software cumplan con los requisitos mínimos de seguridad de la información de la institución.
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)codesiret
Los protocolos son conjuntos de
normas para formatos de mensaje y
procedimientos que permiten a las
máquinas y los programas de aplicación
intercambiar información.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)AbrahamCastillo42
Power point, diseñado por estudiantes de ciclo 1 arquitectura de plataformas, esta con la finalidad de dar a conocer el componente hardware llamado tarjeta de video..
Uso de las Tics en la vida cotidiana.pptx231485414
Las Tecnologías de la Información y las Comunicaciones (TIC), son el conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios.
1. 1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de Sistemas
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 07 a 09
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
Atributos clave: 10 pasos para maximizar la función de
Auditoría Interna
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo de alineamiento estratégico de TI
Ejecución estratégica
Potencial tecnológico
Potencial competitivo
Nivel de servicios
TI se adapta, la implementa
TI apoya estrategias, arquitecto de tecnología
TI define estrategias, explota/potencia capacidades
emergentes de TI -tendencias
TI como generadora de valor, liderazgo del negocio
Fuente: http://www.12manage.com/methods_venkatraman_strategic_alignment_es.html
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Diagrama de influencia extendido
Fuente: N. Vargas* y L. Plazaola, ISSN 1818-6742, Niicaragua
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Relación de la
tecnología con los
procesos de
negocio
Fuente:
http://www.auditool.org/blog/auditoria
-de-ti/827-riesgo-tecnologico-su-
medicion-como-prioridad-para-el-
aseguramiento-del-negocio
http://www.madrimasd.org/revista/revi
sta23/tribuna/tribuna1.asp
http://revista.seguridad.unam.mx/printp
df/356
http://boletin.dseinfonavit.org.mx/035/
documentos/ManualNormativodeRiesgo
Tecnologico.pdf
usabilidad
La tecnología se vuelve
parte de la operación y
su funcionamiento no
puede aislarse de los
demás elementos del
proceso; asimismo,
todos los integrantes en
conjunto tienen un solo
objetivo, además de
poseer la misma
importancia para el
logro de los resultados.
La decisión de incorporar
tecnología en los procesos
del negocio, trae consigo la
decisión de administrar el
correspondiente:
riesgo tecnológico
Pérdida potencial por daños,
interrupción, alteración o fallas
derivadas del uso [mal uso] o
dependencia en el hardware,
software, sistemas, aplicaciones,
redes y cualquier otro canal de
distribución de Información por el
empleo de herramientas y
aplicaciones tecnológicas, que se
incrementa continuamente, y que
no cuentan con una gestión
adecuada en seguridad.
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Riesgo tecnológico
ISACA lo define como:
“El riesgo de negocio asociado al uso, propiedad, operación,
participación, influencia y adopción de las tecnologías de la información
(TI) en la organización”.
Fuente: http://nahunfrett.blogspot.com/2014/08/cobertura-del-riesgo-tecnologico-hacia.html
https://seguridadysalud.wordpress.com/2011/08/03/%C2%BFriesgo-tecnologico/
http://revista.seguridad.unam.mx/numero-14/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-i
El riesgo tecnológico puede verse desde tres aspectos, primero a
nivel de la infraestructura tecnológica (hardware o nivel físico), en
segundo lugar a nivel lógico (riesgos asociados a software, sistemas
de información e información) y por último los riesgos derivados
del mal uso de los anteriores factores, que corresponde al factor
humano como un tercer nivel.
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Todo tiene
una
explicación
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones de
seguridad de la información
Aspectos legales
Regulaciones
Interoperabilidad
Integración
Compatibilidad
Confianza
Privacidad
Riesgos
Personalización
Licenciamiento
Continuidad
Soporte
Documentación
Vigencia
Sostenibilidad
Concurrencia
QA/QC
Estándares
Mejora continua
Activos
Gestión de configuraciones
Trazas
Normas de gestión
Adaptabilidad
Utilidad
Autentificación
. . .
Respaldos
Persistencia
Disponibilidad
Confidencialidad
Integridad
Protección
Localización
Comunicaciones
Mantenimiento
Capacitación
Actualizaciones
Procesos
Cumplimiento
Sustentabilidad
Capacidad
Normas técnicas
Sistemas de gestión
Elementos de configuración (CI)
Base de Datos de la gestión de
configuraciones (CMDB)
CMMI
SDLC
Eficiencia
Eficacia
Usabilidad
Contenido
No repudio
. . .
¿tendencias?
¿legacy?
otra ¿solución web?
¿fusiones?
¿riesgos?
¿TCO?
¿SLA?
¿movilidad?
¿mercado?
¿competencia?
¿benchmark?
¿organización?
¿globalización?
¿situación actual?
¿Planificación?
¿control de medios?
¿avances tecnológicos?
¿decisiones de inversión?
¿beneficios?
¿alcances?
¿cronogramas?
¿expectativas?
¿insatisfacción?
¿efectividad?
¿gestión?
¿oportunidad?
¿aislamiento?
¿metodología?
¿forensic?
¿escalabilidad?
¿flexibilidad?
¿fiabilidad?
¿estrategias empresariales?
¿alineamiento?
...
¿El programador
deberá tener acceso
a los servidores de
producción?
¿El operador podrá
tener acceso a los
programas fuente?
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Confidencialidad
Integridad
Disponibilidad
Procesada
Almacenada
Transmitida
Políticas y
procedimientos
Tecnología
Conciencia, educación,
y entrenamiento
Modelo de Seguridad de la
Información
La seguridad de la información se basa
en estos pilares (metas)
Puede tomar estos estados
Se adoptan medidas para su
seguridad (salvaguardas)
La información es un recurso que,
como el resto de los activos, tiene
valor para una organización y por
consiguiente debe ser debidamente
protegida.
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad de la información: pilares
Normativo – Legal
(leyes, contratos, reglamentos, códigos de conducta, etc.)
Tecnología
(hardware, software, seguridad física, normas técnicas, mejores prácticas)
Organización
(capacitación, auditorías, aplicación práctica, políticas, etc.)
Data consistente
Válida
Persistente
Sin manipulaciones
Sin alteraciones
Autorización
Autenticación
Privacidad
Acceso controlado
Continuidad del negocio
y operaciones
Canales adecuados
siguiendo los procesos
correctos
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Controles de la
Seguridad de
la información
Adquisición, desarrollo
y mantenimiento de
sistemas de los
información
Seguridad en la
operativa
Aspectos de seguridad
de la información en la
Gestión de la
continuidad del
negocio
Seguridad lógica Seguridad organizativa
Seguridad ligada a
los recursos
humanos
Gestión de incidentes
en la seguridad de la
información
Gestión de
activos
Organización de la
seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y
ambiental
Control de
accesos
Cumplimiento
Seguridad legal
NTP ISO/IEC 17799:2007
11 dominios de control
39 objetivos de control
133 controles
ISO/IEC 27002:2013
14 dominios de control
35 objetivos de control
114 controles
Seguridad en las
telecomunicaciones
Relación con
proveedores
Cifrado
15. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Riesgos
Legales
• Pérdida de gobernabilidad.
• Usurpación de datos.
• Titularidad de los derechos.
• Deslocalización de la
información.
• Dependencia en el proveedor.
• Negativa del proveedor a ser
auditado.
Riesgos
Técnicos
• Comunicaciones inseguras.
• Abuso de privilegios.
• Compromiso de la interfaz de
gestión.
• Compartición de recursos.
• Denegación de servicio.
• Incompatibilidad para
migración.
• Sabotaje
• Desconocimiento
Controles y guías de buenas
prácticas de seguridad para
la Nube
• Ley de contrataciones.
• Proveedores sin experiencia.
• Personal técnico no especializado.
• Normativas internas.
• Integración débil.
• Inter operabilidad incompleta.
ISO: International Organization for Standardization
NIST: National Institute of Standards and Technology
COBIT:Control Objectives for Information and Related Technology
CSA: Cloud Security Alliance
ISO
NIST
COBIT CSA
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de tipos de evento de riesgo con los aspectos de tecnología
relacionados
Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-
aseguramiento-del-negocio
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de tipos de evento de riesgo con los aspectos de tecnología
relacionados
Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-
medicion-como-prioridad-para-el-aseguramiento-del-negocio
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Niveles de gobernanza
Fuente: http://www.isaca.org/chapters7/Monterrey/Events/Documents/20080416%20Standard%20ISO38500.pdf
https://www.iaia.org.ar/revistas/elauditorinterno/08/articulo2.html
http://revista.seguridad.unam.mx/numero-15/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-ii-gobierno-de-ti-y-
riesgos
http://revista.seguridad.unam.mx/printpdf/366
21. COBIT
Es el resultado de una investigación con expertos de varios
paises, desarrollada por la “Information, Systems Audit and
Control Association “ISACA”.
Esta asociación se ha constituido en el organismo
normalizador y orientador en el control y la auditoría de los
sistemas de Información y Tecnología (IT).
El modelo CobIT ha sido aceptado y adoptado por
organizaciones en el ámbito mundial.
Modelo para evaluar y/o auditar la
gestión y control de los de
Sistemas de Información y
Tecnología relacionada (IT):
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)
Ing. Víctor Manuel Montaño Ardila
22. Modelo COBIT
Origen
LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS
• MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL
ALTAGERENCIA
•INVERSION CONTROL TI
•BALANCE RIESGO/CONTROL
• BASE BENCHMARKING
USUARIOSDETI
• ACREDITACÍON CONTROL
/SEGURIDAD POR AUDITORES O
TERCEROS
• CONFUSIÓN ESTANDARES
AUDITORES
• DESGASTE
OPINION V.S.
ALTA GCIA.
• CONSULTORES EN
CONTROL/SEG.
TI
CONCEPTOS BÁSICOS
Ing. Víctor Manuel Montaño Ardila
23. CONCEPTOS BÁSICOS
Proveer un marco único reconocido a nivel mundial de
las “mejores prácticas” de control y seguridad de TI
Consolidar y armonizar estándares originados en
diferentes países desarrollados.
Concientizar a la comunidad sobre importancia del
control y la auditoría de TI.
Enlaza los objetivos y estrategias de los negocios con la
estructura de control de la TI, como factor crítico de
éxito
Aplica a todo tipo de organizaciones independiente de
sus plataformas de TI
Ratifica la importancia de la información, como uno de
los recursos más valiosos de toda organización exitosa
Ing. Víctor Manuel Montaño Ardila
24. CONCEPTOS BÁSICOS
COSO : (Committe Of Sponsoring Org. of the Treadway Commission)
OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K´)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japón
COBIT
Representatividad
ISACA - 95 paises 20.000 miembros
Investigación: E.U-Europa-Australia-Japón
Consolidación y armonización 18 estándares
Ing. Víctor Manuel Montaño Ardila
25. CONCEPTOS BÁSICOS
Para satisfacer los objetivos del negocio la
información debe cumplir con criterios que COBIT
extrae de los más reconocidos modelos:
Requerimientos de calidad
(ISO 9000-3)
•Calidad
•Costo
•Entrega
Ing. Víctor Manuel Montaño Ardila
26. Requerimientos fiduciarios
(informe COSO)
Eficacia y eficiencia
Confiabilidad de la información
Cumplimiento con leyes y
reglamentaciones
Requerimientos de seguridad
(libro rojo, naranja,
ISO 17799 y otros)
Disponibilidad
Integridad
Confidencialidad
CONCEPTOS BÁSICOS
Ing. Víctor Manuel Montaño Ardila
27. REGLA DE ORO DEL COBIT
A fin, de proveer la información
que la organización requiere para
lograr sus objetivos, los recursos
de TI deben ser administrados por
un conjunto de procesos,
agrupados de forma adecuada y
normalmente aceptada.
Ing. Víctor Manuel Montaño Ardila
28. ¿POR QUÉ COBIT?
La Tecnología se ve como un
costo, no hay una terminología
común con el negocio, y se
recorta el presupuesto en la
seguridad, ya que la falta de
difusión de normas y buenas
prácticas que ayuden a
generar conciencia de los
riesgos mantiene la quimera
del :
“ A mi no me va pasar..”
Ing. Víctor Manuel Montaño Ardila
29. 29
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Atributos de calidad
Los atributos de calidad requeridos de la información, ya sea relevada
o recibida, obtenida dentro de –o sujeta a- los parámetros de
seguridad, procedimientos internos o ámbitos de actuación y/o de
responsabilidad de las distintas unidades de la organización
involucradas en el proyecto son, pero no están limitados a, los
siguientes:
Contenido completo, contextual y claro, con detalle pertinente y
suficiente para desarrollar de forma apropiada la evaluación contractual
requerida, y con el nivel pertinente.
Redacción correcta, precisa, clara, objetiva, concisa, constructiva.
30. 30
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluación vs. Auditoría
Toda evaluación lleva implícita una opinión o juicio de valor, a partir de un
conjunto de informaciones sobre la evolución o los resultados de experiencias
o de la operación, con el fin de tomar una decisión lo más objetiva posible; por
tanto, es una aproximación cualitativa, un proceso reflexivo, sistemático, de
valoración sobre juicio de expertos.
Una auditoria puede tomar los resultados de la evaluación y realizar un
escrutinio externo y objetivo de ellos en busca de determinar un grado de
cumplimiento de los procesos o normativa general que la misma institución
haya establecido –evaluar la eficacia y eficiencia, analizando el contexto
organizativo y ambiental en el que se desenvuelve.
Una evaluación debe incorporarse como una práctica cotidiana que realizan los
involucrados y afecta a la institución en su conjunto, para mejorar y potenciar
continuamente su desarrollo y el de sus integrantes; por tanto, se considera
una labor de consultoría.
31. 31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de madurez
La madurez se puede entender o visualizar como la razón por la que el
éxito ocurre, o como la vía para prevenir comúnmente los problemas.
Los modelos nos permiten representar realidades complejas
(área/entorno/organización) en forma más sencilla, a través de la
selección de un conjunto de características que la definen, cuya
evaluación nos permite obtener una visión de su situación actual,
predecir su comportamiento y proporcionar una guía de pasos a seguir
para alcanzar una situación deseada (futura).
Luego, un modelo de madurez es un conjunto estructurado de
elementos (mejores prácticas, herramientas de medición, criterios de
análisis, entre otros), que permite identificar las capacidades
instaladas en la organización con relación al aspecto evaluado,
compararlas con estándares, identificar vacíos o debilidades y
establecer procesos de mejora continua.
32. 32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de madurez
Así, un modelo de madurez, entre otras ventajas:
Permite a la institución ubicarse a sí misma de manera relativamente fácil
en una determinada escala del modelo.
Facilita la evaluación por medio de benchmarking y la identificación de las
mejoras necesarias.
Expresa un perfil donde las condiciones relevantes a diferentes niveles de
madurez se han conseguido.
Expresa cuánta interiorización han logrado los interesados (entre otros, la
alta dirección, gerentes, jefes, personal) en los conceptos y aspectos que
se han evaluado.
Permite identificar dónde se encuentran los problemas y cómo fijar
prioridades para las mejoras, para alcanzar un determinado nivel de
madurez en un periodo razonable de tiempo.
33. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
NIVEL DE MADUREZ
CARACTERÍSTICAS
PRINCIPALES
QUÉ LO CARACTERIZA QUÉ OBTENGO
Innovación
Benchmarking
Los procesos representan
mejores prácticas
Se utilizan herramientas de
automatización en forma
consistente
Existe un importante foco en la
mejora de la calidad y
efectividad
Innovaciones planeadas
Gestión de
configuraciones
Análisis causal y
resolución
Optimización de
procesos
Proactividad real
Cumplimiento de
metas
Procesos
predecibles que
son mejorados de
forma continua
Automatización efectiva
Existen mecanismos para la
mejora de los procesos
El cumplimiento de los
procedimientos se mide y
monitorea
Procesos estables
Resultados predecibles
Gestión del conocimiento
Gestión cuantitativa de
proyectos
Medición de procesos
Control de procesos
Cuantificación de
resultados
Explotación de
beneficios de la
estandarización
Procesos
establecidos que
se ejecutan
dentro de límites
definidos
Procesos estandarizados,
documentados y comunicados
mediante entrenamiento
No existe un procedimiento de
aseguramiento de la calidad
de los procesos
Juez y parte
Crecimiento de la
productividad
Economía de escala
Gestión integrada de
proyectos
Gestión de riesgos
Definición de procesos
Implementación de
procesos
Mediciones
eficientes y
efectivas
Entrenamiento
apropiado y
pertinente
Procesos
gestionados
implementados
usando procesos
definidos
34. 34
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Procedimientos
similares para la misma
tarea realizadas por
diferentes personas
No existen
entrenamientos o
comunicaciones
formales de estándares
Alto grado de
dependencia en
personas
Reducción del
retrabajo
Se satisfacen
compromisos
Planificación del
proyecto
Gestión del
rendimiento
Estabilizació
n del trabajo
Compromiso
de control
Procesos
ejecutados
implementad
os de forma
gestionada
Reactivo
Desorganizado
Enfoque ad-hoc aplicado
de manera individual o
caso por caso
“sólo haz que
funcione”
Ser
considerado
“bombero”
Nivel 0
No se reconocen
procesos
No se reconoce que
existe una necesidad que
debe ser contemplada
No hay problemas
por resolver
Las cosas
“funcionan”
NIVEL DE MADUREZ
CARACTERÍSTICAS
PRINCIPALES
QUÉ LO CARACTERIZA QUÉ OBTENGO
35. 35
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Sistema –objeto complejo: unión de cosas de manera organizada
Conjunto ordenado de normas y
procedimientos que regulan el
funcionamiento de un grupo o
colectividad.
Conjunto de partes o elementos
organizados y relacionados que
interactúan entre sí para lograr un
objetivo. Los sistemas reciben (entrada)
datos, energía o materia del ambiente y
proveen (salida) información, energía o
materia.
Un sistema puede ser físico o concreto
(una computadora, un televisor, un
humano) o puede ser abstracto o
conceptual (un software).
Fuente: DICCIONARIO DE INFORMÁTICA Y TECNOLOGÍA
Núcleo de un átomo
Sistema/Aparato digestivo
Sistema (modelo) político
Sistema métrico decimal
…
…
…
36. 36
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de sistemas –de información
Es el examen o revisión de carácter objetivo (independiente), crítico
(evidencia), sistemático (normas/[procedimientos]), selectivo
(muestras) de las políticas, normas, prácticas, funciones, procesos,
procedimientos e informes [documentados] relacionados con los
sistemas de información computarizados, con el fin de emitir una
opinión profesional ([independiente, objetiva e] imparcial) con
respecto a:
Eficiencia en el uso de los recursos informáticos.
Validez de la información.
Efectividad de los controles establecidos.
Fuente: https://maledume.wordpress.com/concepto-y-etapas-de-auditoria-de-sistemas/
http://www.gerencie.com/auditoria-de-sistemas.html
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
http://anaranjo.galeon.com/conceptos.htm
El área informática monta los procesos informáticos seguros.
El control interno informático monta los controles (función normativa y
del cumplimiento del marco jurídico).
La auditoria informática evalúa el grado de control.
i
m
p
o
r
t
a
n
t
e
37. 37
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Aspectos básicos de la Auditoría de Sistemas de Información
Es un examen y validación de los controles y procedimientos usados por el Área de
Sistemas (Informática) a fin de verificar que los objetivos de continuidad del servicio,
confidencialidad y seguridad de la información así como la integridad y coherencia de
la misma, se cumplan satisfactoriamente y de acuerdo a la normatividad externa e
interna de la Empresa. (Universidad Regional Autónoma de los Andes)
Juega un papel fundamental en el control adecuado, uso y aplicación de todos los
recursos de la organización, especialmente los que garanticen el manejo seguro y
eficiente de la información. (Universidad Distrital Francisco José De Caldas)
Permite determinar si los controles implementados son eficientes y suficientes,
identificar las causas de los problemas existentes en los sistemas de información y a su
vez las áreas de oportunidad que puedan encontrarse, determinando las acciones
preventivas y correctivas necesarias para mantener a los sistemas de información
confiables y disponibles. (auditoria.com.mx)
Auditoría informática es aquella actividad auditora que trata de evaluar la adecuada
utilidad, eficiencia, fiabilidad y salvaguarda de la información mecanizada que se
produce en una determinada empresa o institución, así como la organización de los
servicios que la elaboran y procesan. (Hevia, 1989)
38. 38
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Qué? ¿Dónde? ¿Cómo? …
¿Desviaciones? ¿cuáles son sus causas?
Revisemos
http://blog.iedge.eu/tecnologia-sistemas-informacion/tecnologia-
tecnologia-sistemas-informacion/
http://blog.iedge.eu/tecnologia-sistemas-informacion/seguridad-
informatica-2/juan-manuel-escudero-iniciacion-la-auditoria-
informatica/#more-1485
http://blog.iedge.eu/tecnologia-sistemas-informacion/direccion-siti/jose-
barato-introduccion-al-governance/#more-8424
http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm
http://anaranjo.galeon.com/objetiv_audi.htm
39. 39
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Investigación
35 Preguntas de TI que todo Director de Auditoría Interna debe realizar
Objetivos, funciones, riesgos, mejores prácticas, estándares,
herramientas, controles, estrategias, planificación, recursos, gobierno …
15 Preguntas Sobre Controles Tecnología Información (TI)
Los controles –apoyados por el 6W-2H
Tecnología de Información y Fraude
Gobierno, auditoría continua, gestión, intrusiones
TI y la entrega de valor en la empresa
40. 40
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Si se requiere, entre otros
Evaluación administrativa del área de
procesos electrónicos.
Evaluación de los sistemas y
procedimientos.
Evaluación de los equipos de
cómputo.
Evaluación del proceso de datos, de los
sistemas y de los equipos de cómputo
(entre otros, pero no limitados a:
software, hardware, redes, bases de
datos, comunicaciones).
Seguridad y confidencialidad de la
información.
Considerar aspectos legales de los
sistemas de la información
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.html
http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.doc
http://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
41. 41
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Es necesario dimensionar
El tamaño del organismo a
auditar
Las características del área a
auditar
Los sistemas, organización y
equipo
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.html
http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.doc
http://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
Determinar el nivel de servicio
requerido
Requerido
para
Requerirá gestión
42. 42
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_30_norma_iso_19011.html
43. 43
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_28__procedimientos_de_auditora.html
44. 44
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Entonces se requiere un plan que contemple, como mínimo
Fuente: http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm
http://s3.amazonaws.com/ppt-download/planeaciondelaauditoriainformatica-100218170948-phpapp01.pdf?response-content-
disposition=attachment&Signature=H61Mb%2B%2BGYAEosV0ApKjrYoU4OWk%3D&Expires=1430003671&AWSAccessKeyId=AKIAIA7Q
TBOH2LDUZRTQ
Establecer objetivos, alcance, inclusiones, exclusiones, limitaciones, restricciones, presupuestos
y cronograma (costos, responsables, H-H, hitos, calendario) del trabajo.
Obtener información de apoyo sobre las actividades que se auditarán –nivel de exposición.
Determinar los recursos necesarios para realizar la auditoría, incluidos personal, funciones,
procedimientos, técnicas y herramientas (listas de verificación, encuestas, entre otros),
sistema de evaluación.
Establecer el plan de gestión de comunicaciones.
Gestión de la calidad.
Seguimiento de acciones correctoras.
Realización del diagnóstico, análisis y evaluación de desviaciones.
Gestión de riesgos.
Realizar, en la forma más apropiada, una inspección física para familiarizarse con las actividades
y controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis al
realizar la auditoría y promover comentarios y la promoción de los auditados.
Preparar por escrito el programa de auditoría –el plan de gestión.
Obtener la aprobación del plan de trabajo de la auditoría –acta de constitución.
¡Un plan de gestión
de proyecto!
¡6W-2H!
45. 45
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
¿Diferencias
entre la
evidencia
documental
en papel con
aquella en
formato
electrónico?
Evidencia en papel versus evidencia electrónica (Canadian Institute of
Chartered Accountants -CICA, 2003)
46. 46
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
¿Diferencias
entre la
evidencia de
auditoría
tradicional y el
soporte
electrónico?
Atributos evidencia versus criterios de confiabilidad de la información
(CICA, 2003)
47. 47
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
Competencias
específicas de los
auditores internos
de la población
definida para
obtener, en términos
razonables,
evidencia electrónica
confiable y de
calidad
Competencias requeridas para obtener evidencia electrónica de auditoría
48. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com