Cuestionario de Repaso del capítulo III

Cuestionario de Repaso del capítulo III

1-      ¿Qué diferencia y similitudes existen entre la metodología cualitativa y las cuantitativas? ¿Qué ventaja y que inconveniente tienen?

Diferencias: las cuantitativas se basan en un modelo matemático numérico que ayuda  a la realización del trabajo, y las cualitativas se basan en el razonamiento  Humano capaz de definir un proceso de trabajo.

 Similitudes: ambas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de que las amenizas se

Materialicen, sea lo más baja posible o al menos quede reducida de una

Forma razonable en costo-beneficio, y también dependen de un

Profesional.

Ventajas:

- Cualitativas: enfoca lo más amplio, plan de trabajo flexible y reductivo, se

Concentra en la identificación de eventos, incluye factores intangibles.

- Cuantitativas: enfoca pensamientos mediante uso de números, facilita la

Comparación de vulnerabilidades muy distintas, proporciona una cifra

Justificante para cada contramedida.

Desventajas:

- Cualitativas: depende fuertemente de la habilidad y calidad del personal

Involucrado, puede excluir riesgos significantes desconocidos, identificación

De eventos reales más claros al no tener que aplicar probabilidades complejas

De calcular, dependen de un profesional.

- Cuantitativas: la estimación de probabilidades dependen de estadísticas

Fiables inexistentes, estimación de las pérdidas potenciales solo si son

Valores cuantificables, metodologías estándares difíciles de mantener o

Modificar.

2-      Cuáles son las componentes de una contramedida o control (Pirámides de seguridad)? ¿Qué papel tienen las herramientas de control? ¿Cuáles son las herramientas de control más frecuentes?

Componentes: la normativa, la organización, las metodologías, los objetivos de control,  los procedimientos de control, tecnologías de seguridad, las herramientas de control.

- El papel que desempeñan las herramientas de control que permite definir uno o varios  procedimientos de control para cumplir una normativa y un objetivo de control.

Herramientas de control más frecuentes: seguridad lógica del sistema, seguridad lógica  complementaria al sistema, seguridad lógica para entornos distribuidos, control de  acceso físico, control de copias, gestión de soporte magnético, gestión y control de  Impresión y envío de listados por red, control de proyectos, control de versiones, control  y gestión de incidencias, control de cambio.

3-      ¿Qué tipo de Metodologia de plan de contingencia  existen?  ¿En qué se diferencia? ¿qué es un plan de contingencia?

Existen dos tipos de plan de contingencia que son plan de contingencia informático y pan de contingencias corporativo.

Diferencias: la corporativa cubre no sola la informática sino todos los departamentos  de una entidad, y puede incluir también el informativo como un departamento más.

Un plan de contingencia es una estrategia planificada por un conjunto de recursos de  respaldo, una organización de emergencia y unos procedimientos de actuación  encaminada a conseguir una restauración progresiva y ágil de los servicios de negocios  afectados por una paralización total o parcial de la capacidad operativa de la empresa.

4-      ¿Qué Metodologia de auditoria informática existen? ¿Para qué se usa cada una?

Existen dos que son las auditorias de controles generales y las metodologías de los auditores internos.

Las auditorias de controles generales se usan para obtener una opinión sobre la

Fiabilidad de los datos, basadas en pequeños cuestionarios estándares que dan como  resultados informes muy generalistas. Por otro lado la metodología de auditor interno  también cumple la misma función pero son diseñadas por el propio auditor.

5-      ¿Qué es el nivel de exposición y para qué sirve?

El nivel de exposición es un indicativo definido subjetivamente que permite en base a la  evaluación final de la última auditoría realizada definir la fecha de la repetición de la misma auditoria.

6-      ¿Qué diferencias existen entre las figuras de auditoria informática y control

Interno informático?  ¿Cuáles son las funciones más importantes de este?

La clara diferencia entre ambos elementos es que, el control interno monta los controles  del proceso informático, mientras que la auditoria informática evalúa el grado de  control.

Funciones principal:

Control interno informático: funciones de control dual con otros departamentos,  normativa y del cumplimiento del marco jurídico, responsable del desarrollo y  mantenimiento del plan de contingencias, controles de coste, controles de medida de  seguridad física o corporativa en la información.

7-      ¿Cuáles son las dos metodologías más importantes para el control interno informático? ¿para qué sirve cada una?

En el control interno informático existen dos grandes familias. Esta es:

Cuantitativa: sirve para la realización de un trabajo.

Cuantitativa: sirve para definir un proceso de trabajo y seleccionar en base las experiencias acumuladas.

8-       ¿Qué papel tienen las herramientas de control en los controles?

Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar el control de una manera más actual y más automatizadas.

9-       ¿Cuáles son los objetivos de control en el acceso lógico?

Segregación de funciones entre los usuarios, integridad de los “log” e imposibilidad de  desactivarlos por ningún perfil para poder revisarlos, gestión centralizada de la  seguridad o al menos única, contraseña única para los distintos sistemas de la red, la  contraseña y archivos con perfiles y derechos inaccesibles a todos, el sistema debe  rechazar a los usuarios que no usan la clave, separación de entornos, el log o los log’s  de actividad no podrán desactivarse a voluntad, el sistema debe obligar a los usuarios a  cambiar la contraseña y es frecuente encontrar mecanismos de auto-loguot.

10-   Que es la certificación de seguridad? ¿Qué aporta la ISO 17779? ¿Que Metodologia se utilizan en el desarrollo de un SGSI?

Un certificado de seguridad es una medida adicional de confianza a los usuarios que visitan y realizan actividades o transacciones en una página web. Permite el cifrado de los datos entre el servidor representante a la página y los datos del ordenador del usuario.

Un concepto más preciso sería que un certificado de seguridad logra que los datos personales de los usuarios queden en criptados y de esta forma sea imposible por los demás usuarios interceptarlos.

La ISO 17799 da la pauta en la definición sobre cuáles metodologías, políticas o criterios técnicos pueden ser aplicados en el régimen de manejo de la seguridad de la información.

Se utiliza la Metodología de PDCA.