auditoria de sistemas

sábado, 10 de octubre de 2015

ANÁLISIS DE RIESGO

Hace parte del sistema de gestión de riesgo tener la seguridad de la información es necesario para el funcionamiento de las empresas se debe saber cuales son los puntos vulnerables de los activos informáticos y cuales son las amenazas que pueden explotar esas falencias. Si se conocen los riesgos se pueden establecer las medidas preventivas y correctivas que garanticen niveles de seguridad mas altos y mejores en la información

las metodologías parten de un punto común:

la identificación de los activos de información (todos los recursos involucrados en la gestión de la información datos, hadware, documentos escritos, recurso humano) sobre esto se hace la identificación de las amenazas , riesgos y vulnerabilidades

La amenaza se define como el evento que puede afectar los activos de informacióny se relacionan al recurso humano, eventos naturales o fallas técnicas

Una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa.

Para que la empresa pueda tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario hacer una valoración para determinar cuáles son los más críticos para la empresa. Esta valoración suele hacerse en términos de la posibilidad de ocurrencia del riesgo y del impacto que tenga la materialización del riesgo.

La valoración del impacto puede medirse en función de varios factores: la pérdida económica si es posible cuantificar la cantidad de dinero que se pierde, la reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

Lo más importante del análisis de riesgos es la identificación de controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.

Una empresa puede afrontar un riesgo de cuatro formas diferentes

aceptarlo: Si un riesgo no es lo suficientemente crítico para la empresa ser consciente de que el riesgo existe y hacer un monitoreo sobre él

transferirlo o mitigarlo: Si el riesgo representa una amenaza importante para la seguridad de la información

Evitarlo: Evitar el riesgo, eliminando los activos de información o la actividad asociada.

La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información

jueves, 8 de octubre de 2015

Mapa Conceptual De Controles Internos Para Los Procedimientos De Entrada De Datos,El Procesamiento De Informacion Y La Emision De Resultados.

domingo, 27 de septiembre de 2015

CRACKER

Un cracker es alguien que viola la seguridad de un sistemas informático con fines de veneficio personal, o simplemente lo asen para divertirse, también se les conoce como piratas informáticos, y también diseñan programas llamados cracs informáticos en pocas palabras el cracker es un delincuente cibernético.

HACKING ETICO

Los hacker son expertos en todo lo que tenga que ver con el mundo de las computadoras, los hacker Éticos, son personas dedicadas, a aplicar sus conocimientos para encontrar vulnerabilidades en los sistemas, si se encuentran vulnerabilidades en los sistemas asi mismo estos los informan , en pocas palabras se convierten en profesionales de la seguridad informática, que aplican sus conocimientos de haking con fines defensivos y legales.

HACKER

Un hacker, es una persona con altos conocimientos en informática, programación y todo lo que tenga que ver con el mundo de las computadoras, podemos definir 3 tipos de hacker ya que contrario a la creencia casi extendida totalmente del mundo no todos los hacker son malos hay hackers buenos hay hacker malos y hay hacker intermedios y en algunos casos neutrales, hay hackers de sombrero negro estos son delincuentes cibernéticos, siempre tratan de ingresar a servidores o redes que no son de su propiedad, y robar ideas que no son suyas y lucrarse de alguna forma con la información robada o con la privacidad de otra persona, también están los hacker de sombrero blanco, estos son los buenos, estos se dedican a detectar errores en sistemas para mejorarlos y reforzar la seguridad y prevenir ataques de los hacker malos.

viernes, 18 de septiembre de 2015

MAPA CONCEPTUAL LEYES EN COLOMBIA

EMPRESAS DE AUDITORIA DE SISTEMAS EN BOGOTA

Empresas de Auditoría de Sistemas en Bogotá
Empresa	Descripción
E y C Ingenieros	E&C INGENIEROS LTDA es una empresa sólida y profesional fundada en el año 2003. Desde esta enfocada en ayudar a las empresas a potencializar sus oportunidades con ofertas de mínimo riesgo y bajo impacto financiero de los proyectos; teniendo como premisa el principal activo de su organización “LA INFORMACIÓN”.
GAE	Desarrolla auditorias integrales que implican identificar los riesgos para el cliente con base en los hallazgos de la auditoría, evaluar su probabilidad de ocurrencia y calificar su nivel de impacto, ofreciendo alternativas de mejoramiento, para lo cual se aplican técnicas y procedimientos de auditoría generalmente aceptados.
KPMG	KPMG International opera como una red internacional de firmas miembro que brindan servicios de Auditoría, Impuestos y Asesoría, trabajando de manera estrecha con clientes para ayudarles a mitigar los riesgos y aprovechar las oportunidades.
WAN de Colombia	Revisión y evaluación de los sistemas, procedimientos y controles informáticos; Relevamiento del personal interviniente en todos los procesos informáticos, a efectos de recomendar las mejoras necesarias para una utilización más eficiente y segura de los sistemas informáticos.
Auditoria Sistemas	Ofrece servicios de planificación y organización tecnológica y de consultoría y soporte informático. Abarca los servicios de: Establecer la estrategia y las políticas informáticas. Facilitar herramientas, procedimientos operativos y planes de mejora. Auditoria de la infraestructura y los servicios TI. Integración de informática en el Sistema de Gestión de la Calidad de la empresa.
CSI Colombia	CSI COLOMBIA – CONSULTORES DE SISTEMAS DE INFORMACIÓN SAS, empresa de Consultoría y Auditoría que apoya a las compañías en el proceso de toma de decisiones a nivel de Seguridad de la Información ofreciendo entre otros, servicios en: Auditoría Informática. Diseño y Rediseño de Políticas y Procedimientos Informáticos. Diseño y Rediseño de Plan de Continuidad del Negocio. Consultoría en Seguridad de la Información.
AUGE TOTAL	Auge Total es una empresa dedicada a la asesoría e implementación de las mejores prácticas del Mercado en el uso de metodologías gerenciales para la gestión de riesgos, el aseguramiento del control interno y el cumplimiento normativas contribuyendo a sus clientes al logro de sus planes estratégicos.