Professional Documents
Culture Documents
Gua No. 15
HISTORIA
1. DERECHOS DE AUTOR................................................................................... 5
2. AUDIENCIA ....................................................................................................... 6
3. INTRODUCCIN .............................................................................................. 7
4. JUSTIFICACIN ............................................................................................... 8
5. GLOSARIO........................................................................................................ 9
6. OBJETIVOS .................................................................................................... 10
7.2. MEDICIONES..................................................................................... 23
ACTIVO: Cualquier cosa que tenga valor para la organizacin. [NTC 5411-
1:2006]
Monitoreo de la
auditoria
Implementacin
de la auditoria
Planeacin de la
auditoria
La auditora Informtica, puede ser externa como interna y debe ser una actividad
ajena a influencias propias de la entidad. La funcin auditora puede actuar de
oficio, por iniciativa o por solicitud de la direccin de la entidad.
10. AUDITORIA DE SISTEMAS
Esta etapa incluye una investigacin previa con el fin de conocer la operacin de
lo que se va a evaluar.
Planeacin
Conocimiento
del Sistema
Prueba de permanencia
De los puntos fuertes
Punto Fuerte NO
Confirmado? Debilidad del Control
SI
Las mtricas son medidas que nos proporcionan una medida cuantitativa de
cantidad, dimensiones, capacidad, tamao, de las propiedades de un proceso en
la entidad.
Mtrica: segn el IEEE define la mtrica como una medida cuantitativa del grado
en que un sistema, componente o proceso posee un atributo dado.
El uso de las mtricas, estas nos permiten entender un proceso tcnico que se
est aplicando en la entidad, a travs de ellas podemos medir dicho proceso y su
producto para saber cmo mejorar su calidad. La medicin de los procesos es
necesario para obtener un resultado de calidad que pueda llegar al ciudadano.
Todas las mtricas que se pueden hacer para medir la calidad de un proceso y
sus procesos de apoyo se agrupan en dos categoras diferentes dependiendo del
tipo de mtrica que se realice:
Las mtricas sirven para realizar una medicin de los sistemas de informacin,
con el tiempo ayudan a mejorar el diseo y el anlisis, mejorando con ello los
procesos y resultados de los mismos.
Estas evalan el grado de riesgo de dao que pueden recibir objetos, recursos y
personas. Contempla salud y seguridad tanto del usuario como de los afectados
por dicho uso, al igual que consecuencias econmicas o fsicas no intencionadas.
LA INFORMACION
a) Nivel estratgico
b) Nivel tctico
c) Nivel operativo.
Imagen 3: MEMSI
a) En el nivel ms alto conocido como nivel estratgico encontraremos tres grupos
los cuales son:
b) En este nivel conocido como nivel tctico encontraremos otros tres grupos los
cuales son:
c) En el nivel conocido como nivel operativo encontraremos otros tres grupos los
cuales son:
Integridad: cuya funcin consiste en eliminar, borrar o manipular datos,
como protegerse ante virus informticos.
Disponibilidad: se encarga de la negacin del servicio, inundacin de
paquetes, suplantacin de datos o IP, eliminar, borrar y manipular datos.
Confidencialidad: este ltimo debe estar preparado para encargarse desde
contraseas dbiles, suplantacin de IP o datos, accesos no autorizados
por terceras personas, configuracin por defecto que puede poner en
peligro si no tiene la configuracin deseada, monitoreo no autorizado.
Nivel estratgico:
Nivel tctico:
7.2. MEDICIONES
La normativa ISO/IEC 27004 est centrada sobre el modelo PlanDoCheckAct,
tambin conocido como PDCA, el cual consiste en un ciclo continuo.
Imagen 4: Ciclo PDCA
En los procesos de mediciones se tienen que cumplir una serie de objetivos los
cuales son los siguientes.
Objetivos: los cuales se centran en una regla numrica (por ejemplo de 1 a 5) que
se pueden aplicar a las personas o a los procesos, se recomienda que se realice
primero a los procesos.
Algunos mtodos que se utilizan en la entidad con el fin de medir los atributos son:
Una vez realizados los mtodos de medicin es asociarlo a un tipo de escala, las
clases de escala pueden ser:
A la hora de seleccionar los controles necesarios la entidad tiene que hacer los
siguientes pasos:
Definir un programa.
Seleccionar los controles y objetivos de control para ser incluidos en dichas
mediciones.
Definir los indicadores para sus respectivos controles.