Please enable JavaScript.
Coggle requires JavaScript to display documents.
Intro Auitoría, • El riesgo residual es el riesgo después de implementar…
Intro Auitoría
Terminología
una auditoria de sistemas de información es el examen formal, la entrevista o la prueba de los sistemas de información.
Un sistema de información (SI) es una combinación de actividades estratégicas, gerenciales y operativas relacionadas con el uso de la información y las tecnologías asociadas.
Cuando hablamos de SI, hablamos de las personas, la tecnología y los datos, cuando sólo decimos TI, nos referimos al hardware, software y toda la infraestructura para almacenar, procesar o transmitir datos.
actividades operativas, administrativas (tácticas) y estratégicas que están relacionadas con el uso de la información y la tecnología. 
tecnología de información (TI) se refiere al hardware, software, comunicaciones e infraestructura utilizados para almacenar, procesar y transmitir datos.
-
-
Carta de auditoria: establece LA AUTORIDAD de la función de auditoria • Documento aprobado por los ejecutivos, preferiblemente la junta directiva. •Establece los objetivos, responsabilidades del auditor y de la org
Universo de auditoria: son todos los sistemas, ya sean internos o externos, es decir, propios o de terceros, que deben auditarse como parte del ciclo general del trabajo planificado
• Sirve para preparar el plan de auditoria el cual hace un cronograma de auditoría anual que considera qué sistemas van a ser auditados de acuerdo a su criticidad o el nivel de riesgo.
• Se debe definir un enfoque de evaluación de riesgos para reducir el universo de auditoria y sólo considerar aquellos activos más críticos en el plan.
El Plan de Auditoria es una descripción de alto nivel del trabajo de auditoría que se realizará en un tiempo específico, el cual también incluirá:
• Los objetivos, el alcance (los sistemas), los recursos necesarios, las técnicas de recopilación
-
-
-
Riesgo es un resultado potencialmente indeseable o desfavorable (incertidumbre) como resultado de que una amenaza explote una vulnerabilidad debido a una acción o inacción dada (evento). - Evaluación de riesgos para determinar el nivel de riesgo asociado con un proceso, una actividad o un sistema - Él método de medición es el producto entre el impacto esperado y la probabilidad.
-
-
• Una vez cuantificado el riesgo se deben implementar controles. • Un control es una medida para prevenir, disuadir, detectar o corregir de una amenaza.
• Amenaza es un peligro potencial
• Un adversario (agente o actor) es una instancia específica de una amenaza.
• El modelado de amenazas es nuestro enfoque para
identificar y clasificar amenazas potenciales.
• Una vulnerabilidad es una debilidad en la tecnología, el
hardware, el software o en las personas. Un exploit es la explotación de una vulnerabilidad técnica. • Una vulnerabilidad también puede ser un error humano por ingenuidad o negligencia
-
-