Please enable JavaScript.
Coggle requires JavaScript to display documents.
Metodologías de control interno, seguridad y la auditoria de sistemas de…
Metodologías de control interno, seguridad y la auditoria de sistemas de información
Introducción a las metodologías
Definición
Conjunto de métodos que sigue en un trabajo científico o en una exposición doctrinal, permite abordar de este de forma organizada y consecuente
Factores que intervienen en la composición de una contra medida
La normatividad: Debe definir de forma clara y precisa todo lo que debe de existir y cumplirse, tanto desde el punto de vista conceptual como práctico, desde lo general a lo particular.
La organización: Son personas con funciones específicas, y con actuaciones concretas, procedimientos definidos metodológicamente y aprobados por la dirección de empresa.
Los objetivos de control: Objetivos a cumplir en el control de los procesos. Solamente de un planteamiento correcto del mismo, saldrá unos procedimientos eficaces y realistas.
Los procedimientos de control: Procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control y por tanto deben de estar documentados y aprobados por la Dirección.
Las herramientas de control: Elementos de software que permiten definir uno o varios procedimientos de control, para cumplir una normativa y un objetivo de control.
Las metodologías: Necesarias para realizar cualquier proyecto que nos propongamos de manera adecuada y eficaz.
Metodologías de la evaluación
Fases de la Metodología de Evaluación de Sistemas
Análisis y diseño: El análisis implica evaluar los posibles riesgos, las necesidades de recursos (económicos, tecnológicos, humanos) y las alternativas de respaldo disponibles. El diseño debe incluir estrategias para mitigar los riesgos identificados. Aquí se analiza el costo-beneficio, es decir, cuánto cuesta implementar las soluciones frente al valor que aportan al proteger los activos de la organización.
Desarrollo del plan: El plan de evaluación se desarrolla en esta fase. Se seleccionan las estrategias más viables y se implementan acciones, tales como mejoras en la infraestructura de seguridad, actualización de software o ajustes en las políticas de control interno. La implementación se debe realizar de manera estructurada para garantizar que todas las medidas planificadas sean puestas en marcha de manera eficaz.
Pruebas y mantenimiento: Las pruebas son esenciales para verificar que los controles y medidas implementados funcionan correctamente. Se definen ciclos de pruebas periódicos para asegurar que el sistema se mantenga en buen estado y que las medidas sigan siendo efectivas frente a nuevas amenazas. El mantenimiento es un proceso continuo que ajusta las medidas según los cambios en el entorno de la organización o la evolución de las amenazas.
Metodologías Cuantitativas vs. Cualitativas
Cuantitativas
Se basan en análisis matemáticos que asignan valores numéricos a los riesgos. Esto permite una comparación precisa entre diferentes riesgos. Utilizan coeficientes como ALE (Pérdida Anual Esperada), que estima la pérdida potencial en caso de que ocurra una amenaza, o el ROI (Retorno de Inversión), que compara el costo de implementar una medida con los beneficios que aporta en la reducción de riesgos. Estas metodologías suelen requerir más recursos en términos de tiempo y esfuerzo humano, pero son extremadamente precisas.
Cualitativas
Dependen del criterio y juicio de expertos que, basándose en la experiencia acumulada, evalúan los riesgos y establecen prioridades sin necesidad de modelos numéricos detallados. Son más rápidas y requieren menos recursos, pero pueden ser subjetivas, lo que puede reducir su precisión comparado con las metodologías cuantitativas.
Metodologías Más Comunes
Análisis de Riesgo
El análisis de riesgo es una metodología diseñada para identificar las posibles amenazas y vulnerabilidades que afectan a una organización. El objetivo principal es detectar la falta de controles en sistemas, procesos o infraestructura, lo que expone a la empresa a riesgos innecesarios.
Plan de Contingencia
El plan de contingencia es una estrategia preventiva que tiene como objetivo restaurar los servicios críticos de negocio después de una interrupción significativa. Puede ser una falla de sistema, un desastre natural, o cualquier otro evento que comprometa la capacidad operativa de la organización.
Auditoría de Controles Generales
La auditoría de controles generales es una metodología utilizada para evaluar el estado de los controles internos de una organización. Su finalidad es verificar que los controles implementados para mitigar riesgos sean efectivos, estén actualizados y cumplan con las normativas y políticas internas.