Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Análisis de riesgos
Riesgo es el potencial que una amenaza determinada explote vulnerabilidades de
su activo. Ayuda a identificar los riesgos y las vulnerabilidades para poder
determinar controles necesarios para mitigarlos.
Impacto: es el efecto o consecuencia cuando un riesgo se materializa
Probabilidad: representa la posibilidad de que un evento ocurra.
2. Propósitos del análisis de riesgos
a. Apoyar al auditor en:
i. Identificación del riesgo, amenazas
b. Se determinan las áreas a examinar
c. Determinan los objetivos de la auditoria
3. SEGURIDAD DE SISTEMAS
3.1 Seguridad de la información
Confidencialidad: evitar la divulgación no autorizada de información
confidencial de los datos en reposo.
Integridad: evitar la alteración, sustitución o corrupción de información, solo
acepta modificación las personas autorizadas.
Disponibilidad: evitar la interrupción del servicio y la productividad, frente a
las amenazas que podrían hacer inaccesibles los sistemas
3.2 Roles y responsabilidades
Alta gerencia: tiene la responsabilidad final por el debido cuidado y
diligencia debida para preservar el capital de la organización y promover su
modelo de negocio a través de la implementación de un programa de
seguridad.
Propietarios: Es responsable de los activos de información que deben ser
protegidos, tiene la responsabilidad final de la empresa para la protección
de datos.
Custodio: ejecución de copias de seguridad periódicas y de manera
rutinaria pruebas de validez de los datos de copia de seguridad
o Realizar de restauración de datos desde las copias de seguridad
cuando sea necesario.
Usuario: cualquier que habitualmente utiliza su información como parte de
su trabajo.
3.3 Clasificación de la información
Objetivos
o Evitar divulgación no autorizada
o Cumplir con las leyes de privacidad y regulaciones
o Minimizar la responsabilidad legal
Beneficios
o Demuestra compromiso de la organización
o Soporta los principios de la CIA
o Puede ser necesaria para el cumplimiento normativo
Datos de gobierno
o Sin clasificar, sensible, confidencial, secreto, máximo secreto
Datos comerciales y privados
o Publica, sensible, privada, confidencial
Criterios de clasificación
o Valor
o Edad
o Vida útil , asociación personal