Cuestionario del capítulo
III
1- ¿Qué diferencia y similitudes existen entre la
metodología cualitativa y las cuantitativas? ¿Qué ventaja y que inconveniente
tienen?
Diferencias: las cuantitativas se basan en un modelo matemático numérico que ayuda
a la realización del trabajo, y las cualitativas se basan en el
razonamiento Humano capaz de definir un proceso de trabajo.
Similitudes: ambas van encaminadas a
establecer y mejorar un entramado de contramedidas que garanticen que la
probabilidad de que las amenizas se
Materialicen,
sea lo más baja posible o al menos quede reducida de una
Forma razonable
en costo-beneficio, y también dependen de un
Profesional.
Ventajas:
- Cualitativas: enfoca lo más amplio, plan de trabajo flexible y reductivo, se
Concentra en la
identificación de eventos, incluye factores intangibles.
- Cuantitativas: enfoca pensamientos
mediante uso de números, facilita la
Comparación de
vulnerabilidades muy distintas, proporciona una cifra
Justificante
para cada contramedida.
Desventajas:
ü
Cualitativas: depende fuertemente de la habilidad y calidad del personal Involucrado,
puede excluir riesgos significantes desconocidos, identificación de eventos
reales más claros al no tener que aplicar probabilidades complejas de calcular, dependen
de un profesional.
ü Cuantitativas: la estimación de probabilidades dependen de
estadísticas fiables inexistentes, estimación de las pérdidas potenciales solo
si son valores cuantificables, metodologías estándares difíciles de mantener o modificar.
2- Cuáles son las componentes de una contramedida o
control (Pirámides de seguridad)? ¿Qué papel tienen las herramientas de
control? ¿Cuáles son las herramientas de control más frecuentes?
Componentes: la normativa, la organización, las metodologías, los objetivos de
control, los procedimientos de control, tecnologías de seguridad, las
herramientas de control.
- El papel que
desempeñan las herramientas de control que permite definir uno o varios
procedimientos de control para cumplir una normativa y un objetivo de control.
Herramientas de
control más frecuentes: seguridad lógica del sistema, seguridad lógica
complementaria al sistema, seguridad lógica para entornos distribuidos, control
de acceso físico, control de copias, gestión de soporte magnético,
gestión y control de Impresión y envío de listados por red, control de
proyectos, control de versiones, control y gestión de incidencias,
control de cambio.
3- ¿Qué tipo de Metodología de plan de
contingencia existen? ¿En qué se diferencia? ¿qué es un plan de
contingencia?
Existen dos
tipos de plan de contingencia que son plan de contingencia informático y pan de
contingencias corporativo.
Un plan de
contingencia es una estrategia planificada por un conjunto de recursos de
respaldo, una organización de emergencia y unos procedimientos de actuación
encaminada a conseguir una restauración progresiva y ágil de los
servicios de negocios afectados por una paralización total o parcial de
la capacidad operativa de la empresa.
4- ¿Qué Metodología de auditoria informática existen?
¿Para qué se usa cada una?
Existen dos que
son las auditorias de controles generales y las metodologías de los auditores
internos.
Las auditorias
de controles generales se usan para obtener una opinión sobre la
Fiabilidad de
los datos, basadas en pequeños cuestionarios estándares que dan como
resultados informes muy generalistas. Por otro lado la metodología de auditor
interno también cumple la misma función pero son diseñadas por el propio
auditor.
5- ¿Qué es el nivel de exposición y para qué sirve?
El nivel de
exposición es un indicativo definido subjetivamente que permite en base a
la evaluación final de la última auditoría realizada definir la fecha de
la repetición de la misma auditoria.
6- ¿Qué diferencias existen entre las figuras de
auditoria informática y control
Interno
informático? ¿Cuáles son las funciones más importantes de este?
La clara
diferencia entre ambos elementos es que, el control interno monta los
controles del proceso informático, mientras que la auditoria informática
evalúa el grado de control.
Funciones principal:
Control interno informático: funciones de control dual con otros
departamentos, normativa y del cumplimiento del marco jurídico,
responsable del desarrollo y mantenimiento del plan de contingencias,
controles de coste, controles de medida de seguridad física o corporativa
en la información.
7- ¿Cuáles son las dos metodologías más importantes para
el control interno informático? ¿para qué sirve cada una?
En el control
interno informático existen dos grandes familias. Esta es:
Cuantitativa: sirve para la realización de un trabajo.
Cuantitativa: sirve para definir un proceso de trabajo y seleccionar en base las
experiencias acumuladas.
8- ¿Qué papel tienen las herramientas de control
en los controles?
Las
herramientas de control son elementos software que por sus características
funcionales permiten vertebrar el control de una manera más actual y más
automatizadas.
9- ¿Cuáles son los objetivos de control en el
acceso lógico?
Segregación de
funciones entre los usuarios, integridad de los “log” e imposibilidad de
desactivarlos por ningún perfil para poder revisarlos, gestión centralizada de
la seguridad o al menos única, contraseña única para los distintos
sistemas de la red, la contraseña y archivos con perfiles y derechos
inaccesibles a todos, el sistema debe rechazar a los usuarios que no usan
la clave, separación de entornos, el log o los log’s de actividad no
podrán desactivarse a voluntad, el sistema debe obligar a los usuarios a
cambiar la contraseña y es frecuente encontrar mecanismos de auto-loguot.
10- Que es
la certificación de seguridad? ¿Qué aporta la ISO 17779? ¿Que metodología se
utilizan en el desarrollo de un SGSI?
Es una medida
adicional de confianza a los usuarios que visitan y realizan actividades o
transacciones en una página web. Permite el cifrado de los datos entre el
servidor representante a la página y los datos del ordenador del usuario.
Un concepto más
preciso sería que un certificado de seguridad logra que los datos
personales de los usuarios queden en criptados y de esta forma sea imposible
por los demás usuarios interceptarlos.
No hay comentarios:
Publicar un comentario