#Tema: Anlisis de Riesgos

** Los principales riesgos informticos son:

- Riesgos de hackeo.
+ Riesgos de integridad.
+ Riesgos de relacin.
+ Riesgos de acceso.
+ Riesgos de utilidad.
+ Riesgos en la infraestructura.
+ Riesgos de seguridad general.

* Uno de los objetivos del anlisis de riesgo y la auditora es:

- Identificar los materiales utilizados en el datacenter.
- Garantizar que la informacin slo sea accesible a persona autorizadas.
- Implementar y administrar a seguridad de informacin.
- Obtener requerimientos de seguridad.
- Asegurar una enseanza de calidad a los estudiantes.
- Monitorear y controlar el acceso a la red y recursos de aplicacin.
+ Identificar los activos informticos, sus vulnerabilidades y amenazas.

** Beneficios de un anlisis de riesgo o de auditora:

+ Mejoras significativas en la seguridad de sistemas de informacin.
+ Mejoras significativas en la aplicacin y los procesos de gestin.
+ Mayor y mejor control sobre activos de la empresa.
+ Permite una mejor gestin de riesgo organizacional.
- Mejoras en las ventas de productos ofrecidos por la organizacin.
- Mejoras en los diferentes procesos gracias al sistema web adquirido.

- Gran ventaja en el tiempo de registro de datos de los clientes.

** Los pasos para realizar un anlisis de riesgos son:

+ Definicin del alcance y el contexto organizacional.
+ Identificacin.
+ Clculo de las estimaciones de riesgo.
+ Riesgos.
+ Riesgo de controles de comunicacin y mitigacin.
+ Aplicacin de los controles.
+ Aceptacin del riesgo.

** Son tipos de anlisis de riesgos:

+ Anlisis cuantitativo del riesgo.
- Anlisis lgico del riesgo.
- Anlisis profundo del riesgo.
- Anlisis fsico del riesgo.
- Anlisis superficial del riesgo.
- Anlisis superlativo del riesgo.
+ Anlisis cualitativo del riesgo.

* Todos los activos, sus recursos y los controles se identifican se evalan en trminos monetarios.
+ Anlisis cuantitativo del riesgo.
- Anlisis lgico del riesgo.
- Anlisis profundo del riesgo.
- Anlisis fsico del riesgo.
- Anlisis superficial del riesgo.
- Anlisis superlativo del riesgo.
- Anlisis cualitativo del riesgo.

* Es una aproximacin rpida que no refleja el rigor del anlisis detallado numrico.
- Anlisis cuantitativo del riesgo.
- Anlisis lgico del riesgo.
- Anlisis profundo del riesgo.
- Anlisis fsico del riesgo.
- Anlisis superficial del riesgo.
- Anlisis superlativo del riesgo.
+ Anlisis cualitativo del riesgo.

* Elementos interrelacionados que usan los tipos de anlisis de riesgo.

+ Amenazas.
+ Vulnerabilidades.
+ Controles.
- Seguridad.
- Oportunidades.
- Fuerza.
- Debilidades.

# Plan de Contingencia

* Los daos y perjuicios ocasionados a las empresas, debidos a los cortes de

suministro o a los daos en las infraestructuras, fruto de desastres naturales o
intencionados. A este tipo de situaciones, se les suele denominar
+ Contingencias.
- Advertencias.
- Seguridad.
- Daos.
- Perjuicios.

- Desastres.
- Estrategias.

** Hay que diferenciar un plan de contingencias informticas de lo que se denomina:

+ Plan de continuidad del negocio.
+ Plan de continuidad.
- Plan de riesgos.
- Seguridad.
- Plan de suministros.
- Plan de infraestructuras.
- Plan de negocio.

** Ventajas del respaldo interno

+ Solucin con un coste moderado.
+ No aumenta excesivamente la complejidad de la operativa actual.
+ Incrementa la seguridad de los sistemas de informacin.
+ No hace necesario acudir a un centro externo para continuar el funcionamiento.
- Solucin arriesgada.
- Alta Disponibilidad.
- Evitar los puntos nicos de fallo.

* Desventaja del respaldo externo

+ Coste elevado.
- Bajo costo.
- Bajo rendimiento.
- Utilizacin de pocos equipos.
- Solucin con un coste moderado.
- Solucin arriesgada.
- Seguridad.

** Factores que determinan un Plan de Contingencias--Seguridad fsica.

+ SAI.
+ Grupo electrgeno independiente.
+ Medidas para deteccin y extincin de incendios.
+ Servicio de vigilancia fsica permanente.
+ Escner de deteccin de objetos.
+ Destructora de papel.
+ Seguridad perimetral.

** Caractersticas de un Plan de Contingencias

+ Aprobacin
+ Flexibilidad
+ Mantenimiento
+ Costo-Efectividad
- Seguridad
- Disponibilidad
- Accesibilidad

# Conceptos sobre Seguridad y Control

** Acerca de seguridad de la informacin es correcto decir

+ No existe la "Verdad Absoluta" en Seguridad Informtica
+ No es posible eliminar todos los riesgos
+ La Direccin est convencida de que la Seguridad Informtica no hace al negocio de la compaa
+ Cada vez los riesgos y el impacto en los negocios son mayores
- A mayor cantidad de USB mayor probabilidad de sufrir robos por phishing
- La ingenieria social no aplica en los gerentes solo en los subordinados

- Si proteger la informacin quieres, antivirus tener debes

* Todos coinciden en que ...

+ El 80% incidentes/fraudes/ataques son efectuados por personal interno
- El 90% incidentes/fraudes/ataques son efectuados por personal interno
- El 100% incidentes/fraudes/ataques son efectuados por personal interno
- El 50% incidentes/fraudes/ataques son efectuados por personal interno
- El 70% incidentes/fraudes/ataques son efectuados por personal interno
- El 30% incidentes/fraudes/ataques son efectuados por personal interno
- El 40% incidentes/fraudes/ataques son efectuados por personal interno

** Tipos de ataques comunes

+ Robo Dinero
+ Denegacin de Servicio
+ Alteracin de datos
+ Intrusin
+ Robo de Informacin
+ Dao de Software
- Robo a mano armada en BCP

** Principios de Seguridad
+ Confidencialidad
+ Integridad
+ Disponibilidad
- Amabilidad
- Responsabilidad
- idoneidad
- Alta resistencia

** Normas de gestin ISO 17799

+ Poltica de Seguridad
+ Organizacin de Seguridad
+ Clasificacin y Control de Activos
+ Aspectos humanos de la seguridad
- Control de Plagas
- Gestion de GUI's por WLAN
+ Desarrollo y Mantenimiento de Sistemas

** Apoyo de la ONGEI en
+ Anlisis de Vulnerabilidades de los servidores Web de las Entidades Pblicas
+ Boletines de Seguridad de la Informacin
+ Boletines de Alertas de Antivirus
+ Presentaciones tcnicas sobre seguridad
+ Consultorias y apoyo en recomendaciones tecnicas
- Anlisis del Ciclo de Athodpa

** En el control interno se busca

+ Efectividad
+ Eficiencia
+ Suficiencia
+ Confiabilidad
+ Cumplimiento de la regulacin
- Serenidad riesgosa
- Efectibilidad

** Qu es la seguridad de la informacin?
+ Es un activo en un negocio
- Es un pasivo en un negocio

+ Asegura la continuidad del negocio

+ Mantener un control de polticas, prcticas, procedimientos, etc
- Es una rama de IANH
- Asegura las buenas practicas del equipo de IANH
+ Maximizante del retorno de las inversiones y las oportunidades de negocio

#Riesgos, Seguridad y Seguros

*Establece la importancia de monitorear y controlar el acceso a la red y los recursos de

aplicacin como proteccin contra:
-Toma de deciciones.
+Los abusos internos e intrusos externos.
-Pensamiento Abierto.
-Politica de integracion social.
-Narcotraficantes a gran escala.
-Comportamiento antisocial.
-Abusos de poder ejecutivo.

*Que significa la Gestin de Incidentes de la Seguridad de la informacin?

-Asegurar las entradas y salidas de actividades.
-Calcularlas ganancias de todo el proyecto.
-Clasificar las propuestas dadas al ao.
-Comunicar las necesidades de toda la organizacion.
+Asegurar que los eventos y debilidades en laseguridad de la informacin
para que permitan una accin correctiva a tiempo.
-Corregir las pruebas de estado.
-Cancelar las mejoras de un buen proyecto.

**Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas:
+Integridad
+Confidencialidad
+Disponibilidad
+Irrefutabilidad
-Caracterizacion
-Conocimiento
-Modernizacion

** Se considera un incidente de seguridad a:

+Un evento adverso en un entorno informtico, que puede comprometer o compromete la
confidencialidad, integridad o disponibilidad de la informacin.
+Una violacin o inminente amenaza de violacin de una poltica de seguridad de la informacin.
-La capacidad de establecer las normas, preceptos, reglamentos
-Una aceptacion a la inminente amenaza de violacin de una poltica de seguridad de la
informacin.
-La capacidad de establecer los precios, y costo de servicio
-Una accion que produsca serenidad en el personal
-Los conocimiento obtenidos son modificados

*Que son las amenazas internas?

+Generalmente estas amenazas pueden ser ms serias que las externas por varias razones como
son los usuarios conocen la red y saben cmo es su funcionamiento.
-La falta de capacidad de almacenamiento.
-Poco espacio de memoria Ram.
-Mal estado del Hadware.
-Son amenazas poco peligrosas.
-Amenazas ligeramento peligrosas.
-Capacidad de ingresar mas ganancias a la empresa.

-Amenaza sin importancia por poca durabilidad.

*Que son las amenazas externas?

+Son aquellas amenazas que se originan de afuera de la red.
-Son aquellas que se forman el el hadware.
-Son aquellas que no se pueden evitar.
-Se pueden comprar en internet.
-Son ilegales en el peru.
-Solo se investigan en EEUU.
-Son las que malogran tu disco duro.

*Norma ISO 17799

+Es una compilacion de recomendaciones flexibles que ayuda a los responsables de la seguridad
-Es una norma de etica para la empresa
-Contiene recomendaciones para la adminitracion
-Estrablece diferencias entre el bien y el mal
-Comunica sobre leyes de informtica
-Norma gubernamental de sistemas y ecologia
-Norma de dependencia de tecnologia

**Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes:

-Seguridad Progresiva
-Seguridad Complementaria
-Seguridad Implicita
-Seguridad Cooperativa
+Seguridad Fisica
+Seguridad Ambiental
+Seguridad Logica

# Tcnicas para Auditar Bases de Datos

** 1.-Para la documentacin el auditor debe de obtener para la aplicacin que se est analizando:
+ a)BD utilizadas
+ b)Tablas que conforman la BD
+ c)Vistas definidas
+ d)ndices definidos para las tablas de BD
+ e)Catlogo de sistema manejador o diseado por los analistas
+ f)Diccionario de datos del sistema
+ g)Libreras propias del manejador de la BD y la aplicacin motivo de estudio

** 2.-En relacin a los procedimientos de seguridad, el auditor debe adquirir:

- a)Base de datos utilizadas
- b)Tablas que conforman la base de datos
- c)Vistas definidas
- d)ndices definidos para las tablas de base de dato+s
+ e) Procedimientos de recuperacin ante cadas de la aplicacin
+ f) Acuerdos de soporte en procesamiento con otras empresas
+ g) Polticas de contingencias establecidas para las BD's

** 3.-Sobre pruebas a ejecutar los procedimientos actuales sern revisados teniendo presente:
+ a) Vigencia
+ b) Cumplimiento
+ c) Eficiencia
+ d) Relacin con los dems reas de la CAC
- e) Puntualidad
- f) Relacin con los dems reas de la DAC
- g) Honestidad

** 4.-Algunos comandos UNIX:

- a)CMOD: Cambios en la estructura de los permisos ya establecidos
+ b)CHMOD: Cambios en la estructura de los permisos ya establecidos
- c)CHOMP: Cambios de propietarios en las tablas de la BD
+ d)CHOWN: Cambios de propietarios en las tablas de la BD
- e)CRIPT: Definicin de passwords para la ejecucion de algunos programas
+ f)CRYPT: Definicin de passwords para la ejecucion de algunos programas
- g)CHMOD: Cambios de propietarios en las tablas de la BD

** 5.-En una auditora a Microprocomputadores y redes LAN se evalan los siguientes aspectos:
+ a) Polticas administrativas
+ b) Adquisicin de hardware
+ c) Adquisicin y desarrollo de software
+ d) Documentacin
+ e) Comunicaciones
+ f) Entrenamiento y soporte a usuarios
+ g) Mantenimiento

** 6.-Aspectos a tener en cuenta en una organizacin

+ a) Compras, cambios o eliminaciones de elementos de software o hardware
+ b) Las justificaciones de nuevas adquisiciones
+ c) Alternativas manuales que garanticen normal desempeo
+ d) Difusin de polticas
+ e) Respaldo tcnico y garanta tecnolgica
+ f) La capacitacin y entrenamiento a usuarios de computadores
+ g) Debe de existir un comit de sistemas (informtica)

** 7.-Aspectos a tener en cuenta acerca del software

+ a) Propiedad Intelectual
- b) Respaldo tcnico y garanta tecnolgica
+ c) Desarrollo de software de acuerdo a la metodologa de desarrollo existente
- d) La capacitacin y entrenamiento a usuarios de computadores
+ e) Desarrollo de sistemas soportados en micros y su documentacin
- f) Difusin de polticas
+ g) Revisin de auditora

* 8.-No es un nivel de red ISO

+ a) Fsico
+ b) Enlace de datos
+ c) Redes
+ d) Transporte
+ e) Sesin
- f) Logueo
+ g) Presentacin

#Prctica de auditora en el hardware

**Cules son los riesgos de negocio relacionados con la informtica?

+ riesgos de integridad
+ riesgos de relacin
+ riesgos de acceso
+ riesgos de utilidad
+ riesgos de infraestructura
+ riesgos de seguridad general
- riesgos de no utilidad

**Cules forman parte de la seguridad informtica?

+ control de acceso
+ planificacin
+ administracin
+ cifrado
+ seguridad de red
+ seguridad fsica
+ seguridad biomtrica

*Cules no son los riesgos de negocio relacionados con la informtica?

- riesgos de integridad
- riesgos de relacin
- riesgos de acceso
- riesgos de utilidad
- riesgos de infraestructura
- riesgos de seguridad general
+ riesgos de no utilidad

*Cules no forman parte de la seguridad informtica?

- control de acceso
- planificacin
+ los gansos
- cifrado
- seguridad de red
- seguridad fsica
- seguridad biomtrica

**son principios de la evaluacin del sistema de control interno

+ efectividad

+ eficiencia
+ confidencialidad
+ integridad
+ disponibilidad
+ cumplimiento
+ confiabilidad

* no son principios de la evaluacin del sistema de control interno

- efectividad
- eficiencia
- confidencialidad
- integridad
- disponibilidad
- cumplimiento
+ los gansos

**los recursos que se toman en cuenta en la evaluacin del sistema de control interno
+ datos
+ aplicaciones
+ tecnologas
+ instalaciones
+ personal
- los gansos domsticos
- los gansos salvajes

**los recursos que no se toman en cuenta en la evaluacin del sistema de control interno
- datos
- aplicaciones
- tecnologas

- instalaciones
- personal
+ los gansos domsticos
+ los gansos salvajes

#Seguridad en Internet

** Quienes no desarrollaron el protocolo SET?

- BBVA
- BCP
- Scotiabank
+ Visa
+ MasterCard
- Interbank
- Banco de la Nacin

** Cuales son las dos tecnologias aplicadas empleadas en los

Firewalls?

- Filtrado de numeros
- Filtrado de colas
- Sistema Operativo
+ Filtrado de paquetes
- Decodificacin
+ Nivel aplicativo
- Nivel de presentacin

** Los firewalls respecto a las configuraciones por los proveedores, se clasifican en:
+ Firewalls de filtrado de paquetes

+ Firewalls hibridos
+ Firewalls de nivel aplicativo
+ Firewalls de nivel aplicativo de segunda generacin
- Firewalls de nivel aplicativo de tercera generacin
- Firewalls alineados
- Firewalls concentrados

** Cisco cree que para reducir las amenazas contra la seguridad en Internet los gobiernos
pueden:
+ Fomentar la conciencia entre consumidores y la industria sobre la importancia de la seguridad
en la red
+ Educar a los usuarios acerca de las mejores prcticas
+ Usar las mejores prcticas para proteger sus propios sistemas
+ Financiar el desarrollo e investigacin a largo plazo
- Usar las mejores prcticas para proteger otros sistemas
- Educar a los usuarios acerca de las mejores operaciones
- Financiar el desarrollo e investigacin a corto plazo

** Cisco no cree que los gobiernos deberan regular la seguridad.En general, la regulacin:
+ No avanza lo suficientemente rpido para mantenerse a la par
industria.
+ Incluso puede disminuir la seguridad en Internet al crear
sistmicas

con las necesidades de la

puntos especficos de fallas

+ Limita la innovacin al preferir tecnologas especficas

- Limita la innovacin al preferir tecnologas variadas
- Fomente el desarrollo de las mejores y ms avanzadas

soluciones

- No avanza lo suficientemente lento para mantenerse a la par

industria.
- Incluso puede aumentar la seguridad en Internet

** Cmo garantizar la Seguridad en Internet?

con las necesidades de la

+ La tecnologa SSL (Secure Sockets Layer)

+ El sello de Symantec
+ Escaneo de malware de sitio web
+ Prevencin de phishing
- Marcas de Confianza
- Autoridad de Confianza
- Fomentar la tranquilidad de los clientes

** Que medidas tomar para estar seguros en internet

+ Realizar las operaciones por Internet desde el computador
personal de la casa u oficina.
+ No acepte ayuda de ninguna persona que se ofrezca a
presente fallas.

colaborarle en caso de que su clave

+ Su usuario y clave secreta son personales e intransferibles

mantngalos en absoluta reserva.
+ Nunca porte y escriba su usuario y clave secreta,memorcelos!
- utilice a terceras personas para realizar sus operacione
+ No construyas su clave secreta con nombre de familiares,fechas de nacimiento o aniversarios
+ Si sospecha que alguien conoce su clave secreta, cmbiela

inmediatamente.

** Microsoft da 10 consejos para evitar ser vctima de los cibercriminales en la red algunos de
ellos son:
+ Actualiza de forma peridica tu sistema operativo.
+ Respalda tu informacin y utiliza contraseas robustas.
+ No reveles informacin personal por Internet.
+ Llena con cuidado formularios de registro.
+ Cambia claves y contraseas con frecuencia.
+ Establece restricciones a tu informacin personal en sitios de redes sociales.
- Nunca cambies de clave

# Importancia en la Auditoria en informatica

** Los beneficios de la auditoria en una empresa son

+ Mejora la imagen publica
+ Genera confianza en los usuarios
+ Optimiza las relaciones internas
+ Optimiza el clima de trabajo
+ Disminuye los costos de la mala calidad
+ Genera un balance de los riesgos en TI
+ Realiza un control de inversin

** Las buenas prcticas de la auditoria en TI estn agrupadas en 4 dominios:

+ Planificacin y organizacin
+ Adquisicin e implementacin
+ Distribucin y soporte
+ Monitoreo
- Operaciones
- Monitoreo y operaciones
- Monitoreo y capacitacin

** Auditoria de sistemas tiene el fin de emitir una opinin acerca de:

+ La eficiencia en la adquisicin
+ Utilizacin de los recursos informticos
+ La confiabilidad
+ La integridad
+ La seguridad
+ Oportunidad de la informacin
+ La efectividad de los controles

** El alcance de la auditoria est compuesta por todos los recursos informticos, y estos son:
+ Personas
+ Equipos
+ Aplicaciones
+ Capacitacin
+ Informacin
+ Controles
- Almacenamiento

** La auditora sirve para mejorar ciertas caractersticas de la empresa como, segn desempeo
+ Fiabilidad
+ Eficacia
+ Rentabilidad
+ Seguridad
+ Privacidad
- Gobernabilidad
- Eficiencia

** La auditora sirve para mejorar ciertas caractersticas de la empresa como, segn gobierno
corporativo
+ Administracin
+ Servicio de entrega
+ Soporte
+ Proteccin
+ Seguridad
+ Planes de continuidad
+ Recuperacin de desastres

** Cules son los tipos de auditoria de sistemas

+ Auditoria de la gestin
+ Auditoria de los datos
+ Auditoria de la base de datos
+ Auditoria de la seguridad
+ Auditoria de la seguridad fsica
+ Auditoria de la seguridad lgica
+ Auditoria de las comunicaciones

** Cules son las principales herramientas que dispone un auditor informticos son:
+ Observacin
+ Realizacin de cuestionarios
+ Entrevistas a auditados y no auditados
+ Muestro estadstico
+ Flujo gramas
+ Lista de chequeo
+ Mapas conceptuales

# Tema: anillos y defensa de seguridad

** Las estratgias y polticas son:

+ Estrategias de administracin
- Estrategias de seguridad
+ Estndares
+ Guias
+ Directivas
- Manuales
- Revistas

* Es correcto de Administracin de la organizacin:

+ Procesos que se dirigen hacia polticas profesionales y programas de capacitacin.
- Procesos que se dirigen hacia programas profesionales y polticas de capacitacin.
- Polticas que se dirigen hacia programas profesionales y procesos de capacitacin.
- Programas que se dirigen hacia procesos profesionales y polticas de capacitacin.
- Procesos que no se dirigen hacia polticas profesionales y programas de capacitacin.
- Procesos que no se dirigen hacia programas profesionales y polticas de capacitacin.
- Procesos que se dirigen hacia polticas de capacitacin.

** La monitorizacin de eventos nos permiten:

+ Medir correctamente la implementacin de polticas
- Calcular correctamente la implementacin de polticas
- Controlar correctamente la implementacin de polticas
+ Identificar en qu momento las polticas necesitan cambios
- Verificar en qu momento las polticas necesitan cambios
- Manifestar en qu momento las polticas necesitan cambios
- Ver los procesos activos

** La seguridad informtica abarca un amplio rango de estrategias y soluciones, tales como:

+ Control de acceso
+ Prevencin de virus informticos
+ Planificacin y administracin del sistema
+ Cifrado
+ Seguridad de la red y de comunicaciones
+ Seguridad fsica
- Seguridad lgica

** El Control de acceso

+ Una de las lneas de defensa ms importantes contra los intrusos indeseados

- Una de las lneas de defensa menos importantes contra los intrusos indeseados
+ El papel del control de acceso es identificar la persona que desea acceder
- El papel del control de acceso es identificar la persona que no desea acceder
+ Restringir la entrada a cualquiera que no tenga un nombre de usuario y una contrasea vlidos
+ Las contraseas son un ejemplo de una forma simple pero efectiva de control de acceso
- Las contraseas no son un ejemplo de una forma simple pero efectiva de control de acceso

** La seguridad fsica es:

+ Aspecto importante de la seguridad informtica
- Aspecto no importante de la seguridad informtica
+ Seguridad fsica de sus servicios
- Seguridad fsica de algunos servicios
+ Seguridad fsica de sus equipos informticos
+ Seguridad fsica de sus medios de datos reales
- Seguridad fsica de sus metas

** La falta de suguridad fsica puede tener como resultado:

+ Prdida de la productividad
+ Prdida de ventaja competitiva
+ Sabotajes
- Solidez
- Confianza
- Seguridad
- Integridad

** Algunos de los mtodos para prevenir el acceso ilegal a los servicios informticos incluyen:
+ Claves y contraseas para permitir el acceso a los equipos
+ Uso de cerrojos y llaves

+ Fichas o tarjetas inteligentes

+ Dispositivos biomtricos
- Puertas con rejas
- Ventanas blindadas
- Camaras de seguridad

# Administrador de seguridad

** El administrador de seguridad sus funciones y responsabilidades son:

+ Proveer un apoyo administrativo directo
+ Establecer objetivos para el desarrollo futuro de los sistemas de seguridad
+ Determinar los requisitos de recursos especiales
+ Negociar con niveles mltiples de programacin de apoyo de la direccin
+ Analizar continuamente y evaluar las alternativas de seguridad
+ Coordinar con el personal de seguridad legal y seguros
+ Dirigir auditoras de seguridad

** El administrador de seguridad debe ser capaz de:

+ Reconocer las exposiciones de seguridad actual y potencial
+ Desarrollar soluciones en un entorno de cambios constantes de tecnologa de los ordenadores
+ Interrelacionar con el tiempo real
+ Fijar los diseos estndares de seguridad
+ Establecer los procedimientos administrativos
- Revisar refuerzos de documentacin
+ Negociar e inducir a la direccin media y principal en las emisiones de anlisis de riesgo

** El administrador de seguridad hace contacto directo son:

+ Proveedores del servicio

+ Usuarios/propietarios
+ Direccin
+ Personal de fuera
+ Auditora interna
+ Legal
- Errores de hardware

** Ejemplos de revelacin accidental son:

+ Distribucin de salida al usuario errneo
+ Transmisin a la terminal errnea
+ Copias viejas de copias impresas utilizadas como desperdicios del personal
+ Datos presentados pero sin ser solicitados
- Error en el cambio de posiciones
- Mal funcionamiento del hardware
- Duplicacin

** Ejemplos de destruccin intencional son:

+ Disturbios
+ Sabotajes
+ Ocultar
+ Robos
+ Imanes
+ Desimantadores
+ Explosivos

** Segn Jerry Fitzgeral las reas claves de inters en sistemas de informacin son:
+ Pistas de auditora
+ Control de acceso

+ Segregacin de deberes
+ Documentacin
+ Errores y omisiones
+ Desastre y destrucciones
+ Privacidad

** Segn John Bysch, Jr. y Joseph Sardinas, Jr. la lista de riesgos:

+ Funcionamiento defectuoso
+ Fraude y acceso no autorizado
+ Fallos en fuerza y comunicaciones
+ Fuegos
+ Sabotajes y disturbios
+ Desastres naturales
+ Riesgos generales

#Riesgos, Seguridad y Seguros

**contra qu se debe proteger la informacin?

+incendio
+inundaciones
+fraude
+espionaje
+sabotaje
+vandalismo
+destruccin

**Cmo debe garantizarse la seguridad de la informacin?

+confidencialidad

+integridad
+disponibilidad
-paciencia
-ocultarla
-dispersarla
-ahondarla

**Cules son los recursos que tienen valor para las organizaciones?
-economia
-bienes
-servicios
+informacin
-popularidad
-pasivos
+activos

*A qu son vulnerables los sistemas y servicios de informacin de las organizaciones?

-desarrollo
-integridad
-autorizacin
-confiabilidad
-durabilidad
+amenazas
-implementacin

**Cules son las amenazas intencionales remotas?

+interceptacin
-locucin
+corrupcin

-inters
+suplantacin de origen
-desgano
-conjetura

**Qu contempla la seguridad fisica y del entorno?

-proteger la ropa
-proteger las cartas
+proteger las reas
+proteger el equipo
+proteger los controles generales
-proteger la sala de recepcin
-proteger el exterior

**A qu se le define la necesidad de educar e informar a los empleados?

-Seguridad fisica
+Seguridad de recursos humanos
-Seguridad del entorno
-Seguridad de activos
-Seguridad de pasivos
-Seguridad de equipos
-Seguridad de ambientes

**Qu establece el control de accesos?

+Importancia de monitorear el acceso a la red
+Importancia de controlar el acceso a la red
+Importancia de monitorear los recursos de aplicacin
+Importancia de controlar los recursos de aplicacin
-Importancia de monitorear los equipos

-Importancia de controlar los equipos

-Importancia de monitorear los pasivos

# Prdida y Fraude

*Esta gua se centra en los riesgos de TI para ayudar a prevenir,detectar y responder al fraude.
- GTAG 14
- GTAG 1
- GTAG 12
- GTAG 10
- GTAG 7
+ GTAG 13
- GTAG 2

*Acto intencionado realizado que conlleve la utilizacin del engao con el fin de conseguir una
ventaja injusta o ilegal.
- Error
- Control interno
- Auditora
- Incorreccin
- Procedimiento sustantivo
- Prueba de control
+ Fraude

**El objetivo principal de la seguridad informtica es proteger los recursos informticos de

- Virus informtico
+ Dao
+ Alteracin

- Amenazas
+ Robo
- Copia
+ Prdida

**Algunos de los mtodos para prevenir acceso ilegal a los servicios informticos incluyen
+ Claves y contraseas
+ Uso de cerrojos y llaves
+ Fichas o tarjetas inteligentes
- Letrero que diga "Solo personal autorizado"
+ Patrones de voz
+ Identificacin de huellas dactilares
- Msica para ahuyentar a los malos espritus

*Es un mtodo para reducir el riesgo del mal uso accidental o deliberado de un sistema
+ Segregacin de Tareas
- Proteccin contra software malicioso
- Gestin de cambios
- Documentacin de procedimientos operativos
- Intercambio de informacin
- Monitoreo
- Seguridad de los equipos

*Dominio de control de ISO 17799 que evita la prdida,modificacin o uso indebido de la

informacin
- Poltica de seguridad
+ Gestin de Comunicaciones y Operaciones
- Clasificacin y Control de Activos
- Seguridad de Recursos Humanos

- Seguridad fsica y del Entorno

- Control de acceso
- Adquisicin, Desarrollo y Mantenimiento de los sistemas

*Seguridad de la informacin: El 80% de los incidentes/fraudes/ataques son efectuados por

- Venganza
- La competencia
- La competencia de la competencia
+ El personal interno
- El servicio de limpieza
- El servicio de inteligencia
- Anonymous

**Formas de fraude informtico

+ Hacking
+ Cracking
+ Phreaking
+ Phishing
+ Ingeniera Social
- Ingeniera de requerimientos
+ Robo de Identidad

# Politica de Seguridad

* Qu es politica de Seguridad?
- Realizar un inventario y nivel de proteccin de los activos.
- Gestion dentro de la Organizacin

+ Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que
indica en trminos generales qu est permitido y qu no lo est en el rea de seguridad.
- Evitar accesos no autorizados a los sistemas de Informacion.
- Evitar acceso a dao o perturbaciones.
- Asegurar la operacin correcta y segura de los recursos.
- Evitar acceso no autorizado a las redes.

** Ventajas de la ISO 17799

+ Aumento de la seguridad efectiva de los sitemas de informacin.
+ Correcta planificacin y gestin de la seguridad.
+ Garantas de continuidad del negocio.
+ Mejora continua a traves del proceso de auditora interna.
- Aumento de la seguridad de los sistemas de videovigilancia.
- Incorrecta planificacin.
- Auditoria Externa frecuente.

* Diferencia entre Politica y Estndar

- Politica:cmo la organizacin obtendr los requerimientos de seguridad.

Estndares:Lo que la organizacin quiere hacer para implementar la seguridad de la informacin.
+ Politica:El porque una organizacin protege la informacin.
Estndares:Lo que la organizacin quiere hacer para implementar la seguridad de la informacin.
- Politica:El porque una organizacin protege la informacin.
Estndares:cmo la organizacin obtendr los requerimientos de seguridad.
- Politica:Lo que la organizacin quiere hacer para implementar la seguridad de la informacin.
Estndares:El porque una organizacin protege la informacin.
- Politica:Estndares de seguridad.
Estndares:Politica de Seguridad.
- Politica:Realizacin de un anlisis de riesgos.

Estndares:Lo que la organizacin quiere hacer para implementar la seguridad de la informacin.

- Politica:El porque una organizacin protege la informacin.
Estndares:Establecimiento de controles.

** Cul es el objetivo de la Politica de Seguridad?

+ Proporcionar direccin gerencial para la seguridad de la informacin.
+ Proporcionar apoyo gerencial para brindar seguridad de la informacin.
- Documentacin de la poltica.
- Revisin y evaluacion de la seguridad de la informacin.
- Auditora interna de la seguridad de la informacin.
- Auditora externa de la seguridad de la informacin.
- Proporcionar un foro gerencial sobre la seguridad de la informacin.

** Elementos de la Poltica de Seguridad Informtica

+ Alcance de las polticas , incluyendo facilidades, sistemas y personal sobre el cual se aplica.
+ Objetivos de la poltica y descripcion clara de los elementos involucrados en su definicin.
+ Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la
organizacin.
+ Requerimientos mnimos para configuracin de la seguridad.
+ Definicin de violaciones y de las consecuencias de la seguridad .
+ Responsabilidad de los usuarios con repecto a la informacin a la que tiene acceso.
- Los usuarios no deben tener acceso a nada.

* En que ISO podemos encontrar "la politica de seguridad"

+ ISO 17799
- ISO 17798
- ISO 17796
- ISO 17790
- ISO 17797

- ISO 17794
- ISO 17777

** Aspetos organizativos para la politica de seguridad

+ Gestionar la seguridad de la informacin dentro de la organizacin.
+ Mantener la seguridad de los recursos de tratamiento de la informacin.
+ Mantener la seguridad de los activos de informacin que son accedido por terceros.
+ Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha
externalizado a otra organizacin.
- Gestionar la seguridad de la informacin fuera de la organizacin.
- Mantener la seguridad de los servidores.
- Mantenerla seguridad en todo momento.

** Clasificacin y Control de Acceso

+ Mantener una proteccin adecuada sobre los activos de la organizacin.
+ Asegurar un nivel de proteccin adecuado a los activos de informacin.
- Clasificacin de los activos.
- Control de un activo.

#amenazas y elementos de seguridad

**Amenazas o riesgos que enfrentan las empresas que utilizan las redes son:
+Interceptacin de las Comunicaciones
+Acceso no Autorizado a Ordenadores y Redes de Ordenadores
+Perturbacin de las Redes
+Ejecucin de Programas que Modifican y Destruyen los Datos
+Declaracin Falsa
+Accidentes no Provocados
-Accidentes provocados

**Factores que Propician el Acceso de Intrusos

+Los SO y las aplicaciones no estan protegidos.
+Falta de seguridad fsica.
+Los empleados no siempre siguen las polticas de seguridad.
+Requerimientos cada vez mayores de disponibilidad.
-Los SO estan protegidos.
-La seguridad psicologica.
-los empleados siguen las politicas de seguridad.

**Riesgos de Integridad
+Interfaz del usuario
+Procesamiento
+Procesamiento de errores
+Interfaz
+Administracin de cambios
+Informacin
-Difusion

**Riesgos de acceso
+Procesos de negocio
+Aplicacin
+Administracin de la informacin
+Entorno de procesamiento
+Redes
+Nivel fsico
-Nivel bsico

**Riesgos de utilidad enfocan en tres diferentes niveles de riesgo:

+Direccionamiento de sistemas

+Tcnicas de recuperacin / restauracin

+Backups y planes de contingencia
-Redireccionamiento de equipo
-Tecnicas de analisis
-Planes de informacion
-Tecnica de procesamiento

**Procesos informaticos considerados en los riesgos en la infraestructua

+Planeacin organizacional
+Definicin de las aplicaciones
+Administracin de seguridad
+Operaciones de red y computacionales
+Administracin de sistemas de bases de datos
+Informacin/Negocio
-Organizacion administrativa

**Riesgo al que est expuesto cualquier elemento de tecnologa

+Riesgos de choque de elctrico
+Riesgos de incendio
+Riesgos de niveles inadecuados de energa elctrica
+Riesgos de radiaciones
+Riesgos mecnicos
-Riesgos de quiebra
-Riesgos de informacion

**Los riesgos de relacin se refieren a:

+Al uso oportuno de la informacin creada por una aplicacin.
-Al uso oportuno de las estaciones de trabajo.
-Al uso de metricas de software.

-Al uso adecuado de las normas de seguridad.

-Al uso de las estrategias de administracion para la seguridad.
-Al uso adecuado de estrategias de negocio.
-Al uso adecuado de energia electrica.

# PROBLEMAS EN EL USO DE LAS TECNOLOGIAS DE LA INFORMACION

** Para garantizar la seguridad de los recursos de la organizacin, se debe:

+ Planificar los servicios

+ Organizar los servicios
+ Administrar los servicios
+ Definir Politicas
+ Definir Procedimientos
- Publicar los nombres de usuario
- Publicar las claves de acceso

** Un Control de acceso permite:

+ verifica la identidad
+ Bloquear a los intrusos
+ Utilizar una contrasea
+ Es discrecional
+ Establecer permisos segn usuario
- Bloquear los virus
- Encriptar la informacin

** El acceso discrecional implica:

+ Permisos diferentes segun usuario

+ Permisos diferentes segn perfil de usuarios
- Permisos iguales segun usuario
- Permisos iguales segn perfil de usuarios
- Permisos encriptados segn usuario
- Permisos desencriptados segn usuario
- Permisos totales en el sistema

** La prdida y/o dao de los equipos/servicios informticos generan:

+ Prdida de la productividad
+ Prdida de la ventaja competitiva
- Aumento de la productividad
- Aumento de la ventaja competitiva
- Aumento de las ganancias
- Aumento de los clientes
- Aumento de los proveedores

** El cifrado de la informacin implica:

+ Encriptar la informacin
+ Desencriptar la informacin
- Comprimir la informacin
- Desconprimir la informacin
- Organizar la informacin

- Gestionar la informacin
- Supervisar la informacin

* Qu significa COBIT?

- Objetivos de Control para la Informacin y Tecnologas Distintas

- Objetivos de Control para la Investigacin y Tecnologas Afines
- Objetivos de Control para la Investigacin y Tecnologas Distintas
+ Objetivos de Control para la Informacin y Tecnologas Afines
- Objetivos de Control para la Informacin y Tecnologas
- Objetivos de Control para la Informacin
- Objetivos de Control para la Tecnologas

* Qu implica la norma ISO/IEC 17799

- Cdigo de buenas prcticas de la supervisin de seguridad de la comunicacin

- Cdigo de buenas prcticas de la administracin de seguridad de la comunicacin
- Cdigo de buenas prcticas de la gestin de seguridad de la comunicacin
+ Cdigo de buenas prcticas de la gestin de seguridad de la informacin
- Cdigo de buenas prcticas de la supervisin de seguridad de la informacin
- Cdigo de buenas prcticas de la administracin de seguridad de la informacin

# POLITICAS DE SGURIDAD

* QUE SE ENTIENDE POR POLITICAS DE SEGURIDAD?

- CONJUNTO DE CARACTERISTICAS QUE INDICAN QUE NO SE DEBE HACE EN EL AREA DE
SEGURIDAD DE UN SISTEMA

- PLAN DE ACCION PARA AFRONTAR ENEMIGOS CIBERNETICOS

+ CONJUNTO DE REQUISITOS QUE INDICA QUE ESTA PERMITIDO EN EL AREA DE SEGURIDAD DE
UN SISTEMA
- PROCEDIMIENTOS PARA OBTENER LOS REQUERIMIENTOS DE SEGURIDAD
- LO QUE SE QUIERE HACER PARA IMPLEMENTAR Y ADMINISTRAR LA SEGURIDAD DE LA
INFORMACION
- DOCUMENTO DE ALTO NIVEL QUE GARANTIZA LA BUENA POLITICA EN UN SISTEMA
- INSTRUMENTO QUE ADOPTA LA EMPRESA PARA DEFINIR A SUS POLITICOS

* QUE SIGNIFICA SGSI?

- SISTEMA DE GOBIERNO DE SISTEMA
- SISTEMA DE GESTION DE SEGURIDAD INTENSIVA
- SEGURIDAD GENERAL EN EL SISTEMA
- SEGURIDAD DE GRAN SIGNIFICANCIA
+ SISTEMA DE GESTION DE SEGURIDAD INFORMATICA
- SISTEMA DE GASTOS SIMPLES DE INFORMATICA
- SISTEMA GENERAL DE SEGURIDAD INFORMATICA

** CONFORMAN EL MODELO ADOPTADO POR LA SGSI:

- VISUALIZAR
+ HACER
- EXPERIMENTAR
+ VERIFICAR
+ PLANIFICAR
- ESTABLECER
+ ACTUAR

** SON DOMINIOS DE CONTROL DE ISO 17799:

+ POLITICA DE SEGURIDAD
+ ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

+ CLASIFICACION Y CONTROL DE ACTIVOS

+ SEGURIDAD DE RECURSOS HUMANOS
+ SEGURIDAD FISICA Y DEL ENTORNO
+ GESTION DE CONTINUIDAD DEL NEGOCIO
+ CONTROL DE ACCESOS

** SON OBJETIVOS DE GESTION DE COMUNICACIONES Y OPERACIONES:

+ ASEGURAR EL FUNCIONAMIETO CORRECTO DE LAS INSTALACIONES DE PROCESAMIENTO DE
INFORMACION
+ MINIMIZAR EL RIEGSGO DE FALLA DE LOS SISTEMAS
+ PROTEGER LA INTEGRIDAD DE SOFTWARE Y LA INFORMACION
+ CONSERVAR LA INTEGRIDAD DEL PROCESAMIENTO DE INFORMACION
+ GARANTIZAR LA PROTECCION DE LA INFORMACION EN LAS REDES
+ EVITAR DAOS A LOS RECURSOS DE INFORMACION EN LAS ACTIVIDADES DE LA INSTITUCION
+ EVITAR LA PERDIDA, MODIFICACION O MAL USO DE LA INFORMACION

* QUE ES PECERT?
+ COORDINACION DE EMERGENCIAS EN REDES TELEINFORMAICAS
- CENTRO DE EMERGENCIAS Y REHABILITACION TRANSITORIA
- CARACTERISTICAS EMPRESARIALES DE REGISTROS TEMPORALES
- COORDINACION DE ESTADISTICAS DE REDES Y TELECOMUNICACIONES
- CENTRO DE ESTADISTICAS EN REDES TELEINFORMATICAS
- COORDINACION DE EMERGENCIAS EN REDES Y TELECOMUNICACIONES
- CARACTERISTICAS ESTABLECIDAS PARA REDES Y TELECOMUNICACIONES

** CUALES SON LOS OBJETIVOS DE PECERT?

+ PROMOVER LA COORDINACION ENTRE LAS ENTIDADES DE LA ADMINISTRACION PUBLICA
NACIONAL
+ ASESORAR TECNICAMENTE ANTE INCIDENTES DE SEGURIDAD DE LOS SISTEMAS INFORAMTICOS

+ ASESORAR A LOS ORGANISMOS DE LA ADMINISTRACION PUBLICA NACIONAL SOBRE

HERRAMIENTAS Y TECNICAS DE PROTECCION
+ CENTRALIZAR LOS REPORTES SOBRE INCIDENTES DE SEGURIDAD OCURRIDOS EN REDES
TELEINFORMATICAS
+ ACTUAR COMO REPOSITORIO DE TODA LA INFORMACION SOBRE INCIDENTES DE SEGURIDAD
+ DIFNDIR INFORMACION UTIL PARA INCREMENTAR LOS NIVELES DE SEGURIDAD DE LAS REDES
TELEINFORMATICAS
+ INTERACTUAR EN COORDINACIONES DE SIMILAR NATURALEZA

* NORMA ISO PARA "BUENAS PRACTICAS PARA LA GESTION DE SEGURIDAD DE INFORMACION"

- NTP-ISO/IEC 17899
- NTP-ISO/IEC 17999
- NTP-ISO/IEC 17798
- NTP-ISO/IEC 17888
- NTP-ISO/IEC 17779
- NTP-ISO/IEC 17119
+ NTP-ISO/IEC 17799

TEMA: ANILLOS Y DEFENSA DE SEGURIDAD

*El jefe de seguridad determina dnde debe estar el anillo de seguridad y su ..............
-personal correspondiente
+proceso de control
-identificacion
-registro manual
-anillo medio de seguidad
-infomacion interna
-infrastructura

*los anillos de seguridad son ............... ubicados dentro de la institucin, para el anlisis
cualitativo de la estructura fsica detectando zonas y puntos sensibles.
-los objetos fisicos de red
-los spoofing
-los bloques de seguridad
-los puertos de seguridad
-las redes privadas
-los segmentos particionados
+los espacios fisicos segmentados

**la seguridad de un centro de informacion se realizan en base a la implementacin de un sistema

multiusuario
con tecnologa de base de datos relacionales que soporten:
+transacciones en lnea
+servidores remotos
+robustez
+seguridad fisica
-bases de datos
-redes privadas
-Seguridad analogica

**Para considerar la seguridad fsica se pueden implementar diversos mecanismos tales como:
+Uso del equipo por personal autorizado
+acceso al equipo, solo personal que cuente con conocimientos en computacin
-filtracion de informacion
-reglas
-sanciones
-solo podran tener acceso al equipo los dueos

**las lineas de defensa son:

+gestion operativa
-medicion del control
+gestion de riesgo y funciones de cumplimiento
+auditoria interna
-calidad
-cumpliineto
-control financiero

**la segunda linea de defensa, gestion de riesgo y funciones de cumplimiento, esta compuesto
por:
+control financiero
+seguridad
+gestion de riesgo
+calidad
+nspeccion
+cumpliiento
-auditoria

**para la defensa de seguridad en la tecnologia infomatica es necesario proveer el soporte en los

distintos procesos de la organizacion tales como:
+control de acceso
+virus informatico
+planificacion y administracion del sistema
+cifrado
+seguridad de la red y comunicaciones
+seguridad fisica
-planeacion

**la estructura de seguridad infomatica se basa en cuatro tecnicas de administracion:

+estrategias y politicas
+administracion de la organizacion
+monitorizacion de eventos
-atencion al usuario
-politicas y seguridad
+tecnologia informatica
-vigilancia permanente

#PROBLEMAS EN EL USO DE LA TECNOLOGIA DE INFORMACIN

*El proceso de autora de TI en la evaluacin de riesgos

+ Conjunto de expectativas
+ Identificacin de riesgo
+ Medicin del riesgo
+ Valoracin de controles
+ Mitigacin y control
+ Monitoreo y control del riesgo
- Valoracin de los problemas

**Son las evaluaciones de riesgo

+ Entorno del negocio
+ Identificacin de riesgo
+ Anlisis de riesgo
+ Evaluacin de riesgos
+ Tratamiento de los riesgos
- evaluacin
- entorno

** son los monitoreo y revisiones de riesgos

+ Entorno
+ Identificacin de los procesos crticos
+ Anlisis y medicin
+ Evaluacin
+ Manejo de los riesgos residuales
- documentacin de los procesos
- nivel de supervisin

**factores importantes que fortalecen el anlisis del riesgo

+ Gente
+ Herramientas para el manejo de los procesos TI
+ Complejidad de los procesos de TI
+ Documentacin de los procesos TI
+ Nivel de supervisin y monitoreo de los procesos
+ Efecto en clientes y usuarios TI
- valoracin de los errores

** son las valoraciones de riesgo

+ Inventario de riesgo TI
+ Universo de procesos
+ Mapa de riesgos por procesos del rea de TI
+ Matriz de riesgos por procesos
+ Mapeo de estructura organizativa
- arquitectura
- seguridad de la informacin

** controles generales del computador

+ Arquitectura
+ Continuidad del negocio
+ Contratacin y externalizacin
- entorno
- identificacin de los procesos crticos
- anlisis y medicin
- evaluacin

** Principales riesgos en la funcionalidad de TI

+ Seguridad de la informacin
+ Seguridad RRHH, contratacin y externalizacin
+ Seguridad de la informacin gestin de activos
+ Proteccin de privacidad y datos
+ Contratacin y externalizacin
- evaluacin
- entorno

*No se emplea un marco de seguridad global a travs de Compaa para identificar, controlar y
mitigar proactivamente los riesgos de seguridad TI
+ Seguridad de la informacin
- evaluacin
- proteccin de privacidad y datos
- contratacin y externalizacin
- entorno
- inventario de riesgo TI
- universo de procesos

#PERDIDAS Y FRAUDE

** se puede decir del fraude informatico que es:

+ cualquier cambio no autorizado y malicioso de datos o informaciones contenidos en un sistema

informatico.
+ delito contra el patrimonio consistente en el apoderamiento de bienes ajenos usando sistemas
informaticos.
+ un fraude informaticos da origen a una perdida informatica.
- el fraude se deben a aveces a la mala gestion y a falta de control.
- el fraude informatico es igual a el error informatico.
- cubrir las perdidas que sufriria una empresa en el caso de que sus actividades informaticas se
interrumpiesen.
- una perdida informatica da origen a un fraude informatico.
- fallos tecnicos y operativos.

** porque se pueden dar el fraude y las perdidas?

+ a causa de errores.
+ los sistemas grandes y complejos que tienen muchos programas.
+ mala gestion y a falta de control.
+ pueden originarse en acciones deliberadas y fraudulentas.
+ el fallo de una persona o de una seccion puede ser decubierto y explotado por un tercero.
- por el fraude de la empresa que se contrata.
- auditar las secciones que la componen y sus interrelaciones.
- varios origenes de agujeros informaticos.

** las causas de perdidas o fraudes son originadas por:

+ que tratan grandes volumenes de datos e intervienen poco personal.
+ A veces se sobregraban los registros magneticos.
+ A veces los registros magneticos son transitorios.

+ los sistemas son impersonales.

+ solo parte del personal de proceso de datos conoce todas las implicaciones del sistema.
+ se tienede a empezar buscando errores de programacion y del sistema.
+ fallos tecnicos y operativos.
+ cuando surgen discrepancias.

** cuando A veces se sobregraba los registros magneticos suele pasar:

+ que se pierde la evidencia auditable.
+ secuencia de acontecimientos.
- se pierden los detalles de lo que sucedio.
- queda solo los efectos.
- en las previsiones que se hayan hecho queden huecos.
- los sistemas se vuelven algo rigidos.
- varios origenes de agujeros informaticos.

** El fraude frecuentemente involucra de manera simultnea tres elementos:

+ Motivo
+ Oportunidad percibida
+ Racionalizacin
- Prestamistas
- Inversionistas
- Debilidad de control interno
- Incremento de las utilidades de costo

** Es un ejemplo d fraude laboral en Activos

+ Adquirir activos innecesarios para obtener una comisin del proveedor.

+ Adquirir ficticiamente activos.

+ Apropiarse indebidamente de inventarios o activos de la empresa.
+ Cambiar activos de menor calidad por activos adquiridos por la empresa
+ Utilizar para beneficio personal activos de la empresa.
- Cargar descuentos propios a otros empleados
- Incluir empleados ficticios en la nmina

** Son caractersticas de la auditoria forense

+ Propsito
+ Alcance
+ Orientacin
+ Normatividad
+ Enfoque
+ Auditor a cargo
- Auditor por reas

* El periodo que cubre el fraude financiero sujeto a investigacin (auditora) es caracterstica del...
+ Alcance
- Orientacin
- Normatividad
- Propsito
- Equipo de apoyo
- Enfoque
- informacin

#Auditora, confidencialidad, privacidad, integridad, auditabilidad, auditora de programas

** Tipos de auditoria son:

+ Auditora financiera
+ Auditora organizada
+ Auditora de gestin
+ Auditora informtica
- Auditora de prametros
- Auditora de mdulos
- Auditora contable

** En la informtica se necesita distinguir los siguientes niveles:

+ Nivel tcnico
+ Nivel semntico
+ Nivel pragmtico
+ Nivel normtico y tico
- Nivel sintctico
- Nivel morfolgico
- Nivel esquemtico

** En la auditora informtica tiene como factores a mejorar:

+ Rentabilidad
+ Seguridad
+ Eficacia
- Errores y omisiones
- Empleados deshonestos
- Empleados descontentos
- Empleados despedidos

** Obejtivos de la auditora interna

+ Revisin y evaluacion de controles contables, financieros y operativos

+ Determinacion de la utilidad de polticas, planes y procedimientos

+ Custodia y contabilizacin de activos
+ Examen de fiabilidad de datos
+ Divulgacin de polticas y procedimientos establecidos
+ Informacin exacta a la gerencia.
- Determinacin de problemas legales

** Objetivos de la auditora externa

+ Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos examinados.
+ Medicin de la magnitud de un error ya conocido, supuestos o confirmacin de ausencia de
errores
+ Propuesta de sugerencia, en tono constructivo
+ Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio
+ Control de las actividades de investigacin
- Medicin de eventos electorales
- Control para medir el valor de una marca

** Es correcto de la auditora financiera con ordenador

+ Descentralizar el proceso contable
+ Reducir el nmero de cuestaciones repetidas
+ Mejorar el rendimiento
+ Reducir el tiempo necesario para presentar la informacin elaborada
+ Presevar la exactitud de los datos
- Determinar la causa de errores de software
- Prevenir gastos en mantenimiento

** Comprobacin del proceso mediante la utilizacin de datos de prueba

+ El auditor prepara un conjunto de datos de entrada simulados
+ Este conjunto de datos es sometido a dos procesos independientes

+ Se establece una comparacin entre las dos informaciones de salida

+ Si se detectan dierencias, stas sirven de inicio para un anlisis ms a fondo
- Se establece un metodos estdisticos
- Se establece una comparacin de estudios
- Se establece una funcin

** En el desarrollo de la auditora
+ Se efectuarn las entrevistas previstas en la fase de planificacin
+ Se completarn los cuestionarios que conlleva al auditar
+ Se observarn las situaciones deficientes
+ Se observarn los procedimientos, tanto en los informticos como en los usuarios
+ Se ejecutarn todas las previsiones efectuadas en la fase anterior al objetivo de llegar a la
siguiente etapa
- Se observarn situaciones eficientes
- Se efectuarn procedimientos almacenados

#SEGURIDAD EN INTERNET

**Qu tipos de inconvenientes se pueden suscitar en internet?:

+ Robos de identidad
+ Fraude
- juegos online
+ Correo no deseado
+ Estafas
- actualizaciones de antivirus
- solicitudes de candy crush

*La seguridad en Internet y las leyes que la protegen, estn basadas principalmente en:
+ los sistemas de encriptacin.
- los spireware
- los candados de seguridad
- la ingenieria social
- las buenas practicas
- Un buen servidor
- Buenas claves

*Proporciona autenticacin y privacidad de la informacin sobre Internet mediante el uso de

criptografa:
+ SSL
- AVI
- Banner
- BPS
- EITO
- HTML
- HTTP
- JAVA

**Consejos para evitar ser vctima de los cibercriminales en la red:

+ No reveles informacin personal por Internet.
+ Llena con cuidado formularios de registro
+ Evita sitios que muestren violencia y/o pornografa.
+ No te conectes a sitios de descarga de msica gratuita.
+ Actualiza de forma peridica tu sistema operativo
+ Cambia claves y contraseas con frecuencia.
- Evita estar demasiado tiempo en facebook

*Es el mas reciente caso de fallo de seguridad que afecta a internet:

+Shellshock
-Heartbleed
-Haboo
-Conficker
-Stuxnet
-SOPA
-Elk Cloner

*De que se trata el "The Heartbleed Bug"

-Una nueva forma de Hackear Facebook
-El fallo del corazn desangrado
-Agujero de seguridad en internet por el cual accederiamos a indormacion de Myspace
-Agujero de seguridad en internet ha dejado expuestas informacion de EE.UU
-Agujero de seguridad en internet ha dejado expuestas fallos en Facebook
+Agujero de seguridad en internet ha dejado expuestas contraseas y una amplsima variedad de
servicios online en todo el mundo.
-Nueva tecnologia de cifrado de datos

*Cmo podemos saber cuando estamos ante una pgina oficial o falsa?
+ Verifica que la URL es correcta.
- Usa tu sentido comun y que la fuerza te acompae.
+ Qu tiene un candado en la parte izquierda de la web, donde el https.
- Revisa la gramtica.
+ Revisa donde est registrado el dominio.
- Verifica comentarios de otros usuarios.
- Confa en ti mismo.

**Qu significa el candado cuando navegamos?

+ Indica que la conexin est cifrada mediante la tecnologa SSL.

+ Los datos que viajan de nuestro ordenador a la pgina que estamos visitando no son visibles
para nadie.
- Que tenemos que usar una llave.
+ Que el sitio en el que navegamos es seguro.
- No es de importancia.
+ Que se pueden transmitir datos de una manera segura.
- Que no aparecera en el historial de navegacion.

# Auditora, confidencialidad, privacidad,

integridad, auditabilidad, auditora de
programas

**Auditoria de Sistemas Es el examen objetivo, crtico, sistemtico, posterior y selectivo

que se hace con el fin de emitir una opinin acerca de :
+La eficiencia en la adquisicin y utilizacin de los recursos informticos.
+La confiabilidad, la integridad, la seguridad y oportunidad de informacin.
+La efectividad de los controles en los sistemas de informacin.
-Del Cumplimiento de las leyes fiscales
-veracidad de los estados financieros
-Desempeo de funciones Administrativas
-La revision de las contribuciones y servicios

*Principales razones para auditar y controlar los SI

+Toma de decisiones incorrectas
+Reducir el costo de los errores
+Control del uso de las TIC
+Consecuencias de las prdidas de datos

-Generar Desempleo
+Privacidad de los datos personales
+Fraude informtico

**En la actualidad existen tres tipos de metodologas de auditoria informtica:

+R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen.
+CHECKLIST o cuestionarios.
+AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base
de Datos DB2; paquete de seguridad RACF, etc.).
-ISACA
-NIST
-ISO
-NEO

**Un proceso de auditoria basado en riesgo normalmente incluira las siguientes tareas:
+Recopilar informacin y planificar.
+Entender el Ambiente de Control Interno
+Efectuar pruebas de cumplimiento
+Efectuar pruebas sustantivas.
+Concluir la Auditora
-Efectuar pruebas de venta
-Efectuar pruebas de Compra

**Tipos y clases de auditorias informticas dentro de las reas generales, es posible establecer las
siguientes divisiones:
+ Auditoria Informtica de Explotacin
+ Auditoria Informtica de Sistemas
+ Auditoria Informtica de Comunicaciones
+ Auditoria Informtica de Desarrollo de Proyectos
+ Auditoria Informtica de Seguridad

- Auditoria Informtica de nivel de usuario

- Auditoria Informtica de nivel de Operador

*La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:
+Desempeo
+Fiabilidad
+Eficacia
+Rentabilidad
+Seguridad
+Privacidad
-Desarrollo

**AUDITORA:
+Examen
+Control
+Evaluacin
+Investigacin
+Revisin
-Programacion
-Alineacion

**Auditoras por su lugar de Origen:

+Interna
+Externa
-Amplio
-Mini Interna
-Variado
-Superior
-Completo

#TEMA : AMENAZAS Y ELEMENTOS DE SEGURIDAD

* Es un principio de seguridad enfocada en garantizar que la informacin sea fiable y que no se ha

modificada.
- Confidencialidad
- Disponibilidad
- Objetividad
+ Integridad
- Parametrizacin de la seguridad propia de los sistemas
- Objetividad de sistemas
- Disponibilidad de servicios

** Qu pide la Norma ISO 17799 en cuanto a gestin de seguridada?

+ Garantizar la continuidad comercial
- Respaldar la gestin sobre la seguridad
+ Respaldar la seguidad por una gestin
- Garantizar la informacin comercial
- Minimizar las inversiones y Oportunidades
- Automatizar las oportunidades
+ Maximizar el retorno sobre las inversiones y las oportunidades

** Algunas realidades en compaias que cuentan con seguridad

+ Implementamos un firewall
+ Contratamos responsables para el rea
+ Ya se escribieron las polticas de seguridad
+ Se hizo una penetration testing

+ Obtenga informacin sobre amenazas externas y locales como parte de una estrategia de
defensa
+ Identificar soluciones polticas que ayuden a reducir el riesgo de ataques
+ Implemente soluciones que utilicen proteccin basada en la nube

** Normas aplicables en organismos comerciales y/o institucionales relacionados a los temas de

seguridad de la informacin
+ Information System and Audit Control Association - ISACA: COBIT
+ British Standards Institute: BS
+ Norma ISO
+ Departamento de defensa de USA
+ ITSEC
+ Sans Institute
+ Sarbanes Oxley Act

** Son algunas reas que engloba a las normas de gestin ISO 17799
+ Seguridad Fsica y Ambiental
+ Aspectos humanos de la seguridad
+ Clasificacin y control de Activos
+ Sistema de control de Accesos
+ Poltica de Seguridad
+ Organizacin de Seguridad
+ Desarrollo y Mantenimiento de Sistemas

** Son algunas caractersticas de las pruebas de penetracin "pen testing"

+ Son una prtica para poner a prueba un sistema informtico, red o aplicacin web para
encontrar vulnerabilidades
+ Tambin son usados para probar el cumplimiento de la poltica de seguridad de una organizacin
+ Simula un ataque interno detrs del firewall por un usuario autorizado
+ la estrategia de prueba a ciegas simulan las acciones y procedimientos de una atacante real

+ La estrategia de comprobacin externa se dirige a los servidores o dispositivos

- Estandariza las comunicaciones empresariales
- Identifica soluciones polticas

** SON ALGUNAS AMENAZAS Y VIRUS INFORMTICOS

+ Spyware
+ FakeAVs
+ Adwares
+ keyloggers
+ Gusanos
+ Caballo de troya
+ Backdoors

* Software que despliega publicidad de distintos productos o servicios

- Spyware
- Backdoors
+ Adware
- Hijackers
- Dialers
- Rogues
- Keyloggers

#Conceptos de seguridad y control

**Retos gerenciales
+Disear sistemas que no estn demasiado controlados
-Sistemas con un control insuficiente
+Disear sistemas que estn demasiado controlados

+Ausencia de un control insuficiente

+Crear sistemas seguros
+Diseo de sistemas basados en redes multiusuario
+Aplicar normas de aseguramiento de calidad aproyecto de sistemas grandes

**Vulnerabilidad y abuso de sistemas

+Los datos automatizados son ms susceptibles a destruccin, fraude, error y abuso
+Si los sistemas fallan, las compaas experimentan prdidas en su capacidad de operar
-Los sistemas multiusuario son invulnerables
-Los proyectos de sistemas pequeos son invulnerables
+Los datos almacenados de forma electrnica son vulnerables a muchos tipos de amenazas
+La vulnerabilidad es el producto de un fallo tcnico
+La vulnerabilidad es el producto de malas decisiones gerenciales

**Amenazas para los sistemas de informacin computarizados

+Fallos de hardware : Incendio
+Fallos de software : Problemas elctricos
+Acciones del personal: Errores de usuario
+Penetracin por terminales : Cambios de programas
+Robo de datos, servicios : Problemas de telecomunicaciones
+Penetracin por terminales : Problemas elctricos
+Acciones del personal : Problemas de telecomunicaciones

**Los sistemas computarizados son especialmente vulnerables a amenazas por las siguientes
razones:
+Un sistema de informacin complejo no se puede reproducir manualmente.
+Los procedimientos computarizados son invisibles.
+Un desastre, su efecto puede ser mucho ms extenso.
+Muchas personas tienen acceso directo a los sistemas de informacin en lnea

+Los adelantos en telecomunicaciones han intensificado esta vulnerabilidad

+Los adelantos en software de computadora han intensificado esta vulnerabilidad.
-Los procedimientos computarizados son visibles

**Controles generales y seguridad de datos

+Controles de software
-Controles de procesamiento
+Controles de hardware fsico
+Controles de operaciones de cmputo
+Controles de seguridad de datos
+Controles sobre el proceso de implementacin
+Controles administrativos

**Controles de aplicacin
+Controles de entrada
+Controles de procesamiento
+Controles de salida
-Controles de software
-Controles de hardware
-Controles administrativos
-Controles de seguridad de datos

**Proteccin de la empresa digital

+Computo de alta disponibilidad
+Plan de recuperacin en caso de desastre
+Uso de herramientas y tecnologas adecuadas
+Respaldo de informacin
+Duplicacin de discos
+Balanceo de carga

+Agrupacin Vnculo de dos computadoras

**Metodologas y herramientas para garantizar la calidad del sofware:

+Metodologas estructuradas
-Metodologa clsica
+Anlisis estructurado
-Programacin funcional
+Diseo estructurado
+Programacin estructurada
-Programacin imperativa