You are on page 1of 4

INTRODUCCION A LAS METODOLOGÍAS

La metodología se hace necesaria en materias como la informática, ya que sus


aspectos son muy complejos y la cual se utiliza en cada doctrina que compone
dicha materia, siendo de gran ayuda en la auditoria de los sistemas de
información.

El nacimiento de metodología en el mundo de la auditoria y el control informático


se puede observar en los primeros años de los ochenta, naciendo a la par con la
informática, la cual utiliza la metodología en disciplinas como la seguridad de los
sistemas de información, la cual la definimos como la doctrina que trata de los
riesgos informáticos, en donde la auditoria se involucra en este proceso de
protección y preservación de la información y de sus medios de proceso.

La informática crea unos riesgos informáticos los cuales pueden causar grandes
problemas en entidades, por lo cual hay que proteger y preservar dichas entidades
con un entramado de contramedidas, y la calidad y la eficacia de la mismas es el
objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos,
siendo esta una función de los auditores informáticos. Una contramedida nace de
la composición de varios factores como:

 LA NORMATIVA: en donde se debe definir de forma clara y precisa todo lo


que se debe existir y ser cumplido. Debe inspirarse en estándares, políticas,
marco jurídico, y normas de la empresa.
 LA ORGANIZACIÓN: en esta la integran personas con funciones específicas
y con actuaciones concretas, procedimientos definidos y aprobados por la
dirección de la empresa.
 LAS METODOLOGIAS: son muy necesarias para desarrollar cualquier
proyecto que queramos hacer de forma ordenada eficaz.
 LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de
procesos
 LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos
de las distintas áreas de la empresa, obtenidos con una metodología
apropiada, para la consecución de uno o varios objetivos de control, por lo
cual deben estar aprobados por la dirección
 En la TECNOLOGIA DE SEGURIDAD están todos los elementos, ya sean
hardware o software, que ayudan a controlar el riesgo informático.
 LAS HERRAMIENTAS DE CONTROL: son los elementos software que
permiten definir uno o varios procedimientos de control para cumplir una
normativa y un objetivo de control.
Todos estos anteriores factores están relacionados entre sí, así como la calidad de
cada uno de ellos con la de los demás y al evaluar el nivel de seguridad en una
entidad, lo que se está evaluando son estos factores y se plantea un plan de
seguridad nuevo que mejore todos los factores a medida que se va realizando los
distintos proyectos del plan, dicho plan de seguridad no es más que una estrategia
planificada de acciones y proyectos que lleven a mejorar un sistema de
información.

METODOLOGIAS DE EVALUACION DE SISTEMAS


En la seguridad de sistemas se utilizan todas las metodologías necesarias para
realizar un plan de seguridad además de la auditoria informática.
Existen dos metodologías de evaluación de sistemas son las de ANALISIS DE
RIESGOS y las de AUDITORIA INFORMATICA, con dos enfoques distintos. La
auditoria informática solo identifica el nivel de exposición por la falla de
controles, mientras el análisis de riesgos facilita la evaluación de los riesgos y
recomienda acciones en base al coste-beneficio de las mismas.

TIPOS DE METODOLOGIAS
Las metodologías existentes en la auditoria y el control informático, se pueden
agrupar en dos familias:

 Cuantitativas : basadas en un modelo matemático numérico que ayuda a la


realización del trabajo.
 Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base a la experiencia acumulada.

METODOLOGIAS CUANTITATIVAS

Están diseñadas para producir una lista de riesgos que pueden compararse entre
sí con facilidad por tener asignados unos valores numéricos. Estos valores en el
caso de metodologías de análisis de riesgos son datos de probabilidad de
ocurrencia de un evento que se debe extraer de un registro de incidencias donde
el número de incidencias tienda al infinito.

METODOLOGIAS CUALITATIVAS/SUBJETIVAS

Se basan en métodos estadísticos y lógica borrosa. Precisan de un profesional


experimentado, pero requieren menos recursos humanos/tiempo que las
metodologías cuantitativas.

METODOLOGIAS MÁS COMUNES


Entre las metodologías más comunes de evaluación de sistemas se encuentra:

CONTROL INTERNO INFORMATICO. SUS METODOS Y


PROCESAMIENTOS. LAS HERRAMIENTAS DE CONTROL
Función de Control;
En la auditoria Informática; esta tiene función de vigilancia y evaluación
mediante dictámenes, los auditores tienen diferentes objetivos de cuentas, ellos
evalúan eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones
de tipo cualitativo.
Control interno informático; Cumplen funciones de control dual en los
diferentes departamentos, que puede ser normativa, marco jurídico, la funciones
del control interno es la siguientes determinar los propietarios y los perfiles según
la clase de información, permitir a dos personas intervenir como medida de
control, realizar planes de contingencias, dictar normas de seguridad informática,
controla la calidad de software, los costos, los responsables de cada
departamento, control de licencias, manejo de claves de cifrado, vigilan el
cumplimiento de normas y de controles, es clara que esta medida permite la
seguridad informática.
Metodologías de clasificación de información y de obtención de
procedimientos de control;
Es establecer cuales son las entidades de información a proteger, dependiendo
del grado de importancia de la información para el establecimiento de
contramedidas.

Herramientas de control;
Las herramientas de control, son de dos tipos lógicos y físicos , des del punto
lógico son programas que brindar seguridad, las principales herramientas son las
siguientes; seguridad lógica del sistema, seguridad lógica complementaria del
sistema, seguridad lógica en entornos distribuidos, control de acceso físico,
control de copias, gestión de soporte magnéticos, gestión de control de impresión
y envío de listados por red, control de proyectos y versiones , gestión de
independencia y control de cambios. Y fisiocs los cifradores

ANALISIS DE PLATAFORMAS
Se trata de en determinar la plataforma para la colocación del producto más
tarde.

CATALOGOS DE REQUERIMIENTOS PREVIOS DE IMPLANTACION


Es determinar el inventario de lo que se va a conseguir y también lo necesario
para la implantación; acciones y proyectos, calendarizados y su duración y
seguimiento.

ANALISIS DE APLICACIÓN
Se trata de inventariar las necesidades de desarrollo de INTERFASES con los
diferentes software de seguridad de las aplicaciones y bases de datos.

INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS


Es determinar los controles que se deben tener por parte de los usuarios de las
aplicaciones como de los del sistema y permite establecer que si el nuevo esquema
de control no pierde los objetivos de control .

ADMINISTEACION DE SEGURIDAD
Es la observación de los diferentes productos para la control loa cuales deben de
tener; reglas de control aplicables a todos los recursos del sistema, permitir al
administrador la seguridad de establecer un perfil de privilegios de acceso para el
usuario, designación de diferentes administradores, permitir el p´roducto al
administrador de establecer privilegios a grupos y limitarlos en estas peticiones.

SINGLE SING ON
Este concepto se define como la utilización de un software password para tener
una identificación para un usuario.

FACILIDAD DE USO Y REPORTING


Trata de la interfaz y la calidad de interfaz (interfaz gráficas, menús, etc.).

SEGURIDAD
Esta relacionado con la contraseña , la identificación , la contraseña mínima.