FANDOM


Auditoria: Es la disciplina que mediante técnicas y procedimientos aplicados en una organización por personas independientes a operación de la misma evalúa el cumplimiento de los objetivos institucionales, emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de cumplimientos de dichos objetivos.

Controles: Son políticas, procesos, prácticas y estructuras que brindan seguridad razonable de que los eventos no deseados serán; prevenidos, detectados y corregidos, en el momento oportuno.

Clasificación de los controles: Correctivos, preventivos, detectivo, operativos, administrativos.

Riesgos (punto de vista TI): Probabilidad de que una amenaza explote una vulnerabilidad y cause daños a los activos… dependiendo de los activos la amenaza varían, y son directamente proporcional al activo.

Vulnerabilidad: Es una falla, un error o cualquier evento que haga que el sistema se encuentre desprotegido antes ataques.

Auditores: Detectan la vulnerabilidad del sistema, verifican si los controles funcionan de manera adecuada, y sobre todo verifica si hay controles. Los auditores realizan pruebas de controles llamadas también “pruebas de cumplimientos”.

-Los auditores también, verifican la integridad, la calidad de la información que transmiten los sistemas de información, a estas pruebas se le llaman “pruebas sustantivas”.

Función que realizan los auditores:

  1. Verifican las vulnerabilidades
  2. Pruebas de cumplimientos (a los controles)
  3. Pruebas sustantivas (a la integridad y la calidad de la información)

Tarea: Realizar una matriz de riesgo y controles para un sistema de banca por internet, es decir se debe enlistar todas las vulnerabilidades que usualmente podrían afectar.

  • Por cada uno de los riesgos se debe redactar uno o mas controles.
  • Por cada una de las probabilidades, el control que la litiga (si el control no existe es un hallazgo “H”)

Nota: Asumir que el sistema contiene el 80% de los controles necesarios por lo cual se debería redactar un programa de prueba para esos controles.

Consultas:

  1. Lista de vulnerabilidades webs OWASP
  2. Lista de vulnerabilidades base de datos SQL
  3. Lista de vulnerabilidades que afectan servicios web.