Auditoria de Sistemas-trabajo
TRABAJO COLABORATIVO 2 ERITH PAREDES MOLINA HENRY VANEGAS ANGEL BELO PEREZ TUTOR: CARMEN ADRIANA AGUIRRE CABRERA GRUPO
Views 140 Downloads 0 File size 329KB
Recommend stories
- Author / Uploaded
- angelbello
- Categories
- Planificación
- Calidad (comercial)
- Seguridad y privacidad en línea
- La seguridad informática
- Software
Citation preview
TRABAJO COLABORATIVO 2
ERITH PAREDES MOLINA HENRY VANEGAS ANGEL BELO PEREZ
TUTOR: CARMEN ADRIANA AGUIRRE CABRERA GRUPO: 90168_5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA ECBTI PROGRAMA INGIENERIA DE SISTEMAS CEAD - VALLEDUPAR 2013
INTRODUCCION En el siguiente trabajo colaborativo se tratara los temas de la unidad 2 de Auditoria de Sistemas que abarcara temáticas que son vitales en la formación profesional como es la importancia de la auditoria informática, consideraciones para acabo un plan para auditoria de sistemas informático. El problemática de Seguridad informática tiene infinidad de aplicaciones, herramientas y procesamiento pero es de vital importancia llevar una excelente metodología para este fin.
Objetivos
Generales Comprender la importancia de la auditoria informática ya que en cualquier empresa esta área es de gran apoyo para los demás departamento y debe de estar bien respaldada en sus procesos internos y externos.
Específicos. o o o o
Conocer las técnicas de la elaboración de un plan informático. Herramientas utilizadas. Aplicación de herramientas en casos reales. Integración de aportes de los integrantes y exponer puntos de vistas.
DESARROLLO
1. La importancia de la planeación de la auditoria informática APORTE ANGEL BELLO PEREZ Es importante ya que si no se tiene un previo estudio o no se sigue una serie de pasos previos que permitirán establecer las tipologías, dimensiones y/o atributos que permita auditar un proceso de gestión informática o área informática en determinada empresa, se realizaría la auditoria casi a ciega sin saber por dónde y que auditar arrojando resultados poco confiables en los procesos, control o infraestructura informática a auditar. La auditoría se debe planificar de forma adecuada para obtener la evidencia necesaria del control ejercido por parte de la empresa en su gestión Informática y así asegurar que se cuenta o no con un sistema confiable y con un buen nivel de seguridad. Esta planificación tiene sus efectos durante todo el proceso de auditoria como es en el inicio de la evaluación, sigue durante la ejecución y termina en la entrega de resultado o informe de la auditoría realizada. Algunos objetivos de la planeación de Auditoria informática son:
Aspectos legales de los sistemas y de la información.
Evaluación administrativa del área de procesos electrónicos.
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo.
Seguridad y confidencialidad de la información.
APORTE ERITH PAREDES Una vez asignados los recursos, el responsable de la auditoria y sus colaboradores establecen un plan de trabajo. Decidido éste, se procede a la programación del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes; Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa. Si la auditoria es global, de toda la informática. o es parcial. el volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal, En el plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos. En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. El Plan establece disponibilidad futura de los recursos durante la revisión. El Plan estructura las tareas a realizar por cada integrante del grupo. En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programación de actividades
APORTE HENRY VANEGAS Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: Evaluación de los sistemas y procedimientos. Evaluación de los equipos de cómputo. Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
2 -Que consideraciones se den tener en cuenta para un plan de auditoria informática APORTE ANGEL BELLO ¿Qué consideraciones se deben tener en cuenta para un plan de auditoría informática? Se debe considerar el plan de auditoría informática como un pilar de todas las actividades que se ejecutan en ella. La desestimación o informalidad en los planes de Auditoria ha provocado gran decepción Para lograr una adecuada planeación, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una, investigación preliminar y algunas entrevistas previas, y con base a esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevar con ayuda de un diagrama de Gantt. Una vez asignadas los recursos, el responsable de la auditoría y sus colaboradores establece un plan de trabajo. Decidido éste, se procede a la programación del mismo por parte del responsable de cada sector o de cada especialista, que los reportan el mencionando responsable de la auditoría para la aprobación final. El Plan de Auditoría se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisión ha de realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración final es más compleja y costosa, lo cual redonda en una superior calidad b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias de personal.
o En el Plan no se consideran calendarios porque se manejan recursos genéricos y no específicos. o En el Plan se establecen los Recursos y Esfuerzos globales que van a ser necesarios. o El Plan establece las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. o El Plan establece la disponibilidad futura del personal y de los demás recursos durante la duración de la Revisión. o El Plan estructura las tareas a realizar por cada integrante del equipo o En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto. Los programas de trabajo son las cuantificaciones del plan. El Plan de Auditoría se elabora teniendo en cuenta, entre otros criterios, los siguientes: • Funciones • Procedimientos • Tipos de auditorías que realiza • Sistema de evaluación • Nivel de exposición • Lista de distribución de informes • Seguimiento de acciones correctoras • Plan de trabajo Auditoría de Sistemas de Información
PUNTO 2 HENRY VANEGAS PLAZA Que consideraciones se den tener en cuenta para un plan de Auditoria informática.
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo; con ello podremos determinar el número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoría en general, la planeación es uno de los pasos más importantes, ya que una inadecuada planeación repercutirá en una serie de problemas, que pueden provocar que no se cumpla con la auditoría o bien que no se efectúe con el profesionalismo que debe tener el desarrollo de cualquier auditoría. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los tres objetivos:Evaluación administrativa del área de procesos electrónicos.Evaluación de los sistemas y procedimientos. Evaluación de los equipos de cómputo. Para lograr una adecuada planeación, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer un, investigación preliminar y algunas entrevistas previas, y con base a esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma
Una vez asignados los recursos, el responsable de la auditoria y sus colaboradores establecen un plan de trabajo. Decidido éste, se procede a la programación del mismo. El plan criterios, los siguientes;
se elabora teniendo en cuenta, entre otros
Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa. Si la auditoria es global, de toda la informática. o es parcial. el volumen determina no solamente el numero de auditores necesarios, sino las especialidades necesarias del personal,
En el plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos.
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.
En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo. En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programación de actividades.
2—El grupo debe identificar una empresa, describirla de forma general, indicar misión, visión. Debe centrar de forma detallada la descripción en el área informática. Una vez revisada el área informática se debe elaborar un matriz de riesgos que muestra las áreas de la función de informática susceptibles de una revisión por parte de auditoria.
Aporte ANGEL BELLO PEREZ Empresa Eléctrica COMERELECT es una Empresa dedicada a la comercialización de Equipos Eléctricos, Montaje de Redes eléctricas, Diseños y Ejecución de Proyectos Eléctricos, es una empresa que se afianza en el mercado solucionando la Problemática de conexión artesanal y empírica brindando un servicio con calidad, profesionalismo y de gran impacto tecnológico en sus productos. Es una empresa con muchos años de servicio la cual ha podido ser reconocida en el mercado y sector eléctrico regional por su calidad y responsabilidad. La empresa cuenta con una estructura organizacional bien definida para lograr una excelente gestión en sus procesos financieros, comerciales y legales. Misión: brindar un servicio con calidad y responsabilidad a nuestros clientes, comprometidos con el buen establecimiento de Infraestructura eléctrica que permita a nuestros clientes estar seguro de contar con las normativas y tecnologías eléctricas de vanguardia generado así beneficios rentables a la empresa. Visión: ser una empresa financieramente solida y reconocida por sus clientes en el sector con altos estándares de calidad en la prestación de sus servicios. La empresa cuenta con un departamento de sistema que prestar servicios a diferentes áreas de una organización ya sea dentro de la misma empresa, o bien fuera de ella, tales como: control de operaciones, captura de datos, programación, producción y dibujo; por tal motivo se hace necesario desarrollar una política de seguridad informática en su infraestructura física, lógica y humana en actividades como manejo y mantenimiento técnico de equipos informáticos (soporte físico), así como de sus aplicativos, los sistemas de información, las Bases de Datos y la seguridad de los mismos (soporte lógico) y adecuada capacitación a sus actores o personal. En base a esto se hace necesario implantar control para que el área de informática o sistemas pueda brindar el soporte confiable y eficaz a las de mas
aéreas, ya que la información se debe dar de una forma eficaz, a tiempo y segura para la toma de decisiones de los directivos de la empresa o jefes de aéreas, la empresa debe contar con una infraestructura óptima para tal fin y poder asegurar la optimización de los procesos. Físicamente y operativamente la empresa está distribuida de la siguiente forma:
Area Ventas Almacén Contabilidadcompras Sistemas Diseño Gerencia
Número Equipos 2 1 2
de Número usuarios 3 1 2
2 2 2
de
2 2 2
La empresa cuenta:
Intranet y servicio de internet con conexión banda ancha y zona wi-fi.
Servidor central con base de datos con Windows server.
Cableado por canaletas.
Paquete office 2007 licenciado.
Software CAD licenciado.
Aplicación ventas y contabilidad
Conexiones eléctricas estructuradas
Sistema UPS central.
MATRIZ DE RIESGOS ID PROYECTO: auditoria Informática COMERELECT FECHA DE INICIO: xx xx xxxx FECHA DE TÉRMINO PROPUESTA: xx xx xxxx
#
Riesgo (si)
Posible resultado (entonces)
Síntoma
Acceso no autorizado
Confidencialidad violada
Información divulgada
1
de
información
2
Adecuado balance de controles efectivos y preventivos Procesamiento de información Transacciones no terminadas
3
Administración de cambios procesos mal proceso
en
Mal procedimiento operaciones o registro
en
las
4
Infraestructura
Malas conexiones a la red , deterioro de equipos en vida útil, pérdida total de equipo
5
Mala inversión
manejo de recursos inapropiados
6 7
Acceso no autorizado a internet- Hackeo de información y infección utilidad de virus Desastre en Procesamiento de información y almacenamiento Perdida de información
clasificada
Inconsistencia en la informaciónbase de datos Inconsistencia en los procesos y resultados inesperados en la transacción u operación Acceso a la red deficiente, poca seguridad informática, adecuaciones en mal estado, daño en equipos por descarga eléctricas adquisición de equipos inapropiados para el los objetivos del negocio Sistema lento y con dificultades de acceso, bloqueo de equipos, borrado de información Perdida de información vital para la toma e decisiones
Probabilidad Impacto (A/M/B) (A/M/B)
Prioridad Respuesta (1 - 9)
alta
1
alta
Identificar y hacer seguimiento a roles y diseñar interfaces seguras Identificar eventos que implican la no terminación de la operación o transacción
media
alto
3 Generar control de capacitaciones ante actualizaciones en procedimiento
media
alto
8
Media
baja
4 Mantenimiento de adecuaciones logísticas, edificio, seguridad eléctrica…
Media
media
5
Control de recursos para inversión de infraestructura tecnológica.
alta
alta
1
alta
alta
1
Control de acceso a internet y bloqueo de paginas especificas (porno, juegos…) Diseñar y monitorear plan de contingencia con Backup, técnicas de recuperación de datos
Probabilidad
A
4
2
1
M
7
5
3
B
9
8
6
B
M
A
Impacto
APORTE- ERITH PAREDES MOLINA 2. el grupo debe identificar una empresa, describirla de forma general, indicar MISIÓN, VISIÓN. Debe centrar de forma detallada la descripción en el área informática. EMPRESA: SERVIAGRO Comercializa maquinarias, herramientas e insumos para el uso del sector agropecuario de la región. Suministra los servicios de técnicos, tecnólogos y profesionales afines al sector. Produce y distribuye sales minerales, complementos nutricionales y forraje para los diversos tipos de ganado MISIÓN: ofrecer productos agroindustriales con tecnología de punta para la rentabilidad del campo del césar y la guajira. VISION: proyectarnos como el proveedor numero uno en el sector agroindustrial, facilitándoles la labor al productor agrario. El área de sistema consta de un PC servidor conectado en red con (3) PC en sala de venta, (1) en almacén y (1) en gerencia. En caja existe un PC independiente con un software contable,
1 2 3 4 5 6 7 8 9
No se realizan de copias de seguridad de la información No existe un cronograma de mantenimiento a los equipos de computo El voltaje de la energía eléctrica es inestable Las versiones de los Software que utilizan son muy antiguas las claves de ingresos la tienen el 89% del personal Personal no idóneo para el manejo del sistema Poca inversión en la TIC El techo donde está el PC administrador tiene ciertas goteras Carencia de software para algunas aplicaciones
2. a Una vez revisada el área informática se debe elaborar un matriz de riesgos que muestra las áreas de la función de informática susceptibles de una revisión por parte de auditoría.
PROBABILID AD
INSIGNIFICAN TE 1
CASI SEGURO 5
medio
MAYO R
CATASTRÓFIC A
3
4
5
medio bajo7
medio 6
medio alto4
Alto8
Alto1
Medio alto2
medio alto
alto
bajo
medio bajo9
medio 3
medio alto
medio alto
bajo
bajo
medio bajo
medio
medio alto
bajo
medio bajo
medio
POSIBLE 3
MODERAD A
2
medio alto5
PROBABLE 4
MENO R
IMPROBABL E 2
RARO bajo
bajo
APORTE -- HENRY VANEGAS PLAZA EMPRESA: CONSULTORIA INFORMATICA La dependencia de la Empresa actual respecto de los sistemas informáticos es cada vez mayor, y también es mayor la complejidad de estos sistemas. Muchas de las pequeñas y medianas empresas no disponen de la capacidad o de la intención de incorporar personal informático estable a su plantilla de trabajadores, por los altos costos que ello supone y por que además nunca los conocimientos y experiencia de dicho departamento van a alcanzar la profesionalidad de los de una Empresa que se dedica en exclusiva a éste tipo de servicios. Estas empresas ya emplean actualmente recursos de outsourcing en gran parte de sus actividades periféricas: limpieza, transportes, servicios médicos, etc. Ahora le ha llegado el momento a las actividades relacionadas con la informática través de los servicios ofrecidos por Consultoría Informática, nuestros clientes se ocupan de su negocio, dejando que nosotros les asesoremos y resolvamos todos los asuntos que tienen que ver con la informática. Así, consiguen una estructura organizativa más reducida, ágil y ligera.
MISIÓN: Apoyar a nuestros clientes con un servicio basado en inteligencia de negocios, de software, equipos de calidad y administración del riesgo con el objeto de cubrir sus necesidades y expectativas con herramientas, conocimientos y principalmente capital humano.
VISION: Empresa integrada por un grupo multidisciplinario de consultores, capaz de resolver cualquier problema o duda en materia de informática, calidad, servicio y procesos de nuestros clientes contribuyendo a su desarrollo en informática AREA INFORMATICA SOFTWARE:
Comercios: Supermercados y Mini Mercados Tiendas y Zapaterías Ferreterías y Barracas Puntos de Ventas en Gral. Industrias: Metalúrgicas Textiles, etc. Sistemas de Control de Stock, Ciclo de Compras y Facturación
Sistemas de Control de Flotas. Sistemas de Contabilidad, Manager, Gestión, Informes Gerenciales Procesamientos On Line / Off Line Control de Personal (horarios).
HARDWARE:
Computadoras: (Servidores, Puestos de Trabajos, Puntos de Ventas, etc.). Impresoras: (Facturación, Validadoras, Interventoras Fiscales, Códigos de Barras, Láser, Matriz de Puntos e Inyección de Tinta, etc..). Upgrade de computadoras. Las computadoras, desktop o portátiles 486/586/Pentium pueden ser optimizadas a nivel Pentium 4 con la tecnología líder de su ramo. El costo se reduce en relación a la compra de un PC nuevo en un alto %. (Expansiones de Vídeo, Procesadores, Chips de memoria, Tarjetas de memoria, Partes para PC'S, etc.). Almacenamiento y Respaldo.(Discos duros, Cintas de respaldo, Discos ópticos, Unidades de respaldo, etc..) Equipos de Comunicación de datos. (Concentradores, Modems, Routers, Software para comunicación, etc.) Periféricos y Accesorios. (Reguladores y UPS, Cámaras de video, Scanners, Mandos y Joysticks, Palms, etc.) Insumos. (Cartuchos,Cintas y Papelería, todas las marcas todos los modelos). Muebles y Modulares para oficinas. ( Todos los modelos y colores). Redes y Soluciones en Comunicaciones.
2. a Una vez revisada el área informática se debe elaborar un matriz de riesgos que muestra las áreas de la función de informática susceptibles de una revisión por parte de auditoría.
Fundamento de la Matriz La Matriz la basé en el método de Análisis de Riesgo con un grafo de riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente
1 = Insignificante (incluido Ninguna)
2 = Baja
3 = Mediana
4 = Alta
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores.
Bajo Riesgo = 1 – 6 (verde)
Medio Riesgo = 8 – 9 (amarillo)
Alto Riesgo = 12 – 16 (rojo)
Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de información de sufrir un daño significativo, causado por una amenaza, sino también sobre las medidas de protección necesarias
Proteger los datos de RR.HH, Finanzas contra virus
Proteger los datos de Finanzas y el Coordinador contra robo
Evitar que se compartan las contraseñas de los portátiles
Etc, etc También, como se mencionó anteriormente, existen combinaciones que no necesariamente tienen mucho sentido y por tanto no se las considera para definir medidas de protección
Proteger el Personal (Coordinador y Personal técnico) contra Virus de computación
Evitar la falta de corriente para el Coordinador
Etc, etc Elementos de la Matriz La Matriz la basé en una hoja de calculo. Existe la versión en OpenOffice y Microsoft PowerPoint y se recomienda usar el formato que corresponde con el sistema operativo donde se la usa, debido a algunos problemas de compatibilidad entre ambos formatos. La Matriz está compuesto por 6 hojas
1_Datos: Es la hoja para valorar el riesgo para los Elementos de Información “Datos e Informaciones”, llenando los campos “Magnitud de Daño” y “Probabilidad de Amenaza” conforme a sus valores estimados (solo están permitidos valores entre 1 y 4). Los valores de Probabilidad de Amenaza solo se aplica en está hoja, porque las demás hojas, hacen referencia a estos. Los tres campos de “Clasificación” (Confidencial…, Obligación por ley…, Costo de recuperación…) no tienen ningún efecto
sobre el resultado de riesgo y no necesariamente tiene que ser llenados. Sin embargo pueden ser usados como campos de apoyo, para justificar o subrayar el valor de Magnitud de Daño estimado. En caso de usarlo, hay que marcar los campos respectivos con una “x” (cualquier combinación de los campos está permitido, todos marcados, todos vacíos etc.).
2_Sistemas: Es la hoja para valorar el riesgo para los Elementos de Información “Sistemas e Infraestructura”. Hay que llenar solo los valores de Magnitud de Daño, debido a que los valores de Probabilidad de Amenaza están copiados automáticamente desde la hoja “1_Datos”. Igual como en “1_Datos”, los tres campos de “Clasificación” (Acceso exclusivo, Acceso ilimitado, Costo de recuperación…) otra vez no tienen ningún efecto sobre el resultado de riesgo y solo sirven como campo de apoyo.
3_Personal: Es la hoja para valorar el riesgo para los Elementos de Información “Personal”. Igual como en “2_Sistemas”, solo hay que llenar los valores de Magnitud de Daño. Otra vez, los tres campos de “Clasificación” (Imagen pública…, Perfil medio…, Perfil bajo…) solo sirven como campo de apoyo.
Análisis_Promedio: Esta hoja muestra el promedio aritmético de los diferentes riesgos, en relación con los diferentes grupos de amenazas y daños. La idea de esta hoja es ilustrar, en que grupo (combinación de Probabilidad de Amenaza y Magnitud de Daño) hay mayor o menor peligro. No hay nada que llenar en esta hoja.
Análisis_Factores: Esta hoja tiene el mismo propósito como la hoja “Análisis_Promedio”, con la diferencia que esta vez el promedio aritmético de los grupos está mostrado en un grafo, dependiendo de la Probabilidad de Amenaza y Magnitud de Daño. La linea amarilla muestra el traspaso de la zona Bajo Riesgo a Mediano Riesgo y la linea roja, el traspaso de Mediano riesgo a Alto Riesgo. La idea de esta hoja es ilustrar el nivel de peligro por grupo y la influencia de cada factor (Probabilidad de amenaza, Magnitud de Daño).
Fuente: Esta hoja se usa solo para la definición de algunos valores generales de la matriz. Adaptación de la Matriz a las necesidades individuales La Matriz trabaja con una colección de diferentes Amenazas y Elementos de información. Ambas colecciones solo representan una aproximación a la situación común de una organización, pero no necesariamente reflejan la
realidad de una organización especifica. Entonces si hay necesidad de adaptar la Matriz a la situación real de una organización, solo hay que ajustar los valores de las Amenazas en la hoja “1_Datos” (solo en esta) y los Elementos de información en su hoja correspondiente. Pero ojo, si hay que insertar, quitar filas o columnas, se recomienda hacerlo con mucho cuidado, debido a que se corre el peligro de introducir errores en la presentación y el calculo de los resultados.
CONCLUSION Se pudo logra los objetivos de la actividad con el desarrollo de unas de las temáticas de la unidad 2 del Módulo auditoria de Sistemas. Aplicando metodología de esta ciencia como también herramientas de matriz de riesgo e investigación relevante de auditorías.
Blibiografia Modulo Auditoria de sistemas Unad