1.- Detallar los elementos y controles necesarios, para contar con seguridad en redes externas

• Protección contra software malicioso y código móvil: Software Antivirus
• Gestión de redes: Prepare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS.
• Control de acceso en red: Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a controles de seguridad en aplicaciones (defensa en profundidad).
• Controles criptográficos: Utilice estándares formales actuales tales como AES, en lugar de algoritmos de cosecha propia.

2.- Mencione 7 objetivos de la auditoria informática

• Mejorar la Situación de la Empresa.
• Sugerir mejoras en controles, procedimientos, etcétera.
• Detectar fallas.
• Reunir elementos para la toma de decisiones.
• Reducir los riegos.
• Retroalimentar oportunamente.
• Optimizar el uso de recursos.
• Analizar imparcialmente las funciones.
• Estandarizar.

3.- Como establecer los requerimientos de seguridad

Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres fuentes principales de requerimientos de seguridad:

Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta la estrategia general y los objetivos de la organización. A través de la evaluación del riesgo, se identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial.

Otra fuente son los requerimientos legales, reguladores, estatutarios y contractuales que tienen que satisfacer una organización, sus socios comerciales, contratistas y proveedores de servicio; y su ambiente socio-cultural.

Otra fuente es el conjunto particular de principios, objetivos y requerimientos comerciales para el procesamiento de la información que una organización ha desarrollado para sostener sus operaciones.

4.- Defina los términos:

• CONTROL: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.
• ACTIVOS: Cualquier cosa que tenga valor para la organización.
• POLITICA: Intención y dirección general expresada formalmente por la gerencia
• RIESGO: Combinación de la probabilidad de un evento y su ocurrencia.

5.- Que es seguridad de la información

Preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, no- repudiación y confiabilidad

6.- Enumere 5 daños que se pueden ocasionar en los negocios, por no contar con auditoria informática

• Fraudes
• Proyectos cancelados con alto porcentaje de costos no recuperables.
• Rechazo de los servicios de informática por los usuarios claves del negocio.
• Improductividad y baja calidad de los recursos de informática.
• Planes de informática no orientados a las metas y estrategias de negocio.
• Piratería de software.
• Fuga de información hacia la competencia o proveedores, entre otros daños.

7.- Detalle 8 factores que son críticos para una exitosa implementación de la seguridad de la información dentro de una organización.

1.- Identifique y explique 3 problemas que presentan las TI en las organizaciones

• Mala gestión de proyectos TI: Toda iniciativa de TI que se desee implementar se debe gestionar como un proyecto, es decir: bajo un cronograma, presupuesto y recursos determinados.
• Falta de compromiso y apoyo de la alta dirección: Si la Alta Dirección no brinda el soporte necesario para la consecución de un proyecto estratégico para la compañía, este estará destinado al fracaso.
• Toma de requerimientos y definición de alcance equivocado o incompleto: Un paso que muchas veces se obvia o que no se le brinda la debida importancia es la toma de
• requerimientos, lo cual es la actividad central para la posterior definición del alcance del proyecto.
• Carencia de un sistema de control de cambios: Durante la ejecución de todo proyecto, se solicitarán cambio en el alcance. Es responsabilidad del Jefe de proyectos valorar dichas peticiones de cambios desde el punto de vista de la triple restricción (costo, tiempo y alcance) y determinar si el cambio se implantará.
• Jefes de proyecto improvisados: No todo buen programador es un buen Jefe de proyectos. Cada uno requiere de habilidades distintas. A pesar de ello, algo muy común que suele pasar en las compañías es ascender a Jefe de proyectos al programador estrella de la compañía.
• Gestión de servicios inadecuada: La infraestructura de TI (hardware y aplicaciones de software) de toda empresa tiene una sola finalidad: dar el soporte necesario para poder obtener beneficios tangibles, basados en la información.
• Falta de procesos de control y monitorización: La única manera de conocer si la infraestructura de TI está siendo bien gestionada es midiendo su rendimiento en relación a metas previamente definidas.

2.- Cuales son los dominios y los beneficios de un buen gobierno TI

• Entrega de valor: Todos los esfuerzos para lograr un buen Gobierno de TI dentro de la empresa se realizan para generar valor a sus accionistas, que les permita ser una compañía exitosa y perdurable en el tiempo.
• Manejo del riesgo: De igual manera, dichos esfuerzos de TI se deben realizar con el mínimo riesgo posible que la organización determine.
• Alineamiento estratégico: Pero el manejo del riesgo y la entrega de valor solo es posible si es que desde un inicio se tiene claro cuáles son las necesidades de la compañía y cuáles son los objetivos que persigue.
• Gestión de recursos: De la misma manera, manejar adecuadamente los recursos con los que se cuenta es un elemento importante para poder minimizar los riesgos y entregar valor de las iniciativas de TI a la compañía.
• Medición de rendimiento: Finalmente, el manejo de todos estos elementos deben de ser monitoreados y medibles, basado en métrica de rendimiento establecidas por la compañía, y sobre las cuales se realizarán las evaluaciones y valoraciones de recursos, proyectos e inversiones.

3.- Compare ITIL vs CMMI

El modelo ITIL se aplica al ciclo de vida completa de TI, pero se enfoca en los procesos operacionales (post-implementación de un determinado servicio o infraestructura TI).

Por otro lado, CMMI generalmente se aplica al desarrollo del servicio o infraestructura en TI (durante la implantación).

4.- Señale y detalle las medidas necesarias para reducir el riesgo

• Medidas Físicas y Tecnológicas: Control de acceso, antivirus, contraseñas inteligentes
• Medidas Personales: contratación, capacitación
• Medidas Organizacionales: Políticas de la Empresa, normas y reglas

5.- como valorar la magnitud del daño