Universidad central del ecuadorEscuela de contabilidad y auditoria

Facultad de ciencias administrativas

Auditoria de sistemasDr. Carlos escobar

Adquisición e implementación

Riesgos informáticos

Por: Ana belén López Sánchez

Ca9-6

RIESGOS INFORMATICOS

El riesgo se refiere ala incertidumbre oprobabilidad de queuna amenaza sematerialiceutilizando lavulnerabilidadexistente de unactivo o grupo deactivos,generándolepérdidas o daños.

En esta definición pueden identificarse varioselementos que deben comprenderse paraentender el concepto de riesgo

Estos elementos son:

Probabilidad

Amenaza

Se puede establecer de manera cuantitativa ocualitativa teniendo en cuenta en cada casoque posibilidades existen que la amenaza sepresente independientemente del hecho quesea o no contrarrestada.

Una vez que a programación y elfuncionamiento de un dispositivode almacenamiento de lainformación se consideren seguras, todavía deben ser tenidos encuenta la circunstancias "noinformáticas" que pueden afectarlos datos, los cuales son amenudo imprevisibles oinevitables, de modo que la únicaposible es la redundancia (en elcaso de los datos y ladescentralización -por ejemplomediante estructura de redes-enel caso de la comunicaciones).

1. El usuario: causa del mayor problema ligado de la seguridad deun sistema informático porque no le importa, no se da cuenta opropósito).

2. Programas maliciosos: programas destinados a perjudicar ohacer uso ilícito de los recursos del sistema. Es instalado porinatención o maldad) en el ordenador abriendo una puerta aintrusos o bien modificando datos. estos programas pueden serun virus informático, un gusano informático, un troyano, unabomba lógica o un programa espía o Spyware.

3. Un intruso: persona que consigue acceder a los datos oprogramas de los cuales no tiene acceso permitido(cracker,defacer, scrpt kiddie o scrpt boy, viruxer, entre otros. )

4. Un siniestro( robo, incendio, inundación): una malamanipulación o una mal intención derivan a la pérdida delmaterial o de los archivos.

5. El personal interno de sistemas: Las pujas de poder que llevan adisociaciones entre los sectores y soluciones incompatiblespara la seguridad informática.

Vulnerabilidades o puntos débiles de la información

VULNERABILIDADES

FISICAS

NATURALES

HARDWARE

SOFTWARE

MEDIOS DE ALMACENAJE

COMUNICACIÓN

HUMANAS

Una actividad centrada en la identificación defallas de seguridad que evidencienvulnerabilidades que puedan seraprovechadas por amenazas, provocandoimpactos en los negocios de la organización.El proceso de análisis busca identificar losriesgos a los cuales los activos se encuentranexpuestos.

El primer paso en el análisis de riesgos es identificarlos procesos de negocios de la organización en quese desea implementar o analizar el nivel de seguridadde la información. Esto permite la realización deanálisis donde sea realmente necesario, en base a larelevancia del proceso de negocio, para así poderpriorizar las acciones de seguridad, es decir, iniciar eltrabajo de implementación de seguridad en las áreasmás estratégicas que puedan traer un impacto mayora la organización cuando se presente algún incidente.De esta forma se puede realizar un plan estratégicobasado en la importancia y el impacto de las accionesque beneficien la seguridad de la información de lacompañía. Surge principalmente por la necesidad dedelimitar el universo de activos para ser analizados ysobre los cuales se ofrecerán las recomendaciones.

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, - qué tan importante es para el negocio en comparación con el resto de los activos de la empresa - para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario aplicando la relación costo-beneficio.

Como tercer paso se debe realizar un análisistécnico de seguridad para recolectar lainformación sobre la forma en que losactivos: fueron configurados, la estructura enla red de comunicación, y la forma en queson administrados por sus responsables.

Al realizar el estudio técnico y como cuarto paso se debe hacer un análisis de seguridad física para identificar en el entorno físico las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. En este punto están incluidos el factor humano responsable de la manipulación y uso de la información, las posibilidades de acceso y su correcto uso.

Una vez realizados los cuatropasos se cuenta con lainformación y las herramientasnecesarias para el tratamiento desus vulnerabilidades y undiagnóstico general sobre elestado de la seguridad de suentorno en general. A partir deeste momento es posibleestablecer políticas de ordenpreventivo, correctivo, y dedetección para la corrección delos problemas ya detectados, quegaranticen que lasvulnerabilidades encontradas enel estudio no se conviertan enamenazas.

Es importante en toda organización cuente con unaherramienta, que garantice la correcta evaluación de losriesgos, a los cuales están sometidos los procesos yactividades que participan en el área informática

AMBITOS

EN EL

ANALISIS

DE RIESGO

PROCESO

FISICO

HUMANO

TECNOLOGICO

Por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.

Y además garantizar aspectos como:

* Supervivencia para la organización* Control y administración de riesgos* Control de costos

Son el conjunto de disposicionesmetódicas, cuyo fin es vigilar lasfunciones y actitudes de lasempresas y para ello permiteverificar si todo se realizaconforme a los programasadoptados, ordenes impartidas yprincipios admitidos.

AREAS

SISTEMATIZADAS

GENERALEMTE

CONTROLADAS POR

LA ORGANIZACION

CONTROL DE

ACCESOS

PROTECCION

DE DATOS

SEGURIDAD

DE LAS

REDES

SEGURIDAD

FISICA

Al iniciar las actividades de una empresa susdirectivos o dueños deben tener en cuentaque el riesgo estará presente en todomomento de su desarrollo, debido adiferentes factores como lo son: intensoscambios del entorno, la intensificación de lacompetencia, las reducción de las barreras deentrada, y obviamente la parte tecnológicaque va avanzando a pasos agigantados.

Para minimizar estos diferentes factores es quehace un tiempo se viene incorporando a lasentidades la “Gestión de Riesgo", la que ennuestro país no esta implantada en todos lossectores.

La Gestión de Riesgos es un proceso efectuadopor el Consejo de administración de una entidad,su dirección y todo su restante personal,diseñado para identificar eventos potenciales quepuedan afectar a la organización, gestionar susriesgos dentro del riesgo aceptado yproporcionar una seguridad razonable sobre ellogro de los objetivos

Riesgos de relación: Los riesgos derelación se refieren al uso oportunode la información creada por unaaplicación. Estos riesgos serelacionan directamente a lainformación para la toma dedecisiones.

Riesgos de utilidad: Estos riesgos seenfocan en tres diferentes nivelesde riesgo: · Los riesgos pueden serenfrentados por el direccionamientode sistemas antes de que losproblemas ocurran.