View
314
Download
1
Category
Preview:
DESCRIPTION
AUDITORIA DE SISTEMAS RIESGOS INFORMATICOS
Citation preview
Universidad central del ecuadorEscuela de contabilidad y auditoria
Facultad de ciencias administrativas
Auditoria de sistemasDr. Carlos escobar
Adquisición e implementación
Riesgos informáticos
Por: Ana belén López Sánchez
Ca9-6
RIESGOS INFORMATICOS
El riesgo se refiere ala incertidumbre oprobabilidad de queuna amenaza sematerialiceutilizando lavulnerabilidadexistente de unactivo o grupo deactivos,generándolepérdidas o daños.
En esta definición pueden identificarse varioselementos que deben comprenderse paraentender el concepto de riesgo
Estos elementos son:
Probabilidad
Amenaza
Se puede establecer de manera cuantitativa ocualitativa teniendo en cuenta en cada casoque posibilidades existen que la amenaza sepresente independientemente del hecho quesea o no contrarrestada.
Una vez que a programación y elfuncionamiento de un dispositivode almacenamiento de lainformación se consideren seguras, todavía deben ser tenidos encuenta la circunstancias "noinformáticas" que pueden afectarlos datos, los cuales son amenudo imprevisibles oinevitables, de modo que la únicaposible es la redundancia (en elcaso de los datos y ladescentralización -por ejemplomediante estructura de redes-enel caso de la comunicaciones).
1. El usuario: causa del mayor problema ligado de la seguridad deun sistema informático porque no le importa, no se da cuenta opropósito).
2. Programas maliciosos: programas destinados a perjudicar ohacer uso ilícito de los recursos del sistema. Es instalado porinatención o maldad) en el ordenador abriendo una puerta aintrusos o bien modificando datos. estos programas pueden serun virus informático, un gusano informático, un troyano, unabomba lógica o un programa espía o Spyware.
3. Un intruso: persona que consigue acceder a los datos oprogramas de los cuales no tiene acceso permitido(cracker,defacer, scrpt kiddie o scrpt boy, viruxer, entre otros. )
4. Un siniestro( robo, incendio, inundación): una malamanipulación o una mal intención derivan a la pérdida delmaterial o de los archivos.
5. El personal interno de sistemas: Las pujas de poder que llevan adisociaciones entre los sectores y soluciones incompatiblespara la seguridad informática.
Vulnerabilidades o puntos débiles de la información
VULNERABILIDADES
FISICAS
NATURALES
HARDWARE
SOFTWARE
MEDIOS DE ALMACENAJE
COMUNICACIÓN
HUMANAS
Una actividad centrada en la identificación defallas de seguridad que evidencienvulnerabilidades que puedan seraprovechadas por amenazas, provocandoimpactos en los negocios de la organización.El proceso de análisis busca identificar losriesgos a los cuales los activos se encuentranexpuestos.
El primer paso en el análisis de riesgos es identificarlos procesos de negocios de la organización en quese desea implementar o analizar el nivel de seguridadde la información. Esto permite la realización deanálisis donde sea realmente necesario, en base a larelevancia del proceso de negocio, para así poderpriorizar las acciones de seguridad, es decir, iniciar eltrabajo de implementación de seguridad en las áreasmás estratégicas que puedan traer un impacto mayora la organización cuando se presente algún incidente.De esta forma se puede realizar un plan estratégicobasado en la importancia y el impacto de las accionesque beneficien la seguridad de la información de lacompañía. Surge principalmente por la necesidad dedelimitar el universo de activos para ser analizados ysobre los cuales se ofrecerán las recomendaciones.
Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, - qué tan importante es para el negocio en comparación con el resto de los activos de la empresa - para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario aplicando la relación costo-beneficio.
Como tercer paso se debe realizar un análisistécnico de seguridad para recolectar lainformación sobre la forma en que losactivos: fueron configurados, la estructura enla red de comunicación, y la forma en queson administrados por sus responsables.
Al realizar el estudio técnico y como cuarto paso se debe hacer un análisis de seguridad física para identificar en el entorno físico las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. En este punto están incluidos el factor humano responsable de la manipulación y uso de la información, las posibilidades de acceso y su correcto uso.
Una vez realizados los cuatropasos se cuenta con lainformación y las herramientasnecesarias para el tratamiento desus vulnerabilidades y undiagnóstico general sobre elestado de la seguridad de suentorno en general. A partir deeste momento es posibleestablecer políticas de ordenpreventivo, correctivo, y dedetección para la corrección delos problemas ya detectados, quegaranticen que lasvulnerabilidades encontradas enel estudio no se conviertan enamenazas.
Es importante en toda organización cuente con unaherramienta, que garantice la correcta evaluación de losriesgos, a los cuales están sometidos los procesos yactividades que participan en el área informática
AMBITOS
EN EL
ANALISIS
DE RIESGO
PROCESO
FISICO
HUMANO
TECNOLOGICO
Por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.
Y además garantizar aspectos como:
* Supervivencia para la organización* Control y administración de riesgos* Control de costos
Son el conjunto de disposicionesmetódicas, cuyo fin es vigilar lasfunciones y actitudes de lasempresas y para ello permiteverificar si todo se realizaconforme a los programasadoptados, ordenes impartidas yprincipios admitidos.
AREAS
SISTEMATIZADAS
GENERALEMTE
CONTROLADAS POR
LA ORGANIZACION
CONTROL DE
ACCESOS
PROTECCION
DE DATOS
SEGURIDAD
DE LAS
REDES
SEGURIDAD
FISICA
Al iniciar las actividades de una empresa susdirectivos o dueños deben tener en cuentaque el riesgo estará presente en todomomento de su desarrollo, debido adiferentes factores como lo son: intensoscambios del entorno, la intensificación de lacompetencia, las reducción de las barreras deentrada, y obviamente la parte tecnológicaque va avanzando a pasos agigantados.
Para minimizar estos diferentes factores es quehace un tiempo se viene incorporando a lasentidades la “Gestión de Riesgo", la que ennuestro país no esta implantada en todos lossectores.
La Gestión de Riesgos es un proceso efectuadopor el Consejo de administración de una entidad,su dirección y todo su restante personal,diseñado para identificar eventos potenciales quepuedan afectar a la organización, gestionar susriesgos dentro del riesgo aceptado yproporcionar una seguridad razonable sobre ellogro de los objetivos
Riesgos de relación: Los riesgos derelación se refieren al uso oportunode la información creada por unaaplicación. Estos riesgos serelacionan directamente a lainformación para la toma dedecisiones.
Riesgos de utilidad: Estos riesgos seenfocan en tres diferentes nivelesde riesgo: · Los riesgos pueden serenfrentados por el direccionamientode sistemas antes de que losproblemas ocurran.
Recommended