Seguridad

INTRODUCCION

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, este trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:

La evaluación de los riesgos inherentes a los procesos informáticos.

La evaluación de las amenazas ó causas de los riesgos.

Los controles utilizados para minimizar las amenazas a riesgos.

La asignación de responsables a los procesos informáticos.

La evaluación de los elementos del análisis de riesgos.

PARTE I - ADMINISTRACION DE RIESGOS

1. EL PROBLEMA - ADMINISTRACION DE RIESGOS

El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas.

1.1. CLASIFICACION DE LOS RIESGOS

Los negocios pueden fallar o sufrir pérdidas como un resultado de un variedad de causas. Las diferencias en esas causas y sus efectos constituyen las bases para diferenciar los riesgos, los cuales se pueden clasificar así:

RIESGOS FINANCIEROS: El riesgo financiero envuelve la relación entre una organización y una ventaja que puede ser perdida o perjudicada. De este modo el riesgo financiero envuelve 3 elementos:

1. La organización que está expuesta a perdidas

2. Los elementos que conforman las causas de pérdidas financieras

3. Un peligro que puede causar la pérdida (amenaza a riesgo).

RIESGOS DINAMICOS: Son el resultado de cambios en la economía que surgen de dos conjuntos de factores:

4. Factores del entorno exterior; la economía, la industria, competidores y clientes.

5. Otros factores que pueden producir las pérdidas que constituyen las base del riesgo especulativo son las decisiones de la administración de la organización.

RIESGOS ESTATICOS: Estos riesgos surgen de otras causas distintas a los cambios de la economía tales como: deshonestidad o fallas humanas.

RIESGO ESPECULATIVO: Describe una situación que espera una posibilidad de pérdida o ganancia. Un buen ejemplo es una situación aventurada o del azar.

RIESGO PURO: Designa aquellas situaciones que solamente generan o bien pérdida o ganancia, un ejemplo es la posibilidad de pérdida en la compra de un bien (automóviles, casas, etc.). Los riesgos puros pueden ser clasificados de la siguiente forma :

Riesgo Personal : Consiste en la posibilidad de perdida sujeta a los siguientes peligros : muerte prematura, enfermedad e incapacidades

Riesgos de las posesiones : Abarcan 2 distintos tipos de pérdida que son: pérdidas directas por destrucción de bienes, y pérdidas indirectas causados por las consecuencias de las pérdidas directas o gastos adicionales.

3. Riesgos de Responsabilidades: Su peligro básico consiste en el perjuicio de otras personas o daño de una propiedad por negligencia o descuido.

4. Riesgos físicos: Se tienen en esta clase por ejemplo: El exceso de ruido, Iluminación inadecuada, exposición a radiaciones, instalaciones eléctricas inadecuadas.

5. Riesgos químicos: Se tienen en esta clase por ejemplo: Exposición a vapores de los solventes, humo de combustión y gases.

6. Riesgos biológicos: Hongos y bacterias.

7. Riesgos psicosociales: Ingresos económicos injustos, monotonía, falta de incentivos y motivación.

8. Riesgos ergonómicos: Puesto de trabajo incomodo, Posición corporal forzada, movimiento repetitivo al operar máquinas, hacinamiento.

RIESGO FUNDAMENTAL: Envuelve las pérdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenómenos económicos, sociales. Ellos afectan parte de una organización.

RIESGO PARTICULAR: Son perdidas que surgen de eventos individuales antes que surjan de un grupo entero. Desempleo, guerra, inflación, terremotos son todos riesgos fundamentales ; el incendio de una casa y el robo de un banco son riesgos particulares.

1.2. RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMATICA

Los principales riesgos informáticos de los negocios son los siguientes:

Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:

14. Interface del usuario: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema.

15. Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles detectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.

16. Procesamiento de errores: Los

...