Riesgos Informaticos

INTRODUCCION

La tendencia del mundo actual a emplear nuevos mecanismos para hacer negocios, a

contar con información actualizada permanentemente que permita la toma de

decisiones, ha facilitado el desarrollo de nuevas tecnologías y sistemas de

información, que a su vez son vulnerables a las amenazas informáticas crecientes y

por ende a nuevos riesgos.

1. Delitos informaticos

 a expansión de virus informáticos

 El envió intensivo de SPAM o como se conoce comúnmente, correo no

deseado.

 La falsificación de los remitentes de mensajes con la técnica SPOOFING

 El envio o entrada oculta de los archivos spias o los KELOGGERS

 El uso de troyanos/backdoors para controlar determinados sistemas o

en su efecto para sustraer información.

2. RIESGOS

 RIESGOS INFORMATICOS

Es importante en toda organización contar con una herramienta, que garantice la correcta

evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que

participan en el área informática; y por medio de procedimientos de control que puedan

evaluar el desempeño del entorno informático.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en

cuenta que, una de las principales causas de los problemas dentro del entorno

informático, es la inadecuada administración de riesgos informáticos, esta información

sirve de apoyo para una adecuada gestión de la administración de riesgos.

¿QUE SON LOS RIESGOS?

El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad

conformada por una combinación de circunstancias del entorno donde hay posibilidad de

pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los

sistemas de información.

“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad

existentes de un activo o grupos de activos, generándoles pérdidas o daños”. Fuente:

Organización Internacional por la Normalización (ISO).

• ELEMENTOS A TENER EN CUENTA PARA LA CORRECTA DEFINICIÓN DE RIESGOS

• ADMINISTRACION DE RIESGOS

• VALORACIÓN DE RIESGOS

METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza las revisiones con base en una

evaluación de los factores de riesgo que consideran variables como: Complejidad técnica,

extensión del sistema, el cambio en el proceso y la materialización. Estas variables pueden

estar ponderadas.

METODO B: Con base en juicios: Se toma decisión independiente con base en :

• Directivas del máximo nivel ejecutivo

• Perspectivas históricas

• Ambiente del negocio.

• SISTEMA DE CALIFICACIONES

Priorización de las revisiones con base en una evaluación de factores de riesgo que tienen

en cuenta variables (ponderadas o no) como: complejidad técnica, la extensión del

sistema, el cambio en el proceso y la materialización.

Estas revisiones se programan de acuerdo con el plan de auditoría anual de auditoría de

sistemas.

TIPOS DE RIESGOS

1. RIESGOS DE INTEGRIDAD

• Interface del usuario

Procesamiento de errores

• Interface

• Administración de cambios información

RIESGOS DE RELACION: Los riesgos de relación se refieren al uso oportuno de la

información creada por una aplicación. Estos riesgos se relacionan directamente a la

información de toma de decisiones.

RIESGOS DE ACCESO

• Procesos de negocio

Aplicación

• Administración de la información

• Entorno de procesamiento redes

• Nivel físico

RIESGOS DE UTILIDAD

• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los

problemas ocurran.

• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.

• Backups y planes de contingencia controlan desastres en el procesamiento de la

información.

RIESGOS EN LA INFRAESTRUCTURA

• Planeación organizacional

• Definición de las aplicaciones

• Administración de seguridad

• Operaciones de red y computacionales

• Administración de sistemas de bases de datos

• Información / Negocio

RIESGOS DE SEGURIDAD GENERAL

•Riesgos de choque de eléctrico

•Riesgos de incendio

•Riesgos de niveles inadecuados de energía eléctrica.

•Riesgos de radiaciones.

• Riesgos mecánicos.

CONCENTRACION DE PROCESAMIENTO DE APLICACIONES MAS GRANDES Y DE MAYOR

COMPLEJIDAD

Una de las causas más importantes del incremento en los riesgos informáticos

probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da a las

computadoras y la consecuente concentración de información y tecnología de software

para el procesamiento de datos.

DEPENDENCIA EN EL PERSONAL CLAVE

La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de

desempeño técnico, con frecuencia pone a la compañía en manos de relativamente pocas

personas, siendo que éstas por lo general son externas a la organización.

DESAPARICION DE LOS CONTROLES TRADICIONALES

Las aplicaciones contienen verificadores automáticos que aseguran la integridad de la

información que se procesa. Este gran cambio en el criterio sobre el control de los

empleados y las brechas respecto a la comunicación, crean situaciones de seguridad

totalmente diferentes.

10. HUELGAS, TERRORISMO E INESTABILIDAD SOCIAL

El nivel actual de riesgo en computación se debe revisar también dentro del contexto de

inestabilidad social en muchas partes del mundo. Ha habido ataques físicos a diversas

instalaciones, sin embargo algunas veces se trata de la incursión de personal interno y no

de agitador.

11. MAYOR CONCIENCIA DE LOS PROVEEDORES

Hasta hace pocos años este tema no constituía motivo de gran preocupación para los

proveedores, pero la conciencia acerca de la exposición a los riesgos los ha obligado a

destinar presupuestos considerables para la investigación acerca de la seguridad.

COMO SUCEDEN LOS FRAUDES INFORMATICOS.

FRAUDE INFORMÁTICO.

Acción culpable realizada por un ser humano que causa un perjuicio a personas sin que

necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilícito a

su autor aunque no perjudique en forma directa o indirecta a la víctima.

TIPOS DE DELITOS O FRAUDES INFORMATICOS

Sabotaje Informático.

En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones las cuales

son las siguientes:

Conductas dirigidas a causar daños físicos

Esto es cuando la persona que comete el delito causa daños físicos al hardware del equipo

objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas por la persona

que tiene la intención de causar daño.

Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya sea el

daño completo o parcial.

Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo y dañe

las piezas y componentes electrónicos.

Provocar apagones o cortos en la energía eléctrica con intención de causar daños en el

equipo.

Utilizar bombas explosivas o agentes químicos que dañen el equipo de cómputo.

Arrancar, o quitar componentes importantes de algún dispositivo del equipo, como CD-

ROM, CD-RW, Disco de 3 ½, Discos Duros, Impresoras, Bocinas, Monitores, MODEM,

Tarjetas de audio y video, etc.

Y cualquier otra forma que dañe la integridad del equipo de cómputo.

• Conductas dirigidas a causar daños lógicos

Esto comprende los daños causados a la información y todos los medios lógicos de los

cuales se vale un Sistema de Cómputo para funcionar adecuadamente.

Por ejemplo, dañar la información contenida en unidades de almacenamiento

permanente, ya sea alterando, cambiando o eliminando archivos; mover configuraciones

del equipo de manera que dañe la integridad del mismo; atentar contra la integridad de

los datos pertenecientes al dueño del equipo de cómputo y todas formas de ocasionar

daños en la parte lógica de un sistema de cómputo.

Medios Utilizados para Realizar Daños Lógicos

VIRUS: Es una serie de claves programáticas que pueden adherirse a los programas

legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un

sistema por conducto de una pieza

...