2 Teoria Analisis de Riesgos y Controles
2 Teoria Analisis de Riesgos y Controles
2 Teoria Analisis de Riesgos y Controles
Dentro de los sistemas informáticos de una empresa se presentan eventos que afectan
considerablemente el manejo, la seguridad y el funcionamiento de los mismos. De igual forma, se
afectan los aplicativos y programas. Por lo tanto se requiere definir dichos eventos de la siguiente
manera:
AMENAZA: Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que pude suceder
bajo ciertas circunstancias y que si sucede causa daño material o inmaterial sobre activos y
recursos de un sistema. Peligro latente que representa la probable manifestación de un fenómeno
físico de origen natural, socio-natural o antropogénico, que se anticipa y puede producir efectos
adversos en las personas, la producción, la infraestructura y los bienes y servicios. Su análisis se
debe hacer en función del grado de seriedad que representan su impacto en la empresa y la
probabilidad de su ocurrencia.
SEGURIDAD: Dispositivo que se implementa para disminuir o eliminar una amenaza. Ausencia de
peligro, amenaza o riesgo.
CONTROL: Es la supervisión que se realiza para determinar que las seguridades que se
implementan en un SI estén funcionando. Cualquier actividad o acción realizada manual y/o
automáticamente que se implemente para prevenir, corregir errores o irregularidades que puedan
afectar el funcionamiento de un sistema para conseguir sus objetivos.
1. De tipo externo: Hurto, daños físicos por fenómenos naturales, bajas de energía,
terrorismo.
2. De tipo Interno: indebido acceso a la información , calidad del SW y HW, mala capacitación
de los usuarios, errores de programación no detectados, instalaciones físicas no
adecuadas, personal ineficiente, falta de asesoría continua, bajos controles en le manejo
de la información, falta de dirección y organización.
Accidentes de la naturaleza
Actos de las personas (accidentes o fraudes, por venganza, por lucro, por reto)
La tecnología misma
Para contrarrestar esto es que vamos a implementar seguridades y controles, porque el objetivo
que vamos a cumplir es información correcta, información oportuna.
PRINCIPALES FRAUDES:
Delito informático: “toda conducta atentatoria de bienes jurídicos relevantes, que suponga el uso
de medios informáticos en cualquiera de sus aspectos. También se puede definir como cualquier
cambio no autorizado y malicioso en un sistema informático.
- Técnica del salami: consiste en calcular los intereses de cuentas bancarias y tomar los
centavos y depositarlos electrónicamente en una cuenta.
- Bombas lógicas: instrucciones no autorizadas en los programas, que solo van a funcionar
cuando se cumpla una función específica o una condición.
- Backdoor: o puerta trasera, permite el acceso y control remoto del sistema sin una
autenticación legitima.
- Ingeniera social: el arte de la ciencia de hacer lo que la gente haga lo que queremos.
- Pishing; todo tipo de engaño con la finalidad de robar la identidad del usuario generalmente
se utiliza en correo electrónico.
- Acceso no autorizado: significa acceder a áreas restrigidas ya sean físicas como a dispostivos y
ordenadores.
SEGURIDADES Y CONTROLES:
- Seguridades físicas: Son aquellas que tratan de proteger el hardware de amenazas tales como:
incendio, inundación, robos, señales electromagnéticas, cortes de energía, sobre cargas
eléctricas y desastres naturales.
- Seguridades activas: son el conjunto de medidas que previenen e intentan evitar los daños en
los SI y las principales técnicas de seguridad activa son: uso de contraseñas, listas de control
de acceso, encriptación de datos, uso de SW de SI, firmas y certificados digitales, y particiones
de disco duro.
- Seguridades pasivas: complementan las seguridades activas y se encarga de minimizar los
efectos que haya ocasionado algún percance. Una de las técnicas mas importante es la de
copias de seguridad.
Actualmente se manejan varios métodos para tener seguridad dentro de un sistema, tales pueden ser:
o Codificar la información: Por medio de la criptografía, contraseñas difíciles de averiguar a
partir de datos personales del individuo.
o Vigilancia de red. Esto se hace por medio de un software especializado en el movimiento
de la información y la comunicación entre los diferentes puntos
o Tecnologías repelentes o protectoras: Manejar firewalls, antispyware o sistemas de
detección de intrusos, antivirus. Llaves para protección de software, etc. Mantener
los sistemas de información con las actualizaciones que más impacten en la seguridad.
1.4. Consideraciones de software
Una persona o compañía debe tener instalado en la máquina únicamente el software necesario ya que esto
permite reducir los riesgos. Así mismo tener controlado el software ya que asegura la calidad de la
procedencia del mismo (el software pirata o sin garantías aumenta los riesgos).
2. Control, son todos los métodos, políticas y procedimientos que aseguran la protección de los activos de
la organización, la exactitud y confiabilidad de sus registros y el apego de sus operaciones a los
estándares que defina la administración
2.1 Características: Deben ser eficientes ( es la capacidad de lograr el efecto en cuestión con el
mínimo de recursos posibles viable) es decir que no estorbe. Y que sean efectivos (es la
capacidad de lograr un efecto deseado, esperado o anhelado), es decir que realmente sirva para
destruir la amenaza.
Existen dos tipos de controles, los generales y los de aplicaciones. Los primeros gobiernan el diseño, la
seguridad y el uso de programas de computación junto con la seguridad de archivos de datos a lo largo de la
infraestructura de tecnología de la información; por otra parte los controles de aplicaciones son más
específicos para cada aplicación computarizada. Los controles generales incluyen a su vez controles de
software, de hardware físico, controles de operaciones de cómputo, controles de seguridad de datos,
controles sobre el proceso de implementación de sistemas y controles administrativos.
- Controles Preventivos: se establecen para tratar de evitar hecho que pueda generar daño,
como por ejemplo un software de seguridad que impida los accesos no autorizados al sistema.
- Controles detectivos: cuando fallan los preventivos, se aplican estos controles para tratar de
conocer cuanto antes el evento.
Objetivos de la Auditoria: Analizar los riesgos y evaluar los controles de las aplicaciones objetos de
la auditoria.
- Planeación
- Levantamiento de la información
- Evidenciación de controles
- Análisis de consecuencia
- Recomendaciones
- Informes
- Por experiencia
- Lluvia de Ideas
- Lectura bibliográfica
- Consulta de expertos
1. Determinador de pérdida anual: determina cuanto nos vale el riesgo, se determina el caso y
se proyecta a un año . Se hace con cada uno de los riesgos. Ejemplo:
2. Es más asequible. Cada uno del grupo de trabajo califica los riesgos como quiere, se recogen
las calificaciones y se promedia.
Observación directa.
Control Riesgo R1 R2 R3
C1 X
C2 X
C3 X
Se empieza hacer cruce de variables; si el C1 coincide o sirve para el R1. Que sucede cuando
un riesgo no tiene control?
OPINION GENERAL
Hallazgos - Recomendaciones
TALLER ANALISIS DE RIESGOS Y CONTROLES:
El gerente del banco MuchaPlata lo ha contactado para que asesore en el análisis de riesgos y
evaluación de controles de la aplicación de cuentas de ahorro del banco. En general, se requiere
que se evalué los procedimientos de prevención y detección de errores y fraudes más
específicamente, los procedimientos de prevención y detección de errores y/o fraudes en el ciclo
de entrada.
Se conoce q la transcripción de datos se hace fuera de línea en memorias flash, que los
documentos fuentes son prediseñados , que existen unos manuales de transcripción donde se
observa que el diseño del documento fuente (formulario prediseñado) y el diseño de registro de
transcripción tiene el mismo orden lógico, que los transcriptores están bien entrenados (4 años de
experiencia), el número de la cuenta de ahorro tiene digito de control, que una vez gravados los
datos en la memoria flash se saca una copia como archivo de respaldo, el cual tiene un rotulo de
identificación y que existe un contrato vigente de mantenimiento de los equipos de grabación.