TEORIA DE RIESGOS Y CONTROLES

ANALISIS DE RIESGOS Y CONTROLES

Dentro de los sistemas informáticos de una empresa se presentan eventos que afectan
considerablemente el manejo, la seguridad y el funcionamiento de los mismos. De igual forma, se
afectan los aplicativos y programas. Por lo tanto se requiere definir dichos eventos de la siguiente
manera:

AMENAZA: Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que pude suceder
bajo ciertas circunstancias y que si sucede causa daño material o inmaterial sobre activos y
recursos de un sistema. Peligro latente que representa la probable manifestación de un fenómeno
físico de origen natural, socio-natural o antropogénico, que se anticipa y puede producir efectos
adversos en las personas, la producción, la infraestructura y los bienes y servicios. Su análisis se
debe hacer en función del grado de seriedad que representan su impacto en la empresa y la
probabilidad de su ocurrencia.

RIESGO: la probabilidad de que una amenaza se materialice, utilizando las vulnerabilidades

existentes en un sistema, generándose así perdidas o daños. Hoy en día es muy importante la
seguridad informática, hace unos años esto no tenía la prioridad que tiene en la actualidad. Un
riesgo informático se podría definir como la ausencia de seguridad en el procesamiento
electrónico de datos.

Como podemos evitar estos eventos: por medio de seguridades y controles

SEGURIDAD: Dispositivo que se implementa para disminuir o eliminar una amenaza. Ausencia de
peligro, amenaza o riesgo.

CONTROL: Es la supervisión que se realiza para determinar que las seguridades que se
implementan en un SI estén funcionando. Cualquier actividad o acción realizada manual y/o
automáticamente que se implemente para prevenir, corregir errores o irregularidades que puedan
afectar el funcionamiento de un sistema para conseguir sus objetivos.

AMENANZAS DE LOS SISTEMAS DE INFORMACION:

1. De tipo externo: Hurto, daños físicos por fenómenos naturales, bajas de energía,
terrorismo.

2. De tipo Interno: indebido acceso a la información , calidad del SW y HW, mala capacitación
de los usuarios, errores de programación no detectados, instalaciones físicas no
adecuadas, personal ineficiente, falta de asesoría continua, bajos controles en le manejo
de la información, falta de dirección y organización.

Accidentes de la naturaleza
Actos de las personas (accidentes o fraudes, por venganza, por lucro, por reto)

La tecnología misma

La organización (si todo está concentrado en una misma persona)

Los procedimientos (cuando son confusos y las personas no lo entienden.

Para contrarrestar esto es que vamos a implementar seguridades y controles, porque el objetivo
que vamos a cumplir es información correcta, información oportuna.

PRINCIPALES FRAUDES:

Delito informático: “toda conducta atentatoria de bienes jurídicos relevantes, que suponga el uso
de medios informáticos en cualquiera de sus aspectos. También se puede definir como cualquier
cambio no autorizado y malicioso en un sistema informático.

- Adulteración de datos: consiste en modificar la información contenida en bases de datos y

demás medios de almacenamiento, de manera ilegal con el fin de hacer daño.

- Técnica del salami: consiste en calcular los intereses de cuentas bancarias y tomar los
centavos y depositarlos electrónicamente en una cuenta.

- Caballo de Troya: instrucciones no autorizadas para cometer fraudes al interior de los

sistemas informáticos de manera encubierta.

- Bombas lógicas: instrucciones no autorizadas en los programas, que solo van a funcionar
cuando se cumpla una función específica o una condición.

- Spyware: recolecta y envía información privada sin el consentimiento o autorización del

usuario.

- Keylogger: captura los datos que se registran cuando el usuario de un programa o un

aplicación pulsa las teclas, permitiendo obtener datos sensibles como contraseñas.

- Backdoor: o puerta trasera, permite el acceso y control remoto del sistema sin una
autenticación legitima.

- Ingeniera social: el arte de la ciencia de hacer lo que la gente haga lo que queremos.

- Pishing; todo tipo de engaño con la finalidad de robar la identidad del usuario generalmente
se utiliza en correo electrónico.

- Puertas falsas: cuando un programador elabora un programa normalmente introduce puntos

de control para comprobar que los resultados intemedios son correctos. Estas son puertas
falsas, cuando la aplicación a finalizado y entra en proceso normal, estas puertas deberían
 eliminarse cosa que a menudo no se realiza por olvido. Como consecuencia las aplicaciones se
quedan con unas puertas de entrada que no están documentadas ya que no forman parte de
las especificaciones.

- Fuga de información: se trata de la divulgación no autorizada de datos reservados. Es lo que

tradiconalmete se denomina espionaje industrial . la sustraccipn de información es uno de los
principales peligros que corren los sistemas informáticos.

- Acceso no autorizado: significa acceder a áreas restrigidas ya sean físicas como a dispostivos y
ordenadores.

SEGURIDADES Y CONTROLES:

1. Seguridad, describe las políticas, los procedimientos y las medidas técnicas que se emplean para

prevenir acceso no autorizado, alteración, robo, daño físico a los sistemas de información.

La Seguridad de la información ayuda a la misión de la organización protegiendo sus recursos físicos y

financieros, reputación, posición legal, empleados y otros activos tangibles e intangibles, Desde otro
punto de vista existe seguridades para los individuos cuyo propósito es proteger la privacidad
e identidad de los mismos evitando que su información caiga en la manos no adecuadas y sea usada de
forma no apropiada.
SEGURIDAD: Dispositivo que se implementa para disminuir o eliminar una amenaza.
Disminución del peligro, amenaza o riesgo

1.1 Clasificación de las seguridades:

- Seguridades físicas: Son aquellas que tratan de proteger el hardware de amenazas tales como:
incendio, inundación, robos, señales electromagnéticas, cortes de energía, sobre cargas
eléctricas y desastres naturales.

- Seguridades lógicas. Complementan las seguridades físicas, protegiendo el software de los

equipos informáticos, es decir las aplicaciones, y los datos del usuario. Las principales
amenazas q atentan contra los SI son: robos, perdida de la información, perdidas de
integridad de la información, entradas de virus, ataques de redes. modificaciones no
autorizadas, etc.

- Seguridades activas: son el conjunto de medidas que previenen e intentan evitar los daños en
los SI y las principales técnicas de seguridad activa son: uso de contraseñas, listas de control
de acceso, encriptación de datos, uso de SW de SI, firmas y certificados digitales, y particiones
de disco duro.
 - Seguridades pasivas: complementan las seguridades activas y se encarga de minimizar los
efectos que haya ocasionado algún percance. Una de las técnicas mas importante es la de
copias de seguridad.

1.3 Técnicas de aseguramiento del sistema

Actualmente se manejan varios métodos para tener seguridad dentro de un sistema, tales pueden ser:

o Codificar la información: Por medio de la criptografía, contraseñas difíciles de averiguar a
partir de datos personales del individuo.
o Vigilancia de red. Esto se hace por medio de un software especializado en el movimiento
de la información y la comunicación entre los diferentes puntos
o Tecnologías repelentes o protectoras: Manejar firewalls, antispyware o sistemas de
detección de intrusos, antivirus. Llaves para protección de software, etc. Mantener
los sistemas de información con las actualizaciones que más impacten en la seguridad.
1.4. Consideraciones de software

Una persona o compañía debe tener instalado en la máquina únicamente el software necesario ya que esto
permite reducir los riesgos. Así mismo tener controlado el software ya que asegura la calidad de la
procedencia del mismo (el software pirata o sin garantías aumenta los riesgos).

2. Control, son todos los métodos, políticas y procedimientos que aseguran la protección de los activos de
la organización, la exactitud y confiabilidad de sus registros y el apego de sus operaciones a los
estándares que defina la administración

2.1 Características: Deben ser eficientes ( es la capacidad de lograr el efecto en cuestión con el
mínimo de recursos posibles viable) es decir que no estorbe. Y que sean efectivos (es la
capacidad de lograr un efecto deseado, esperado o anhelado), es decir que realmente sirva para
destruir la amenaza.

2.2 Clasificación de los controles:

Existen dos tipos de controles, los generales y los de aplicaciones. Los primeros gobiernan el diseño, la
seguridad y el uso de programas de computación junto con la seguridad de archivos de datos a lo largo de la
infraestructura de tecnología de la información; por otra parte los controles de aplicaciones son más
específicos para cada aplicación computarizada. Los controles generales incluyen a su vez controles de
software, de hardware físico, controles de operaciones de cómputo, controles de seguridad de datos,
controles sobre el proceso de implementación de sistemas y controles administrativos.

Al momento de hablar de seguridad en general, los controles se clasifican en:

- Controles Preventivos: se establecen para tratar de evitar hecho que pueda generar daño,
como por ejemplo un software de seguridad que impida los accesos no autorizados al sistema.

- Controles detectivos: cuando fallan los preventivos, se aplican estos controles para tratar de
conocer cuanto antes el evento.

- Controles correctivos: facilitan la vuelta a la normalidad cuándo se han producido incidentes .

- Los controles deben ser de aplicación discreta (secuencia de revisión) y continua
(permanencencia o continuidad de revisión).

En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso

de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de
contingencia.
ANALISIS DE RIESGOS - METODOLOGIA PARA LA IMPLEMENTACION DE CONTROLES.

Objetivos de la Auditoria: Analizar los riesgos y evaluar los controles de las aplicaciones objetos de
la auditoria.

Objetivos específicos: Evaluar los procedimientos de prevención y detección de errores y o

fraudes en los diferentes ciclos.

- Conformación del equipo de trabajo

- Planeación

- Levantamiento de la información

- Determinación de los riesgos

- Clasificación de los riesgos

- Evidenciación de controles

- Análisis de riesgos reales

- Análisis de consecuencia

- Recomendaciones

- Informes

DETERMINACIÓN DE LOS RIESGOS

- Por experiencia

- Lluvia de Ideas

- Lectura bibliográfica

- Consulta de expertos

CLASIFICACION DE LOS RIESGOS

De mayor a menor. Existen dos métodos 1. Multiplicador de pérdida anual y 2. Método de

Churdman Ackiff.

1. Determinador de pérdida anual: determina cuanto nos vale el riesgo, se determina el caso y
se proyecta a un año . Se hace con cada uno de los riesgos. Ejemplo:

Daño de USB con información (amenaza)

 Sucede una vez por semana (riesgos)

Costo de la memoria $20.000

Costo tiempo del computador 4.300

Costo del operador 3.000

Costo Total por semana 27.300 x año 1.365.000

2. Es más asequible. Cada uno del grupo de trabajo califica los riesgos como quiere, se recogen
las calificaciones y se promedia.

Evidenciación de controles: en los programas- Diagramas de flujo o seudocódigos – listado de

instrucciones de los programas de prueba - prueba de escritorio.

En los programas en funcionamiento – crear un archivo de prueba - pequeña compañía –

snapshot (marcar los registros reales y se hace seguimiento) – simulación en paralelo.

Observación directa.

Análisis de riesgos reales. Se listan de mayor a menor los riesgos.

Control Riesgo R1 R2 R3

C1 X

C2 X

C3 X

Se empieza hacer cruce de variables; si el C1 coincide o sirve para el R1. Que sucede cuando
un riesgo no tiene control?

Se puede condicionar: 1. Controla muy bien, 2 Control Medianamente bien, 3. Controla

débilmente.

Se recomienda realizar un borrador y presentarlo al área auditada.

OPINION GENERAL

El informe debe contener las cosas positivas y, las conclusiones y recomendaciones.

Hallazgos - Recomendaciones
TALLER ANALISIS DE RIESGOS Y CONTROLES:

El gerente del banco MuchaPlata lo ha contactado para que asesore en el análisis de riesgos y
evaluación de controles de la aplicación de cuentas de ahorro del banco. En general, se requiere
que se evalué los procedimientos de prevención y detección de errores y fraudes más
específicamente, los procedimientos de prevención y detección de errores y/o fraudes en el ciclo
de entrada.

Se conoce q la transcripción de datos se hace fuera de línea en memorias flash, que los
documentos fuentes son prediseñados , que existen unos manuales de transcripción donde se
observa que el diseño del documento fuente (formulario prediseñado) y el diseño de registro de
transcripción tiene el mismo orden lógico, que los transcriptores están bien entrenados (4 años de
experiencia), el número de la cuenta de ahorro tiene digito de control, que una vez gravados los
datos en la memoria flash se saca una copia como archivo de respaldo, el cual tiene un rotulo de
identificación y que existe un contrato vigente de mantenimiento de los equipos de grabación.

1. Conformar el equipo de trabajo

2. Hacer la planeación (antecedentes , objetivos).Requerimientos de información: manuales

de aplicación, del usuario, procedimientos, informes de auditorías anteriores.

3. Determinación de riesgos: el personal aunque tiene experiencia, en ocasiones las

operaciones de entrada de datos se hace de manera mecánica dejando aun el análisis,
consecuentemente se pueden generar errores. Solo se saca una copia soporte y deberían
ser mas, ya que puede suceder una pérdida de información de la memoria flash. No hay
revisión de documentos.

Elabore el Análisis de Riesgos, evidenciándolos