RIESGOS INFORMÁTICOS

Incertidumbre existente por la posible realización de un suceso relacionado con la amenaza que puede atentar contra la seguridad de nuestros recursos, nuestra información de la empresa y los daños respecto a los bienes o servicios informáticos.

 

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:

 

La evaluación de los riesgos inherentes a los procesos informáticos.

La evaluación de las amenazas ó causas de los riesgos.

Los controles utilizados para minimizar las amenazas a riesgos.

La asignación de responsables a los procesos informáticos.

La evaluación de los elementos del análisis de riesgos.

 

TIPOS DE RIESGOS

RIESGOS DE INTEGRIDAD: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización.

Estos riesgos se manifiestan en los siguientes componentes de un sistema:

 

Interface del usuario: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar  funciones negocio y sistema.

Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles detectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.

Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores  sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.

Interface: Los riesgos en esta área generalmente se relacionan con controles preventivos y detectivos que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones.

Administración de cambios: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Estos riesgos están asociados con la administración inadecuada de procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos.

Información. Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos. La integridad puede perderse por: Errores de programación, procesamiento de errores ó administración y procesamiento de errores.

RIESGOS DE RELACIÓN: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.

RIESGOS DE ACCESO: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:

Procesos de negocio: organización debe proveer el nivel correcto de ejecución de funciones.

Aplicación: La aplicación interna de mecanismos de seguridad que provee a los usuarios las funciones necesarias para ejecutar su trabajo.

Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno.

Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento.

Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.

Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos incluyen:

Claves y contraseñas para permitir el acceso a los equipos.

Uso de cerrojos y llaves.

Fichas ó tarjetas inteligentes.

Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina, entre otros).

RIESGOS DE UTILIDAD: Estos riesgos se enfocan en tres diferentes niveles de riesgo:

Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.

Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.

Backups y planes de contingencia controlan desastres en el procesamiento de la información.

RIESGOS EN LA INFRAESTRUCTURA: Estos riesgos se refieren a que en las organizaciones no existe una estructura de  información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente.

Estos riesgos son generalmente se consideran en el contexto de los siguientes procesos informáticos:

Planeación organizacional: Los proceso en esta área aseguran la definición del impacto, definición y verificación de la tecnología informática en el negocio. Además, verifica si existe una adecuada organización

Definición de las aplicaciones: Los procesos en esta área aseguran que las aplicaciones satisfagan las necesidades del usuario y soporten el contexto de los procesos de negocio.

Administración de seguridad: Los procesos en esta área aseguran que la organización está adecuadamente direccionada a establecer, mantener y monitorizar un sistema interno de seguridad, que tenga políticas de administración con respecto a la integridad y confidencialidad de la información de la organización, y a la reducción de fraudes a niveles aceptables.

Operaciones de red y computacionales: Los procesos en esta área aseguran que los sistemas de información y entornos de red están operados en un esquema seguro y protegido, y que las responsabilidades de procesamiento de información son ejecutados por personal operativo definido, medido y monitoreado.

Administración de sistemas de bases de datos: Los procesos en esta área están diseñados para asegurar que las bases de datos usadas para soportar aplicaciones críticas y reportes tengan consistencia de definición, correspondan con los requerimientos y reduzcan el potencial de redundancia.

RIESGOS DE SEGURIDAD GENERAL:

·         Riesgos de choque de eléctrico:Niveles altos de voltaje.

Riesgos de incendio: Inflamabilidad de materiales

Riesgos de niveles inadecuados de energía eléctrica

Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas

Riesgos mecánicos: Inestabilidad de las piezas eléctricas

Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.

Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input.

Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia alemana:

Una empleada de un banco del sur de Alemania transfirió, en febrero de 1983, un millón trescientos mil marcos alemanes a la cuenta de una amiga -cómplice en la maniobra- mediante el simple mecanismo de imputar el crédito en una terminal de computadora del banco. La operación fue realizada a primera hora de la mañana y su falsedad podría haber sido detectada por el sistema de seguridad del banco al mediodía. Sin embargo, la rápida transmisión del crédito a través de sistemas informáticos conectados en línea (on line), hizo posible que la amiga de la empleada retirara, en otra sucursal del banco, un millón doscientos ochenta mil marcos unos minutos después de realizada la operación informática.

En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor.

A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales.