>> Riesgos Informáticos <<

____________________._____________________________.______________________

➼ ¿Qué es un Riesgo?

Como lo vimos en la entrada anterior, se conoce como Riesgo del Sistema Informático al conjunto de factores que ponen en peligro la integridad, la operatividad y privacidad de la operación.

    

➼ ¿Qué son los Riesgos Informáticos?

Incertidumbre existente por la posible realización de un suceso relacionado con la amenaza de daño respecto a los bienes o servicios informáticos, como equipos informáticos, periféricos, instalaciones, programas de computo, etc.

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riegos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno Informático.

➼ ¿Cuáles son los Tipos de Riesgos?

     ♦ Riesgos de integridad.

Entre los riesgos que se ve expuesta una organización, están los que amenazan la integridad los riesgos asociados con la autorización. Este tipo de riesgos están presentes en muchos momento en las aplicaciones, principalmente en los siguientes componentes:

• Interface del usuario: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema.

• Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.

• Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores (Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.

• Administración de cambios: Estos riesgos están asociados con la administración inadecuadas de procesos de cambios de organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos.

• Información: Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos.

      ♦  Riesgos de relación.

Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones (Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas).

       ♦ Riesgos de acceso.

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:

• Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno.

• Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información.

• Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento.

• Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.

      ♦ Riesgos de utilidad.

Estos riesgos se enfocan en tres diferentes niveles de riesgo:

◘ Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.

◘ Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.

◘ Backups y planes de contingencia controlan desastres en el procesamiento de la información.

      ♦ Riesgos de infraestructura

Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas como el servicio al cliente, pago de cuentas, etc.

      ♦ Riesgos de Seguridad General

Los estándar IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo:

• Riesgos de choque de eléctrico: Niveles altos de voltaje.

• Riesgos de incendio: Inflamabilidad de materiales.

• Riesgos de niveles inadecuados de energía eléctrica.

• Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.

• Riesgos mecánicos: Inestabilidad de las piezas eléctricas.

Fuentes de Información:

http://auditoriadesistemas.galeon.com/productos2223863.html

http://gestionriesgos2011.blogspot.mx/2011/03/riesgos-de-integridad.html

Publicado por: Mondragón Rodríguez

Grupo 477