Auditora Informtica

Riesgos

La incertidumbre que ocurra un evento que podra

tener un impacto en el logro de los objetivos.

Auditora Informtica
Riesgos
Los riesgos cuando se materializan, se denominan
errores, irregularidades u omisiones, los cuales pueden
generar una prdida monetaria, en la imagen de la
empresa o incumplimiento de normativa externa.

Auditora Informtica
Riesgos
Riesgo = Impacto * Probabilidad
Impacto: es el efecto o consecuencia cuando el riesgo se
materializa
Probabilidad: representa la posibilidad que un evento dado
ocurra.

Auditora Informtica
Riesgos
Riesgo Inherente: Riesgo inherente son aquellos riesgos propios
de la materia y/o componentes de sta. Se entiende que una materia
por su naturaleza tiene riesgos que surgen por diversas fuentes,
como los errores, irregularidades o fallas que pudieran ser
importantes en forma individual o en conjunto con otros riesgos. Los
riesgos inherentes a la materia pueden tener o no controles
elaborados por la direccin para mitigar su probabilidad o su impacto.
Los riesgos inherentes a la materia bajo anlisis pueden ser relativos
al entorno, ambiente interno, procesos, informacin, etc

Auditora Informtica
Riesgos Inherentes
Riesgo

de Crdito
Riesgo Financiero
Riesgo Operacional
Riesgo de Tecnologa de la Informacin
Riesgo Calidad de Servicio y transparencia de la
Informacin

Auditora Informtica
Riesgos Inherentes

Riesgo de Crdito: Exposicin a una prdida real o el costo de oportunidad

como consecuencia del incumplimiento de pago de una persona natural o
jurdica.
Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios
en la economa local o internacional que podra afectar los descalces de caja
o posiciones asumidas por inversiones y su liquidez, como asimismo los
descalces globales de activos.
Riesgo Operacional: Se define como el riesgo de prdida debido a la
inadecuacin o fallas en los procesos, el personal y los sistemas internos o
bien a causa de acontecimientos externos (fraudes, daos activos
materiales, fallas en procesos,etc). Incluye riesgos legales y normativos.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
1.

Riesgo de Integridad de la Informacin;

Agrupa todos los riesgos asociados con la autorizacin,

integridad, y exactitud de las transacciones segn se ingresan,
se procesan, se resumen y se informan en los sistemas
computacionales de una organizacin, manifestndose en los
siguientes componentes de un sistema:

Interfaz usuaria; se refiere a si existen restricciones que

hagan que los trabajadores de una organizacin estn
autorizados a desarrollar funciones de negocio sobre
necesidad del negocio y la necesidad de lograr una
segregacin de funciones razonable.
Procesamiento; se relacionan a la existencia de controles
que aseguran que el procesamiento de datos se ha
completado y realizado a tiempo.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Los riesgos en esta rea generalmente se relacionan con la
existencia de controles adecuados, preventivos o de deteccin, que aseguren
que los datos que han sido procesados y/o resumidos sean transmitidos
adecuada y completamente a otro sistema de aplicacin que se alimente de
estos datos/informacin y sean procesados por dicho sistema.

Interfase

del Cambio Los riesgos en esta rea pueden ser

generalmente considerados parte del Riesgo de Infraestructura, pero ellos
impactan significativamente sobre los sistemas de aplicacin. Estos riesgos
estn asociados con procesos inadecuados de administracin del cambio
incluyendo tanto la participacin y entrenamiento del usuario como el proceso
por el cual los cambios de cualquier aspecto del sistema de aplicacin son
comunicados e implementados.

Administracin

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Error de Procesamiento; se refiere a si existen procesos
adecuados que aseguren que todas las excepciones de entrada y
procesamiento de datos que se capturan, son corregidas y
reprocesadas en forma precisa, ntegra y oportuna..

Datos; se relacionan a la existencia de controles de administracin

de datos inadecuados que incluyen seguridad/integridad de los datos
procesados.

La integridad se puede perder por errores en la

programacin, errores de procesamiento, errores de
administracin de sistemas.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
2.

Riesgo de Acceso; puede ocurrir en cada uno o

todos de los siguientes cinco niveles:

Red, el riesgo en esta rea est generado por el riesgo

de acceso inapropiado a la red a pcs y servidores.
Ambiente de Procesamiento, el riesgo se genera
con el acceso indebido al ambiente de procesamiento a
los programas y datos que estn almacenados en ese
ambiente.
Sistemas de Aplicacin, est dado por una
inadecuada segregacin de funciones que podra
ocurrir si el acceso a los sistemas estuviese concedido
a personas con necesidades de negocio sin definiciones
claras.
Acceso Funcional, dentro de aplicaciones (Cdigo
fuente)
Acceso a nivel de campo o dato.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Segregacin de Funciones o Contraposicin de
Intereses
Es un control preventivo que persigue evitar que una
misma persona pueda tener bajo su control
totalmente la informacin, para evitar as la comisin
de fraudes o errores.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
3.

Riesgo de Disponibilidad
Riesgos asociados con la interrupcin de los sistemas a corto plazo
donde las tcnicas de restitucin/recuperacin se pueden utilizar para
minimizar el alcance de la interrupcin.
Riesgos asociados con desastres que causan interrupciones en el
procesamiento de la informacin a largo plazo y que se centran en
controles como backups y planes de contingencia.

La capacidad de la empresa para continuar con sus

operaciones y procesos crticos puede depender en gran
medida de la disponibilidad de determinados sistemas de
informacin.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
3.

Riesgo de Disponibilidad (continuacin)

La capacidad de la empresa para continuar con sus operaciones
y procesos crticos puede depender en gran medida de la
disponibilidad de determinados sistemas de informacin. Si no
se dispusiera de sistemas crticos o importantes por un perodo
importante, la compaa podra experimentar dificultades para
continuar con sus operaciones. Sistemas de informacin crticos
e importantes que no estn disponibles para dar soporte a
determinadas operaciones pueden provocar prdidas de
ingresos, flujos de cajas y rentabilidad, prdidas de ventajas
competitivas, insatisfaccin de clientes y prdida de
participacin de mercado, problemas de imagen, incremento de
costos e incluso multas y sanciones.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
4.

Riesgo de Infraestructura
El riesgo de que una organizacin no tenga una infraestructura
eficaz de informacin tecnolgica (HW, SW, personas y
procesos) para apoyar eficazmente las necesidades actuales y
futuras del negocio de una forma eficiente y eficaz en
trminos de costos y controles. Principalmente estn
relacionados con:

Planificacin organizacional; el riesgo de que los planes de

informacin tecnolgica no estn integrados con los planes del
negocio presentes y futuros, afectando el proceso de toma de
decisiones y planificaciones inadecuadas.
Definicin y despliegue de sistemas de aplicacin; el riesgo de
que las definiciones y necesidades de los usuarios para nuevas
soluciones de sistemas provoquen diseos ineficaces o incompletos.
Los esfuerzos de desarrollo no siguen un enfoque consistente para
confirmar la satisfaccin del usuario y del negocio. Los esfuerzos de
implantacin no consideran adecuadamente el entrenamiento
usuario.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
4.

Riesgo de Infraestructura (Continuacin.)

Seguridad Lgica y Administracin de Seguridad; el riesgo de

acceso inadecuado a los sistemas, datos o transacciones crticos,
tanto por personal de la compaa como externos, resultando en
prdida de la integridad de los datos/informacin y la exposicin o
mal uso de informacin confidencial..
Operaciones con computador y red; es el riesgo que los
computadores y/o redes no sean eficientemente administrados
derivando en problemas de desempeo o de capacidad de los
usuarios.
Administracin de Bases de Datos; es el riesgo de que los datos
o bases carezcan de la integridad necesaria para dar apoyo a las
decisiones de negocio.
Recuperacin del centro de proceso de datos; es el riesgo de
que los sistemas, procesos y datos/informacin no puedan ser
restablecidos luego de una interrupcin del servicio de manera
oportuna para las necesidades del negocio.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
5

Riesgo de Externalizacin de Servicios

Generar e implementar una Metodologa de Anlisis de Riesgo que permita evaluar en

forma sistemtica los procesos y recursos, sus vulnerabilidades y las amenazas para los
procesos que la organizacin externaliza.
Incorporar un proceso sistemtico por el cual el administrador de la empresa con el
servicio externalizado, evala y reduce la exposicin al riesgo identificado a un nivel
aceptable por la organizacin.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Aspectos a considerar en la gestin del riesgo.
La gestin de riesgo debe considerar los siguientes aspectos:

Identificacin del Sistema o Proceso

Identificacin de la Amenazas

Identificacin de las Vulnerabilidades

Controles

Determinar la Probabilidad de ocurrencia

Anlisis de Impacto

Determinacin del Riesgo

Recomendacin de Controles

Documentar los Resultados

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Aspectos a considerar en la Gestin del Riesgo.

Mitigar los Riesgos

La metodologa a implementar debe considerar opciones de mitigacin de los
riesgos:

Prevencin: Implementacin de Controles, Tecnolgicos, administrativos y

operacionales

Transferencia de los riesgos: seguros

Eludir: Cambiando la forma de hacer las cosas

Aceptar: Vivir con el riesgo

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Aspectos a considerar en la Seguridad de Informacin.
Desde el punto de vista de los servidores:
Anlisis de Vulnerabilidad de los servidores que darn el servicio
Antivirus instalado y actualizado en los servidores que darn el servicio
Parches de seguridad evaluados e instalados segn corresponda en los servidores que
darn el servicio
Desde el punto de vista de la transferencia de informacin:
Encriptacin de la comunicacin entre la organizacin y la empresa prestadora de
servicios
Desde el punto de la continuidad operacional:
Servidores de respaldo
Mquina especializadas de respaldo
Site de respaldo
Pruebas de contingencia

Auditora Informtica
Riesgos de Tecnologa
de la Informacin
Aspectos a considerar:
Encriptacin:
Es una tecnologa que permite la
transmisin segura de informacin, al
codificar los datos transmitidos usando una
frmula matemtica que desmenuza los
datos.
La encriptacin utiliza una llave pblica
para encriptar datos, y una llave privada
para descifrar o desencriptar la
informacin. Sin el decodificador o llave
para desencriptar, el contenido enviado se
ve como un conjunto de caracteres
extraos, sin ningn sentido y lgica de
lectura.