Auditora Informtica

Riesgos

La incertidumbre que ocurra un evento que podra

tener un impacto en el logro de los objetivos.

Auditora Informtica
Riesgos
Los riesgos cuando se materializan, se denominan
errores, irregularidades u omisiones, los cuales pueden
generar una prdida monetaria, en la imagen de la
empresa o incumplimiento de normativa externa.

Auditora Informtica
Riesgos
Riesgo = Impacto * Probabilidad
Impacto: es el efecto o consecuencia cuando el riesgo se
materializa
Probabilidad: representa la posibilidad que un evento dado
ocurra.

Auditora Informtica
Riesgos
Riesgo Inherente: Riesgo inherente son aquellos riesgos propios
de la materia y/o componentes de sta. Se entiende que una materia
por su naturaleza tiene riesgos que surgen por diversas fuentes, como
los errores, irregularidades o fallas que pudieran ser importantes en
forma individual o en conjunto con otros riesgos. Los riesgos inherentes
a la materia pueden tener o no controles elaborados por la direccin
para mitigar su probabilidad o su impacto.
Los riesgos inherentes a la materia bajo anlisis pueden ser relativos al
entorno, ambiente interno, procesos, informacin, etc

Auditora Informtica
Riesgos Inherentes
Riesgo

de Crdito
Riesgo Financiero
Riesgo Operacional
Riesgo de Tecnologa de la Informacin
Riesgo Calidad de Servicio y transparencia de la
Informacin

Auditora Informtica
Riesgos Inherentes

Riesgo de Crdito: Exposicin a una prdida real o el costo de oportunidad

como consecuencia del incumplimiento de pago de una persona natural o
jurdica.

Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios

en la economa local o internacional que podra afectar los descalces de caja o
posiciones asumidas por inversiones y su liquidez, como asimismo los
descalces globales de activos.

Riesgo Operacional: Se define como el riesgo de prdida debido a la

inadecuacin o fallas en los procesos, el personal y los sistemas internos o
bien a causa de acontecimientos externos (fraudes, daos activos materiales,
fallas en procesos,etc). Incluye riesgos legales y normativos.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
1.Riesgo

de Integridad de la Informacin;

Agrupa todos los riesgos asociados con la autorizacin, integridad, y

exactitud de las transacciones segn se ingresan, se procesan, se resumen
y se informan en los sistemas computacionales de una organizacin,
manifestndose en los siguientes componentes de un sistema:

Interfaz usuaria; se refiere a si existen restricciones que hagan que los

trabajadores de una organizacin estn autorizados a desarrollar
funciones de negocio sobre necesidad del negocio y la necesidad de lograr
una segregacin de funciones razonable.

Procesamiento; se relacionan a la existencia de controles que aseguran

que el procesamiento de datos se ha completado y realizado a tiempo.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Interfase

Los riesgos en esta rea generalmente se relacionan con la

existencia de controles adecuados, preventivos o de deteccin, que aseguren
que los datos que han sido procesados y/o resumidos sean transmitidos
adecuada y completamente a otro sistema de aplicacin que se alimente de
estos datos/informacin y sean procesados por dicho sistema.

Administracin

del Cambio Los riesgos en esta rea pueden ser

generalmente considerados parte del Riesgo de Infraestructura, pero ellos
impactan significativamente sobre los sistemas de aplicacin. Estos riesgos
estn asociados con procesos inadecuados de administracin del cambio
incluyendo tanto la participacin y entrenamiento del usuario como el proceso
por el cual los cambios de cualquier aspecto del sistema de aplicacin son
comunicados e implementados.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Error

de Procesamiento; se refiere a si existen procesos

adecuados que aseguren que todas las excepciones de entrada y
procesamiento de datos que se capturan, son corregidas y
reprocesadas en forma precisa, ntegra y oportuna..
Datos;

se relacionan a la existencia de controles de

administracin de datos inadecuados que incluyen
seguridad/integridad de los datos procesados.

La integridad se puede perder por errores en la

programacin, errores de procesamiento, errores de
administracin de sistemas.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
2.

Riesgo de Acceso; puede ocurrir en cada uno o todos de los

siguientes cinco niveles:

Red, el riesgo en esta rea est generado por el riesgo de acceso

inapropiado a la red a pcs y servidores.
Ambiente de Procesamiento, el riesgo se genera con el acceso
indebido al ambiente de procesamiento a los programas y datos que
estn almacenados en ese ambiente.
Sistemas de Aplicacin, est dado por una inadecuada segregacin
de funciones que podra ocurrir si el acceso a los sistemas estuviese
concedido a personas con necesidades de negocio sin definiciones
claras.
Acceso Funcional, dentro de aplicaciones (Cdigo fuente)
Acceso a nivel de campo o dato.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Segregacin de Funciones o Contraposicin de
Intereses
Es un control preventivo que persigue evitar que una
misma persona pueda tener bajo su control
totalmente la informacin, para evitar as la comisin
de fraudes o errores.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
3.

Riesgo de Disponibilidad
Riesgos asociados con la interrupcin de los sistemas a corto plazo donde
las tcnicas de restitucin/recuperacin se pueden utilizar para minimizar el
alcance de la interrupcin.
Riesgos asociados con desastres que causan interrupciones en el
procesamiento de la informacin a largo plazo y que se centran en controles
como backups y planes de contingencia.

La capacidad de la empresa para continuar con sus

operaciones y procesos crticos puede depender en gran
medida de la disponibilidad de determinados sistemas de
informacin.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
3.

Riesgo de Disponibilidad (continuacin)

La capacidad de la empresa para continuar con sus operaciones y
procesos crticos puede depender en gran medida de la disponibilidad de
determinados sistemas de informacin. Si no se dispusiera de sistemas
crticos o importantes por un perodo importante, la compaa podra
experimentar dificultades para continuar con sus operaciones. Sistemas de
informacin crticos e importantes que no estn disponibles para dar
soporte a determinadas operaciones pueden provocar prdidas de
ingresos, flujos de cajas y rentabilidad, prdidas de ventajas competitivas,
insatisfaccin de clientes y prdida de participacin de mercado,
problemas de imagen, incremento de costos e incluso multas y sanciones.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
4.

Riesgo de Infraestructura
El riesgo de que una organizacin no tenga una infraestructura eficaz de
informacin tecnolgica (HW, SW, personas y procesos) para apoyar
eficazmente las necesidades actuales y futuras del negocio de una forma
eficiente y eficaz en trminos de costos y controles. Principalmente estn
relacionados con:

Planificacin organizacional; el riesgo de que los planes de informacin

tecnolgica no estn integrados con los planes del negocio presentes y futuros,
afectando el proceso de toma de decisiones y planificaciones inadecuadas.
Definicin y despliegue de sistemas de aplicacin; el riesgo de que las
definiciones y necesidades de los usuarios para nuevas soluciones de sistemas
provoquen diseos ineficaces o incompletos. Los esfuerzos de desarrollo no siguen
un enfoque consistente para confirmar la satisfaccin del usuario y del negocio. Los
esfuerzos de implantacin no consideran adecuadamente el entrenamiento usuario.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
4.

Riesgo de Infraestructura (Continuacin.)

Seguridad Lgica y Administracin de Seguridad; el riesgo de acceso

inadecuado a los sistemas, datos o transacciones crticos, tanto por personal de
la compaa como externos, resultando en prdida de la integridad de los
datos/informacin y la exposicin o mal uso de informacin confidencial..
Operaciones con computador y red; es el riesgo que los computadores y/o
redes no sean eficientemente administrados derivando en problemas de
desempeo o de capacidad de los usuarios.
Administracin de Bases de Datos; es el riesgo de que los datos o bases
carezcan de la integridad necesaria para dar apoyo a las decisiones de negocio.
Recuperacin del centro de proceso de datos; es el riesgo de que los
sistemas, procesos y datos/informacin no puedan ser restablecidos luego de
una interrupcin del servicio de manera oportuna para las necesidades del
negocio.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
5

Riesgo de Externalizacin de Servicios

Generar e implementar una Metodologa de Anlisis de Riesgo que permita evaluar en

forma sistemtica los procesos y recursos, sus vulnerabilidades y las amenazas para los
procesos que la organizacin externaliza.
Incorporar un proceso sistemtico por el cual el administrador de la empresa con el
servicio externalizado, evala y reduce la exposicin al riesgo identificado a un nivel
aceptable por la organizacin.

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Aspectos a considerar en la gestin del riesgo.
La gestin de riesgo debe considerar los siguientes aspectos:
Identificacin del Sistema o Proceso

Identificacin de la Amenazas

Identificacin de las Vulnerabilidades

Controles

Determinar la Probabilidad de ocurrencia

Anlisis de Impacto

Determinacin del Riesgo

Recomendacin de Controles

Documentar los Resultados

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Aspectos a considerar en la Gestin del Riesgo.

Mitigar los Riesgos

La metodologa a implementar debe considerar opciones de mitigacin de los
riesgos:

Prevencin: Implementacin de Controles, Tecnolgicos, administrativos

y operacionales

Transferencia de los riesgos: seguros

Eludir: Cambiando la forma de hacer las cosas

Aceptar: Vivir con el riesgo

Auditora Informtica
Riesgos de Tecnologa de la Informacin
Aspectos a considerar en la Seguridad de Informacin.
Desde el punto de vista de los servidores:
Anlisis de Vulnerabilidad de los servidores que darn el servicio
Antivirus instalado y actualizado en los servidores que darn el servicio
Parches de seguridad evaluados e instalados segn corresponda en los servidores que darn
el servicio
Desde el punto de vista de la transferencia de informacin:
Encriptacin de la comunicacin entre la organizacin y la empresa prestadora de servicios
Desde el punto de la continuidad operacional:
Servidores de respaldo
Mquina especializadas de respaldo
Site de respaldo
Pruebas de contingencia

Auditora Informtica
Riesgos de Tecnologa
de la Informacin
Aspectos a considerar:
Encriptacin:
Es una tecnologa que permite la
transmisin segura de informacin, al
codificar los datos transmitidos usando una
frmula matemtica que desmenuza los
datos.
La encriptacin utiliza una llave pblica para
encriptar datos, y una llave privada para
descifrar o desencriptar la informacin. Sin
el decodificador o llave para desencriptar, el
contenido enviado se ve como un conjunto
de caracteres extraos, sin ningn sentido y
lgica de lectura.