Riesgos a que está expuesto un departamento de Informática

Un departamento de Informática está expuesto a varios riesgos. Derivado de esta situación es

necesario que se cuente con un proceso de administración de riesgos. Esto con el objetivo de
identificar y clasificar adecuadamente los recursos de información.

Un proceso adecuado de administración de riesgos debe contar los siguientes pasos:

 Identificación de los activos sujetos a riesgos

La identificación de los activos sujetos a riesgos se centraliza en un documento donde se

indican los procesos que se realizan en el departamento de Informática, el equipo existente, su
configuración, así como los servicios que se prestan y la descripción de las actividades que realiza
el personal, denominado matriz de riesgo tecnológico. El objetivo de la matriz de riesgo
tecnológico es servir de guía y apoyo al plan de continuidad del negocio. Así mismo, deberá
contener la forma en que se realizan las comunicaciones, las condiciones ambientales que deberá
protegerse el Centro de Procesamiento de Información, personal responsable de operaciones y
procesos, nombres de proveedores, principales clientes, etc.

A continuación se presenta la identificación de los recursos típicos asociados a un departamento

de Informática:

• Hardware

• Software

• Información

• Personal

 Estudio de amenazas y vulnerabilidades que afectan los activos identificados

Las amenazas en los activos descritos anteriormente ocurren por las vulnerabilidades o factores de
riesgo asociadas al uso de estos recursos, a continuación se presentan los principales factores de
riesgos de los recursos informáticos.

• En el hardware

Falta de control y protección, condiciones inapropiadas de uso, falta de observancia de normas y

procedimientos, obsolescencia, incompatibilidad, falta de soporte.

• En el software

Por uso o acceso, copia no autorizados, modificación, destrucción, hurto, errores u omisiones,
infección de virus y gusanos.
• En la información

Usos o acceso, copia, modificación, destrucción, hurto.

• En el recurso humano que administra el equipo y los sistemas

Personal deshonesto, incompetente, descontento, desactualizado.

 Análisis del impacto de las amenazas y vulnerabilidades

El impacto es la materialización de los factores de riesgo o vulnerabilidades y tiene como

consecuencia una pérdida financiera, a continuación se indican las pérdidas que pueden generar
las vulnerabilidades.

• Pérdida o daño significativo en los activos.

• Incumplimiento de normativa asociada.

• Pérdida de reputación.

• Peligro potencial en el uso de los activos y la tecnología.

• Pérdida de oportunidades de negocio.

• Reducción de la eficiencia.

• Cese temporal o definitivo de las actividades del negocio.

• Uso no autorizado de la información.

Cuando se han analizado los riesgos, se debe evaluar los controles existentes, para determinar si
los mismos cubren satisfactoriamente o si es necesario fortalecerlos o crear nuevos.

 Plan de continuidad de negocios

Un plan de continuidad del negocio es un documento detallado, que establece todas las acciones
que se tomarán antes, durante y después de que ocurra una catástrofe.

• Antes de una catástrofe, se deberá tener un adecuado nivel de seguridad física.

• Durante una catástrofe, ejecutar el plan de contingencias.

• Después de una catástrofe, seguir con el plan de contingencia y evaluar los reclamos estipulados
en los contratos de los seguros contratados.
El plan de continuidad del negocio deberá incluir los siguientes elementos:

• Realizar un análisis de riesgos de sistemas críticos, determinando la tolerancia máxima.

• Realizar un inventario de procesos críticos.

• Establecer el período máximo de recuperación por proceso crítico

• Identificar las pérdidas a que se puede incurrir al no cumplir los plazos.

• Establecer prioridades para inicio o fin de procesos de software o hardware.

• Determinar el orden correcto en que deberán de ser ejecutados de los procesos.

• Establecer objetivos de recuperación, indicando el período máximo tolerable.

• Designar un centro de procesamiento alternativo de información.

• Asegurar la capacidad de los servicios de back-up.

• Verificar con regularidad la vigencia de las pólizas de seguro.

• Asignar fecha de pruebas, para verificar la funcionalidad del plan. (12:625)

Crimen informático

El crimen informático es un delito especializado realizado mediante la utilización no autorizada de

recursos informáticos, con el objetivo de robar dinero, equipos, software o manipular información.
Los crímenes informáticos son realizados por los “hackers” personas que tienen habilidad de
explotar detalles de los sistemas programables y el conocimiento para explotar a su beneficio los
recursos del sistema.

Los crímenes informáticos pueden ser realizados por las siguientes causas:

• Insatisfacción con la empresa.

• Beneficio personal o de terceros.

• Problemas financieros graves.

• Deseo de reconocimiento.

• Problemas psicológicos.

• Como diversión o pasatiempo.

BIBLIOGRAFIA

http://biblioteca.usac.edu.gt/tesis/03/03_3060.pdf

RAMOS Morales, Edwin Ernesto. Auditoria Interna en el Departamento de Informatica de una

Institución Bancaria. Previo a conferirse el título de Contador Público y Auditor en el grado de
Licenciado; Guatemala, Universidad de San Carlos de Guatemala. Facultad de Ciencias Economicas,
2007. 105 h.