Riesgos y Control de la Tecnología

de la Información
ÍNDICE
INTRODUCCIÓN.....................................................................................................1

CONCEPTOS BASICOS..........................................................................................2

ORIGEN DEL RIESGO TECNOLÓGICO ¿CÓMO NOS AFECTA?....................3

RIESGOS DE LA TECNOLOGÍA...........................................................................4

DE LA INFORMACIÓN EN UNA EMPRESA.......................................................4

PROCESO DE LA ADMINISTRACION DE RIESGOS.........................................5

CONTROL INTERNO INFORMÁTICO.................................................................7

MEDIDAS DE ASEGURAMIENTO ANTE...........................................................9

EL RIESGO TECNOLÓGICO.................................................................................9

CONCLUSIÓN.......................................................................................................11
NO IMPRIMIR
 INTRODUCCIÓN
Con el pasar del tiempo las personas y las empresas han ido cambiando sus estilos,
su forma de manejarse, de igual forma han ido aplicando y mejorando cada vez
más la tecnología, por lo que se ha hecho necesario al momento de implementar
métodos y herramientas tecnológicas para cuidar y almacenar información, realizar
análisis de riesgos para crear controles que eviten de antemano cualquier
imprevisto que pueda significar u ocasional la pérdida o daño de información en
una organización.

Por consiguiente, debido al uso importante de la tecnología con relación a

salvaguardar la información de una empresa, se estarán detallando de forma clara y
precisa cada uno de los tópicos de este tema (desde los conceptos de riesgo hasta
las medidas de aseguramiento que deben ser tomadas ante el riesgo tecnológico)
entre otras variables que deben ser tomadas en cuenta para ampliar el conocimiento
acerca de los temas ya citados y que serán desglosados a continuación.

Veamos…

1
 CONCEPTOS BASICOS
 Riesgo: Posibilidad de que se produzca un contratiempo o una desgracia, de que alguien
o algo sufra perjuicio o daño.

 Control: Es el proceso de verificar el desempeño de distintas áreas o funciones de una

organización. Usualmente implica una comparación entre un rendimiento esperado y un
rendimiento observado, para verificar si se están cumpliendo los objetivos de forma
eficiente y eficaz y tomar acciones correctivas cuando sea necesario.

 Tecnología de la información: (TI, o más conocida como IT por su significado en

inglés: informationtechnology) es la aplicación de ordenadores y equipos
de telecomunicación para almacenar, recuperar, transmitir y manipular datos, con
frecuencia utilizado en el contexto de los negocios u otras empresas. 

 Riesgo Tecnológico: Es la pérdida potencial por daños, interrupción, alteración o fallas

derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y
cualquier otro canal de distribución de Información que el Instituto dispone para prestar
sus servicios.También se puede decir que es la contingencia de que la interrupción,
alteración, o falla de la infraestructura de TI (tecnológica de la información), sistemas de
información, bases de datos y procesos de TI, provoque pérdidas financieras a la
institución.

2
 ORIGEN DEL RIESGO TECNOLÓGICO¿CÓMO NOS
AFECTA?

El riesgo tecnológico tiene su origen en el continuo incremento de herramientas y aplicaciones

tecnológicas que no cuentan con una gestión adecuada de seguridad. Su incursión en las
organizaciones se debe a que la tecnología está siendo fin y medio de ataques debido a
vulnerabilidades existentes por medidas de protección inapropiadas y por su constante cambio,
factores que hacen cada vez más difícil mantener actualizadas esas medidas de seguridad.

Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnología, que en

muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se exponen
las organizaciones.

El riesgo tecnológico puede verse desde tres aspectos,

 A nivel de la infraestructura tecnológica (hardware o nivel físico),
 A nivel lógico (riesgos asociados a software, sistemas de información e información)
 Y por último los riesgos derivados del mal uso de los anteriores factores, que corresponde
al factor humano.

Si se revisan las definiciones de las metas, objetivos, visión o misión de las organizaciones, estás
no se fundamentan en términos técnicos o con relación a la tecnología. Sin embargo, al analizar
de forma profunda y minuciosa este tipo de planteamientos gerenciales, se encuentra que su
aplicación trae como base el desempeño de una infraestructura tecnológica que permita darle
consecución a dichas cualidades.

Por ello, el cumplimiento correspondiente con la prestación de los servicios y desarrollo de los
productos ofrecidos por la empresa, el mantenimiento de la actividad operativa e incluso la
continuidad del negocio, dependen del cuidado y conservación que se tenga de la base
tecnológica y por supuesto, del personal que la opera.

3
 RIESGOS DE LA TECNOLOGÍA
DE LA INFORMACIÓN EN UNA EMPRESA
En un mercado en expansión tecnológica constante no hay prácticamente forma de sobrevivir sin
estar al menos al tanto de estos avances, ya la tecnología se ha transformado en un elemento
infalible de cualquier emprendimiento que se proyecte con cierta ambición expansionista.

Pero, así como es un engranaje imprescindible del desarrollo empresarial, la tecnología y su uso
también conllevan ciertos riesgos.
 
Desde la ultra segmentación del mercado y su consabida evolución a su faceta 2.0, las empresas
se han visto obligadas a afilar sus tácticas hasta los detalles más minuciosos en busca de la tan
anhelada ventaja competitiva que les genere mayores dividendos y un lugar preponderante en el
sector que les compete. Entre estas medidas se destacan la carrera por desarrollar herramientas y
técnicas organizativas que eleven la productividad a través de una mejora de la administración, la
planeación, así como en los campos operativos y de gestión, con este objetivo entre cejas la
tecnología es el recurso más útil, si hablamos de sistemas de organización.

Y desde que la tecnología se transformó en factor clave, los riesgos que vienen con ésta se han
vuelto inevitables. Por “riesgo” entendemos cualquier posibilidad de que acontezca determinado
evento contraproducente o adverso a la consecución de los objetivos mercantiles de la empresa,
los riesgos tecnológicos serán esas posibilidades que vienen encerrados en el uso mismo de esta
tecnología, y según ISACA (Asociación de Auditoría y Control de Sistemas de Información),
estos riesgos son cinco.

El abanico de posibilidades riesgosas que deriva del uso de tecnologías es el siguiente:

1) A la probabilidad de que se filtre información sensible o privada a entidades que no
deberían tener acceso a ella se le denomina “riesgo de seguridad y acceso”.
2) A la posibilidad de que la información no sea verídica, confiable, exacta o segura del
todo se le denomina “riesgo de integridad”
3) El riesgo de no llegar a obtener la información adecuada en tiempo preciso para su
aplicación correcta es conocido como “riesgo pertinente”
4) Se le dice “de disponibilidad” al riesgo de perder el servicio por fallo tecnológico.
5) Se le conoce como “de infraestructura” al riesgo de que las necesidades de la empresa,
actuales y a posteriores, no puedan verse sostenidas de manera satisfactoria por la
infraestructura tecnológica de la organización.

4
 PROCESO DE LA ADMINISTRACION DE
RIESGOS
El proceso consta de los siguientes pasos:
1. Determinar los Objetivos: El primer paso en la administración de riesgos es
decidirprecisamente el programa de administración de riesgos. Para obtener el máximo
beneficiode losgastos asociados con la administración de riesgos un plan es necesario. De
otromodo, es ver el proceso de administración de riesgos como una serie de problemas
aisladosmás bien que un problema sencillo, y no hay guías para proveer una consistencia lógica
enlos procesos de la organización.

El principal objetivo de la administración de riesgos, como primera ley de la

naturaleza,garantizar la supervivencia de la organización, minimizando los costos asociados con
losriesgos. Muchos de los defectos en la administración de riesgos radica en la ausencia
deobjetivos claros.

2. Identificación de los Riesgos: Es difícil generalizar acerca de los riesgos de unaorganización

porque las condiciones y operaciones son distintas, pero existen formas deidentificarlos entre las
cuales están:

 Herramientas de identificación de riesgos: Las más importantes herramientas usadas

en las identificaciones de riesgos incluyen: registros internos de la organización, listas de
chequeo para políticas de seguros, cuestionarios de análisis de riesgos, flujos de procesos,
análisis financiero, inspección de operaciones y entrevistas.
 Aproximación de combinación: La aproximación preferida en la identificación de
riesgos consiste de una aproximación de combinación, en el cual todas las herramientas
de identificación de riesgos están hechas para tolerar problemas. En pocas
palabras cada herramienta puede resolver una parte del problema y combinados
pueden ser una considerable ayuda al administrador de riesgos.

3. Evaluación de Riesgos:Una vez que los riesgos han sido identificados el administradorde
riesgos debe evaluarlos. Esto envuelve la medición del potencial de las pérdidas y
laprobabilidad de la pérdida categorizando el orden de las prioridades. Un conjunto
decriterios puede ser usado para establecer una prioridad, enfocada en el impacto financiero
potencial de las pérdidas, por ejemplo:

 Riesgos críticos:Todos las exposiciones a pérdida en las cuales la magnitud alcanza la

bancarrota.

5
  Riesgos importantes: Son exposiciones a pérdidas que no alcanzan la bancarrota, pero
requieren una acción de la organización para continuar las operaciones.
 Riesgos no importantes : Exposiciones a pérdidas que no causan un gran impacto
financiero.

4. Consideración de alternativas y selección de mecanismos de tratamiento

deriesgos:El próximo paso es considerar las técnicas que puedan ser usadas para tratar
conriesgos. Estas técnicas incluyen : evitar los riesgos, retención, transparencia y reducción.
Algunas políticas de la administración de riesgos de la organización establecen el criterio a
ser aplicada en la elección de técnicas, haciendo un bosquejo de las reglas con las cuales el
administrador de riesgos, puede operar.

5. Implementación de la Decisión, Evaluación y Revisiones:Este paso debe ser incluidopor 2

razones. Primero, el proceso de administración de riesgos no es la panacea definitiva,las cosas
pueden cambiar nuevos riesgos surgen y riesgos viejos desaparecen, el programa de
administración de riesgos permite al administrador de riesgos revisar decisiones ydescubrir
errores.

6
 CONTROL INTERNO INFORMÁTICO
El control interno informático controla diariamente que todas las actividades de los sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la
dirección de la organización y/o dirección de informática, así como los requerimientos legales.

Controles generales
El propósito de los controles generales de TI es establecer un marco de referencia de control
global sobre las actividades de TI y proporcionar un nivel razonable de certeza de que se logran
los objetivos globales del control interno como son: efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad de la información financiera.

Los controles generales de TI pueden incluir:

Preinstalación. Se refiere al acondicionamiento físico y medidas de seguridad en el área donde
se localiza el equipo de cómputo y a la capacitación de personal y adquisición o desarrollo de
sistemas.

Controles de organización y administración. Diseñados para establecer un marco de referencia

organizacional sobre las actividades de TI, incluyendo:
 Políticas y procedimientos relativos a funciones de control.
 Segregación apropiada de funciones incompatibles (por ejemplo, preparación de
transacciones de entrada a los sistemas, diseño y programación de sistemas y operaciones
de cómputo).

Desarrollo de sistemas de aplicación y control de mantenimiento.

Diseñados para proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de
manera eficiente y autorizada. También están diseñados para establecer control sobre:
 Pruebas, conversión, implementación y documentación de sistemas nuevos y revisados.
 Cambios a sistemas.
 Acceso de documentación de sistemas.
 Adquisición de sistemas de aplicación de terceros.
 Verificación de controles sobre los cambios en la configuración o estandarización de
sistemas integrados.

Controles de operación de cómputo y de seguridad. Diseñados para controlar la operación de

los sistemas y proporcionar certeza razonable de que:
 Los sistemas son usados para propósitos autorizados únicamente.
 El acceso a las operaciones de cómputo es restringido a personal autorizado.
 Sólo se usan programas autorizados.

7
  Los errores de procesamiento son detectados y corregidos.

Controles de software de sistemas. Diseñados para proporcionar certeza razonable de que el

software del sistema (sistema operativo) se adquiere o desarrolla de manera autorizada y
eficiente, incluyendo:
 Autorización, aprobación, análisis, diseño, pruebas técnicas, pruebas de usuario,
implementación, liberación y documentación de software de sistemas nuevos y
modificaciones del software de sistemas.
 Restricción de acceso a software y documentación de sistemas sólo a personal autorizado.

Controles de entrada de datos y programas (control de acceso). Diseñados para proporcionar

certeza razonable de que:
 Está establecida una estructura de autorización sobre las transacciones que se alimentan
al sistema.
 El acceso a datos y programas está restringido a personal autorizado.

Hay otras salvaguardas que contribuyen a la continuidad del procesamiento de TI y a promover

razonables prácticas de control, manuales o automatizadas, durante una interrupción del sistema
principal. Éstas pueden incluir:

 Respaldo de datos y programas de cómputo en otro sitio.

 Procedimientos de recuperación para usarse en caso de robo, pérdida o destrucción
intencional o accidental.
 Provisión para procesamiento externo en caso de desastre.
 Procedimientos y controles alternos durante el incidente de interrupción.

8
 MEDIDAS DE ASEGURAMIENTO ANTE
EL RIESGO TECNOLÓGICO
Hablar de controles y medidas que permitan a las organizaciones contrarrestar este tipo
de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su
mitigación. El aseguramiento puede realizarse desde los tres niveles antes mencionados.

En el nivel físico, las medidas a tomar son de carácter técnico o de seguridad informática,
referidas a la aplicación de procedimientos de control y barreras físicas ante amenazas
para prevenir daño o acceso no autorizado a recursos e información confidencial que sea
guardada en la infraestructura física. Dentro de éstas se encuentran:

 Controles de acceso físico, que pueden incluir el uso de sistemas biométricos y

vigilantes para acceso en áreas específicas.
 Manejo de tokens o tarjetas de identificación.
 Controles a nivel de equipos, tales como ubicación y protección, seguridad en
cableado o mantenimiento periódico de equipos.
 Servicios básicos (energía, agua y alcantarillado, entre otros) de soporte para
continuidad.
 Gestión de medios de almacenamiento removible.
 Controles de vulnerabilidades técnicas, entre otros.

En el nivel lógico, las medidas a tomar se dan con respecto al uso de software y sistemas,
enfocadas a proteger los datos y garantizar el acceso autorizado a la información por
parte de los usuarios a través de los procedimientos correctos. Como parte de estas
medidas se pueden tomar:

 Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para

acceso a aplicaciones y gestión de contraseñas.
 Controles de acceso a la red interna y externa, segregación en redes y controles
para asegurar servicios de la red.
 Controles a nivel de teletrabajo y equipos móviles.
 Soluciones de protección contra malware.
 Protocolos para intercambio de información y cifrado de información.
 Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.

9
  Limitación en tiempos de conexión a aplicativos y cierres de sesión por
inactividad.
 Gestión de control de cambios, entre otros.

El tercer nivel y el más crítico dentro de las organizaciones, dada su naturaleza

impredecible, es el personal o recurso humano. Las medidas a este nivel deberían ser más
procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden
incluir:

 Definición de políticas de seguridad que presenten las correspondientes

violaciones con el fin de dar cumplimiento.
 Controles relacionados a acuerdos con terceros, prestación de servicios que se
puedan dar con éstos y segregación de funciones.
 Controles a nivel contratación de personal.
 Gestión antes, durante y después de la terminación de los contratos.
 Educación y capacitación continua en aspectos de seguridad.
 Procedimientos e instructivos para manejo de información.
 Políticas de escritorio y pantalla limpia.
 Cumplimiento de legislación aplicable, entre otros.

10
 CONCLUSIÓN
Después de un arduo trabajo de investigación acerca de los riesgos y controles en
cuanto a la tecnología de la información hemos analizado que ciertamente es de
suma importancia hacer un análisis de riesgos a los métodos tecnológicos
utilizados para almacenar la información entre estos están las medidas de
aseguramiento ante los riesgos tecnológicos, estas medidas pueden ser tomadas en
tres niveles, el físico, lógico y el recurso humano el cual es uno de los más
tomados en cuenta debido a su naturaleza.

Por lo tanto se hace importante mencionar que los riegos no sólo se analizan y
descubren sino que se deben tomar medidas para evitar que está riesgos se hagan
materiales, no cabe destacar, que la tecnología de la información juega un papel
preponderante en la empresa, debido a la alta productividad y competitividad que
se puede alcanzar con esta valiosa herramienta, es por esto que es de suma
importancia que estemos alertas ante los riesgos que puedan penetrar y dañar
nuestros sistemas y sobre todo tomar las medidas pertinentes.

11