Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contaduría Pública
2 Semestre
2019
Riesgos informáticos
Es importante en toda organización contar con una herramienta, que garantice la correcta
evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que
participan en el área informática; y por medio de procedimientos de control que puedan
evaluar el desempeño del entorno informático.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en
cuenta que, una de las principales causas de los problemas dentro del entorno informático,
es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo
para una adecuada gestión de la administración de riesgos.
Tipos de riesgos
1. RIESGOS DE INTEGRIDAD
2. RIESGOS DE RELACION
Los riesgos de relación se refieren al uso oportuno de la información creada por una
aplicación. Estos riesgos se relacionan directamente a la información de toma de
decisiones.
3. RIESGOS DE ACCESO
• Procesos de negocio
• Aplicación
• Administración de la información
• Entorno de procesamiento
• Redes
• Nivel físico
4. RIESGOS DE UTILIDAD
• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los
problemas ocurran.
• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
• Backups y planes de contingencia controlan desastres en el procesamiento de la
información.
5. RIESGOS EN LA INFRAESTRUCTURA
• Planeación organizacional
• Definición de las aplicaciones
• Administración de seguridad
• Operaciones de red y computacionales
• Administración de sistemas de bases de datos
• Información / Negocio
Vulnerabilidad
Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques, de ahí que
sea tan importante tenerlas en cuenta; en cualquier momento podrían ser aprovechadas.
Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestro sistema:
• Vulnerabilidades ya conocidas sobre aplicaciones o sistemas instalados. Son
vulnerabilidades de las que ya tienen conocimiento las empresas que desarrollan el
programa al que afecta y para las cuales ya existe una solución, que se publica en forma de
parche.
Existen listas de correo relacionadas con las noticias oficiales de seguridad que informan de
la detección de esas vulnerabilidades y las publicaciones de los parches a las que podemos
suscribirnos.
• Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas vulnerabilidades
también son conocidas por las empresas desarrolladores de la aplicación, pero puesto que
nosotros no tenemos dicha aplicación instalada no tendremos que actuar.
• Vulnerabilidades aún no conocidas. Estas vulnerabilidades aún no han sido detectadas por
la empresa que desarrolla el programa, por lo que si otra persona ajena a dicha empresa
detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este
programa.
Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier
empresa y organismo. Esto ha llevado a que empresas como Microsoft dispongan de
departamentos dedicados exclusivamente a la seguridad, como es
Microsoft Security Response Center (MSRC). Sus funciones son, entre otras, evaluar los
informes que los clientes proporcionan sobre posibles vulnerabilidades en sus productos, y
preparar y divulgar revisiones y boletines de seguridad que respondan a estos informes.
Para ello clasifica las vulnerabilidades en función de su gravedad, lo que nos da una idea de
los efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver dicha
clasificación de gravedad de vulnerabilidades:
Calificación Definición
Caso de la vida real donde refleja la vulnerabilidad a la que están expuestas las
empresas
“Durante los primeros meses de 2009, en España hemos vivido una época de crisis
financiera, lo que ocasionó numerosos despidos en las empresas. La situación produjo un
aumento en los casos de robos de información confidencial por parte de los empleados
despedidos, y puso en evidencia la falta de seguridad informática en dichas empresas.
La seguridad de un sistema real nunca será completa, pero el uso de buenas políticas de
seguridad es imprescindible paro evitar y minimizar los daños.” (Remblis 2010.)
El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es
propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina
(sillas, mesas, estanterías), como los equipos informáticos (servidores, ordenadores de
escritorio, impresoras), como los datos que se manejan (datos de clientes, facturas,
personal). Cualquier daño que se produzca sobre estos activos tendrá un impacto en la
empresa.
https://infosegur.files.wordpress.com/2013/11/esquema.jpg
https://www.youtube.com/watch?v=lskwU3kw29o