Riesgos y Control

de la Tecnología
de la Información
 CONCEPTOS BÁSICOS

Tecnología de la
Información RIESGO CONTROL
(TI, o más conocida como
IT por su significado en
inglés: information
technology) es la aplicación
de ordenadores y equipos
de telecomunicación para
almacenar, recuperar,
transmitir y manipular
datos, con frecuencia
utilizado en el contexto de
los negocios.
RIESGO
TECNOLÓGICO
Es la pérdida potencial por
daños, interrupción,
alteración o fallas
derivadas del uso o
dependencia en el
hardware, software,
sistemas, aplicaciones,
redes y cualquier otro
canal de distribución de
Información que
el Instituto dispone para
prestar sus servicios.
 El riesgo tecnológico puede verse desde tres aspectos:
 A nivel de la infraestructura tecnológica (hardware o
nivel físico).
 A nivel lógico (riesgos asociados a software, sistemas
ORIGEN de información e información).
DEL  Y por último los riesgos derivados del mal uso de los
anteriores factores, que corresponde al factor humano.
RIESGO
TECNOLÓGICO
 RIESGOS
DE LA
TECNOLOGÍA
DE LA
INFORMACIÓN
EN UNA
EMPRESA
 1. Determinar los Objetivos.

2. Identificación de los Riesgos.

 Herramientas de identificación de riesgos.
 Aproximación de combinación.
PROCESO
3. Evaluación de Riesgos.
DE LA  Riesgos críticos.
ADMINISTRACIÓN  Riesgos importantes.
 Riesgos no importantes.
DE RIESGOS
4. Consideración de alternativas y selección de mecanismos
de tratamiento de riesgos.

5. Implementación de la Decisión, Evaluación y Revisiones.

 1. Preinstalación.

2. Controles de organización y administración.

 Políticas y procedimientos relativos a funciones de control.
 Segregación apropiada de funciones incompatibles (por ejemplo, preparación
de transacciones de entrada a los sistemas, diseño y programación de sistemas
y operaciones de cómputo).
CONTROL
3. Desarrollo de sistemas de aplicación y control de mantenimiento.
INTERNO  Cambios a sistemas.
 Acceso de documentación de sistemas.
INFORMÁTICO  Adquisición de sistemas de aplicación de terceros.

4. Controles de operación de cómputo y de seguridad.

 Los sistemas son usados para propósitos autorizados únicamente.
 El acceso a las operaciones de cómputo es restringido a personal autorizado.
 Sólo se usan programas autorizados.
 Los errores de procesamiento son detectados y corregidos.
 Controles de software de sistemas.
 Autorización, aprobación, análisis, diseño, pruebas técnicas, pruebas
de usuario, implementación, liberación y documentación de software
de sistemas nuevos y modificaciones del software de sistemas.
 Restricción de acceso a software y documentación de sistemas sólo a
CONTROL personal autorizado.

INTERNO Controles de entrada de datos y programas (control de acceso).

INFORMÁTICO  Está establecida una estructura de autorización sobre las
transacciones que se alimentan al sistema.
 El acceso a datos y programas está restringido a personal autorizado.
MEDIDAS
DE
ASEGURAMIENTO
ANTE EL

RIESGO
TECNOLÓGICO
NIVEL FÍSICO
 Manejo de tokens o tarjetas de identificación.
 Gestión de medios de almacenamiento removible.
 Controles de vulnerabilidades técnicas, entre otros

NIVEL LÓGICO
 Controles a nivel de teletrabajo y equipos móviles.
 Soluciones de protección contra malware.
 Respaldos de bases de datos e información crítica.
 Gestión de control de cambios, entre otros.

NIVEL HUMANO
 Controles a nivel contratación de personal.
 Gestión antes, durante y después de la terminación de los contratos.
 Educación y capacitación continua en aspectos de seguridad.
 Procedimientos e instructivos para manejo de información.
 Políticas de escritorio y pantalla limpia.
 Cumplimiento de legislación aplicable, entre otros.