Auditoría Informática

Riesgos

³La incertidumbre que ocurra un evento que podría tener un impacto en el logro de los objetivos´.

Auditoría Informática
Riesgos
Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.

.Auditoría Informática Riesgos Riesgo = Impacto * Probabilidad Impacto: es el efecto o consecuencia cuando el riesgo se materializa Probabilidad: representa la posibilidad que un evento dado ocurra.

procesos.Auditoría Informática Riesgos Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de ésta. información. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes. Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno. como los errores. irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. etc . ambiente interno. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la dirección para mitigar su probabilidad o su impacto.

Auditoría Informática Riesgos Inherentes  Riesgo de Crédito  Riesgo Financiero  Riesgo Operacional  Riesgo de Tecnología de la Información  Riesgo Calidad de Servicio y transparencia de la Información .

fallas en procesos. Riesgo Operacional: Se define como el riesgo de pérdida debido a la inadecuación o fallas en los procesos.   . Incluye riesgos legales y normativos. daños activos materiales.etc). como asimismo los descalces globales de activos. el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes.Auditoría Informática Riesgos Inherentes  Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurídica. Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economía local o internacional que podría afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez.

Agrupa todos los riesgos asociados con la autorización. se refiere a si existen restricciones que hagan que los trabajadores de una organización estén autorizados a desarrollar funciones de negocio sobre necesidad del negocio y la necesidad de lograr una segregación de funciones razonable.  . y exactitud de las transacciones según se ingresan. manifestándose en los siguientes componentes de un sistema:  Interfaz usuaria. integridad. se procesan. se resumen y se informan en los sistemas computacionales de una organización.Auditoría Informática Riesgos de Tecnología de la Información 1. Riesgo de Integridad de la Información. Procesamiento. se relacionan a la existencia de controles que aseguran que el procesamiento de datos se ha completado y realizado a tiempo.

que aseguren que los datos que han sido procesados y/o resumidos sean transmitidos adecuada y completamente a otro sistema de aplicación que se alimente de estos datos/información y sean procesados por dicho sistema. yAdministración . Estos riesgos están asociados con procesos inadecuados de administración del cambio incluyendo tanto la participación y entrenamiento del usuario como el proceso por el cual los cambios de cualquier aspecto del sistema de aplicación son comunicados e implementados. preventivos o de detección. del Cambio ± Los riesgos en esta área pueden ser generalmente considerados parte del Riesgo de Infraestructura. pero ellos impactan significativamente sobre los sistemas de aplicación.Auditoría Informática Riesgos de Tecnología de la Información yInterfase ± Los riesgos en esta área generalmente se relacionan con la existencia de controles adecuados.

errores de procesamiento. se relacionan a la existencia de controles de administración de datos inadecuados que incluyen seguridad/integridad de los datos procesados. . son corregidas y reprocesadas en forma precisa. Datos. íntegra y oportuna. se refiere a si existen procesos adecuados que aseguren que todas las excepciones de entrada y procesamiento de datos que se capturan. errores de administración de sistemas.Auditoría Informática Riesgos de Tecnología de la Información  Error de Procesamiento.  La integridad se puede perder por errores en la programación..

dentro de aplicaciones (Código fuente) Acceso a nivel de campo o dato. Acceso Funcional. puede ocurrir en cada uno o todos de los siguientes cinco niveles:      Red. .Auditoría Informática Riesgos de Tecnología de la Información 2. está dado por una inadecuada segregación de funciones que podría ocurrir si el acceso a los sistemas estuviese concedido a personas con necesidades de negocio sin definiciones claras. Riesgo de Acceso. el riesgo se genera con el acceso indebido al ambiente de procesamiento a los programas y datos que están almacenados en ese ambiente. Sistemas de Aplicación. Ambiente de Procesamiento. el riesgo en esta área está generado por el riesgo de acceso inapropiado a la red a pc s y servidores.

Auditoría Informática Riesgos de Tecnología de la Información Segregación de Funciones o Contraposición de Intereses Es un control preventivo que persigue evitar que una misma persona pueda tener bajo su control totalmente la información. . para evitar así la comisión de fraudes o errores.

 Riesgos asociados con desastres que causan interrupciones en el procesamiento de la información a largo plazo y que se centran en controles como backups y planes de contingencia.  La capacidad de la empresa para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información. .Auditoría Informática Riesgos de Tecnología de la Información 3. Riesgo de Disponibilidad Riesgos asociados con la interrupción de los sistemas a corto plazo donde las técnicas de restitución/recuperación se pueden utilizar para minimizar el alcance de la interrupción.

incremento de costos e incluso multas y sanciones. flujos de cajas y rentabilidad. la compañía podría experimentar dificultades para continuar con sus operaciones. pérdidas de ventajas competitivas. Si no se dispusiera de sistemas críticos o importantes por un período importante. insatisfacción de clientes y pérdida de participación de mercado. Riesgo de Disponibilidad (continuación«) La capacidad de la empresa para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información. . Sistemas de información críticos e importantes que no están disponibles para dar soporte a determinadas operaciones pueden provocar pérdidas de ingresos.Auditoría Informática Riesgos de Tecnología de la Información 3. problemas de imagen.

Los esfuerzos de desarrollo no siguen un enfoque consistente para confirmar la satisfacción del usuario y del negocio. afectando el proceso de toma de decisiones y planificaciones inadecuadas. Principalmente están relacionados con:   Planificación organizacional. el riesgo de que las definiciones y necesidades de los usuarios para nuevas soluciones de sistemas provoquen diseños ineficaces o incompletos. Definición y despliegue de sistemas de aplicación. el riesgo de que los planes de información tecnológica no estén integrados con los planes del negocio presentes y futuros. personas y procesos) para apoyar eficazmente las necesidades actuales y futuras del negocio de una forma eficiente y eficaz en términos de costos y controles. SW. Riesgo de Infraestructura El riesgo de que una organización no tenga una infraestructura eficaz de información tecnológica (HW.Auditoría Informática Riesgos de Tecnología de la Información 4. Los esfuerzos de implantación no consideran adecuadamente el entrenamiento usuario. .

. Operaciones con computador y red. es el riesgo de que los sistemas. . el riesgo de acceso inadecuado a los sistemas. tanto por personal de la compañía como externos. es el riesgo que los computadores y/o redes no sean eficientemente administrados derivando en problemas de desempeño o de capacidad de los usuarios. procesos y datos/información no puedan ser restablecidos luego de una interrupción del servicio de manera oportuna para las necesidades del negocio.)     Seguridad Lógica y Administración de Seguridad. Recuperación del centro de proceso de datos. es el riesgo de que los datos o bases carezcan de la integridad necesaria para dar apoyo a las decisiones de negocio. resultando en pérdida de la integridad de los datos/información y la exposición o mal uso de información confidencial. Riesgo de Infraestructura (Continuación«. Administración de Bases de Datos. datos o transacciones críticos.Auditoría Informática Riesgos de Tecnología de la Información 4.

Auditoría Informática Riesgos de Tecnología de la Información 5 Riesgo de Externalización de Servicios Generar e implementar una Metodología de Análisis de Riesgo que permita evaluar en forma sistemática los procesos y recursos. Incorporar un proceso sistemático por el cual el administrador de la empresa con el servicio externalizado. . evalúa y reduce la exposición al riesgo identificado a un nivel aceptable por la organización. sus vulnerabilidades y las amenazas para los procesos que la organización externaliza.

La gestión de riesgo debe considerar los siguientes aspectos:  Identificación del Sistema o Proceso  Identificación de la Amenazas  Identificación de las Vulnerabilidades  Controles  Determinar la Probabilidad de ocurrencia  Análisis de Impacto  Determinación del Riesgo  Recomendación de Controles  Documentar los Resultados .Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la gestión del riesgo.

administrativos y operacionales  Transferencia de los riesgos: seguros  Eludir: Cambiando la forma de hacer las cosas  Aceptar: Vivir con el riesgo . Tecnológicos. Mitigar los Riesgos La metodología a implementar debe considerar opciones de mitigación de los riesgos:  Prevención: Implementación de Controles.Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la Gestión del Riesgo.

Desde el punto de vista de los servidores: yAnálisis de Vulnerabilidad de los servidores que darán el servicio yAntivirus instalado y actualizado en los servidores que darán el servicio yParches de seguridad evaluados e instalados según corresponda en los servidores que darán el servicio Desde el punto de vista de la transferencia de información: yEncriptación de la comunicación entre la organización y la empresa prestadora de servicios Desde el punto de la continuidad operacional: Servidores de respaldo yMáquina especializadas de respaldo ySite de respaldo yPruebas de contingencia .Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la Seguridad de Información.

el contenido enviado se ve como un conjunto de caracteres extraños. La encriptación utiliza una llave pública para encriptar datos.Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar: Encriptación: Es una tecnología que permite la transmisión segura de información. al codificar los datos transmitidos usando una fórmula matemática que ³desmenuza´ los datos. y una llave privada para descifrar o desencriptar la información. . sin ningún sentido y lógica de lectura. Sin el decodificador o llave para desencriptar.

Sign up to vote on this title
UsefulNot useful