VULNERABILIDAD, AMENAZA, RIESGOS Y CONTROLES INFORMATICOS
VULNERAVILIDAD INFORMATICA: es el punto o
aspecto del sistema que es susceptible de ser atacado o
de dañar la seguridad del mismo.
VULNERABILIDAD FISICA: está a nivel del entorno físico del sistema, se relaciona con la
posibilidad de entrar o acceder físicamente al sistema para robar, modificar o destruirlo.
VULNERABILIDAD NATURAL: se refiere al grado en que el sistema puede verse afectado
por desastres naturales o ambientales, que pueden dañar el sistema
VULNERABILIDAD HARDWARE Y SOFTWARE: Desde el punto de vista del hardware,
ciertos tipos de dispositivos pueden ser más vulnerables que otros, ya que depende del
material que está construido. Ciertos fallos o debilidades del software del sistema hacen más
fácil acceder al mismo y lo hacen menos fiable. Las vulnerabilidades en el software son
conocidos como Bugs del sistema.
VULNERABILIDAD DE LOS MEDIOS O DISPOSITIVOS: se refiere a la posibilidad de robar o
dañar los discos, cintas, listados de impresora, etc.
VULNERABILIDAD EMANACION: todos los dispositivos eléctricos y electrónicos emiten
radiaciones electromagnéticas. Existen dispositivos y medios de interceptar estas emanaciones
y descifrar o reconstruir la información almacenada o transmitida.
VULNERABILIDAD DE LAS COMUNICACIONES: la conexión de los computadores a redes
incrementa la vulnerabilidad del sistema, ya que al aumentar el acceso de personas pueden tener
acceso al mismo y intentar tenerlo, tambien esta el riesgo de la intercepcion de las
comunicaciones.
TIPOS DE
VULNERABILIDADES
AMENAZA INFORMATICA: es un posible peligro del sistema. Puede ser
una persona (cracker), un programa (virus, caballo de Troya, etc.), o un
suceso natural o de otra índole (fuego, inundación, etc.). Representan los
posibles atacantes o factores que aprovechan las debilidades del sistema.
LAS AMENAZAS PUEDEN CLASIFICARSE EN 4 TIPOS:
INTERCEPCION: cuando una persona, programa o proceso logra el acceso a una parte
del sistema a la que no está autorizada.
MODIFICACION: este tipo de amenaza se trata no sólo de acceder a una parte del
sistema a la que no se tiene autorización, sino también de cambiar su contenido o modo
de funcionamiento.
INTERRUPCION: se trata de la interrupción mediante el uso dealgún método el
funcionamiento del sistema.
GENERACION: generalmente serefiere a la posibilidad de añadir información a
programas no autorizados en el sistema.
EL ORIGEN DE LAS AMENAZAS SE CLASIFICAN:
AMENAZAS NATURALES O FISICAS: las amenazas que
ponen en peligro los componentes físicos del sistema son
llamadas naturales, dentro de ellas se puede distinguir
los desastres naturales
AMENAZAS INVOLUNTARIAS: Están
relacionadas con el uso no apropiado del
equipo por falta de entrenamiento o de
concienciación sobre la seguridad
AMENAZAS INTENCIONADAS: son aquellas que proceden
de personas que quieren acceder al sistema para borrar,
modificar o robar la información o sencillamente para
bloquearlo o por simple diversión.
RIESGO INFORMATICO: corresponde al potencial de
pérdidas que pueden ocurrirle al sujeto o sistema
expuesto, resultado de la relación de la amenaza y la
vulnerabilidad
LOS PRINCIPALES RIESGOS INFORMATICOS SON:
RIESGO DE INTEGRIDAD: aquí están todos los riesgos asociados con la autorización,
completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones
informáticas utilizadas en una organización. Estos riesgos aplican en cada aspecto de
un sistema de soporte de procesamiento de negocio y se dan en múltiples lugares y
momentos
RIESGO DE RELACION: se refieren al uso oportuno de la información creada por una
aplicación y están relacionados directamente con la información de toma de
decisiones
RIESGO DE ACCESO: se enfocan en el inapropiado acceso a sistemas, datos e
información. Dentro de estos riesgos se encuentran los riesgos de segregación
inapropiada de funciones en el trabajo, los riesgos asociados con la integridad de la
información de sistemas de bases de datos y los riesgos asociados a la confidencialidad
de la información.
RIESGO DE UTILIDAD: están enfocados en tres diferentes niveles de riesgo: los riesgos
que pueden ser enfrentados por el direccionamiento de sistemas antes de que los
problemas ocurran; las técnicas de recuperación/restauración usadas para minimizar la
ruptura de los sistemas; y los backups y planes de contingencia que controlan desastres en
el procesamiento de la información.
RIESGO EN LA INFRAESTRUCTURA: están relacionados con la no existencia de una
estructura de información tecnológica efectiva (hardware, software, redes, personas y
procesos) para soportar adecuadamente las necesidades presentes y futuras de la
organización con un costo eficiente. Estos riesgos están asociados con los procesos de la
información tecnológica que definen, desarrollan, mantienen y operan un entorno de
procesamiento de información y las aplicaciones asociadas (servicio al cliente, contabilidad,
cartera, facturación, etc.).
CONTROL INTERNO INFORMATICO: puede definirse como el sistema integrado al proceso administrativo, en
la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de
todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos
operativos automatizados.
TIPOS DE CONTROLES
CONTROLES MANUALES: aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.
CONTROLES AUTOMATICOS: son generalmente los incorporados en el software, llámense estos de
operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
SEGUN SU FINALIDAD SE CLASIFICAN EN
CONTROLES PREVENTIVOS: para tratar de
evitar la producción de errores o hechos
fraudulentos, como por ejemplo el software de
seguridad que evita el acceso a personal no
autorizado.
CONTROLES CORRECTIVOS: tratan de asegurar que
se subsanen todos los errores identificados mediante
los controles detectivos.
CONTROLES DETECTIVOS: trata de descubrir a
posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.