VULNERABILIDAD, AMENAZA, RIESGOS Y CONTROLES INFORMATICOS

Description

AUDITORIA DE SISTEMAS
Mauricio Fernandez
Mind Map by Mauricio Fernandez, updated more than 1 year ago
Mauricio Fernandez
Created by Mauricio Fernandez over 7 years ago
5742
2

Resource summary

VULNERABILIDAD, AMENAZA, RIESGOS Y CONTROLES INFORMATICOS
  1. VULNERAVILIDAD INFORMATICA: es el punto o aspecto del sistema que es susceptible de ser atacado o de dañar la seguridad del mismo.
    1. VULNERABILIDAD FISICA: está a nivel del entorno físico del sistema, se relaciona con la posibilidad de entrar o acceder físicamente al sistema para robar, modificar o destruirlo.
      1. VULNERABILIDAD NATURAL: se refiere al grado en que el sistema puede verse afectado por desastres naturales o ambientales, que pueden dañar el sistema
        1. VULNERABILIDAD HARDWARE Y SOFTWARE: Desde el punto de vista del hardware, ciertos tipos de dispositivos pueden ser más vulnerables que otros, ya que depende del material que está construido. Ciertos fallos o debilidades del software del sistema hacen más fácil acceder al mismo y lo hacen menos fiable. Las vulnerabilidades en el software son conocidos como Bugs del sistema.
          1. VULNERABILIDAD DE LOS MEDIOS O DISPOSITIVOS: se refiere a la posibilidad de robar o dañar los discos, cintas, listados de impresora, etc.
            1. VULNERABILIDAD EMANACION: todos los dispositivos eléctricos y electrónicos emiten radiaciones electromagnéticas. Existen dispositivos y medios de interceptar estas emanaciones y descifrar o reconstruir la información almacenada o transmitida.
              1. VULNERABILIDAD DE LAS COMUNICACIONES: la conexión de los computadores a redes incrementa la vulnerabilidad del sistema, ya que al aumentar el acceso de personas pueden tener acceso al mismo y intentar tenerlo, tambien esta el riesgo de la intercepcion de las comunicaciones.
      2. TIPOS DE VULNERABILIDADES
      3. AMENAZA INFORMATICA: es un posible peligro del sistema. Puede ser una persona (cracker), un programa (virus, caballo de Troya, etc.), o un suceso natural o de otra índole (fuego, inundación, etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del sistema.
        1. LAS AMENAZAS PUEDEN CLASIFICARSE EN 4 TIPOS:
          1. INTERCEPCION: cuando una persona, programa o proceso logra el acceso a una parte del sistema a la que no está autorizada.
            1. MODIFICACION: este tipo de amenaza se trata no sólo de acceder a una parte del sistema a la que no se tiene autorización, sino también de cambiar su contenido o modo de funcionamiento.
              1. INTERRUPCION: se trata de la interrupción mediante el uso dealgún método el funcionamiento del sistema.
                1. GENERACION: generalmente serefiere a la posibilidad de añadir información a programas no autorizados en el sistema.
                  1. EL ORIGEN DE LAS AMENAZAS SE CLASIFICAN:
                    1. AMENAZAS NATURALES O FISICAS: las amenazas que ponen en peligro los componentes físicos del sistema son llamadas naturales, dentro de ellas se puede distinguir los desastres naturales
                      1. AMENAZAS INVOLUNTARIAS: Están relacionadas con el uso no apropiado del equipo por falta de entrenamiento o de concienciación sobre la seguridad
                        1. AMENAZAS INTENCIONADAS: son aquellas que proceden de personas que quieren acceder al sistema para borrar, modificar o robar la información o sencillamente para bloquearlo o por simple diversión.
            2. RIESGO INFORMATICO: corresponde al potencial de pérdidas que pueden ocurrirle al sujeto o sistema expuesto, resultado de la relación de la amenaza y la vulnerabilidad
              1. LOS PRINCIPALES RIESGOS INFORMATICOS SON:
                1. RIESGO DE INTEGRIDAD: aquí están todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones informáticas utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y se dan en múltiples lugares y momentos
                  1. RIESGO DE RELACION: se refieren al uso oportuno de la información creada por una aplicación y están relacionados directamente con la información de toma de decisiones
                    1. RIESGO DE ACCESO: se enfocan en el inapropiado acceso a sistemas, datos e información. Dentro de estos riesgos se encuentran los riesgos de segregación inapropiada de funciones en el trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información.
                      1. RIESGO DE UTILIDAD: están enfocados en tres diferentes niveles de riesgo: los riesgos que pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran; las técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas; y los backups y planes de contingencia que controlan desastres en el procesamiento de la información.
                        1. RIESGO EN LA INFRAESTRUCTURA: están relacionados con la no existencia de una estructura de información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades presentes y futuras de la organización con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, contabilidad, cartera, facturación, etc.).
              2. CONTROL INTERNO INFORMATICO: puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.
                1. TIPOS DE CONTROLES
                  1. CONTROLES MANUALES: aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.
                    1. CONTROLES AUTOMATICOS: son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
                      1. SEGUN SU FINALIDAD SE CLASIFICAN EN
                        1. CONTROLES PREVENTIVOS: para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
                          1. CONTROLES CORRECTIVOS: tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.
                            1. CONTROLES DETECTIVOS: trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos.
                    Show full summary Hide full summary

                    Similar

                    Sistema de procesamiento en Bases de datos
                    jhonatanandresce
                    PROYECTO DE GRADO - INGENIERIA DE SISTEMAS
                    edilaguirre
                    Curso 301307A_224 Teoria General de Sistemas
                    HAROLD SMITH QUINTERO YAGUARA
                    EVALUACIÓN PROYECTO DE GRADO ING. SIST. UNAD
                    Andrea Grijalba
                    Pre-Examen Arq. Computadoras UNAH (III Parcial)
                    Jorge Sabillón
                    Notación Camel Case
                    teboestrella
                    Riesgos y control informático
                    Walter Fandiño
                    CLASIFICACIÓN DE LOS COSTOS DE PRODUCCIÓN
                    Wilson Muñoz
                    LENGUAJE DE PROGRAMACIÓN JAVA - JESUS DAVID MEJIA VERGARA - ING. DE SISTEMAS - II SEMESTRE
                    Jesus David Mejia
                    DOMINIOS DE GESTIÓN - COBIT 5
                    Randy Huamanchumo Vásquez
                    leccion evaluativa
                    said.tilaguy