Unidad_III_Riegos
Páginas: 11 (2566 palabras)
Publicado: 18 de noviembre de 2015
UNIDAD III
Riesgos
Informáticos
Se requiere contar con una efectiva administración de los
RIESGOS asociados con las TIC
Rol Básico de la Función de Auditoría Informática
Supervisión de los CONTROLES IMPLEMENTADOS
y determinación de su eficiencia
Fuente: Rodríguez (2006)
Riesgo Informático O tecnológico
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico como:
Laprobabilidad de que una
amenaza se materialice de
acuerdo
al
nivel
de
vulnerabilidad existente de un
activo, generando un impacto
específico, el cual puede estar
representado por pérdidas y daños.
Riesgo Informático O tecnológico
Riesgos: “La incertidumbre que ocurra un evento que
podría tener un impacto negativo en el logro de los
objetivos”.
Los riesgos cuando se materializan, sedenominan
errores, irregularidades u omisiones, los cuales
pueden generar una pérdida monetaria, en la imagen
de la empresa o incumplimiento de normativa externa.
Para el auditor informático el riesgo está definido como
el potencial de pérdida de confidencialidad,
disponibilidad o integridad de la información.
Riesgo Informático o tecnológico
Amenaza: cualquier circunstancia que posee el
potencial dedañar un recurso de TI.
Ej: destrucción, revelación, modificación de datos,
negación de servicio
Amenazas mas comunes:
Errores, Fraude
Desastres
naturales,
incendios
accidentales,
tormentas e inundaciones.
Daño intencional / Ataque
Falla de hardware/ software
Disturbios, sabotajes internos y externos deliberados.
Riesgo Informático O tecnológico
Tipos de Amenazas
- Factor Humano:Esta formada principalmente por personas
malintencionadas o por incumplimiento de medidas de
seguridad. Ejemplos: curioso, intruso remunerado, personal de
la organización, terroristas, robo, sabotaje, fraude, ingeniería
social
- Hardware: fallas físicas de los dispositivos de computo de la
organización, pueden ocurrir por un desperfecto de fabrica, por
una mala utilización o descuido en elmantenimiento.
- Red de datos: se presentan cuando la red de comunicación no
se encuentra disponible para su uso, puede ser provocado por un
ataque deliberado o por un error físico o lógico. Las principales
amanezas para una red son la no disponibilidad de la red o la
extracción de información no autorizada a través de ella
Riesgo Informático o tecnológico
Tipos de Amenazas
- Software: fallas lógicas enlos sistemas. Pueden ser causadas
por otro software que ha sido diseñado para atacar un sistema,
por código malicioso diseñado para afectar un sistema o
errores de programación o de diseño del mismo.
- Desastres naturales: eventos que tienen su origen en las
fuerzas de la naturaleza, no solo pueden afectar la información
contenida en los sistemas, sino también la integridad del
sistema completo.Ejemplos: inundaciones, terremotos,
incendios, huracanes, tormentas eléctricas, etc.)
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su
entorno que facilitan que las
amenazas se materialicen.
Se manifiestan como debilidades
o carencias
Riesgo Informático o tecnológico
Vulnerabilidades
(factores de riesgo)
Las amenazas ocurren por causa de las
vulnerabilidades asociadascon el uso de los
recursos de TI.
Ejemplo de debilidades:
Falta de conocimientos del usuario
Falta de conocimientos de la funcionalidad de la
seguridad
Elección deficiente de contraseñas
Tecnología no probada
Transmisión por comunicaciones no protegidas
Etc..
Impacto
Consecuencias
de
la
ocurrencia de las distintas
amenazas:
pueden
ser
financieras o no financieras.
Pérdidas de uno uotro tipo
-Pérdida directa de dinero
-Pérdida de reputación
-Pérdida
negocio
de
oportunidad
de
-Reducción en la eficiencia /
desempeño operativo
-Interrupción de la actividad del
negocio
Riesgo Informático o tecnológico
Riesgo = Impacto * Probabilidad
Impacto: es el efecto o consecuencia
cuando el riesgo se materializa
Probabilidad: representa la
que un evento dado ocurra.
posibilidad...
Riesgos
Informáticos
Se requiere contar con una efectiva administración de los
RIESGOS asociados con las TIC
Rol Básico de la Función de Auditoría Informática
Supervisión de los CONTROLES IMPLEMENTADOS
y determinación de su eficiencia
Fuente: Rodríguez (2006)
Riesgo Informático O tecnológico
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico como:
Laprobabilidad de que una
amenaza se materialice de
acuerdo
al
nivel
de
vulnerabilidad existente de un
activo, generando un impacto
específico, el cual puede estar
representado por pérdidas y daños.
Riesgo Informático O tecnológico
Riesgos: “La incertidumbre que ocurra un evento que
podría tener un impacto negativo en el logro de los
objetivos”.
Los riesgos cuando se materializan, sedenominan
errores, irregularidades u omisiones, los cuales
pueden generar una pérdida monetaria, en la imagen
de la empresa o incumplimiento de normativa externa.
Para el auditor informático el riesgo está definido como
el potencial de pérdida de confidencialidad,
disponibilidad o integridad de la información.
Riesgo Informático o tecnológico
Amenaza: cualquier circunstancia que posee el
potencial dedañar un recurso de TI.
Ej: destrucción, revelación, modificación de datos,
negación de servicio
Amenazas mas comunes:
Errores, Fraude
Desastres
naturales,
incendios
accidentales,
tormentas e inundaciones.
Daño intencional / Ataque
Falla de hardware/ software
Disturbios, sabotajes internos y externos deliberados.
Riesgo Informático O tecnológico
Tipos de Amenazas
- Factor Humano:Esta formada principalmente por personas
malintencionadas o por incumplimiento de medidas de
seguridad. Ejemplos: curioso, intruso remunerado, personal de
la organización, terroristas, robo, sabotaje, fraude, ingeniería
social
- Hardware: fallas físicas de los dispositivos de computo de la
organización, pueden ocurrir por un desperfecto de fabrica, por
una mala utilización o descuido en elmantenimiento.
- Red de datos: se presentan cuando la red de comunicación no
se encuentra disponible para su uso, puede ser provocado por un
ataque deliberado o por un error físico o lógico. Las principales
amanezas para una red son la no disponibilidad de la red o la
extracción de información no autorizada a través de ella
Riesgo Informático o tecnológico
Tipos de Amenazas
- Software: fallas lógicas enlos sistemas. Pueden ser causadas
por otro software que ha sido diseñado para atacar un sistema,
por código malicioso diseñado para afectar un sistema o
errores de programación o de diseño del mismo.
- Desastres naturales: eventos que tienen su origen en las
fuerzas de la naturaleza, no solo pueden afectar la información
contenida en los sistemas, sino también la integridad del
sistema completo.Ejemplos: inundaciones, terremotos,
incendios, huracanes, tormentas eléctricas, etc.)
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su
entorno que facilitan que las
amenazas se materialicen.
Se manifiestan como debilidades
o carencias
Riesgo Informático o tecnológico
Vulnerabilidades
(factores de riesgo)
Las amenazas ocurren por causa de las
vulnerabilidades asociadascon el uso de los
recursos de TI.
Ejemplo de debilidades:
Falta de conocimientos del usuario
Falta de conocimientos de la funcionalidad de la
seguridad
Elección deficiente de contraseñas
Tecnología no probada
Transmisión por comunicaciones no protegidas
Etc..
Impacto
Consecuencias
de
la
ocurrencia de las distintas
amenazas:
pueden
ser
financieras o no financieras.
Pérdidas de uno uotro tipo
-Pérdida directa de dinero
-Pérdida de reputación
-Pérdida
negocio
de
oportunidad
de
-Reducción en la eficiencia /
desempeño operativo
-Interrupción de la actividad del
negocio
Riesgo Informático o tecnológico
Riesgo = Impacto * Probabilidad
Impacto: es el efecto o consecuencia
cuando el riesgo se materializa
Probabilidad: representa la
que un evento dado ocurra.
posibilidad...
Leer documento completo
Regístrate para leer el documento completo.