VULNERABILIDAD, AMENAZA, RIESGOS Y CONTROLES INFORMATICOS
VULNERAVILIDAD INFORMATICA: es el punto o aspecto del
sistema que es susceptible de ser atacado o de dañar la seguridad
del mismo.
VULNERABILIDAD FISICA: está a nivel del entorno físico del sistema, se relaciona con la posibilidad
de entrar o acceder físicamente al sistema para robar, modificar o destruirlo.
VULNERABILIDAD NATURAL: se refiere al grado en que el sistema puede verse afectado por
desastres naturales o ambientales, que pueden dañar el sistema
VULNERABILIDAD HARDWARE Y SOFTWARE: Desde el punto de vista del hardware, ciertos tipos de
dispositivos pueden ser más vulnerables que otros, ya que depende del material que está
construido. Ciertos fallos o debilidades del software del sistema hacen más fácil acceder al mismo
y lo hacen menos fiable. Las vulnerabilidades en el software son conocidos como Bugs del sistema.
VULNERABILIDAD DE LOS MEDIOS O DISPOSITIVOS: se refiere a la posibilidad de robar o dañar
los discos, cintas, listados de impresora, etc.
VULNERABILIDAD EMANACION: todos los dispositivos eléctricos y electrónicos emiten
radiaciones electromagnéticas. Existen dispositivos y medios de interceptar estas emanaciones y
descifrar o reconstruir la información almacenada o transmitida.
VULNERABILIDAD DE LAS COMUNICACIONES: la conexión de los computadores a redes incrementa la
vulnerabilidad del sistema, ya que al aumentar el acceso de personas pueden tener acceso al mismo
y intentar tenerlo, tambien esta el riesgo de la intercepcion de las comunicaciones.
TIPOS DE
VULNERABILIDADES
AMENAZA INFORMATICA: es un posible peligro del sistema.
Puede ser una persona (cracker), un programa (virus, caballo
de Troya, etc.), o un suceso natural o de otra índole (fuego,
inundación, etc.). Representan los posibles atacantes o
factores que aprovechan las debilidades del sistema.
LAS AMENAZAS PUEDEN CLASIFICARSE EN 4 TIPOS:
INTERCEPCION: cuando una persona, programa o proceso logra el acceso a una parte del sistema a la que
no está autorizada.
MODIFICACION: este tipo de amenaza se trata no sólo de acceder a una parte del sistema a la que
no se tiene autorización, sino también de cambiar su contenido o modo de funcionamiento.
INTERRUPCION: se trata de la interrupción mediante el uso dealgún método el funcionamiento del
sistema.
GENERACION: generalmente serefiere a la posibilidad de añadir información a programas
no autorizados en el sistema.
EL ORIGEN DE LAS AMENAZAS SE CLASIFICAN:
AMENAZAS NATURALES O FISICAS: las amenazas que ponen en peligro los componentes físicos
del sistema son llamadas naturales, dentro de ellas se puede distinguir los desastres naturales
AMENAZAS INVOLUNTARIAS: Están relacionadas con el uso no apropiado del equipo por falta
de entrenamiento o de concienciación sobre la seguridad
AMENAZAS INTENCIONADAS: son aquellas que proceden de personas que quieren acceder al
sistema para borrar, modificar o robar la información o sencillamente para bloquearlo o por simple
diversión.
RIESGO INFORMATICO: corresponde al potencial de pérdidas
que pueden ocurrirle al sujeto o sistema expuesto, resultado
de la relación de la amenaza y la vulnerabilidad
LOS PRINCIPALES RIESGOS INFORMATICOS SON:
RIESGO DE INTEGRIDAD: aquí están todos los riesgos asociados con la autorización, completitud y
exactitud de la entrada, procesamiento y reportes de las aplicaciones informáticas utilizadas en
una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de
procesamiento de negocio y se dan en múltiples lugares y momentos
RIESGO DE RELACION: se refieren al uso oportuno de la información creada por una aplicación
y están relacionados directamente con la información de toma de decisiones
RIESGO DE ACCESO: se enfocan en el inapropiado acceso a sistemas, datos e información. Dentro de
estos riesgos se encuentran los riesgos de segregación inapropiada de funciones en el trabajo, los riesgos
asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la
confidencialidad de la información.
RIESGO DE UTILIDAD: están enfocados en tres diferentes niveles de riesgo: los riesgos que
pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas
ocurran; las técnicas de recuperación/restauración usadas para minimizar la ruptura de los
sistemas; y los backups y planes de contingencia que controlan desastres en el procesamiento de
la información.
RIESGO EN LA INFRAESTRUCTURA: están relacionados con la no existencia de una estructura de
información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar
adecuadamente las necesidades presentes y futuras de la organización con un costo eficiente.
Estos riesgos están asociados con los procesos de la información tecnológica que definen,
desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones
asociadas (servicio al cliente, contabilidad, cartera, facturación, etc.).
CONTROL INTERNO INFORMATICO: puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto
de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía,
eficiencia y efectividad de los procesos operativos automatizados.
TIPOS DE CONTROLES
CONTROLES MANUALES: aquellos que son ejecutados por el personal del área usuaria o
de informática sin la utilización de herramientas computacionales.
CONTROLES AUTOMATICOS: son generalmente los incorporados en el software, llámense estos
de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
SEGUN SU FINALIDAD SE CLASIFICAN EN
CONTROLES PREVENTIVOS: para tratar de evitar la producción de errores o hechos fraudulentos,
como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
CONTROLES CORRECTIVOS: tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.
CONTROLES DETECTIVOS: trata de descubrir a posteriori errores o fraudes que no haya sido
posible evitarlos con controles preventivos.