VULNERABILIDAD, AMENAZA, RIESGOS Y CONTROLES INFORMATICOS
VULNERAVILIDAD INFORMATICA: es el punto o aspecto del sistema
que es susceptible de ser atacado o de dañar la seguridad del
mismo.
VULNERABILIDAD FISICA: está a nivel del entorno físico del sistema, se relaciona con la posibilidad de
entrar o acceder físicamente al sistema para robar, modificar o destruirlo.
VULNERABILIDAD NATURAL: se refiere al grado en que el sistema puede verse afectado por desastres
naturales o ambientales, que pueden dañar el sistema
VULNERABILIDAD HARDWARE Y SOFTWARE: Desde el punto de vista del hardware, ciertos tipos de
dispositivos pueden ser más vulnerables que otros, ya que depende del material que está
construido. Ciertos fallos o debilidades del software del sistema hacen más fácil acceder al mismo y
lo hacen menos fiable. Las vulnerabilidades en el software son conocidos como Bugs del sistema.
VULNERABILIDAD DE LOS MEDIOS O DISPOSITIVOS: se refiere a la posibilidad de robar o dañar los
discos, cintas, listados de impresora, etc.
VULNERABILIDAD EMANACION: todos los dispositivos eléctricos y electrónicos emiten radiaciones
electromagnéticas. Existen dispositivos y medios de interceptar estas emanaciones y descifrar o
reconstruir la información almacenada o transmitida.
VULNERABILIDAD DE LAS COMUNICACIONES: la conexión de los computadores a redes incrementa la
vulnerabilidad del sistema, ya que al aumentar el acceso de personas pueden tener acceso al mismo y
intentar tenerlo, tambien esta el riesgo de la intercepcion de las comunicaciones.
TIPOS DE VULNERABILIDADES
AMENAZA INFORMATICA: es un posible peligro del sistema.
Puede ser una persona (cracker), un programa (virus, caballo
de Troya, etc.), o un suceso natural o de otra índole (fuego,
inundación, etc.). Representan los posibles atacantes o
factores que aprovechan las debilidades del sistema.
LAS AMENAZAS PUEDEN CLASIFICARSE EN 4 TIPOS:
INTERCEPCION: cuando una persona, programa o proceso logra el acceso a una parte del sistema a la
que no está autorizada.
MODIFICACION: este tipo de amenaza se trata no sólo de acceder a una parte del sistema a la que no
se tiene autorización, sino también de cambiar su contenido o modo de funcionamiento.
INTERRUPCION: se trata de la interrupción mediante el uso dealgún método el funcionamiento del
sistema.
GENERACION: generalmente serefiere a la posibilidad de añadir información a programas no
autorizados en el sistema.
EL ORIGEN DE LAS AMENAZAS SE CLASIFICAN:
AMENAZAS NATURALES O FISICAS: las amenazas que ponen en peligro los componentes físicos del
sistema son llamadas naturales, dentro de ellas se puede distinguir los desastres naturales
AMENAZAS INVOLUNTARIAS: Están relacionadas con el uso no apropiado del equipo por falta de
entrenamiento o de concienciación sobre la seguridad
AMENAZAS INTENCIONADAS: son aquellas que proceden de personas que quieren acceder al sistema
para borrar, modificar o robar la información o sencillamente para bloquearlo o por simple diversión.
RIESGO INFORMATICO: corresponde al potencial de pérdidas
que pueden ocurrirle al sujeto o sistema expuesto, resultado
de la relación de la amenaza y la vulnerabilidad
LOS PRINCIPALES RIESGOS INFORMATICOS SON:
RIESGO DE INTEGRIDAD: aquí están todos los riesgos asociados con la autorización, completitud y
exactitud de la entrada, procesamiento y reportes de las aplicaciones informáticas utilizadas en una
organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de
negocio y se dan en múltiples lugares y momentos
RIESGO DE RELACION: se refieren al uso oportuno de la información creada por una aplicación y
están relacionados directamente con la información de toma de decisiones
RIESGO DE ACCESO: se enfocan en el inapropiado acceso a sistemas, datos e información. Dentro de
estos riesgos se encuentran los riesgos de segregación inapropiada de funciones en el trabajo, los
riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos
asociados a la confidencialidad de la información.
RIESGO DE UTILIDAD: están enfocados en tres diferentes niveles de riesgo: los riesgos que pueden
ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran; las
técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas; y los
backups y planes de contingencia que controlan desastres en el procesamiento de la información.
RIESGO EN LA INFRAESTRUCTURA: están relacionados con la no existencia de una estructura de
información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar
adecuadamente las necesidades presentes y futuras de la organización con un costo eficiente. Estos
riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan,
mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas
(servicio al cliente, contabilidad, cartera, facturación, etc.).
CONTROL INTERNO INFORMATICO: puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de
asegurar la protección de todos los recursos informáticos y mejorar los índices de economía,
eficiencia y efectividad de los procesos operativos automatizados.
TIPOS DE CONTROLES
CONTROLES MANUALES: aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.
CONTROLES AUTOMATICOS: son generalmente los incorporados en el software, llámense estos de
operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
SEGUN SU FINALIDAD SE CLASIFICAN EN
CONTROLES PREVENTIVOS: para tratar de evitar la producción de errores o hechos fraudulentos, como
por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
CONTROLES CORRECTIVOS: tratan de asegurar que se subsanen todos los errores identificados mediante los
controles detectivos.
CONTROLES DETECTIVOS: trata de descubrir a posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.