lunes, 12 de abril de 2010

RIESGOS INFORMATICOS


El riesgo se refiere a la incertidumbre o probabilidad de que una amenaza se materialice utilizando la vulnerabilidad existente de un activo o grupo de activos, generándole pérdidas o daños [1]

En esta definición pueden identificarse varios elementos que deben comprenderse para entender el concepto de riesgo

Estos elementos son:
  • Probabilidad

Se puede establecer de manera cuantitativa o cualitativa teniendo en cuenta en cada caso que posibilidades existen que la amenaza se presente independientemete del hecho que sea o no contrarrestada

  • Amenaza

Una vez que a programación y el funcionamiento de un dispositivo de almacenamiento de la información se consideren seguras , todavía deben ser tenidos en cunta la circustancias "no informaticas" que pueden afectar los datos, los cuales son amenudo imprevisibles o inevitables, de modo que la única posible es la redundancia (en el caso de los datos9 y la descentralización -por ejemplo medinate estructura de redes- 8en el caso de la comunicaciones).

Estos fenomenos pueden ser causados por:

  1. El usuario: causa del mayor poblema ligaod de la seguridad de un sistema informatico porque no le importa, no se da cuenta o próposito).
  2. progrmamas maliciosos: pogramas destinados a perjudiciar o hacer uso ílicito de los recursos del sitema. Es instaledo 8por inatención o maldad) en el ordenador abriendo ina puerta a instrusos o bien modificando datos. estos programas pueden ser un virus informatico, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.
  3. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido(cracker, defacer, scrpt kiddie o scrpt boy, viruxer, entre otros. )
  4. Un siniestro(robo,incendio, inundación): una mala manipulación o una malitención derivan a la pérdida del material o de los archivos.
  5. el personal interno de sitemas: Las pujas de poder que llevan a disociaciones entre los sectores y soluciones imcompatbles para la seguridad informática
  • activos:recurso del sistema de información o relacionado con este, neceario para que la organización funcione correctamente y alcance los objetivos propuestos.
  • Vulnerabiidades: son aspectos que influyen negativamente en un activo y que posibilita la materialización de una amenaza

[1]http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp

ANALISIS Y ADMINISTRACIÓN DE RIESGOS

Análisis de riesgos en el proceso de comunicación [2]

.
Vulnerabilidades o puntos debiles de la información



Una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser aprovechadas por amenazas, provocando impactos en los negocios de la organización. El proceso de análisis busca identificar los riesgos a los cuales los activos se encuentran expuestos.

El primer paso en el análisis de riesgos es identificar los procesos de negocios de la organización en que se desea implementar o analizar el nivel de seguridad de la información. Esto permite la realización de análisis donde sea realmente necesario, en base a la relevancia del proceso de negocio, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente. De esta forma se puede realizar un plan estratégico basado en la importancia y el impacto de las acciones que beneficien la seguridad de la información de la compañía. Surge principalmente por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se ofrecerán las recomendaciones.

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, - qué tan importante es para el negocio en comparación con el resto de los activos de la empresa - para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario aplicando la relación costo-beneficio.,

Como tercer paso se debe realizar un análisis técnico de seguridad para recolectar la información sobre la forma en que los activos: fueron configurados, la estructura en la red de comunicación, y la forma en que son administrados por sus responsables.

Al realizar el estudio técnico y como cuarto paso se debe hacer un análisis de seguridad física para identificar en el entorno físico las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. En este punto están incluidos el factor humano responsable de la manipulación y uso de la información, las posibilidades de acceso y su correcto uso.

Una vez realizados los cuatro pasos se cuenta con la información y las herramientas necesarias para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno en general. A partir de este momento es posible establecer políticas de orden preventivo, correctivo, y de detección para la corrección de los problemas ya detectados, que garanticen que las vulnerabilidades encontradas en el estudio no se conviertan en amenazas

. Ámbitos del análisis de riesgos.





• Es importante en toda organización cuente con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática

• Por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático

• Y además garantizar aspectos como:

* Supervivencia para la organización
* Control y administración de riesgos
* Control de costos


[2]Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI), Facultad de Derecho, Universidad de los Andes. Administrando la confidencialidad de la información.

CONTROLES

Son el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos [3]

Controles de la seguridad de la información.


[3]Monografia El Papel del Contador Público en la Invetigación, Prevención y Control de Los Delitos Informaticos. 2008.

GESTIÓN DE RIESGOS


  • Al iniciar las actividades de una empresa sus directivos o dueños deben tener en cuenta que el riesgo estará presente en todo momento de su desarrollo, debido a diferentes factores como lo son: intensos cambios del entorno, la intensificación de la competencia, las reducción de las barreras de entrada, y obviamente la parte tecnológica que va avanzando a pasos agigantados.


  • Para minimizar estos diferentes factores es que hace un tiempo se viene incorporando a las entidades la “Gestión de Riesgo", la que en nuestro país no esta implantada en todos los sectores.


  • La Gestión de Riesgos es un proceso efectuado por el Consejo de administración de una entidad, su dirección y todo su restante personal, diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos[4].

CLASES DE RIESGOS

  • Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información para la toma de decisiones.




  • Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: · Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.



[4]http://www.basc-costarica.com/documentos/riesgosinformatica.pdf









FRAUDES INFORMATICOS



Las redes y los computadores son ingredientes esenciales para perpetuar fraudes en las aéreas vulnerables de los sistemas



PROBLEMAS PARTICULARES QUE INFLUYEN EN LOS FRAUDES!!!


TIPOS PRINCIPALES DE FRAUDES

EJEMPLOS