IDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdf
ADQUISICION E IMPLEMENTACION
1. Universidad central del ecuador
Escuela de contabilidad y auditoria
Facultad de ciencias administrativas
Auditoria de sistemas
Dr. Carlos escobar
Adquisición e implementación
Riesgos informáticos
Por: Ana belén López Sánchez
Ca9-6
3. El riesgo se refiere a
la incertidumbre o
probabilidad de que
una amenaza se
materialice
utilizando la
vulnerabilidad
existente de un
activo o grupo de
activos,
generándole
pérdidas o daños.
4.
5. En esta definición pueden identificarse varios
elementos que deben comprenderse para
entender el concepto de riesgo
Estos elementos son:
Probabilidad
Amenaza
6. Se puede establecer de manera cuantitativa o
cualitativa teniendo en cuenta en cada caso
que posibilidades existen que la amenaza se
presente independientemente del hecho que
sea o no contrarrestada.
7. Una vez que a programación y el
funcionamiento de un dispositivo
de almacenamiento de la
información se consideren seguras
, todavía deben ser tenidos en
cuenta la circunstancias "no
informáticas" que pueden afectar
los datos, los cuales son a
menudo imprevisibles o
inevitables, de modo que la única
posible es la redundancia (en el
caso de los datos y la
descentralización -por ejemplo
mediante estructura de redes-en
el caso de la comunicaciones).
8. 1. El usuario: causa del mayor problema ligado de la seguridad de
un sistema informático porque no le importa, no se da cuenta o
propósito).
2. Programas maliciosos: programas destinados a perjudicar o
hacer uso ilícito de los recursos del sistema. Es instalado por
inatención o maldad) en el ordenador abriendo una puerta a
intrusos o bien modificando datos. estos programas pueden ser
un virus informático, un gusano informático, un troyano, una
bomba lógica o un programa espía o Spyware.
3. Un intruso: persona que consigue acceder a los datos o
programas de los cuales no tiene acceso permitido(cracker,
defacer, scrpt kiddie o scrpt boy, viruxer, entre otros. )
4. Un siniestro( robo, incendio, inundación): una mala
manipulación o una mal intención derivan a la pérdida del
material o de los archivos.
5. El personal interno de sistemas: Las pujas de poder que llevan a
disociaciones entre los sectores y soluciones incompatibles
para la seguridad informática.
10. VULNERABILIDADES
FISICAS
NATURALES
HARDWARE
SOFTWARE
MEDIOS DE ALMACENAJE
COMUNICACIÓN
HUMANAS
11. Una actividad centrada en la identificación de
fallas de seguridad que evidencien
vulnerabilidades que puedan ser
aprovechadas por amenazas, provocando
impactos en los negocios de la organización.
El proceso de análisis busca identificar los
riesgos a los cuales los activos se encuentran
expuestos.
12. El primer paso en el análisis de riesgos es identificar
los procesos de negocios de la organización en que
se desea implementar o analizar el nivel de seguridad
de la información. Esto permite la realización de
análisis donde sea realmente necesario, en base a la
relevancia del proceso de negocio, para así poder
priorizar las acciones de seguridad, es decir, iniciar el
trabajo de implementación de seguridad en las áreas
más estratégicas que puedan traer un impacto mayor
a la organización cuando se presente algún incidente.
De esta forma se puede realizar un plan estratégico
basado en la importancia y el impacto de las acciones
que beneficien la seguridad de la información de la
compañía. Surge principalmente por la necesidad de
delimitar el universo de activos para ser analizados y
sobre los cuales se ofrecerán las recomendaciones.
13. Un segundo paso considerado fundamental,
consiste en identificar la relevancia de los
activos determinantes para el proceso de
negocio. Eso quiere decir que cada activo que
constituye el proceso de negocio, debe ser
considerado en una escala de valor crítico, es
decir, - qué tan importante es para el negocio
en comparación con el resto de los activos de la
empresa - para priorizar, como ocurre en los
procesos, las acciones de corrección y
protección que deben ser tomadas de inmediato
porque se consideran más necesarias. Se evita,
de esta manera, invertir en seguridad donde no
sea verdaderamente necesario, o por lo menos
prioritario aplicando la relación costo-beneficio.
14. Como tercer paso se debe realizar un análisis
técnico de seguridad para recolectar la
información sobre la forma en que los
activos: fueron configurados, la estructura en
la red de comunicación, y la forma en que
son administrados por sus responsables.
15. Al realizar el estudio técnico y como cuarto
paso se debe hacer un análisis de seguridad
física para identificar en el entorno físico las
vulnerabilidades que puedan poner en riesgo
los activos que en éste se encuentran. En este
punto están incluidos el factor humano
responsable de la manipulación y uso de la
información, las posibilidades de acceso y su
correcto uso.
16. Una vez realizados los cuatro
pasos se cuenta con la
información y las herramientas
necesarias para el tratamiento de
sus vulnerabilidades y un
diagnóstico general sobre el
estado de la seguridad de su
entorno en general. A partir de
este momento es posible
establecer políticas de orden
preventivo, correctivo, y de
detección para la corrección de
los problemas ya detectados, que
garanticen que las
vulnerabilidades encontradas en
el estudio no se conviertan en
amenazas.
17. Es importante en toda organización cuente con una
herramienta, que garantice la correcta evaluación de los
riesgos, a los cuales están sometidos los procesos y
actividades que participan en el área informática
18. PROCESO
AMBITOS
EN EL
TECNOLOGICO FISICO
ANALISIS
DE RIESGO
HUMANO
19. Por medio de procedimientos de control se
pueda evaluar el desempeño del entorno
informático.
Y además garantizar aspectos como:
* Supervivencia para la organización
* Control y administración de riesgos
* Control de costos
20. Son el conjunto de disposiciones
metódicas, cuyo fin es vigilar las
funciones y actitudes de las
empresas y para ello permite
verificar si todo se realiza
conforme a los programas
adoptados, ordenes impartidas y
principios admitidos.
21.
22.
23. CONTROL DE
ACCESOS
AREAS
SISTEMATIZADAS PROTECCION
SEGURIDAD
GENERALEMTE DE DATOS
FISICA
CONTROLADAS POR
LA ORGANIZACION
SEGURIDAD
DE LAS
REDES
24. Al iniciar las actividades de una empresa sus
directivos o dueños deben tener en cuenta
que el riesgo estará presente en todo
momento de su desarrollo, debido a
diferentes factores como lo son: intensos
cambios del entorno, la intensificación de la
competencia, las reducción de las barreras de
entrada, y obviamente la parte tecnológica
que va avanzando a pasos agigantados.
25. Para minimizar estos diferentes factores es que
hace un tiempo se viene incorporando a las
entidades la “Gestión de Riesgo", la que en
nuestro país no esta implantada en todos los
sectores.
La Gestión de Riesgos es un proceso efectuado
por el Consejo de administración de una entidad,
su dirección y todo su restante personal,
diseñado para identificar eventos potenciales que
puedan afectar a la organización, gestionar sus
riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el
logro de los objetivos
26. Riesgos de relación: Los riesgos de
relación se refieren al uso oportuno
de la información creada por una
aplicación. Estos riesgos se
relacionan directamente a la
información para la toma de
decisiones.
Riesgos de utilidad: Estos riesgos se
enfocan en tres diferentes niveles
de riesgo: · Los riesgos pueden ser
enfrentados por el direccionamiento
de sistemas antes de que los
problemas ocurran.