8/6/2019 Auditoria a Clases 3 4

1/20

Auditora Informtica

Riesgos

La incertidumbre que ocurra un evento que podratener un impacto en el logro de los objetivos.

8/6/2019 Auditoria a Clases 3 4

2/20

Auditora Informtica

Riesgos

Los riesgos cuando se materializan, se denominanerrores, irregularidades u omisiones, los cuales puedengenerar una prdida monetaria, en la imagen de laempresa o incumplimiento de normativa externa.

8/6/2019 Auditoria a Clases 3 4

3/20

Auditora Informtica

Riesgos

Riesgo = Impacto * Probabilidad

Impacto: es el efecto o consecuencia cuando el riesgo sematerializa

Probabilidad: representa la posibilidad que un evento dado

ocurra.

8/6/2019 Auditoria a Clases 3 4

4/20

Auditora Informtica

Riesgos

Riesgo Inherente: Riesgo inherente son aquellos riesgos propios

de la materia y/o componentes de sta. Se entiende que una materiapor su naturaleza tiene riesgos que surgen por diversas fuentes,como los errores, irregularidades o fallas que pudieran serimportantes en forma individual o en conjunto con otros riesgos. Losriesgos inherentes a la materia pueden tener o no controleselaborados por la direccin para mitigar su probabilidad o su impacto.

Los riesgos inherentes a la materia bajo anlisis pueden ser relativosal entorno, ambiente interno, procesos, informacin, etc

8/6/2019 Auditoria a Clases 3 4

5/20

Auditora Informtica

Riesgos Inherentes

Riesgo de CrditoRiesgo FinancieroRiesgo OperacionalRiesgo de Tecnologa de la InformacinRiesgo Calidad de Servicio y transparencia de laInformacin

8/6/2019 Auditoria a Clases 3 4

6/20

Auditora Informtica

Riesgos Inherentes

Riesgo de Crdito: Exposicin a una prdida real o el costo de oportunidadcomo consecuencia del incumplimiento de pago de una persona natural ojurdica.

Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambiosen la economa local o internacional que podra afectar los descalces de cajao posiciones asumidas por inversiones y su liquidez, como asimismo losdescalces globales de activos.

Riesgo Operacional: Se define como el riesgo de prdida debido a lainadecuacin o fallas en los procesos, el personal y los sistemas internos obien a causa de acontecimientos externos (fraudes, daos activos

materiales, fallas en procesos,etc). Incluye riesgos legales y normativos.

8/6/2019 Auditoria a Clases 3 4

7/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

1. Riesgo de Integridad de la Informacin;

Agrupa todos los riesgos asociados con la autorizacin,

integridad, y exactitud de las transacciones segn se ingresan,se procesan, se resumen y se informan en los sistemascomputacionales de una organizacin, manifestndose en lossiguientes componentes de un sistema:

Interfaz usuaria; se refiere a si existen restricciones quehagan que los trabajadores de una organizacin estnautorizados a desarrollar funciones de negocio sobre

necesidad del negocio y la necesidad de lograr unasegregacin de funciones razonable.

Procesamiento; se relacionan a la existencia de controlesque aseguran que el procesamiento de datos se hacompletado y realizado a tiempo.

8/6/2019 Auditoria a Clases 3 4

8/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

yInterfase Los riesgos en esta rea generalmente se relacionan con laexistencia de controles adecuados, preventivos o de deteccin, que asegurenque los datos que han sido procesados y/o resumidos sean transmitidosadecuada y completamente a otro sistema de aplicacin que se alimente deestos datos/informacin y sean procesados por dicho sistema.

yAdministracin del Cambio Los riesgos en esta rea pueden sergeneralmente considerados parte del Riesgo de Infraestructura, pero ellosimpactan significativamente sobre los sistemas de aplicacin. Estos riesgosestn asociados con procesos inadecuados de administracin del cambioincluyendo tanto la participacin y entrenamiento del usuario como el procesopor el cual los cambios de cualquier aspecto del sistema de aplicacin son

comunicados e implementados.

8/6/2019 Auditoria a Clases 3 4

9/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

Error de Procesamiento; se refiere a si existen procesosadecuados que aseguren que todas las excepciones de entrada yprocesamiento de datos que se capturan, son corregidas y

reprocesadas en forma precisa, ntegra y oportuna..

Datos; se relacionan a la existencia de controles de administracinde datos inadecuados que incluyen seguridad/integridad de los datosprocesados.

La integridad se puede perder por errores en laprogramacin, errores de procesamiento, errores deadministracin de sistemas.

8/6/2019 Auditoria a Clases 3 4

10/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

2. Riesgo de Acceso; puede ocurrir en cada uno otodos de los siguientes cinco niveles:

Red, el riesgo en esta rea est generado por el riesgode acceso inapropiado a la red a pc s y servidores.

Ambiente de Procesamiento, el riesgo se generacon el acceso indebido al ambiente de procesamiento alos programas y datos que estn almacenados en eseambiente.

Sistemas de Aplicacin, est dado por unainadecuada segregacin de funciones que podraocurrir si el acceso a los sistemas estuviese concedidoa personas con necesidades de negocio sin definicionesclaras.

Acceso Funcional, dentro de aplicaciones (Cdigofuente)

Acceso a nivel de campo o dato.

8/6/2019 Auditoria a Clases 3 4

11/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

Segregacin de Funciones o Contraposicin deIntereses

Es un control preventivo que persigue evitar que unamisma persona pueda tener bajo su controltotalmente la informacin, para evitar as la comisinde fraudes o errores.

8/6/2019 Auditoria a Clases 3 4

12/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

3. Riesgo de Disponibilidad

Riesgos asociados con la interrupcin de los sistemas a corto plazo

donde las tcnicas de restitucin/recuperacin se pueden utilizar paraminimizar el alcance de la interrupcin.

Riesgos asociados con desastres que causan interrupciones en elprocesamiento de la informacin a largo plazo y que se centran encontroles como backups y planes de contingencia.

La capacidad de la empresa para continuar con susoperaciones y procesos crticos puede depender en gran

medida de la disponibilidad de determinados sistemas deinformacin.

8/6/2019 Auditoria a Clases 3 4

13/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

3. Riesgo de Disponibilidad (continuacin)

La capacidad de la empresa para continuar con sus operacionesy procesos crticos puede depender en gran medida de ladisponibilidad de determinados sistemas de informacin. Si nose dispusiera de sistemas crticos o importantes por un perodoimportante, la compaa podra experimentar dificultades paracontinuar con sus operaciones. Sistemas de informacin crticose importantes que no estn disponibles para dar soporte adeterminadas operaciones pueden provocar prdidas de

ingresos, flujos de cajas y rentabilidad, prdidas de ventajascompetitivas, insatisfaccin de clientes y prdida departicipacin de mercado, problemas de imagen, incremento decostos e incluso multas y sanciones.

8/6/2019 Auditoria a Clases 3 4

14/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

4. Riesgo de Infraestructura

El riesgo de que una organizacin no tenga una infraestructuraeficaz de informacin tecnolgica (HW, SW, personas yprocesos) para apoyar eficazmente las necesidades actuales yfuturas del negocio de una forma eficiente y eficaz entrminos de costos y controles. Principalmente estnrelacionados con:

Planificacin organizacional; el riesgo de que los planes deinformacin tecnolgica no estn integrados con los planes delnegocio presentes y futuros, afectando el proceso de toma dedecisiones y planificaciones inadecuadas.

Definicin y despliegue de sistemas de aplicacin; el riesgo deque las definiciones y necesidades de los usuarios para nuevassoluciones de sistemas provoquen diseos ineficaces o incompletos.Los esfuerzos de desarrollo no siguen un enfoque consistente paraconfirmar la satisfaccin del usuario y del negocio. Los esfuerzos deimplantacin no consideran adecuadamente el entrenamientousuario.

8/6/2019 Auditoria a Clases 3 4

15/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

4. Riesgo de Infraestructura (Continuacin.)

Seguridad Lgica y Administracin de Seguridad; el riesgo deacceso inadecuado a los sistemas, datos o transacciones crticos,tanto por personal de la compaa como externos, resultando enprdida de la integridad de los datos/informacin y la exposicin omal uso de informacin confidencial..

Operaciones con computador y red; es el riesgo que loscomputadores y/o redes no sean eficientemente administradosderivando en problemas de desempeo o de capacidad de losusuarios.

Administracin de Bases de Datos; es el riesgo de que los datos

o bases carezcan de la integridad necesaria para dar apoyo a lasdecisiones de negocio. Recuperacin del centro de proceso de datos; es el riesgo de

que los sistemas, procesos y datos/informacin no puedan serrestablecidos luego de una interrupcin del servicio de maneraoportuna para las necesidades del negocio.

8/6/2019 Auditoria a Clases 3 4

16/20

8/6/2019 Auditoria a Clases 3 4

17/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

Aspectos a considerar en la gestin del riesgo.

La gestin de riesgo debe considerar los siguientes aspectos:

Identificacin del Sistema o Proceso

Identificacin de la Amenazas

Identificacin de las Vulnerabilidades

Controles

Determinar la Probabilidad de ocurrencia

Anlisis de Impacto

Determinacin delR

iesgo Recomendacin de Controles

Documentar los Resultados

8/6/2019 Auditoria a Clases 3 4

18/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

Aspectos a considerar en la Gestin del Riesgo.

Mitigar los Riesgos

La metodologa a implementar debe considerar opciones de mitigacin de losriesgos:

Prevencin: Implementacin de Controles, Tecnolgicos, administrativos yoperacionales

Transferencia de los riesgos: seguros

Eludir: Cambiando la forma de hacer las cosas

Aceptar: Vivir con el riesgo

8/6/2019 Auditoria a Clases 3 4

19/20

Auditora Informtica

Riesgos de Tecnologa de la Informacin

Aspectos a considerar en la Seguridad de Informacin.

Desde el punto de vista de los servidores:

yAnlisis de Vulnerabilidad de los servidores que darn el servicio

yAntivirus instalado y actualizado en los servidores que darn el servicio

yParches de seguridad evaluados e instalados segn corresponda en los servidores quedarn el servicio

Desde el punto de vista de la transferencia de informacin:

yEncriptacin de la comunicacin entre la organizacin y la empresa prestadora deservicios

Desde el punto de la continuidad operacional:Servidores de respaldo

yMquina especializadas de respaldo

ySite de respaldo

yPruebas de contingencia

8/6/2019 Auditoria a Clases 3 4

20/20

Auditora Informtica

Riesgos de Tecnologade la Informacin

Aspectos a considerar:

Encriptacin:Es una tecnologa que permite latransmisin segura de informacin, alcodificar los datos transmitidos usando unafrmula matemtica que desmenuza losdatos.

La encriptacin utiliza una llave pblicapara encriptar datos, y una llave privadapara descifrar o desencriptar lainformacin. Sin el decodificador o llave

para desencriptar, el contenido enviado seve como un conjunto de caracteresextraos, sin ningn sentido y lgica delectura.