Universidad central del ecuadorEscuela de contabilidad y auditoriaFacultad de ciencias administrativas          Auditoria ...
RIESGOS INFORMATICOS
   El riesgo se refiere a    la incertidumbre o    probabilidad de que    una amenaza se    materialice    utilizando    ...
En esta definición pueden identificarse varioselementos que deben comprenderse paraentender     el    concepto     de     ...
   Se puede establecer de manera cuantitativa o    cualitativa teniendo en cuenta en cada caso    que posibilidades exist...
   Una vez que a programación y el    funcionamiento de un dispositivo    de     almacenamiento       de  la    informaci...
1.   El usuario: causa del mayor problema ligado de la seguridad de     un sistema informático porque no le importa, no se...
Vulnerabilidades o puntos débiles de la                          información
VULNERABILIDADES              FISICAS            NATURALES            HARDWARE            SOFTWARE       MEDIOS DE ALMACEN...
   Una actividad centrada en la identificación de    fallas   de    seguridad     que     evidencien    vulnerabilidades ...
   El primer paso en el análisis de riesgos es identificar    los procesos de negocios de la organización en que    se de...
   Un segundo paso considerado fundamental,    consiste en identificar la relevancia de los    activos determinantes para...
   Como tercer paso se debe realizar un análisis    técnico de seguridad para recolectar la    información sobre la forma...
   Al realizar el estudio técnico y como cuarto    paso se debe hacer un análisis de seguridad    física para identificar...
   Una vez realizados los cuatro    pasos    se    cuenta    con    la    información y las herramientas    necesarias pa...
Es importante en toda organización cuente con unaherramienta, que garantice la correcta evaluación de losriesgos, a los cu...
PROCESO              AMBITOS                EN ELTECNOLOGICO               FISICO               ANALISIS              DE R...
   Por medio de procedimientos de control se    pueda evaluar el desempeño del entorno    informático.    Y además garant...
   Son el conjunto de disposiciones    metódicas, cuyo fin es vigilar las    funciones y actitudes de las    empresas y p...
CONTROL DE                ACCESOS                  AREAS             SISTEMATIZADAS   PROTECCIONSEGURIDAD              GEN...
   Al iniciar las actividades de una empresa sus    directivos o dueños deben tener en cuenta    que el riesgo estará pre...
   Para minimizar estos diferentes factores es que    hace un tiempo se viene incorporando a las    entidades la “Gestión...
   Riesgos de relación: Los riesgos de    relación se refieren al uso oportuno    de la información creada por una    apl...
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
Upcoming SlideShare
Loading in …5
×

ADQUISICION E IMPLEMENTACION

388 views

Published on

AUDITORIA DE SISTEMAS RIESGOS INFORMATICOS

Published in: News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
388
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

ADQUISICION E IMPLEMENTACION

  1. 1. Universidad central del ecuadorEscuela de contabilidad y auditoriaFacultad de ciencias administrativas Auditoria de sistemas Dr. Carlos escobar Adquisición e implementación Riesgos informáticos Por: Ana belén López Sánchez Ca9-6
  2. 2. RIESGOS INFORMATICOS
  3. 3.  El riesgo se refiere a la incertidumbre o probabilidad de que una amenaza se materialice utilizando la vulnerabilidad existente de un activo o grupo de activos, generándole pérdidas o daños.
  4. 4. En esta definición pueden identificarse varioselementos que deben comprenderse paraentender el concepto de riesgoEstos elementos son: Probabilidad Amenaza
  5. 5.  Se puede establecer de manera cuantitativa o cualitativa teniendo en cuenta en cada caso que posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada.
  6. 6.  Una vez que a programación y el funcionamiento de un dispositivo de almacenamiento de la información se consideren seguras , todavía deben ser tenidos en cuenta la circunstancias "no informáticas" que pueden afectar los datos, los cuales son a menudo imprevisibles o inevitables, de modo que la única posible es la redundancia (en el caso de los datos y la descentralización -por ejemplo mediante estructura de redes-en el caso de la comunicaciones).
  7. 7. 1. El usuario: causa del mayor problema ligado de la seguridad de un sistema informático porque no le importa, no se da cuenta o propósito).2. Programas maliciosos: programas destinados a perjudicar o hacer uso ilícito de los recursos del sistema. Es instalado por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando datos. estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.3. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido(cracker, defacer, scrpt kiddie o scrpt boy, viruxer, entre otros. )4. Un siniestro( robo, incendio, inundación): una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos.5. El personal interno de sistemas: Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.
  8. 8. Vulnerabilidades o puntos débiles de la información
  9. 9. VULNERABILIDADES FISICAS NATURALES HARDWARE SOFTWARE MEDIOS DE ALMACENAJE COMUNICACIÓN HUMANAS
  10. 10.  Una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser aprovechadas por amenazas, provocando impactos en los negocios de la organización. El proceso de análisis busca identificar los riesgos a los cuales los activos se encuentran expuestos.
  11. 11.  El primer paso en el análisis de riesgos es identificar los procesos de negocios de la organización en que se desea implementar o analizar el nivel de seguridad de la información. Esto permite la realización de análisis donde sea realmente necesario, en base a la relevancia del proceso de negocio, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente. De esta forma se puede realizar un plan estratégico basado en la importancia y el impacto de las acciones que beneficien la seguridad de la información de la compañía. Surge principalmente por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se ofrecerán las recomendaciones.
  12. 12.  Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, - qué tan importante es para el negocio en comparación con el resto de los activos de la empresa - para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario aplicando la relación costo-beneficio.
  13. 13.  Como tercer paso se debe realizar un análisis técnico de seguridad para recolectar la información sobre la forma en que los activos: fueron configurados, la estructura en la red de comunicación, y la forma en que son administrados por sus responsables.
  14. 14.  Al realizar el estudio técnico y como cuarto paso se debe hacer un análisis de seguridad física para identificar en el entorno físico las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. En este punto están incluidos el factor humano responsable de la manipulación y uso de la información, las posibilidades de acceso y su correcto uso.
  15. 15.  Una vez realizados los cuatro pasos se cuenta con la información y las herramientas necesarias para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno en general. A partir de este momento es posible establecer políticas de orden preventivo, correctivo, y de detección para la corrección de los problemas ya detectados, que garanticen que las vulnerabilidades encontradas en el estudio no se conviertan en amenazas.
  16. 16. Es importante en toda organización cuente con unaherramienta, que garantice la correcta evaluación de losriesgos, a los cuales están sometidos los procesos yactividades que participan en el área informática
  17. 17. PROCESO AMBITOS EN ELTECNOLOGICO FISICO ANALISIS DE RIESGO HUMANO
  18. 18.  Por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático. Y además garantizar aspectos como: * Supervivencia para la organización * Control y administración de riesgos * Control de costos
  19. 19.  Son el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
  20. 20. CONTROL DE ACCESOS AREAS SISTEMATIZADAS PROTECCIONSEGURIDAD GENERALEMTE DE DATOS FISICA CONTROLADAS POR LA ORGANIZACION SEGURIDAD DE LAS REDES
  21. 21.  Al iniciar las actividades de una empresa sus directivos o dueños deben tener en cuenta que el riesgo estará presente en todo momento de su desarrollo, debido a diferentes factores como lo son: intensos cambios del entorno, la intensificación de la competencia, las reducción de las barreras de entrada, y obviamente la parte tecnológica que va avanzando a pasos agigantados.
  22. 22.  Para minimizar estos diferentes factores es que hace un tiempo se viene incorporando a las entidades la “Gestión de Riesgo", la que en nuestro país no esta implantada en todos los sectores. La Gestión de Riesgos es un proceso efectuado por el Consejo de administración de una entidad, su dirección y todo su restante personal, diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos
  23. 23.  Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información para la toma de decisiones. Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: · Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.

×