INSTITUCIÓN EDUCATIVA PERPETUO SOCORRO

TECNOLOGÍA E INFORMÁTICA

POLÍTICAS DE SEGURIDAD INFORMÁTICA: LOS RIESGOS

OBJETIVO: Realizar el análisis del riesgo de una experiencia familiar, comunitaria o empresarial indagada
previamente por los estudiantes de grado 11º de la IE Perpetuo Socorro, en la cual se haya visto afectada la Seguridad
Informática.

INTRODUCCIÓN

La premisa subyacente en el mundo de los negocios es que las organizaciones existen para crear valor (con o sin fines
de lucro) y su activo principal es la información. Dependiendo del tipo de organización, crear valor significa: crear
utilidades, satisfacer a los grupos de interés (clientes, usuarios) y cumplir sus objetivos estratégicos. En la búsqueda
de cumplir con esta premisa, todas las organizaciones se enfrentan a la incertidumbre, ya que existen eventos que
pueden afectar sus planes.

El gerenciamiento de lo organización debe estar consciente que los riesgos pueden afectar sus objetivos estratégicos y
para ello se hace necesario analizar y establecer unas políticas de seguridad informática que permite gestionarlos,
minimizarlos y/o neutralizarlos.

CONTENIDO TEMÁTICO:

1. ¿Qué es el Riesgo?
La posibilidad de que un evento pueda afectar de forma adversa los objetivos empresariales. Aquello que se está
poniendo en peligro, por ejemplo la información, el dinero o cualquier activo (bienes o derechos) que se pueda
perder y causar un impacto en la organización.

2. Factores de riesgo: Son aquellas vulnerabilidades que facilitan que las causas de riesgo se hagan efectivas.
Por ejemplo:

2.1. Humanos: Fallas cometidas por el personal:

o Falta de capacitación o Revelación de identidades,

o Negligencia contraseñas, registros
o Violaciones Intencionales de las políticas o Adulteración, fraude, modificación,
internas sabotaje
o Incumplimiento de las regulaciones o Pérdida
o Errores en las actividades ejecutadas por o Vandalismo
falta de conocimiento o Hackers
o Hackers o Falsificación
o Hurto o Robo de contraseñas
o Suplantación de identidad

2.2. Procesos: Fallas causadas por debilidades en el diseño y/o debilidades en la ejecución de los procesos de
la organización como:
o Ejecución inadecuada de procesos
o Controles inadecuados
o Inexistencia de políticas
o Procesos desactualizados

2.3. Tecnológicos: Fallas causadas por vulnerabilidades en los sistemas, tales como:
o Fallas en la red
 o Fallas de hardware y/o software
o Fallas en el aire acondicionado
o Falla en el servicio eléctrico
o Ataque por virus informático

2.4. Ambientales/Físicos/Externos: Fallas que ocurren por acontecimientos o cambios adversos en el entorno
de la organización por situaciones causadas por:
o Catástrofes Naturales: Sismos, Tsunami, Huracán
o Lluvias, Inundaciones, Tormentas, Rayos
o Humedad
o Calor

3. Causas de riesgo: Son las amenazas que en caso de materializarse se convierten en riesgos.

4. Planificación del riesgo: Al identificar los riesgos, la gerencia reconoce que existen incertidumbres
traducidas en posibles amenazas. Para mitigar los riesgos, se requiere un proceso de dos fases:

3.1 Planificar el proceso de identificación de riesgos: Corresponde a la obtención de información

y el análisis preliminar de los riesgos potenciales. Requiere de las siguientes actividades:
a. Recolección de información, sobre los objetivos y metas del negocio; leyes, normas y regulaciones;
políticas de procedimientos; mapa de procesos y áreas; informes de auditorías; auto-evaluaciones
de riesgo y controles; entre otros.
b. Construcción del catálogo técnico de riesgos sobre los supuestos riesgos que se pueden presentar y
que servirá de guía para detallar el inventario de los riesgos
c. Determinación de la técnica de identificación de los riesgos: A través de talleres de trabajo,
entrevistas, cuestionarios, encuestas, análisis interno, entre otros.
d. Selección de personas para identificar los riesgos: De acuerdo al conocimiento, experiencia y
disposición.

3.2 Construcción del inventario de riesgos: Teniendo en cuenta la técnica o técnicas más adecuadas
se procede a identificar la totalidad de los riesgos con la participación de las diferentes unidades de
negocio y el juicio. Una vez identificados se procede a calcular el impacto, con el fin de tomar las
decisiones necesarias para mitigar los riesgos.

5. Mecanismos de seguridad para minimizar los riesgos

a) Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados. Por ejemplo:
o Confiabilidad del personal
o Nivel de acceso al sistema y privilegios para cada tipo de usuario ( a través de ID y Contraseña)
o Logs o registros de acceso al sistema de información (Usuario, Fecha, Hora, Acciones) cada vez que
ingrese un usuario al sistema
o Rotación de las funciones de los empleados
o Definición de responsabilidades
o Entrenamiento del empleado
o Supervisión del empleado
o Competencia del personal
o Autorización previa
o Custodia segura, Backup
o Firewall,
o Antivirus
o Firma Digital
o Encriptación
o Sistema Biométrico
b) Detectivos: Actúan antes de que un hecho ocurra (en el instante) y su función es revelar la presencia de
agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la
incidencia. Por ejemplo:
o Antivirus
o Sistema Biométrico
o Sistema de Alertas
o Verificación visual
o Verificación de secuencia del proceso
o Labels (etiquetas) internas en los archivos que se generan en el sistema de información
o Códigos de verificación
o Control de las fechas de operación y expiración de los eventos
o Totales de control de cantidad
o Totales de documentos individuales
o Documentación
o Pruebas de Razonabilidad (Un procedimiento analítico que involucra un cálculo que se utiliza para
estimar un monto, tal como el saldo de una cuenta o transacción)
o Fechas de corte

c) Correctivos: Actúan luego de ocurrido el hecho y su función es corregir la consecuencias. Por ejemplo:
o Registros de auditoría
o Procedimientos de backup y recuperación
o Reportes de errores
o Procedimientos para corrección de errores
o Notificación de sucesos del sistema en tiempo real a una segunda persona
o Documentación
o Antivirus
 INSTITUCIÓN EDUCATIVA PERPETUO SOCORRO
TECNOLOGÍA E INFORMÁTICA
POLÍTICAS DE SEGURIDAD INFORMÁTICA: LOS RIESGOS
ACTIVIDAD DE SOCIALIZACIÓN FECHA_________________

INTEGRANTES:
1.

NOMBRE DEL GRUPO: ______________________________________

(El nombre del grupo debe estar relacionado con la informática o la seguridad informática)

1. Consultar y plantear una experiencia familiar, comunitaria o empresarial en la cual se haya

visto afectada la Seguridad Informática
Tipo de Experiencia: Empresarial

Un empleado de una fábrica textil ingresó órdenes de despacho ficticias, utilizando las opciones del
menú del Sistema de Información de Ventas. Como resultado de su acción se despacharon mercancías
con destino a clientes inexistentes. Esta situación no fue descubierta hasta que los auditores realizaron
pruebas de cumplimiento y comprobaron que existían algunos despachos no autorizados.

2. Identificar el riesgo, causas y factores de dicha experiencia

RIESGO o Perdida financiera

o Perdida de mercancía

CAUSAS o Que el empleado genere órdenes de despacho para clientes inexistentes

Humanos/ Violación intencional de las políticas de la empresa, fraude

Personal
Tecnológicos El sistema carece de restricciones para validar la
FACTORES /Sistema información (Vulnerabilidad del sistema)
Procesos o Controles inadecuados del proceso de órdenes de
despacho
o Inexistencia de políticas de control y verificación de
las órdenes de despacho por parte de un supervisor
Ambientales/Físicos No Aplica
/Externos

3. Establecer los mecanismos de seguridad para minimizar y controlar el riesgo.

- Nivel de acceso al sistema y privilegios para cada tipo de usuario
- Logs o registros de acceso al sistema de información (Usuario, Fecha,
Hora, Acciones) cada vez que ingrese un usuario al sistema
PREVENTIVOS - Confiabilidad del personal
- Rotación de las funciones de los empleados
- Autorización previa para algunos procesos

- Verificación visual
DETECTIVOS - Verificación de secuencia del proceso de órdenes de compra
- Labels (etiquetas) internas en los archivos que se generan en el
sistema de información
CORRECTIVOS - Auditoría
- Notificación de sucesos del sistema en tiempo real a una segunda
persona
 INSTITUCIÓN EDUCATIVA PERPETUO SOCORRO
TECNOLOGÍA E INFORMÁTICA GRADO 11º
POLÍTICAS DE SEGURIDAD INFORMÁTICA (LOS RIESGOS)
ACTIVIDAD DE SOCIALIZACIÓN FECHA________________

INTEGRANTES:
1. 4.
2. 5.
3. 6.

NOMBRE DEL GRUPO: ________________________________________

(El nombre del grupo debe estar relacionado con la informática o la seguridad informática)

1. Consultar y plantear una experiencia familiar, comunitaria o empresarial en la cual se haya visto
afectada la Seguridad Informática

Tipo de Experiencia:

Descripción de la Experiencia:

2. Identificar el riesgo, causas y factores de dicha experiencia

RIESGO

CAUSAS

Humanos/
Personal

FACTORES Tecnológicos
/Sistema

Procesos

Ambientales/Físicos
/Externos

3. Establecer los mecanismos de seguridad para minimizar y controlar el riesgo.

PREVENTIVOS

DETECTIVOS

CORRECTIVOS
Referencias

Espiñeira, Sheldon & Asociados, Boletín de Asesoría Gerencial, ¿Qué es un riesgo y cómo identificarlo?
https://www.pwc.com/ve/es/asesoria-gerencial/boletin/assets/boletin-advisory-edicion-12-2008.pdf

Fonseca, G., El activo más importante de cualquier organización,

https://guillermofonseca.wordpress.com/2012/04/18/la-informacion-el-activo-mas-importante-de-cualquier-
organizacion/

Osorio, D., Blog del área de Tecnología e Informática, https://ieps-tecnologia-informatica.jimdo.com/grado-

11/seguridad-inform%C3%A1tica/