Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TECNOLOGÍA E INFORMÁTICA
OBJETIVO: Realizar el análisis del riesgo de una experiencia familiar, comunitaria o empresarial indagada
previamente por los estudiantes de grado 11º de la IE Perpetuo Socorro, en la cual se haya visto afectada la Seguridad
Informática.
INTRODUCCIÓN
La premisa subyacente en el mundo de los negocios es que las organizaciones existen para crear valor (con o sin fines
de lucro) y su activo principal es la información. Dependiendo del tipo de organización, crear valor significa: crear
utilidades, satisfacer a los grupos de interés (clientes, usuarios) y cumplir sus objetivos estratégicos. En la búsqueda
de cumplir con esta premisa, todas las organizaciones se enfrentan a la incertidumbre, ya que existen eventos que
pueden afectar sus planes.
El gerenciamiento de lo organización debe estar consciente que los riesgos pueden afectar sus objetivos estratégicos y
para ello se hace necesario analizar y establecer unas políticas de seguridad informática que permite gestionarlos,
minimizarlos y/o neutralizarlos.
CONTENIDO TEMÁTICO:
1. ¿Qué es el Riesgo?
La posibilidad de que un evento pueda afectar de forma adversa los objetivos empresariales. Aquello que se está
poniendo en peligro, por ejemplo la información, el dinero o cualquier activo (bienes o derechos) que se pueda
perder y causar un impacto en la organización.
2. Factores de riesgo: Son aquellas vulnerabilidades que facilitan que las causas de riesgo se hagan efectivas.
Por ejemplo:
2.2. Procesos: Fallas causadas por debilidades en el diseño y/o debilidades en la ejecución de los procesos de
la organización como:
o Ejecución inadecuada de procesos
o Controles inadecuados
o Inexistencia de políticas
o Procesos desactualizados
2.3. Tecnológicos: Fallas causadas por vulnerabilidades en los sistemas, tales como:
o Fallas en la red
o Fallas de hardware y/o software
o Fallas en el aire acondicionado
o Falla en el servicio eléctrico
o Ataque por virus informático
2.4. Ambientales/Físicos/Externos: Fallas que ocurren por acontecimientos o cambios adversos en el entorno
de la organización por situaciones causadas por:
o Catástrofes Naturales: Sismos, Tsunami, Huracán
o Lluvias, Inundaciones, Tormentas, Rayos
o Humedad
o Calor
3. Causas de riesgo: Son las amenazas que en caso de materializarse se convierten en riesgos.
4. Planificación del riesgo: Al identificar los riesgos, la gerencia reconoce que existen incertidumbres
traducidas en posibles amenazas. Para mitigar los riesgos, se requiere un proceso de dos fases:
3.2 Construcción del inventario de riesgos: Teniendo en cuenta la técnica o técnicas más adecuadas
se procede a identificar la totalidad de los riesgos con la participación de las diferentes unidades de
negocio y el juicio. Una vez identificados se procede a calcular el impacto, con el fin de tomar las
decisiones necesarias para mitigar los riesgos.
a) Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados. Por ejemplo:
o Confiabilidad del personal
o Nivel de acceso al sistema y privilegios para cada tipo de usuario ( a través de ID y Contraseña)
o Logs o registros de acceso al sistema de información (Usuario, Fecha, Hora, Acciones) cada vez que
ingrese un usuario al sistema
o Rotación de las funciones de los empleados
o Definición de responsabilidades
o Entrenamiento del empleado
o Supervisión del empleado
o Competencia del personal
o Autorización previa
o Custodia segura, Backup
o Firewall,
o Antivirus
o Firma Digital
o Encriptación
o Sistema Biométrico
b) Detectivos: Actúan antes de que un hecho ocurra (en el instante) y su función es revelar la presencia de
agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la
incidencia. Por ejemplo:
o Antivirus
o Sistema Biométrico
o Sistema de Alertas
o Verificación visual
o Verificación de secuencia del proceso
o Labels (etiquetas) internas en los archivos que se generan en el sistema de información
o Códigos de verificación
o Control de las fechas de operación y expiración de los eventos
o Totales de control de cantidad
o Totales de documentos individuales
o Documentación
o Pruebas de Razonabilidad (Un procedimiento analítico que involucra un cálculo que se utiliza para
estimar un monto, tal como el saldo de una cuenta o transacción)
o Fechas de corte
c) Correctivos: Actúan luego de ocurrido el hecho y su función es corregir la consecuencias. Por ejemplo:
o Registros de auditoría
o Procedimientos de backup y recuperación
o Reportes de errores
o Procedimientos para corrección de errores
o Notificación de sucesos del sistema en tiempo real a una segunda persona
o Documentación
o Antivirus
INSTITUCIÓN EDUCATIVA PERPETUO SOCORRO
TECNOLOGÍA E INFORMÁTICA
POLÍTICAS DE SEGURIDAD INFORMÁTICA: LOS RIESGOS
ACTIVIDAD DE SOCIALIZACIÓN FECHA_________________
INTEGRANTES:
1.
Un empleado de una fábrica textil ingresó órdenes de despacho ficticias, utilizando las opciones del
menú del Sistema de Información de Ventas. Como resultado de su acción se despacharon mercancías
con destino a clientes inexistentes. Esta situación no fue descubierta hasta que los auditores realizaron
pruebas de cumplimiento y comprobaron que existían algunos despachos no autorizados.
- Verificación visual
DETECTIVOS - Verificación de secuencia del proceso de órdenes de compra
- Labels (etiquetas) internas en los archivos que se generan en el
sistema de información
CORRECTIVOS - Auditoría
- Notificación de sucesos del sistema en tiempo real a una segunda
persona
INSTITUCIÓN EDUCATIVA PERPETUO SOCORRO
TECNOLOGÍA E INFORMÁTICA GRADO 11º
POLÍTICAS DE SEGURIDAD INFORMÁTICA (LOS RIESGOS)
ACTIVIDAD DE SOCIALIZACIÓN FECHA________________
INTEGRANTES:
1. 4.
2. 5.
3. 6.
1. Consultar y plantear una experiencia familiar, comunitaria o empresarial en la cual se haya visto
afectada la Seguridad Informática
Tipo de Experiencia:
Descripción de la Experiencia:
RIESGO
CAUSAS
Humanos/
Personal
FACTORES Tecnológicos
/Sistema
Procesos
Ambientales/Físicos
/Externos
PREVENTIVOS
DETECTIVOS
CORRECTIVOS
Referencias
Espiñeira, Sheldon & Asociados, Boletín de Asesoría Gerencial, ¿Qué es un riesgo y cómo identificarlo?
https://www.pwc.com/ve/es/asesoria-gerencial/boletin/assets/boletin-advisory-edicion-12-2008.pdf