Auditoría Informática

Riesgos

“La incertidumbre que ocurra un evento que podría

tener un impacto en el logro de los objetivos”.
Auditoría Informática
Riesgos

Los riesgos cuando se materializan, se denominan

errores, irregularidades u omisiones, los cuales pueden
generar una pérdida monetaria, en la imagen de la
empresa o incumplimiento de normativa externa.
Auditoría Informática
Riesgos

Riesgo = Impacto * Probabilidad

Impacto: es el efecto o consecuencia cuando el riesgo se

materializa

Probabilidad: representa la posibilidad que un evento dado

ocurra.
Auditoría Informática
Riesgos

Riesgo Inherente: Riesgo inherente son aquellos riesgos propios

de la materia y/o componentes de ésta. Se entiende que una materia
por su naturaleza tiene riesgos que surgen por diversas fuentes, como
los errores, irregularidades o fallas que pudieran ser importantes en
forma individual o en conjunto con otros riesgos. Los riesgos
inherentes a la materia pueden tener o no controles elaborados por la
dirección para mitigar su probabilidad o su impacto.

Los riesgos inherentes a la materia bajo análisis pueden ser relativos al

entorno, ambiente interno, procesos, información, etc
Auditoría Informática
Riesgos Inherentes

 Riesgo de Crédito
 Riesgo Financiero
 Riesgo Operacional
 Riesgo de Tecnología de la Información
 Riesgo Calidad de Servicio y transparencia de la
Información
Auditoría Informática
Riesgos Inherentes

 Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad

como consecuencia del incumplimiento de pago de una persona natural o
jurídica.

 Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios

en la economía local o internacional que podría afectar los descalces de caja
o posiciones asumidas por inversiones y su liquidez, como asimismo los
descalces globales de activos.

 Riesgo Operacional: Se define como el riesgo de pérdida debido a la

inadecuación o fallas en los procesos, el personal y los sistemas internos o
bien a causa de acontecimientos externos (fraudes, daños activos
materiales, fallas en procesos,etc). Incluye riesgos legales y normativos.
Auditoría Informática
Riesgos de Tecnología de la Información

1.Riesgo de Integridad de la Información;

Agrupa todos los riesgos asociados con la autorización, integridad, y

exactitud de las transacciones según se ingresan, se procesan, se
resumen y se informan en los sistemas computacionales de una
organización, manifestándose en los siguientes componentes de un
sistema:

 Interfaz usuaria; se refiere a si existen restricciones que hagan que los

trabajadores de una organización estén autorizados a desarrollar
funciones de negocio sobre necesidad del negocio y la necesidad de lograr
una segregación de funciones razonable.

 Procesamiento; se relacionan a la existencia de controles que aseguran

que el procesamiento de datos se ha completado y realizado a tiempo.
Auditoría Informática
Riesgos de Tecnología de la Información
Interfase – Los riesgos en esta área generalmente se relacionan con la
existencia de controles adecuados, preventivos o de detección, que aseguren
que los datos que han sido procesados y/o resumidos sean transmitidos
adecuada y completamente a otro sistema de aplicación que se alimente de
estos datos/información y sean procesados por dicho sistema.

Administración del Cambio – Los riesgos en esta área pueden ser

generalmente considerados parte del Riesgo de Infraestructura, pero ellos
impactan significativamente sobre los sistemas de aplicación. Estos riesgos
están asociados con procesos inadecuados de administración del cambio
incluyendo tanto la participación y entrenamiento del usuario como el proceso
por el cual los cambios de cualquier aspecto del sistema de aplicación son
comunicados e implementados.
Auditoría Informática
Riesgos de Tecnología de la Información
Error de Procesamiento; se refiere a si existen procesos
adecuados que aseguren que todas las excepciones de entrada y
procesamiento de datos que se capturan, son corregidas y
reprocesadas en forma precisa, íntegra y oportuna..

Datos; se relacionan a la existencia de controles de

administración de datos inadecuados que incluyen
seguridad/integridad de los datos procesados.

La integridad se puede perder por errores en la

programación, errores de procesamiento, errores de
administración de sistemas.
Auditoría Informática
Riesgos de Tecnología de la Información
2. Riesgo de Acceso; puede ocurrir en cada uno o todos de los
siguientes cinco niveles:

 Red, el riesgo en esta área está generado por el riesgo de acceso

inapropiado a la red a pc´s y servidores.
 Ambiente de Procesamiento, el riesgo se genera con el acceso
indebido al ambiente de procesamiento a los programas y datos que
están almacenados en ese ambiente.
 Sistemas de Aplicación, está dado por una inadecuada
segregación de funciones que podría ocurrir si el acceso a los
sistemas estuviese concedido a personas con necesidades de negocio
sin definiciones claras.
 Acceso Funcional, dentro de aplicaciones (Código fuente)
 Acceso a nivel de campo o dato.
Auditoría Informática
Riesgos de Tecnología de la Información

Segregación de Funciones o Contraposición de

Intereses

Es un control preventivo que persigue evitar que una

misma persona pueda tener bajo su control
totalmente la información, para evitar así la comisión
de fraudes o errores.
Auditoría Informática
Riesgos de Tecnología de la Información
3. Riesgo de Disponibilidad

 Riesgos asociados con la interrupción de los sistemas a corto plazo donde

las técnicas de restitución/recuperación se pueden utilizar para minimizar el
alcance de la interrupción.
 Riesgos asociados con desastres que causan interrupciones en el
procesamiento de la información a largo plazo y que se centran en controles
como backups y planes de contingencia.

La capacidad de la empresa para continuar con sus

operaciones y procesos críticos puede depender en gran
medida de la disponibilidad de determinados sistemas de
información.
Auditoría Informática
Riesgos de Tecnología de la Información

3. Riesgo de Disponibilidad (continuación…)

La capacidad de la empresa para continuar con sus operaciones y

procesos críticos puede depender en gran medida de la disponibilidad de
determinados sistemas de información. Si no se dispusiera de sistemas
críticos o importantes por un período importante, la compañía podría
experimentar dificultades para continuar con sus operaciones. Sistemas
de información críticos e importantes que no están disponibles para dar
soporte a determinadas operaciones pueden provocar pérdidas de
ingresos, flujos de cajas y rentabilidad, pérdidas de ventajas
competitivas, insatisfacción de clientes y pérdida de participación de
mercado, problemas de imagen, incremento de costos e incluso multas y
sanciones.
Auditoría Informática
Riesgos de Tecnología de la Información
4. Riesgo de Infraestructura

El riesgo de que una organización no tenga una infraestructura eficaz de

información tecnológica (HW, SW, personas y procesos) para apoyar
eficazmente las necesidades actuales y futuras del negocio de una forma
eficiente y eficaz en términos de costos y controles. Principalmente están
relacionados con:

 Planificación organizacional; el riesgo de que los planes de información

tecnológica no estén integrados con los planes del negocio presentes y futuros,
afectando el proceso de toma de decisiones y planificaciones inadecuadas.
 Definición y despliegue de sistemas de aplicación; el riesgo de que las
definiciones y necesidades de los usuarios para nuevas soluciones de sistemas
provoquen diseños ineficaces o incompletos. Los esfuerzos de desarrollo no siguen
un enfoque consistente para confirmar la satisfacción del usuario y del negocio. Los
esfuerzos de implantación no consideran adecuadamente el entrenamiento usuario.
Auditoría Informática
Riesgos de Tecnología de la Información
4. Riesgo de Infraestructura (Continuación….)

 Seguridad Lógica y Administración de Seguridad; el riesgo de acceso

inadecuado a los sistemas, datos o transacciones críticos, tanto por personal de
la compañía como externos, resultando en pérdida de la integridad de los
datos/información y la exposición o mal uso de información confidencial..
 Operaciones con computador y red; es el riesgo que los computadores y/o
redes no sean eficientemente administrados derivando en problemas de
desempeño o de capacidad de los usuarios.
 Administración de Bases de Datos; es el riesgo de que los datos o bases
carezcan de la integridad necesaria para dar apoyo a las decisiones de negocio.
 Recuperación del centro de proceso de datos; es el riesgo de que los
sistemas, procesos y datos/información no puedan ser restablecidos luego de
una interrupción del servicio de manera oportuna para las necesidades del
negocio.
 Auditoría Informática
Riesgos de Tecnología de la Información

5 Riesgo de Externalización de Servicios

Generar e implementar una Metodología de Análisis de Riesgo que permita evaluar en

forma sistemática los procesos y recursos, sus vulnerabilidades y las amenazas para los
procesos que la organización externaliza.

Incorporar un proceso sistemático por el cual el administrador de la empresa con el

servicio externalizado, evalúa y reduce la exposición al riesgo identificado a un nivel
aceptable por la organización.
 Auditoría Informática
Riesgos de Tecnología de la Información

Aspectos a considerar en la gestión del riesgo.

La gestión de riesgo debe considerar los siguientes aspectos:

 Identificación del Sistema o Proceso
 Identificación de la Amenazas
 Identificación de las Vulnerabilidades
 Controles
 Determinar la Probabilidad de ocurrencia
 Análisis de Impacto
 Determinación del Riesgo
 Recomendación de Controles
 Documentar los Resultados
 Auditoría Informática
Riesgos de Tecnología de la Información

Aspectos a considerar en la Gestión del Riesgo.

Mitigar los Riesgos

La metodología a implementar debe considerar opciones de mitigación de los

riesgos:
 Prevención: Implementación de Controles, Tecnológicos, administrativos
y operacionales
 Transferencia de los riesgos: seguros
 Eludir: Cambiando la forma de hacer las cosas
 Aceptar: Vivir con el riesgo
 Auditoría Informática
Riesgos de Tecnología de la Información

Aspectos a considerar en la Seguridad de Información.

Desde el punto de vista de los servidores:

Análisis de Vulnerabilidad de los servidores que darán el servicio
Antivirus instalado y actualizado en los servidores que darán el servicio
Parches de seguridad evaluados e instalados según corresponda en los servidores que darán
el servicio
Desde el punto de vista de la transferencia de información:
Encriptación de la comunicación entre la organización y la empresa prestadora de servicios
Desde el punto de la continuidad operacional:
Servidores de respaldo
Máquina especializadas de respaldo
Site de respaldo
Pruebas de contingencia
Auditoría Informática
Riesgos de Tecnología
de la Información

Aspectos a considerar:

Encriptación:
Es una tecnología que permite la
transmisión segura de información, al
codificar los datos transmitidos usando una
fórmula matemática que “desmenuza” los
datos.

La encriptación utiliza una llave pública para

encriptar datos, y una llave privada para
descifrar o desencriptar la información. Sin
el decodificador o llave para desencriptar, el
contenido enviado se ve como un conjunto
de caracteres extraños, sin ningún sentido
y lógica de lectura.