Beruflich Dokumente
Kultur Dokumente
Introduccin:
Esta unidad pretende profundizar sobre la nocin de riesgo, aclarando conceptos relacionados tales como:
vulnerabilidad, amenaza, activo crtico, entre otros. As mismo, se describir el proceso de identificacin de
riesgos organizacionales relacionados con las tecnologas de la informacin y las clasificaciones que pueden
tener, planteando la importancia de un adecuado contexto organizacional orientado a una cultura de riesgo. Por
ltimo, se describirn algunos esquemas de clasificacin de los riesgos segn su naturaleza, la probabilidad de
ocurrencia y el impacto que tengan en los activos de la organizacin.
Esta unidad tiene como fin formar la competencia en el establecimiento de riesgos y controles inherentes a las
tecnologas de la informacin, para lo cual se espera que el estudiante pueda ser capaz de caracterizar visiones
complementarias sobre gobierno, riesgo y cumplimiento y explicar el impacto de los riesgos de TI en las
organizaciones.
Bienvenido a esta experiencia de aprendizaje, en la que a travs del anlisis de las diferentes lecturas y el
desarrollo de las actividades de autoaprendizaje y de evaluacin, mediadas por las tecnologas de la informacin
y la comunicacin, podr adquirir los saberes y competencias necesarias para apoyar a las organizaciones en
torno a una visin de gobierno, riesgo y cumplimiento.
bsicos
sobre
el
riesgo
de
Tecnologas de Informacin
La incorporacin acelerada de las tecnologas de la informacin en las organizaciones, y en general en casi todos
los aspectos de la vida humana, ha posibilitado un crecimiento de las amenazas relacionadas con la falta de
polticas y medidas de seguridad y la falta de concienciacin sobre el impacto que ello pueda tener en la
informacin y en los bienes organizacionales.
Una de las funciones ms importantes de la
direccin de tecnologas de la informacin (DTI) en
las organizaciones tiene que ver con la gestin de
riesgos y el establecimiento de controles para
mitigarlos. No obstante, la gestin de riesgos no
es slo responsabilidad de la DTI, sino de toda la
organizacin, lo cual la convierte en una poltica
que debe estar alineada con los objetivos
estratgicos organizacionales.
Un riesgo puede ser definido como la probabilidad
de que una amenaza se materialice a causa de una
vulnerabilidad, lo cual afecta los activos crticos de Figura 1. Amenazas en la incorporacin de TI
Fuente: elaboracin propia
una organizacin. Como se puede observar, hay
varios elementos involucrados en la definicin del riesgo, elementos que en diversas ocasiones pueden ser
confundidos de manera indiscriminada. Por ello es necesario prestar especial atencin a sus diferencias.
Amenaza: Condicin del entorno organizacional relacionado con las tecnologas de informacin, que ante
determinada circunstancia podra ser una fuente de desastre informtico y afectar a los activos de la compaa
(Guerrero y Gmez, 2012).
Vulnerabilidad: Situacin generada por la falta de controles que permite concretar una amenaza, y el riesgo es
la posibilidad que una amenaza se materialice y produzca un impacto en la organizacin (Guerrero y Gmez,
2012).
En este sentido, podemos entender la amenaza como un factor externo a las tecnologas de la informacin,
mientras que la vulnerabilidad es un factor inherente a estas, relacionada con la falta de control.
Universidad Cooperativa de Colombia
As mismo, se ha detectado la necesidad de establecer controles orientados a mitigar los riesgos; aqu se
entiende el control como toda salvaguarda establecida por la organizacin para evitar que una amenaza afecte
un activo crtico.
Definicin
Riesgo de
inversin o
gasto
Riesgo de
acceso o
seguridad
Riesgo de
integridad
Riesgo de
relevancia
Riesgo de
disponibilidad
Riesgo de
Es el riesgo de que la infraestructura tecnolgica definida para la organizacin no soporte de
infraestructura manera eficiente las necesidades actuales y futuras del negocio. Incluye hardware, redes,
software, personas y procesos.
Riesgos de
Es el riesgo asociado a que los proyectos de TI no cumplan con los objetivos propuestos debido a
proyectos
la falta de compromiso y responsabilidad de los actores involucrados.
propios
Tabla 1. Definiciones de riesgos asociados a las TI
Fuente: adaptado de ITGI (2013)
1.2.2
Delito informtico
Los delitos informticos (o ciber-terrorismo) se han convertido en una de las amenazas ms crecientes de las
tecnologas de la informacin, en la medida en que su principal objetivo es obtener informacin para su uso,
dao, modificacin o eliminacin. Ahora bien, teniendo en cuenta que la informacin es uno de los activos ms
importantes de las organizaciones en el entorno actual, los delitos informticos deben ser evitados a toda costa.
Un delito informtico puede ser definido como toda accin u omisin que conlleve a un perjuicio de una persona u
organizacin o a un beneficio propio a travs del uso de sistemas informticos. Los delitos informticos estn tipificados
por la ley y son punibles (deben ser castigados).
En Colombia, la Ley 1273 tipifica los delitos informticos y establece la proteccin de la informacin y de los
datos como un bien jurdico tutelado. Dicha ley se puede consultar en los objetos de informacin del curso.
Establecer una clasificacin de los delitos informticos presenta una complejidad en la medida en que un caso
puede atentar contra varias de ellas. No obstante, una clasificacin general de delitos informticos de acuerdo
con bien jurdico afectado se presenta en la tabla 2.
Delito
Descripcin
Pertenecen a esta clasificacin los delitos relacionados con el acceso abusivo a los sistemas
informticos, interceptacin de datos, violacin de datos personales y suplantacin de
sitios web para capturar datos personales.
Se refieren a los delitos relacionados con la interceptacin de datos y la violacin de datos
personales.
Se alude a los delitos relacionados con la obstaculizacin ilegtima de sistemas informticos
o redes.
Pertenecen a esta clasificacin los delitos relacionados con el dao informtico y el uso de
software malicioso.
Como se puede observar, se han introducido varios conceptos relevantes que deben ser estudiados con
detenimiento, a saber:
Confidencialidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos slo puede ser accedida por personal autorizado.
Integridad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos se corresponde con la real.
Disponibilidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos est a disposicin de quienes tienen acceso y estn autorizadas para su uso.
Los delitos informticos pueden ocasionarse por diversas fuentes como son: hacking, virus informticos y
sabotaje.
1.2.3
Fraude informtico
Tcnica o
Descripcin
procedimiento
Caballo de
Troya
Data diddling o
Temporing
Salami o
Rounding down
Scavenging
Data leakage
Eavesdropping
Phishing
Keylogger
Spyware
Trap doors
Denial of
service attack
Aunque es comn pensar que los delitos informticos y los fraudes son perpetrados por personal externo a la
organizacin, en muchas ocasiones el personal interno es responsable de la mayor parte de ellos.
basa nicamente en la teora del problema, sino que se soporta en la integridad y la tica de las personas que
trabajan para la organizacin.
Mientras el gobierno se encarga
de la definicin de estrategias,
polticas y procedimientos para
lo relacionado con los riesgos, la
gestin de riesgos identifica las
reas que se encuentran
expuestas a riesgos potenciales y
el cumplimiento ejecuta las
acciones de control necesarias
para mitigar los riesgos (figura
4).
Figura 4. La GRC
Fuente: elaboracin propia
La GRC apoya la toma de decisiones organizacionales en la medida en que ayuda a definir las responsabilidades y
los roles de los stakeholders y del personal clave; formaliza los canales de comunicacin; dispone a la
organizacin de una perspectiva del riesgo, e implementa programas de cumplimiento basados en las leyes y
regulaciones. La GRC beneficia a la organizacin en diferentes niveles, pero, especficamente, al rea financiera, a
la direccin de tecnologas de la informacin y al departamento de auditora interna.
El rea financiera se beneficia reduciendo los tiempos y los costos relacionados con el ejercicio de la auditora;
reduce riesgos e incrementa la confianza en los reportes financieros y los diagnsticos que apoyan la toma de
decisiones financieras.
Con respecto a la direccin de tecnologas de informacin, la GRC ayuda a reducir los tiempos y costos
relacionados con el cumplimiento, ya que disminuye el esfuerzo necesario para la realizacin de auditoras
internas y genera mejores respuestas de los procesos que sirven a los usuarios.
Por su parte, el departamento de auditora se beneficia con un flujo coordinado de procesos que ayudan a
identificar rpidamente los riesgos potenciales, disminuyendo la ejecucin de auditoras y mejorando los
procesos de gestin de riesgos.
La GRC busca, entonces, generar organizaciones inteligentes ante la gestin de riesgos, que permitan lograr un
balance coordinado entre el riesgo y la recuperacin, mediante la garanta de niveles adecuados de continuidad
del servicio. La definicin de un proceso de GRC puede incluir diversos frameworks tales como: OCEG (Open
Compliance & Ethics Group), GRC Model (Red Book), COSO, CoBIT, etc., una gua para el desarrollo de las
actividades, los diferentes estados en los que se pueden encontrar y un grupo de trabajo que lo desarrolle pero
que tambin ayude a validarlo. Teniendo esto presente, cada organizacin es libre de elegir y disear su propio
proceso de GRC, pero no se debe olvidar que la GRC requiere de un cambio cultural y de un proceso de adopcin
claramente establecido.
Universidad Cooperativa de Colombia
1.3.1
Existen varias herramientas orientadas a la GRC. En la tabla 4 se realiza un comparativo de los procesos que cada
una de ellas implementa para el desarrollo de la GRC en las organizaciones.
Herramienta
SAP GRC
Oracle GRC
Accelus
Open Pages
Procesos
Control de acceso
Control de procesos
Gestin de riesgos
Servicios comerciales
globales
Medio
ambiente,
salud y seguridad
Inteligencia
GRC
Administracin GRC
Gobierno del control
de
acceso
a
aplicaciones
Gobierno del control
de
transacciones
Gobierno del control
preventivo
Gobierno del control
de la configuracin
Administracin
del
riesgo
GRC empresarial para
auditora
interna
GRC empresarial para
control
interno
Administracin
del
cumplimiento.
Polticas
y
administracin
del
cumplimiento
Plataforma
GRC
Administracin
del
riesgo
operacional
Administracin
del
control
financiero
Gobierno
de
TI
Beneficios
Monitoreo constante de usuarios, accesos y segregacin de
funciones.
Mejora del rendimiento gracias priorizacin y apoyo de los
procesos.
Mayor comprensin de los factores de riesgo, lo que garantiza una
adecuada respuesta y control.
Proporciona un repositorio de procesos, riesgos y controles que
ayudan
a
disminuir
los
costos
de
cumplimiento.
Apoya la segregacin de funciones, ayudando a identificar y
remediar los riesgos asociados con el control de acceso.
Apoya el desarrollo de las auditoras y a la generacin de polticas
de restriccin de accesos no autorizados y a la mejora de las
relaciones de confianza con los clientes.
Administracin de la
auditora interna.
RSA Archer Administracin
de
eGRC
polticas
Administracin
de
riesgos
Administracin
del
cumplimiento
Administracin
empresarial
Administracin
de
incidentes
Administracin
de
ventas
Administracin
de
amenazas
Administracin de la
continuidad
del
negocio
Administracin de la
auditora.
Resumen 1:
La gestin de riesgos es una de las actividades ms importantes de la direccin de TI y en general de
todos los niveles organizacionales. Diversas amenazas pueden atacar las vulnerabilidades de las
tecnologas de la informacin y generar espacios de riesgo que deben ser mitigados a travs del uso de
controles y salvaguardas. Este aspecto constituye un reto creciente para las organizaciones, las cuales deben innovar
constantemente debido al surgimiento creciente de modelos de negocio que traen consigo tecnologas ms avanzadas y
con ello amenazas ms avanzadas.
Resumen 2:
El delito informtico o ciber-terrorismo es una de las amenazas que ha venido creciendo y adaptndose
a los nuevos esquemas de control de las organizaciones. Cada da surgen nuevas y diferentes figuras de
fraude para cometer los delitos informticos, lo cual hace que las organizaciones deban preocuparse por regulaciones
cada vez ms estrictas no slo para controlarlos sino tambin para que sean penalizados.
10
11
12
No existe una organizacin 100% segura; lo que s existe es una organizacin que ha definido estrategias para
actuar ante la ocurrencia de los
riesgos. En una encuesta realizada por
Ernst y Young (2010), en la que se
encuest a ms de 1.600 participantes
de 56 pases diferentes, se demuestra
que uno de los principales controles
que las empresas estn aplicando para
enfrentarse a los riesgos es el ajuste en
las polticas (64%).
As mismo, relacionado con el contexto
organizacional, otro de los controles de
mayor aplicacin es la concientizacin
del personal sobre los aspectos de Figura 6. El ajuste en la poltica
seguridad, aspecto que es fundamental Fuente: Ernst y Young (2010, p. 6)
si se pretende contar con una
capacidad de respuesta ante las amenazas.
La organizacin debe estar en constante actualizacin de la especificacin de las amenazas reales, ya que se
deben analizar con detalle las amenazas que emergen cada da y que traen consigo nuevas necesidades de
control y estrategias de seguridad.
La generacin de una adecuada poltica para la gestin de riesgos de tecnologa de informacin debe basarse en
la cultura organizacional y en la incorporacin de herramientas tecnolgicas claves para mitigar los riesgos,
teniendo cuidado de priorizar adecuadamente la inversin para que no haya fuga de dinero en aplicaciones que
posteriormente no se utilizan o que quedan obsoletas con facilidad. Una adecuada inversin en tecnologa para
garantizar la seguridad de la organizacin en cuanto a riesgos de tecnologa de informacin debe conservar una
mesurada relacin entre el costo/beneficio, es decir, que la inversin en tecnologa se balancee con la
disminucin de los costos vinculados a los incidentes.
13
Es as como las organizaciones deben asegurar que existan procedimientos para la gestin de riesgos en cada una
de las etapas del ciclo de vida de la incorporacin de tecnologas de la informacin (figura 7). La especificacin de
las TI que apoyan los procesos de negocio requiere de un conocimiento amplio de los elementos que conforman
su entorno de procesamiento de informacin, a saber: hardware, software, redes, datos, procesos y personas.
As mismo, se deben tener en cuenta
aspectos relacionados con el uso, la
capacidad y el desempeo de las
tecnologas de informacin frente a
condiciones adversas o simplemente
frente a condiciones de alta demanda
de servicios. Las organizaciones deben
garantizar la confianza que clientes y
proveedores
tengan
sobre
la
confiabilidad de las tecnologas de la
informacin.
Figura 7. Procedimientos de gestin de riesgos en el ciclo de vida de las TI
14
Las estrategias en las que se involucra a personal concienciado sobre la importancia de la gestin de riesgos son
ms efectivas y requieren menores esfuerzos para su adopcin. No obstante, cuando existen interrelaciones
entre diferentes organizaciones para el logro de los objetivos, las diferencias entre la cultura ante riesgos de una
y otra organizacin pueden representar obstculos que deben ser canalizados y para los cuales se deben definir
estrategias de intercambio de informacin y servicios. Esta es una responsabilidad directa de la direccin de
tecnologas de la informacin y el ejecutivo de riesgos. Otras funciones que son responsabilidad del ejecutivo de
riesgos se presentan en la figura 8.
La creacin de una cultura de riesgo debe iniciar desde la alta direccin y debe llegar hasta el nivel operacional
de la empresa. No obstante, las decisiones sobre las acciones que se deben implementar ante los riesgos slo
pueden ser tomadas por el personal autorizado y capacitado para ello.
En el marco de riesgos de TI desarrollado por ISACA (2014), se definen
tres elementos fundamentales de la cultura de riesgo (figura 9). El
primero de ellos tiene que ver con el comportamiento (actitud) que
pueden asumir los empleados hacia los riesgos. Una posicin adecuada
ante ello implica que los empleados asumen una actitud que aunque
conservadora refleja una aversin hacia los riesgos. Por su parte, una
postura inadecuada se ve reflejada en una actitud agresiva y de
asuncin de los riesgos.
El segundo elemento de la cultura de riesgos segn ISACA (2014) tiene
que ver con el comportamiento hacia los resultados negativos. Este
Figura 9. Elementos de la cultura
elemento se puede ver reflejado en una cultura de cumplimiento o de Fuente: adaptado de ISACA (2014)
incumplimiento. Por supuesto, el cumplimiento debe propiciarse a
travs de estrategias de concienciacin y de comprensin de las responsabilidades ante los riesgos.
de riesgo
El ltimo elemento tiene que ver con el comportamiento hacia la poltica, es decir, la cultura que se genere en
cuanto a la aceptacin o repulsin sobre las polticas de riesgos. El comportamiento esperado es que en la
organizacin se propicie una cultura de aprendizaje y no una de culpabilidad.
La comunicacin con los actores del proceso de gestin de riesgos de tecnologa de informacin es sumamente
importante para la generacin de un compromiso institucional y una adecuada concienciacin. Por ello la alta
direccin debe garantizar procesos de rendicin de cuentas con los diferentes niveles organizacionales, en la
bsqueda de generar espacios de presentacin de informes de rendimiento y de reconocimiento de la poltica.
Una adecuada comunicacin permitir generar expectativas claras sobre la pertinencia de la inversin y sobre la
necesidad de una cultura de prevencin de riesgos. Por su parte, una inadecuada comunicacin propiciar que
las personas generen aversin a la poltica y que por ende no participen activamente en el proceso.
15
16
pueden ser internas o externas, mientras que las vulnerabilidades son todas aquellas condiciones generadas por
la falta de controles internos que pueden ser explotadas de forma accidental o intencionada.
La principal meta de la identificacin de riesgos es establecer el conjunto de amenazas y vulnerabilidades de las tecnologas
de la informacin que apoyan los procesos de negocio en la organizacin. Las amenazas pueden clasificarse segn se
presenta en la tabla 5.
Causa que
origina la
amenaza
Amenazas de
origen
natural
Amenazas de
origen
humano
Amenazas
originadas en
el entorno
Descripcin
Amenazas causadas por terremotos, inundaciones, tormentas y que perjudiquen el
funcionamiento de las tecnologas de la informacin. Por ejemplo: dao de las lneas de
comunicacin por una tormenta.
Amenazas que son causadas por personas autorizadas o no a las tecnologas de la informacin,
de manera involuntaria o intencional. Por ejemplo: el uso de spyware para espionaje industrial.
Amenazas causadas por condiciones ambientales o industriales (contaminacin, fallas
energticas, etc.). Por ejemplo: corto circuito de la red elctrica de los servidores.
La naturaleza cambiante de las organizaciones ocasiona que tambin exista una dinmica en la identificacin de
las amenazas, por lo cual este proceso debe realizarse peridicamente. Es necesario entonces que la
organizacin defina una base de datos con los escenarios de riesgos y que los mantenga actualizados.
17
Etapa de
incorporacin
de la TI
Procedimiento
An no se ha
diseado
Se encuentra en
implementacin
Se encuentra
operativo
Amenaza
Resumen 1:
La comprensin del contexto organizacional permite determinar no slo la cultura organizacional hacia
los riesgos, sino tambin la dependencia de los procesos de negocio sobre la tecnologa de informacin
y las responsabilidades que cada uno de los actores involucrados tiene frente a la gestin de riesgos.
18
Resumen 2:
La identificacin de los activos crticos permite un entendimiento del costo relacionado con la
reposicin, la mano de obra invertida, la prdida de los ingresos, la prdida de la confianza, las
sanciones por incumplimiento, el dao a otros activos, personas o entorno.
Resumen 3:
La identificacin de amenazas y vulnerabilidades es una de las tareas primordiales en la gestin de
riesgos, ya que permite identificar los eventos y circunstancias que podran generar la prdida de los
activos esenciales para la organizacin.
19
20
3.1 Clasificacin
de
los
riesgos
segn
su
naturaleza
Segn la naturaleza de los riesgos se pueden clasificar en inherentes y residuales. Un riesgo inherente es aquel
que se propicia por la naturaleza misma de la tecnologa de informacin. Por ejemplo: las redes por su naturaleza
intrnseca tienen un riesgo de ser interceptadas para que un perpetrador pueda obtener, modificar o eliminar
informacin de una compaa.
Por su parte, un riesgo residual es aquel que permanece despus de que se han implementado medidas
adecuadas de seguridad para proteger los activos involucrados. Por ejemplo, un antivirus es un control
implementado por las organizaciones para evitar la presencia de virus en los sistemas informticos. No obstante,
los antivirus muchas veces son logran detectar malware o sus bases de datos no han sido actualizadas para
detectarlos. El riesgo latente que surge de esta limitacin es lo que se denomina riesgo residual. Como se haba
expresado anteriormente, las organizaciones deben tener definidos niveles de tolerancia ante los riesgos
residuales.
Lo anterior conlleva a generar una discusin en torno a la erradicacin de los riesgos. Tal y como se ha planteado
en esta unidad, los riesgos no pueden ser erradicados en su totalidad, pueden ser mitigados y reducidos a una
escala de improbabilidad que genere un alto grado de confianza entre clientes, proveedores y organizacin.
Comnmente, los riesgos residuales son salvaguardados con plizas de seguridad provenientes de compaas
aseguradoras que exigen a las organizaciones compromisos efectivos en el diseo de controles para mitigar los
riesgos. No obstante, hay que tener en cuenta que si las medidas de seguridad diseadas para mitigar el riesgo
inherente no funcionan, el riesgo residual ser igual al riesgo inherente y su impacto ser el mismo.
Riesgo inherente
Control
Riesgo residual
Anti-Spyware
21
22
3.3 Clasificacin
de
los
riesgos
segn
la
consecuencia e impacto
Segn la consecuencia o impacto, el riesgo puede clasificarse en bajo, medio y alto. Para poder clasificar los
riesgos en esta categora, la organizacin debe plantearse la pregunta qu tan malo sera si ocurriera?, por cada
riesgo analizado. Un riesgo se considera bajo cuando la consecuencia no perjudica los activos sensibles o tiene
una baja prdida financiera. Cuando el impacto de un riesgo es bajo, la organizacin puede decidir si actuar o
aceptar el riesgo. Por su parte, un riesgo se clasifica como alto, cuando se requieren acciones correctivas
inmediatas. En la tabla 10 se describen cada uno de ellos y se proveen ejemplificaciones.
Tipos de riesgo
Descripcin
Ejemplo
Insignificante
Moderado
Alto
Es importante destacar que las clasificaciones que se realizan sobre el impacto o la consecuencia de un riesgo, es
particular para cada organizacin y depende de sus intereses y necesidades de seguridad especficas.
23
3.4 Clasificacin
de
los
riesgos
segn
la
probabilidad de ocurrencia
Segn la probabilidad de ocurrencia, los riesgos se pueden clasificar como probables e improbables. Un riesgo se
considera probable cuando se espera que ocurra en la mayora de las circunstancias y se considera improbable
cuando puede ocurrir bajo circunstancias excepcionales
Como se puede observar, en esta clasificacin el riesgo siempre tendr un espacio de ocurrencia que depender
de las circunstancias detonadoras del mismo. En la tabla 11 se presentan algunos ejemplos de ambos tipos.
Riesgo
Ejemplo
Probable
Improbable
Tabla 11. Ejemplos de riesgos segn su probabilidad
Fuente: elaboracin propia
24
Definicin
Acceso
Ingreso de informacin
Procesamiento
Estructura organizativa
25
de
riesgo
en
sistemas
de
informacin
Amenaza
Nivel de riesgo
Vulnerabilidad
Recurso asociado
con la amenaza
Recurso asociado
con la
vulnerabilidad
Acceso de personal
interno o externo a
informacin sensible
Acceso
Falta de segregacin
de funciones en el
sistema de
informacin.
Falta de controles en
los campos que
permiten el ingreso de
informacin al
sistema.
Dispositivos de
ingreso de datos
desconfigurados.
Falta de control en los
equipos cliente y en el
Personal interno
Personal externo
Sistema cliente
Servidor
Redes y
telecomunicaciones.
Sistema cliente
Dispositivos
automatizados de
ingreso de datos.
Prdida de
informacin
tems rechazados o en
suspenso
Personal interno
Personal externo
Personal interno
Personal externo
Sistema cliente
Servidor
26
servidor.
Procesamiento
inadecuado de la
informacin
Procesamiento
Prdida de la
continuidad del
servicio.
Estructura
organizativa
Desconfiguracin de
los sistemas.
Cambio a los
Programas
Sistema informtico
Bases de datos
Redes y
telecomunicaciones.
Sistema cliente
Servidor
Bases de datos
Personal interno
Personal interno
Personal interno
Personal interno
Tabla 13. Relacin de los niveles de riesgos de Guerrero y Gmez (2010) con las amenazas y vulnerabilidades del sistema de informacin
Fuente: elaboracin propia
As mismo, relacionando los niveles de riesgo propuestos con los criterios de la seguridad de la informacin
(disponibilidad, integridad, confidencialidad y autenticidad), Guerrero y Gmez (2010), plantean la propuesta
presentada en la figura 14. Recordemos los trminos de disponibilidad, confidencialidad e integridad e
introduzcamos el trmino autenticidad.
Confidencialidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos solo puede ser accedida por personal autorizado.
Integridad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos se corresponde con la real.
Disponibilidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos est a disposicin de quienes tienen acceso y estn autorizados para su uso.
Autenticidad de la informacin: Es la propiedad que permite que no haya duda de quin se hace responsable de
una informacin o prestacin de un servicio, tanto a fin de confiar en l como de poder perseguir posteriormente
los incumplimientos o errores (Ministerio de Administraciones Pblicas, 2012).
27
Figura 14. Relacin de los niveles de riesgo de Guerrero y Gmez (2010) con los criterios de seguridad de
la informacin
Fuente: elaboracin propia
Resumen 1:
Las clasificaciones de los riesgos ayudan a las organizaciones a la toma de decisiones, en la medida en
que permiten detectar cules son los de mayor impacto y probabilidad para poder implementar las
medidas de seguridad necesarias.
Resumen 2:
La organizacin debe tomar la decisin de aceptar los riesgos residuales que quedan remanentes
despus de la aplicacin de controles sobre los riesgos inherentes. No obstante, se debe tener
precaucin en la definicin de dichos controles, ya que si no son adecuados, el impacto del riesgo residual ser igual al
del riesgo inherente.
Resumen 3:
Las causas que originan los espacios de riesgo son diferentes y pueden ser clasificadas como internas o
externas. En todos los casos, una adecuada clasificacin de la probabilidad de ocurrencia y del impacto
es necesaria para la implementacin de salvaguardas adecuadas.
28
Glosario
Activos crticos:
Son todos aquellos bienes materiales e inmateriales que al ser deteriorados, perdidos, divulgados sin
autorizacin, etc., perjudican el patrimonio organizacional.
Amenaza:
Condicin del entorno organizacional relacionado con las tecnologas de informacin, que ante determinada
circunstancia podra ser una fuente de desastre informtico y afectar a los activos de la compaa (Guerrero y
Gmez, 2012).
Caballo de Troya:
Segmentos de programacin en programas, fotografas, videos, documentos para que realicen actividades
indeseadas en los sistemas informticos. Los caballos de Troya pueden ser utilizados tambin como virus,
gusanos o bombas lgicas.
Cumplimiento:
Conjunto de controles establecidos para garantizar una adecuada relacin entre confianza y confiabilidad.
Data diddling:
Modificacin de forma no autorizada de los datos para que los sistemas informticos produzcan informacin
falsa o errnea.
Data Leakage:
Consiste en el robo de informacin de los ficheros de una organizacin con fines de espionaje industrial o
comercial.
Delito informtico:
Figura delictiva, tipificada por la ley en la que haciendo uso de sistemas informticos se atenta contra la
integridad, la disponibilidad y la confidencialidad de los datos y contra los sistemas informticos.
29
Salami:
30
Redondeo de cifras para obtener ganancias de pequeas cantidades de dinero por cada cuenta.
Scavenging:
Consiste en la recopilacin de informacin residual de los sistemas informticos para espionaje industrial o
comercial.
Spyware:
Malware que captura y recopila informacin de los archivos de una organizacin para ser entregados a personal
no autorizado.
Trap doors:
Consiste en la utilizacin de las puertas traseras de los sistemas operativos o sistemas informticos, para acceder
a informacin no autorizada o ejecutar transacciones indeseadas.
Vulnerabilidad:
Situacin generada por la falta de controles que permite concretar una amenaza, y el riesgo es la posibilidad
que una amenaza se materialice y produzca un impacto en la organizacin (Guerrero y Gmez, 2012).
31
Bibliografa y Webgrafa
AS/NZS 4360 (2004). Estndar australiano de administracin de riesgos. Australia: Standards.
Ernst y Young (2010). Seguridad de la informacin en un mundo sin fronteras. Recuperado de
http://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE
/Seguridad_de_la_
informacion_en_un_mundo_sin_fronteras.pdf
Ernst y Young (2012). Cambios en el panorama de los riesgos de TI. Recuperado de
http://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectiv
as_riesgos_TI.pdf
Guerrero, M. y Gmez, L. (2010). Gestin de riesgos y controles en sistemas de informacin (Tesis de maestra).
Bucaramanga: Universidad Industrial de Santander.
Guerrero, M. y Gmez, L. (2012). Risk management and controls in information systems: from the learning to
organizational
transformation.
Estudios
Gerenciales,
28(125).
Recuperado
de
http://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemasinformacion-90199780
Guerrero, M. y Gmez, L. (2011). Revisin de estndares y literatura de gestin de riesgos y controles en
sistemas
de
informacin.
Estudios
Gerenciales,
27(121).
http://www.icesi.edu.co/estudios_gerenciales/es/Consulta_de_ejemplares.php
ISACA (2014). Marco de riesgos de TI. http://www.isaca.org/Knowledge-Center/Research/Documents/Risk-ITFramework_fmk_Spa_0610.pdf
ITGI (2013). Information Risks: Whose Business
Center/Research/Documents/info-risks-whose-business.pdf
Are
They?
http://www.isaca.org/Knowledge-
Ministerio de Administraciones Pblicas (2012). MAGERIT. Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Madrid: Ministerio de Administraciones Pblicas.
Ross, R. (2008). Managing Risk from Information Systems. Recommendations of the National Institute of
Standards and Technology. Gaithersburg: NIST Special Publication 800-39.
32
Steinberg, R. (2001).Governance, Risk Management, and Compliance: It Can't Happen to Us--Avoiding Corporate
Disaster While Driving Succes. Editorial Wiley.
Westerman, G. (2007). Hunter, R. IT Risk: Turning Business Threats into Competitive. Editorial Harvard Business
School Press.
33
Crditos
El curso Gestin de Riesgo de TI es propiedad de la Universidad Cooperativa de Colombia y hace parte de la
Especializacin en Docencia Universitaria. Algunas imgenes se relacionan con su respectiva fuente y otras
fueron creadas por el autor de los contenidos, con el diseo posterior del equipo de produccin. El contenido del
curso est protegido por las leyes de derechos de autor que rigen al pas.
Este material tiene fines educativos.
Autor
Marlene Lucila Guerrero Julio
Decana de la Facultad de Ingenieras de la Universidad
Cooperativa de Colombia, sede Bucaramanga, a cargo de
los programa de Ingeniera de Sistemas, Ingeniera de
Mercados, Maestra en Tecnologas de la informacin y
las Comunicaciones y Maestra en Gestin de Tecnologas
de la Informacin (modalidad virtual).
Experiencia en procesos de acreditacin de programas y
registro calificado de programas nuevos y en renovacin.
Docente investigadora en las reas de Informtica Educativa, Gestin de riesgos y controles en sistemas de informacin,
Gestin de tecnologas de la informacin y auditora de sistemas. Miembro del grupo de investigacin GITI de la
Universidad Cooperativa de Colombia.
Experiencia en la aplicacin de pruebas de auditora que permitan reconocer y evidenciar riesgos y en el establecimiento de
controles pertinentes a los sistemas y tecnologas de la informacin a travs de la experiencia adquirida en la utilizacin del
estndar COBIT (Control Objectives for Information and realted Technology) y de la membresa honoraria de ISACA
(Information System Audit and Control Association) as como de los lineamientos de la Organizacin Internacional del
Trabajo OIT.
34
Responsable Acadmico
Marlene Lucia Guerrero Julio
Decana Facultad de Ingenieras
Sede Bucaramanga
35
Direccin General
Direccin Nacional de Innovacin y Tecnologas
Educativas
Produccin y Montaje
Subdireccin E-learning
Angelica Ricaurte Avendao
Subdirectora Nacional E-Learning
36
37