Conceptos de Vulnerabilidad, Riesgo y Amenaza

El proceso de desarrollo del hombre lo ha llevado a conceptualizar elementos de su medio ambiente y las
posibilidades de interacción entre ellos. En principio se tuvo una percepción confusa acerca del término
Vulnerabilidad, esta acepción ha contribuido a dar claridad a los conceptos de Riesgo y Desastre.

El marco conceptual de la vulnerabilidad surgió de la experiencia humana, en situaciones en que la vida

cotidiana era difícil de distinguir de un desastre. Las condiciones extremas, hacían realmente frágil el
desempeño de algunos grupos sociales que dependían del nivel de desarrollo alcanzado y de la planificación
de ese desarrollo.

En este contexto se empezó a identificar en los grupos sociales la vulnerabilidad, como la reducida capacidad
para ajustarse o adaptarse a determinadas circunstancias, y de allí nace el concepto de lo que hoy se conoce
como vulnerabilidad aplicada a diversos campos.

Luego de los aportes conceptuales de diferentes escuelas, la UNDRO y la UNESCO promovieron una reunión
de expertos para proponer la unificación de definiciones, dentro de ellas las siguientes:

Amenaza: es la probabilidad de ocurrencia de un suceso potencialmente desastroso durante cierto periodo de

tiempo, en un sitio dado.

En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo, de un sistema o
de un sujeto expuesto, expresada matemáticamente como la probabilidad de exceder un nivel de ocurrencia
de un suceso con una cierta intensidad, en un sitio específico y durante un tiempo de exposición determinado.

Una amenaza informática es un posible peligro del sistema. Puede ser una persona (cracker), un programa
(virus, caballo de Troya, etc.), o un suceso natural o de otra índole (fuego, inundación, etc.). Representan los
posibles atacantes o factores que aprovechan las debilidades del sistema.

Vulnerabilidad: es el grado de pérdida de un elemento o grupo de elementos bajo riesgo, resultado de la

probable ocurrencia de un suceso desastroso expresada en una escala.
La vulnerabilidad se entiende como un factor de riesgo interno, expresado como la factibilidad de que el sujeto
o sistema expuesto sea afectado por el fenómeno que caracteriza la amenaza.

En el campo de la informática, la vulnerabilidad es el punto o aspecto del sistema que es susceptible de ser
atacado o de dañar la seguridad del mismo. Representan las debilidades o aspectos falibles o atacables en el
sistema informático.

Riesgo específico: es el grado de pérdidas esperadas, debido a la ocurrencia de un suceso particular y como
una función de la amenaza y la vulnerabilidad.

Elementos del Riesgo: son la población, los edificios y obras civiles, las actividades económicas, los
servicios públicos, las utilidades y la infraestructura expuesta en un área determinada.

Riesgo Total: se define como el número de pérdidas humanas, daños a propiedades, efectos sobre la
actividad económica debido a la ocurrencia de un desastre.

El riesgo corresponde al potencial de pérdidas que pueden ocurrirle al sujeto o sistema expuesto, resultado
de la relación de la amenaza y la vulnerabilidad, este concepto puede expresarse como la probabilidad de
exceder un nivel de consecuencias económicas, sociales o ambientales en un cierto sitio y durante un cierto
periodo de tiempo.

En otras palabras, no se puede ser vulnerable sino se está amenazado y no existe una condición de amenaza
para un elemento, sujeto o sistema, si no está expuesto y es vulnerable a la acción potencial que representa
dicha amenaza. Es decir, no existe amenaza o vulnerabilidad independiente, pues son situaciones
mutuamente condicionantes que se definen en forma conceptual de manera independiente para efectos
metodológicos y para una mejor comprensión del riesgo.

En la literatura técnica se hace énfasis en el estudio de la vulnerabilidad y en la necesidad de reducirla

mediante contramedidas o controles que permitan mitigarlos y la intención es la reducción del riesgo.
La seguridad informática, se encarga de la identificación de las vulnerabilidades del sistema y del
establecimiento de contramedidas que eviten que las distintas amenazas posibles exploten dichas
vulnerabilidades. Una máxima de la seguridad informática es que: "No existe ningún sistema completamente
seguro". Existen sistemas más o menos seguros, y más o menos vulnerables, pero la seguridad nunca es
absoluta.

TIPOS DE VULNERABILIDAD EN INFORMÁTICA

No se puede hablar de un sistema informático totalmente seguro, sino más bien de uno en el que no se
conocen tipos de ataques que puedan vulnerarlo, debido a que no se han establecido medidas contra ellos.
Algunos tipos de vulnerabilidad de un sistema son los siguientes:

Vulnerabilidad Física: está a nivel del entorno físico del sistema, se relaciona con la posibilidad de entrar o
acceder físicamente al sistema para robar, modificar o destruirlo.

Vulnerabilidad Natural: se refiere al grado en que el sistema puede verse afectado por desastres naturales o
ambientales, que pueden dañar el sistema, tales como el fuego, inundaciones, rayos, terremotos, o quizás
más comúnmente, fallos eléctricos o picos de potencia. También el polvo, la humedad o la temperatura
excesiva son aspectos a tener en cuenta.

Vulnerabilidad del Hardware y del software: desde el punto de vista del hardware, ciertos tipos de
dispositivos pueden ser más vulnerables que otros, ya que depende del material que está construido. También
hay sistemas que requieren la posesión de algún tipo de herramienta o tarjeta para poder acceder a los
mismos. Ciertos fallos o debilidades del software del sistema hacen más fácil acceder al mismo y lo hacen
menos fiable. Las vulnerabilidades en el software son conocidos como Bugs del sistema.

Vulnerabilidad de los Medios o Dispositivos: se refiere a la posibilidad de robar o dañar los discos, cintas,
listados de impresora, etc.

Vulnerabilidad por Emanación: todos los dispositivos eléctricos y electrónicos emiten radiaciones
electromagnéticas. Existen dispositivos y medios de interceptar estas emanaciones y descifrar o reconstruir la
información almacenada o transmitida.
Vulnerabilidad de las Comunicaciones: la conexión de los computadores a redes supone, sin duda, un
enorme incremento de la vulnerabilidad del sistema ya que aumenta enormemente la escala del riesgo a que
está sometido, al aumentar la cantidad de gente que puede tener acceso al mismo o intentar tenerlo. También
está el riesgo de intercepción de las comunicaciones, como la penetración del sistema a través de la red y la
interceptación de información que es transmitida desde o hacia el sistema.

Vulnerabilidad Humana: la gente que administra y utiliza el sistema representa la mayor vulnerabilidad del
sistema. Toda la seguridad del sistema descansa sobre la persona que cumple la función de administrador del
mismo que tiene acceso al máximo nivel y sin restricciones al mismo. Los usuarios del sistema también
suponen un gran riesgo al mismo. Ellos son los que pueden acceder al mismo, tanto físicamente como
mediante conexión; por eso es que se debe hacer una clara diferenciación en los niveles de los distintos tipos
de vulnerabilidad y en las medidas a adoptar para protegerse de ellas.

TIPOS DE AMENAZAS EN INFORMÁTICA

Hay diversas clasificaciones de las amenazas al sistema informático, todo depende del punto de vista como
se las mire. Una primera clasificación es según el efecto causado en el sistema, las amenazas pueden
clasificarse en cuatro tipos: intercepción, modificación, interrupción y generación.

Intercepción: cuando una persona, programa o proceso logra el acceso a una parte del sistema a la que no
está autorizada. Por ejemplo, la escucha de una línea de datos, o las copias de programas o archivos de
datos no autorizados. Estas son más difíciles de detectar ya que en la mayoría de los casos no alteran la
información o el sistema.

Modificación: este tipo de amenaza se trata no sólo de acceder a una parte del sistema a la que no se tiene
autorización, sino también de cambiar su contenido o modo de funcionamiento. Por ejemplo, el cambiar el
contenido de una base de datos, o cambiar líneas de código en un programa.

Interrupción: se trata de la interrupción mediante el uso dealgún método el funcionamiento del sistema. Por
ejemplo, la saturación de la memoria o el máximo de procesos en el sistema operativo o la destrucción de
algún dispositivo hardware de manera malintencionada o accidental.
Generación: generalmente serefiere a la posibilidad de añadir información a programas no autorizados en el
sistema. Por ejemplo, el anadir campos y registros en una base de datos, o adicionar código en un programa
(virus), o la introducción de mensajes no autorizados en una línea de datos.

La vulnerabilidad de los sistemas informáticos es muy grande, debido a la variedad de los medios de ataque o
amenazas. Fundamentalmente hay tres aspectos que se ven amenazados: el hardware (el sistema), el
software (programas de usuarios, aplicaciones, bases de datos, sistemas operativos, etc.), y los datos.

Desde el punto de vista del origen de las amenazas, estas pueden clasificarse en: naturales, involuntarias e
intencionadas.

Amenazas Naturales o Físicas: las amenazas que ponen en peligro los componentes físicos del sistema son
llamadas naturales, dentro de ellas se puede distinguir los desastres naturales, como las inundaciones, rayos
o terremotos, y las condiciones medioambientales, tales como la temperatura, humedad, presencia de polvo,
entre otros.

Amenazas Involuntarias: Estánrelacionadas con el uso no apropiado del equipo por falta de entrenamiento o
de concienciación sobre la seguridad, algunas de las más comunes son borrar sin querer parte de la
información, o dejar sin protección determinados archivos básicos del sistema, o escribir en un papel o un
post-it con el password o dejar activo el sistema, cuando no estamos usándolo.

Amenazas Intencionadas: las amenazasintencionadas son aquellas que proceden de personas que quieren
acceder al sistema para borrar, modificar o robar la información o sencillamente para bloquearlo o por simple
diversión. Los causantes del daño pueden ser de dos tipos: los externos pueden penetrar al sistema de
múltiples formas, ya sea entrando al edificio o accediendo físicamente al computador, o entrando al sistema a
través de la red o porque el software es vulnerable, o con el acceso a perfiles y operaciones no autorizados.
Los internos pueden ser de empleados que han sido despedidos o descontentos, empleados coaccionados, y
empleados que quieren obtener beneficios personales.
 CONTROL INTERNO INFORMATICO.
SUS METODOS Y PROCESAMIENTOS. LAS HERRAMIENTAS DE CONTROL
CONTROL INTERNO

Definiciones

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo,
en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la
protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y
efectividad de los procesos operativos automatizados. (Auditoría Informática – Aplicaciones en
Producción – José Dagoberto Pinilla)

El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y
las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos
de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se
corregirán.

También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática – Un Enfoque
Práctico – Mario G. Plattini) Tipos

En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos

tipos:

• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.

• Controles Automáticos; son generalmente los incorporados en el software, llámense estos de

operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

• Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como
por ejemplo el software de seguridad que evita el acceso a personal no autorizado.

• Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.

• Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.

Objetivos principales:
• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas

• Colaborar y apoyar el trabajo de Auditoría Informática interna/externa

• Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de

los servicios informáticos.

• Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades
que se realizan.

Control interno informático (función)

El Control Interno Informático es una función del departamento de Informática de una organización,
cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de
información automatizados se realicen cumpliendo las normas, estándares, procedimientos y
disposiciones legales establecidas interna y externamente.

Entre sus funciones específicas están:

• Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de

programadores, técnicos y operadores.

• Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los

siguientes aspectos:

• Desarrollo y mantenimiento del software de aplicación.

• Explotación de servidores principales

• Software de Base

• Redes de Computación

• Seguridad Informática

• Licencias de software

• Relaciones contractuales con terceros

• Cultura de riesgo informático en la organización

Control interno informático (áreas de aplicación)

controles generales organizativos

Son la base para la planificación, control y evaluación por la Dirección General de las actividades
del Departamento de Informática, y debe contener la siguiente planificación:

• Plan Estratégico de Información realizado por el Comité de Informática.

• Plan Informático, realizado por el Departamento de Informática.

• Plan General de Seguridad (física y lógica).

• Plan de Contingencia ante desastres.

Controles de desarrollo y mantenimiento de sistemas de información

Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de
recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo
de Vida de Desarrollo de aplicaciones.

Controles de explotación de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del
hardware así como los procedimientos de, instalación y ejecución del software.

Controles en aplicaciones

Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida,
validez y mantenimiento completos y exactos de los datos.

Controles en sistemas de gestión de base de datos

Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y
seguridad.

Controles informáticos sobre redes

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las
redes instaladas en una organización sean estas centrales y/o distribuidos.

Controles sobre computadores y redes de área local

Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como
del software de usuario, así como la seguridad de los datos que en ellos se procesan.

Función de Control;
En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes,
los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la
seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.
Control interno informático; Cumplen funciones de control dual en los diferentes departamentos,
que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes
determinar los propietarios y los perfiles según la clase de información, permitir a dos personas
intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad
informática, controla la calidad de software, los costos, los responsables de cada departamento,
control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y de controles,
es clara que esta medida permite la seguridad informática.
Metodologías de clasificación de información y de obtención de procedimientos de control;
Es establecer cuales son las entidades de información a proteger, dependiendo del grado de
importancia de la información para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son
programas que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica
del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos
distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de
control de impresión y envío de listados por red, control de proyectos y versiones , gestión de
independencia y control de cambios. Y fisiocs los cifradores.
CONTROL INTERNO INFORMATICO
El control interno informàtico controla diariamente que todas las actividades de sistemas de
informaciòn sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la
dirección de la organización y/o la dirección informática, así como los requerimientos legales.
La función del control interno informático es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y válidas.
Control interno informático suele ser un órgano staff de la dirección del departamento de
informática y está dotado de las personas y medios materiales proporcionados a los cometidos que
se le encomienden.
Como principales objetivos podemos indicar los siguientes:
 Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de las normas legales.
 Asesorar sobre el conocimiento de las normas.
 Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias externas al
grupo.
 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso
adecuados del servicio informático, lo cual no debe considerarse como que la implantación de
los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente
en la función de control interno, si no que cada responsable de objetivos y recursos es
responsable de esos niveles, así como de la implantación de los medios de medida adecuados.
La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
los eficazmente los fines de la organización y utiliza eficiente mente los recursos.
CONTROL INTERNO AUDITOR
INFORMATICO INFORMATICO

PERSONAL INTERNO
Conocimientos especializados en tecnologías de información
verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la dirección informática y la dirección
SIMILITUDES general para los sistemas de información.

Análisis de un momento
informático
determinadoInforma a la
dirección general de la
Análisis de los controles en el día organizaciónPersonal
a díaInforma a la dirección del interno y/o externo tiene
departamento de informática sólo cobertura sobre todos los
personal interno el enlace de sus componentes de los
funciones es únicamente sobre el sistemas de información de
DIFERENCIAS departamento de informática la organización
DEFINICION Y TIPO DE CONTROLES INTERNOS
Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
 Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
 Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad
diaria para detectar errores u omisiones.etc.
 Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido
incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad.
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red,
así como los distintos niveles de control y elementos relacionados:
 Entorno de red:esquema de la red, descripción de la configuración hardware de
comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de entornos de base que soportan
aplicaciones críticas y consideraciones relativas a la seguridad de la red.
 Configuración del ordenador base: Configuración del soporte físico, en torno del sistema
operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y
conjunto de datos.
 Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y
entornos de procesos distribuidos.
 Productos y herramientas: Software para desarrollo de programas, software de gestión de
bibliotecas y para operaciones automáticas.
 Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e
información, integridad del sistema, controles de supervisión, etc.
Para la implantación de un sistema de controles internos informáticos habrá que definir:
 Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base
para el diseño y la implantación de los sistemas de información y de los controles
correspondientes.
 Administración de sistemas: Controles sobre la actividad de los centros de datos y otras
funciones de apoyo al sistema, incluyendo la administración de las redes.
 Seguridad: incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
 Gestión del cambio: separación de las pruebas y la producción a nivel del software y
controles de procedimientos para la migración de programas software aprobados y probados.