RIESGOS INFORMATICOS

Incertidumbre existente por la posible realizacin de un suceso relacionado con la amenaza de dao respecto a los bienes o servicios informticos, como equipos informticos, perifricos, instalaciones, programas de computo, etc. Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y actividades que participan en el rea informtica; y por medio de procedimientos de control se pueda evaluar el desempeo del entorno informtico.

TIPO DE RIESGOS
1. Riesgo de integridad: Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y estn presentes en mltiples lugares, y en mltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema: Interface del usuario: Los riesgos en esta rea generalmente se relacionan con las restricciones, sobre las individualidades de una organizacin y su autorizacin de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregacin de obligaciones. Otros riesgos en esta rea se relacionan a controles que aseguren la validez y completitud de la informacin introducida dentro de un sistema. Procesamiento: Los riesgos en esta rea generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la informacin ha sido completado. Esta rea de riesgos tambin abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio. Procesamiento de errores: Los riesgos en esta rea generalmente se relacionan con los mtodos que aseguren que cualquier entrada/proceso de informacin de errores (Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente. Administracin de cambios: Estos riesgos estn asociados con la administracin inadecuadas de procesos de cambios de organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos. Informacin: Estos riesgos estn asociados con la administracin inadecuada de controles, incluyendo la integridad de la seguridad de la informacin procesada y la administracin efectiva de los sistemas de bases de datos y de estructuras de datos.

2. Riesgos de relacin: Los riesgos de relacin se refieren al uso oportuno de la informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma de decisiones (Informacin y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas). 3. Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la

confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin: Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin. Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos.

4. Riesgo de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: * Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. *Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas. *Backups y planes de contingencia controlan desastres en el procesamiento de la informacin. 5. Riesgos de infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos estn asociados con los procesos de la informacin tecnolgica que definen, desarrollan, mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc. 6. Riesgos de seguridad general: Los estndares IEC 950 proporcionan los requisitos de diseo para lograr una seguridad general y que disminuyen el riesgo: Riesgos Riesgos Riesgos Riesgos Riesgos de choque de elctrico: Niveles altos de voltaje. de incendio: Inflamabilidad de materiales. de niveles inadecuados de energa elctrica. de radiaciones: Ondas de ruido, de lser y ultrasnicas. mecnicos: Inestabilidad de las piezas elctricas.

7. Riesgos de fraudes: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin: Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin. Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos.

Los fraudes pueden ser perpetuados a travs de los siguientes mtodos: Ingeniera Social. Consiste en plantear situaciones para conmover o sobornar a quienes pueden proporcionar la informacin deseada o facilitar la ocurrencia de ilcitos.

 Puertas Levadizas (Fuga o Escape de Datos). El personal puede construir puertas levadizas (rutinas) en los programas de computador para permitir que los datos entren y salgan sin ser detectados. Recoleccin de Basura. Se usa la basura de las aplicaciones de computador, dejada dentro de la instalacin o en su periferia despus de la ejecucin de un trabajo. Los cdigos correctos para accesar los archivos o las terminales, pueden ser obtenidos por los criminales usando los datos residuales que se dejan en la basura. Ir a Cuestas para tener Acceso no Autorizado. es un paseo que se da el perpetrador con la gente influyente y que es aprovechado para realizar sus hazaas de prestidigitador (tramposo) conducente a abrir las lneas de comunicacin, abrir las puertas del centro de cmputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados. La Tcnica del Caballo de Troya. Consiste en insertar una rutina fraudulenta que se activa cuando cierta condicin o una fecha ocurre. Estas rutinas pueden ser introducidas preferiblemente adicionando un cambio no autorizado en el momento de implantar un cambio autorizado. Tcnica del Taladro. Consiste en la utilizacin de una computadora casera para llamar con diferentes cdigos hasta que uno de resultado. Puede ser utilizada para descubrir las contraseas de acceso a terminales. Agujeros del Sistema Operativo o Trampas-Puerta.Trampas-Puerta son deficiencias en los sistemas operacionales. Como en Alicia en el Pas de las Maravillas, existen muchos agujeros que permiten caer en el pas de las maravillas. Superzapping. Utilizacin de programas de acceso universal de algunos computadores (una especie de llave maestra) para pasar por sobre todos los controles normales y permitir el acceso a todos los archivos de datos. Manipulacin de Transacciones. Es el mtodo ms frecuentemente utilizado, consiste en cambiar la informacin antes o durante la entrada al computador. Puede ser perpetrado por cualquier por cualquier persona que tenga acceso al proceso de crear, registrar, transportar, codificar, examinar o convertir la informacin que entra al computador. Se comete agregando transacciones no autorizadas, alterando transacciones, no procesando transacciones o combinando varios mtodos. http://auditoriadesistemas.galeon.com/productos2223863.html

MINIMIZAR RIESGOS
CONTRA VIRUS Como sabemos los virus son una combinacin de gusanos, caballos de troya, joke programas, retros y bombas lgicas. Los cuales suelen ser muy DESTRUCTIVOS. Son Pequeos programas cuyo objetivo es perjudicar el funcionamiento de una computadora por medio de las instrucciones con que fue programado. Existen una infinidad de virus en funcin de su forma de actuar o de su forma de infectar a los ordenadores. En cuanto a las medidas de seguridad para evitar los virus: Realizar copias de seguridad de nuestros datos. No aceptar software que no sean originales o pre-instalado sin el soporte original. Una vez utilizados los discos protegerlos contra escritura. Si es posible, seleccionar el disco duro como arranque por defecto en la BIOS para evitar virus de sector de arranque. Analizar todos los discos nuevos que introduzcamos en nuestro sistema con un antivirus, incluso los discos vacos (por que estos podran contener virus en su sector de arranque). Analizar espordicamente el disco duro arrancando desde el disco original del sistema, para evitar que algn virus se cargue en la memoria previamente al anlisis.

 Actualizar cada uno o dos meses los patrones de los antivirus. Intentar recibir los programas que necesitemos de Internet en los sitios oficiales. Tener mucho cuidado con los archivos que pueden estar incluidos en nuestros correos electrnicos. Tomar en cuenta y analizar tambin los archivos comprimidos y documentos. Instalar un buen firewall: Otra opcin muy recomendable para aumentar la seguridad. Puede bajar alguno gratuito o configurar el del sistema operativo (especialmente si se cuenta con Windows XP). Otros consejos: Prestar mucha atencin si los archivos aumentan de tamao inesperadamente o aparecen avisos extraos de Windows. Tambin evitar descargar programas desde sitios de Internet que despierten sospechas o desconocidos. Ojo tambin nunca reveles contraseas ni nmeros de cuenta o cosa importantes por chat ni por MEDIDAS CONTRA EL PHISHING Nuestro banco nunca nos va a solicitar datos a travs de e-mail, ni siquiera por telfono, por ello nunca rellene ningn formulario de su banco que le llegue a travs de e-mail. Asegrese que la pagina este cifrada con SSL (Secure Sockets Layer) de encriptacin robusta, la tecnologa ms potente para salvaguardar la integridad de la informacin y la autenticidad de quienes intervienen en los intercambios digitales. Un Certificado de Seguridad SSL es necesario para Web: transacciones econmicas seguras. Proteccin de datos sensibles: datos bancarios, tarjetas de crditos. Garantizar la privacidad de la informacin suministrada por el usuario de la pgina Web, protegiendo el proceso de transmisin de datos entre el usuario y el servidor.

Navegadores de ltima generacin como Firefox 2.x e Internet Explorer 7 vienen equipados con herramientas antiphishing. En el caso de Firefox (navegador recomendado por mi), puede reportar la url falsa, el caso quedar registrado en la base de datos de sitios phishing de tal forma que si otro usuario ingresa (usando el mismo navegador Firefox), automticamente se le avisar que ha ingresado a un sitio reportado como falso. Medidas contra la Prdida de Datos: MEDIDAS CONTRA LA PRDIDA DE DATOS. Copia de seguridad o backup: es importante que realice de forma peridica una copia de seguridad. Puede hacerlo de forma manual, guardando la informacin en medios extrables (disco duro rgido, cd-rom grabable, cintas magnticas, discos ZIP, JAZ o magnetopticos) o con programas especialmente creados para realizar copias de seguridad. Existen programas informticos especializados en rescatar datos perdidos, pero de todas formas no siempre ser rescatable el 100% de la informacin. As que es mejor prevenir que tener que lamentar, es decir, realice regularmente copias de seguridad de su informacin. Medidas para protegernos contra el robo de identidad: Contar con una buena contrasea. Para ello es importante evitar contraseas que tengan algn significado, como nuestra fecha de nacimiento, nuestro telfono, etc. Evitar palabras en cualquier idioma, ya que existen sofisticados programas de ataques por diccionario que comprueban las coincidencias con todas las palabras de un idioma. Es importante que la contrasea contenga letras maysculas, minsculas y nmeros. Nunca enviar contraseas por e-mail, Messenger, chats, etc.

 No emplear la misma contrasea para todos los servicios. Intente cambiar peridicamente la contrasea.

Medidas para proteger el acceso a internet: Bloquee la red. Puede (y debe) cambiar la configuracin predeterminada de la contrasea que viene con el router o punto de acceso. Puede encontrar las instrucciones para hacerlo en el manual de instalacin del router. Robo de seal Wi-Fi: Habilitar contrasea de red y de administrador del router inalmbrico. Filtros MAC: Cuando una computadora se conecta a Internet se le asigna una direccin IP. Sin embargo, hay otro tipo de nmero distintivo que no pertenece a la computadora, sino al dispositivo conectado a la red, llamado nmero MAC. Por ello es posible habilitar un filtro para que slo se conecten a nuestra red los dispositivos con un determinado nmero MAC. Lmites DHCP: Una forma sencilla de evitar robos de seal es limitar el nmero de computadoras que pueden conectarse a la misma. Esto es posible a travs del servicio DHCP del router, que se encarga de asignar direcciones IP automticamente a cada computadora que se conecta a l. As, si tenemos dos computadoras, con direcciones IP correlativas, acotaremos el rango entre los nmeros de estas direcciones y as ninguna otra computadora podr entrar a nuestra red porque no habr direcciones IP disponibles. ATAQUES EN LA WEB El resultado de uno de los ataques, es que las bsquedas devueltas por Google, pueden contener enlaces a sitios que han sido comprometidos para que descarguen cdigos que pueden infectar el equipo del visitante. Segn varios informes, el nmero de sitios infectados puede llegar a decenas de miles. El spyware, las ventanas emergentes, el software maligno y los secuestros del navegador son algunos de los peligros que enfrentamos cuando navegamos en la Web. Estas son algunas pautas para prevenir los riesgos de navegar en la Web: Configure el navegador. Los diez minutos que dedique a esta tarea aburrida pueden ahorrarle mucho tiempo y evitarle dolores de cabeza. Vaya a Opciones de Internet Explorer, las pestaas de seguridad y privacidad le brindan la opcin de aumentar los niveles de proteccin, segn la zona de contenido web. Evite o controle los contenidos activos. Al igual que las cookies, los contenidos activos trabajan detrs de bambalinas, por lo que usted no se da cuenta de cundo estn actuando y qu estn haciendo. Se trata de pequeos programas que se ejecutan dentro del navegador, generalmente escritos en lenguajes como ActiveX, JavaScript y Java. Comparta el PC, no sus datos. Si en su casa o en su oficina alguien ms se conecta a la Red desde el mismo computador, o si utiliza un sitio pblico, como un cyber caf, debe ser ms cuidadoso de lo normal a la hora de entregar informacin o de acceder a servicios. Evite visitar sitios inseguros. Si visita sitios de pornografa, pedofilia, piratera de software o terrorismo, entre otros, no se sorprenda si es vctima de un virus o un ataque informtico. Rescate su navegador y elimine el software maligno. Si cuando usted digita mal una direccin web su navegador lo lleva a un sitio de bsquedas que usted no conoca, si Internet Explorer tiene una nueva barra de herramientas que usted nunca instal, si usted intenta entrar a un sitio que sabe que funciona y no puede hacerlo, si no puede evitar las ventanas emergentes y si la navegacin es muy lenta, es muy probable que su navegador haya sido secuestrado. Esto significa que en su PC se instal un software malicioso para que usted visite a las malas unos sitios en particular.

En ese caso, le sugiero que intente bajar alguna herramienta contra el software maligno y los secuestradores. Ad-Aware (www.lavasoftusa.com), Spybot (www.safer-networking.org) y HiJackThis (www.tomcoyote.org/hjt) son algunas de las que yo recomiendo. Las dos primeras herramientas, adems, analizan el disco duro y detectan el spyware y todo tipo de software maligno que se haya instalado en el computador. http://www.wikilearning.com/apuntes/acceso_a_la_red_internet_recomendacionescomo_minimizar_los_riesgos_de_virus_y_otros_ataques_informaticos_cuando_se_navega_por_inter net/26232-6