Riesgos y Control Interno Informtico

Unidad 2: Fundamentos de Control Interno

informtico
Palacio Miranda Freddy Arturo, Garcia Guacaneme Ral, Caucali Beltrn diana Marcela,

Universidad Nacional Abierta y a Distancia UNAD

Especializacin en Seguridad en Informtica
23304_225 Riesgos y Control Informtico

I. INTRODUCCIN
En este documento y con el desarrollo de la gua de trabajo colaborativo 2, se dar a
conocer lo concerniente a los contenidos de la Unidad No.2. Fundamentos de Control
Interno informtico, vamos a afianzar y fortalecer los fundamentos tericos y prcticos
sobre el tema de control interno informtico enfocados a la seguridad informtica y de la
informacin.
Adems conoceremos los estndares ms usados a nivel internacional para llevar a cabo el
proceso de definicin de controles y gestin de riesgos aplicados a la seguridad informtica
y de la informacin.

II. OBJETIVOS
1. Determinar los recursos afectados y analizar la causa que origina cada uno de los riesgos
encontrados, los recursos afectados pueden ser HW hardware, SW software, TH talento
humano, y ORG.
2. Proponer un sistema de control interno informtico para la organizacin que ha sido
analizada por cada uno de los estudiantes de acuerdo a los estndares de control ISO 27002.
3. Realizar el tratamiento de los riesgos encontrados en la matriz de riesgos teniendo en
cuenta que pueden ser aceptados, transferidos o que se puede definir los controles que
ayuden a mitigarlos.

Matriz de Riesgos con Valoracin

CATEGORA DE
ACTIVO

1. Comunicaciones

SERVICIO DE
RED

VULNERABIL
IDAD

CAUSA

CONTROLES
ISO 27002

Humana: falta de
capacitacin,
tecnolgica:
actualizacin de los
sistemas

* A.13.1.2. Seguridad
de los servicios de
red.
* A.14. Adquisicin,
desarrollo y
mantenimiento de
sistemas.

Medio (0.8)

Moderado (0.8)

0.64
Medio

SW

Tecnolgica: falta
de actualizacin

* A.14.2.2.
Procedimiento de
Medio (0.8)
control de cambios en
sistemas.

Moderado (0.8)

08
Medio

SW

Tecnolgico y
fsico

A.9.4. Control de
Acceso a Sistemas y
Aplicaciones.

Catastrfico (1)

1
Fuerte

HW

Fallas en la red Daos de la red Humana, fsicos y A.13.2. Transferencia

Bajo (0.4)
telefnica
telefnica
tecnolgico
de informacin.

Leve (0.5)

0.2
Bajo

HW

Cortes
Conocimiento de
servicio
informacin tarda
internet

AMENAZA

RIESGO

Desarrollo
tecnolgico
informtico

Deficiencias en
los
requerimientos
Falta de personal
presentados y en que brinde soporte
el mantenimiento a los aplicativos
de la herramienta
desarrollada.

Desarrollo
tecnolgico
informtico

Obsolescencia de Ausencia
herramientas
herramientas
tecnolgicas
tecnolgicas

Retraso en los
Equipos
de enlaces de los
comunicaciones
equipos
de
comunicaciones
Falta
de
Red telefnica
comunicacin
entre empleados
Comunicacin
Internet
no permanente la
red
La interceptacin
de informacin
que
es
Red Informtica
transmitida
desde o hacia el
sistema.

2. Tecnologa

Presencia
software
malicioso
Software

Hardware

Red

Aplicacin
limitada de las
herramientas
informticas
desarrolladas

Desarrollo y
de aplicacin de
herramientas
tecnolgicas no
autorizadas

Daos presentados Daos de los

en los equipos de equipos de
comunicaciones
comunicaciones

Alto (1)

IMPACTO

Riesgo
Inherente

RIESGO
AFECTADO

del
de Tecnolgico

Alto (1)

Catastrfico (1)

1
Fuerte

HW

Penetracin
del Intercepcin de
sistema a travs de las
Tecnolgico
la red
comunicaciones

A.6.1.1. Seguridad de
la Informacin Roles Alto (1)
y Responsabilidades.

Catastrfico (1)

1
Fuerte

HW

Tecnolgico:
actualizacin de
software

A.14.2.4.
Restricciones sobre
los cambios de
paquetes de software.

Moderado (0.8)
0.64
Medio

SW

Tecnolgico:
Software

A.9.4. Control de
Acceso a Sistemas y
Aplicaciones.

Tecnolgico y
fsico

A.11.2.4.
Mantenimiento de
equipos.

1
Fuerte

HW

Humano y fsicas

A.11.2.9. Poltica de
escritorio limpio y
pantalla limpia.

de Instalacin
programas
innecesarios

de

Daos en
software
Registro
Conflictos en los
inadecuado
de
recursos
programas
de
compartidos
windows
Falla
en
la
memoria, fuente,
disipadores, board,
Presenta
disco duro, etc
Daos en
software
Hardware
malicioso
Consumo
de
alimentos en las
reas de trabajo
Administracin
de la red

PROBABILIDAD

Daos
en
los Fallas en la red
dispositivos
de
comunicacin
(rack, servidores,

Medio (0.8)

Catastrfico (1)
Alto (1)

Fsicos

A.13.1. Gestin de
Seguridad de Redes

Medio (0.8)

Moderado (0.8)

0.64
Medio

HW

CATEGORA DE
ACTIVO

SERVICIO DE
RED

VULNERABIL
IDAD

AMENAZA

RIESGO

CAUSA

CONTROLES
ISO 27002

PROBABILIDAD

IMPACTO

Riesgo
Inherente

RIESGO
AFECTADO

touters)

3. Seguridad Fsica

Problemas en la
configuracin de
Fallas en la los parmetros de
administracin
seguridad
del
de los aplicativos servidor
del
sistema
de
informacin
Denegacin del
Sistemas
de servicio a travs Falta de soporte y
Informacin
de
mltiples mantenimiento de
consultas
fabrica
concurrentes
Problemas en la
oportunidad de la Fallas
en
los
atencin en los controles para el
diferentes
acceso fsico a los
sistemas
de servidores
informacin
Referencia
de
repuestos
El
constante
descontinuados
cambio
Aceleracin
de
tecnolgico
nuevas tecnologas
Dispositivos de red genera que las
generando
herramientas
discontinuidad de
adquiridas entren
las mismas en un
en inoperancia.
corto periodo de
tiempo
Falta
de
Ausencia
de dispositivos para
Hardware
Hardware
buen
funcionamiento
Infraestructura
red

de Violacin
autorizacin

de Personas
autorizadas

Infraestructura
red

de Perdida
hardware

de

Infraestructura
red

de

Riesgos fsicos

no

Humana, Falta de
A.9.4. Control de
actualizacin de los
Acceso a Sistemas y
sistemas de
Aplicaciones.
seguridad
Violacin de los
sistemas de
Informacin

Catastrfico (1)

Desconocimiento
tecnolgico.

A.12.1.
Procedimientos
operacionales y
responsabilidades.

Humana

A.11.1.2. Controles
Fsicos de entrada.

Tecnologa

A.12.6. Gestin de
vulnerabilidad
tcnica.

Actualizacin
tecnolgica

A.12.5.1. Instalacin
de software en
sistemas operativos.

Humana

A.11.1.
Seguras.

Vandalismo

Humana

A.11.1.2. Controles
Bajo (0.4)
Fsicos de entrada.

Incendios

Humana y fsicos A.11.2.1. Ubicacin y

por cortos circuitos proteccin de los Alto (1)
que puedan ocurrir equipos.

Obsolescencia
Tecnolgica

Robos
hardware

de

Perdida
de
Daos en hardware
equipos
en
Terremotos
y software
funcionamiento

Punto de energa Funcionamiento Perdida

del Fallas elctricas
elctrica
irreparable
de funcionamiento
dispositivos
correcto de equipos

Humanas y Fsicas
Humanas y fsicas

reas

1
Fuerte

SW

0.2
Bajo

HW

Moderado (0.8)

0.32
Bajo

HW

moderado(0.8)

0.32
Bajo

ORG

Catastrfico (1)

1
Fuerte

ORG

Catastrfico (1)

1
Fuerte

ORG

Alto (1)

Leve (0.5)

Bajo (0.4)

Bajo (0.4)

A.11.1.4. Proteccin
contra
amenazas
Alto (1)
externas
y
ambientales.
A.11.2.2. Servicios Bajo (0.4)
Pblicos de soporte.

Leve (0.5)

1
Fuerte

HW

CATEGORA DE
ACTIVO

SERVICIO DE
RED
Hardware

Acceso

4. Manejo de
Personal

5. Proteccin de la
Informacin

6. Seguridad
Lgica

VULNERABIL
IDAD

AMENAZA

Atrasos en el Perdida
de
funcionamiento
informacin
de los procesos
almacenada
Manipulacin de
datos
confidenciales
Tenencia
de
informacin no
autorizada.

RIESGO
la

Humana

A.9.3.1.Uso
de
Alto (1)
informacin secreta.

Catastrfico (1)

1
Fuerte

ORG

Humana

A.10.1.2. Gestin de
Alto (1)
Claves.

Catastrfico (1)

1
Fuerte

ORG

no Suplantacin de
Humana
identidad

A.9.1.1. Poltica de
Alto (1)
Control de Acceso.

Catastrfico (1)

1
Fuerte

ORG

de A.9.2. Gestin de
Alto (1)
Acceso de Usuarios.

Catastrfico (1)

1
Fuerte

ORG

no

Fraude

Accesos
autorizados

Autenticacin

Intentos fallidos

Autenticacin
repetida

Fallas
de Controles
autenticacin
ingreso

Personal

Eficiencia
afectada

Rendimiento
desmejorado

Indisponibilidad
del personal

Informacin

Obtencin
informacin

Informacin

Obtencin
informacin

Informacin

Obtencin
informacin

Informacin

Informacin
veraz

Usuario

Entorpece
funcionamiento

Informacin

Falta
informacin
completa

Backup

Ante cualquier
desastre
la
Perdida de datos
organizacin es
perjudicada

Destinatario

Extraccin
informacin

de Fugas de
Informacin

Humana

A.7.1.2. Trminos y
condiciones del
empleo.

Bajo (0.4)

Moderado (0.8)

0.32
Bajo

TH

Humana y falta de
controles de
seguridad

A.9.2.4. Gestin de
informacin de
autenticacin secreta
de usuarios.

Bajo (0.4)

Moderado (0.8)

0.32
Bajo

ORG

Catastrfico (1)

1
Fuerte

ORG

catastrfico (1)

1
Fuerte

ORG

catastrfico (1)

1
Fuerte

ORG

A.9.2. Gestin de
Alto (1)
Acceso de Usuarios.

catastrfico (1)

1
Fuerte

TH

y
A.12.4. Registro y
de
Alto (1)
Seguimiento.

catastrfico (1)

1
Fuerte

ORG

Alto (1)

catastrfico (1)

1
Fuerte

ORG

Humana y polticas A.9.1.1. Poltica de

Alto (1)
de seguridad
Control de Acceso.

catastrfico (1)

1
Fuerte

ORG

Humana y falta de
A.9.1.1. Poltica de
controles
de
Alto (1)
Control de Acceso.
seguridad
Humana y falta de
de Perdida
de Perdida
de
A.9.1.1. Poltica de
controles
de
Alto (1)
informacin
informacin
Control de Acceso.
seguridad
Personal
A.9.4.1. Restriccin
no
Manipulacin de
involucrado,
Humana
de
acceso
a Alto (1)
informacin
Informacin errada
informacin.
de Robo
informacin

Demora
en Errores
servicios ofrecidos usuario

El estado de Programas
y programas
y archivos
archivos se ve eliminados
afectado
cambiados

RIESGO
AFECTADO
HW

Autorizaciones
no verificadas

de Ausencia
informacin
disponible

Riesgo
Inherente
1
Fuerte

Acciones
sospechosas

de Perdida
informacin

IMPACTO

Catastrfico (1)

de Tecnolgicas
fsicas

Identidad

Archivos
programas

PROBABILIDAD

A.11.1.3. Seguridad
de oficinas, salones e Alto (1)
instalaciones.

Fallas
hardware

Extraccin de datos Accesos

no autorizados
autorizados

de Perdida
informacin

CONTROLES
ISO 27002

CAUSA

de
Eliminacin
real
informacin

y
o

de Accesos
de
informacin
por
medio empleados

de

de
de

No se encuentran
definidas
las
polticas
de
copias
de
seguridad
Acceso a los
programas
y
archivos
por
parte de personal
no autorizado
Informacin
transmitida a un
destinatario
incorrecto

Humana
Humana
controles
seguridad

Tecnolgica, falta
de polticas de A.12.3. Copias
respaldo de los Respaldo.
datos

Humana
tecnolgica

de

y A.13.2. Transferencia Alto (1)

de informacin.

catastrfico (1)

1
Fuerte

ORG

CATEGORA DE
ACTIVO

SERVICIO DE
RED
Programas
archivos

control de acceso

virus

Conclusiones

VULNERABIL
IDAD

AMENAZA

RIESGO

CAUSA

Modificacin de
los programas y
archivos
por Humana
parte
de
los
usuarios
Tecnolgica,
Vulneracin de la Falta de software
Informacin
actualizacin de los
privacidad de la de control de
puesto es peligro
sistemas
de
informacin
acceso
seguridad
Mal
Vulnerable todo
Tecnolgica,
funcionamiento de Entrada de virus
el sistema de
actualizacin de los
software
o y malware
informacin
sistemas
hardware

Vulneracin
y
y funcionamiento
Funcionamiento
errado de la errado
informacin

CONTROLES
ISO 27002

PROBABILIDAD

IMPACTO

Riesgo
Inherente

RIESGO
AFECTADO

A.12.5. Control de
Software
Alto (1)
Operacional.

Catastrfico (1)

1
Fuerte

ORG

A.9.1.1. Poltica de
Alto (1)
Control de Acceso.

Catastrfico (1)

1
Fuerte

SW

A.12.2.
Proteccin
contra
cdigos Alto (1)
maliciosos.

Catastrfico (1)

1
Fuerte

SW

Los riesgos identificados influyen directamente sobre los objetivos de la Gerencia de la empresa, reflejando las principales deficiencias de la misma.

Existen riesgos que dependen del entorno, en los que las polticas gerenciales de la empresa pueden minimizarlos, pero de forma interna no pueden ser evitados.

La Gerencia de la empresa tiene polticas de prevencin para los riesgos, pero estas no garantiza el adecuado control de los mismos.

Bibliografa
-

Ranz Perlaes Eduardo. Evaluacin de control interno en sistemas informticos. Disponible en:
http://www.revistadintel.es/Revista1/DocsNum09/PersAAPP/ranz.pdf
-

ISACA. (2007).COBIT 4.1. Disponible en:http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

Gobierno de Espaa, Portal de Administracin electrnica. MAGERIT V.3: Metodologa de Anlisis y gestin de riesgos de los sistemas de informacin. Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html

Duque Ochoa Blanca R. (2012). Metodologas de gestin de Riesgos (OCTAVE, MAGERIT, DAFP). Disponible en: http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog
%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf.

Yaez de la Melena Carlos, Ibsen Muoz Sigfred Enrique. (2011). Enfoque metodolgico de la auditora a las tecnologas de informacin y comunicaciones. Disponible en:
http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20120829_1.pdf

Gaona Vsquez Karin. (2013). Aplicacin de la metodologa MAGERIT para el anlisis y gestin de riesgos de la seguridad de la informacin aplicado a la empresa pesquera e industrial
Bravito S. A. en la ciudad de Machala. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf

De la Torre Morales Martha Elizabeth, Giraldo Martnez Ingrid, Villalta Gmez Carmen. (2012). Diagnstico para la Implantacin de COBIT en una Empresa de Produccin. Disponible
en: http://dspace.ups.edu.ec/bitstream/123456789/2695/13/UPS-GT000307.pdf