Resumen— En ell presente artículo se abordaran temas en elámbito de la seguridad informática tales como los activos deinformación, vulnerabilidades, amenazas, riesgos y controlesinformaticos, para finalmente llegar a la contextualización de ControlInterno Informático.

Palabras Clave: activo, amenaza, control, riesgo, controlinterno informático, vulnerabilidad. .

Abstrac – In this article topics were addressed in the field ofcomputer security such as information assets, vulnerabilities,threats, risks and computerized controls, and finally to thecontextualization of Internal Control Computer.

Keywords: asset, threat, risk, internal control computer,vulnerability.

I.INTRODUCCIÓN

Los activos de información y los activos informáticos engeneral son quizás los más importantes para una empresa;Salvaguardar la seguridad de estos implica identificar lasvulnerabilidades, las amenazas y los riesgos de estos y buscarmecanismos de control que impliquen contrarrestar ataques encontra de los mismos, mediante controles y políticas biendefinidas y la implementación de funciones propias del área deTICs, ejemplo de ello es la implementación del controlinterno. Teniendo en cuenta lo anterior, en el presente articulose trataran todos estos temas con el fin de contextualizar elcontrol interno informático como factor importante dentro dela seguridad de la información y de los activos informáticos engeneral.

II. DESARROLLO

1. ACTIVOS INFORMÁTICOS

De acuerdo a la norma ISO 27001 se puede decir que “Unactivo en relación con la seguridad de la información, serefiere a cualquier información o sistema relacionado con eltratamiento de la misma que tenga valor para la organización.Cualquier cosa que tiene valor para la organización. Todos losactivos deberían estar claramente identificados,confeccionando y manteniendo un inventario con los másimportantes.

Activos de información bases de datos, documentación,manuales, software, hardware, contratos equipo decomunicaciones, servicios informáticos y de comunicaciones,utilidades generales como por ejemplo calefacción,iluminación, energía y aire acondicionado y las personas, queson quienes generan, transmiten y destruyen información.”Una clasificación general podría ser:

Figura 3: Clasificación de activos de Información

2. VULNERABILIDADES

Las vulnerabilidades en un sistema informático son todasaquellas debilidades que se están presentando en el sistema, locual hace susceptible de ser afectado, alterado o destruido poralguna circunstancia indeseada, que afectan al funcionamientonormal o previsto de dicho sistema informático.

Dentro de los tipos de vulnerabilidades que se puedenpresentar en la empresa se encuentran:

a) Vulnerabilidades Físicas: Este tipo de vulnerabilidadesse pueden encontrar en el edificio o entorno físico. Serelacionan con la posibilidad de entrar o accederfísicamente al lugar donde se encuentra el sistema pararobar, modificar o destruir el mismo. Esta vulnerabilidadse refiere al control de acceso físico al sistema.

1

RIESGO Y CONTROL INFORMATICOMomento Final

Jaider F. Contreras PuentesEscuela de Ciencias Básicas Tecnología e Ingeniería, Universidad Nacional Abierta a Distancia

Bogotá, Colombia

jaider.contreras@gmail.com

b) Vulnerabilidades Naturales: Se refiere al grado en queel sistema puede verse afectado debido a los fenómenosnaturales que causan desastres.

Las vulnerabilidades pueden ser:

No contar con un espejo del sistema en otro lugargeográfico en caso de inundaciones o terremotos.

No disponer de reguladores, no-breaks, plantas deenergía eléctrica alterna

Tener una mala instalación eléctrica de los equipos,en caso de rayos, fallas eléctricas o picos altos depotencia.

Además de que las instalaciones se encuentren enmal estado, no contar con un adecuado sistema deventilación y calefacción para que los equipos entemperaturas de 18 y 21 °C y se tenga una humedadentre 48 y 65%.

En caso de inundaciones, el no contar con paredes,techos impermeables y puertas que no permitan elpaso del agua.

No estar informado de las condiciones climatológicaslocales al construir un centro de cómputo o paratomar medidas en determinado tiempo.

c) Vulnerabilidades de Hardware: El no verificar lascaracterísticas técnicas de los dispositivos junto con susrespectivas especificaciones, la falta de mantenimientodel equipo. Desde el punto de vista del hardware, ciertostipos de dispositivos pueden ser más vulnerables queotros. Así, pueden existir algunos sistemas que no cuentencon la herramienta o tarjeta para poder acceder a losmismos; adquirir un equipo de mala calidad o hacer unmal uso del mismo, tener el equipo de cómputo expuestoa cargas estáticas, etc.

d) Vulnerabilidades de Software: Ciertas fallas odebilidades de los programas del sistema hace más fácilacceder al mismo y lo hace menos confiable. Este tipo devulnerabilidades incluye todos los errores deprogramación en el sistema operativo u otros deaplicaciones que permite atacar al sistema operativo desdela red explotando la vulnerabilidad en el sistema.

e) Vulnerabilidades de Red: La conexión de lascomputadoras a las redes supone un enorme incrementode la vulnerabilidad del sistema, aumentaconsiderablemente la escala de riesgos a que está

sometido, al aumentar la cantidad de gente que puedetener acceso al mismo o intenta tenerlo. También se añadeel riesgo de intercepción de las comunicaciones:

Se puede penetrar al sistema a través de la red.

Interceptar información que es transmitida desde ohacia el sistema.

Se debe tener cuidado en que el centro de cómputo notenga fallas debido a una mala estructura y en el diseñodel cableado estructurado por no seguir ningún estándarpara el diseño e implementación del mismo.

f) Vulnerabilidades Humanas: Algunas de las diferentesvulnerabilidades humanas se tienen:

Contratar personal sin perfil psicológico y ético.

No tener personal suficiente para todas las tareas.

El descuido.

El cansancio.

Maltrato del personal, así como la malacomunicación con el personal, malos entendidos.

Personal irresponsable, que descuida el acceso a suárea de trabajo.

No tener servicio técnico propio de confianza.

No instruir a los usuarios para que eviten responder apreguntas sobre cualquier característica del sistema.

No asegurarse de que las personas que llaman porteléfono son quienes dicen ser.

El no tener control de acceso o acceso basado enrestricciones de tiempo.

No contar con guardias de seguridad.

No tener un control de registros de entrada y salidade las personas que visitan el centro de cómputo.

3. AMENAZAS

Una amenaza en su más simple definición es todo aquelelemento o acción que es capaz de atentar contra la seguridadde la información.

2

Las amenazas surgen a partir de la existencia devulnerabilidades, es decir que una amenaza depende de laexistencia de una vulnerabilidad, que pueda ser aprovechada, eindependientemente de que se comprometa o no la seguridadde un sistema de información.

Tipos de amenazas:

Las amenazas pueden clasificarse en dos tipos:

Intencionales: Son aquellas que se producendeliberadamente con el intento de producir un daño, entrelas cuales se tienen los robos de información bajoaplicación de técnicas de trashing, también se encuentrantécnicas de propagación de código malicioso y lastécnicas de ingeniería social.

No intencionales: las cuales se producen por acciones uomisiones de acciones que si bien no buscan explotar unavulnerabilidad, ponen en riesgo los activos deinformación y pueden producir un daño a la misma,ejemplo de ello se tiene las relacionadas con fenómenosnaturales.

4. RIESGO

La ISO define al riesgo como “La probabilidad de que unaamenaza se materialice, utilizando la vulnerabilidad existentesde un activo o grupos de activos, generándoles pérdidas odaños”.

El riesgo es el resultado de las pérdidas ocasionadas por unacausa multiplicado por la probabilidad de ocurrencia (R = P *C).

Tipos de Riesgo

Riesgo Crítico

Riesgos que tienen la mayor calificación dentro de unconjunto de riesgos que podrían presentarse en una operacióno sistema. También se define como un riesgo de prioridadalta, de acuerdo con la evaluación de riesgos potenciales.

Riesgo Potencial

Es el riesgo inherente o asociado con la naturaleza de lasoperaciones. Este riesgo no tiene en cuenta los controlesestablecidos.

Riesgo Residual

Es el riesgo no cubierto por los controles establecidos.

¿Qué es la administración del riesgo?

Es el proceso mediante el cual se establecen medidas decontrol y de seguridad para reducir a niveles aceptables deriesgo residual los riesgos críticos y potenciales.

¿Qué es el análisis de riesgos?

Es el medio por el cual los riesgos son identificados yevaluados para justificar las medidas de seguridad o controles.

Algunos ejemplos de riesgos que se pueden presentar son lossiguientes:

Daño o Destrucción de Activos Hurto o Fraude Desventaja Competitiva Sanciones Legales Perdida de Negocios y Credibilidad Pública Pérdida de dinero por exceso de desembolsos Decisiones erróneas Pérdida de Ingresos

5. CONTROL INTERNO INFORMÁTICO

Para reducir los riesgos, vulnerabilidades y evitar o prevenirlas amenazas, las empresas deben contar con mecanismos ycontroles a través de implementación de SGSI y con ellopolíticas de seguridad informática. Así mismo se debe contaren el área de tecnologías de la empresa con mecanismos yprocedimientos claves que permitan mantener el control detodas esas incidencias, amenazas que comprometan laseguridad de la información y de la informática en general, espor ello que aparece el concepto de control internoinformático, el cual está definido como una función deldepartamento o área de Tics o Sistemas de una organización,cuyo objetivo es el de controlar que todas las actividadesrelacionadas a los sistemas de información automatizados serealicen cumpliendo las normas, estándares, procedimientos ydisposiciones legales establecidas interna y externamente.

Objetivos del control interno informático:

Controlar que todas las actividades se realizancumpliendo los procedimientos y normas fijados,evaluar su bondad y asegurarse del cumplimiento delas normas legales.

Asesorar sobre el conocimiento de las normas

Colaborar y apoyar el trabajo de AuditoríaInformática interna/externa

3

Definir, implantar y ejecutar mecanismos y controlespara comprobar el grado de cumplimiento de losservicios informáticos.

Realizar en los diferentes sistemas y entornosinformáticos el control de las diferentes actividadesque se realizan.

Implementar los métodos, técnicas y procedimientosnecesarios para coadyuvar al eficiente desarrollo delas funciones, actividades y tareas de los servicioscomputacionales, para satisfacer los requerimientosde sistemas en la empresa.

Establecer las acciones necesarias para el adecuadodiseño e implementación de sistemas computariza-dos, a fin de que permitan proporcionar eficientemen-te los servicios de procesamiento de información enla empresa.

Componentes del Control Interno

Ambiente de control: Proporciona un medio en elcual las personas realizan sus actividades y lleva acabo sus responsabilidades de control. Estecomponente es el principal para la administraciónefectiva del riesgo; A través de este componente seprovee la disciplina y estructura de todos loscomponentes involucrados, y se logra formarmediante entrenamientos al personal, códigos deconducta, etc.

Evaluación de riesgo: Dentro del ambiente decontrol. La gerencia realiza una evaluación de losriesgos para lograr los objetivos propuestos, y lo hacea nivel organizacional y a nivel de actividad. Es porello que el prerrequisito para llevar a acbo dichaevaluación es el establecimiento de los objetivos. Elproceso incluye: determinar que tan significativo esel riesgo, evaluar la probabilidad de que ocurra o lafrecuencia con que se produce y evaluar las accionesque deben ser adoptadas.

Actividades de control: Son las que están diseñadaspara responder a los riesgos en toda la organizaciónejemplo de ellas son las aprobaciones, autorizaciones,revisiones y segregación de funciones. Estosprocedimientos de control pueden ser: controles demonitoreo, gerenciales, independientes, deprocesamiento de información y controles desalvaguarda de activos.

Información y comunicación: los canales decomunicación involucran a los niveles internos yexternos de la organización, en muchas

oportunidades la comunicación de fuentes externasproporciona información importante acerca delfuncionamiento del control interno. Medir la calidadde la información implica determinar si: el contenidoes adecuado, la información es oportuna, lainformación es actual, la información es precisa, lainformación es accesible

Monitoreo: Son Todas esas actividades de control yprocesos operativos revisadas por un nivel jerárquicomayor para realizar un control de calidad sobre lamarcha. Este proceso incluye la administración ysupervisión regular de las actividades.

Tipos de controles:

Según el ambiente informático, el control interno sematerializa fundamentalmente en controles de dos tipos:

Controles manuales: Son aquellos ejecutados por elpersonal del área usuaria o de informática sin lautilización de herramientas computacionales.

Controles Automáticos: Son los incorporados en elsoftware, llos cuales pueden ser de operación, decomunicación, de gestión de base de datos,programas de aplicación, etc.

Según su finalidad se clasifican en:

Controles Preventivos: Son los que se usan paratratar de evitar la producción de errores o hechosfraudulentos, como por ejemplo el software deseguridad que evita el acceso a personal noautorizado.

Controles Detectivos: Son aquellos controles quepermiten descubrir errores o fraudes posteriores o queno han sido posible evitarlos con controlespreventivos.

Controles Correctivos: Son los que buscan asegurarque se subsanen todos los errores identificadosmediante los controles detectivos.

Funciones del control interno informático:

Las funciones del control interno informático son lassiguientes:

Difundir y controlar el cumplimiento de las normas,estándares y procedimientos al personal deprogramadores, técnicos y operadores.

Diseñar la estructura del Sistema de Control Interno de laDirección de Informática en los siguientes aspectos:

Desarrollo y mantenimiento del software de aplicación.

Explotación de servidores principales

4

Software de Base

Redes de Computación

Seguridad Informática

Licencias de software

Relaciones contractuales con terceros

Cultura de riesgo informático en la organización

IMPLANTACION DE UN SISTEMA DE CONTROLESINTERNOS INFORMATICOS

Para la implantación de un sistema de controles internosinformáticos es necesario definir los siguientes aspectos:

Gestión de sistema de información: Son todas aquellaspolíticas, pautas y normas técnicas que sirven de base parael diseño y la implantación de los sistemas de informacióny de los controles correspondientes.

Administración de sistemas: Se refiere a los controlessobre la actividad de los centros de datos y otras funcionesde apoyo al sistema, incluyendo la administración de lasredes.

Seguridad: Este aspecto incluye las tres clases decontroles fundamentales implantados en el software delsistema, integridad del sistema, confidencialidad (controlde acceso) y disponibilidad.

Gestión del cambio: Determina la separación de laspruebas y la producción a nivel del software y controles deprocedimientos para la migración de programas softwareaprobados y probados.

Áreas de aplicación de los controles informáticos:

Controles generales organizativos

Son la base para la planificación, control y evaluación por laDirección General de las actividades del Departamento deInformática, y debe contener la siguiente planificación:

Plan Estratégico de Información realizado por elComité de Informática.

Plan Informático, realizado por el Departamento deInformática.

Plan General de Seguridad (física y lógica).

Plan de Contingencia ante desastres.

Controles de desarrollo y mantenimiento de sistemasde información

Permiten alcanzar la eficacia del sistema, economía,eficiencia, integridad de datos, protección de recursos ycumplimiento con las leyes y regulaciones a través demetodologías como la del Ciclo de Vida de Desarrollo deaplicaciones.

Controles de explotación de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel deplanificación, adquisición y uso del hardware así como losprocedimientos de, instalación y ejecución del software.

Controles en aplicaciones

Toda aplicación debe llevar controles incorporados paragarantizar la entrada, actualización, salida, validez ymantenimiento completos y exactos de los datos.

Controles en sistemas de gestión de base de datos

Tienen que ver con la administración de los datos paraasegurar su integridad, disponibilidad y seguridad.

Controles informáticos sobre redes

Tienen que ver sobre el diseño, instalación, mantenimiento,seguridad y funcionamiento de las redes instaladas en unaorganización sean estas centrales y/o distribuidos.

Controles sobre computadores y redes de área local

Se relacionan a las políticas de adquisición, instalación ysoporte técnico, tanto del hardware como del software deusuario, así como la seguridad de los datos que en ellos seprocesan.

CUADRO DEL CONTROL INTERNO EN EL ÁREA DEINFORMÁTICA

TIPO DECONTROL

ASPECTOS INVOLUCRA-DOS

Controles internossobre la organizacióndel área deinformática

Dirección División del trabajo Asignación de responsabilidad

y autoridad Establecimiento de estándares y

métodos Perfiles de puestos

Controles internossobre el análisis,

Estandarización de metodologí-as para el desarrollo de proyec-

5

desarrollo eimplementación desistemas

tos Asegurar que el beneficio de los

sistemas sea óptimo Elaborar estudios de factibilidad

del sistema Garantizar la eficiencia y efica-

cia en el análisis y diseño de sistemas

Vigilar la efectividad y eficien-cia en la implementación y mantenimiento del sistema

Optimizar el uso del sistema pormedio de su documentación

Controles internossobre operación delsistema

Prevenir y corregir los errores de operación

Prevenir y evitar la manipula-ción fraudulenta de la informa-ción

Implementar y mantener la se-guridad en la operación

Mantener la confiabilidad, oportunidad, veracidad y sufi-ciencia en el procesamiento de la información de la institución

Controles internossobre losprocedimientos deentrada de datos, elprocesamiento deinformación y laemisión deresultados.

Verificar la existencia y funcio-namiento de los procedimientosde captura de datos

Comprobar que todos los datossean debidamente procesados

Verificar la confiabilidad, vera-cidad y exactitud del procesa-miento de datos.

Comprobar la oportunidad, con-fiabilidad y veracidad en la emi-sión de los resultados del proce-samiento de información.

Controles internossobre la seguridad delárea de sistemas

Controles para prevenir y evitar las amenazas, riesgos y contin-gencias que inciden en las áreasde sistematización.

Controles sobre la seguridad fí-sica del área de sistemas

Controles sobre la seguridad ló-gica de los sistemas.

Controles sobre la seguridad de las bases de datos

Controles sobre la operación de los sistemas computacionales

Controles sobre seguridad del personal de informática

Controles sobre la seguridad de la telecomunicación de datos

Controles sobre la seguridadde redes y sistemas multiusua-rios

III. CONCLUSIONES

La importancia de la seguridad informática en lasorganizaciones radica en proteger los activos informáticos delas mismas, para ello es necesario conocer y determinarclaramente los mismos a través de un inventario e identificarlas vulnerabilidades, amenazas y posibles controles ante unescenario de riesgos dispuestos en una matriz de riesgos.

El control interno informático es un mecanismo y/o función devital importancia que deben ejecutar las áreas o departamentosde Informática o TICs, con el fin de brindar controlesadecuados para cada uno de los activos informáticos de lasempresas dentro de un proceso de implementación de gestiónde la seguridad informática.

IV. REFERENCIAS BIBLIOGRAFICAS

[1]Amenazas a la seguridad de la información. Recuperado de:http://www.seguridadinformatica.unlu.edu.ar/?q=node/12.

[2] Riesgos informáticos. Recuperado de: http://audisistemas2009.galeon.com/productos2229079.html

[3]Evaluación de riesgos. Recuperado de: http://www.segu-info.com.ar/politicas/riesgos.htm

[4] Control interno informático. sus métodos y procesamientos. las herramientas de control. Recuperado de: https://noris14.wordpress.com/2011/06/10/control-interno-informatico/

[5] Evolución del control interno informático. Recuperado de:http://joseluis371990.blogspot.com/

V. BIOGRAFIA

Jaider Contreras Puentes nació enSincelejo Sucre, Colombia, el 25 deSeptiembre de 1983. Se graduó en 2006como Ingeniero de Sistemas en laCorporación Universitaria del Caribe. Susexperiencias profesionales incluyen lacorporación autónoma regional de Sucre(CARSUCRE), el SENA, ParqueSoft,

entre otras, actualmente se desempeña como ingeniero desistemas dentro de la Oficina de Tecnologías de laInformación de la Unidad de Restitución de Tierras.

6