RIESGO Y CONTROL INFORMATICO

Momento Final

Jaider F. Contreras Puentes

Escuela de Ciencias Bsicas Tecnologa e Ingeniera, Universidad Nacional Abierta a Distancia
Bogot, Colombia
jaider.contreras@gmail.com

Resumen En ell presente artculo se abordaran temas en el

mbito de la seguridad informtica tales como los activos de
informacin, vulnerabilidades, amenazas, riesgos y controles
informaticos, para finalmente llegar a la contextualizacin de Control
Interno Informtico.

Palabras Clave: activo, amenaza, control, riesgo, control

interno informtico, vulnerabilidad. .

Activos de informacin bases de datos, documentacin,

manuales, software, hardware, contratos equipo de
comunicaciones, servicios informticos y de comunicaciones,
utilidades generales como por
ejemplo calefaccin,
iluminacin, energa y aire acondicionado y las personas, que
son quienes generan, transmiten y destruyen informacin.
Una clasificacin general podra ser:

Abstrac In this article topics were addressed in the field of

computer security such as information assets, vulnerabilities,
threats, risks and computerized controls, and finally to the
contextualization of Internal Control Computer.
Keywords: asset, threat, risk, internal control computer,
vulnerability.
I.INTRODUCCIN
Los activos de informacin y los activos informticos en
general son quizs los ms importantes para una empresa;
Salvaguardar la seguridad de estos implica identificar las
vulnerabilidades, las amenazas y los riesgos de estos y buscar
mecanismos de control que impliquen contrarrestar ataques en
contra de los mismos, mediante controles y polticas bien
definidas y la implementacin de funciones propias del rea de
TICs, ejemplo de ello es la implementacin del control
interno. Teniendo en cuenta lo anterior, en el presente articulo
se trataran todos estos temas con el fin de contextualizar el
control interno informtico como factor importante dentro de
la seguridad de la informacin y de los activos informticos en
general.

II.
1.

DESARROLLO

ACTIVOS INFORMTICOS

De acuerdo a la norma ISO 27001 se puede decir que Un

activo en relacin con la seguridad de la informacin, se
refiere a cualquier informacin o sistema relacionado con el
tratamiento de la misma que tenga valor para la organizacin.
Cualquier cosa que tiene valor para la organizacin. Todos los
activos
deberan
estar
claramente
identificados,
confeccionando y manteniendo un inventario con los ms
importantes.

Figura 3: Clasificacin de activos de Informacin

2.

VULNERABILIDADES

Las vulnerabilidades en un sistema informtico son todas

aquellas debilidades que se estn presentando en el sistema, lo
cual hace susceptible de ser afectado, alterado o destruido por
alguna circunstancia indeseada, que afectan al funcionamiento
normal o previsto de dicho sistema informtico.
Dentro de los tipos de vulnerabilidades que se pueden
presentar en la empresa se encuentran:
a)

Vulnerabilidades Fsicas: Este tipo de vulnerabilidades

se pueden encontrar en el edificio o entorno fsico. Se
relacionan con la posibilidad de entrar o acceder
fsicamente al lugar donde se encuentra el sistema para
robar, modificar o destruir el mismo. Esta vulnerabilidad
se refiere al control de acceso fsico al sistema.

b) Vulnerabilidades Naturales: Se refiere al grado en que

el sistema puede verse afectado debido a los fenmenos
naturales que causan desastres.
Las vulnerabilidades pueden ser:

Se puede penetrar al sistema a travs de la red.

No contar con un espejo del sistema en otro lugar

geogrfico en caso de inundaciones o terremotos.

Interceptar informacin que es transmitida desde o

hacia el sistema.

No disponer de reguladores, no-breaks, plantas de

energa elctrica alterna

Tener una mala instalacin elctrica de los equipos,

en caso de rayos, fallas elctricas o picos altos de
potencia.
f)
Adems de que las instalaciones se encuentren en
mal estado, no contar con un adecuado sistema de
ventilacin y calefaccin para que los equipos en
temperaturas de 18 y 21 C y se tenga una humedad
entre 48 y 65%.

Se debe tener cuidado en que el centro de cmputo no

tenga fallas debido a una mala estructura y en el diseo
del cableado estructurado por no seguir ningn estndar
para el diseo e implementacin del mismo.

c)

Vulnerabilidades Humanas: Algunas de las diferentes

vulnerabilidades humanas se tienen:

Contratar personal sin perfil psicolgico y tico.

No tener personal suficiente para todas las tareas.

En caso de inundaciones, el no contar con paredes,

techos impermeables y puertas que no permitan el
paso del agua.

El descuido.

El cansancio.

No estar informado de las condiciones climatolgicas

locales al construir un centro de cmputo o para
tomar medidas en determinado tiempo.

Maltrato del personal, as como la mala

comunicacin con el personal, malos entendidos.

Personal irresponsable, que descuida el acceso a su

rea de trabajo.

No tener servicio tcnico propio de confianza.

No instruir a los usuarios para que eviten responder a

preguntas sobre cualquier caracterstica del sistema.

No asegurarse de que las personas que llaman por

telfono son quienes dicen ser.

El no tener control de acceso o acceso basado en

restricciones de tiempo.

No contar con guardias de seguridad.

No tener un control de registros de entrada y salida

de las personas que visitan el centro de cmputo.

3.

AMENAZAS

Vulnerabilidades de Hardware: El no verificar las

caractersticas tcnicas de los dispositivos junto con sus
respectivas especificaciones, la falta de mantenimiento
del equipo. Desde el punto de vista del hardware, ciertos
tipos de dispositivos pueden ser ms vulnerables que
otros. As, pueden existir algunos sistemas que no cuenten
con la herramienta o tarjeta para poder acceder a los
mismos; adquirir un equipo de mala calidad o hacer un
mal uso del mismo, tener el equipo de cmputo expuesto
a cargas estticas, etc.

d) Vulnerabilidades de Software: Ciertas fallas o

debilidades de los programas del sistema hace ms fcil
acceder al mismo y lo hace menos confiable. Este tipo de
vulnerabilidades incluye todos los errores de
programacin en el sistema operativo u otros de
aplicaciones que permite atacar al sistema operativo desde
la red explotando la vulnerabilidad en el sistema.
e)

2
sometido, al aumentar la cantidad de gente que puede
tener acceso al mismo o intenta tenerlo. Tambin se aade
el riesgo de intercepcin de las comunicaciones:

Vulnerabilidades de Red: La conexin de las

computadoras a las redes supone un enorme incremento
de
la
vulnerabilidad
del
sistema,
aumenta
considerablemente la escala de riesgos a que est

Una amenaza en su ms simple definicin es todo aquel

elemento o accin que es capaz de atentar contra la seguridad
de la informacin.

3
Las amenazas surgen a partir de la existencia de
vulnerabilidades, es decir que una amenaza depende de la
existencia de una vulnerabilidad, que pueda ser aprovechada, e
independientemente de que se comprometa o no la seguridad
de un sistema de informacin.

Qu es la administracin del riesgo?

Tipos de amenazas:

Qu es el anlisis de riesgos?

Las amenazas pueden clasificarse en dos tipos:

Es el medio por el cual los riesgos son identificados y

evaluados para justificar las medidas de seguridad o controles.

Intencionales: Son aquellas que se producen

deliberadamente con el intento de producir un dao, entre
las cuales se tienen los robos de informacin bajo
aplicacin de tcnicas de trashing, tambin se encuentran
tcnicas de propagacin de cdigo malicioso y las
tcnicas de ingeniera social.
No intencionales: las cuales se producen por acciones u
omisiones de acciones que si bien no buscan explotar una
vulnerabilidad, ponen en riesgo los activos de
informacin y pueden producir un dao a la misma,
ejemplo de ello se tiene las relacionadas con fenmenos
naturales.
4.

RIESGO

La ISO define al riesgo como La probabilidad de que una

amenaza se materialice, utilizando la vulnerabilidad existentes
de un activo o grupos de activos, generndoles prdidas o
daos.
El riesgo es el resultado de las prdidas ocasionadas por una
causa multiplicado por la probabilidad de ocurrencia (R = P *
C).
Tipos de Riesgo

Riesgo Crtico

Riesgos que tienen la mayor calificacin dentro de un

conjunto de riesgos que podran presentarse en una operacin
o sistema. Tambin se define como un riesgo de prioridad
alta, de acuerdo con la evaluacin de riesgos potenciales.

Riesgo Potencial

Es el riesgo inherente o asociado con la naturaleza de las

operaciones. Este riesgo no tiene en cuenta los controles
establecidos.

Riesgo Residual

Es el riesgo no cubierto por los controles establecidos.

Es el proceso mediante el cual se establecen medidas de

control y de seguridad para reducir a niveles aceptables de
riesgo residual los riesgos crticos y potenciales.

Algunos ejemplos de riesgos que se pueden presentar son los

siguientes:

Dao o Destruccin de Activos

Hurto o Fraude
Desventaja Competitiva
Sanciones Legales
Perdida de Negocios y Credibilidad Pblica
Prdida de dinero por exceso de desembolsos
Decisiones errneas
Prdida de Ingresos
5.

CONTROL INTERNO INFORMTICO

Para reducir los riesgos, vulnerabilidades y evitar o prevenir

las amenazas, las empresas deben contar con mecanismos y
controles a travs de implementacin de SGSI y con ello
polticas de seguridad informtica. As mismo se debe contar
en el rea de tecnologas de la empresa con mecanismos y
procedimientos claves que permitan mantener el control de
todas esas incidencias, amenazas que comprometan la
seguridad de la informacin y de la informtica en general, es
por ello que aparece el concepto de control interno
informtico, el cual est definido como una funcin del
departamento o rea de Tics o Sistemas de una organizacin,
cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de informacin automatizados se
realicen cumpliendo las normas, estndares, procedimientos y
disposiciones legales establecidas interna y externamente.

Objetivos del control interno informtico:

Controlar que todas las actividades se realizan

cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de
las normas legales.

Asesorar sobre el conocimiento de las normas

Colaborar y apoyar el
Informtica interna/externa

trabajo

de Auditora

Definir, implantar y ejecutar mecanismos y controles

para comprobar el grado de cumplimiento de los
servicios informticos.

Realizar en los diferentes sistemas y entornos

informticos el control de las diferentes actividades
que se realizan.

Implementar los mtodos, tcnicas y procedimientos

necesarios para coadyuvar al eficiente desarrollo de
las funciones, actividades y tareas de los servicios
computacionales, para satisfacer los requerimientos
de sistemas en la empresa.

Establecer las acciones necesarias para el adecuado

diseo e implementacin de sistemas computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento de informacin en
la empresa.

4
oportunidades la comunicacin de fuentes externas
proporciona informacin importante acerca del
funcionamiento del control interno. Medir la calidad
de la informacin implica determinar si: el contenido
es adecuado, la informacin es oportuna, la
informacin es actual, la informacin es precisa, la
informacin es accesible

Tipos de controles:

Ambiente de control: Proporciona un medio en el

cual las personas realizan sus actividades y lleva a
cabo sus responsabilidades de control. Este
componente es el principal para la administracin
efectiva del riesgo; A travs de este componente se
provee la disciplina y estructura de todos los
componentes involucrados, y se logra formar
mediante entrenamientos al personal, cdigos de
conducta, etc.

Segn el ambiente informtico, el control interno se

materializa fundamentalmente en controles de dos tipos:
Controles manuales: Son aquellos ejecutados por el
personal del rea usuaria o de informtica sin la
utilizacin de herramientas computacionales.

Componentes del Control Interno

Monitoreo: Son Todas esas actividades de control y

procesos operativos revisadas por un nivel jerrquico
mayor para realizar un control de calidad sobre la
marcha. Este proceso incluye la administracin y
supervisin regular de las actividades.

Controles Automticos: Son los incorporados en el

software, llos cuales pueden ser de operacin, de
comunicacin, de gestin de base de datos,
programas de aplicacin, etc.

Segn su finalidad se clasifican en:

Controles Preventivos: Son los que se usan para
tratar de evitar la produccin de errores o hechos
fraudulentos, como por ejemplo el software de
seguridad que evita el acceso a personal no
autorizado.

Evaluacin de riesgo: Dentro del ambiente de

control. La gerencia realiza una evaluacin de los
riesgos para lograr los objetivos propuestos, y lo hace
a nivel organizacional y a nivel de actividad. Es por
ello que el prerrequisito para llevar a acbo dicha
evaluacin es el establecimiento de los objetivos. El
proceso incluye: determinar que tan significativo es
el riesgo, evaluar la probabilidad de que ocurra o la
frecuencia con que se produce y evaluar las acciones
que deben ser adoptadas.

Controles Detectivos: Son aquellos controles que

permiten descubrir errores o fraudes posteriores o que
no han sido posible evitarlos con controles
preventivos.
Controles Correctivos: Son los que buscan asegurar
que se subsanen todos los errores identificados
mediante los controles detectivos.
Funciones del control interno informtico:

Actividades de control: Son las que estn diseadas

para responder a los riesgos en toda la organizacin
ejemplo de ellas son las aprobaciones, autorizaciones,
revisiones y segregacin de funciones. Estos
procedimientos de control pueden ser: controles de
monitoreo, gerenciales,
independientes, de
procesamiento de informacin y controles de
salvaguarda de activos.
Informacin y comunicacin: los canales de
comunicacin involucran a los niveles internos y
externos de la organizacin, en muchas

Las funciones del control interno informtico son las

siguientes:

Difundir y controlar el cumplimiento de las normas,

estndares
y procedimientos
al
personal
de
programadores, tcnicos y operadores.

Disear la estructura del Sistema de Control Interno de la

Direccin de Informtica en los siguientes aspectos:

Desarrollo y mantenimiento del software de aplicacin.

Explotacin de servidores principales

Software de Base

Redes de Computacin

Seguridad Informtica

Licencias de software

Relaciones contractuales con terceros

Permiten alcanzar la eficacia

eficiencia, integridad de datos,
cumplimiento con las leyes y
metodologas como la del Ciclo
aplicaciones.

Cultura de riesgo informtico en la organizacin

IMPLANTACION DE UN SISTEMA DE CONTROLES

INTERNOS INFORMATICOS
Para la implantacin de un sistema de controles internos
informticos es necesario definir los siguientes aspectos:

Controles de desarrollo y mantenimiento de sistemas

de informacin
del sistema, economa,
proteccin de recursos y
regulaciones a travs de
de Vida de Desarrollo de

Controles de explotacin de sistemas de informacin

Tienen que ver con la gestin de los recursos tanto a nivel de

planificacin, adquisicin y uso del hardware as como los
procedimientos de, instalacin y ejecucin del software.

Controles en aplicaciones

Gestin de sistema de informacin: Son todas aquellas

polticas, pautas y normas tcnicas que sirven de base para
el diseo y la implantacin de los sistemas de informacin
y de los controles correspondientes.

Toda aplicacin debe llevar controles incorporados para

garantizar la entrada, actualizacin, salida, validez y
mantenimiento completos y exactos de los datos.

Administracin de sistemas: Se refiere a los controles

sobre la actividad de los centros de datos y otras funciones
de apoyo al sistema, incluyendo la administracin de las
redes.

Tienen que ver con la administracin de los datos para

asegurar su integridad, disponibilidad y seguridad.

Seguridad: Este aspecto incluye las tres clases de

controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control
de acceso) y disponibilidad.

Gestin del cambio: Determina la separacin de las

pruebas y la produccin a nivel del software y controles de
procedimientos para la migracin de programas software
aprobados y probados.

reas de aplicacin de los controles informticos:

Controles generales organizativos

Son la base para la planificacin, control y evaluacin por la

Direccin General de las actividades del Departamento de
Informtica, y debe contener la siguiente planificacin:
Plan Estratgico de Informacin realizado por el
Comit de Informtica.
Plan Informtico, realizado por el Departamento de
Informtica.

Controles en sistemas de gestin de base de datos

Controles informticos sobre redes

Tienen que ver sobre el diseo, instalacin, mantenimiento,

seguridad y funcionamiento de las redes instaladas en una
organizacin sean estas centrales y/o distribuidos.

Controles sobre computadores y redes de rea local

Se relacionan a las polticas de adquisicin, instalacin y

soporte tcnico, tanto del hardware como del software de
usuario, as como la seguridad de los datos que en ellos se
procesan.
CUADRO DEL CONTROL INTERNO EN EL REA DE
INFORMTICA
TIPO DE
CONTROL
Controles
internos
sobre la organizacin
del
rea
de
informtica

Plan General de Seguridad (fsica y lgica).

Plan de Contingencia ante desastres.

Controles
sobre el

internos
anlisis,

ASPECTOS INVOLUCRADOS
Direccin
Divisin del trabajo
Asignacin de responsabilidad
y autoridad
Establecimiento de estndares y
mtodos
Perfiles de puestos
Estandarizacin de metodologas para el desarrollo de proyec-

6
desarrollo
implementacin
sistemas

e
de

Controles
internos
sobre operacin del
sistema

Controles
internos
sobre
los
procedimientos
de
entrada de datos, el
procesamiento
de
informacin y la
emisin
de
resultados.

Controles
internos
sobre la seguridad del
rea de sistemas

tos
Asegurar que el beneficio de los
sistemas sea ptimo
Elaborar estudios de factibilidad
del sistema
Garantizar la eficiencia y eficacia en el anlisis y diseo de
sistemas
Vigilar la efectividad y eficiencia en la implementacin y
mantenimiento del sistema
Optimizar el uso del sistema por
medio de su documentacin
Prevenir y corregir los errores
de operacin
Prevenir y evitar la manipulacin fraudulenta de la informacin
Implementar y mantener la seguridad en la operacin
Mantener la confiabilidad,
oportunidad, veracidad y suficiencia en el procesamiento de
la informacin de la institucin
Verificar la existencia y funcionamiento de los procedimientos
de captura de datos
Comprobar que todos los datos
sean debidamente procesados
Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos.
Comprobar la oportunidad, confiabilidad y veracidad en la emisin de los resultados del procesamiento de informacin.
Controles para prevenir y evitar
las amenazas, riesgos y contingencias que inciden en las reas
de sistematizacin.
Controles sobre la seguridad fsica del rea de sistemas
Controles sobre la seguridad lgica de los sistemas.
Controles sobre la seguridad de
las bases de datos
Controles sobre la operacin de
los sistemas computacionales
Controles sobre seguridad del
personal de informtica
Controles sobre la seguridad de
la telecomunicacin de datos

III.

Controles sobre la seguridad

de redes y sistemas multiusuarios

CONCLUSIONES

La importancia de la seguridad informtica en las

organizaciones radica en proteger los activos informticos de
las mismas, para ello es necesario conocer y determinar
claramente los mismos a travs de un inventario e identificar
las vulnerabilidades, amenazas y posibles controles ante un
escenario de riesgos dispuestos en una matriz de riesgos.
El control interno informtico es un mecanismo y/o funcin de
vital importancia que deben ejecutar las reas o departamentos
de Informtica o TICs, con el fin de brindar controles
adecuados para cada uno de los activos informticos de las
empresas dentro de un proceso de implementacin de gestin
de la seguridad informtica.
IV.

REFERENCIAS BIBLIOGRAFICAS

[1]Amenazas a la seguridad de la informacin. Recuperado de:

http://www.seguridadinformatica.unlu.edu.ar/?q=node/12.
[2] Riesgos informticos. Recuperado de:
http://audisistemas2009.galeon.com/productos2229079.html
[3]Evaluacin de riesgos. Recuperado de: http://www.seguinfo.com.ar/politicas/riesgos.htm
[4] Control interno informtico. sus mtodos y
procesamientos. las herramientas de control. Recuperado de:
https://noris14.wordpress.com/2011/06/10/control-internoinformatico/
[5] Evolucin del control interno informtico. Recuperado de:
http://joseluis371990.blogspot.com/
V.

BIOGRAFIA

Jaider Contreras Puentes naci en

Sincelejo Sucre, Colombia, el 25 de
Septiembre de 1983. Se gradu en 2006
como Ingeniero de Sistemas en la
Corporacin Universitaria del Caribe. Sus
experiencias profesionales incluyen la
corporacin autnoma regional de Sucre
(CARSUCRE), el SENA, ParqueSoft,
entre otras, actualmente se desempea como ingeniero de
sistemas dentro de la Oficina de Tecnologas de la
Informacin de la Unidad de Restitucin de Tierras.