TIPOS DE RIESGOS INFORMTICOS

Errores humanos
Fallos de los equipos
Robo de la informacin o equipos
Virus
Sabotaje
Fraude
Desastres naturales

No estan excentos al 100% de riesgos, ya que existen diversos tipos de riesgos en cuanto sabotaje ya
sea de destrozo fisico los cuales estan sujetos a explociones, incendios, desconeccion de refrigeracion
en lo servidores y derrame liquido ocasionado por alguien con el fin de causar cortocircuitos, o
destrozos logicos, estos estan sujestos a sabotaje de informacion, modificacion o eliminacion de datos,
tambien informacion falsa que tiene como resultado la destruccin, ocultacin, o alteracin de contenidos en un
sistema informtico o lo que es dar informacion peligrosa para crear terror en las ciudades como lo es de
enfermedades, epidemias, terrorismo lo que es informacion delicada.

3 Plan de riesgo: Se puede elaborar un plan de riesgo a un sistema de informacion, abordando los principales
riesgos que atra vez del tiempo se han ido determinando en los cuales se encuentran:
Errores humanos
Fallos de los equipos
Robo de la informacin o equipos
Virus
Sabotaje
Fraude
.Desastres naturales

Se desarrolla una planificacion con un objetivo y modo de ejecucion dependiendo del

evento que se pongan en marcha dependiendo del riesgo que surja:
Se Define a cada usuario las politicas de la empresa para evitar violaciones y sanciones
por no cumplir con estas, y se le Responsabiza a cada usuarios con respecto a la
informacin a la que tiene acceso.
deben concluir en una posicin consciente y vigilante del personal
por el uso y limitaciones de los recursos y servicios informticos.
Por seguridad de la empresa

Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las
polticas a la realidad de la empresa, creando una cordinacion de llamadas en caso de
siniestro, tener a la mano: elementos de iluminacin (linternas), lista de telfonos de

Bomberos / Ambulancia, Jefatura de Seguridad y de su personal (equipos de seguridad) /

centro de respaldo, supervisor sala de mquina, Administrador de sistema operativo/base de datos ,
Operador de aplicaciones , Analista de integridad de sistema los cuales son

casos.

nombrados para estos

Compliendo con una seguridad:

seguridad activa : Son aquellas cuyo objetivo es anular o reducir los riesgos existentes o sus consecuencias para el sistema.
seguridad pasiva: Estn destinadas a estar preparado si llega a producirse el desastre.

Y Contemplar las medidas necesarias despus de que ocurra alguno de estos casos
para controlar la amenaza. Su finalidad es restaurar el estado de las cosas tal y
como se encontraban antes de la materializacin de la amenaza, se emplea una
organizacion de acuerdo a tres etapas:
- Actividades Previas al Desastre.
- Actividades Durante el Desastre.
- Actividades Despus del Desastre

5
La similitud de ambos es que estan en la fase revison donde se proporciona informacion que describe el
desarrollo del software, en base a los objetivos especificos planteados los cuales se iran compliendo en
su orden con el flujo de activades de trabajo de acuerdo a el caso de uso en determinados tiempos,
debido a le revision y mejora de los documentos.

Propsito
Fase es proporcionar la informacin necesaria para controlar el proyecto. En l se describe el
enfoque de desarrollo del software. Los usuarios del Plan de Desarrollo del Software son:
El jefe del proyecto lo utiliza para organizar la agenda y necesidades derecursos, y para
realizar su seguimiento.
Los miembros del equipo de desarrollo lo usan para entender lo qudeben hacer, cundo
deben hacerlo y qu otras actividades dependen deello

es un enfoque preliminar del plan para el desarrollo del sistema

proporciona una vista global del procesode desarrollo de software, incluyendo mtodos,
herramientas y tcnicasque sern utilizadas
Vista General del Proyecto proporciona una descripcin del propsito,alcance y objetivos
del proyecto, estableciendo los artefactos que sernproducidos y utilizados durante el
proyecto

iteracion

El propsito de este documento es revisin y mejora de los documentos entregados durante

el curso de Sistemas de Informacin I en el trimestre Septiembre-Diciembre 2007 y entregar
todo lo relativo para el nuevo curso que abarca un total del 70% de completitud del sistema.

Alcance En este documento se especifica en detalle las actividades a realizar para la

obtencin de un sistema 70% funcional al final de la iteracin. Para ello, se describe el flujo de
trabajo a seguir para la implementacin de los casos de usos correspondientes para dicho
curso. Este documento ser utilizado por el equipo en general de desarrollo.

Control de gestin o auditora interna: para observar y registrar cmo sus empleados realmente usan las computadoras personales de la
compaa
Los administradores informticos: para trazar acciones de usuarios que pueden conducir a fallos de su sistema
Cualquiera: que quiera controlar si hay alguien que accede al ordenador
Guardias?
Tarjetas?
Circuito cerrado de televisin?
Puntos de entrada limitados?
Monitoreo central?
Dispositivos de deteccin?
Alarmas?
Sistema de intercomunicacin?
Puertas tramman (entrada de doble puerta)?
Puertas de salida nicamente en emergencia de incendio?
Clasificacin de archivos (e.g.Top Secret, confidencial, etc.)?
Leer nicamente, escribir nicamente, adicionar, copiar, etc.?
Categora o usuario?

copias de seguridad: encriptan, comprimen y realizan la

copia
Como medida de seguridad pasiva para actuar tras el robo de la informacin, podemos cifrar los
documentos.
Tambin se recomienda consultar los registros de auditora, que permite establecer un control
sobre quin est en el sistema, qu hace cada usuario o quien utiliza cada recurso. Es una medida
persuasoria.
En cuanto al robo de los equipos, al menos disponer de copias de seguridad para restablecer
los datos en un nuevo equipo. Tambin se puede tener equipos de reserva que pueda estar
operativo en pocas horas, marcar los equipos para su posterior identificacin o persuadir al ladrn,
asegurarlos, anotar modelos y nmeros de serie y controlar la presencia mediante cmaras de
vigilancia o control de accesos.
SiCARIO es un sistema antirrobo de ordenadores. En caso de robo, hurto o prdida de su ordenador, le permitir localizarlo en el futuro.
SiCARIO es un producto totalmente gratuito.
Cuando usted (o el "ladrn") se conecte a internet, y durante una fraccin de segundo, se enviar a uno de nuestros servidores un cdigo
identificando su ordenador. En nuestros servidores quedar constancia de su direccin IP de internet (como por ejemplo 212.20.10.44) y la
fecha y hora de la comunicacin. Con estos datos, junto al cdigo que identifica al ordenador, es posible formular una denuncia por robo en
una comisara de polica.

Medidas de seguridad
Como medida de seguridad activa para evitar el sabotaje, se puede restringir el acceso fsico a
los equipos o los cortafuegos.
Para evitar el sabotaje a la informacin nuevamente asignar los permisos adecuados
de acceso a los ficheros y utilizar programas de bloqueo cuando el ordenador quede
desatendido

1. Sabotaje informtico / Terrorismo

Esta dirigido a causar daos lgicos en el hardware o en el software de un sistema de informacion de
ordenadores de una empresa, compaa, centro de estudios,oficinas oficiales, entre otras.
difusin de noticias falsas en Internet o modificacin de datos internos de una oficina (por
ejemplo decir que vaa explotar una bomba en el Metro o Alterar las notas de los estudiantes).
Comunmente el riesgo es la perdida de datos, si no hay respaldo de informacin.

Existen dos grupos de casos:

a) destrozos fsicos
Con el fin de destruir por completo el hardware y el software de un sistema por causa de: incendios o
explosiones, introducir piezas de aluminio dentro de la computadora para producir cortocircuitos, echar agua o
cualquier liquido en los equipos y servidores.

b) destrozo lgicos.

Con el fin de modificar, destruir informacion, eliminar base de datos, como resultado tiene la destruccin,
ocultacin, o alteracin de datos que son contenidos en un sistema informtico.
Podemos mencionar algunas tecnicas las que son:
Bombas lgicas (time bombs): En esta modalidad, la actividad destructiva delprograma comienza tras un plazo,
sea por el mero transcurso del tiempo, o por la aparicin de determinada seal, como la presencia de un dato, de
un cdigo, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el
programa como la seal para empezar a actuar.

Cncer de rutinas (cancer routine). En esta tcnica los programas destructivos tienen la particularidad de que
se reproducen, por s mismos, en otros programas, arbitrariamente escogidos.

2. Fraude a travs de computadoras

Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de datos falsos o la alteracin
de datos o procesos contenidos en sistemas informticos, realizada con el objeto de obtener ganancias indebidas.
Los distintos mtodos para realizar estas conductas se deducen, fcilmente, de la forma de trabajo de un
sistema informtico: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos
falsos, en un ordenador. Esta forma de realizacin se conoce como manipulacin del input.

En segundo lugar, es posible interferir en el correcto procesamiento de la informacin, alterando el programa o

secuencia lgica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los
programas originales, como al adicionar al sistema programas especiales que introduce el autor.
Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta modalidad se la
conoce como manipulacin del output.
3. Copia ilegal de software y espionaje informtico
Se engloban las conductas dirigidas a obtener datos, en forma ilegtima, de unsistema de informacin. Es comn el
apoderamiento de datos de investigaciones, listas de clientes, balances, etc. En muchos casos el objeto del
apoderamiento es el mismo programa de computacin (software) que suele tener un importante valor econmico.
4. Uso ilegtimo de sistemas informticos ajenos
Esta modalidad consiste en la utilizacin sin autorizacin de los ordenadores y los programas de un sistema
informtico ajeno. Este tipo de conductas es comnmente cometida por empleados de los sistemas
de procesamiento de datosque utilizan los sistemas de las empresas para fines privados y actividades
complementarias a su trabajo.
5. Delitos informticos contra la privacidad
Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la
acumulacin, archivo y divulgacin indebida de datos contenidos en sistemas informticos.
Esta tipificacin se refiere a quin, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero,
datos reservados de carcter personal o familiar de otro que se hallen registrados en ficheros o soportes
informticos, electrnicos o telemticos, o cualquier otro tipo de archivo o registro pblico o privado.
Tambin se comprende la interceptacin de las comunicaciones, la utilizacin de artificios tcnicos de escucha,
transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra seal de comunicacin, se
piensa que entre lo anterior se encuentra el pinchado de redes informticas.
6. Delitos informticos como instrumento o medio.
En esta categora se encuentran las conductas criminales que se valen de las computadoras como mtodo, medio o
smbolo en la comisin del ilcito, por ejemplo:
- Falsificacin de documentos va computarizada (tarjetas de crdito, cheques, etc.)
- Variacin de los activos y pasivos en la situacin contable de las empresas.
- Planeamiento y simulacin de delitos convencionales (robo, homicidio, fraude, etc.)
- Lectura, sustraccin o copiado de informacin confidencial.
- Modificacin de datos tanto en la entrada como en la salida.
- Uso no autorizado de programas de computo.
- Alteracin en el funcionamiento de los sistemas, a travs de los virus informticos.
- Obtencin de informacin residual impresa en papel luego de la ejecucin de trabajos.
- Acceso a reas informatizadas en forma no autorizada.
7. Delitos informticos como fin u objetivo.
En esta categora, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o
programas como entidad fsica, como por ejemplo:
- Programacin de instrucciones que producen un bloqueo total al sistema.
- Destruccin de programas por cualquier mtodo.
- Dao a la memoria.

- Atentado fsico contra la mquina o sus accesorios.

- Secuestro de soportes magnticos entre los que figure informacin valiosa con fines de chantaje (pago de rescate,
etc.).

Hoy en da, la mayor parte de los datos de una empresa estn almacenados en los equipos
informticos. Cualquier problema en los sistemas de informacin repercute instantneamente
en la totalidad de la empresa y afecta al funcionamiento normal.
Esta leccin expone aspectos relacionados con la seguridad y los riesgos de los equipos
informticos, especialmente los que afectan al comercio electrnico y la Contabilidad.

Principales riesgos
Los principales riesgos a los que se enfrenta un sistema, sus posibles consecuencias y medidas de
seguridad son:

Errores humanos
Fallos de los equipos
Robo de la informacin o equipos
Virus
Sabotaje
Fraude
Desastres naturales

Errores Humanos:

Detenido un empleado de Caprabo por estafar a su

empresa 2.400 millones de pesetas en tres aos El
Mundo (http://www.elmundo.es) [17-Oct-2001]

Un trabajador de los supermercados Caprabo, su mujer y los propietarios de una empresa proveedora de material plstico han sido
detenidos acusados de estafar ms de 2.400 millones de pesetas a esta firma comercial.
Segn ha informado la Jefatura Superior de Polica de Catalua, durante los ltimos tres aos, el detenido, J.H.V., aprovech su acceso al
sistema informtico de Caprabo desde su puesto de trabajo como administrativo de la seccin de charcutera para realizar pedidos de
material plstico que nunca llegaron a los almacenes.
J.H.V. actu en connivencia con su esposa y los dos representantes legales de la empresa proveedora M. De Serveis, que factur el
material de embalaje que Caprabo nunca lleg a adquirir. Los pedidos de material de plstico en los ltimos tres aos tenan un valor
de 2.400 millones de pesetas, cuando las necesidades de la empresa precisan un gasto anual de unos 30 millones de pesetas.

Medidas de seguridad
a) Medidas de seguridad activa
Son aquellas cuyo objetivo es anular o reducir los riesgos existentes o sus consecuencias para el
sistema.

b) Medidas de seguridad pasiva

Estn destinadas a estar preparado si llega a producirse el desastre.