Autoría de sistemas
-
Upload
doris-suquilanda -
Category
Education
-
view
470 -
download
0
Transcript of Autoría de sistemas
Autoría de sistemas
Aumento considerable e injustificado del presupuesto de Procesamiento de Datos.
Desconocimiento en el nivel directivo de la situación informática de la empresa.
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con la computadora.
Falta de una planificación informática.
Razones para efectuar una Auditoría Informática
Organización que no funciona correctamente por falta de: políticas, objetivos, normas, metodología y adecuada administración del recurso humano.
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.
Los promedios conseguidos no se habitúan a los estimados por lo que concesiones de productividad no son respetados y sufren un desvío en su calidad.
Los resultados períodicos no son entregados en los plazos establecidos.
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento y continuidad de los sistemas liberados en producción.
Riesgo: Posibilidad de que los acontecimientos o eventos esperados o imprevistos puedan tener un impacto negativo sobre el servicio y uso de la tecnología, así como pueda afectar las ganancias y el capital de la empresa.
La alta administración de cada institución debe estar consiente de este riesgo y crear mecanismos que le permitan anticiparse a los cambios que se están produciendo en tecnología.
Riesgos de Tecnología
Las actividades tecnológicas pueden permitir que las entidades amplíen sus nichos de producción y que ofrezcan servicios y productos nuevos, reduzcan costos en las transacciones y propicien reducción en sus gastos operativos a la vez que proporcionan mayor facilidad de acceso para clientes.
En este contexto los auditores deben administrar el riesgo:◦ Establecer parámetros para limitar el riesgo ◦ Garantizar que la entidad posee elementos del
entorno que permita minimizar el riesgo.
Administración del Riesgo
Debido a los rápidos cambios tecnológicos ninguna lista de riesgos puede ser exhaustiva.
Los riesgos básicos generados por actividades de cada entidad, pueden ser:◦ Operativo◦ Legal◦ Reputación◦ De sistemas
Identificación del Riesgo
Es la posibilidad de que deficiencias significativas en la confiabilidad del sistema de información o en su integridad puedan resultar en pérdidas financieras y afectar las ganancias y el capital de la empresa.
También se conoce como riesgo de transacción y surge de problemas en la entrega de servicios o productos a través del uso de transacciones.
Puede presentarse también por uso erróneo de los sistemas por parte del cliente.
Riesgo operacional
Seguridad Confidencialidad Integridad de datos Autenticación Programas de búsqueda de fisuras Políticas Agujeros de seguridad Uso erróneo de servicios
Riesgo operacional
Se presenta con respecto a los controles sobre el acceso a las operaciones internas de la empresa y sus sistema de control de amenazas.
El acceso no autorizado por parte de los empleados a los sistemas puede conducir a pérdidas directas, asumir responsabilidades de parte de la empresa, además de ataque externos.
Riesgo de Seguridad
Este es uno de los riesgos más sensibles, ya que si no se adoptan medidas de seguridad, las transferencias de datos viajan abiertas a través de la red, dejando la posibilidad de acceso a la información
Confidencialidad
Se refiere a la posibilidad de que los datos de una operación puedan ser modificados en el momento de ser transferidos o mientras se hallan almacenados en un sistema informáticos, por personas ajenas, generando conflicto de intereses por una variación en los datos registrados en el sistema.
Integridad de datos
Es un factor fundamental para la legitimidad de una operación, la ausencia de ella posibilita que a partir de una serie de técnicas, un usuario pueda ocultar su identidad o asumir la de otro.
Autenticación
Si no existen medios para demostrar la identidad de las partes en una transacción electrónica, se genera el riesgo de que cualquiera de ellas pueda rechazar los cargos que se deriven del negocio o simplemente se niegue la participación en el mismo. Este riesgo es el resultado de la falta de mecanismos que permitan la identificación y autenticación absoluta del cliente.
No repudio
Existen programas que permiten localizar los puntos débiles de la seguridad de un servidor. Aunque su utilidad es preventiva, ello no impide que se usen con intención de lanzar ataques al sistema, lo que se traduce en un potencial riesgo cuando se usa contra la empresa.
Programa de búsqueda de fisuras
La ausencia de control y políticas de acceso a los sistemas y servicios puede constituirse en un riesgo que podría afectar las operaciones de la empresa.
Políticas
Cuando se localiza un fallo de seguridad en un SO, navegador, Firewall, o cualquier otro elemento del sistema, se produce una inmediata difusión a través del Internet, lo cual permite alertar a los administradores del servidor, pero también es una posibilidad de que se produzca un ataque antes de corregir el problema, por tal razón esto incrementa el riesgo de transacción.
Agujeros de seguridad
El uso erróneo de los productos y servicios por parte del cliente sea este intencional o inadvertido, es otra fuente de riesgo operacional. El riesgo puede aumentar cuando la empresa no educa adecuadamente a sus clientes sobre las precauciones de la seguridad.
Uso erróneo de servicios
Es el que resulta de la opinión pública negativa y trae como resultado una pérdida en las ganancias o el capital. Este riesgo se presenta cuando los sistemas o los productos no trabajan según lo esperado y causan una reacción pública negativa extensa.
Riesgo de reputación
Es el riesgo que enfrentan las ganancias o el capital que surge de violaciones o de incumplimiento a las leyes, normas, regulaciones o prácticas reglamentarias vigentes o cuando los derechos y obligaciones no han sido establecidas en una transacción electrónica. Este riesgo puede exponer a la empresa a pago de multas o sanciones.
Riesgo Legal
Se refiere al riesgo de pérdida en el capital, por un mal desempeño de los proveedores de sistemas tecnológicos o por debilidades en los contratos de estos servicios.
Varias empresas se inclinan por confiar en proveedores y consultores externos para la implementación y ejecución de sus sistemas (outsourcing). Esto puede exponer a la empresa a un riesgo de dependencia operacional.
Riesgo de dependencia tecnológica
Calderón Trinidad, Osbaldo Antonio. (2007). Manual de Auditoría de Sistemas para la Evaluación de la Tecnología de Información – MASTI. [Tesis]. San Salvador: Universidad Francisco Gavidia.
Bibliografía