Trabajo Dora
8
TRABAJO INDIVIDUAL AUDITORIA DE SISTEMAS Presentado por: DORA INES PEREZ SALAMANCA Código: 46379080 Tutor del Curso: FRANCISCO NICOLAS SOLARTE GRUPO: 90168_11 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnologías e Ingeniería
-
Upload
jose-joaquin-paez-garcia -
Category
Documents
-
view
216 -
download
0
description
trabajo
Transcript of Trabajo Dora
TRABAJO INDIVIDUAL
AUDITORIA DE SISTEMAS
Presentado por:
DORA INES PEREZ SALAMANCA
Código: 46379080
Tutor del Curso:
FRANCISCO NICOLAS SOLARTE
GRUPO:
90168_11
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnologías e Ingeniería
Programa Ingenieria de Sistemas
Abril– 2015
Trabajo Individual
Identificar vulnerabilidades, amenazas, riesgos o fallas que puedan suceder o que están sucediendo en las empresas con respecto al área informática o los sistemas de información (errores de hardware, software, seguridad física o lógica, redes, equipos de protección eléctrica, usuarios, la organización del área informática, el desempeño de funciones, entre otros).
VULNERABILIDAD AMENAZAS RIESGOSVulnerabilidad Física: está a nivel del entorno físico del sistema, se relaciona con la posibilidad de entrar o acceder físicamente al sistema para robar, modificar o destruirlo.
Intercepción: cuando una persona, programa o proceso logra el acceso a una parte del sistema a la que no está autorizada. Por ejemplo, la escucha de una línea de datos, o las copias de programas o archivos de datos no autorizados. Estas son más difíciles de detectar ya que en la mayoría de los casos no alteran la información o el sistema.
Riesgos Finanacieros: los riesgos financieros incluyen la relación entre una organización y una ventaja que puede ser pérdida o perjudicada. De este modo el riesgo financiero contiene tres elementos que son la organización que esta expuesta a pérdidas, los elementos que conforman las causas de perdidas financieras y el peligro que puede causar la perdida (amenaza a riesgo).
Vulnerabilidad Natural: se refiere al grado en que el sistema puede verse afectado por desastres naturales o ambientales, que pueden dañar el sistema, tales como el fuego, inundaciones, rayos, terremotos, o quizás más comúnmente, fallos eléctricos o picos de potencia. También el polvo, la humedad o la temperatura excesiva son aspectos a tener en cuenta.
Modificación: este tipo de amenaza se trata no sólo de acceder a una parte del sistema a la que no se tiene autorización, sino también de cambiar su contenido o modo de funcionamiento. Por ejemplo, el cambiar el contenido de una base de datos, o cambiar líneas de código en un programa.
Riesgos Dinámicos: generalmente son el resultado de cambios en la economía que surgen de dos conjuntos de factores externos como la economía, la industria, competidores y clientes, además de otros factores que pueden producir las pérdidas que constituyen las base del riesgo especulativo y están relacionadas con las decisiones de la administración de la organización.
Vulnerabilidad del Hardware y del software: desde el punto de vista del hardware, ciertos tipos de dispositivos pueden ser más vulnerables que otros, ya que depende del material que está construido. También hay sistemas que requieren la posesión de algún tipo de herramienta o tarjeta para poder acceder a los mismos. Ciertos fallos o debilidades del software del sistema hacen más fácil acceder al mismo y lo hacen menos fiable. Las vulnerabilidades en el software son conocidos como Bugs del sistema.
Interrupción: se trata de la interrupción mediante el uso de algún método el funcionamiento del sistema. Por ejemplo, la saturación de la memoria o el máximo de procesos en el sistema operativo o la destrucción de algún dispositivo hardware de manera malintencionada o accidental.
Riesgos Estáticos: las causas de de estos riesgos son distintas a las de la economía y generalmente se deben a la deshonestidad o fallas humanas.
Vulnerabilidad de los Medios o Dispositivos: se refiere a la posibilidad de robar o dañar los discos, cintas, listados de impresora, etc.
Generación: generalmente se refiere a la posibilidad de añadir información a programas no autorizados en el sistema. Por ejemplo, el anadir campos y registros en una base de datos, o adicionar código en un programa (virus), o la introducción de mensajes no autorizados en una línea de datos.
Riesgo Especulativo: Describe una situación que espera una posibilidad de pérdida o ganancia.
Vulnerabilidad por Emanación: todos los dispositivos eléctricos y electrónicos emiten radiaciones electromagnéticas. Existen dispositivos y medios de interceptar estas emanaciones y descifrar o reconstruir la información almacenada o transmitida.
Amenazas Naturales o Físicas: las amenazas que ponen en peligro los componentes físicos del sistema son llamadas naturales, dentro de ellas se puede distinguir los desastres naturales, como las inundaciones, rayos o terremotos, y las condiciones
Riesgo Puro: son aquellas situaciones que solamente generan pérdida o ganancia, un ejemplo es la posibilidad de pérdida en la compra de un bien (automóviles, casas, etc.). dentro de los riesgos puros están los siguientes: • Riesgo personal, relacionado con la posibilidad de pérdida por muerte prematura, enfermedad e incapacidades • Riesgos de las posesiones, donde la pérdida puede ser directa por destrucción de bienes, e indirectas causados por las consecuencias de las
medioambientales, tales como la temperatura, humedad, presencia de polvo, entre otros.
pérdidas directas o gastos adicionales. • Riesgos de Responsabilidad, relacionadas con el perjuicio de otras personas o daño de una propiedad por negligencia o descuido. • Riesgos físicos, por ejemplo el exceso de ruido, iluminación inadecuada, exposición a radiaciones, instalaciones eléctricas inadecuadas. • Riesgos químicos, por ejemplo la exposición a vapores de los solventes, humo de combustión y gases. • Riesgos biológicos, como hongos y bacterias. • Riesgos psicosociales como bajos ingresos económicos, la falta de incentivos y motivación. • Riesgos ergonómicos tales como puesto de trabajo incomodo, posición corporal forzada, movimiento repetitivo al operar máquinas, hacinamiento.
Vulnerabilidad de las Comunicaciones: la conexión de los computadores a redes supone, sin duda, un enorme incremento de la vulnerabilidad del sistema ya que aumenta enormemente la escala del riesgo a que está sometido, al aumentar la cantidad de gente que puede tener acceso al mismo o intentar tenerlo. También está el riesgo de intercepción de las comunicaciones, como la penetración del sistema a través de la red y la interceptación de información que es transmitida desde o hacia el sistema.
Amenazas Involuntarias: Están relacionadas con el uso no apropiado del equipo por falta de entrenamiento o de concienciación sobre la seguridad, algunas de las más comunes son borrar sin querer parte de la información, o dejar sin protección determinados archivos básicos del sistema, o escribir en un papel o un post-it con el password o dejar activo el sistema, cuando no estamos usándolo.
Riesgo Fundamental: incluye las pérdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenómenos económicos, sociales que pueden afectar a parte de una organización.
Vulnerabilidad Humana: la gente que administra y utiliza el sistema representa la mayor vulnerabilidad del sistema. Toda la seguridad del sistema descansa sobre la persona que cumple la función de administrador del mismo que tiene
Riesgo Particular: generalmente son pérdidas que surgen de eventos individuales, antes que surjan de un grupo completo tales como desempleo, el incendio de una casa, el robo a una persona, son todos riesgos fundamentales ya que son particulares.
acceso al máximo nivel y sin restricciones al mismo. Los usuarios del sistema también suponen un gran riesgo al mismo. Ellos son los que pueden acceder al mismo, tanto físicamente como mediante conexión; por eso es que se debe hacer una clara diferenciación en los niveles de los distintos tipos de vulnerabilidad y en las medidas a adoptar para protegerse de ellas.
