Análisis y Gestión de Amenazas en Sistemas de Información Administrativa

Ingeniería de computadores, , , , , ,

Tipos de Amenazas en Sistemas de Información Administrativa

Amenazas Naturales (ANI)

Catástrofes, Accidentes y Desastres

Descripción: Esta amenaza recae sobre todos los elementos de la empresa, especialmente en el sistema de información administrativa. Algunos ejemplos son incendios, inundaciones, filtraciones, rayos, descargas eléctricas, derrumbes, terremotos, explosiones, disturbios e interrupción de la energía.

Consecuencias: Imposibilidad de procesar información, pérdida de archivos y registros, fallas, roturas o destrucción de equipos e instalaciones.

Prevención:

  • Fuentes de energía alternativa.
  • Localización adecuada del edificio y del centro de procesamiento de datos.
  • Almacenamiento del papel en un lugar separado.
  • Pararrayos y protección eléctrica.
  • Control de elementos contra incendio.
  • Plan de seguridad.
  • Backup.
  • Contratación de seguros.
  • Capacitación del personal en materia de seguridad.

Detección:

  • Detectores de humo, humedad y calor.
  • Alarmas de variaciones de tensión.
  • Personal de vigilancia y serenos.

Corrección:

  • Cobro de los seguros contratados.
  • Aplicación del plan de contingencias: roles ante siniestros, restablecimiento de energía, reposición de equipos, reinstalación de software, recuperación de información restaurándola de backups.

Fallas del Sistema

Descripción: Problemáticas que surgen en el software de base, procesador, periféricos, medios de almacenamiento, comunicaciones, utilitarios, aplicaciones y en un sistema de alimentación eléctrica inadecuado.

Consecuencias: Imposibilidad de procesar, pérdida de archivos y registros, fallas de equipos, instalaciones, software, utilitarios o aplicaciones, alteración en los resultados del proceso.

Prevención:

  • Procesamiento en equipos paralelos.
  • Servidores con dos procesadores y dos discos duplicados.
  • Software original con asistencia técnica.
  • Revisión y mantenimiento periódico de las instalaciones y equipos.
  • Auditoría del sistema.
  • Backup.
  • Exigir garantías al comprar software y hardware.
  • Plan de seguridad.

Detección:

  • Mensajes de error al procesar.
  • Indicios de error en el software.
  • Alarmas de tensión.
  • Procedimientos de control que detecten resultados inconsistentes.
  • Funcionamiento inadecuado del hardware.
  • Auditoría de sistemas.

Corrección:

  • Utilizar las garantías.
  • Utilizar la asistencia técnica.
  • Aplicar el plan de contingencias: restablecimiento de energía, reposición de equipos y sus componentes, reinstalación de software, recuperación de información restaurándola a través de backups.

Errores u Omisiones

Descripción: Amenaza originada por las personas que operan el sistema, siendo la fuente más frecuente de peligros. Algunos ejemplos son: pérdida de soportes de información, desactualización de documentación, errores al ingresar datos, al desarrollar sistemas, en el uso de archivos y respaldos, y pruebas de programas erróneas.

Consecuencias: Modificación de archivos y registros de datos, alteración de información y resultados, pérdida de archivos y registros.

Prevención:

  • Adecuada selección, capacitación y motivación del personal.
  • Simulación de distintas situaciones.
  • Backup.
  • Plan de seguridad.
  • Buen diseño de sistema.
  • Exigir garantías.
  • Auditorías de sistemas.

Detección:

  • Controles de entrada de datos, de operación y almacenamiento.
  • Comparación de resultados.
  • Auditoría de sistemas.
  • Mantenimiento de programas.
  • Pruebas y controles de desarrollo.
  • Control de resultados inconsistentes.

Corrección:

  • Apelar a las garantías de mantenimiento de software y asistencia técnica.
  • Aplicación del plan de contingencias: modificación del software que provocó errores, reprocesamiento de información, capacitación del personal, recuperación de información restaurándola de backups.

Amenazas Inducidas (AI)

Perjuicio con Motivación Económica

Descripción: Acto deliberado con la motivación de obtener un beneficio económico. Generalmente se trata de individuos de la organización que procuran pasar desapercibidos. Algunos ejemplos son: hurto de insumos, hurto de información para ser vendida, ingreso de información falsa, alteraciones en la programación con fines propios y uso indebido de recursos de la organización.

Consecuencias: Pérdida de archivos y registros, modificación de archivos y registros de datos, destrucción de instalaciones y equipos, alteración de la información y de los resultados de los procesos, pérdida de confianza en la organización, desconfianza interna y externa en la información obtenida, problemas para la imagen de la organización.

Prevención:

  • Selección del personal.
  • Organización y control interno.
  • Separación de funciones.
  • Control de acceso a los programas.
  • Plan de seguridad.
  • Backup.
  • Contratación de personal de seguridad.
  • Instalación de cámaras de vigilancia.
  • Instrumentos de control de entrada y salida de los empleados.
  • Contratación de seguros.

Detección:

  • Auditoría de sistemas.
  • Registro de accesos indebidos.
  • Observaciones de las costumbres del personal.
  • Control de entrada y salida.
  • Registro de asistencia y horarios.
  • Controles cruzados de información.
  • Control de inventarios de bienes.
  • Procedimientos de verificación y consistencia.

Corrección:

  • Cobertura por medio de seguros.
  • Despido del personal involucrado.
  • Reasignación de funciones.
  • Cambio de contraseñas.
  • Modificación en la programación.
  • Aplicación del plan de contingencias.

Perjuicio sin Motivación Económica

Descripción: El acto perjudicial se realiza por una motivación política, gremial, personal, de salud mental, entre otros. El causante tratará de que el hecho se manifieste. Algunos ejemplos son: destrucción de componentes, pérdida o destrucción de información, terrorismo, sabotaje, operación y programación maliciosa, infiltración en redes, virus.

Consecuencias: Pérdida de archivos y registros, modificación de archivos y registros de datos, destrucción de instalaciones y equipos, alteración de la información y de los resultados de los procesos, pérdida de confianza en la organización, desconfianza interna y externa en la información obtenida, problemas para la imagen de la organización.

Prevención:

  • Selección del personal.
  • Ejecución de antivirus.
  • Control de acceso a los programas y a los datos por medio de contraseñas.
  • Protección física de equipos y datos.
  • Plan de seguridad.
  • Backup.
  • Elaboración de inventarios de bienes.

Detección:

  • Auditorías de sistemas.
  • Registro de accesos indebidos.
  • Observaciones de las costumbres del personal.
  • Control de entrada y salida.
  • Registro de asistencia y horarios.
  • Controles cruzados de información.
  • Control de inventario de bienes.
  • Procedimiento de verificación y consistencia.
  • Procesamiento de detección de virus.

Corrección:

  • Reducir el impacto económico recuperando la inversión por medio de seguros.
  • Despido del personal involucrado.
  • Reasignación de funciones.
  • Cambio de contraseñas.
  • Modificación en la programación.
  • Aplicación del plan de contingencias.
  • Procedimiento de limpieza de virus.

Invasión a la Privacidad

Descripción: Ocurre cuando la información almacenada sobre las personas trasciende la organización y es conocida por terceros. La información patrimonial, médica o política trasciende la organización y se perjudican las personas cuyos datos se divulgan, aunque puede no afectar en forma directa a la organización que los almacena.

Consecuencias: Pérdida de confianza en la organización, desconfianza interna y externa en la información obtenida, problemas para la imagen de la organización.

Prevención:

  • Selección del personal.
  • Organización y control interno.
  • Separación de funciones.
  • Control de acceso a los programas y a los datos por medio de contraseñas.
  • Registro de acceso a los sistemas.
  • Plan de seguridad.
  • Backup.
  • Contratación de personal de seguridad.
  • Instalación de cámaras de vigilancia.
  • Instrumentos de control de entrada y salida de los empleados.
  • Contratación de seguros.

Detección:

  • Auditoría de sistemas.
  • Registro de accesos indebidos.
  • Observaciones de las costumbres del personal.
  • Control de entrada y salida.
  • Registro de asistencia y horarios.
  • Divulgación de datos reservados.
  • Divulgación de contraseñas.

Corrección:

  • Despido del personal involucrado.
  • Reasignación de funciones.
  • Cambio de contraseñas.
  • Modificación en la programación.
  • Aplicación del plan de contingencias.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.