Professional Documents
Culture Documents
Introducción
La evaluación de riesgos de seguridad para los Recursos Informáticos se debe ejecutar al menos
una vez cada dos años. Todas las mejoras, actualizaciones, conversiones y cambios relativos
asociados con estos recursos deben ser precedidos por una evaluación del riesgo.
Cualquier brecha de seguridad o sospecha en la mala utilización en el Internet, la red corporativa o
Intranet, los recursos informáticos de cualquier nivel (local o corporativo) deberá ser comunicada por
el funcionario que la detecta, en forma inmediata y confidencial al Asesor de Seguridad Informática.
Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes y soportes, y
por supuesto habrá que considerar a las personas, que estén protegidas y existan medidas de
evacuación, alarmas, salidas alternativas, así como que no estén expuestas a riesgos superiores a
los considerados admisibles en la entidad e incluso en el sector.
Otro aspecto es el uso inadecuado de la computadora, este fenómeno comienza desde la utilización
de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de
comercialización sin reportar los derechos de autor hasta el acceso a bases de datos a fin de
modificar la información con propósitos fraudulentos.
Además se debe avaluar el nivel de riesgo que puede tener la información para poder hacer un
adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema
de seguridad
Se debe considerar sus valores sociales y, en general, su estabilidad, ya que normalmente son
personas que trabajan bajo presión y con mucho estrés, por lo que importa mucho su actitud y
comportamiento.
El personal de informática debe tener desarrollado un alto sistema ético y de lealtad, pero la
profesión en algunas ocasiones cuenta con personas que subestiman los sistemas de control, por lo
que el auditor tiene que examinar no solamente el trabajo del personal de informática, si no la
veracidad y confiabilidad de los programas de procesamiento.
Evaluación de la seguridad del personal seguridad del personal puede ser enfocada desde dos
puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos,
estos deben estar en óptimas condiciones para que no causen daño a las personas, y la seguridad
de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados.
Ambos puntos de vista deben se considerados al momento de diseñar un sistema de seguridad. Se
debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al
sistema de información de forma directa y se deberá contemplar principalmente: La dependencia del
sistema a nivel operativo y técnico. Evaluación del grado de capacitación operativa y técnica.
Contemplar la cantidad de personas con acceso operativo y administrativo. Conocer la capacitación
del personal en situaciones de emergencia.