FUNDACION UNIVERSITARIA SAN MARTIN

ELECTIVA II - GRUPO 141

REGINA ISABEL GARCIA PACHECO

CATEGORIAS DE LOS RIESGOS INFORMÁTICOS

La idea revolucionaria que define los límites
entre los tiempos modernos y el pasado
es el entendimiento del riesgo: la noción
de que el futuro es más que el deseo de
los dioses y que las personas son
pasivas ante la naturaleza”.

Peter Bernstein

INTRODUCCIÓN

En este ensayo, se busca mostrar algunos conceptos básicos sobre los riesgos
informáticos, pues en la actualidad tendencias como el uso de internet, en
constante crecimiento, permite el acceso de diferentes personas a los sistemas
de información de las empresas y el hogar, haciendo que sea indispensable
proteger la confidencialidad, integridad y disponibilidad de los datos
almacenados.

Además, debido al estilo de vida nómada del ejecutivo(a) moderno(a), el cual

favorece a que los colaboradores(as) puedan conectarse a los sistemas de
información casi desde cualquier lugar externo a la entidad, es necesario que
ellos lleven una parte del sistema de información fuera de la infraestructura
segura de la compañía.

En este trabajo se abordaran temas como las categorías de los riesgos

informáticos y analizaremos los riesgos típicos de cada una de ellas.

DESARROLLO

POR ARQUITECTURA:

En arquitectura de computadores, un riesgo es un problema potencial que

ocurre posiblemente en un procesador segmentado (ya que las instrucciones
son ejecutadas en varias etapas, de modo que en un momento dado se
encuentran en proceso varias y puede que éstas no sean completadas en el
orden deseado), convirtiéndose en una amenaza que puede causar pérdidas o
daños a los activos del negocio, impactando la confidencialidad, la integridad y
la disponibilidad de la información e imposibilitando el cumplimiento de un
objetivo.

Típicamente los riesgos se clasifican en tres tipos:

Riesgos de datos: ocurren cuando éstos son modificados. El ignorar riesgos de

datos potenciales puede resultar en condiciones de carrera (a veces llamadas
riesgos de carrera). Hay tres situaciones en las que puede aparecer un riesgo de
datos:

 Read after Write (RAW) o dependencia verdadera: un operando es

modificado para ser leído posteriormente. Si la primera instrucción no ha
terminado de escribir el operando, la segunda estará utilizando datos
incorrectos.
 Write after Read (WAR) o anti-dependencia: leer un operando y escribir en
él en poco tiempo. Si la escritura finaliza antes que la lectura, la instrucción de
lectura utilizará el nuevo valor y no el antiguo.
3
 FUNDACION UNIVERSITARIA SAN MARTIN
ELECTIVA II - GRUPO 141
REGINA ISABEL GARCIA PACHECO
 Write after Write (WAW) o dependencia de salida: dos instrucciones que
escriben en un mismo operando. La primera en ser emitida puede que finalice
en segundo lugar, de modo que el operando final no tenga el valor adecuado.

Los operandos envueltos en riesgos de datos pueden residir en memoria o en

registros.

Riesgos de salto o de control: los riesgos de salto o de control ocurren

cuando el procesador se ve obligado a saltar a una instrucción que no tiene por
qué ser necesariamente la inmediatamente siguiente en el código. En ese caso,
el procesador no puede saber por adelantado si debería ejecutar la siguiente
instrucción u otra situada más lejos en el código. Esto puede resultar en
acciones no deseadas por parte de la CPU.

Riesgos estructurales: sucede cuando parte del hardware del procesador es

necesario para ejecutar dos o más instrucciones a la vez. Puede ocurrir, por
ejemplo, si un programa intenta ejecutar una instrucción de salto seguida de
una operación matemática. Puesto que son ejecutadas de forma paralela y los
saltos son típicamente lentos (requieren realizar una comparación, operar
matemáticamente sobre el contador de programa y escribir en registros), es
bastante posible (dependiendo de la arquitectura) que la instrucción de
computación y la de salto requieran la ALU (unidad aritmético lógica) al mismo
tiempo.

POR CLASIFICACIÓN:

Respecto a los equipos: tradicionalmente este tipo de riesgos se ha centrado en

proteger los equipos contra el agua y/o el fuego con equipos de contraincendios,
planes de evacuación del personal, políticas que prohíban fumar, etc., perdiendo de
vista que también se debe tener en cuenta que se debe contar con un plan de
protección de archivos e información en general. Este tipo de riesgos pueden
ocasionar pérdidas o cambios de mensajes durante la transmisión; fallas de equipo
que puede provocar la aparición de datos erróneos, omisiones, etc.; interrupciones
durante fenómenos naturales o del hombre (terremotos, inundaciones, fuego
intencionado, entre otros).

Respecto a los programas: en estos se pueden incluir algunos como: fraude o

desfalco afectando los activos de la empresa (incluye información); robo de
software, incluye el copiado ilícito de los mismos; imposibilidad de recuperación y
reinicio de procesos o comunicación de datos; modificaciones no autorizadas;
alteración de secuencias que imposibilite rastrear información en el proceso de
datos; deficiente validación de datos-programas; falta de comprobación intermedia
de datos transmitidos, entre otro.

Respecto a los trabajos: dentro de estos podemos encontrar: los referentes a los
proyectos informáticos que generan perjuicio para las empresas o clientes por su
inejecución o deficiencia; contra los datos que son provocados por la destrucción
voluntaria o involuntaria de los soportes que contiene la información o la
divulgación intencional o imprudencial de información confidencial o que puedan
traer repercusiones económicas; acceso indebido a los sistemas entre otros.

CONCLUSIONES
3
 FUNDACION UNIVERSITARIA SAN MARTIN
ELECTIVA II - GRUPO 141
REGINA ISABEL GARCIA PACHECO
Se sabe que la información es un activo muy valioso de las empresas e incluso
en el hogar, requiere protección, ya que existen muchas formas para afectarla;
están los virus, los hacker, troyanos, gusanos, entre otros pero se pueden
contrarrestar con los spyware, antivirus y a nivel empresarial se pueden
configurar los niveles de acceso, etc.; además es necesario resguardarla pues
debe de ser confiable, confidencial y estar disponible, ser verídica, evitar que
sea borrada o cambiada por error o intencionalmente y estar disponibles en
todo momento para las personas que poseen el debido acceso.

Por los motivos expuestos en este ensayo que son riesgos eminentemente
informáticos y muchos otros que afectan a las compañías, la tendencia actual
de las empresas para marcar una diferencia ante su cliente, proteger sus
activos y mantenerse en el mercado, entre otros, lo logran certificarse con
estándares como los establecidos por la ISO, por eso para la seguridad
informática existe la norma ISO 27000, la cual está construida sobre el
concepto de Sistema de Gestión de Seguridad de la Información “SGSI”, cuyo
propósito es crear un sistema de gestión de la seguridad de la información que
garantice que los riesgos de la seguridad de la información sean conocidos,
asumidos, gestionados y minimizados por la organización de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las tecnologías.

CIBERGRAFIA

http://es.kioskea.net/contents/secu/secuintro.php3

www.iso27000.es