Al hablar de Riesgos Tecnológicos es común pensar solamente en los derivados del uso de Internet y los Virus Informáticos, pero en realidad si tomamos en cuenta que dicho riesgo es derivado del Riesgo Operativo que define Basilea II para las instituciones financieras debemos considerar las amenazas que producen los riesgos.
Se que los tipos de amenazas más comúnmente usados son las amenazas de Origen Humano y de Origen natural, de hecho Magerit la metodología de análisis de riesgo del Gobierno Español, tiene una buena división en un diccionario de amenazas que afectan los diferentes activos tecnológicos como ser el hardware, el software, los datos y las personas, pero quiero focalizarme en las que por su origen de riesgo son las más comunes.
No es una lista total pero contiene lo que en resumen son las más importantes para iniciar un análisis de riesgo tecnológico y resumir el riesgo operativo de la institución.
Fraude interno
Modificación indebida de programas,
Modificación de funciones o uso no autorizado,
Manejo indebido de funciones de sistema operativo,
Uso indebido de hardware,
Cambios indebidos a sistemas o datos por hacking,
Uso o copia de software violando copyrights,
Abuso de las atribuciones o privilegios,
Divulgación de información confidencial,....
Modificación indebida de programas,
Modificación de funciones o uso no autorizado,
Manejo indebido de funciones de sistema operativo,
Uso indebido de hardware,
Cambios indebidos a sistemas o datos por hacking,
Uso o copia de software violando copyrights,
Abuso de las atribuciones o privilegios,
Divulgación de información confidencial,....
Fraude externo
Cambios indebidos a sistemas o datos por hacking,
Acceso externo a información confidencial,
Intercepción de comunicaciones en forma no autorizada,
Uso indebido de derechos en los accesos remotos,
Ataques de virus y/o malware,...
Relaciones laborales y seguridad en el puesto de trabajo
Mal uso de software,
hardware y/o otros recursos,
Abusos de autoridad y/o privilegios,
Descuidos intencionales en la protección de la seguridad,
Incompetencia funcional, ...
Cambios indebidos a sistemas o datos por hacking,
Acceso externo a información confidencial,
Intercepción de comunicaciones en forma no autorizada,
Uso indebido de derechos en los accesos remotos,
Ataques de virus y/o malware,...
Relaciones laborales y seguridad en el puesto de trabajo
Mal uso de software,
hardware y/o otros recursos,
Abusos de autoridad y/o privilegios,
Descuidos intencionales en la protección de la seguridad,
Incompetencia funcional, ...
Daños a activos Materiales
Daño intencional o accidental de activos de información y/o recursos de tecnología,...
Prácticas con los clientes, productos y negocios
Daño intencional o accidental de activos de información y/o recursos de tecnología,...
Prácticas con los clientes, productos y negocios
Malas prácticas llevadas por terceras partes vinculadas,
Divulgación de proyectos confidenciales, ...
Divulgación de proyectos confidenciales, ...
Alteraciones en la actividad y fallos en los sistemas
Fallas o malfuncionamiento de hardware / software,
Fallas en las telecomunicaciones,
Perdida de recursos humanos,
Destrucción de software / datos,
Ataques de virus,
Fallas de los resguardos de información,
Ataques de denegación de servicio,
Errores de configuración,
Eventos adversos, ...
Fallas o malfuncionamiento de hardware / software,
Fallas en las telecomunicaciones,
Perdida de recursos humanos,
Destrucción de software / datos,
Ataques de virus,
Fallas de los resguardos de información,
Ataques de denegación de servicio,
Errores de configuración,
Eventos adversos, ...
Ejecución, entrega y procesamiento
Errores o fallas en el manejo de medios electrónicos,
Estaciones de trabajo no atendidas,
Errores en el control de cambios a programas,
Ingreso incompleto en el ingreso de las transacciones,
Errores en el ingreso o salida de datos,
Errores en la programación o en las pruebas,
Errores en la operación, ...
Estaciones de trabajo no atendidas,
Errores en el control de cambios a programas,
Ingreso incompleto en el ingreso de las transacciones,
Errores en el ingreso o salida de datos,
Errores en la programación o en las pruebas,
Errores en la operación, ...
Podremos ver en la Segunda Parte cada uno de los fraudes externos y las amenazas con más detalle.
Excelente Blog, podría compartir la Segunda Parte. Gracias!
ResponderEliminar