19

CAPITULO 2

2.

MARCO

TERICO:

ADMINISTRACIN

DE

RIESGOS DE TECNOLOGA DE INFORMACIN.

2.1.- Fundamenta !"n Te"#! a 2.1.1.- R!e$%&$

2.1.1.1. C&n e't&$: Se definen tres conceptos de Riesgos a continuacin:

Segn Fernando Izquierdo Duarte: El Riesgo es un incidente o situacin, que ocurre en un sitio concreto durante un inter alo de tie!po deter!inado, con consecuencias positi as o negati as que podr"an afectar el cu!pli!iento de los o#$eti os%&

Segn 'l#erto (ancelado )onz*lez: El riesgo es una condicin del !undo real en el cual +a, una e-posicin a la ad ersidad, confor!ada por una co!#inacin de circunstancias del entorno, donde +a, posi#ilidad de p.rdidas%&

/0

Segn 1art"n 2ilc+es 3roncoso: El riesgo es cualquier aria#le i!portante de incertidu!#re que interfiera con el logro de los o#$eti os , estrategias del negocio& Es decir es la posi#ilidad de la ocurrencia de un +ec+o o suceso no deseado o la no4ocurrencia de uno deseado%&

2.1.1.2. C(a$!)! a !"n de R!e$%&$.-

2.1.1.2.1. R!e$%& de Ne%& !&$:

Es el riego de los negocios

estrat.gicos de la e!presa , de sus procesos cla es& En otras pala#ras es un riesgo cr"tico de la e!presa&

2.1.1.2.2. R!e$%& In*e#ente:

Es la posi#ilidad de errores o

irregularidades en la infor!acin financiera, ad!inistrati a u operati a, antes de considerar la efecti idad de los controles internos dise5ados , aplicados por el ente&

2.1.1.2.+. R!e$%& de Aud!t&#,a: E-iste al aplicar los progra!as de auditor"a, cu,os procedi!ientos no son suficientes para descu#rir errores o irregularidades significati as&

/1

2.1.1.2.-. R!e$%& de C&nt#&(: Est* asociado con la posi#ilidad de que los procedi!ientos de control interno, inclu,endo a la unidad de auditor"a interna, no puedan pre enir o detectar los errores e irregularidades significati as de !anera oportuna&

2.1.1.2... R!e$%& E$t#at/%! &: Se asocia con la for!a en que se ad!inistra la Entidad& El !ane$o del riesgo estrat.gico se enfoca a asuntos glo#ales relacionados con el cu!pli!iento de la !isin de la Entidad, la cual #usca la igilancia de la conducta de los ser idores p#licos, defender el orden $ur"dico , los derec+os funda!entales&

2.1.1.2.0. R!e$%& O'e#at!1&: (o!prende tanto el riesgo en siste!as co!o operati o pro enientes de deficiencias en los siste!as de infor!acin, procesos, estructura, que conducen a ineficiencias, oportunidad de corrupcin o incu!pli!iento de los derec+os funda!entales&

//

2.1.1.2.2. R!e$%& F!nan !e#&: Se relaciona con las e-posiciones financieras de la e!presa& El !ane$o del riesgo financiero toca acti idades de tesorer"a, presupuesto, conta#ilidad , reportes financieros, entre otros&

2.1.1.2.3. R!e$%& de Cum'(!m!ent&: Se asocia con la capacidad de la e!presa para cu!plir con los requisitos regulati os, legales, contractuales, de .tica p#lica, de!ocracia , participacin, ser icio a la co!unidad, interaccin con el ciudadano, respeto a los derec+os, a la indi idualidad, la equidad , la igualdad&

2.1.1.2.4. R!e$%& de Te n&(&%,a: Se asocia con la capacidad de la e!presa en que la tecnolog"a disponi#le satisfaga las necesidades actuales , futuras de la e!presa , soporten el cu!pli!iento de la !isin&

/6

2.1.1.2.15. R!e$%& P#&)e$!&na(: (on$unto de entidades p#licas , pri adas, nor!as , procedi!ientos, destinados a pre enir, proteger , atender a los tra#a$adores de los efectos, de las enfer!edades , los accidentes que puedan ocurrirles con ocasin o co!o consecuencia del tra#a$o que desarrollan&

2.1.1.+. T!'&$ de Cau$a$ de R!e$%&$ de TI: 7as causas de riesgo !*s co!unes, para efectos del te!a, se di iden en:

E-ternas e Internas&

7as causas de riesgo e-ternas pueden ser de dos clases:

8aturales , 1oti adas por el 9o!#re&

7as causas de riesgo naturales son nor!al!ente las siguientes:

Inundaciones 3e!#lores 3ornados

/:

3or!entas El.ctricas 9uracanes Erupciones 2olc*nicas

7as causas de riesgo originadas por el +o!#re, son entre otras, las siguientes: Incendios E-plosiones 'ccidentes la#orales Destruccin intencional Sa#ota$e Ro#o Fraude (onta!inacin '!#iental

7as causas internas de riesgo, se generan a partir de las !is!as e!presas& Son !*s frecuentes las causas internas de riesgo que las causas e-ternas&

Entre las causas internas de riesgo tene!os #*sica!ente:

Ro#o: de !ateriales, de dinero , de infor!acin

/;

Sa#ota$e Insuficiencia de Dinero Destruccin: de datos , de recursos <ersonal 8o capacitado 9uelgas Fraudes 'usencia de seguridades f"sicas tanto de la e!presa co!o dela infor!acin&

2.1.2. R!e$%&$ de Te n&(&%,a de In)&#ma !"n.-

2.1.2.1. C&n e't&: El concepto de riesgo de 3I puede definirse co!o el efecto de una causa !ultiplicado por la frecuencia pro#a#le de ocurrencia dentro del entorno de 3I& Es el control el que acta so#re la causa del riesgo para !ini!izar sus efectos& (uando se dice que los controles !ini!izan los riesgos, lo que en erdad +acen es actuar so#re las causas de los riesgos, para !ini!izar sus efectos&

2.1.2.2. 6a(&#a !"n de( R!e$%&: 7a aloracin del riesgo consta de tres etapas: 7a identificacin, el an*lisis , la deter!inacin del ni el del riesgo& <ara cada una de ellas es necesario tener en cuenta la

/=

!a,or cantidad de datos disponi#les , contar con la participacin de las personas que e$ecutan los procesos , procedi!ientos para lograr que las acciones deter!inadas alcancen los ni eles de efecti idad esperados& <ara adelantarlas de#en utilizarse las diferentes fuentes de infor!acin&

2.1.2.+. Ident!)! a !"n de( R!e$%&: El proceso de la identificacin del riesgo de#e ser per!anente, integrado al proceso de planeacin , responder a las preguntas qu., co!o , por qu. se pueden originar +ec+os que influ,en en la o#tencin de resultados&

>na !anera de realizar la identificacin del riesgo es a tra .s de la ela#oracin de un !apa de riesgos, el cual co!o +erra!ienta !etodolgica per!ite +acer un in entario de los !is!os ordenada , siste!*tica!ente, definiendo en pri!era instancia los riesgos, posterior!ente presentando una descripcin de cada uno de ellos , las posi#les consecuencias&

/?

TA7LA I ETAPAS DE LA IDENTIFICACIN DEL RIESGO

RIESGO.

DESCRIPCIN

POSI7LES CONSECUENCIAS

<osi#ilidad ocurrencia aquella que entorpecer

de Se

refiere

las (orresponde a los las posi#les efectos

de caracter"sticas o

situacin generales

pueda for!as en que se ocasionados por el el o#ser a o riesgo, los cuales se

nor!al desarrollo !anifiesta el riesgo pueden traducir en de las funciones identificado de la entidad , le i!pidan el logro de sus o#$eti os& da5os de tipo social,

econ!ico,

ad!inistrati o, entre otros

2.1.2.-. An8(!$!$ de( R!e$%&:

2.1.2.-.1. O9:et!1& Gene#a( de( An8(!$!$ de R!e$%&: Su o#$eti o es esta#lecer una aloracin , priorizacin de los riesgos con #ase en la infor!acin ofrecida por los !apas ela#orados en la etapa de identificacin, con el fin de clasificar los riesgos , pro eer infor!acin

/@

para esta#lecer el ni el de riesgo , las acciones que se i!ple!entar&

an a

Se +an esta#lecido dos aspectos para realizar el an*lisis de los riesgos identificados:

<ro#a#ilidad: 7a posi#ilidad de ocurrencia del riesgo, la cual puede ser !edida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos , e-ternos que puedan propiciar el riesgo, aunque .ste no se +a,a presentado nunca&

<ara el an*lisis cualitati o se esta#lece una escala de !edida cualitati a en donde se esta#lecen unas categor"as a utilizar , la descripcin de cada una de ellas, con el fin que cada persona la aplique, por e$e!plo:

'73': Es !u, facti#le que el +ec+o se presente 1EDI': Es facti#le que el +ec+o se presente A'B': Es poco facti#le que el +ec+o se presente

/9

I!pacto: (onsecuencias que puede ocasionar a la organizacin la !aterializacin del riesgo&

Ese !is!o dise5o puede aplicarse para la escala de !edida cualitati a de I1<'(3C, esta#leciendo las categor"as , la descripcin, por e$e!plo:

'73C: Si el +ec+o llegara a presentarse, tendr"a alto i!pacto o efecto so#re la Entidad& 1EDIC: Si el +ec+o llegara a presentarse tendr"a !edio i!pacto o efecto en la entidad& A'BC: Si el +ec+o llegara a presentarse tendr"a #a$o i!pacto o efecto en la entidad&

2.1.2.-.2. O9:et!1&$ E$'e ,)! &$ de( An8(!$!$ de R!e$%&:

'nalizar el tie!po, esfuerzo , recursos disponi#les , necesarios para atacar los pro#le!as& Definir cu*les son los recursos e-istentes&

60

7le ar a ca#o un !inuciosos an*lisis de los riesgos , de#ilidades& Identificar, definir , re isar todos los controles de seguridad ,a e-istentes& Deter!inar si es necesario incre!entar las !edidas de seguridad, los costos del riesgo , los #eneficios esperados&

2.1.2... Mat#!; de P#!&#!;a !"n de (&$ R!e$%&$: >na ez realizado el an*lisis de los riesgos con #ase en los aspectos de pro#a#ilidad e i!pacto, se reco!ienda utilizar la !atriz de priorizacin que per!ite deter!inar cuales riesgos requieren de un trata!iento in!ediato&

FIGURA 2.1. MATRI< DE PRIORI<ACIN DE RIESGOS

PRO7A7ILIDAD

'lta

Aa$a

C Aa$o

D 'lto IMPACTO

61

(uando se u#ican los riesgos en la !atriz se define cuales de ellos requieren acciones in!ediatas, que en este caso son los del cuadrante A, es decir los de alto i!pacto , alta pro#a#ilidad, respecto a los riesgos que queden u#icados en el cuadrante ' , D, se de#e seleccionar de acuerdo a la naturaleza del riesgo, ,a que estos pueden ser peligrosos para el alcance de los o#$eti os institucionales por las consecuencias que presentan los u#icados en el cuadrante D o por la constante de su presencia en el caso del cuadrante '&

<ode!os citar co!o e$e!plo, una !atriz de frecuencia de re isin de siste!as, donde cada "ndice tiene una ponderacin , cada cuenta del siste!a es analizada , calificada de acuerdo a la ponderacin deter!inada&

TA7LA II MATRI< DE FRECUENCIA DE RE6ISIN DE SISTEMAS

S!$tem a
Ponderador

M&d& M&1. P#& 4 + + + 1 10 + + + 1

Cant. M&nt& C&m '(.Renta9 I##e%. T #=. 8 2 2 + 1 4 + + 2 1 10 + 2 1 1 10 2 2 1 1 + 2 2 1 6

. Fd&$. T#=.

Cta$.Cte$. C. A*&##&$ P(a;& F!:& In). DGI

6/

2.1.2.0. Dete#m!na !"n de( N!1e( de( R!e$%&: 7a deter!inacin del ni el de riesgo es el resultado de confrontar el i!pacto , la pro#a#ilidad con los controles e-istentes al interior de los diferentes procesos , procedi!ientos que se realizan& <ara adelantar esta

etapa se de#en tener !u, claros los puntos de control e-istentes en los diferentes procesos, los cuales per!iten o#tener infor!acin para efectos de to!ar decisiones, estos ni eles de riesgo pueden ser:

'73C: (uando el riesgo +ace alta!ente ulnera#le a la entidad o dependencia& DI!pacto , pro#a#ilidad alta ersus controles e-istentesE

1EDIC: (uando el riesgo presenta una

ulnera#ilidad !edia&

DI!pacto alto 4 pro#a#ilidad #a$a o I!pacto #a$o 4 pro#a#ilidad alta ersus controles e-istentesE&

A'BC: (uando el riesgo presenta

ulnera#ilidad #a$a&D I!pacto ,

pro#a#ilidad #a$a ersus controles e-istentesE&

7o anterior significa que a pesar que la pro#a#ilidad , el i!pacto son altos confrontado con los controles se puede afir!ar que el ni el de riesgo es !edio , por lo tanto las acciones que se i!ple!enten

66

entraran a reforzar los controles e-istentes , a alorar la efecti idad de los !is!os&

2.1.2.2. Mane:& de( R!e$%&: (ualquier esfuerzo que e!prendan las entidades en torno a la aloracin del riesgo llega a ser en ano, si no cul!ina en un adecuado !ane$o , control de los !is!os definiendo acciones facti#les , efecti as, tales co!o la i!plantacin de pol"ticas, est*ndares, procedi!ientos , ca!#ios f"sicos entre otros, que +agan parte de un plan de !ane$o&

<ara el !ane$o del riesgo se pueden tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de ellas independiente!ente, interrelacionadas o en con$unto&

E itar el riesgo: Es sie!pre la pri!era alternati a a considerar& Se logra cuando al interior de los procesos se generan ca!#ios sustanciales por !e$ora!iento, redise5o o eli!inacin, resultado de unos adecuados controles , acciones e!prendidas& >n e$e!plo de esto puede ser el control de calidad, !ane$o de los insu!os, !anteni!iento pre enti o de los equipos, desarrollo tecnolgico, etc&

6:

Reducir el riesgo: Si el riesgo no puede ser e itado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al !*s #a$o ni el posi#le& 7a reduccin del riesgo es pro#a#le!ente el !.todo !*s sencillo , econ!ico para superar las de#ilidades antes de aplicar !edidas !*s costosas , dif"ciles& Se consigue !ediante la opti!izacin de los procedi!ientos , la i!ple!entacin de controles&

Dispersar , ato!izar el riesgo: Se logra !ediante la distri#ucin o localizacin del riesgo en di ersos lugares& Es as" co!o por e$e!plo, la infor!acin de gran i!portancia se puede duplicar , al!acenar en un lugar distante , de u#icacin segura, en ez de de$arla concentrada en un solo lugar e$e!plo de ello el procedi!iento utilizado por la Cficina de Siste!as para la sal aguarda de la infor!acin que se genera diaria!ente en la Entidad&

3ransferir el riesgo: 9ace referencia a #uscar respaldo , co!partir con otro parte del riesgo co!o por e$e!plo to!ar plizas de segurosF se traslada el riesgo a otra parte o f"sica!ente se traslada a otro lugar& Esta t.cnica es usada para eli!inar el riesgo de un lugar , pasarlo a otro o de un grupo a otro& 's" !is!o, el riesgo puede ser !ini!izado co!parti.ndolo con otro grupo o dependencia&

6;

'su!ir el riesgo: 7uego que el riesgo +a sido reducido o transferido puede quedar un riesgo residual que se !antiene& En este caso, el gerente del proceso si!ple!ente acepta la p.rdida residual pro#a#le , ela#ora planes de contingencia para su !ane$o&

>na ez esta#lecidos cu*les de los anteriores !ane$os del riesgo se an a concretar, .stos de#en e aluarse con relacin al #eneficio4costo para definir, cu*les son suscepti#les de ser aplicados , proceder a ela#orar el plan de !ane$o de riesgo, teniendo en cuenta, el an*lisis ela#orado para cada uno de los riesgos de acuerdo con su i!pacto, pro#a#ilidad , ni el de riesgo&

<osterior!ente se definen los responsa#les de lle ar a ca#o las acciones especificando el grado de participacin de las dependencias en el desarrollo de cada una de ellas& 's" !is!o, es i!portante

construir indicadores, entendidos co!o los ele!entos que per!iten deter!inar de for!a pr*ctica el co!porta!iento de las aria#les de riesgo, que an a per!itir !edir el i!pacto de las acciones&

2.1.2.2.1. P(an de mane:& de R!e$%&$:

<ara ela#orar el plan de

!ane$o de riesgos es necesario tener en cuenta si las acciones

6=

propuestas reducen la !aterializacin del riesgo , +acer una e aluacin $ur"dica, t.cnica, institucional, financiera , econ!ica, es decir considerar la ia#ilidad de su adopcin& 7a seleccin de las

acciones !*s con enientes para la entidad se puede realizar con #ase en los siguientes factores:

aE el ni el del riesgo #E el #alance entre el costo de la i!ple!entacin de cada accin contra el #eneficio de la !is!a&

>na ez realizada la seleccin de las acciones !*s con enientes se de#e proceder a la preparacin e i!plantar del plan, identificando responsa#ilidades, progra!as, resultados esperados, !edidas para erificar el cu!pli!iento , las caracter"sticas del !onitoreo& El .-ito

de la adopcin ,Go e$ecucin del plan requiere de un siste!a gerencial efecti o el cual tenga claro el !.todo que se a a aplicar&

Es i!portante tener en cuenta que los o#$eti os est*n consignados en la planeacin anual de la entidad, por tal razn se sugiere incluir el plan de !ane$o de riesgos dentro de la planeacin, con el fin de no solo alcanzar los o#$eti os sino de definir ta!#i.n las acciones&

6?

2.1.2.3. Mat#!; de R!e$%&$:

2.1.2.3.1. Ut!(!dad de( M/t&d& Mat#! !a( 'a#a e( an8(!$!$ de R!e$%&$: Este !.todo utiliza una !atriz para !ostrar gr*fica!ente tanto las a!enazas a que est*n e-puestos los siste!as co!putarizados co!o los o#$etos que co!prenden el siste!a& Dentro de cada celda se !uestran los controles que atacan a las a!enazas&

2.1.2.3.2. T!'&$ de Mat#! e$ de R!e$%&:

2.1.2.3.2.1. Mat#!; de R!e$%&$ C#,t! &$ 6$. E$ ena#!&$ de R!e$%&: En esta se representan los escenarios o puntos del proceso que pueden ser i!pactados por los riesgos potenciales cr"ticos& (on una H-H se se5alan las celdas en donde podr"a presentarse cada riesgo& <ara co!pletar el significado de esta !atriz, en +o$a separada se descri#e la for!a co!o podr"a presentarse cada riesgo en los diferentes escenarios !arcado con H-%&

6@

TA7LA III MATRI< DE LOCALI<ACIN DE RIESGOS POTENCIALES CRTICOS EN LOS ESCENARIOS DE RIESGO

LOCALIZACION DE RIESGOS CRTICOS EN LOS ESCENARIOS DE RIESGO

Proceso de Negocio o Sistema : CDTs. No Escenario de Riesgo Fraude Exces o de Egres os 1 # % Generaci n ! Registro de Transacciones Ingreso de $os datos a$ sistema Procesamiento de $as transacciones ! act&a$i'aci n ) de $a (ase de datos *ti$i'aci n ! contro$ de $os res&$tados +or +arte de $os , / &s&arios de$ sistema C&stodia de t-t&$os .a$ores Registro conta($e de $as transacciones " " " " " " " " Sanci o-nes legale s " Prdid a Credib i-lidad

"

"

"

2.1.2.3.2.2. Mat#!; de R!e$%&$ C#,t! &$ 6$. De'enden !a$. En esta se representan las dependencias que pueden ser i!pactadas por los

riesgos potenciales cr"ticos& (on una H-H se se5alan las celdas en donde

69

podr"a presentarse cada riesgo& <ara co!pletar el significado de esta !atriz, en +o$a separada se descri#e la for!a co!o podr"a presentarse cada riesgo en las dependencias !arcadas con H-H&

TA7LA I6 MATRI< DE LOCALI<ACIN DE LOS RIESGOS CRTICOS EN LAS DEPENDENCIAS

LOCALIZACION DE RIESGOS CRTICOS EN LAS DEPENDENCIAS 0*E 1ANE2AN LA IN3OR1ACION

Proceso de Negocio o Sistema : CDTs. No 1 # % ) Dependencias S&c&rsa$es D+to. de Sistemas Conta(i$idad DECE4AL Fraude " " Exceso de Egresos " Sanciones legales " " " " Prdida Credibilidad

:0

2.1.2.3.2.+. L& a(!;a !"n de (&$ R!e$%&$ C#,t! &$ en Mat#!; de De'enden !a$ 6$ E$ ena#!&$ de R!e$%&: Es el resultado de co!#inar las dos !atrices anteriores& En las celdas de esta !atriz se escri#en las identificaciones de los riesgos cr"ticos que correspondan& 2er figura ;: 7ocalizacin de riesgos cr"ticos en las Dependencias que inter ienen en el proceso o siste!a&

>tilizando cdigos de identificacin alfanu!.ricos para los riesgos potenciales cr"ticos, dentro de esta !atriz se identifican los riesgos que podr"an !aterializarse en cada dependencia%& pare$a escenario I

R1: Fraude&

R2: Sanciones 7egales&

R+: <.rdida de

(redi#ilidad <#lica.

:1

TA7LA 6 MAPA DE RIESGOS POTENCIALES CRTICOS.

LOCALIZACION DE RIESGOS CRTICOS EN 1ATRIZ DE ESCENARIOS DE RIESGO 5 DEPENDENCIAS

Proceso de Negocio o Sistema : CDTs. No 1 # % Escenario de Riesgo Generaci n de Transacciones Ingreso de $os datos a$ sistema Procesamiento de $as transacciones ! act&a$i'aci n ) de $a (ase de datos *ti$i'aci n ! contro$ de $os res&$tados +or +arte de $os , / &s&arios de$ sistema C&stodia de t-t&$os .a$ores Registro conta($e de $as transacciones R16R% R# R# Sucursales R16 R# R1 R16R# Sis e!as Dece"al Con abilidad

:/

2.1.+. Adm!n!$t#a !"n de R!e$%&$.-

En la econo!"a glo#al, las

organizaciones necesitan to!ar riesgos para so#re i ir, la !a,or"a de ellas necesitan incre!entar el ni el de riesgos que to!an para ser e-itosas a largo plazo& (on el significati o incre!ento en la co!petencia, los o#$eti os , !etas agresi os de las corporaciones se est*n con irtiendo en nor!a& <ara direccionar este ca!#io, los l"deres !undiales est*n fortaleciendo sustancial!ente sus pr*cticas de ad!inistracin de riesgos para asegurar que si las iniciati as o el

:6

funciona!iento de las unidades de negocio se descarrilan%, esto se identifique r*pida!ente poder actuar para corregir la situacin&

2.1.+.1. De)!n! !"n: Es un proceso interacti o e iterati o #asado en el conoci!iento, e aluacin , !ane$o de los riesgos , sus i!pactos, con el propsito de !e$orar la to!a de decisiones organizacionales&

Es aplica#le a cualquier situacin donde un resultado no deseado o inesperado pueda ser significati o o donde se identifiquen

oportunidades de !e$ora&

2.1.+.2. 7ene)! !&$ 'a#a (a O#%an!;a !"n:

Facilita el logro de los o#$eti os de la organizacin& 9ace a la organizacin !*s segura , consciente de sus riesgos&

1e$ora!iento continuo del Siste!a de (ontrol Interno& Cpti!iza la asignacin de recursos& 'pro ec+a!iento de oportunidades de negocio&

::

Fortalece la cultura de autocontrol& 1a,or esta#ilidad ante ca!#ios del entorno&

2.1.+.+. 7ene)! !&$ 'a#a e( De'a#tament& de Aud!t&#!a:

Soporta el logro de los o#$eti os de la auditoria& Estandarizacin en el !.todo de tra#a$o& Integracin del concepto de control en las pol"ticas organizacionales&

1a,or efecti idad en la planeacin general de 'uditoria& E aluaciones enfocadas en riesgos& 1a,or co#ertura de la ad!inistracin de riesgos& 'uditorias !*s efecti as , con !a,or alor agregado&

2.1.+.-. Fa t&#e$ a &n$!de#a#: 7os principales factores que se de#en considerar en la 'd!inistracin de Riesgos de 3I son:

Seguridades

:;

(ontroles: <re enti os, Detecti os , (orrecti os C#$eti os 1anuales de usuarios <ol"ticas

Si no e-iste una adecuada consideracin de los factores antes descritos , si nuestros controles , seguridades fueran errados, nuestros planes organizacionales, financieros, ad!inistrati os , de siste!as se er"an seria!ente afectados, ,a que no slo el *rea de siste!as ser* el afectado&

2.1.-.- Adm!n!$t#a !"n de R!e$%&$ de TI.-

2.1.-.1. C&n e't&: 7a 'd!inistracin de Riesgos de 3I es el proceso continuo #asado en el conoci!iento, e aluacin, !ane$o de los riesgos , sus i!pactos que !e$ora la to!a de decisiones organizacionales, frente a los riesgos de 3I&

Es entonces la ad!inistracin de riesgos el t.r!ino asociado al con$unto de pasos secuenciales, lgicos , siste!*ticos que de#e

:=

seguir el analista de riesgos para identificar,

alorar , !ane$ar los

riesgos asociados a los procesos de 3I de la organizacin, los cuales e$ecutados en for!a organizada le per!iten encontrar soluciones reales a los riesgos detectados !ini!izando las p.rdidas o !a-i!izando las oportunidades de !e$ora&

2.1.-.2. 7ene)! !&$: Se pueden !encionar los siguientes #eneficios:

' ni el organizacional:

'lcance o logro de los o#$eti os organizacionales& Jnfasis en prioridades de negocio: per!ite a los directi os enfocar sus recursos en los o#$eti os

pri!arios& 3o!ar accin para pre enir , reducir p.rdidas, antes que corregir despu.s de los +ec+os, es una estrategia efecti a de ad!inistracin del riesgo& Fortaleci!iento del proceso de planeacin& 'po,o en la identificacin de oportunidades& Fortaleci!iento de la cultura de autocontrol&

'l proceso de ad!inistracin:

:?

(a!#io cultural que soporta discusiones a#iertas so#re riesgos e infor!acin potencial!ente peligrosa& 7a nue a cultura tolera equi ocaciones pero no tolera errores escondidos& 7a nue a cultura ta!#i.n +ace .nfasis en el aprendiza$e de los errores&

1e$or ad!inistracin financiera , operacional al asegurar que los riesgos sean adecuada!ente considerados en el proceso de to!a de decisiones& generar* >na ser icios !e$or !*s

ad!inistracin

operacional

efecti os , eficientes& 'nticipando los pro#le!as, los directi os tendr*n !a,or oportunidad de reaccin , to!ar acciones& 7a organizacin ser* capaz de cu!plir con sus pro!esas de ser icio& 1a,or responsa#ilidad de los ad!inistradores en el corto plazo& ' largo plazo, se !e$orar*n todas las capacidades de los directi os&

2.1.-.+. Ca#a te#,$t! a$ Gene#a(e$:

:@

7a 'd!inistracin de Riesgos de#e estar apo,ada por la 'lta )erencia de la Crganizacin&

7a 'd!inistracin de Riesgos de#e ser parte integral del proceso ad!inistrati o utilizado por la Direccin de la Crganizacin&

7a 'd!inistracin de Riesgos es un proceso !ultifac.tico , participati o, el cual es frecuente!ente !e$or lle ado a ca#o por un equipo !ultidisciplinario&

2.1.-.-. P#& e$& de Adm!n!$t#a !"n de R!e$%&$ de TI:

'

continuacin se descri#en las principales etapas definidas para el <roceso de 'd!inistracin de Riesgos de 3I&

FIGURA 2.2.

:9

PROCESO DE ADMINISTRACIN DE RIESGO de TI

2.1.-.-.1. E$ta9(e !m!ent& de (a Met&d&(&%,a de TI: <er!ite, a tra .s del conoci!iento del entorno , de la organizacin, esta#lecer criterios generales que ser*n utilizados para i!ple!entar el enfoque de 'd!inistracin de Riesgos de 3I en el *rea de siste!as de la Crganizacin&

Durante esta etapa se de#e esta#lecer la !etodolog"a que ser* utilizada para la 'd!inistracin de Riesgos de 3I en el *rea de siste!as de la e!presa&

;0

(onsiste en analizar los riesgos e-istentes en el *rea , de acuerdo a este an*lisis, deter!inar cual de las alternati as propuestas D!etodolog"asE a a ser la !e$or opcin para la realizacin del tra#a$o&

2.1.-.-.2.

Ident!)! a !"n

de

R!e$%&$

de

TI:

1ediante

el

esta#leci!iento de un !arco de accin espec"fico se puede entender el o#$eto so#re el cual se aplicar* el proceso de 'd!inistracin de Riesgos de 3I&

El propsito final de esta etapa es pro eer los !ecanis!os necesarios para recopilar la infor!acin relacionada con los riesgos, i!pactos , sus causas&

'lgo i!portante en esta etapa, es tener claro la definicin de Riesgo& <ara la !a,or"a de partes, los riesgos son perci#idos co!o cualquier cosa o e ento que podr"a apo,ar la for!a en que la organizacin alcance sus o#$eti os&

;1

<or consiguiente, la 'd!inistracin de Riesgos de 3I no est* dirigida e-clusi a!ente a e itarlos& Su enfoque est* en identificar, e aluar, controlar , do!inar% los riesgos&

2.1.-.-.+. An8(!$!$ de( R!e$%&$ de TI: En esta etapa se #usca o#tener el entendi!iento , conoci!iento de los riesgos identificados de tal !anera que se pueda recopilar infor!acin que per!ita el c*lculo del ni el de riesgo al cual est* e-puesto el o#$eto, Identificar los controles e-istentes i!ple!entados para !itigar el i!pacto ante la ocurrencia de los riesgos de 3I, per!itiendo de esta !anera alorar los ni eles del riesgo, la efecti idad de los controles , el ni el de e-posicin&

El riesgo de 3I es analizado a tra .s de la co!#inacin de esti!ati os de pro#a#ilidad , de las consecuencias en el conte-to de las !edidas de control e-istentes& El an*lisis de riesgos de 3I in olucra un de#ido e-a!en de las fuentes de riesgo, sus consecuencias , la pro#a#ilidad de que esas consecuencias puedan ocurrir& <ueden llegar a identificarse factores que afectan tanto las consecuencias co!o la pro#a#ilidad&

;/

7os esti!ati os pueden deter!inarse utilizando an*lisis, estad"sticas , c*lculos& 'lternati a!ente donde no +a, datos +istricos disponi#les, se pueden +acer esti!ati os su#$eti os que refle$en el grado de creencia de un grupo o de un indi iduo en que un e ento en particular o suceso ocurran&

2.1.-.-.-. E1a(ua !"n > P#!&#!;a !"n de R!e$%&$ de TI: 7a e aluacin de riesgos de 3I inclu,e co!parar el ni el de riesgo encontrado durante el proceso de an*lisis contra el criterio de riesgo esta#lecido pre ia!ente, , decidir si los riesgos pueden ser aceptados&

El an*lisis de riesgos , los criterios contra los cuales los riesgos son co!parados en la aloracin de#en ser considerados so#re la !is!a #ase& 's", e aluaciones cualitati as inclu,en la co!paracin de un ni el cualitati o de riesgo contra criterios cualitati os, , e aluaciones cuantitati as in olucran la co!paracin de ni eles esti!ados de riesgo contra criterios que pueden ser e-presados co!o n!eros

espec"ficos, tales co!o fatalidad, frecuencia o alores !onetarios&

;6

El resultado de una e aluacin de riesgos es una lista priorizada de riesgos para definirles acciones de trata!iento posteriores&

<ara e aluar riesgos +a, que considerar, entre otros factores, el tipo de infor!acin al!acenada, procesada , trans!itida, la criticidad de las aplicaciones, la tecnolog"a usada, el !arco legal aplica#le, el sector de la entidad, la entidad !is!a , el !o!ento&

2.1.-.-... T#atam!ent& de R!e$%&$ de TI ?C&nt#&(e$ De)!n!t!1&$@: Despu.s de alorar , priorizar los riesgos de 3I, , dependiendo del ni el de e-posicin, se de#e deter!inar la opcin de trata!iento que !*s con iene aplicar en cada caso& El trata!iento de riesgos de 3I inclu,e la identificacin de la ga!a de opciones de trata!iento del riesgo de 3I, la e aluacin de las !is!as, la preparacin de planes de trata!iento de riesgos de 3I , su posterior i!ple!entacin por parte de la )erencia de la e!presa&

7as opciones de trata!iento que se relacionan a continuacin no son !utua!ente circunstancias: e-clusi as ni ser*n apropiadas en todas las

;:

E2I3'R el riesgo: Se decide, donde sea pr*ctico, no proceder con procesos ,Go acti idades que podr"an generar riesgos inacepta#les, #uscando con ello eludir el riesgo in+erente asociado a esos o#$etos& Es sie!pre la pri!era alternati a que de#e considerarse&

RED>(IR el riesgo: 7a organizacin decide pre enir ,Go reducir el riesgo de 3I& Si el riesgo no se puede e itar porque crea grandes dificultades en el departa!ento, el siguiente paso es reducirlo al !*s #a$o ni el posi#le, el cual de#e ser co!pati#le con las acti idades del *rea& Se consigue !ediante la opti!izacin de los procedi!ientos , la i!ple!entacin de controles&

RED>(IR la pro#a#ilidad de ocurrencia: <re encin del riesgo a tra .s de la i!ple!entacin de acciones tendientes a controlar su frecuencia o pro#a#ilidad&

RED>(IR

las consecuencias o 1I3I)'R el riesgo: reduccin del

riesgo a tra .s de la i!ple!entacin de acciones o !edidas de control dirigidas a dis!inuir el i!pacto o se eridad de las consecuencias del riesgo si .ste ocurre&

;;

'S>1IR el riesgo: 7a organizacin decide aceptar los riesgos co!o ellos e-isten en la actualidad, , esta#lece pol"ticas o estrategias apropiadas para su trata!iento&

Ctra !anera de 'S>1IR los riesgos, pero de#e +acerse a un ni el adecuado en la entidad , considerando que puede ser !uc+o !a,or el costo de la inseguridad que el de la seguridad, lo que a eces slo se sa#e cuando +a ocurrido algo& K(u*l es el riesgo !*-i!o ad!isi#le que puede per!itirse una entidadL 'lguna ez se nos +a +ec+o la pregunta, , depende de lo cr"tica que sea para la entidad la infor!acin as" co!o disponer de ella, e incluso puede depender del !o!ento&

2.1.-.-.0. M&n!t&#e& > Re1!$!"n:

<ocos riesgos per!anecen

est*ticos& <or ello, los riesgos , la efecti idad de sus !edidas de control necesitan ser !onitoreados continua!ente para asegurar que circunstancias ca!#iantes no alteren las prioridades&

Re isiones progresi as son esenciales para asegurar que los planes de la ad!inistracin per!anecen rele antes& 7os factores que afectan

;=

la pro#a#ilidad , la consecuencia de un resultado puede ca!#iar, al igual que los factores que afectan la opciones de trata!iento& ia#ilidad o el costo de las

2.1.-... Met&d&(&%,a$ de Adm!n!$t#a !"n de R!e$%&$ de TI > Se%u#!dad:

2.1.-...1. Int#&du

!"n a (a$ Met&d&(&%,a$: Segn el Diccionario,

1.todo es el !odo de decir o +acer con orden una cosa%& 'si!is!o define el diccionario la pala#ra 1etodolog"a co!o con$unto de !.todos que se siguen en una in estigacin cient"fica%& Esto significa que cualquier proceso cin.tico de#e estar su$eto a una disciplina de proceso defina con anterioridad que lla!are!os 1etodolog"a&

7a Infor!*tica +a sido tradicional!ente una !ateria co!ple$a en todos sus aspectos, por lo que se +ace necesaria la utilizacin de !etodolog"as en cada doctrina que la co!ponen, desde su dise5o de ingenier"a +asta la auditoria de los siste!as de infor!acin&

7as !etodolog"as usadas por un profesional dicen !uc+o de su for!a de entender su tra#a$o, , est*n directa!ente relacionadas con su

;?

e-periencia profesional acu!ulada co!o parte del co!porta!iento +u!ano de acierto G error%&

'si!is!o una !etodolog"a es necesaria para que un equipo de profesionales alcance un resultado +o!og.neo tal co!o si lo +iciera uno solo, por lo que resulta +a#itual el uso de !etodolog"as en las e!presas auditoras G consultoras profesionales, desarrolladas por los !*s e-pertos, para conseguir resultados +o!og.neos en equipos de tra#a$o +eterog.neos&

7a proliferacin de !etodolog"as en el !undo de la auditoria , el control infor!*tico se pueden o#ser ar en los pri!eros a5os de la d.cada de los oc+enta, paralela!ente al naci!iento ,

co!ercializacin de deter!inadas +erra!ientas !etodolgicas& <ero el uso de !.todos de auditoria es casi paralelo al naci!iento de la infor!*tica, en la que e-isten !uc+as disciplinas cu,o uso de !etodolog"as constitu,e una pr*ctica +a#itual& >na de ellas es la seguridad de los siste!as de infor!acin&

'unque de for!a si!plista se trata de identificar la seguridad infor!*tica a la seguridad lgica de los siste!as, nada est* !*s le$os

;@

de la realidad +o, en d"a, e-tendi.ndose sus ra"ces a todos los aspectos que suponen riesgos para la infor!*tica&

Si defini!os la Seguridad delos Siste!as de Infor!acin% co!o la doctrina que trata de los riesgos infor!*ticos o creados por la infor!*tica, entonces la auditor"a es una de las figuras in olucradas en este proceso de proteccin , preser acin de la infor!acin , de sus !edios de proceso&

<or lo tanto, el ni el de seguridad infor!*tica en una entidad es un o#$eti o a e aluar , est* directa!ente relacionado con la calidad , eficacia de un con$unto de acciones , !edidas destinadas a proteger , preser ar la infor!acin de la entidad , sus !edios de proceso&

2.1.-...1.1. L&$ P#& ed!m!ent&$ de C&nt#&(: Son los procedi!ientos operati os de las distintas *reas de a e!presa, o#tenidos con una !etodolog"a apropiada, para la consecucin de uno o arios o#$eti os de control ,, por tanto, de#en de estar docu!entados , apro#ados por la direccin& 7a tendencia +a#itual de los infor!*ticos es la de dar !*s peso a la +erra!ienta que al control o contra!edida%, pero no se de#e ol idar que una +erra!ienta nunca es una solucin sino una

;9

a,uda para conseguir un control !e$or%& Sin la e-istencia de estos procedi!ientos, las +erra!ientas de control son slo una an.cdota&

2.1.-...1.2. Dentro de la Te n&(&%,a de Se%u#!dad est*n todos los ele!entos ,a sean +ardMare o softMare, que a,udan a controlar un riesgo infor!*tico& Dentro de este concepto est*n los cifradores, autentificadores, equipos tolerantes al fallo%, las +erra!ientas de control, etc&

2.1.-...1.+. La$ *e##am!enta$ de &nt#&( son los ele!entos softMare que per!iten definir uno o arios procedi!ientos de control para

cu!plir una nor!ati a , un o#$eti o de control&

3odos estos factores est*n relacionados entre s", as" co!o la calidad de cada uno con la de los de!*s& (uando se e ala el ni el de Seguridad de Siste!as en una institucin, se est*n e aluando todos estos factores , se plantea un <lan de Seguridad nue o que !e$ore todos los factores, aunque confor!e se a,an realizando los distintos pro,ectos del plan, no se ir*n !e$orando todos por igual& 'l finalizar el plan se +a#r* conseguido una situacin nue a en la que el ni el de control sea superior al anterior&

=0

Se lla!ar* <lan de Seguridad a una estrategia planificada de acciones , productos que lle en a un siste!a de infor!acin , sus centros de proceso de una situacin inicial deter!inada D, a !e$orarE a una situacin !e$orada&

2.1.-...2. Met&d&(&%,a$ de E1a(ua !"n de S!$tema$:

2.1.-...2.1. C&n e't&$ Fundamenta(e$: En el !undo de la seguridad de siste!as se utilizan todas las !etodolog"as necesarias para realizar un plan de seguridad ade!*s de las de auditor"a infor!*tica&

7as dos !etodolog"as de e aluacin de siste!as por e-celencia son las de 'n*lisis de Riesgos , las de 'uditor"a Infor!*tica, con dos enfoques distintos& 7a auditor"a infor!*tica slo identifica el ni el de e-posicin% por la falta de controles, !ientras el an*lisis de riesgos facilita la e aluacin% de los riesgos , reco!ienda acciones en #ase al costo4#eneficio de las !is!as&

Se introducir*n una serie de definiciones para profundizar en estas !etodolog"as&

=1

'!enaza: >naDsE personaDsE o cosaDsE istaDsE co!o posi#le fuente de peligro o cat*strofe& E$e!plo: inundacin, incendio, ro#o de datos, sa#ota$e, aplicaciones !al dise5adas, etc&

2ulnera#ilidad: 7a situacin creada, por la falta de uno o

arios

controles, con la que la a!enaza pudiera suceder , as" afectar el entorno infor!*tico& E$e!plos: falta de control de acceso lgico, ine-istencia de un control de soportes !agn.ticos, falta de cifrado en las teleco!unicaciones, etc&

Riesgo: 7a pro#a#ilidad de que una a!enaza llegue a suceder por una ulnera#ilidad& E$e!plo: los datos estad"sticos de cada e ento de una #ase de datos de incidentes&

E-posicin o I!pacto: 7a e aluacin del efecto del riesgo& E$e!plo: es frecuente e aluar el i!pacto en t.r!inos econ!icos, aunque no sie!pre lo es, co!o idas +u!anas, i!agen de la e!presa, +onor, defensa nacional, etc&

3odos los riesgos que se presentan pode!os:

=/

E itarlos Dpor e$e!plo: no construir un centro donde +a, peligro constante de inundacionesE&

3ransferirlos Dpor e$e!plo: uso de un centro de c*lculo controladoE&

Reducirlos Dpor e$e!plo: siste!a de deteccin , e-tincin de incendiosE&

'su!irlos& Nue es lo que se +ace si no se controla el riesgo en a#soluto&

<ara los tres pri!eros, se acta si se esta#lecen controles o contra!edidas& 3odas las !etodolog"as e-istentes en seguridad de siste!as an enca!inadas a esta#lecer , !e$orar un entra!ado de contra!edidas que garanticen que la pro#a#ilidad de que las a!enazas se !aterialicen en +ec+os Dpor falta de controlE sea lo !*s #a$a posi#le o al !enos quede reducida de una for!a razona#le en costo I #eneficio&

2.1.-...2.2. T!'&$ de Met&d&(&%,a$: 3odas las !etodolog"as e-istentes desarrolladas , utilizadas en la auditor"a , el control infor!*tico, se pueden agrupar en dos grandes fa!ilias& Jstas son:

=6

(uantitati as: Aasadas en un !odelo !ate!*tico nu!.rico que a,uda a la realizacin del tra#a$o&

(ualitati as: Aasadas en el criterio , raciocinio +u!ano capaz de definir un proceso de tra#a$o, para seleccionar en #ase a la e-periencia acu!ulada&

2.1.-...2.2.1. Met&d&(&%,a$ Cuant!tat!1a$: Este tipo de !etodolog"as +an sido dise5adas para producir una lista de riesgos que pueden co!para#les entre s", con facilidad de poder asignarles alores

nu!.ricos& Estos alores en el caso de !etodolog"as de an*lisis de riesgos, son datos de pro#a#ilidad de ocurrencia de una situacin o e ento que se de#e e-traer de un registro de incidencias donde el n!ero de incidencias sea suficiente!ente grande o tienda al infinito& Esto no se aplica con precisin en la pr*ctica, pero se apro-i!a ese alor de for!a su#$eti a restando as" rigor cient"fico al c*lculo& <ero dado que el c*lculo se +ace para a,udar a elegir el !.todo entre arias contra!edidas podr"a ser aceptado&

9a, arios coeficientes que con iene definir:

=:

'&7&E& D'nnualized 7oss E-pentac,E: !ultiplicar la p.rdida !*-i!a posi#le de cada #ien Grecurso por la a!enaza con pro#a#ilidad !*s alta&

Retorno de la In ersin DR&C&I&E: '&7&E& original !enos '&7&E& reducido Dco!o resultado de la !edidaE, di idido por el

coste anualizado de la !edida& Reduccin del '&7&E& D'nnualized 7oss E-pectanc,E: Es el cociente entre el coste anualizado de la instalacin , el !anteni!iento de la !edida contra el alor total del #ien

Grecurso que se est* protegiendo, en tanto por ciento&

Estos coeficientes , algunos otros son utilizados para la si!ulacin que per!ite elegir entre riesgos& arias contra!edidas en el an*lisis de

<or consiguiente, se nota con claridad los dos grandes incon enientes o pro#le!as que presentan estas !etodolog"as: por una parte la de#ilidad de los datos de la pro#a#ilidad de ocurrencia por los pocos registros , la poca significacin de los !is!os a ni el !undial, , por otra la i!posi#ilidad o dificultad de e aluar econ!ica!ente todos los

=;

i!pactos que pueden suceder frente a la enta$a de poder usar un !odelo !ate!*tico para el an*lisis&

2.1.-...2.2.2.

Met&d&(&%,a$

Cua(!tat!1a$:

<recisan

de

la

in olucracin de un profesional e-peri!entado& Aasadas en !.todos estad"sticos , lgica #orrosa D+u!ana, no !ate!*ticaE& <ero

requieren !enos recursos +u!anos G tie!po que las !etodolog"as cuantitati as&

7a tendencia de uso en la realidad es la !ezcla de a!#as& ' continuaciones !uestra un cuadro co!parati o de las co!paraciones entre estos dos tipos de !etodolog"as:

==

TA7LA 6I COMPARACIN ENTRE LAS METODOLOGAS CUANTITATIVAS Y CUALITATIVAS Cuant!tat!1a Cua(!tat!1a Enfoca pensa!ientos 4 Enfoque lo a!plio que se

!ediante el uso de n!eros& desee& Facilita la co!paracin de 4 <lan de tra#a$o fle-i#le o P # & $ ulnera#ilidades distintas& 4 <roporciona una $ustificante contra!edida& para !u, reacti o& 4 Se concentra en la cifra identificacin de e entos& cada 4 Inclu,e factores intangi#les&

4 Esti!acin de pro#a#ilidad 4 Depende fuerte!ente de la depende C & n t # a $ de estad"sticas +a#ilidad <uede , calidad del fia#les ine-istentes& potenciales slo si personal in olucrado& e-cluir riesgos son significantes desconocidos

4 Esti!acin de las p.rdidas 4 alores cuantifica#les& 4 1etodolog"as est*ndares& !odificar& 4 Dependencia de profesional&

Ddepende de la capacidad del profesional para usar la 4 Identificacin de e entos un reales !*s claros al no tener que aplicarles pro#a#ilidades co!ple$as de calcular& 4 Dependencia de un profesional&

4 Dif"ciles de !antener o gu"aE&

=?

2.1.-...2.+. Met&d&(&%,a$ m8$

&mune$: 7as !etodolog"as !*s

co!unes de e aluacin de siste!as que pode!os encontrar son de an*lisis de riesgos o de diagnsticos de seguridad, las de plan de contingencias, , las de auditor"a de controles generales&

=@

2.1.-...2.+.1.

Met&d&(&%,a$

de

An8(!$!$

de

R!e$%&:

Est*n

desarrolladas para la identificacin de la falta de controles , el esta#leci!iento de un plan de contra!edidas& E-isten dos tipos: 7as cuantitati as , las cualitati as, de las que e-isten gran cantidad de a!#as clases , slo citare!os algunas de ellas&

El esque!a #*sico de una !etodolog"a de an*lisis de riesgos es, en esencia, el representado a continuacin:

FIGURA 2.+. FUNCIONAMIENTO ESAUEMBTICO 7BSICO DE CUALAUIER METODOLOGA

(uestionario Identificar los Riesgos (alcular el i!pacto

Etapa 1 Etapa / Etapa 6

las contra!edidas , el coste Etapa , : riesgos En #ase aIdentificar estos cuestionarios se identifican ulnera#ilidades Si!ulaciones Etapa ; , se e ala el i!pacto para !*s tarde identificar las contra!edidas , (reacin de los Infor!es Etapa = el coste& 7a siguiente etapa es la !*s i!portante, pues !ediante un $uego de si!ulacin Dque se lla!ar* KNu. pasa si&&L%E que analizar* el efecto de las distintas contra!edidas en la dis!inucin de los

=9

riesgos

analizados,

eligiendo

de

esta

!anera

un

plan

de

contra!edidas Dplan de seguridadE que co!pondr* el infor!e final de la e aluacin&

De for!a gen.rica las !etodolog"as e-istentes se diferencian en:

Si son cuantitati as o cualitati as, o sea si para el KNu. pasa si&&&L% utilizan un !odelo !ate!*tico o algn siste!a cercano a la eleccin su#$eti a& 'unque, #ien pensado, al apro-i!ar las pro#a#ilidades por esperanzas !ate!*ticas su#$eti a!ente, las

!etodolog"as cuantitati as, aunque utilicen aparatos !ate!*ticos en sus si!ulaciones, tienen un gran co!ponente su#$eti o& O ade!*s se diferencian en el propio siste!a de si!ulacin&

Se +an identificado == !etodolog"as& Entre ellas est*n: '8'7IPO, ADSS, AIS RISQ 'SESCR, A>DDO SOS3E1, (CAR', (R'11, DDIS 1'RIC8 '<R, 1E7IS', RIS'8, RISQ<'(, RISQS'3(9&

?0

Despu.s de estas !etodolog"as +an nacido !uc+as otras co!o la 1')ERI3, desarrollada por la ad!inistracin espa5olaF 1'RIC8, <RI1' D<re encin de Riesgos Infor!*ticos con 1etodolog"a '#iertaE , DE7<9I& ' continuacin se detallan algunas de las !etodolog"as:

2.1.-...2.+.1.1. Met&d&(&%,a MAGERIT ?Met&d&(&%,a de An8(!$!$ > Se$!"n de R!e$%&$ de (&$ S!$tema$ de In)&#ma !"n@ : El esque!a co!pleto de Etapas, 'cti idades , 3areas del Su#!odelo de <rocesos de 1')ERI3 es el siguiente: Etapa 1& <lanificacin del 'n*lisis , )estin de Riesgos 'cti idad 1&1& Cportunidad de Realizacin 3area 1&1&1& DnicaE (larificar la oportunidad de realizacin 'cti idad 1&/& Definicin de Do!inio , C#$eti os 3area 1&/&1& Especificar los o#$eti os del pro,ecto 3area 1&/&/& Definir el do!inio , los l"!ites del pro,ecto 3area 1&/&6& Identificar el entorno , restricciones generales 3area 1&/&:& Esti!ar di!ensin, costos , retornos del pro,ecto 'cti idad 1&6& <lanificacin del <ro,ecto 3area 1&6&1& E aluar cargas , planificar entre istas 3area 1&6&/& Crganizar a los participantes 3area 1&6&6& <lanificar el tra#a$o

?1

'cti idad 1&:& 7anza!iento del <ro,ecto 3area 1&:&1& 'daptar los cuestionarios 3area 1&:&/& Seleccionar criterios de e aluacin , t.cnicas para el pro,ecto 3area 1&:&6& 'signar los recursos necesarios 3area 1&:&:& Sensi#ilizar Dca!pa5a infor!ati aE

Etapa /& 'n*lisis de Riesgos 'cti idad /&1& Recogida de Infor!acin 3area /&1&1& <reparar la infor!acin 3area /&1&/& Realizacin de las entre istas 3area /&1&6& 'nalizar la infor!acin recogida 'cti idad /&/& Identificacin , 'grupacin de 'cti os 3area /&/&1& Identificar 'cti os , grupos de 'cti os 3area /&/&/& Identificar !ecanis!os de sal aguarda e-istentes 3area /&/&6& 2alorar 'cti os 'cti idad /&6& Identificacin , E aluacin de '!enazas 3area /&6&1& Identificar , 'grupar '!enazas 3area /&6&/& Esta#lecer los *r#oles de fallos generados por a!enazas 'cti idad /&:& Identificacin , Esti!acin de 2ulnera#ilidades 3area /&:&1& Identificar ulnera#ilidades

?/

3area /&:&/& Esti!ar ulnera#ilidades 'cti idad /&;& Identificacin , 2aloracin de I!pactos 3area /&;&1& Identificar I!pactos 3area /&;&/& 3ipificar I!pactos 3area /&;&6& 2alorar i!pactos 'cti idad /&=& E aluacin del Riesgo 3area /&=&1& E aluar el riesgo intr"nseco 3area /&=&/& 'nalizar las funciones de sal aguarda e-istentes 3area /&=&6& E aluar el riesgo efecti o

Etapa 6& )estin del Riesgo 'cti idad 6&1& Interpretacin del Riesgo 3area 6&1&1& DnicaE Interpretar los riesgos 'cti idad 6&/& Identificacin , Esti!acin de Funciones de sal aguarda 3area 6&/&1& Identificar funciones de sal aguarda 3area 6&/&/& Esti!ar la efecti idad de las funciones de sal aguarda 'cti idad 6&6& Seleccin de Funciones de Sal aguarda 3area 6&6&1& 'plicar los par*!etros de seleccin 3area 6&6&/& E aluar el riesgo 'cti idad 6&:& (u!pli!iento de C#$eti os 3area 6&:&1& DnicaE Deter!inar el cu!pli!iento de los o#$eti os

?6

Etapa :& Seleccin de Sal aguardas 'cti idad :&1& Identificacin de !ecanis!os de sal aguarda 3area :&1&1& Identificar los !ecanis!os posi#les 3area :&1&/& Estudiar !ecanis!os i!plantados 3area :&1&6& Incorporar restricciones 'cti idad :&/& Seleccin de !ecanis!os de sal aguarda 3area :&/&1& Identificar !ecanis!os a i!plantar 3area :&/&/& E aluar el riesgo D!ecanis!os elegidosE 3area :&/&6& Seleccionar !ecanis!os a i!plantar 'cti idad :&6& Especificacin de los !ecanis!os a i!plantar 3area :&6&1& DnicaE Especificar los !ecanis!os a i!plantar 'cti idad :&:& <lanificacin de la I!plantacin 3area :&:&1& <riorizar !ecanis!os 3area :&:&/& E aluar los recursos necesarios 3area :&:&6& Ela#orar cronogra!as tentati os 'cti idad :&;& Integracin de resultados 3area :&;&1& DnicaE Integrar los resultados 2.1.-...2.+.1.2. Met&d&(&%,a MARION: 1.todo docu!entado en dos li#ros de los cuales el !*s actual es 7a Securit. des reseau-4 1et+odes et 3ec+niques de B&1& 7a!ere , 7erou-, B& 3ourl,& 3iene

?:

dos productos: 1'RIC8 '<R, para siste!as indi iduales, , 1'RIC8 RST para siste!as distri#uidos , conecti idad&

Es un !.todo cuantitati o , se #asa en la encuesta anual de !ie!#ros la #ase de incidentes francesa D(&7&>&S&I&F&E& 8o conte!pla pro#a#ilidades, sino esperanzas !ate!*ticas que son apro-i!aciones nu!.ricas D alores su#$eti osE&

7a 1'RIC8 '<R utiliza cuestionarios , par*!etros correlacionados enfocados a las distintas soluciones de contra!edidas, en seis categor"as& 7as categor"as son: seguridad infor!*tica general, factores socioecon!icos, concienciacin so#re la seguridad de softMare , !ateriales, seguridad en e-plotacin , seguridad de desarrollo&

El an*lisis de riesgos lo +ace so#re diez *reas pro#le!*ticas& Estas *reas son: riesgos !ateriales, sa#ota$es f"sicos, a er"as,

co!unicaciones, errores de desarrollo, errores de e-plotacin, fraude, ro#o de infor!acin, ro#o de softMare, pro#le!as de personal&

?;

2.1.-...2.+.1.+. Met&d&(&%,a RISCCPAC: 3odas las !etodolog"as que se desarrollan en la actualidad est*n pensadas para su aplicacin en +erra!ientas& 7a pri!era de esta fa!ilia la desarroll <RCFI7E '8U7ISIS (CR<CR'3IC8, , la pri!era instalacin en cliente data de 19@:& Segn D'3'<RC es el softMare !*s endido&

Su

enfoque

es

!etodolog"a

cualitati a&

Sus

resultados

son

e-porta#les a procesadores de te-to, #ases de datos, +o$a electrnica o siste!as gr*ficos& Est* estructurada en tres ni eles: Entorno, <rocesador , 'plicaciones con /= categor"as de riesgo en cada ni el& 3iene un KNu. pasa si&&&L% con un ni el de riesgo de e aluacin su#$eti a del 1 al ; , ofrece una lista de contra!edidas o reco!endaciones #*sicas para a,udar al infor!e final o plan de acciones&

2.1.-...2.+.1.-. Met&d&(&%,a CRAMM: Se desarroll entre 19@; , 19@? por AIS , ((3' D(entral (o!puter V 3eleco!unication 'genc, RisW 'n*lisis V 1anage!ent 1eted, InglaterraE& I!plantado en !*s de ?;0 organizaciones en Europa, so#re todo de la ad!inistracin p#lica& Es una !etodolog"a cualitati a , per!ite +acer an*lisis KNu. pasa si&&&L%&

?=

2.1.-...2.+.1... Met&d&(&%,a PRIMA ?P#e1en !"n de R!e$%&$ In)&#m8t! &$ &n Met&d&(&%,a A9!e#ta@: Es un con$unto de

!etodolog"as espa5olas desarrolladas entre los a5os 1990 , la actualidad con un enfoque su#$eti o& Sus caracter"sticas esenciales son:

(u#rir las necesidades de los profesionales que desarrollan cada uno de los pro,ectos necesarios de un plan de seguridad& F*cil!ente adapta#le a cualquier tipo de +erra!ienta& <osee cuestionarios de preguntas para la identificacin de de#ilidades o faltas de controles& <osee listas de a,uda para los usuarios !enos e-peri!entados de de#ilidades, riesgos ,

contra!edidas Dsiste!a de a,udaE& <er!ite f*cil!ente la generacin de infor!es finales& 7as 7istas de ',uda% D2er Figura /&=&E , los cuestionarios son a#iertos, , por tanto es posi#le introducir infor!acin nue a o ca!#iar la e-istente& De a+" la e-presin a#ierta de su no!#re&

??

3iene un KNu. pasa si&&&L% cualitati o, , capacidad de aprendiza$e al poseer una #ase de conoci!iento o registro de incidentes que an ariando las esperanzas !ate!*ticas de partida , adapt*ndose a los entornos de tra#a$o&

FIGURA 2.-. FASES DE LA METODOLOGA PRIMA

(+ecW list

3o!a de datos

Identificacin De#ilidades 'n*lisis del I!pacto , Riesgo

'!enazas 2ulnera#ilidades

<onderacin 2aloracin Econ!ica <rioridad Duracin (oste Econ& Dificultad De#ilidades Riesgos <lan de 'cciones <lan de <ro,ectos

Definicin de contra!edidas 2aloracin de contra!edidas Realizacin del <lan de 'cciones , <ro,ectos Infor!e Final

Buegos de Ensa,o DCpcionalesE

(on la !is!a filosof"a a#ierta e-isten en la actualidad las siguientes !etodolog"as:

'n*lisis de Riesgos&

?@

<lan de (ontingencias Infor!*tica , de recuperacin del negocio& <lan de restauracin interno infor!*tico& (lasificacin de la infor!acin& Definicin , desarrollo de procedi!ientos de control infor!*ticos& <lan de cifrado& 'uditor"a Infor!*tica& Definicin , desarrollo de control de acceso lgico&

FIGURA 2... LISTA DE ADUDA DE LA METODOLOGA PRIMA

Relacin de e entos por sector de acti idad Estad"sticas , )r*ficos

Aase de Datos de Incidentes D'E Relacin de De#ilidades DAE

?9

1en Aase de Datos del (onoci!iento D10E

Relacin de Riesgos D(E Relacin de contra!edidas DDE (onoci!ientos )enerales DEE Relacin de <ro,ectos DFE

2.1.-...2.+.1.0. Met&d&(&%,a DELPEI: 7a siguiente !etodolog"a analizada, es la 1etodolog"a Delp+i& El esque!a co!pleto del !.todo Delp+i es el siguiente:

1& (rear la !atriz de '!enazas , C#$etos: 'l co!ienzo se de#e realizar una reunin con todo el personal in olucrado en el tra#a$o& Esta reunin tiene por o#$eto no slo identificar las a!enazas , los o#$etos del *rea, sino ta!#i.n esta#lecer no!#res cortos para deno!inar las a!enazas , los o#$etos , redactar una #re e definicin de cada uno de ellos&

/& Identificar los controles necesarios: Este paso de#e darse al co!ienzo en la reunin del grupo de personas in olucradas en el *rea&

@0

Es all" donde se precisan los controles para sal aguardar los o#$etos en relacin con las a!enazas&

7os !ie!#ros del grupo de#en discutir los controles que de#er*n incluirse& ' !edida que esos controles se necesario crear una lista con los siguientes datos: an ad!itiendo, es

8!ero de Identificacin, 8o!#re corto que distingue a cada control, Are e descripcin so#re la funcionalidad , utilidad del control, Identificacin de la persona responsa#le de la

i!ple!entacin de los controles&

6& Registrar los controles dentro de la !atriz: Este paso se e$ecuta para colocar dentro de las celdas el n!ero de identificacin de los controles

:& (ategorizar los riesgos: 'qu" se identifican las *reas de alto, !edio , #a$o riesgo, coloc*ndolas en orden de ni el de e-posicin& <ara la

@1

e$ecucin de este paso se utiliza el !.todo Delp+i , la co!paracin de los ni eles de riesgo&

El !.todo Delp+i, consiste en reunir a un grupo de e-pertos para solucionar deter!inados pro#le!as& Dic+o grupo realiza la

categorizacin indi idual de las a!enazas , de los o#$etos de riesgo& El equipo Delp+i sesiona con$unta!ente para co!#inar sus

e-periencias en la realizacin de las siguientes tareas:

(ategorizar las a!enazas por ni eles de riesgos& D2er 'ne-o =E <ara efecto de este e$ercicio, se +a organizado un grupo de cinco personas, quienes se so!eten a otacin

+asta co!pletar la !atriz& D2er 'ne-o ?E 7a categorizacin se o#tiene su!ando co!o se !uestra en el ane-o @& 7uego se su!an los dos otos para o#tener el total final de cada a!enaza& El resultado se utiliza para producir una lista de categorizacin de a!enazas, por ni eles de riesgo de !a,or a !enor& D2er 'ne-o @E&

(ategorizar la Sensi#ilidad de los C#$etos: Este proceso se inicia copiando los o#$etos que registra la !atriz de control

@/

de riesgos en una +o$a de co!paracin de categor"as de riesgos D2er 'ne-o 9E& <ara categorizar la sensi#ilidad de los o#$etos se utiliza la percepcin que tenga cada uno de los !ie!#ros del equipo Delp+i so#re cu*l o#$eto de cada pare$a de o#$etos puede causar !a,or p.rdida econ!ica si se da5a o causa de!oras en el procesa!iento& El grupo ota +asta co!pletar la !atiz D2er 'ne-o 10E& Despu.s se su!an los resultados derec+os de diagonales de las colu!nas, en for!a ertical, , luego se su!an los resultados izquierdos de las diagonales de las colu!nas, en for!a +orizontal, en el sentido de las filas de la !atriz& Se su!an los resultados para o#tener el total final& D2er 'ne-o 11E&

(o!#inar las dos (ategor"as: >na ez ter!inadas las dos categor"as, se ela#ora una !atriz de control de riesgos, colocando los totales en orden de !a,or a !enor, en los dos casos& D2er 'ne-o 1/E&

Seguida!ente se !ultiplican los correspondientes alores , con los resultados se organiza una !atriz& 3er!inada esta operacin se procede a o#tener el ni el de riesgo G

@6

sensi#ilidad de las celdas de acuerdo con el

alor del

producto& <uede ser que al ter!inar este proceso se presenten repeticiones&

Di idir las celdas en regiones de !a,or, !ediano , !enor riesgo: Este proceso se realiza di idiendo la cantidad de ni eles de riesgo G sensi#ilidad por cinco Dn!ero de personas del grupoE& El cociente se utiliza para indicar las celdas de !a,or o !enor riesgo& De !anera que las celdas con ni eles de riesgo G sensi#ilidad inferiores o iguales al cociente son las celdas de !a,or riesgo& 7as celdas con ni eles de riesgo G sensi#ilidad superiores al cociente e

inferiores o iguales a tres eces el cociente son las celdas de !ediano riesgo , las celdas con ni eles de riesgo G sensi#ilidad superiores a tres celdas de #a$o riesgo& eces el cociente son las

En la !atriz se resta al n!ero de celdas las repeticiones Dsi es que las +a,E, para efectos del c*lculo& Este alor es

di idido para el n!ero de personas del grupo o#teniendo

@:

un cociente con el cual se organiza el cuadro de riesgo G sensi#ilidad , la !atriz correspondiente& D2er 'ne-o 16E

;& Dise5ar los controles Definiti os: (on el resultado del tra#a$o apo,ados en el !.todo Delp+i, se dise5an , docu!entan

definiti a!ente los controles a ni el: pre enti o, detecti o , correcti o, de acuerdo con el *rea que se est. analizando&

Este es un tra#a$o dispendioso, de#ido a que todo depende del conoci!iento que se tenga del *rea infor!*tica , del siste!a de control interno infor!*tico desea#le&

=& Resultados del 'n*lisis de Riesgos& 7os resultados del an*lisis de riesgos, de#en ser escritos , dados a conocer oportuna!ente para que sean incorporados en el *rea analizada&

2.1.-...+. Met&d&(&%,a$ de Aud!t&#!a In)&#m8t! a: 7as nicas !etodolog"as que pode!os encontrar en la auditor"a infor!*tica son dos fa!ilias distintas: las auditorias de (ontroles )enerales co!o producto est*ndar de la de 'uditores <rofesionales, que son una

@;

+o!ologacin de las !is!as a ni el internacional, , las 1etodolog"as de los auditores internos&

Entre las dos !etodolog"as de

aluacin de siste!as Dan*lisis de

riesgos , auditor"aE e-isten si!ilitudes , grandes diferencias& '!#as tienen papeles de tra#a$o o#tenidos del tra#a$o de ca!po tras el plan de entre istas, pero los cuestionarios son total!ente distintos&

7as !etodolog"as de auditoria son del tipo cualitati o G su#$eti o& Se puede decir que son las su#$eti as por e-celencia& <or lo tanto, est*n #asadas en profesionales de gran ni el de e-periencia , for!acin, capaces de dictar reco!endaciones t.cnicas, operati as , $ur"dicas, que e-igen una gran profesionalidad , for!acin continuada& Slo as" esta funcin se consolidar* en las entidades, esto es, por el respeto profesional% a los que e$ercen la funcin&

El concepto de las !etodolog"as de an*lisis de riesgos de tie!pos !edios% es !*s #ien para consultores profesionales que para auditores internos&

@=

2.1.-...-. Met&d&(&%,a$ de C(a$!)! a !"n de (a In)&#ma !"n > de O9ten !"n de (&$ P#& ed!m!ent&$ de C&nt#&(:

2.1.-...-.1. C(a$!)! a !"n de (a In)&#ma !"n: 8o es frecuente encontrar !etodolog"as de este tipo, pero la !etodolog"a <RI1' tiene dos !dulos que desarrollan estos dos aspectos que se !uestran a continuacin&

Se podr"a preguntar si es suficiente con un an*lisis de riesgos para o#tener un plan de contra!edidas que nos lle ar* a una situacin de control co!o se desea& 7a respuesta es no, dado que todas las entidades de infor!acin a proteger no tienen el !is!o grado de i!portancia, , el an*lisis de riesgos !etodolgica!ente no per!ite aplicar una diferenciacin de contra!edidas segn el acti o o recurso que protege, sino por la pro#a#ilidad del riesgo analizado&

3iene que ser otro concepto, esto es si se identifican distintos ni eles de contra!edidas para distintas entidades de infor!acin con distinto ni el de criticidad, se estar* opti!izando la eficiencia de las contra!edidas , reduciendo los costos de las !is!as%&

@?

Esta !etodolog"a es del tipo cualitati o, , co!o el resto de la !etodolog"a <RI1' tiene listas de a,uda con el concepto a#ierto, esto es, que el profesional puede a5adir en la +erra!ienta ni eles o $erarqu"as, est*ndares , o#$eti os a cu!plir por ni el, , a,udas de contra!edidas&

C sea los factores a considerar son los requeri!ientos legislati os, la sensi#ilidad a la di ulgacin DconfidencialidadE, a la !odificacin DintegridadE, , a la destruccin&

7as $erarqu"as suelen ser cuatro, , segn se trate de ptica de preser acin o de proteccin, los cuatro grupos ser"an: 2ital, (r"tica, aluada , 8o sensi#le& <RI1', aunque per!ite definirla a oluntad, #*sica!ente define:

Estrat.gica

Dinfor!acin

!u,

restringida,

!u,

confidencial, ital para la su#sistencia de la e!presaE& Restringida Da los propietarios de la infor!acinE& De uso interno Da todos los e!pleadosE& De uso general Dsin restriccinE&

@@

7os pasos de la !etodolog"a son los siguientes:

1& Identificacin de la Infor!acin& /& In entario de Entidades de Infor!acin Residentes , Cperati as& In entario de progra!as, arc+i os de datos, estructuras de datos, soportes de infor!acin, etc& 6& Identificacin de <ropietarios& Son los que necesitan para su tra#a$o, usan o custodian la infor!acin& :& Definicin de $erarqu"as de infor!acin& Suelen ser cuatro, por que es dif"cil distinguir entre !*s ni eles& ;& Definicin de la 1atriz de (lasificacin& Esto consiste en definir las pol"ticas, est*ndares, o#$eti os de control , contra!edidas por tipos , $erarqu"as de infor!acin& =& (onfeccin de la 1atriz de (lasificacin& En esta fase se co!ple!enta toda la !atriz, asign*ndole a cada entidad un ni el de $erarqu"a, lo que se asocia a una serie de +itos a cu!plir, para cu,o cu!pli!iento se de#er*n desarrollar acciones concretas en el punto siguiente& ?& Realizacin del <lan de 'cciones& Se confecciona el plan detallado de acciones& <or e$e!plo, se refor!a una aplicacin de n!inas

@9

para que un e!pleado utilice el progra!a de su#idas de salario , su super isor lo aprue#e& @& I!plantacin , 1anteni!iento& Se i!planta el plan de acciones , se !antiene actualizado&

O as" se co!pleta esta !etodolog"a&

2.1.-...-.2. O9ten !"n de (&$ P#& ed!m!ent&$ de C&nt#&(: Ctra 1etodolog"a necesaria para la o#tencin de los controles es la C#tencin de los <rocedi!ientos de (ontrol%& Es frecuente encontrar !anuales de procedi!ientos en todas las *reas de la e!presa que e-plican las funciones , c!o se realizan las distintas tareas diaria!ente, siendo .stos necesarios para que los auditores realicen sus re isiones operati as, e aluando si los procedi!ientos son correctos , est*n apro#ados , so#re todo si se cu!plen& <ero se podr"a preguntar si desde el punto de infor!*tico es suficiente , c!o se podr"an !e$orar& ista de control

7a respuesta es dada por la !etodolog"a que se e-pone a continuacin, que dar* otro plan de acciones que contri#uir*

90

su!*ndose a los distintos pro,ectos de un plan de seguridad para !e$orar el entra!ado de contra!edidas&

7a !etodolog"a se !uestra a continuacin:

Fase I& Definicin de C#$eti os de (ontrol& 3area 1: 'n*lisis de la e!presa& Se estudian los procesos, organigra!as , funciones& 3area /: Recopilacin de est*ndares& Se estudian todas las fuentes de infor!acin necesarias para conseguir definir en la siguiente fase los o#$eti os de control a cu!plir Dpor e$e!plo: ISC, (IS', etcE& 3area 6: Definir los o#$eti os de control&

Fase II& Definicin de los (ontroles& 3area 1: Definir los controles& (on los o#$eti os de control definidos, se analizan los procesos , se distintos controles que se necesiten& 3area /: Definicin de 8ecesidades 3ecnolgicas D+ardMare , +erra!ientas de controlE& a definiendo los

91

3area 6: Definicin de los <rocedi!ientos de (ontrol& Se desarrollan los distintos procedi!ientos que se generan en las *reas usuarias, infor!*tica, control infor!*tico , control no infor!*tico& 3area :: Definicin de las necesidades de recursos +u!anos&

Fase III& I!plantacin de los (ontroles&

>na

ez definidos los controles, las +erra!ientas de control , los

recursos +u!anos necesarios, no resta !*s que i!plantarlos en for!a de acciones espec"ficas&

3er!inado el proceso de i!plantacin de acciones +a#r* que docu!entar los procedi!ientos nue os , re isar los afectados de ca!#io& 7os procedi!ientos resultantes ser*n: <rocedi!ientos propios de control de la acti idad infor!*tica Dcontrol interno infor!*ticoE& <rocedi!ientos de distintas *reas usuarias de la infor!*tica, !e$orados& <rocedi!ientos de *reas infor!*ticas, !e$orados&

9/

<rocedi!ientos de control dual entre control interno infor!*tica , el *rea infor!*tica, los usuarios infor!*ticos, , el *rea de control no infor!*tico&

2.1.-..... Met&d&(&%,a de E1a(ua !"n de R!e$%&$: Este tipo de !etodolog"a, conocida ta!#i.n por risW oriented approac+, es la que propone la IS'(', , e!pieza fi$ando los o#$eti os de control que !ini!izan los riesgos potenciales a los que est* so!etido el entorno&

2.2. De)!n! !&ne$ C&n e'tua(e$

A( an e: Distancia a que llega una cosa& Efectuada la re isin de antecedentes, se procede a preparar el progra!a de auditoria, precisando periodo , alcance del e-a!en&

96

Ante edente: 3odo lo que sir e para $uzgar +ec+os posteriores& 'cordada la realizacin de una auditoria, el grupo designado para practicarla efecta una re isin de antecedentes con el estudio de papeles de tra#a$o e infor!es anteriores&

Aud!t&#,a: E-a!en o#$eti o, siste!*tico, profesional e independiente, aplicado a una organizacin por un auditor co!petente&

Ca#a te#,$t! a$: (ualidades o rasgos que sir en para distinguir una persona o una cosa de sus se!e$antes& 7a consideracin de las caracter"sticas de la organizacin es funda!ental en la i!plantacin , desarrollo de la auditoria interna&

C&nt#&( en TI: 7as pol"ticas, procedi!ientos, pr*cticas , estructuras organizacionales dise5adas para garantizar razona#le4!ente que los o#$eti os del negocio ser*n alcanzados , que e entos no desea#les ser*n pre enidos o detectados , corregidos

9:

C#!te#!&: <auta, nor!a, regla para conocer la

erdadF $uicio,

discerni!iento frente a un asunto deter!inado& El auditor funda!enta su tra#a$o en la e aluacin del cu!pli!iento de criterios esta#lecidos& 8ingn tipo de auditoria es posi#le si no +a, criterios esta#lecidos so#re los cuales un auditor de#e e aluar&

C#&n&%#ama: Relacin de acti idades por desarrollar en fec+as deter!inadas, las cuales +acen parte de los planes , progra!as de las organizaciones , a su control interno& ez se constitu,e en un !ecanis!o del

De$em'eFa#: 9acer aquello a lo que uno est* o#ligado, lo cual de#e estar garantizado en un alto grado por los !ecanis!os de control&

D!a%n"$t! &: 'n*lisis que per!ite deter!inar el con$unto de s"nto!as o caracter"sticas de la e olucin o el desarrollo de un proceso deter!inado, el cu*l resulta !u, til para conocer el grado de desarrollo , fortaleci!iento del siste!a de control interno de una organizacin&

9;

D!$eF&: Aosque$o for!al de un proceso o cosa& Dise5o de los ele!entos , !ecanis!os del siste!a de control interno&

E &n&m,a: 'd!inistracin recta , prudente de los #ienes& ' este requisito que de#e tener toda organizacin de#e contri#uir

per!anente!ente el siste!a de control interno , de auditoria interna&

E)! a !a: 2irtud, fuerza , poder para o#rar&

E)! !en !a: 7ogro de !etas , o#$eti os en t.r!inos de cantidad , calidad& 2irtud , facultad para lograr un efecto deter!inado&

Gn)a$!$: Fuerza de e-presin o entonacin& 7os progra!as de auditoria se confeccionan so#re la #ase de poner .nfasis en las *reas !*s i!portantes , las *reas donde los controles internos son deficientes&

E$t#ate%!a: <rocedi!iento o plan que se aplica para lograr un propsito u o#$eti o&

9=

Gt! a: <arte de la filosof"a que trata de la !oral , de las o#ligaciones del +o!#re& El auditor cuenta con su propia .tica profesional para el desarrollo de sus funciones&

E1a(ua#: 2alorar, esti!ar el alor de las cosas o situaciones&

E1!den !a: 7a e idencia se constitu,e en el soporte , respaldo a las afir!aciones dadas&

Fa$e: (ualquiera de los aspectos o ca!#ios dentro de un proceso&

Fun !"n: Es el con$unto de acti idades u operaciones que dan caracter"sticas propias , definidas a un cargo, para deter!inar ni eles de responsa#ilidad , autoridad, , de#en estar for!uladas , docu!entadas en un !anual de funciones , procedi!ientos el que a su ez se constitu,e en el ele!ento de control&

G&9!e#n& de TI: >na estructura de relaciones , procesos para dirigir , controlar la e!presa con el fin de lograr sus o#$eti os al a5adir alor

9?

!ientras se equili#ran los riesgos contra el re4torno so#re 3I , sus procesos&

Im'(anta#: Esta#lecer , poner en e$ecucin doctrinas nue as, pr*cticas o costu!#res&

In)&#m8t! a: 'plicacin racional, siste!*tica de la infor!acin para el desarrollo econ!ico, social , pol"tico&

In*e#ente: >nido insepara#le!ente , por naturaleza a una cosa& El riesgo es in+erente al desarrollo de las acti idades de una organizacin por lo que no se pueden orientar todos los recursos a eli!inarlo total!ente& 7o i!portante es identificarlo , !ane$arlo&

Inte%#!dad: (alidad de "ntegro& Nue tiene todas sus partes& 7os papeles de tra#a$o protegen la integridad profesional del auditor , a,udan a $ustificar su actuacin&

Manua(: Docu!ento gu"a que descri#e asuntos o acti idades de acuerdo con un ordena!iento lgico, , est* su$eto a per!anente

9@

e aluacin , actualizacin& Es una de las fuentes de criterios a e aluar dentro del an*lisis de riesgos&

Me an!$m&$: (o!#inacin de partes que producen o transfor!an un !o i!iento& <ara que e-ista un #uen control se de#en esta#lecer !ecanis!os de segui!iento , control&

M/t&d&: 1odo de o#rar con orden& 7a e aluacin de control interno por el !.todo de cuestionario consiste en con ertir en preguntas todas las nor!as de control interno, de tal !anera que una respuesta afir!ati a indique la e-istencia , o#ser acin de la nor!a , una respuesta negati a indique su ausencia o incu!pli!iento&

N&#ma$: Son los requisitos de calidad relati os a la persona del auditor, al tra#a$o que realiza , a la e!isin de su opinin&

O9:et!1&: Relati o al o#$eto en s" , no a nuestro !odo de pensar o sentir& El infor!e de#e presentar co!entarios, conclusiones , reco!endaciones en for!a o#$eti a&

99

O9:et!1& de C&nt#&(: >na sentencia del resultado o propsito que se desea alcanzar i!ple!entando procedi!ientos de control en una acti idad de 3I particular&

O'&#tun!dad: Se refiere a la .poca en que se de#en aplicar los procedi!ientos del an*lisis, de tal for!a que se o#tengan los resultados !*s eficientes que sean posi#les&

O#%an!;a !"n: >nin integrada por

oluntaria de una serie de indi iduosF est* "nculos contractuales entre factores

!ltiples

Dpersonas, ser icio , procesosE con una funcin de asignacin eficiente de los recursos , #a$o la direccin , coordinacin de una autoridad directi a&

P(anea#: 3razar, for!ar, disponer el plan de una o#ra& For$ar planes&

P&nde#a#: <esar, deter!inar el peso de una cosa& E-a!inar con atencin las razones de una cosa para for!ar un $uicio de ella&

100

P#!n !'!&$: Aase, origen, funda!ento !*-i!o por el que cada quien rige sus actuaciones& 7a actuacin del auditor est* regida por principios .ticos profesionales&

P#& ed!m!ent&: 1.todo para +acer alguna cosa& Entonces pode!os referirnos a procedi!ientos operati os, ad!inistrati os , de control&

P#& e$&: (on$unto de fases sucesi as de un fen!eno o asunto, las cuales son controladas, super isadas , e aluadas por el siste!a de control interno&

P#&%#ama: Escrito que indica las condiciones de un an*lisis& El auditor de#e for!ular un progra!a general de tra#a$o que inclu,e un resu!en de las acti idades a desarrollar&

Re &menda !"n: Encargo que se +ace a una persona respecto de otra o de alguna cosa& El infor!e del an*lisis de#e tener reco!endaciones encontradas& que per!itan su#sanar las deficiencias

101

Re u#$&$ Mate#!a(e$: 3odo lo referente a !o#iliario de oficina , equipos de co!putacin con que cuenta la organizacin&

Re(e1ante: So#resaliente, e-celente, i!portante& El infor!e del an*lisis de#e #rindar la infor!acin necesaria , rele ante relacionada con el e-a!en practicado&

S89ana: Refi.rase a los reportes largos que se i!pri!"an antes&

Sem! uant!)! a#: 'signar rangos nu!.ricos a las caracter"sticas 'lto, 1edio, , Aa$o&

S!$tem8t! &: Nue sigue un siste!a& D"cese de quien procede por principios so!eti.ndose a un siste!a fi$o en su conducta, escritos, opiniones& Es una de las caracter"sticas del e-a!en de auditor"a& T/ n! a: (on$unto de procedi!ientos de un arte o ciencia& 9a#ilidad para usar esos procedi!ientos& En el desarrollo del e-a!en de auditor"a se +ace uso de las t.cnicas de auditor"a&

10/

T/ n! a$: Son los recursos pr*cticos de in estigacin , prue#a que el auditor utiliza para o#tener la infor!acin que necesita&

6e#!)! a#: <ro#ar que es erdad una cosa que se duda& 7a auditor"a es un e-a!en que e!presa& erifica , e ala deter!inadas *reas de una