INDICE GENERAL

Pg.

RESUMEN.................................................................................................

VI

INDICE GENERAL.....................................................................................

VII

INDICE DE FIGURAS................................................................................

XI

INDICE DE TABLAS.................................................................................. XIII

INTRODUCCION.......................................................................................

1. ANTECEDENTES.................................................................................

1.1. La Evolucin de la Tecnologa de Informacin.......................

1.1.1. Importancia de Tecnologa de Informacin..............

1.1.2. Los Tipos de Tecnologas........................................

1.1.2.1.

Tecnologa Aplicable..............................................

1.1.2.2.

Tecnologa Necesaria............................................

1.1.2.3.

Tecnologa Deseada..............................................

1.1.3. La Necesidad del Control en la Tecnologa de

Informacin..............................................................

10

1.1.3.1. El Ambiente de Negocios: Competencia, Cambio y

Costos....................................................................

12

1.1.4. La Administracin y los Riesgos...............................

13

1.1.5. Aparicin del Gobierno de la Empresa y el Gobierno

de TI....................................................................

15

2. MARCO TERICO: ADMINISTRACIN DE RIESGOS DE TI........

19

2.1. Fundamentacin Terica.....................................................

19

2.1.1. Riesgos..................................................................

19

2.1.1.1. Concepto.............................................................

19

2.1.1.2. Clasificacin de Riesgos.....................................

20

2.1.1.2.1. Riesgo de Negocio...........................................

20

2.1.1.2.2. Riesgo Inherente...............................................

20

2.1.1.2.3. Riesgo de Auditoria...........................................

20

2.1.1.2.4. Riesgo de Control..............................................

21

2.1.1.2.5. Riesgo Estratgico............................................

21

2.1.1.2.6. Riesgo Operativo..............................................

21

2.1.1.2.7. Riesgo Financiero..............................................

22

2.1.1.2.8. Riesgo de Cumplimiento....................................

22

2.1.1.2.9. Riesgo de Tecnologa.........................................

22

2.1.1.2.10. Riesgo Profesional............................................

23

2.1.1.2. Tipos de Causas de Riesgos.................................

23

2.1.2. Riesgos de Tecnologa de Informacin....................

25

2.1.2.1. Concepto................................................................

25

2.1.2.2. Valoracin del Riesgo.............................................

25

2.1.2.3 Identificacin del Riesgo........................................

26

2.1.2.4. Anlisis del Riesgo................................................

27

2.1.2.4.1. Objetivo General del Anlisis de Riesgo............

27

2.1.2.4.2. Objetivos Especficos del Anlisis de Riesgo.....

29

2.1.2.5. Matriz de Priorizacin de los Riesgo.....................

30

2.1.2.6. Determinacin del Nivel de Riesgo........................

32

2.1.2.7. Manejo del Riesgo..................................................

33

2.1.2.7.1. Plan de Manejo de Riesgos.................................

35

2.1.2.8. Matriz de Riesgos...................................................

37

2.1.2.8.1.Utilidad del Mtodo Matricial para el anlisis de

Riesgos...............................................................

37

2.1.2.8.1. Tipos de Matrices de Riesgos..............................

37

2.1.2.8.2.1. Matriz de Riesgos Crticos Vs. Escenarios de

Riesgo.................................................................

37

2.1.2.8.2.2. Matriz de Riesgos Crticos Vs. Dependencias....

39

2.1.2.8.2.3. Localizacin de los Riesgos Crticos en Matriz de

Dependencias Vs Escenarios de Riesgo............

40

2.1.3.- Administracin de Riesgos........................................

41

2.1.3.1. Definicin..................................................................

42

2.1.3.2. Beneficios para la Organizacin...............................

42

2.1.3.3. Beneficios para el Dpto. de Auditoria.......................

43

2.1.3.4. Factores a considerar...............................................

43

2.1.4. Administracin de Riesgos de Tecnologa de

Informacin...............................................................

44

2.1.4.1. Concepto................................................................

44

2.1.4.2. Beneficios...............................................................

45

2.1.4.3. Caractersticas Generales......................................

47

2.1.4.4. Proceso de Administracin de Riesgo de T.I..........

47

2.1.4.4.1. Establecimiento de la Metodologa de TI.............

48

2.1.4.4.2. Identificacin de Riesgos de TI.............................

49

2.1.4.4.3. Anlisis del Riesgo de TI.......................................

50

2.1.4.4.4. Evaluacin y Priorizacin de Riesgo de TI............

51

2.1.4.4.5.Tratamiento

de

Riesgo

de

TI

(Controles

Definitivos)...........................................................

52

2.1.4.4.6. Monitoreo y Revisin............................................

54

2.1.4.5. Metodologas de Administracin de Riesgos de TI y

Seguridad................................................................

55

2.1.4.5.1. Introduccin a las Metodologas...........................

55

2.1.4.5.1.1. Los Procedimientos de Control..........................

57

2.1.4.5.1.2. Tecnologa de Seguridad...................................

58

2.1.4.5.1.3. Las Herramientas de Control.............................

58

2.1.4.5.2. Metodologas de Evaluacin de Sistemas............

59

2.1.4.5.2.1. Conceptos Fundamentales................................

59

2.1.4.5.2.2. Tipos de Metodologas.....................................

61

2.1.4.5.2.2.1. Metodologas Cuantitativas...........................

62

2.1.4.5.2.2.2. Metodologas Cualitativas.............................

64

2.1.4.5.2.3. Metodologas ms comunes.............................

66

2.1.4.5.2.3.1. Metodologas de Anlisis de Riesgo..............

66

2.1.4.5.2.3.1.1. Metodologa MAGERIT...............................

68

2.1.4.5.2.3.1.2. Metodologa MARION.................................

72

2.1.4.5.2.3.1.3. Metodologa RISCKPAC..............................

73

2.1.4.5.2.3.1.4. Metodologa CRAMM...................................

73

2.1.4.5.2.3.1.5. Metodologa PRIMA.....................................

74

2.1.4.5.2.3.1.6. Metodologa DELPHI...................................

77

2.1.4.5.3. Metodologas de Auditora Informtica.................

83

2.1.4.5.4. Metodologas de Clasificacin de la Informacin y

de Obtencin de los Procedimientos de Control..

84

2.1.4.5.4.1. Clasificacin de la Informacin..........................

84

2.1.4.5.4.2. Obtencin de los Procedimientos de Control.....

87

2.1.4.5.5. Metodologa de Evaluacin de Riesgos................

90

2.2. Definiciones Conceptuales.......................................................

91

3. NORMAS Y/O ESTNDARES INTERNACIONALES.......................... 101

3.1. Ley Sarvanes- Oxley................................................................ 101
3.1.1. SEC. 404: Evaluacin de la Gerencia de los Controles

Internos: Regulaciones Requeridas.......................... 102

3.1.1.2. Evaluacin del Control Interno................................ 103
3.2. Normas COBIT........................................................................ 103
3.2.1. Audiencia: Administracin, Usuarios y Auditores...... 104
3.2.1.1. Administracin / Gerencia....................................... 105
3.2.1.2. Usuarios.................................................................. 105
3.2.1.3. Auditores................................................................. 105
3.2.2. Principios.................................................................... 105
3.2.3. Procesos de TI........................................................... 106
3.2.3.1. Dominios................................................................. 106
3.2.3.2. Procesos................................................................. 106
3.2.3.3. Actividades.............................................................. 107
3.2.4. Proceso 9: Anlisis de Riesgo...................................

107

3.2.4.1. Actividad 1: Evaluacin de Riesgos del Negocio:

Objetivo de Control...............................................

107

3.2.4.2. Actividad 2: Enfoque de Evaluacin de Riesgos:

Objetivo de Control................................................

108

3.2.4.3. Actividad 3: Identificacin de Riesgos: Objetivo de

Control...................................................................

108

3.2.4.4. Actividad 4: Medicin de Riesgos: Objetivo de

Control...................................................................

109

3.2.4.5. Actividad 5: Plan de Accin contra Riesgos: Objetivo

de Control..............................................................

109

3.2.4.6. Actividad 6: Aceptacin de Riesgos: Objetivo de

Control..................................................................

110

3.2.4.7. Actividad 7: Seleccin de Garantas o Protecciones:

Objetivo de Control...............................................

110

3.2.4.8. Actividad 8: Compromiso con el Anlisis de Riesgos:

Objetivo de Control...............................................

111

3.3. COSO Report.........................................................................

111

3.3.1. Conceptos Fundamentales.......................................

113

3.3.2. Componentes...........................................................

114

3.3.3. Controles...................................................................

118

3.3.3.1.
Controles generales...............................................

118

3.3.3.2.
Ambientes de control..............................................

118

3.3.3.3. Controles directos..................................................

119

3.4. ISO 17999...............................................................................

119

3.4.1. Estructura de la Norma ISO 17799:2000..................

120

3.4.1.1. Poltica de Seguridad de la Informacin...............

120

3.4.1.2. Organizacin de la Seguridad................................

120

3.4.1.3. Clasificacin y Control de Activos........................... 121

3.4.1.4. Seguridad del Personal........................................... 121

3.4.1.5. Seguridad Fsica y Ambiental.................................

121

3.4.1.6. Gestin de Comunicaciones y Operaciones........... 121

3.4.1.7. Control de Accesos................................................. 122
3.4.1.8. Desarrollo y mantenimiento de Sistemas................ 122
3.4.1.9. Administracin de la Continuidad de los Negocios. 123
3.4.1.10. Cumplimiento........................................................ 123
3.4.2. Beneficios de la Norma.............................................. 123
3.5. S.A.C. (Systems Auditability and Control)............................. 124
3.5.1. Definicin................................................................... 125
3.5.2. Componentes............................................................. 125
3.5.3. Clasificaciones........................................................... 126
3.5.3.1. Controles Preventivos, Detectivo, Correctivo.......... 126
3.5.3.2. Discrecional vs. No Discrecional............................. 127
3.5.3.3. Voluntario vs. Mandatorio.......................................

127

3.5.3.4. Manual vs. Automtico...........................................

128

3.5.3.5. Aplicacin vs. General............................................

128

3.5.4. Objetivos de Control y Riesgos.................................

129

4. ADMINISTRACIN DE RIESGOS DE TI DE UNA EMPRESA DEL

SECTOR INFORMTICO......................................................................

130

4.1. Informacin Preliminar..........................................................

130

4.1.1. Introduccin.............................................................

130

4.1.2. Motivos del Anlisis de Riesgo................................

132

4.1.2.1.Ausencia de personal tcnico en el tema de

riesgo....................................................................

133

4.1.2.2. Desconocimiento de los Riesgos Informticos que

existen en la organizacin.....................................

133

4.1.2.3. Desconocimiento de Metodologas de Administracin

de Riesgos de TI...................................................

134

4.1.3. Objetivo General del Anlisis de Riesgo...................

135

4.1.3.1. Objetivos Especficos del Anlisis de Riesgo.........

135

4.1.3.1.1. Revisar, Evaluar y Actualizar

aspectos

relacionados tendientes a un control efectivo de

de Administracin de Riesgo............................

136

4.1.3.1.2. Asegurar una mayor integridad, confidencialidad

y confiabilidad de la informacin.........................

137

4.1.3.1.3. Dar a conocer informacin acerca de los Riesgos

Informticos que existen en la empresa ............

137

4.1.4. Alcance del Anlisis de Riesgo.................................

138

4.1.4.1. Evaluar las seguridades fsicas del departamento

138

4.1.4.2. Evaluar las seguridades lgicas del departamento

139

4.1.4.3. Definir los controles que deben implantarse..........

139

4.2 Descripcin del entorno informtico........................................

140

4.2.1. Arquitectura informtica............................................. 144

4.2.1.1. Entorno de red........................................................

144

4.2.1.2. Equipos disponibles................................................ 144

4.2.1.3. Sistema operativo...................................................

145

4.2.1.4. Software de sistemas y utilitarios...........................

144

4.2.1.4.1. Lenguaje de Programacin.................................. 145

4.2.1.4.2. Sistemas de Aplicacin........................................ 145
4.2.1.4.3. Utilitarios............................................................... 146
4.3. Estrategia de Administracin de Riesgos................................ 147
4.3.1. Establecer Metodologa.............................................. 147
4.3.2.- Identificar Riesgos..................................................... 147
4.3.3. Anlisis de Riesgos.................................................... 149
4.3.3.1. Valorar el Riesgo Inherente....................................

149

4.3.3.2. Determinar controles existentes.............................

150

4.3.3.3. Identificar Nivel de exposicin................................

150

4.3.3.4. Mtodo Matricial para el anlisis de riesgos........... 151

4.3.3.4.1 Crear la Matriz de Amenazas y Objetos............... 151
4.3.3.4.2. Categorizacin de Riesgos.................................

151

4.3.4. Disear los controles definitivos..............................

154

4.3.5. Presentar los Resultados.........................................

154

4.3.5.1. Informe de los Resultados.....................................

154

5. CONCLUSIONES Y RECOMENDACIONES......................................

164

ANEXOS
BIBLIOGRAFA