Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Normas y Estandares Gestin Del Riesgo PDF
Normas y Estandares Gestin Del Riesgo PDF
SEDE MANIZALES
AUDITORIA DE SISTEMAS II
TRABAJO:
COMPILACIN BIBLIOGRFICA ESTNDARES Y DIRECTRICES DE
AUDITORIA
PRESENTADO POR:
MARIA ALEJANDRA HURTADO PARRA 907028
TABLA DE CONTENIDO
INTRODUCCIN ................................................................................................ 3
HISTORIA Y EVOLUCIN ................................................................................. 4
MARCO TERICO ............................................................................................. 5
ANLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254 .................................. 6
AS/NZ 4360 (PRINCIPAL) ................................................................................. 6
NIST SP 800-34 ................................................................................................ 12
CICLO DE VIDA DEL SISTEMA ....................................................................... 13
NTC 5254 ......................................................................................................... 15
RESUMEN ........................................................................................................ 16
CONCLUSIONES Y OBSERVACIONES .......................................................... 18
COMPARATIVO CON COBIT........................................................................... 19
BIBLIOGRAFA ................................................................................................. 20
INTRODUCCIN
En toda organizacin existen posibles daos que pueden alterar el
funcionamiento normal de sus operaciones, la factibilidad de estos daos se
mide a travs del riesgo. Para contextualizar la temtica a desarrollar, primero
se va a dar una breve introduccin al tema de gestin del riesgo y algunos
trminos importantes.
Cuando se usa la expresin riesgo, se quiere tratar sobre la vulnerabilidad de
un bien ante un potencial perjuicio o dao, este bien puede ser fsico o
intangible, tomando como ejemplo de un bien fsico, a un edificio o equipos de
cmputo y como bien intangible, la informacin importante, tal como cifras
financieras. Es importante diferenciar el riesgo del peligro, el riesgo es la
probabilidad de que ocurra un dao, en cambio, el peligro, es la probabilidad de
que ocurra un suceso que conlleve a un dao. Continuando con el riesgo,
existen varios tipos: Riesgo laboral, geolgico, financiero, y biolgico. Ahora,
teniendo claros estos conceptos, es necesario saber que han existido distintas
organizaciones y trabajos encargados de promover normas y estndares para
el manejo del riesgo (tales como INCONTEC, ANSI, ISO, COBIT, ITIL, entre
otras), que permiten las empresas adaptar estos modelos para su
funcionamiento y mejorar de procesos. A continuacin se mostrara un anlisis
de algunos de estos estndares y normas. Tomando el contexto internacional y
nacional.
HISTORIA Y EVOLUCIN
MARCO TERICO
Riesgo
Es la probabilidad de que una amenaza se convierta en un desastre. La
vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero
si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra
un desastre. Sin embargo los riesgos pueden reducirse o manejarse. Si somos
cuidadosos en nuestra relacin con el ambiente, y si estamos conscientes de
nuestras debilidades y vulnerabilidades frente a las amenazas existentes,
podemos tomar medidas para asegurarnos de que las amenazas no se
conviertan en desastres.
R2
IMPACTO
R4
R3
R6
R5
PROBABILIDAD
Se puede evaluar el riesgo a travs de una matriz como la anterior, en este
caso entre el rojo significa el color donde se encuentran los riesgos que pueden
causar ms dao a la organizacin y el verde los riesgos que presentan menos
daos.
planeamiento de contingencia
arreglos contractuales
condiciones contractuales
caractersticas de diseo
planes de recupero de desastres
barreras de ingeniera y estructurales
planeamiento de control de fraudes
minimizar la exposicin a fuentes de riesgo
planeamiento de cartera
poltica y controles de precios
separacin o reubicacin de una actividad y recursos
relaciones pblicas
10
11
NIST SP 800-34
La publicacin especial 800-34 del NIST, Planes de Contingencia Gua de
Ayuda para los Sistemas de Informacin, proporciona las instrucciones,
recomendaciones y consideraciones para la planificacin de contingencia de la
informacin del sistema. La planificacin de contingencia se refiere a las
medidas cautelares para recuperar los servicios de informacin del sistema
despus de una interrupcin. Las medidas provisionales pueden incluir la
reubicacin de los sistemas de informacin y operaciones a un lugar
alternativo, la recuperacin de las funciones de sistema de informacin
utilizando un equipo alternativo, o el desempeo de las funciones de sistema
de informacin utilizando mtodos manuales. Tambin da las recomendaciones
especficas de planificacin de contingencia para tres tipos de plataforma y
proporciona estrategias y tcnicas comunes a todos los sistemas.
Los sistemas cliente / servidor;
Sistemas de telecomunicaciones, y
Sistemas mainframe.(Unidad Central)
1.
Desarrollar
la
declaracin
poltica
de
planificacin
de
contingencia: Una poltica formal proporciona la autoridad y la
orientacin necesaria para desarrollar un plan de contingencia efectivo.
2.
3.
4.
5.
6.
7.
13
Iniciacin
Los requisitos de planificacin de contingencia debe ser considerado cuando
un nuevo sistema de informacin se concibe. Durante el inicio, a principios de
consideraciones de planificacin de contingencia puede ponerse de manifiesto
como los requisitos de informacin del sistema se identifican y que
corresponden a sus funciones operativas relacionadas, una evaluacin del
riesgo se lleva a cabo para entender lo que el sistema tendr la proteccin en
contra, y los objetivos de la confidencialidad, integridad y disponibilidad de
est. Requisitos de informacin de alta disponibilidad del sistema puede indicar
que la duplicacin redundante, en tiempo real en un sitio alternativo y
capacidades de conmutacin por error debe ser incorporado en el diseo del
sistema. Del mismo modo, si el sistema est pensado como una aplicacin
virtual, el diseo puede necesitar incluir caractersticas adicionales, tales como
unidades de capacidad de auto-sanacin o de diagnstico.
Adquisicin y Desarrollo
Como conceptos iniciales evolucionan en el desarrollo de sistemas de
informacin, soluciones especficas de contingencia se puede determinar. Al
igual que en la fase de iniciacin, las consideraciones tcnicas de planificacin
de contingencia en esta fase debe reflejar el sistema y los requisitos
operacionales. El diseo debe incorporar la redundancia y robustez
directamente en la arquitectura del sistema para optimizar la fiabilidad,
mantenibilidad y disponibilidad durante la fase de operacin y mantenimiento
.
Implementacin / Evaluacin
La estrategia de recuperacin seleccionado ya est documentada en el sector
formal del Sistema de Informacin Plan de Contingencia en coordinacin con el
Sistema de Prueba y Evaluacin (ST & E) de esfuerzo. A medida que el
sistema experimenta una prueba inicial, las estrategias de contingencia
tambin debe ser ejercida para resolver cualquier problema con los
procedimientos. Resultados del ejercicio puede inducir modificaciones en los
procedimientos de recuperacin y el plan de contingencia.
Operaciones / Mantenimiento
Cuando el sistema de informacin est en funcionamiento, los usuarios,
administradores y gerentes deben mantener una prueba, capacitacin y
programa de ejercicios que valida continuamente los procedimientos de
contingencia y plan de estrategia de recuperacin tcnica. Ejercicios y pruebas
deben llevarse a cabo de forma programada para garantizar que los
procedimientos siguen siendo eficaces. Copias de seguridad completas e
incrementales debe ser evaluada a cabo, almacenados fuera del sitio, rotar, y
validada peridicamente. El plan de contingencia debe ser actualizado para
reflejar los cambios en los procedimientos sobre la base de las lecciones
aprendidas de las pruebas, ejercicios y reales interrupciones. Cuando el
sistema de informacin se somete a mejoras o modificaciones, tales como
cambios en las interfaces externas, estas modificaciones deben reflejarse en el
14
15
RESUMEN
AS/NZ 4360
La gestin de riesgos tiene la finalidad de buscar el equilibrio apropiado entre el
reconocimiento de oportunidades de obtener ganancias y la reduccin de las
prdidas. Es parte integrante de las buenas prcticas de gestin y tambin es
un elemento esencial para el buen gobierno corporativo. La norma AS/NZS
4360 suministra orientaciones genricas para la gestin de riesgos. Puede
aplicarse a una gran variedad de actividades, decisiones u operaciones de
cualquier entidad pblica, privada o comunitaria, grupos o individuos. Se trata
de una instruccin amplia pero que permite la definicin de objetivos
especficos de acuerdo con las necesidades de cada implementacin.
Beneficios
Los principales beneficios de la AS/NZS 4360 para la empresa:
Estandarizacin de la prctica de gestin de riesgos entre las diversas reas
de la empresa.
Implantacin de mecanismos de evaluacin de riesgos y revisin de procesos.
Implantacin de mecanismos de control y tratamiento.
Reduccin de riesgos para los procesos corporativos.
Reduccin de costos provenientes de los riesgos.
Adems de estos beneficios, la aplicacin de la norma AS/NZS 4360 le
garantiza a la organizacin una base slida para la aplicacin de cualquier otra
norma o metodologa de gestin de riesgos especfica para un determinado
segmento
NIST SP 800-34
Esta gua presenta tres formatos de ejemplo para el desarrollo de un sistema
de informacin del plan de contingencia sobre la base de bajo, moderado o alto
nivel de impacto, como se define en Federal Information Processing Standard
(FIPS) 199, Normas para la Clasificacin de Seguridad Federal de la
Informacin y Sistemas de Informacin. Cada formato se definen tres fases que
rigen las acciones que deben tomarse despus de una interrupcin del
sistema. La activacin / Fase Notificacin describe el proceso de activacin del
plan en base a los impactos y la interrupcin de la notificacin personal de
recuperacin. Los detalles de la fase de recuperacin de un curso de accin
sugerida para los equipos de recuperacin para las operaciones de
restauracin del sistema en un sitio alternativo o el uso de las capacidades de
contingencia.
La fase final,
funcionalidad del sistema y describe las acciones que se pueden tomar para
devolver el sistema a condiciones normales de funcionamiento y preparar el
sistema contra apagones en el futuro.
Esta norma utilizar varios de los parmetros y actividades mencionados(as) en
la as/nz 4360, por lo cual no se mencionaran ac. Adems maneja los
siguientes procesos: Manejo de antecedentes, plan de contingencia, gestin
del riesgo, tipo de plan (continuidad, recuperacin, soporte, comunicacin y
recuperacin de desastres).
Adems incorpora fases as:
NTC 5254
La administracin de Riesgos es una parte fundamental de la Gobernabilidad
corporativa que busca contribuir eficientemente en la identificacin, anlisis,
tratamiento, comunicacin y monitoreo de los riesgos del negocio. La Gestin
de riesgos debe formar parte de la cultura organizacionalquienes gestionan
el riesgo de forma eficaz y eficiente tienen ms probabilidad de alcanzar sus
objetivos y hacerlo a menor costo.
Elementos que conforman el proceso de gestin del riesgo
1.
2.
3.
4.
5.
6.
7.
Comunicacin y consulta
Establecer el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratar los riesgos
Monitoreo y revisin
17
CONCLUSIONES Y OBSERVACIONES
El correcto manejo de las posibles situaciones de peligro dentro de una
organizacin, significa estar preparado para posibles problemas y as
evitar la una posible extincin de la organizacin.
La organizacin no es un ente cerrado, por el contrario en el entorno
hay muchos factores que podran determinar un posible cambio en las
formas de operar de la organizacin, los cuales tienen propiedades de
probabilidad e impacto.
En la organizacin deben existir procesos de formacin que permitan a
los integrantes poder afrontar situaciones de riesgo y aplicar medidas de
control.
La organizacin debe considerar mecanismos que permitan
peridicamente evaluar las distintas dependencias de la organizacin y
determinar posibles situaciones posibles de riesgo.
Deben existir reglas que permitan la operacin para la solucin de
problemas (plan de contingencia).
18
19
BIBLIOGRAFA
http://www.softexpert.es/norma-asnzs.php
Estndar Australiano as/nz 4360
http://csrc.nist.gov/publications/PubsSPs.htmlNIST sp800-34 - Gua para
planes de contingencia en el departamento de TI. (ingles).
http://es.wikipedia.org/wiki/Riesgo
Riesgo y sus propiedades
http://es.wikipedia.org/wiki/Instituto_Nacional_de_Est%C3%A1ndares_y_
Tecnolog%C3%ADa
NIST
http://www.isaca.org/cobit
Sitio web COBIT
20