Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administración de Riesgos SI
Administración de Riesgos SI
CAPITULO 2
DE TECNOLOGA DE INFORMACIN.
2.1.1.- Riesgos
continuacin:
fundamentales.
22
misin.
23
Externas e
Internas.
Naturales y
Inundaciones
Temblores
24
Tornados
Tormentas Elctricas
Huracanes
Erupciones Volcnicas
Las causas de riesgo originadas por el hombre, son entre otras, las
siguientes:
Incendios
Explosiones
Accidentes laborales
Destruccin intencional
Sabotaje
Robo
Fraude
Contaminacin Ambiental
causas externas.
25
Sabotaje
Insuficiencia de Dinero
Personal No capacitado
Huelgas
Fraudes
causa del riesgo para minimizar sus efectos. Cuando se dice que los
de informacin.
TABLA I
CONSECUENCIAS
implementar.
riesgos identificados:
por ejemplo:
sobre la Entidad.
efecto en la entidad.
en la entidad.
debilidades.
ya existentes.
FIGURA 2.1.
Alta A B
PROBABILIDAD
C D
31
Baja
Bajo Alto
sistemas, donde cada ndice tiene una ponderacin y cada cuenta del
determinada.
TABLA II
los mismos.
otro parte del riesgo como por ejemplo tomar plizas de seguros; se
Este mtodo utiliza una matriz para mostrar grficamente tanto las
amenazas.
esta se representan los escenarios o puntos del proceso que pueden ser
impactados por los riesgos potenciales crticos. Con una "x" se sealan
con "x.
38
TABLA III
ESCENARIOS DE RIESGO
o de o-nes a
os s i-lidad
1 Generacin y Registro de X X
Transacciones
2 Ingreso de los datos al sistema X
3 Procesamiento de las X X X X
transacciones y actualizacin
de la base de datos
4 Utilizacin y control de los X
transacciones
riesgos potenciales crticos. Con una "x" se sealan las celdas en donde
39
TABLA IV
EN LAS DEPENDENCIAS
MANEJAN LA INFORMACION
Sistemas
3 Contabilidad X
4 DECEVAL X
2.1.2.8.2.3. Localizacin de los Riesgos Crticos en Matriz de
las dos matrices anteriores. En las celdas de esta matriz se escriben las
40
el proceso o sistema.
dependencia.
Credibilidad Pblica.
TABLA V
transacciones y actualizacin
de la base de datos
4 Utilizacin y control de los R2
transacciones
42
oportunidades de mejora.
riesgos.
organizacionales.
Seguridades
Objetivos
Manuales de usuarios
Polticas
A nivel organizacional:
Al proceso de administracin:
de los directivos.
Organizacin.
48
equipo multidisciplinario.
FIGURA 2.2.
Organizacin.
sistemas de la empresa.
50
Riesgos de TI.
sus causas.
probabilidad.
52
o suceso ocurran.
aceptados.
El anlisis de riesgos y los criterios contra los cuales los riesgos son
Para evaluar riesgos hay que considerar, entre otros factores, el tipo
de la Gerencia de la empresa.
circunstancias:
54
bajo nivel posible, el cual debe ser compatible con las actividades del
implementacin de controles.
frecuencia o probabilidad.
momento.
opciones de tratamiento.
Seguridad:
trabajo heterogneos.
debe olvidar que una herramienta nunca es una solucin sino una
59
control, etc.
situacin mejorada.
metodologas.
61
controlado).
incendios).
en absoluto.
costo beneficio.
han sido diseadas para producir una lista de riesgos que pueden
probabilidad ms alta.
riesgos.
cuantitativas.
TABLA VI
CUALITATIVAS
Cuantitativa Cualitativa
- Enfoca pensamientos - Enfoque lo amplio que se
mediante el uso de nmeros. desee.
Facilita la comparacin de - Plan de trabajo flexible o
P
vulnerabilidades muy reactivo.
r distintas. - Se concentra en la
- Proporciona una cifra identificacin de eventos.
o
justificante para cada - Incluye factores intangibles.
s
contramedida.
FIGURA 2.3.
CUALQUIER METODOLOGA
Cuestionario Etapa 1
Identificar los Riesgos Etapa 2
Calcular el impacto Etapa 3
la evaluacin.
componente subjetivo.
simulacin.
el proyecto
amenazas
salvaguarda
desarrollo.
acciones.
pasa si...?.
76
son:
un plan de seguridad.
de trabajo.
FIGURA 2.4.
metodologas:
78
Anlisis de Riesgos.
del negocio.
Clasificacin de la informacin.
informticos.
Plan de cifrado.
Auditora Informtica.
FIGURA 2.5.
Relacin de
eventos por sector
Base de Datos de de actividad
Incidentes (A)
Estadsticas y
Grficos
Relacin de
Debilidades (B)
Relacin de Riesgos
Men Base de (C)
Datos del
Conocimiento Relacin de
(10) contramedidas (D)
Conocimientos
Generales (E)
Relacin de
Proyectos (F)
Delphi es el siguiente:
Esta reunin tiene por objeto no slo identificar las amenazas y los
Los miembros del grupo deben discutir los controles que debern
Nmero de Identificacin,
control,
controles
81
presenten repeticiones.
puede decir que son las subjetivas por excelencia. Por lo tanto, estn
auditores internos.
continuacin.
contramedidas.
(integridad), y a la destruccin.
valuada y No sensible.
1. Identificacin de la Informacin.
punto siguiente.
su supervisor lo apruebe.
se mantiene actualizado.
organigramas y funciones.
herramientas de control).
informtico.
de acciones especficas.
mejorados.
control interno.
organizacin.
deficientes.
propsito u objetivo.
afirmaciones dadas.
procesos.
prcticas o costumbres.
actividad de TI particular.
autoridad directiva.
100
control interno.
encontradas.
Medio, y Bajo.