Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Analisis de Riesgo de TI PDF

    Cargado por

    dabasto
    15 vistas2 páginas

    Título original

    Analisis de Riesgo de TI.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    15 vistas2 páginas

    Analisis de Riesgo de TI PDF

    Cargado por

    dabasto

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 2

    Análisis y Gestión de Riesgo en Tecnología

    de la Información

    Introducción
    El Banco Central de la República Argentina (B.C.R.A), dentro del marco de implantación
    de Basilea II, ha desarrollado una serie de normativas y comunicaciones para que la
    Entidades Financieras adopten este estándar internacional de medición y gestión de
    riesgos, a partir del año 2010.
    Como todos sabemos, Basilea II incorporó el riesgo operacional a
    los riesgos ya evaluados por Basilea I (de crédito, de mercado y
    de tipo de cambio) y uno de los aspectos a evaluar del riesgo
    operacional es el factor de riesgo de tecnología de la información
    (TI).
    En concordancia con ello, el B.C.R.A. también ha emitido la
    “Comunicación A 4609 - Requisitos mínimos de gestión,
    implementación y control de los riesgos relacionados con tecnología informática y
    sistemas de información”, en donde se establece que las Entidades Financieras deberán
    contar con análisis de riesgo formalmente realizados y documentados sobre los
    sistemas de información, la tecnología informática y sus recursos asociados.

    ¿Qué es el análisis de riesgo de TI?


    La tarea de análisis y gestión Conocer los riesgos al que están sometidos los activos de TI es imprescindible para
    de riesgo de la Tecnología de poder gestionarlos.
    la Información es una parte El gran reto de este proyecto es enfrentar una problemática compleja dado que se
    fundamental para el análisis interrelacionan diferentes tipos de activos, con lo
    cual si no se es metódico y riguroso, los
    del riesgo operacional de la resultados y conclusiones no son de fiar y
    Probabilidad
    Negocios
    Amenazas

    Entidad. difícilmente sean de valor para la Entidad. Riesgo


    Residual Frecuencia

    a. Para incorporar a la matriz de riesgo Activos Análisis de Riesgo

    operacional, el riesgo de TI asociado a cada Riesgo


    de TI
    proceso de negocio. Riesgo
    Impacto
    Repercutido

    b. Para concientizar a los responsables de las


    Gerencias de Tecnología y Sistemas de
    Riesgo Degradación
    Acumulado

    Información de la existencia de riesgos y Controles Valoración

    brindar soluciones para su mitigación.


    c. Para ayudar a descubrir y planificar medidas oportunas para mantener los riesgos
    bajo control.
    d. Para preparar a la organización para procesos de evaluación, auditoría y
    cumplimiento, según corresponda.
    e. Para establecer los aspectos a tener en cuenta para la realización de planes de
    Para mas información: contingencias y continuidad del negocio y sistemas de gestión de seguridad
    informática.
    Cr. Horacio Martinez
    hmartinez@suarez-menendez.com

    Lic. Damian Requejo


    drequejo@suarez-menendez.com

    www.suarez-menendez.com
    www.moorestphens.com

    IT Risk Management
    ¿Cómo es el proceso?
    El análisis de riesgo de TI es una aproximación metódica para determinar el riesgo
    siguiendo unos pasos pautados:
    a. Determinar los activos relevantes para
    la organización.

    b. Determinar a qué amenazas están


    expuestos aquellos activos.

    c. Estimar el impacto, definido como el


    daño sobre el activo derivado de la
    materialización de la amenaza.

    d. Determinar que controles hay


    dispuestos y cuán eficaces son frente al riesgo.

    e. Estimar el riesgo, definido como el impacto ponderado con la probabilidad de


    ocurrencia de la amenaza.

    ¿Cómo se evalua el proceso de negocio con el riesgo de TI?


    El desafío más importante es entender la interrelación que tiene el proceso de negocio
    con los riesgos de los activos de TI que son necesarios para que los mismos funcionen
    correctamente. Para ello es necesario ver las capas del negocio y como los activos
    El análisis de riesgo es el interactúan con cada uno de los
    inicio de una gestión procesos. Para ello se deben
    planificada y ordenada de los subdividir los procesos del negocio y
    riesgos operacionales y de buscar las diferentes dependencias que
    TI. hay entre esos procesos y los activos.

    Esta dependencia no es un tema trivial


    dado que un proceso de negocio puede
    depender de más de una aplicación y a
    su vez una aplicación puede depender de más de un equipo. Con lo cual los riesgos
    de un activo naturalmente repercuten en los activos que son dependientes y éstos a su
    vez de los procesos de negocio. Sin embargo, el resultado derivado de la construcción
    de estas relaciones es lograr dos tipos de riesgos:
     Riesgo único de TI por cada proceso de negocios: Este riesgo sirve para el dueño de
    los procesos y le permite conocer como la tecnología de la información afecta el riesgo de la
    operación.

     Riesgo de TI por cada uno de los activos: Este riesgo sirve para que el departamento
    de informática de la Entidad pueda mitigar los riesgos a los que está expuesto y determinar
    cuál es la gestión de riesgo que debe desarrollar.

    Moore Stephens
    Suarez & Menendez
    Maipu 942, piso 12
    C1006ACN
    C. A. de Buenos Aires
    Argentina
    www.suarez-menendez.com
    Tel: +54 11 4 103 9500
    Fax: +54 11 4 103 0959

    IT Risk Management

    También podría gustarte