Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • S10.s1-Material - Gestion de Riesgos

    Cargado por

    Juan Yanqui Velasquez
    10 vistas32 páginas
    Auditoria Informatica

    Título original

    S10.s1-Material_Gestion de Riesgos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Auditoria Informatica

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    10 vistas32 páginas

    S10.s1-Material - Gestion de Riesgos

    Cargado por

    Juan Yanqui Velasquez
    Auditoria Informatica

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 32

    Auditoria de Sistemas

    Informáticos
    Gestión de Riesgos de TI
    Amenaza, Riesgo, Ataque y Vulnerabilidad
    LOGRO DE APRENDIZAJE DE LA SESIÓN

    Conocer el proceso del análisis, evaluación y respuesta de los riesgos en


    las instituciones y organizaciones empresariales.
    Gestión de Riesgos de TI
     Según la norma ISO 31000, el riesgo es el efecto de la incertidumbre sobre los
    objetivos .
     Se trata en esencia de sucesos y eventos adversos que impiden el normal
    desarrollo de las actividades de la empresa y que en general tienen
    repercusiones económicas en ella.
     Aunque el riesgo considera tanto efectos positivos como negativos, desde el
    punto de vista de auditoria consideramos solo los efectos negativos que
    pudieran tener para la empresa.
     La evaluación de riesgos en si es el proceso en el cual se identifican,
    cuantifican y priorizan los riesgos en base a criterios de tratamiento del
    mismo.
     Los resultados de esta evaluación deben determinar la acción apropiada de
    la gerencia para gestionarlos y establecer controles apropiados.
    Gestión de Riesgos de TI
     La alta dirección y los órganos de supervisión son los responsables de asegurar
    que la gestión del riesgo este integrada en todas las actividades de la
    organización, y deberán demostrar liderazgo y compromiso en su realización.
     Sin embargo los auditores debemos de realizar nuestra evaluación de
    riesgo al inicio de nuestro trabajo de auditoria, esto es fundamental para
    crear nuestro programa de auditoria.
     La evaluación de riesgo es un proceso conformado por la identificación,
    análisis y valoración de los riesgos.
    Gestión de Riesgos de TI
    La EVALUACION DEL RIESGO incluye las siguientes actividades y acciones:

    • Identificación de los activos.


    • Identificación de los requisitos legales y de negocio que son relevantes para la
    identificación de los activos.
    • Valoración de los activos identificados, teniendo en cuenta los requisitos legales
    y de negocio identificados anteriormente, y el impacto de una pérdida de
    confidencialidad, integridad y disponibilidad.
    • Identificación de las amenazas y vulnerabilidades importantes para los activos
    identificados.
    • Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
    • Cálculo del riesgo.
    • Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI
     Las organizaciones deberían identificar los riesgos, tanto si sus fuentes están o
    no bajo su control.
     Se debería considerar que una misma fuente puede generar mas de un tipo de
    resultados que puede dar lugar a una variedad de consecuencias tangibles o
    intangibles.
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI

     El análisis del riesgo implica una


    consideración de aspectos como
    incertidumbre , fuentes del riesgo,
    consecuencias, probabilidades, eventos,
    escenarios, controles y su eficiencia.
     Es importante mencionar que un mismo
    evento puede tener múltiples causas y
    consecuencias y puede afectar a múltiples
    objetivos dentro de la empresas.
    Gestión de Riesgos de TI

     El análisis del riesgo


    proporciona una entrada para
    la valoración del riesgo, para las
    decisiones de la manera de
    tratar el riesgo y si es
    necesario hacerlo, sobre la
    estrategia, los métodos mas
    apropiados de tratamiento del
    mismo.
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI

    METODO CUALITATIVO
    Criterios de Valoración de Probabilidad, Impacto y nivel de riesgo
    Gestión de Riesgos de TI

    METODO CUALITATIVO
    Criterios de Valoración de Probabilidad, Impacto y nivel de riesgo
    Gestión de Riesgos de TI
     El análisis de riesgos informáticos es un proceso que comprende la
    identificación de activos informáticos, sus vulnerabilidades y amenazas a
    los que se encuentran expuestos así como su probabilidad de ocurrencia y
    el impacto de las mismas, a fin de determinar los controles adecuados para
    aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

     Teniendo en cuenta que la explotación de un riesgocausaría daños o


    pérdidas financieras o administrativas a una empresa u organización, se
    tiene la necesidad de poder estimar la magnitud del impacto del riesgo a
    que se encuentra expuesta mediante la aplicación de controles.
     Dichos controles, para que sean efectivos, deben ser implementados
    en conjunto formando una arquitectura de seguridad con la finalidad de
    preservar las propiedades de confidencialidad, integridad y disponibilidad
    de los recursos objetos de riesgo.
    Gestión de Riesgos de TI

    El análisis de los riesgos de seguridad de información deben ser


    considerados en el contexto del negocio, y las interrelaciones con otras
    funciones de negocios, tales como recursos humanos, desarrollo,
    producción, operaciones, administración, TI, finanzas, etcétera y los clientes
    deben ser identificados para lograr una imagen global y completa de estos
    riesgos.

    La meta principal de la administración del riesgo informático debería


    ser “proteger a la organización y su habilidad de manejar su misión” no
    solamente la protección de los elementos informáticos. Además, el proceso
    no solo debe de ser tratado como una función técnica generada por los
    expertos en tecnología que operan y administran los sistemas, sino como
    una función esencial de administración por parte de toda la organización.
    Gestión de Riesgos de TI
     Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la
    vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia.

     Por lo que podemos decir a grandes rasgos que la administración de riesgos es


    el proceso de identificación, evaluación y toma de decisiones para reducir el
    riesgo a un nivel aceptable.

     El análisis de riesgo informático esun elemento que forma parte del


    programa de gestión de continuidad de negocio (Business Continuity
    Management).

     En el análisis de riesgo informático es necesario identificar si existen


    controles que ayudan a minimizar la probabilidad
    de ocurrencia de la vulnerabilidad (riesgo controlado), de no
    existir, la vulnerabilidad será de riesgo no controlado.
    Gestión de Riesgos de TI

     El proceso de análisis de riesgo genera habitualmente un documento al


    cual se le conoce como matriz de riesgo.
     En este documento se muestran los elementos identificados, la manera
    en que se relacionan y los cálculos realizados.
     Este análisis de riesgo es indispensable para lograr una correcta
    administración del riesgo.
     La administración del riesgo hace referencia a la gestión de los recursos
    de la organización.
     Existen diferentes tipos de riesgos como el riesgo residual y riesgo total
    así como también el tratamiento del riesgo, evaluación del riesgo y
    gestión del riesgo entre otras.
    Gestión de Riesgos de TI
    MATRIZ DE RIESGO
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI
    Después de efectuar el análisis debemos determinar las acciones a tomar respecto
    a los riesgos residuales que se identificaron. Las acciones pueden ser:

    • Mitigación.- Fortalecer los controles existentes y/o agregar nuevos controles.

    • Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.

    • Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se


    traspasa a un tercero.

    • Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo


    tanto se acepta.
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI
    Gestión de Riesgos de TI

    No se olvide que en las empresas la seguridad comienza por dentro.


    Capacitando al personal, creando normas basadas en estándares,
    analizando brechas y puntos ciegos en la seguridad lógica y en la seguridad
    de sistemas de información.

    Es fundamental la creación de escenarios de conflicto en forma continua


    participando la gerencia de la empresa junto con un auditor en seguridad, a
    partir de estos escenarios pueden lograrse medidas para evitar eventos de
    seguridad.
    Gestión de Riesgos de TI
    Conclusiones

    Participación de los estudiantes


    Actividad en Canvas

    Completar la evaluación de riesgos del caso MINIMARKET

    “La tecnología por sí sola no basta. También tenemos que poner el corazón” – Jane Goodall

    También podría gustarte