Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. Introducción
2. Definición de Riesgos
3. Proceso de la Administración del
Riesgo
1. Identificación de riesgo
2. Análisis de riesgo
3. Mitigar el riesgo
4. Supervisión de la administración del
riesgo
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Introducción
• El negocio de la seguridad de información
trata todo acerca de la administración de
riesgos
• Se aplican metodologías cualitativas,
cuantitativas o semi-cualitativas
• Se calcula el riesgo, se establecen objetivos
y criterios de selección de seguridad
• Una gestión efectiva de riesgos comienza
con una clara comprensión del apetito de
riesgos de la organización
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Introducción
• Dependiendo del tipo de riesgo y su
importancia para el negocio, la gerencia
puede optar por:
• Evitar: escoger no implementar ciertas actividades
• Mitigar: definir, implementar y monitorear controles
para reducir la probabilidad o el impacto de un
riesgo
• Transferir: compartir el riesgo o transferirlo
mediante coberturas de seguro
• Aceptar: reconocer que existe un riesgo y
monitorearlo
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Introducción
• Dominio y manejo de conceptos y
terminología relacionada:
• Eventos
• Activos
• Amenazas
• Vulnerabilidades
• Probabilidad
• Riesgo
• Gestión de Riesgos
• Análisis de Riesgos
• Mitigación y Controles
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Introducción
• Un ambiente cambiante de negocio puede
alterar o cambiar los requerimientos del
cliente/usuario antes de que sean entregados
• Las empresas destinan significativos
recursos de tecnología de información para:
• Desarrollo, Adquisición, Mantenimiento de
sistemas de aplicación
• Éstos son críticos para la operación
• Los recursos se tienen que gestionar y
controlar a través de un ciclo de vida
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Definición de Riesgos
• Evento
• Suceso imprevisto, hecho, acontecimiento
• Suceso que ocurre en un sistema
• Un incidente u ocurrencia que emana de
fuentes internas o externas a una entidad
que podrían afectar la implantación de una
estrategia o logro de objetivos
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Definición de Riesgos
• Amenaza
• Cosa o persona que constituye una posible
causa de riesgo o perjuicio para alguien o algo
• Fenómeno o proceso natural o causado por el
ser humano que puede poner en peligro a un
grupo de personas, sus cosas y su ambiente,
cuando no son precavidos
• Eventos que pueden desencadenar un incidente
en la organización, produciendo daños
materiales o pérdidas inmateriales en sus
activos
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Definición de Riesgos
• Vulnerabilidad
• Incapacidad de resistencia cuando se presenta
una amenaza o incapacidad de reponerse a un
desastre
• En términos de Seguridad de la Información, una
vulnerabilidad es una debilidad
• en los procedimientos de seguridad
• diseño, implementación o control interno
• que podría ser explotada (accidental o
intencionalmente)
• que resulta en una brecha de seguridad o una
violación de la política de seguridad de sistemas
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Definición de Riesgos
• Vulnerabilidad
• Ausencia de o debilidad de una seguridad
en un activo
• Hace a una amenaza potencial más
peligrosa o costosa
• Más probable de que ocurra
• Que ocurra con más frecuencia
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Definición de Riesgos
• Activo
• Recurso, proceso, producto o sistema que tiene algún
valor para la organización y debe ser protegido
• Pueden ser físicos
• locales en que desempeña labores
• edificios de los que son propietarios
• maquinaria o mercancía
• Pueden ser intangibles
• no existen de manera física
• ciertos derechos legales y títulos
• cuentas por cobrar
• inversiones, marcas de la empresa, etc.
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Definición de Riesgos
• Riesgo
• Amenaza que un evento, acción o situación
puede afectar a la empresa en el logro de
sus objetivos y metas
• Es la probabilidad de que una amenaza se
convierta en un desastre
– La vulnerabilidad o las amenazas, por
separado, no representan un peligro.
– Si se juntan, se convierten en un riesgo, o
sea, en la probabilidad de que ocurra un
desastre
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Definición de Riesgos
• Riesgo
• Riesgo = Amenaza x Vulnerabilidad
• Administración de riesgo triple comprende:
• Activos, amenazas y vulnerabilidades
• Los riesgos no pueden ser eliminados por
completo
• Un sistema o ambiente puede ser
comprometido en cualquier momento
• Hay eventos impredecibles
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
Definición de Riesgos
• Relación entre
– Evento – Activos
– Amenaza – Impacto
– Vulnerabilidad
– Riesgo
– Control
Vulnerabilidades
Riesgos
ACTIVOS
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
• Eventos Externos
– Económicos
– Sociales
– Políticos
– Tecnológicos
– Ecológicos
Identificación
• Eventos Internos de Eventos
– Estrategia Y Riesgos
– Estructura Organizacional
– Procesos
– Personas
– Cultura
– Tecnología
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
• Análisis FODA
FORTALEZAS DEBILIDADES
ANÁLISIS INTERNO
OPORTUNIDADES AMENAZAS
ANÁLISIS EXTERNO
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
• Análisis de Modelos de Negocio
– Conocer la industria
• Análisis de Fuerzas que Influyen el Mercado
– FODA
– PEST (Político, Económico, Social, Tecnológico)
• Análisis de Tendencias de la Industria
– Hacia dónde vamos (TICs)
• Estructura Organizacional
– Funcionalidad de TI/SI
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
• Riesgo Operacional
• El riesgo operacional se entiende aquel que
– genera o puede generar la pérdida potencial
– por fallas o deficiencias en los sistemas de
información
– en el sistema de control interno o
– por errores en el procesamiento de las
operaciones
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
Riesgo de Personal
Incluye las pérdidas
asociadas a violaciones
internacionales de la
Ley, de las normas o de
las políticas internas de
la institución por parte
de sus funcionarios.
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
Riesgo de Procesos
Agrupa las pérdidas
que fueran causadas
por deficiencias o
ausencia de
procedimientos,
recursos dispuestos o
políticas internas en la
ejecución de las
actividades propias de
la institución.
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
Riesgo de Sistemas
Pérdidas causadas
por fallas en los
sistemas, en las
telecomunicaciones
y en los elementos
informáticos que en
general utiliza la
institución.
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
Riesgo Legales
Es la pérdida derivada de
las violaciones o
incumplimiento de leyes,
regulaciones, contratos, u
obligaciones que, de
manera no intencionada,
puedan cometerse en
perjuicio del vínculo que
la institución tenga con
terceros.
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
Fuente: Guía Metodológica para la Creación de Mapas de Riesgos del DNP, Colombia. 2007
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
ANÁLISIS
Proceso:
Zona de Probabilidad Respuesta de
Riesgo de Impacto Riesgo Tratamiento
Ocurrencia al Riesgo
Fuente: Guía Metodológica para la Creación de Mapas de Riesgos del DNP, Colombia. 2007
ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
MITIGACIÓN
CONCEPTO DE CONTROL
• Control Interno
• Adopción de una serie de medidas
establecidas en las empresas
• Propósito: contar con instrumentos
tendientes a salvaguardar la integridad
de los bienes institucionales
• Ayudar a la administración y
cumplimiento correcto de las actividades
y operaciones de la empresa
ANÁLISIS Y GESTIÓN DEL RIESGO
CONCEPTO DE CONTROL
ESTABLECIMIENTO Y VIGILANCIA
DEL CUMPLIMIENTO DE:
• REGLAS
• MÉTODOS
• PROCEDIMIENTOS
ANÁLISIS Y GESTIÓN DEL RIESGO
El PROCESO DE CONTROL
• Ciclo de control
1. Determinar objetivos y estrategias
2. Planea programas
3. Determina cargas de trabajo
4. Asigna los recursos requeridos a las cargas de
trabajo
5. Adquiere/Delega autoridad para usar recursos
6. Desempeña el trabajo
7. Compara el desempeño con el plan
8. Compara los objetivos alcanzados con los deseados
9. Compara el programa alcanzado con el planeado
Fuente: Auditoría en Sistemas Computacionales. C. Muñoz Razo
ANÁLISIS Y GESTIÓN DEL RIESGO
El PROCESO DE CONTROL
Retroalimentación
• Beneficios de un CSA
• Mayor conciencia de los empleados sobre los
objetivos organizacionales
• Mayor comunicación entre mandos
• Empleados motivados
• Proceso mejorado de calificación de auditorías
• Reducción de costos de personal
• Mayor seguridad a las partes interesadas
• Ejemplo: PCI DSS 3.2 Cuestionario de
Autoevaluación