STC8470 - Módulo II

Profesor
Ing. Juan N. Mariñas R.

ANALISIS Y GESTION DEL RIESGO EN EL
DESARROLLO DE SISTEMAS DE INFORMACIÓN
1. Introducción
2. Definición de Riesgos
3. Proceso de la Administración del
Riesgo
1. Identificación de riesgo
2. Análisis de riesgo
3. Mitigar el riesgo
4. Supervisión de la administración del
riesgo
Introducción
• El negocio de la seguridad de información
trata todo acerca de la administración de
riesgos
• Se aplican metodologías cualitativas,
cuantitativas o semi-cualitativas
• Se calcula el riesgo, se establecen objetivos
y criterios de selección de seguridad
• Una gestión efectiva de riesgos comienza
con una clara comprensión del apetito de
riesgos de la organización
Introducción
• Dependiendo del tipo de riesgo y su
importancia para el negocio, la gerencia
puede optar por:
• Evitar: escoger no implementar ciertas actividades
• Mitigar: definir, implementar y monitorear controles
para reducir la probabilidad o el impacto de un
riesgo
• Transferir: compartir el riesgo o transferirlo
mediante coberturas de seguro
• Aceptar: reconocer que existe un riesgo y
monitorearlo
Introducción
• Dominio y manejo de conceptos y
terminología relacionada:
• Eventos
• Activos
• Amenazas
• Vulnerabilidades
• Probabilidad
• Riesgo
• Gestión de Riesgos
• Análisis de Riesgos
• Mitigación y Controles
Introducción
• Un ambiente cambiante de negocio puede
alterar o cambiar los requerimientos del
cliente/usuario antes de que sean entregados
• Las empresas destinan significativos
recursos de tecnología de información para:
• Desarrollo, Adquisición, Mantenimiento de
sistemas de aplicación
• Éstos son críticos para la operación
• Los recursos se tienen que gestionar y
controlar a través de un ciclo de vida
Definición de Riesgos
• Evento
• Suceso imprevisto, hecho, acontecimiento
• Suceso que ocurre en un sistema
• Un incidente u ocurrencia que emana de
fuentes internas o externas a una entidad
que podrían afectar la implantación de una
estrategia o logro de objetivos
• Amenaza
• Cosa o persona que constituye una posible
causa de riesgo o perjuicio para alguien o algo
• Fenómeno o proceso natural o causado por el
ser humano que puede poner en peligro a un
grupo de personas, sus cosas y su ambiente,
cuando no son precavidos
• Eventos que pueden desencadenar un incidente
en la organización, produciendo daños
materiales o pérdidas inmateriales en sus
activos
• Vulnerabilidad
• Incapacidad de resistencia cuando se presenta
una amenaza o incapacidad de reponerse a un
desastre
• En términos de Seguridad de la Información, una
vulnerabilidad es una debilidad
• en los procedimientos de seguridad
• diseño, implementación o control interno
• que podría ser explotada (accidental o
intencionalmente)
• que resulta en una brecha de seguridad o una
violación de la política de seguridad de sistemas
• Vulnerabilidad
• Ausencia de o debilidad de una seguridad
en un activo
• Hace a una amenaza potencial más
peligrosa o costosa
• Más probable de que ocurra
• Que ocurra con más frecuencia
• Activo
• Recurso, proceso, producto o sistema que tiene algún
valor para la organización y debe ser protegido
• Pueden ser físicos
• locales en que desempeña labores
• edificios de los que son propietarios
• maquinaria o mercancía
• Pueden ser intangibles
• no existen de manera física
• ciertos derechos legales y títulos
• cuentas por cobrar
• inversiones, marcas de la empresa, etc.
• Riesgo
• Amenaza que un evento, acción o situación
puede afectar a la empresa en el logro de
sus objetivos y metas
• Es la probabilidad de que una amenaza se
convierta en un desastre
– La vulnerabilidad o las amenazas, por
separado, no representan un peligro.
– Si se juntan, se convierten en un riesgo, o
sea, en la probabilidad de que ocurra un
desastre
• Riesgo
• Riesgo = Amenaza x Vulnerabilidad
• Administración de riesgo triple comprende:
• Activos, amenazas y vulnerabilidades
• Los riesgos no pueden ser eliminados por
completo
• Un sistema o ambiente puede ser
comprometido en cualquier momento
• Hay eventos impredecibles
• Relación entre
– Evento – Activos
– Amenaza – Impacto
– Vulnerabilidad
– Riesgo
– Control
• ¿Cómo identificamos eventos y evaluamos

riesgos?
Amenazas
Vulnerabilidades
Riesgos
ACTIVOS
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO -
IDENTIFICACIÓN
• Eventos Externos
– Económicos
– Sociales
– Políticos
– Tecnológicos
– Ecológicos
Identificación
• Eventos Internos de Eventos
– Estrategia Y Riesgos
– Estructura Organizacional
– Procesos
– Personas
– Cultura
– Tecnología
IDENTIFICACIÓN
• Análisis FODA
FORTALEZAS DEBILIDADES
ANÁLISIS INTERNO
OPORTUNIDADES AMENAZAS
ANÁLISIS EXTERNO
IDENTIFICACIÓN
• Análisis de Modelos de Negocio
– Conocer la industria
• Análisis de Fuerzas que Influyen el Mercado
– FODA
– PEST (Político, Económico, Social, Tecnológico)
• Análisis de Tendencias de la Industria
– Hacia dónde vamos (TICs)
• Estructura Organizacional
– Funcionalidad de TI/SI
IDENTIFICACIÓN
• Riesgos que pueden afectar a las

organizaciones
• Estratégicos
• No definir correctamente los objetivos
• Financieros
• Pérdida de recursos financieros
• Operacionales
• Vía incorrecta o inoportuna
• Tecnología de Información
• Desconfianza, inexactitud, incumplimiento
IDENTIFICACIÓN
• Riesgo Operacional
• El riesgo operacional se entiende aquel que
– genera o puede generar la pérdida potencial
– por fallas o deficiencias en los sistemas de
información
– en el sistema de control interno o
– por errores en el procesamiento de las
operaciones
IDENTIFICACIÓN
Clasificación del Riesgo Operacional

 Riesgo de personal
 Riesgo de procesos
 Riesgo de sistemas
 Riesgos legales
 Riesgos por factores
externos
IDENTIFICACIÓN
Riesgo de Personal
Incluye las pérdidas
asociadas a violaciones
internacionales de la
Ley, de las normas o de
las políticas internas de
la institución por parte
de sus funcionarios.
IDENTIFICACIÓN
Riesgo de Procesos
Agrupa las pérdidas
que fueran causadas
por deficiencias o
ausencia de
procedimientos,
recursos dispuestos o
políticas internas en la
ejecución de las
actividades propias de
la institución.
IDENTIFICACIÓN
Riesgo de Sistemas
Pérdidas causadas
por fallas en los
sistemas, en las
telecomunicaciones
y en los elementos
informáticos que en
general utiliza la
institución.
IDENTIFICACIÓN
Riesgo Legales
Es la pérdida derivada de
las violaciones o
incumplimiento de leyes,
regulaciones, contratos, u
obligaciones que, de
manera no intencionada,
puedan cometerse en
perjuicio del vínculo que
la institución tenga con
terceros.
IDENTIFICACIÓN
Riesgo por Factores Externos

Pérdidas causadas
por interrupciones
del negocio,
producto de
fuerzas naturales o
por acción de
terceras personas.
IDENTIFICACIÓN
• Clasificación de Tipos de Riesgo

– Riesgo Inherente
• El error material que no se puede evitar que ocurra por la
ausencia de controles que lo compensen
– Riesgo de Control
• Error material no evitado o detectado a tiempo por el control
interno
– Riesgo de Detección
• El que se da a partir de la aplicación de procedimientos no
adecuados
IDENTIFICACIÓN
– Proceso de identificación de riesgos

– Definir controles para reducir
exposición al riesgo
– Evaluación de costos en controles
– Contrarrestar la probabilidad de
ocurrencia de un evento
ANÁLISIS
– Razón de la evaluación de riesgos

• Identificar eventos y amenazas que
pueden desencadenar en desastres
• Mitigar la ocurrencia de un evento
riesgoso
• Planificar contra los riesgos que
puedan ocurrir
ANÁLISIS
– Determinar los beneficios

• Ahorro de costos con la prevención de
riesgos
• Uso adecuado de recursos para mitigar
riesgos
• Minimizar eventos que interrumpan la
continuidad del negocio
ANÁLISIS
– ¿Qué objetivos perseguimos con una
evaluación de riesgos?
– ¿Hacia qué metas nos enfocamos con una
• Entender posibles pérdidas de la organización
• Identificando amenazas
• Determinando la probabilidad de ocurrencia
de eventos
• Determinando vulnerabilidades
ANÁLISIS
– ¿Qué objetivos perseguimos con una
– ¿Hacia qué metas nos enfocamos con una
• Identificando controles
• Evaluando efectividad de controles
• Evaluar y controlar riesgos
• Exposiciones de la seguridad
• Procedimientos de respaldo y recuperación
ANÁLISIS
– ¿Qué hacemos y qué analizamos en una
• Identificamos elementos críticos
• Identificamos amenazas
• Identificamos vulnerabilidades
• Identificamos y analizamos qué tan efectivos
son nuestros controles de riesgos
• Valor que aportan nuevos controles
• Nuevos controles mitigantes
ANÁLISIS
– ¿Qué metodología aplicamos en una
• Obtención de información
• Identificar amenazas
• Identificar vulnerabilidades
• Identificar eventos riesgosos
• Probabilidad de eventos riesgosos
• Impacto de un evento riesgoso
• Mapa de riesgos
ANÁLISIS
• Obtención de información
– Cuestionarios, entrevistas
– Observación
– Investigación y Análisis
» Documentos de la organización
» Cadena de suministros
– Conocer el entorno
ANÁLISIS
• Identificar amenazas
– Nos pueden conducir a desastres
– Amenazas Naturales
– Amenazas Causadas por el Hombre
» Política
» Tecnología
» Infraestructura
ANÁLISIS
• Identificar vulnerabilidades
– Elementos críticos
– Amenazas a elementos críticos
– Vulnerabilidad a las amenazas
» ¿Ignorar o No?
– Controles para reducir vulnerabilidades
ANÁLISIS
• Identificar eventos riesgosos
– Riesgo producido
– Duración
– Extensión o alcance
– Probabilidad de ocurrencia
– Grado de severidad
– Guías y sentido común
ANÁLISIS
• Probabilidad de eventos riesgosos
– Uso de guías y sentido común
BAJA MEDIA ALTA

PROBABILIDAD PROBABILIDAD PROBABILIDAD
Menos de 1 vez Una vez Más de una vez

cada 25 años cada 5 a 25 años cada 5
“Podría pasar “Le ocurrió “Recuerdo lo

pero es muy raro…” a alguien…” Ocurrido a o en…”
ANÁLISIS
• Impacto de un evento riesgoso
– En qué medida nos afecta
» Alta, Media, Baja
– Disponibilidad de servicios
– ¿Cuánto durará el evento?
– ¿A qué y cuántos impacta? / Alcance
ANÁLISIS
• Mapa de riesgos
– Instrumento informativo
– Dinámico
– Permite conocer los factores de riesgo
– Probables o comprobados daños
– Dentro de un ambiente de trabajo
• Definir responsables, cronogramas e indicadores
ANÁLISIS
Fuente: Evaluación de Riesgos Laborales (Documento Divulgativos) INSHT. Madrid. 1996

ANÁLISIS
Fuente: Evaluación de Riesgos Laborales (Documento Divulgativos) INSHT. Madrid. 1996

ANÁLISIS
Matriz de Zonas de Riesgo Priorización de Riesgo
Fuente: Guía Metodológica para la Creación de Mapas de Riesgos del DNP, Colombia. 2007
ANÁLISIS
Proceso:
Zona de Probabilidad Respuesta de
Riesgo de Impacto Riesgo Tratamiento
Ocurrencia al Riesgo
Matriz de Respuesta a Riesgos
Fuente: Guía Metodológica para la Creación de Mapas de Riesgos del DNP, Colombia. 2007
MITIGACIÓN
– Tenemos información sobre los riesgos

¿Qué más?
• Evaluar impactos
• Definir controles
• Evaluar controles
• Mejorar controles
• Nuevos controles
MITIGACIÓN
– Crear una política que

• Defina objetivos de la administración de
riesgos
• Introducir principios de administración de
riesgos en otras políticas existentes
• Crear políticas para áreas específicas
• Establecer el apetito al riesgo
– Cuanto riesgo acepto por lograr las metas
• Estructura de administración de riesgo
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO –
SUPERVISIÓN
– Crear una política que

• Asignar roles, responsabilidades, autoridad
• Rendir cuentas
• Generar reportes
• Revisiones periódicas
• Evitar, Reducir, Compartir o Transferir, Asumir
• Tolerancia al Riesgo: variación con respecto al
apetito al riesgo
RIESGOS ASOCIADOS CON EL DESARROLLO DE
SOFTWARE
• Riesgos potenciales que pueden ocurrir

cuando se diseñan y desarrollan sistemas
aplicativos
• Riesgo de negocio o riesgo de beneficio
• No se satisfagan las necesidades,
requerimientos y expectativas
• Riesgo de proyecto o riesgo de entrega
• Actividades de diseño y desarrollo del
sistema exceden límites de recursos
financieros
SOFTWARE
• Consecuencias que pueden surgir

• Riesgo de negocio o riesgo de beneficio
• Requerimientos a ser resueltos están
incumplidos
• Pérdida de recursos
• Subutilización del sistema
• Falta de mantenimiento adecuado
• Obsolescencia a corto plazo
SOFTWARE
• Consecuencias que pueden surgir

• Riesgo de proyecto o riesgo de entrega
• Terminación tardía
• No completarse
• Dentro del riesgo de proyecto existen
múltiples niveles
• Dentro del proyecto
• Con los proveedores
• Dentro de la organización
• Con el ambiente exterior
• Con la tecnología escogida
SOFTWARE

múltiples niveles
• Dentro del proyecto
• No identificar requerimientos
• Mala administración del proyecto
• Con los proveedores
• Mala comunicación de requerimientos y
expectativas
• Dentro de la organización
• Partes interesadas no proveen recursos
• Cambio de prioridades y políticas
SOFTWARE

múltiples niveles
• Con el ambiente exterior
• Acciones y cambios de los clientes
• Competidores, gobierno/reguladores
• Condiciones económicas
• Con la tecnología escogida
• Desplazamiento repentino de la tecnología
escogida por una con mejor relación costo-
efectividad
• Insuficiente incompatibilidad en el mercado
SOFTWARE
• Causa principal de estos problemas

• Falta de una disciplina de gestión del proceso
de desarrollo de software
• Uso de una metodología no apropiada para el
sistema a desarrollar
• Las organizaciones no suministran la
infraestructura y soporte necesarios
• Se requiere una gerencia efectiva, actividades
del SDLC que puedan ser controladas,
medidas y mejoradas
SOFTWARE
• El cumplir con un método de gestión del

SDLC no se asegura el éxito de un proyecto
de desarrollo de software
• Disciplina de la gerencia sobre los proyectos:
• Metas y objetivos
• Planificación del proyecto
• Control de cambios de alcance
• Seguimiento al diseño del software y
actividades de desarrollo
• Revisiones periódicas y análisis de riesgos en
cada etapa del proyecto
SOFTWARE
• Riesgos asociados en aplicaciones de

comercio electrónico:
• Desafíos similares a compras por catálogos o
correo directo
• Confidencialidad: robo de información
• Integridad: susceptibilidad a alteración o
eliminación de datos sin autorización
• Disponibilidad: promesa de 24x7
• Autenticación y No Repudio: relación de
confianza y demostrar identidades
• Traslado del poder al cliente: ser eficiente
SOFTWARE
• Características generales del EDI:

• Tiene más de 20 años de uso
• Una de las primeras aplicaciones e-commerce
entre socios de negocio
• EDI implica intercambio y transmisión de
documentos de negocios
• Facturas, O/C, avisos de embarque, etc.
• Uso de un formato estándar procesable
• Ha evolucionado al EDI basado en web
• Se orienta a la adquisición de una plataforma
ya desarrollada
SOFTWARE
• Riesgos asociados en aplicaciones EDI:

• Autorización de la transacción
• Interacción electrónica
• Continuidad de negocio
• Riesgos de seguridad
• Acceso no autorizado a transacciones
electrónicas
• Eliminación/manipulación de transacciones
• Pérdida o duplicación de transacciones
• Pérdida de confidencialidad y distribución
indebida de transacciones
ANÁLISIS Y GESTIÓN DEL RIESGO
CONCEPTO DE CONTROL
• Control Interno
• Adopción de una serie de medidas
establecidas en las empresas
• Propósito: contar con instrumentos
tendientes a salvaguardar la integridad
de los bienes institucionales
• Ayudar a la administración y
cumplimiento correcto de las actividades
y operaciones de la empresa
CONCEPTO DE CONTROL
• Control Interno Informático - Objetivos

• Establecer como prioridad la seguridad y
protección de la información, del sistema
computacional y de los recursos informáticos de
la empresa
• Promover la confiabilidad, oportunidad y
veracidad de la captación de datos, su
procesamiento y emisión de informes
• Instaurar y hacer cumplir las normas, políticas y
procedimientos que regulan las actividades de
sistematización de la empresa
IMPORTANCIA DEL CONTROL
ESTABLECIMIENTO Y VIGILANCIA
DEL CUMPLIMIENTO DE:
• REGLAS
• MÉTODOS
• PROCEDIMIENTOS
El PROCESO DE CONTROL
• Ciclo de control
1. Determinar objetivos y estrategias
2. Planea programas
3. Determina cargas de trabajo
4. Asigna los recursos requeridos a las cargas de
trabajo
5. Adquiere/Delega autoridad para usar recursos
6. Desempeña el trabajo
7. Compara el desempeño con el plan
8. Compara los objetivos alcanzados con los deseados
9. Compara el programa alcanzado con el planeado
Fuente: Auditoría en Sistemas Computacionales. C. Muñoz Razo
El PROCESO DE CONTROL
Entrada Proceso Salida
Se determinan los Se analiza y se Se establecen las

objetivos y planes compara lo desviaciones de lo
realmente inicialmente
Se establecen los alcanzado con lo esperado
estándares de esperado
medición
Retroalimentación
Se informa y se elaboran acciones

correctivas
Fuente: Auditoría en Sistemas Computacionales. C. Muñoz Razo

CARACTERÍSTICAS DE UN SISTEMA DE CONTROL EFICAZ
• Características fundamentales para hacer

un control efectivo y eficaz:
• Oportuno
• Cuantificable
• Calificable
• Confiable
• Estándares y normas de evaluación

• Oportuno
• Es la esencia del control
• Es la presentación a tiempo de los
resultados obtenidos al aplicarlo
• Evaluar resultados en el momento que se
requieran
• No antes: se desconoce el verdadero
alcance
• No después: no servirían de nada

• Cuantificable
• Para comparar resultados esperados
contra resultado obtenido, el control
debe ser medible
• Se deben usar unidades representativas
de algún valor numérico
• Porcentual o numéricamente

• Calificable
• Aplicación de conceptos de calidad o
medidas de cualidad
• Son de carácter subjetivo, se aplican
para evaluar cumplimiento relativos a la
calidad
• Excelente, deficiente, cumplió, etc.

• Confiable
• Debe señalar resultados correctos
• Sin desviaciones, sin alteraciones, sin
errores de ningún tipo
• Los resultados son valorados siempre
con los mismos parámetros

• Estándares y normas de evaluación
• La medición de los resultados
alcanzados debe compararse con
estándares y normas previamente
establecidos
• Se establecen las mismas unidades
para planear y controlar
• Permite valorar adecuadamente
CREACIÓN DE UN ENTORNO DE CONTROL
• Beneficios de un CSA
• Mayor conciencia de los empleados sobre los
objetivos organizacionales
• Mayor comunicación entre mandos
• Empleados motivados
• Proceso mejorado de calificación de auditorías
• Reducción de costos de personal
• Mayor seguridad a las partes interesadas
• Ejemplo: PCI DSS 3.2 Cuestionario de
Autoevaluación

STC8470 - Módulo II

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

STC8470 - Módulo II

Cargado por

Copyright:

Formatos disponibles

Profesor

Ing. Juan N. Mariñas R.

• ¿Cómo identificamos eventos y evaluamos

• Riesgos que pueden afectar a las

Clasificación del Riesgo Operacional

Riesgo por Factores Externos

• Clasificación de Tipos de Riesgo

– Proceso de identificación de riesgos

– Razón de la evaluación de riesgos

– Determinar los beneficios

BAJA MEDIA ALTA

Menos de 1 vez Una vez Más de una vez

“Podría pasar “Le ocurrió “Recuerdo lo

Fuente: Evaluación de Riesgos Laborales (Documento Divulgativos) INSHT. Madrid. 1996

Fuente: Evaluación de Riesgos Laborales (Documento Divulgativos) INSHT. Madrid. 1996

Matriz de Zonas de Riesgo Priorización de Riesgo

Matriz de Respuesta a Riesgos

– Tenemos información sobre los riesgos

– Crear una política que

– Crear una política que

• Riesgos potenciales que pueden ocurrir

• Consecuencias que pueden surgir

• Consecuencias que pueden surgir

• Dentro del riesgo de proyecto existen

• Dentro del riesgo de proyecto existen

• Causa principal de estos problemas

• El cumplir con un método de gestión del

• Riesgos asociados en aplicaciones de

• Características generales del EDI:

• Riesgos asociados en aplicaciones EDI:

• Control Interno Informático - Objetivos

IMPORTANCIA DEL CONTROL

Entrada Proceso Salida

Se determinan los Se analiza y se Se establecen las

Se informa y se elaboran acciones

Fuente: Auditoría en Sistemas Computacionales. C. Muñoz Razo

CARACTERÍSTICAS DE UN SISTEMA DE CONTROL EFICAZ

• Características fundamentales para hacer

CARACTERÍSTICAS DE UN SISTEMA DE CONTROL EFICAZ

• Características fundamentales para hacer

CARACTERÍSTICAS DE UN SISTEMA DE CONTROL EFICAZ

• Características fundamentales para hacer

CARACTERÍSTICAS DE UN SISTEMA DE CONTROL EFICAZ

• Características fundamentales para hacer

CARACTERÍSTICAS DE UN SISTEMA DE CONTROL EFICAZ

• Características fundamentales para hacer

CARACTERÍSTICAS DE UN SISTEMA DE CONTROL EFICAZ

• Características fundamentales para hacer

CREACIÓN DE UN ENTORNO DE CONTROL

También podría gustarte