Está en la página 1de 21

UNFV- FIIS

SEGURIDAD EN COMPUTACION E INFORMATICA

ANLISIS DE RIESGOS
PROFESOR:
Ing. Mujica Ruiz, Oscar
Aguilar Chumpitaz Julio Csar Huamn Romero, Ronald Jos Quintanilla Glvez, Susan Htala
1

INTEGRANTES:
UNFV - FIIS

SEGURIDAD EN COMPUTACION E INFORMATICA

CONCEPTO

Proceso por el cual se identifican las amenazas y vulnerabilidades de una organizacin, con el fin de conseguir herramientas necesarias para disminuir o evitar la ocurrencia del riesgo, es decir; generar controles que minimicen los efectos de los riesgos. ISO 17799 (Information Technology -- Code of practice for information security management)
UNFV - FIIS

REDES Y CONECTIVIDAD

METODOLOGA RISK IT

Desarrollado por ISACA


Organizacin lder en Auditoria de Sistemas y Seguridad de los Activos de Informacin.

Mientras que el Cobit se concentra en la gestin de procesos de TI y Val IT se concentra en la gestin del portafolio de iniciativas de TI para generar valor a la organizacin, Risk IT es una metodologa de anlisis de riesgo que tiene como fin gestionar los riesgos relacionados con la no obtencin de ese valor / beneficios. Es decir, el riesgo de no tomar ventaja de TI. Contiene 3 dominios:

Gestin de Riesgos Evaluacin de Riesgos Respuesta al Riesgo


UNFV - FIIS

REDES Y CONECTIVIDAD

CASOS PRACTICOS

1. MetLife
Es un proveedor lder de seguros y otros servicios financieros a millones de clientes individuales e institucionales en los Estados Unidos. Fuera de los EE.UU., las compaas . MetLife tienen operaciones directas de seguros en Asia, Amrica Latina y Europa.

UNFV - FIIS

REDES Y CONECTIVIDAD

CASOS PRACTICOS

MetLife

Como lder en su sector MetLife considera que; evitar riesgos a sus clientes, partes interesadas y la reputacin debe ser primordial. El establecimiento de procesos de gestin de riesgos de IT ha permitido; a MetLife; reducir las prdidas operativas, porque brinda:
Prioridad a las inversiones Confianza para reaccionar a los cambios del negocio Concentrar los recursos en atender las zonas de alto riesgo.

UNFV - FIIS

REDES Y CONECTIVIDAD

CASOS PRACTICOS

MetLife Enhances Risk Management


MetLife tiene por objeto mejorar continuamente sus procesos de gestin de riesgos de TI . Con este fin, cuando ISACA dio a conocer su proyecto de Risk IT Framework, MetLife hallo buenas prcticas de gestin de riesgos. Dada la amplia adopcin de COBIT , los profesionales de MetLife aprovecharon el documento para crear un MetLife Enhances Risk Management .

UNFV - FIIS

REDES Y CONECTIVIDAD

CASOS PRACTICOS

MetLife Enhances Risk Management


Proporciona

detalles sobre los procesos y actividades asociadas necesarias para cumplir los objetivos de los tres dominios. Tambin; indicadores potenciales que pueden ser utilizados para monitorear el riesgo, las actividades y el estado de cumplimiento de las polticas de gestin del riesgo. Una vez que fue redactado, Los profesionales en coordinacin con la Auditora Interna realiz un anlisis de madurez de los procesos para identificar los procesos y actividades que requiera enfoque y lograr la mejora continua.
UNFV - FIIS

REDES Y CONECTIVIDAD

MetLife Enhances Risk Management

Entonces

se da prioridad las reas de enfoque y se crea una hoja de ruta continua, que se centra principalmente en la convergencia de las actividades de riesgo de varias funciones de MetLife, para reducir la fatiga de evaluacin dentro de TI y las lneas de negocio y aumentar la eficiencia y eficacia del proceso . El progreso hacia la hoja de ruta es supervisado por los lderes de la Gestin del Riesgo Operacional, Auditora Interna, el riesgo y el cumplimiento funciones de TI para dar impulso a los esfuerzos de mejora continua

UNFV - FIIS

REDES Y CONECTIVIDAD

CASOS PRACTICOS

La unidad objeto de estudio no es de nueva creacin, sino que lleva aos tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema informtico propio. A este sistema informtico se le ha aadido recientemente una conexin a un archivo central que funciona como memoria histrica: permite recuperar datos y conservar los expedientes cerrados. El responsable del proyecto de administracin electrnica, alarmado por las noticias aparecidas en los medios sobre la inseguridad de Internet, y sabiendo que un fallo en el servicio conllevara un serio dao a la imagen de su unidad, asume el papel de promotor. En este papel escribe un informe interno1, dirigido al director de la unidad, en el que da cuenta de los medios informticos con que se est trabajando y los que se van a instalar las incidencias acaecidas desde que la unidad existe las incertidumbres que le causa el uso de Internet para la prestacin del servicio En base a dicho informe argumenta la conveniencia de lanzar un proyecto AGR.

CASOS PRACTICOS

CASOS PRACTICOS

CASOS PRACTICOS

CASOS PRACTICOS

CASOS PRACTICOS

CASOS PRACTICOS
3. Diseo de Sistema: Aplicacin y Mantenimiento
Un

banco afronta el riesgo de que el sistema por l elegido no se encuentre bien diseado o implantado. Por ejemplo, un banco est expuesto al riesgo de una interrupcin de su sistema de banca electrnica si ste no es compatible o no satisface los requerimientos de sus usuarios.
Muchos

bancos delegan en suministradores de servicios externos y expertos (outsourcing) la operativa y el mantenimiento de sus actividades de banca electrnica. Esta delegacin puede ser conveniente porque permite al banco desprenderse de aspectos que no puede suministrar de forma eficiente por s mismo. Sin embargo, el outsourcing expone al banco al riesgo operacional, en la medida en que los proveedores de servicios pudieran no estar tecnolgicamente preparados para prestar los servicios esperados o fallar en la actualizacin de su tecnologa. Si esto ocurriera la reputacin bancaria se vera seriamente daada.
UNFV - FIIS

REDES Y CONECTIVIDAD

CASOS PRACTICOS
El mal uso de los productos y servicios por el cliente

UNFV - FIIS

REDES Y CONECTIVIDAD

CASOS PRACTICOS
El mal uso de los productos y servicios por el cliente

Los malos usos del cliente, tanto intencionados como inadvertidos, constituyen otra de las fuentes de riesgo operacional. El riesgo puede ser mayor si el banco no "educa" adecuadamente a sus clientes sobre las precauciones de seguridad. Adems, en ausencia de medidas adecuadas para verificar las transacciones, los clientes podran anular operaciones que, previamente, autorizaron, dando lugar a importantes prdidas financieras para el banco. El uso personal de informacin del cliente (como por ejemplo la verificacin de informacin, nmero de las tarjetas de crdito, nmero de las cuentas bancarias, etc.) en una transmisin electrnica carente de seguridad permitira a un experto (hacker) tener acceso directo a las cuentas de los clientes. Consecuentemente, el banco podra incurrir en prdidas financieras debido a transacciones de clientes no autorizados.

UNFV - FIIS

REDES Y CONECTIVIDAD

CONCLUSIONES

El

Anlisis de riesgo es la forma de conocer las vulnerabilidades de una organizacin, as como las amenazas que enfrenta. El anlisis y manejo de riesgo es un proceso indispensable para las empresas, en especial en pases donde las variables econmicas y las reglas de juego cambian constantemente. Es importante tenerlo en cuenta en toda toma de decisin e incluirlo en el plan estratgico de la empresa. La seguridad es un conjunto de planes y estrategias enfocadas a reducir los riesgos.
UNFV - FIIS

REDES Y CONECTIVIDAD

RECOMENDACIONES

Las

empresas deben identificar cuidadosamente las oportunidades, impactos y riesgos a los que se enfrentan los usuarios como consecuencia directa o indirecta de su actividad. Mantener una estratgica de proteccin y de reduccin de riesgo. Para tener una ptima gestin de riesgos se necesita iniciar con un buen anlisis de riesgos; el cual permita desarrollar un plan de prevencin y recuperacin antes de ocurrido los riesgos.
UNFV - FIIS

REDES Y CONECTIVIDAD

CONCEPTOS PREVIOS

GRACIAS
UNFV - FIIS

REDES Y CONECTIVIDAD