Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTENIDOS
GRC
Riesgos
Riesgos y Oportunidades
Riesgos de TI
Cmo controlar los riesgos?
Riesgos asociados al desarrollo de sistemas
Proceso de administracin de riesgos
Audiencia del riesgo de TI
Qu es
GRC?
Enfoque GRC
GRC = Governance, Risk and Compliance por sus siglas en ingls
que significa (Gobierno, Riesgo y Cumplimiento)
GRC se orienta a integrar y transformar a las personas, procesos y
tecnologas que apoyan a las siguientes reas claves:
Gobierno: Estructuras, polticas, procesos y controles de la junta o
consejo directivo y la administracin, que estn enfocados en el valor a
largo plazo por medio de la operacin tica, equitativa, eficiente y
efectiva del negocio.
Administracin de riesgos: Proceso sistemtico de la compaa
para identificar , evaluar, administrar y monitorear tanto el incremento
como la disminucin de los riesgos de la compaa.
Enfoque GRC
Cumplimiento : Proceso de la compaa para demostrar que
sus empleados y otros se adhieren a las polticas y
procedimientos, leyes y regulaciones vigentes.
El propsito fundamental de GRC es la mejora organizacional
en trminos de inteligencia de riesgos y toma de decisiones a
travs de la transformacin de los procesos y actividades de
gobierno, administracin de riesgos y cumplimiento.
Enfoque GRC
Qu es Riesgo?
CATEGORA DE RIESGOS
CATEGORA DE RIESGOS
Riesgo de
Auditoria
El Riesgo en auditoria surge cuando el auditor expresa una
opinin errada en su informe, debido a que la informacin
suministrada a l estn afectados por una distorsin material
o normativa. En auditoria se conocen tres tipos de riesgos:
Inherente,
de Control y
de Deteccin.
CATEGORA DE RIESGOS
Riesgo de
Auditoria
a) Riesgo inherente, son errores que no se pueden prever.
CATEGORA DE RIESGOS
Riesgo de
Auditoria
b) El riesgo de control, los controles internos imperantes no
prevn o detectan fallas que se estn dando en los sistemas.
c) El riesgo de deteccin, estn relacionados con el trabajo
del auditor. ste en la utilizacin de los procedimientos de
auditora, no detecta errores en la informacin que le
suministran. Categora de Riesgos: Riesgo de Auditoria
RIESGO Y OPORTUNIDAD
DINMICA GRUPAL
RIESGOS DE TI
Riesgo de negocio asociado con el uso, la propiedad,
operacin, participacin, influencia y adopcin de TI dentro
de una empresa.
Consiste en eventos relacionados con TI que pueden
potencialmente impactar el negocio.
Incluye tanto frecuencia y magnitud incierta.
Crea retos en alcanzar los objetivos y metas estratgicas
y en el aprovechamiento de las oportunidades.
RIESGOS DE TI
Riesgo =
Activos de
Informacin
Amenazas
Vulnerabilidad
DINAMICA GRUPAL
CASO JETHRO
1. Identifique los Riesgos Asociados al desarrollo de
sistemas.
2. Identifique la situacin mas riesgosa que se puede
desencadenar si el sistema se construye tal cual lo
especifica Jethro.
3. Identifique controles que minimicen los riesgos de
desarrollo.
EVALUACIN DE RIESGOS
IDENTIFICACIN DE RIESGOS
Identificar riesgos puede ser
Demasiada Data
Bitcoras Complejas
Informes misteriosos
RISK ASSESSMENT
(EVALUACIN DE RIESGOS)
ACTIVOS
Son Activos, los recursos del sistema de informacin o
relacionados con ste, necesarios para que la Organizacin
funcione correctamente y alcance los objetivos propuestos
por su direccin.
El activo esencial es la informacin que maneja el sistema;
o sea los datos. Y alrededor de estos datos se pueden
identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos
datos, y los servicios que se necesitan para poder
gestionar dichos datos.
Las aplicaciones informticas (software) que permiten
manejar los datos.
ACTIVOS
Los equipos informticos (hardware) que permiten hospedar
datos, aplicaciones y servicios.
Los soportes de informacin que son dispositivos de
almacenamiento de datos.
El equipamiento auxiliar que complementa el material
informtico.
Las redes de comunicaciones que permiten intercambiar
datos.
Las instalaciones que acogen equipos informticos y de
comunicaciones.
Las personas que explotan u operan todos los elementos
anteriormente citados.
CLASIFICACIN DE ACTIVOS
En cada caso, hay que adaptarse a la Organizacin objeto del
anlisis. Con frecuencia se puede estructurar el conjunto de activos
en capas, donde las capas superiores dependen de las inferiores:
Capa 5
OTROS ACTIVOS
Capa 4
FUNCIONES DE LA ORGANIZACIN
Capa 3
INFORMACIN
Capa 2
SISTEMA DE INFORMACIN
Capa 1
ENTORNO
CLASIFICACIN DE ACTIVOS
Capa 1: el entorno: activos que se precisan para
garantizar las siguientes capas:
Equipamiento y suministros: energa, climatizacin,
comunicaciones
Personal: de direccin, de operacin, de desarrollo, etc.
Otros: edificios, mobiliario, etc.
Capa 2: el sistema de informacin propiamente dicho.
CLASIFICACIN DE ACTIVOS
Capa 3: la informacin
Datos
Meta-datos: estructuras, ndices, claves de cifra,
etc.
Capa 4: las funciones de la Organizacin, que
justifican la existencia del sistema de informacin
y le dan finalidad.
Objetivos y misin
Bienes y servicios producidos
CLASIFICACIN DE ACTIVOS
Capa 5: Otros Activos
Por Naturaleza
Por Ponderacin
CLASIFICACIN DE ACTIVOS
Clasificar
Por Naturaleza
Se determina la clase de Activo a la que pertenece:
Tangible, Intangible o Servicios de TI.
Esta clasificacin permite:
Identificar la cantidad de activos que posee la
empresa.
Identificar cul es la clase de activo ms importante
de la empresa.
Por Ponderacin
La clasificacin por Ponderacin es la continuacin de la
Clasificacin por Naturaleza, ya que una vez identificado
que clase de activos posee la empresa, debemos hacer una
ponderacin de qu clase de activo es la ms importante.
CLASIFICACIN DE ACTIVOS
CLASIFICACIN DE ACTIVOS
DINMICA GRUPAL
DINAMICA GRUPAL
Organice los Activos de TI, segn las capas sugeridas para el caso
planteado:
Los Informales SAC hacen uso extensivo de transacciones comerciales
por internet. Sus aplicaciones y datos estn alojadas en servidores remotos
que son administrados por un proveedor. Los equipos de computo son
principalmente usados para ejecutar las aplicaciones alojadas en el
proveedor de servicios. Tambin cuentan con equipos de impresin que
son compartidos por los miembros de cada rea, enlazados por una red
local. Como ya se mencion, el proveedor de servicios, garantiza tiempos
de respuesta adecuados para la performance del software comercial.
La administracin y control de accesos del software, es responsabilidad del
proveedor. El proveedor de servicios da de alta y baja a los usuarios. Se
estableci un tiempo promedio de 3 das tanto para las altas como las
bajas.
La conexin de los usuarios a las instalaciones del proveedor de servicios
ser usando el servicio IPVPN. Como medio redundante, se cuenta con
conexin RDSI. Esto con la finalidad de mantener la continuidad de las
operaciones y no afectar la imagen de la empresa.
Como informacin sensible se esta considerando los datos del cliente
(Ventas, lnea de crdito entre otros).
VULNERABILIDAD
Debilidad de un activo o grupo de activos que pueden ser
explotados por una o ms amenazas (NTP-ISO/IEC 17799).
Potencialidad o posibilidad de ocurrencia de una amenaza
sobre un activo.
AMENAZA
Causa potencial de un incidente no deseado que puede
resultar en dao al sistema u organizacin (NTP-ISO/IEC 17799).
Eventos que pueden desencadenar un incidente en la
Organizacin, produciendo daos materiales o prdidas
inmateriales en sus activos.
Condicin del entorno del sistema de informacin que, dada
una oportunidad, podra dar lugar a que se produjese una
violacin de la seguridad.
AMENAZA
Las amenazas son cosas que ocurren. Y, de todo lo que
puede ocurrir, interesa lo que puede pasarle a nuestros
activos y causar un dao.
No todas las amenazas afectan a todos los activos, sino que
hay una cierta relacin entre el tipo de activo y lo que le
podra ocurrir.
NIVEL DE PROBABILIDAD
DINMICA GRUPAL
Para el caso planteado identifique:
Vulnerabilidades
Amenazas
Relacione Activos, Amenazas vs Vulnerabilidades
NIVEL DE RIESGO
PROCESO DE MITIGACIN
Proceso de Mitigacin
Gracias