Академический Документы
Профессиональный Документы
Культура Документы
UCAYALI
FACULTAD DE INGENIERIA DE SISTEMAS Y DE INGENIERIA CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
CURSO:
Auditoria y Seguridad Informtica
ALUMNO:
Obando Balvn, Jos Luis
DOCENTE:
Ing. Mg. Freddy Elar Ferrari Fernndez
PUCALLPA - PER
2015
I.
INTRODUCCIN
La gestin de los riesgos es una piedra angular en las guas de buen gobierno
[ISO 38500], pblico o privado, donde se considera un principio fundamental que
las decisiones de gobierno se fundamenten en el conocimiento de los riesgos que
implican.
Se insiste recurrentemente en el necesario equilibrio entre riesgos y oportunidades
para tomar las mejores decisiones.
En pocas palabras, la gestin de los riesgos es nuclear al gobierno de las
organizaciones. En particular, los riesgos que tienen su origen en el uso de
tecnologas de la informacin deben trasladarse a los rganos de gobierno y
contextualizarse en la misin de la organizacin.
El conocimiento de los riesgos permite calibrar la confianza en que los sistemas
desempearn su funcin como la Direccin espera, habilitando un marco
equilibrado de Gobierno, Gestin de Riesgos y Cumplimiento (GRC), tres reas
que deben estar integradas y alineadas para evitar conflictos, duplicacin de
actividades y zonas de nadie.
.
Tabla de contenido
I.
INTRODUCCIN................................................................................................1
II.
CONCEPTO DE RIESGO:...........................................................................3
2.2.
CLASIFICACIN DE RIESGOS..................................................................3
2.3.
2.4.
2.5.
2.6.
ANLISIS DE RIESGOS..............................................................................7
2.7.
METODOLOGAS DE ANLISIS.................................................................7
2.7.1.
2.7.2.
2.8.
3.2.
VALORACIN DE ACTIVOS.....................................................................16
3.3.
PUNTO
DE
RECUPERACIN
OBJETIVO
TIEMPO
DE
RECUPERACIN OBJETIVO..............................................................................19
V. CONCLUSIONES.............................................................................................21
CONCEPTO DE RIESGO:
Riesgo se refiere a la incertidumbre o probabilidad de que ocurra o se
realice un evento, el cual puede ser previsto; en este sentido podemos decir
que el riesgo es la contingencia de un dao.
El concepto de riesgo en Tecnologas de Informacin puede definirse como
el efecto de una causa multiplicado por la frecuencia probable de ocurrencia
dentro del entorno de las TI. Surge as, la necesidad del control que acte
sobre la causa del riesgo para minimizar sus efectos. Cuando se dice que
los controles minimizan los riesgos, lo que en verdad hacen es actuar sobre
las causas de los riesgos, para minimizar sus efectos.
II.2.
CLASIFICACIN DE RIESGOS
Con objeto de ubicarnos en los tipos de riesgos de Tecnologas de
Informacin en las organizaciones, enunciaremos algunos de los ms
comunes.
Riesgo de negocio
Es una circunstancia o factor que puede tener un impacto negativo o
positivo sobre el funcionamiento o la rentabilidad de una empresa
determinada. En ocasiones se refiere como el riesgo de la empresa. El
riesgo de negocio puede ser el resultado de las condiciones internas, as
como algunos factores externos que pueden estar presentes en la
comunidad empresarial en general.
Riesgo inherente
Este tipo de riesgo tiene que ver exclusivamente con la actividad econmica
o giro empresarial del negocio, independientemente de los sistemas de
control interno que se estn aplicando.
Riesgo de control
Este tipo de riesgo considera de manera muy importante a los sistemas de
control interno que estn implementados en la empresa, y que en ciertas
circunstancias lleguen a ser insuficientes o inadecuados para la aplicacin y
deteccin oportuna de irregularidades. Es por ello que una administracin
debe tener constante revisin, verificacin y ajustes en los procesos de
control interno.
Riesgo estratgico
El riesgo estratgico es la forma de competir y la relacin con el entorno,
as como las tensiones organizacionales internas, que representan barreras
para poder ejecutar la estrategia seleccionada con xito. Se asocia con la
forma en que se administran las empresas e instituciones. El manejo del
riesgo estratgico se enfoca a asuntos globales relacionados con el
cumplimiento de la misin de la organizacin,
Riesgo operativo
Se puede definir como el riesgo de que se presenten prdidas por fallas en
los sistemas administrativos y procedimientos internos, as como por
errores humanos, intencionales o no.
Riesgo financiero
Se define como la posibilidad de deterioro o perdida derivada de la
realizacin
de
operaciones
financieras
que
pueden
afectar
la
Riesgo de tecnologa
Se asocia con la capacidad de la empresa en que la tecnologa disponible
satisfaga las necesidades actuales y futuras de la empresa, soportando el
cumplimiento de la misin.
Riesgo profesional
Se define como una situacin potencial de peligro ligada directa o
indirectamente al trabajo y que puede materializarse con el dao
profesional.
Con esta definicin se puntualiza que no siempre el riesgo profesional
conduce al dao profesional, es decir puede existir riesgo sin producirse
dao.
II.3.
Temblores
Inundaciones
Tornados
Huracanes
Tormentas elctricas
Erupciones volcnicas
Las causas de riesgo originadas por el hombre, son entre otras, las
siguientes:
Incendios
Explosiones
Accidentes laborales
5
informacin.
Venta de informacin de la empresa a la competencia.
II.5.
ANLISIS DE RIESGOS
El objetivo del anlisis de riesgos es establecer una valoracin y
priorizacin de los riesgos con base en la informacin ofrecida por los
mapas elaborados en la etapa de identificacin, con el fin de clasificar los
riesgos y facilitar informacin para establecer el nivel de riesgo, as como
las acciones que se van a implementar.
II.7.
METODOLOGAS DE ANLISIS
Las metodologas usadas por un profesional dicen mucho de su forma de
entender su trabajo y estn directamente relacionadas con su experiencia
profesional, acumulada como parte del comportamiento humano de prueba
y error.
La evaluacin de riesgos en tecnologas de informacin es el proceso de
comparar el nivel de riesgo encontrado durante el anlisis de los mismos,
contra el criterio de riesgo establecido previamente y decidir el tratamiento
que se dar a stos.
El anlisis de riesgos y los criterios contra los cuales stos son comparados
en la valoracin, deben ser considerados sobre la misma base. As,
evaluaciones cualitativas incluyen la comparacin de un nivel cualitativo de
7
caso
de
travs
del
anlisis
cuantitativo
pueden
ser
expresados
en
trminos
de
costos
especficos
(monetarios).
Sus desventajas son:
Complejidad: Las frmulas usadas en este tipo de anlisis y el
volumen de tablas numricas resultantes pueden ser muy
complejas. Esto lleva entre otros problemas a la necesidad de
personas ms experimentadas dentro del equipo de evaluacin, lo
que conlleva a un incremento en el costo total.
9
11
de
la
auditora,
donde
se
destacan
las
CRAMM)
de
la
Agencia
Central
de
Informtica
13
NSA IAM
La
metodologa
de
evaluacin
InfoSec
(InfoSec
Assessment
NSA) fue
desarrollada
para
capacitar a
las entidades
Pre-evaluacin.
La visita en sitio.
Y la post-evaluacin.
14
informacin.
Personal: En esta categora se encuentra tanto la plantilla propia de la
organizacin, como el personal subcontratado, los clientes, usuarios y,
en general, todos aquellos que tengan acceso de una manera u otra a
productos).
Tecnologa: Los equipos utilizados para gestionar la informacin y las
comunicaciones (servidores, PCs, telfonos, impresoras, routers,
cableado, etc.)
Instalaciones: Lugares en los que se alojan los sistemas de
15
Trastornos en el negocio.
16
ni control.
Confidencialidad: En este caso la pregunta a responder para
ponderar adecuadamente este criterio ser cual es la importancia
que tendra que al activo se accediera de manera no autorizada.
Ejemplo de controles
Explicacin
Cifrado de mensajes
Autenticacin fuerte
Detectivo
Planes de auditoria
Sistemas de deteccin de intrusos
Digitos de chequeo
Correctivo
17
Sistemas automticos
incendios
Automtico
Manual
El control
humana
se
ejecuta
sin
intervencin
de extincin de
Mandatorio
Verificacin de antecedentes
DIscrecional
Aseguramiento
de
paltaformas
(actualizacin de parches, desactivacin
de puertos y servicios)
Revision de logs de acceso
19
desde
el
punto
de
falla,
hasta
la
restauracin
de
normal.
Esto
est
directamente
relacionado
con
las
V. CONCLUSIONES
sistemas de informacin.
El anlisis de riesgos en Tecnologas de nformaciIn, ha contribuido a
ampliar an ms los conocimientos sobre los problemas significativos que
pueda tener el rea de sistemas de una empresa y sobre las mltiples ideas
21