EVALUACION DE RIESGOS

INTRODUCCION
Los riesgos de seguridad informtica deben ser considerados en el contexto del
negocio, y las interrelaciones con otras funciones de negocios, tales como recursos
humanos, desarrollo, produccin, operaciones, administracin, TI, finanzas, etctera y
los clientes deben ser identificados para lograr una imagen global y completa de estos
riesgos.
Cada organizacin tiene una misin. En esta era digital, las organizaciones que utilizan
sistemas tecnolgicos para automatizar sus procesos o informacin deben de estar
conscientes que la administracin del riesgo informtico juega un rol crtico.
La meta principal de la administracin del riesgo informtico debera ser proteger a la
organizacin y su habilidad de manejar su misin no solamente la proteccin de los
elementos informticos. Adems, el proceso no solo debe de ser tratado como una
funcin tcnica generada por los expertos en tecnologa que operan y administran los
sistemas, sino como una funcin esencial de administracin por parte de toda la
organizacin.
La evaluacin de riesgos informticos es un proceso que comprende la identificacin de
activos informticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de
determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.

Cree usted que la evaluacin de riesgos es igual para todas las organizaciones?
Por qu?
Yo creo porque existen empresas de diferente tipo de servicios, comerciales e
industriales y cada una tienen objetivos diferentes es por ello el auditor de sistemas
debe evaluar los riesgos globales de la empresa en s y luego desarrollar un programa
de auditoria para cada empresa que consta de objetivos de control y procedimientos de
auditoria que deben satisfacer esos objetivos reuniendo evidencia, evale fortalezas y
debilidades de los controles existentes basado en la evidencia recopilada, el auditor
tiene que preparar un informe de auditora presentando esos temas en forma objetiva
para as garantizar una disponibilidad y asignacin adecuada de recursos.
La evaluacin de riesgos se la hace con una planeacin eficaz, lo primero que se
requiere es obtener informacin general sobre la organizacin y sobre la funcin de
informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas
entrevistas previas, con base en esto planear el programa de trabajo, el cual deber
incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular
durante el desarrollo de la misma.

Enumere las posibles preguntas que le haran en una evaluacin de riesgos

1. La seguridad actual cubre los tipos de ataques existentes y est preparada
para adecuarse a los avances tecnolgicos esperados?
2. Cmo protege su informacin confidencial?
3. Quin es el propietario del recurso? y quin es el usuario con mayores
privilegios sobre ese recurso?
4. Se est preparado para abrir las puertas del negocio sin sistemas, por un da,
una semana, cunto tiempo?
5. Cul es el costo de una hora sin trabajar, un da, una semana?
6. Se tiene forma de detectar a un empleado deshonesto en el sistema como
atrasos o faltas entre otros?
7. Se tiene control sobre las operaciones de los distintos sistemas?
8. Cules sern los privilegios y responsabilidades del Administrador vs. la del
usuario?
9. Cmo se actuar si la seguridad es violada?
10. Con que frecuencia ocurre un problema con algn ordenador, impresora, el
internet o afines?
11. Qu plan de contingencia se han establecido para los riesgos establecidos?
12. Qu recursos invirti para minimizar los riesgos?
13. De qu manera asegura sus activos fiscos en la empresa?
14. Qu posibilidad hay que sus riesgos se conviertan en desastre?

Busque en Internet las aplicaciones comerciales que le permitan realizar una

evaluacin de riesgos
DIGENES: La aplicacin informtica DIGENES est diseada para su utilizacin en
los organismos y entidades, con el objetivo de ayudar en la compleja tarea de
establecer una mayor seguridad y confianza durante el empleo de las tecnologas de la
informacin. DIGENES es una aplicacin que permite la verificacin del estado de
conformidad entre lo establecido oficialmente en la base legal de la Seguridad de las
Tecnologas de la Informacin vigente en el pas y los controles implementados en un
Organismo o Entidad.
RiesgosTI: Es una herramienta que permite la evaluacin y gestin de los riesgos en
Tecnologas de la Informacin est implementada en el lenguaje de programacin Java
por su potencia para desarrollar aplicaciones en cualquier mbito, su dinamismo y su
propsito general, adems de incorporar una base de datos en MySql.
PROTINC. Protinc. Mantenimiento mnimo de las instalaciones de proteccin contra
incendios. Esta aplicacin informtica facilita cumplir con el mantenimiento de los
equipos de lucha contra incendios. De forma sencilla y rpida y siguiendo el Reglamento
de Instalaciones de Proteccin contra Incendios permite determinar el incumplimiento
del mantenimiento de los equipos de lucha contra incendios.

AUDAP Software de auditora basada en riesgos para procesos de negocio, la

infraestructura de TI y los sistemas de informacin catalogodesoftware.com

EXAMINER Software para examinar los logs de una red Windows y extraer los registros
que tengan impacto en la seguridad filetransit.com
WORKING PAPERS Software para resolver la funcionalidad requerida para la
elaboracin y manejo de los papeles de trabajo de una auditoria. auditnet.org
SECURITY AUDITOR UNIX Software para realizar un gran nmero de pruebas a la
seguridad de integridad de un sistema UNIX en forma rpida y eficiente netiq.com
METHOD WARE Implementa estrategias para la administracin del riesgo, gestin de
controles en cualquier tipo de auditorias: integral, interna, externa y de calidad
gitltda.com
DRIVERSCANNER Esta til aplicacin buscar en su PC para todos los controladores
instalados y, a continuacin referencia cruzada de estos contra la biblioteca autorizada,
cuando DriverScanner identifica controladores obsoletos, entonces le dar las
herramientas para actualizar su PC con las versiones ms recientes, por lo que mejora
el rendimiento y la estabilidad de su computadora y sus perifricos liutilities.com
WINAUDIT est diseado para producir una auditora completa con un solo clic de un
botn, asegurando resultados se obtienen en el mnimo tiempo posible. El programa es
pequeo y autnomo, sino que se puede ejecutar desde un disquete, unidad USB o
enviarse por e-mail que te permite auditora casi cualquier ordenador Windows con
prcticamente sin ningn esfuerzo en unos pocos segundos. dodownload.com

CONCLUSIONES
Podemos concluir que la evaluacin de riesgos es muy importante para un nuevo
modelo de seguridad de una organizacin ya que con ella podremos saber los
aspectos conocidos o como aquellos no convencionales, la evaluacin de riesgos
informticos es un proceso que comprende la identificacin de activos informticos, sus
vulnerabilidades y amenazas a los que se encuentran expuestos as como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, por eso
debemos tener en cuenta que la explotacin de un riesgo causara daos o prdidas
financieras o administrativas a una empresa u organizacin, se tiene la necesidad de
poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante
la aplicacin de controles.
Dichos controles, para que sean efectivos, deben ser implementados en conjunto
formando una arquitectura de seguridad con la finalidad de preservar las propiedades
de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

REFERENCIAS

Scribd.com (2015). Riesgos Informticos. Recuperado el 22 de Agosto del 2015

de: https://es.scribd.com/doc/29676926/RIESGOS-INFORMATICOS

Segu-info.com (2015) Seguridad Informatica / Evaluacin de Riesgos .

Recuperado el 22 de Agosto del 2015 de:
www.segu-info.com.ar/politicas/riesgos.html

Cyta.com (2015). Metodologa de Anlisis de Riesgos Informticos.

Recuperado el 22 de Agosto del 2015 de:
www.cyta.com.ar/ta1001/v10n1a3.html