Академический Документы
Профессиональный Документы
Культура Документы
Comunicacin I
Semestre I - 2016
AVANCE
Unidades de Aprendizaje
Unidad 1
Introduccin a
la Seguridad
Informatica
Unidad 2
Anlisis y
Gestion de
Riesgos
La Administracin de
Riesgos
Anlisis de riesgo
Roles y responsabilidades
Proceso de
administracin del riesgo
Unidad 3
Poltica y Plan
de Seguridad
Unidad 4
Control de
Acceso
Unidad 5
Mtodos y
modelos de
defensa
Definicin de riesgo
La organizacin Internacional por la Normalizacin (ISO) define riesgo tecnolgico como:
Probabilidad de que una amenaza se materialice, utilizando vulnerabilidades
existentes de un activo o grupo de activos, generando perdidas o daos.
Sistemas
El producto
reas Importantes
Desarrollan procesos crticos de negocio
Comprometen el prestigio de la organizacin
Estn sujetas a regulaciones (Superintendencias, Entidades de gobierno)
El anlisis de Riesgos en cada caso puede ser desarrollado de una forma diferente
Cmo aterrizo la metodologa a la realidad de mi negocio?
ISO 31.000
ISO 27005
Mantener y
mejorar
controles de
riesgo
Evaluar y valorar
el riesgo
Supervisar y
revisar el riesgo
Seleccionar,
implementar y
operar controles
para tratar el
riesgo
ISO 27005
Una vez conocidos los riesgos la organizacin puede decidir qu medidas tomar:
Asumir el riesgo, ya que el costo de mitigar estos riegos es ms alto que corregir las
consecuencias de estos riesgos.
Mitigar el riesgo, mediante la implantacin y mantenimiento de controles de seguridad.
Transferir el riesgo, por ejemplo la contratacin de un seguro.
A las medidas o salvaguardas que se toman para disminuir un riesgo se les denomina controles.
Riesgo
Probabilidad
Impacto o Consecuencia
Evento
Amenaza
Vulnerabilidad
Incidente
Amenaza
Vulnerabilidad
Evento: Una ocurrencia identificada en un sistema, servicio, o cualquier otro elemento. Esto
indica una posible brecha de cumplimiento de las polticas, o fallas en medidas ya implementadas
Incidente: Esta indicado por un simple o por mltiples eventos no esperados. Esto tiene una alta
probabilidad de comprometer la continuidad de las operaciones del negocio.
Anlisis de Riesgo
Evaluacin de Riesgo
Anlisis de riesgo: Uso sistemtico de informacin para identificar fuentes y estimaciones del
riesgo.
Transferencia del riesgo: Es la decisin de compartir con un tercero los escenarios de perdida o
beneficio asociados a un riesgo
Mitigacin del riesgo: Medidas tomadas para reducir el efecto de una consecuencia o impacto
no deseado.
Medicin de
Riesgos
Es necesario tratar el
riesgo?
Establecimiento de
prioridades
Manipulacin de
Riesgos
Prevencin
Reduccin
Transferencia
Aceptacin
Aceptacin de
Riesgos
El riesgo esta por
debajo de cierto valor
No es manejable
No es aconsejable
tratarlo
Decisiones
administrativas
Determinar el impacto de las amenaza, con el objeto de establecer una priorizacin de las
mismas.
Recomendar controles que disminuyan la probabilidad de los riesgos.
Documentar el proceso.
Luego de haber identificado la magnitud de los riegos, se procede a realizar la bsqueda de los
elementos por medio de los cuales se podrn manejar dichos riesgos, segn los siguientes puntos:
Conocer
Se debe realizar un compendio de todos los riesgos y sus caractersticas a fin de poder determinar el nivel de impacto de cada uno de
ellos.
Evaluar
Se deben establecer mrgenes a objeto de llevar adelante una poltica de control adecuada.
Mitigar
Tiene por objetivo reducir los riesgos por medio de soluciones que apoyen al manejo de los mismos.
Transferir
Determinar el lmite de manejos de los riesgos, verificar que tipos de factores asociados a los riesgos pueden ser cubiertos por la
empresa.
En este sentido, es imprescindible que las organizaciones cuenten con herramientas que permitan:
Definir criterios a partir de los cuales se admitirn riesgos; dichos criterios dependern de sus
estrategias, plan de negocios y resultados esperados.
Definir a travs de un mapa de riesgo, reas de exposicin a los riesgos inherentes a sus
actividades, en consecuencia establecer el riesgo mximo aceptable as como el rea no
aceptable.
Monitoreo y medicin de todas las categoras de riesgo que pueden impactar el valor de la
entidad en forma global, por unidad de negocios, por productos y por procesos.
Estos puntos estn relacionados con la identificacin y evaluacin de riesgos, la matriz de riesgos
constituye una herramienta til en el proceso de evaluacin continua de las estrategias y manejo de
riesgos.
Debe ser una herramienta flexible que documente los procesos y evale de manera integral
el riesgo de una institucin, a partir de los cuales se realiza un diagnstico objetivo de la
situacin global de riesgo de una entidad.
Exige la participacin activa de las unidades de negocios, operativas y funcionales en la
definicin de la estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo
permite hacer comparaciones objetivas entre proyectos, reas, productos, procesos o
actividades. Todo ello constituye un soporte conceptual y funcional de un efectivo Sistema
Integral de Gestin de Riesgo