tecnologia informatica 2.0

8/16/2019 tecnologia informatica 2.0

http://slidepdf.com/reader/full/tecnologia-informatica-20 1/31

Tecnologías de Información y

Comunicación ISemestre I - 2016



AVANCE

Unidades de Aprendizaje

Unidad 1

• Introducción ala SeguridadInformatica

Unidad 2

• Análisis yGestion deRiesgos

Unidad 3

• Política y Plande Seguridad

Unidad 4

• Control deAcceso

Unidad 5

• Métodos ymodelos dedefensa

La Administración deRiesgos

Análisis de riesgo Roles y responsabilidades Proceso de

administración del riesgo



Unidad 2: Análisis y Gestion de Riesgos

CONTENIDOS

La Administración de Riesgos

Análi sis de r iesgo

Roles y responsabilidades

Proceso de administ ración del riesgo




Los tiempos actuales se caracterizan por: Un explosivo aumento de las tecnologías de la información en los últimos años.

Un alto nivel de inversión en tecnología. Mayor grado de complejidad de la tecnología.

Y es en este entorno creciente y complejo que los responsables de gestionar las herramientastecnológicas deben poder diagnosticar los riesgos que puedan generarse.

Definic ión de riesgo

La organización Internacional por la Normalización (ISO) define riesgo tecnológico como:

“ Probabilidad de que una amenaza se materialice, utilizando vulnerabilidadesexistentes de un activo o grupo de activos, generando perdidas o daños”.




Modelo de Riesgo

De la definición anterior se pueden identificar varios elementos:

o Probabilidad: Es la probabilidad de ocurrencia de una amenaza, puede ser cuantitativa ocualitativa, no debe considerar la existencia de acciones paliativas de las amenazas.

o Amenazas: Siempre existen y son aquellas acciones que pueden ocasionar consecuenciasnegativas en la empresa.

o Vulnerabilidades: Son ciertas condiciones inherentes a los activos que facilitan lamaterialización de las amenazas.

o

Activos: Son aquellos que se relacionan con los sistemas de información por ejemplohardware, software, etc.

o Impactos: Son las consecuencias de la ocurrencia de las amenazas, son siempre negativos.




Análi sis de ri esgo informát ico

Es una Herramienta de diagnostico para poder establecer la exposición real a los riegos porparte de una organización, con el fin de generar controles que minimicen los efectos de losriesgos.

Los resultados del análisis de riesgo constituyen una guía para que la organización puedetomar decisiones sobre si es necesario implantar mecanismos de seguridad.

El nivel de riesgo al que está sometido una organización nunca puede erradicarsetotalmente.

Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que son precisosdedicar para minimizar los riesgos.

También es importante establecer un nivel de riesgo aceptable.





¿Dónde aplico un análisis de riesgos?

Áreas Importantes

Desarrollan procesos críticos de negocio Comprometen el prestigio de la organización Están sujetas a regulaciones (Superintendencias, Entidades de gobierno)

Sistemas

El producto





El análisis de Riesgos en cada caso puede ser desarrollado de una forma diferente

¿Cómo aterrizo la metodología a la realidad de mi negocio?

Alternativas de Métodos de RiesgoMétodos Generales

ISO 31.000ISO 27.005…

…





ISO 31.000





ISO 27005 Evaluar y valorarel riesgo

Seleccionar,implementar y

operar controlespara tratar el

riesgo

Supervisar y

revisar el riesgo

Mantener ymejorar

controles deriesgo





ISO 27005




Admini str aci on de r iesgo informático

Una vez conocidos los riesgos la organización puede decidir qué medidas tomar:

Asumir el riesgo, ya que el costo de mitigar estos riegos es más alto que corregir lasconsecuencias de estos riesgos.

Mitigar el riesgo, mediante la implantación y mantenimiento de controles de seguridad.

Transferir el riesgo, por ejemplo la contratación de un seguro.

A las medidas o salvaguardas que se toman para disminuir un riesgo se les denomina controles.




Definic iones básicas

RiesgoProbabilidadImpacto o Consecuencia

Evento Amenaza

VulnerabilidadIncidente

AmenazaVulnerabilidad




Definic iones básicas

Riesgo : Combinación de la probabilidad de evento o incidente y su impacto en la organización

Probabilidad : La oportunidad de que algo ocurra. Es la medición de la oportunidad

Impacto o Consecuencia : Efecto causado en los objetivos de la organización.

Evento : Una ocurrencia identificada en un sistema, servicio, o cualquier otro elemento. Estoindica una posible brecha de cumplimiento de las políticas, o fallas en medidas ya implementadas

Incidente : Esta indicado por un simple o por múltiples eventos no esperados. Esto tiene una altaprobabilidad de comprometer la continuidad de las operaciones del negocio.

Amenaza : Un evento con la potencialidad de afectar negativamente la CID de la organización

Vulnerabilidad : Una debilidad que facilita la materialización de una amenaza. La situacióngenerada depende del contexto encontrado




Definiciones Avanzadas de Riesgo

Gestion del RiesgoEstudio del riesgo

Análisis de RiesgoEvaluación de Riesgo

Tratamiento del riesgo

Aceptación del riesgoEludir el riesgoTransferencia del riesgoMitigación del Riesgo

Comunicación del riesgoRevisión del riesgo





Gestion del Riesgo : Actividades Coordinadas para dirigir y controlar una organización en el manejo del riesgoLa cultura , procesos y estructura que permita manejar efectos adversos

Aplicación sistemática de las políticas de gestión, procedimientos y practicas de las tareasasociadas a comunicar, consultar, establecer el contexto, identificar, analizar, evaluar, tratar,monitorear y revisar el riesgo.

Estudio del riesgo: Proceso completo de análisis de riesgo y evaluación de riesgo.

Análi si s de ri esgo : Uso sistemático de información para identificar fuentes y estimaciones delriesgo.

Evaluación del riesgo : Proceso de comparar el riesgo estimado contra un CRITERIO DE

RIESGO, con el objetivo de determinar la significancia del riesgo.





Tratamiento del r iesgo : Proceso de selección e implementación de medidas para modificar unriesgo estimado.

Aceptación del ri esgo: Es la decisión de aceptar el riesgo.

Eludir el riesgo : Es la decisión de no involucrarse con el riesgo.

Transferencia del r iesgo : Es la decisión de compartir con un tercero los escenarios de perdida obeneficio asociados a un riesgo

Mitigación del riesgo : Medidas tomadas para reducir el efecto de una consecuencia o impactono deseado.

Comunicación del riesgo : Intercambio de información acerca de un riesgo. Esta comunicaciónse realiza con los tomadores de decisiones o los participantes mas significativos.

Revisión del riesgo : Actividades estructuradas para determinar la adecuación y efectividad de lagestión del riesgo y sus políticas y procedimientos establecidos.




Admini str aci on de r iesgo informático

Medición deRiesgos

• ¿Es necesario tratar elriesgo?

• Establecimiento deprioridades

Manipulación deRiesgos

• Prevención• Reducción• Transferencia• Aceptación

Aceptación deRiesgos

• El riesgo esta pordebajo de cierto valor

• No es manejable• No es aconsejable

tratarlo• Decisiones

administrativas




Etapas del Análisis de riesgo informático

→ Definir los activos informáticos a analizar.

→ Identificar las amenazas que pueden comprometer la seguridad de los activos.

→ Determinar la probabilidad de ocurrencia de las amenazas.

→ Determinar el impacto de las amenaza, con el objeto de establecer una priorización de lasmismas.

→ Recomendar controles que disminuyan la probabilidad de los riesgos.

→ Documentar el proceso.




Identificación de riesgos

Hay elementos que nos ayudan a identificar un riesgo, estos son:

Información disponibleTodo tipo de información, en un formato que permita el análisis sobre ella.

Análisis de entornoDeterminar donde se encuentra situado el riesgo, para poder atacar las causas y proteger a lasáreas potencialmente afectadas.

Revisión operaciónVerificar la forma de operar del riesgo, para poder determinar si el riesgo es efectivo o no.

Experiencia/historia/conocimientosReunir información relevante sobre experiencias o registros de información relacionada al riesgo.




Manejar los r iesgos

Luego de haber identificado la magnitud de los riegos, se procede a realizar la búsqueda de loselementos por medio de los cuales se podrán manejar dichos riesgos, según los siguientes puntos:

Conocer • Se debe realizar un compendio de todos los riesgos y sus características a fin de poder determinar el nivel de impacto de cada uno deellos.

Evaluar • Se deben establecer márgenes a objeto de llevar adelante una política de control adecuada.

Mitigar • Tiene por objetivo reducir los riesgos por medio de soluciones que apoyen al manejo de los mismos.

Transferir • Determinar el límite de manejos de los riesgos, verificar que tipos de factores asociados a los riesgos pueden ser cubiertos por laempresa.




Matriz de Riesgos

Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índolelos cuales influyen de distinta forma en los resultados esperados.

La capacidad de identificar estas probables eventualidades, su origen y posible impactoconstituye una tarea difícil pero necesaria para el logro de los objetivos.

En los últimos años las tendencias internacionales han registrado un importante cambiode visión en cuando a la gestión de riesgos: de un enfoque de gestión tradicional haciauna gestión basada en la identificación, monitoreo, control, medición y divulgación de losriesgos.




Matriz de Riesgos

Gestionar eficazmente los riesgos para garantizarresultados concordantes con los objetivosestratégicos de la organización, quizás sea uno delos mayores retos.

La gestión integral de los riesgos se vuelve partefundamental de la estrategia y factor clave deéxito en la creación de valor económico agregado.




Matriz de Riesgos

En este sentido, es imprescindible que las organizaciones cuenten con herramientas que permitan:

Definir criterios a partir de los cuales se admitirán riesgos; dichos criterios dependerán de susestrategias, plan de negocios y resultados esperados.

Definir a través de un mapa de riesgo, áreas de exposición a los riesgos inherentes a susactividades, en consecuencia establecer el riesgo máximo aceptable así como el área noaceptable.

Monitoreo y medición de todas las categorías de riesgo que pueden impactar el valor de laentidad en forma global, por unidad de negocios, por productos y por procesos.

Estos puntos están relacionados con la identificación y evaluación de riesgos, la “matriz de riesgos”constituye una herramienta útil en el proceso de evaluación continua de las estrategias y manejo deriesgos.




Matriz de Riesgos

¿Qué elementos deben considerarse en eldiseño de una matriz de riesgo?

A partir de los objetivos estratégicos y plan denegocios, la administración de riesgos debedesarrollar un proceso para la “identificación”

de las actividades principales y los riesgos a loscuales están expuestas; entendiéndose comoriesgo la eventualidad de que una determinadaentidad no pueda cumplir con uno o más de losobjetivos.




Matriz de Riesgos

Una vez establecidas todas las actividades, se deben identificar las fuentes o factoresque intervienen en su manifestación y severidad, es decir los llamados “factores deriesgo o riesgos inherentes” .

El riesgo inherente es intrínseco a toda actividad, surge de la exposición y la

incertidumbre de probables eventos o cambios en las condiciones del negocio o de laeconomía que puedan impactar una actividad.

El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra yun cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad.




Matriz de Riesgos

La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podríaser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta(5)),dependiendo de la combinación entre impacto y probabilidad.

En la siguiente gráfica se puede observar un ejemplo de esquema de valorización de riesgoen función de la probabilidad e impacto de tipo numérico con escala:




Matriz de Riesgos

Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de lagestión”, a fin de determinar cuán eficaces son los controles establecidos por laempresa para mitigar los riesgos identificados.

En la medida que los controles sean más eficientes y la gestión de riesgos pro-activa, elindicador de riesgo inherente neto tiende a disminuir. Por ejemplo una escala devaloración de efectividad de los controles podría ajustarse a un rango similar alsiguiente:




Matriz de Riesgos

Finalmente, se calcula el “riesgo neto o residual”, que resulta de la relación entre elgrado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgosestablecida por la administración.

A partir del análisis y determinación del riesgo residual los administradores pueden

tomar decisiones como la de continuar o abandonar la actividad dependiendo del nivelde riesgos; fortalecer controles o implantar nuevos controles; o podrían tomarposiciones de cobertura, contratando por ejemplo pólizas de seguro. Esta decisión estádelimitada a un análisis de costo beneficio y riesgo.




Matriz de Riesgos

Ejemplo para calcular el riesgo neto o residual utilizando escalas numéricas de posición de riesgo:

El cuadro se muestran los riesgosinherentes a una actividad o líneade negocio, el nivel o grado deriesgo ordenado de mayor a menornivel de riesgo (priorización); lasmedidas de control ejecutadas consu categorización promedio yfinalmente, se expone el valor delriesgo residual para cada riesgo y unpromedio total que muestra elperfil global de riesgo de la línea denegocio.

tecnologia informatica 2.0

Documents

Transcript of tecnologia informatica 2.0