Gestin de

Riesgos de IT
Asegurar que el participante
tenga los conocimientos
necesarios para gestionar los
riesgos por el uso de la
tecnologa
 Objetivo

Asegurar una correcta evaluacin de riesgos por el

uso de las tecnologas de informacin.
 Riesgo

Riesgo es la probabilidad de que un amenaza se

aproveche de una vulnerabilidad y que cause
prdidas financieras o daos patrimoniales a la
Empresa, a su personal, activos o imagen en
general.

4
 Universo de Riesgos
Riesgos Externos
Estrategicos
Riesgos
1. Industria
2. Economia
3. Cambios polticos
Riesgos de Procesos
11. Satisfaccin de clientes
12. Falla de Productos
Operaciones
Riesgos de
13. Cadena de Suministro
14. Sourcing
15. Concentracin de
Proveedores
16. Outsourcing
17. Ciclo de Produccin
18. Perdida catastrofica
19. Ejecucin de Procesos
Riesfos de Caja
33. Flujo de Caja/Liquidez
34. Disponibilidad de Capital
35. Tasas de interes
36. Tipo de cambio
Riesgos Financieros
40. Contabilidad
41. Presupuestos
42. Tributario
Fuente: Grand Thornton
4. Competidores
5. Preferencia de consumidores
Compliance Risks
20. Politicas y procedimientos
21. Ambientales
22. Contratos
23. Legal y regulatorio
Riesgos de Credito
37. Capacidad de Crdito
38. Concentracin de Crdito
39. Credit default
Riesgos operacionales
43. Precios
44. Performance
45. Portafolio
Riesgos Internos
6. Market share 9. Enfoque estrategico
7. Reputacin 10. Confianza de los
8. Marca inversionistas
Riesgos del personal
24. Recursos Humanos
25. Salud Ocupacional
26. Autoridad
27. Integridad
28. Liderazgo/Empowerment
29. Comunicaciones
30. Cultura
31. Performance
32. Capital de conocimiento
Riesgos tecnolgicos
46. Infraestructura de Sistemas
47. Acceso a Sistemas
48. Disponibilidad de Sistemas
49. Integridad de datos
50. Relevancia de datos
5
 Apetito(Nivel) de Riesgo
Es el nivel de riesgo mximo aceptable.

Intuitivamente la cultura de la organizacin nos permite saber si

es una organizacin en la cual sus ejecutivos son adversos al
riesgo o tomadores de los mismos.
Sin embargo este tema es lo suficientemente importante para
que se explicite en una poltica y se eviten colisiones entre reas
con diverso apetito de riesgo.

6
 Tolerancia al riesgo

El nivel mximo de riesgo aceptable debe tener una tolerancia

ya que en caso contrario limitara las decisiones, o se eludira el
nivel mximo en forma arbitraria.

La tolerancia al riesgo es el nivel aceptable de desviacin en

relacin con el logro de los objetivos.

7
 Tratamiento de riesgos

Cesar la actividad que da origen al riesgo.

Transferir el riesgo a un tercero.

Reducir el riesgo a travs de mecanismos de control apropiados.

Aceptar el riesgo.

8
 Transferencia del Riesgo

El riesgo puede ser reducido a niveles aceptables

transfirindolo a otra entidad.
Los riesgos pueden ser transferidos mediante un contrato a
un proveedor de servicio u otra entidad.
Tambien, el riesgo es transferido a una Compaa de Seguros.
El costo de mitigar el riesgo no debe exceder el valor del
activo protegido.

9
Proceso de Gestin del Riesgo

10
 Gestin del Riesgo

La Gestin del Riesgo es el proceso de asegurar que el

impacto de las amenazas que pudieran explotar las
vulnerabilidades estn dentro de los limites aceptables
y a costos aceptables.
En este nivel, esto se logra mediante un equilibrio
entre la exposicin al riesgo y los costos de mitigacin,
as como mediante la implementacin de acciones
preventivas y controles apropiados.

11
Framework de riesgo: COSO ERM

Detalla los componentes esenciales de la

Gestin de Riesgo y el contexto en que
tales componentes son eficazmente
implementados.

12
Anlisis de Riesgos

13
 Anlisis de Riesgo
Se recomienda el uso y adaptacin de algn modelo de
referencia:

National Institute of Standards and Technology Special

Publication SP 800-30.

OCTAVE

MAGERIT

ISM3

14
 Propsito del Anlisis de Riesgos
Priorizar la planificacin y la asignacin de recursos.

Identificar y mitigar las exposiciones.

Identificar las amenazas, riesgos y vulnerabilidades.

15
 Marco de anlisis de Riesgo

Overview of the Risk Management Process

Source: IT Governance Institute 16

 I. Identificacin de Activos
No es posible proteger lo que no se conoce.

Inventario de Activos de T.I.

Clasificacin de Activos T.I.
Identificacin de propietarios de los Activos de T.I.

17
 Identificacin de Activos
Los activos de Informacin pueden ser internos o
proporcionados por entidades externas a la
Organizacin.

Se necesita conocer todos los activos ya que estos

deben ser protegidas contra amenazas.

18
 Tipos de Activos
Sistemas de Informacin
Base de Datos
Media
Licencias
Interfaces
Servidores
PCs / Laptops
Disp. mviles
Perifricos
Equipos de comunicacin
Equipos de Proteccin elctrica
Contratos
Documentacin
Personal 19
 Propietario
Cada proceso de negocio o en el peor de los
casos cada sistema informtico ( mdulo) tiene
un propietario.
El propietario es el responsable de las
especificaciones funcionales, de los datos que se
manejan y de autorizar el uso del sistema.
 Custodio
La Gerencia de T.I. custodia los recursos
informticos incluyendo los datos que se
encuentran en los medios bajo su control con
base en las especificaciones del propietario.
Ejemplo Identificacin

22
 Clasificacin Activos
La clasificacin de los activos de TI normalmente se
basa en la criticidad.

La clasificacin reduce el riesgo de una proteccin

insuficiente y el costo de sobreproteger los activos
de Informacin alineando la seguridad a los
objetivos de negocio.

Las clasificaciones se usan para determinar los

niveles de acceso

23
 2. Amenazas
Un aspecto clave en proteger los activos es el entendimiento
de las amenazas que los activos de T.I enfrentan.

Se debe priorizar las necesidades de confidencialidad,

integridad y disponibilidad de la informacin de la
Organizacin.

Cuando se evalan las amenazas, vulnerabilidades e impactos

que la informacin enfrenta, se debe desarrollar e
implementar practicas de seguridad que las mitiguen.

24
 Categoras de Amenazas
Desastres Naturales De origen industrial

Fuego Fuego
Daos por agua Dao por agua
Desastres Naturales Desastres industriales
Contaminacin mecnica
Contaminacin electromagntica
Averia de origen fsico / lgico
Corte de suministro elctrico
Condiciones inadecuadas de
temperatura / humedad
Fallas en comunicaciones
Interrupcin de servicios esenciales
Degradacin de soportes de
almacenamiento
Emanaciones electromagnticas
25
Fuente: Magerit V3 - : Metodo
 Categoras de Amenazas
Errores y fallos no intencionados Ataques intencionados

Errores de usuarios Manipulacin de configuracin

Errores del administrador Suplantacin de identidad de usuario
Errores de monitoreo Abuso de privilegios de acceso
Errores de configuracin Uso no previsto
Deficiencias en la Empresa Difusin de software malicioso
Difusin de software daino Re-encaminamiento de mensajes
Errores de re-enrutamiento Alteracin de secuencia
Escapes de Informacin Acceso no autorizado
Alteracin de la informacin Anlisis de trfico
Introduccin de informacin incorrecta Repudio
Degradacin de la informacin Interceptacin de comunicaciones
Destruccin de la informacin Modificacin de informacin
Difusin de software daino Introduccin de falsa informacin
Vulnerabilidades de programas Corrupcin de informacin
Errores de mantenimiento / actualizacin de programas. Destruccin de informacin
Errores de mantenimiento / actualizacin de equipos. Divulgacin de informacin
Caida del sistema por agotamiento de recursos. Manipulacin de programas
Indisponibilidad del personal. Denegacin de servicio
Robo
Ataque destructivo
Ocupacin enemiga
Indisponibilidad del personal
Extorsin
Ingenieria social 26
Fuente: Magerit V3 - : Metodo
 Asociacin de Amenazas a Activos TI

27
Fuente: Moore Stephens - Metodologia para el anlisis de riesgo
 Asociacin de Amenazas a Activos TI

28
Fuente: Moore Stephens - Metodologia para el anlisis de riesgo