Scribd Logo
Carica

Benvenuto in Scribd!

  • 1 Analisis de Riesgos

    Caricato da

    ciroradi
    35 visualizzazioni20 pagine
    Análisis de riesgos en la auditoría informática

    Copyright

    © © All Rights Reserved

    Formati disponibili

    PPT, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Análisis de riesgos en la auditoría informática

    Copyright:

    © All Rights Reserved
    Scarica in formato PPT, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    35 visualizzazioni20 pagine

    1 Analisis de Riesgos

    Caricato da

    ciroradi
    Análisis de riesgos en la auditoría informática

    Copyright:

    © All Rights Reserved
    Scarica in formato PPT, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 20

    ANLIS DE

    RIESGOS
    Mgs. Ciro D. Radicelli G.

    QU ES UN RIESGO?
    RAE:

    contingencia

    o proximidad de un dao;

    Cada

    una de las contingencias que pueden ser objeto de un


    contrato de seguro.
    Contexto Empresarial:
    Los

    factores, acontecimientos, tanto internos como externos, a


    los que est expuesta la empresa y, que ponen en peligro la
    consecucin de los objetivos.
    Dentro del mbito informtico:
    Amenaza,

    determinando el grado de exposicin a la ocurrencia


    de una prdida (el riesgo de perder la informacin de un disco
    duro por un virus, por ejemplo).

    QU ES UN RIESGO?

    Dentro de todas las definiciones existentes se pueden


    identificar varios elementos comunes como:

    Activo,
    Amenaza,
    Impacto,
    Probabilidad,
    Vulnerabilidad

    RELACIN DE CONCEPTOS DE
    RIESGO

    EL ANLISIS DE RIESGOS
    Magerit:
    Proceso

    sistemtico para estimar la magnitud de los riesgos a


    que est expuesta una Organizacin.
    NORMA ISO 27002
    Proceso

    mediante el cual se identifican las amenazas y las


    vulnerabilidades en una organizacin, se valora su impacto y
    la probabilidad de que ocurran.

    OBJETIVOS DEL ANLISIS DE


    RIESGOS

    Identificar, evaluar y manejar los riesgos de seguridad.


    Estimar la exposicin de un activo a una amenaza
    determinada.
    Determinar cul combinacin de medidas de seguridad
    proporcionar un nivel de seguridad razonable a un costo
    aceptable.

    Tomar mejores decisiones en seguridad informtica.

    Enfocar recursos y esfuerzos en la proteccin de los activos.

    FASES DEL ANLISIS DE RIESGOS


    Aunque existen muchas metodologas para el anlisis de
    riesgos, se han considerado las siguientes ms importantes.
    Determinar
    Valorar

    los activos relevantes para la Organizacin.

    los activos identificados.

    Determinar

    activos.

    las amenazas a las que estn expuestos los

    Estimar

    el impacto de la amenaza.

    Calcular

    el nivel de riesgo. Estimar el riesgo.

    Cabe destacar que el anlisis de riesgos clasifica los


    riesgos identificados y proporciona datos para la
    evaluacin y el tratamiento de los mismos.

    MARCO DEL ANLISIS DE RIESGOS

    GESTIN DE RIESGOS
    Definicin bsica:
    Proceso

    que permite tratar los riesgos identificados y mitigar


    su impacto.
    Definicin ms amplia:
    Seleccin

    e implantacin de las medidas de seguridad o


    salvaguardas adecuadas para conocer, prevenir, impedir, o
    controlar los riesgos identificados y as reducir al mnimo su
    potencialidad o sus posibles perjuicios. La gestin de riesgos
    se basa en los resultados obtenidos en el anlisis de los
    riesgos.

    FASES DE LA GESTIN DE RIESGOS


    De forma general la gestin de riesgos tiene las siguientes
    fases:
    Determinacin

    de los criterios de aceptacin del riesgo.

    Determinacin

    de las medidas de seguridad necesarias

    (establecimiento

    de salvaguardas).

    Estimacin

    del impacto residual.

    Estimacin

    del nivel de riesgo residual .

    destacar que la gestin de riesgos permite tomar


    las decisiones necesarias para el tratamiento de los
    riesgos, definiendo las salvaguardas necesarias para
    mitigar o impedir los riesgos identificados.
    Cabe

    MARCO DE LA GESTIN DE
    RIESGOS

    CUNDO PROCEDE ANALIZAR Y


    GESTIONAR LOS RIESGOS?

    Realizar un anlisis de riesgos es laborioso y costoso.


    Levantar un mapa de activos y valorarlos requiere la
    colaboracin de muchos perfiles dentro de la Organizacin,
    desde los niveles de gerencia hasta los tcnicos.
    La nica forma de afrontar la complejidad es
    centrarse en lo ms importante (mximo impacto,
    mximo riesgo) y obviar lo que es secundario o
    incluso despreciable.

    METODOLOGAS Y ESTNDARES
    PARA EL ANLISIS Y GESTIN DE
    RIESGOS
    Existen estndares y/o metodologas orientadas a la gestin

    de riesgos de carcter general, es decir que son aplicables a


    cualquier rea o sector como es el caso del estndar
    AS/NZS ISO 31000:2009 y otras que son aplicables a
    sectores especficos, siendo nuestro objetivo aquellas que
    tienen que ver en concreto con las TICs (sistemas de
    informacin, sistemas informticos).

    NORMA AS/NZS ISO 31000:2009

    Surge como remplazo a la norma AS/NZS 4360:2004, estndar


    australiano para la gestin de riesgos ampliamente conocido y
    utilizado a nivel mundial.
    Ha sido elaborada con participacin conjunta entre la
    Organizacin Internacional para la Estandarizacin - ISO y el
    Comit de Normas de Australia / Nueva Zelanda.
    Dentro de las novedades de esta versin se han incorporado
    algunos conceptos como:

    Define el riesgo como un efecto de incertidumbre en el logro de los


    objetivos.
    Los principios que recomienda seguir por las organizaciones son ms
    explcitos que su antecesor AS/NZS 4360:2004.
    Aconseja integrar en forma explcita el mejoramiento continuo de la
    estructura de administracin de riesgo.

    NORMA AS/NZS ISO 31000:2009

    EL ANLISIS DE RIESGOS DENTRO


    DE UNA AUDITORA INFORMTICA

    Como sabemos las organizaciones tienden a tener una mayor


    dependencia de las TICs y los sistemas informticos, lo cual
    hace que se hagan inversiones importantes en
    infraestructura tecnolgica para soportar sus procesos
    de negocio, que a su vez tambin requiere de una
    adecuada gestin.
    Es as que la auditora informtica y el anlisis de riesgos han
    sido los mtodos usados comnmente de forma independiente
    para evaluar los sistemas de informacin, cada una con un
    enfoque diferente.
    De un lado la auditora informtica es un proceso de
    revisin y verificacin y el anlisis de riesgos un
    proceso de diagnstico y revisin.

    EL ANLISIS DE RIESGOS DENTRO


    DE UNA AUDITORA INFORMTICA

    Como sabemos las organizaciones tienden a tener una mayor


    dependencia de las TICs y los sistemas informticos, lo cual
    hace que se hagan inversiones importantes en
    infraestructura tecnolgica para soportar sus procesos
    de negocio, que a su vez tambin requiere de una
    adecuada gestin.
    Es as que la auditora informtica y el anlisis de riesgos han
    sido los mtodos usados comnmente de forma independiente
    para evaluar los sistemas de informacin, cada una con un
    enfoque diferente.
    De un lado la auditora informtica es un proceso de
    revisin y verificacin y el anlisis de riesgos un
    proceso de diagnstico y revisin.

    EL ANLISIS DE RIESGOS DENTRO


    DE UNA AUDITORA INFORMTICA

    La auditora informtica slo identifica el nivel de


    exposicin por la falta de controles, mientras que el
    anlisis de riesgos facilita la evaluacin de los
    riesgos y recomienda acciones en base al
    coste/beneficio de las mismas.

    AUDITORA INFORMTICA CON UN


    ENFOQUE DE ANLISIS DE RIESGOS

    METODOLOGAS Y ESTNDARES
    PARA EL ANLISIS Y GESTIN DE
    RIESGOS ACTIVIDAD EN CLASE
    Consultar

    sobre las siguientes metodologas y estndares


    para el anlisis y la gestin de riesgos.

    Norma UNE 71504:2008.- Metodologa de anlisis y gestin de


    riesgos para los sistemas de informacin.
    Magerit.- Metodologa de Anlisis y Gestin de Riesgos de los
    Sistemas de Informacin
    OCTAVE
    ISO/IEC 27005:2011.- Tecnologas de la informacin - Tcnicas de
    seguridad- Gestin del riesgo de seguridad de la informacin.
    MEHARI.- Mtodo Armonizado de Anlisis de Riesgos.
    CRAMM-CCTA.- Risk Analysis and Management MethodologyMetodologa para el anlisis y la gestin de riesgos.

    Potrebbero piacerti anche