ANÁLISIS DE RIESGOS

Universidad de Cartagena
Docente: Humberto Caicedo Blanco
hcaicedob@hotmail.com
hcaicedob@unicartagena.edu.co
 Análisis de Riesgos
– Elementos del Análisis:
1. ESCENARIO DE RIESGOS
2. Procesos, del Sistema, identificando
subsistemas
3. Priorización de procesos del Sistema
4. Conceptuar Cada Proceso en cada
subsistema o área.
5. Describir áreas de control, exposición o
Escenarios de riesgo
6. Riesgos inherentes a esa área, secuenciar
actividades sujetas a control
7. Elaborar Diagramas, algoritmos, Mapas del
subproceso.
 Análisis de Riesgos
• Sigue … Elementos del Análisis

8. Puntos Críticos /Áreas de Impacto

9. Causas de Riesgos
10. Amenazas
11. Riesgos Reales y Potenciales
12. controles Existentes Asociados
13. Proponer lista de controles Nuevos.
14. Valoración de Controles
15. Análisis, Diseño e Implementación de
Controles Apropiados
 Escenario de Riesgos
• Son módulos funcionales, divisibles del flujo de operaciones
en un sistema.

• El sistema global, es complejo de evaluar; segmentarlo en

áreas o funcionalidades pequeñas y homogéneas,
compuestas de actividades con propósito común, facilita su
estudio
Ej. CONTROLES EN APLICACIONES DE COMPUTADOR
11. ORIGEN Y PREPARACION DE DATOS
12. CAPTURA Y VALIDACION DE DATOS
13. PROCESAMIENTO Y ACTUALIZACION DE DATOS
14. SALIDAS DE ACTUALIZACION
15. INTEGRIDAD DEL SISTEMA Y DE LOS DATOS
16. ACCESO A Y SEGURIDAD DE LOS PROGRAMAS
17. ACCESO Y SEGURIDAD A LOS ARCHIVOS DE DATOS
18. CAMBIOS A LOS PROGRAMAS DE APLICACION
19. BACKUP Y RECUPERACION
110. TERMINALES Y COMUNICACIONES DE DATOS
111. DOCUMENTACION TECNICA Y DEL USUARIO
112. AUDITABILIDAD DE LA APLICACION.
113. UTILIZACION Y CONTROL DE RESULTADOS
 Riesgos Inherentes al Escenario
1. CONTABILIDAD ERRONEA O FALTA DE
RAZONABILIDAD DE LOS ESTADOS FINANCIEROS
2. DECISIONES ERRONEAS (INTEGRIDAD)
3. SANCIONES, MULTAS, CARCEL
(INCUMPLIMIENTO NORMAS LEGALES)
4. PERDIDA DE IMAGEN O CREDIBILIDAD
PUBLICA, REVELACION DE INFORMACION
5. DESVENTAJA ANTE LA COMPETENCIA O NO
UTILIZACION ADECUADA DE VENTAJAS COMPETITIVAS
6. PERDIDA DE ACTIVOS O PASIVOS
PERDIDA DE INGRESOS O EGRESOS
8. PERDIDAS POR ACTOS ILICITOS, FRAUDES
9. INTERRUPCION DEL NEGOCIO TOTAL O PARCIAL
10. COSTOS EXCESIVOS POR INEFICIENCIA
RIESGO: Es un evento nocivo, donde se pierde algo (ISACA)

RIESGO: Es un evento nocivo, que Impide el logro de los Objetivos

(ISO-31000)
 Diagramas de Procesos

No

Aspirante Entrega pro forma y

Inicio Diligencia Formato dinero Pro forma
de Pago Ok

Si

Se habilita Los recaudos El banco Cajero verifica el

PIN para con No pin diario envía dinero y sella la pro
inscripción ingresan al recaudos a la forma de inscripción
Sistema Universidad

Fin
 Identificar Lugares
o Aspectos Críticos
• Sobre el Diagrama de Flujo o algoritmo: marcar o
señalar debilidades, lugares donde se pueden presentar
fallas, debilidades aprovechables por intrusos, eventos
conducentes a errores y omisiones.
• Los puntos Críticos, suelen ser lugares, componentes de
hardware, código de software, dispositivos periféricos,
equipos de comunicaciones, presentes en procesos que
ofrecen algún tipo de debilidad en el mismo.
• Es necesario ubicarlos, para concentrar en ellos la
identificación de controles.
• Ejemplo: En seguridad Física para un
Departamento de Sistemas; un Aspecto Critico,
es la puerta de Acceso
 Identificar Las Causa de Riesgo
• Sobre los aspectos Críticos antes identificados, se debe
evaluar las posibles causas de riesgo, traducibles en
amenazas en los procesos.

• Las Causas de Riesgo: son fallas, errores,

defectos, omisiones o acciones, señalan
debilidades en procesos, o entornos
informáticos; no confundir con Amenazas:
• Ejemplo: En seguridad Física para un
Departamento de Sistemas; un Aspecto Critico,
es la puerta de Acceso, una causa de riesgo
suele ser: La fragilidad de la chapa y/o el
material de fabricación de la puerta, la ausencia
de cerraduras.
 Identificar Las Amenazas
• Sobre los aspectos Críticos antes identificados, se debe
evaluar las posibles causas de riesgo que se conviertan
en amenazas traducibles en riesgos reales.

• Las amenazas se presentan como eventos

lógicos o físicos generan, permiten o facilitan
fragilidades en los procesos.
• Ejemplo: En seguridad Física de un
Departamento de Sistemas, un Aspecto Critico,
es la puerta de Acceso, la causa de riesgo es
La chapa, el material de la puerta, la ausencia
de cerraduras, una Amenaza presente, acceso
Ilegal o ingreso no autorizado de personal.
 Identificar Riesgos Potenciales y Reales

• Sobre los aspectos antes identificados, determinar como

las amenazas y las posibles causas de riesgo se traducen
en riesgos reales.

• Las riesgos Comunes, Son acciones o eventos, que

debilitan procesos, activos físicos o lógicos en sistemas,
causando la perdida de Algo (Dinero, activos, otros) O
Impide Lograr el objetivo informatico

• Ejemplo: En seguridad Física de un

Departamento de Sistemas, un Aspecto Critico, es
la puerta de Acceso, la causa de riesgo es La
chapa y el material de la puerta, una Amenaza
suele ser: acceso Ilegal o ingreso no autorizado
de personal y el Riesgo es Perdida de Activos
 Riesgos Comunes – Procesos Informáticos
1. Negación de Servicio
2. Decisiones Erróneas (INTEGRIDAD)
3. Sanciones, Multas, Cárcel, (Incumplimiento Normas
Legales)
4. Perdida de Imagen O Credibilidad Publica.
5. Perdida de Información o Datos
6. Registro de Información Deficiente
7. Daño Físico en Hardware Software
8. Falta de Competencias profesionales, o Uso Indebido del
Saber, FRAUDES
9. Divulgación de información no autorizada.
10. Costos Excesivos por Reprocesamiento de Datos.
RIESGO: Es un evento nocivo, Impide o desvirtúa el logro
 Riesgos Comunes – Gerencia Informática
1. CONTABILIDAD ERRONEA O FALTA DE
RAZONABILIDAD DE LOS ESTADOS FINANCIEROS
2. DECISIONES ERRONEAS (INTEGRIDAD)
3. SANCIONES, MULTAS, CARCEL (INCUMPLIMIENTO
NORMAS LEGALES)
4. PERDIDA DE IMAGEN O CREDIBILIDAD PUBLICA,
5. DESVENTAJA ANTE LA COMPETENCIA O NO
UTILIZACION ADECUADA DE VENTAJAS COMPETITIVAS
6. PERDIDA DE ACTIVOS O PASIVOS
7. PERDIDA DE INGRESOS O EGRESOS
8. PERDIDAS POR ACTOS ILICITOS, FRAUDES
9. INTERRUPCION DEL NEGOCIO TOTAL O PARCIAL
10. COSTOS EXCESIVOS POR INEFICIENCIA
RIESGO: Es un evento nocivo, donde se pierde algo
 Riesgos Corporativos - Organización

8. LIQUIDEZ
9. MONEDA
10. MERCADO
11. OPERATIVO
12. SERVICIO AL CLIENTE
13. INCUMPLIMIENTO
14. LAVADO DE DINERO

RIESGO: Es un evento nocivo, Impide o distorsiona el logro

de objetivos de la Empresa
 Identificar controles Existentes
• Sobre los aspectos antes identificados, se debe determinar
cuales son los controles existentes en el proceso o evento
analizado.
• Los Controles existentes, deben ser localizados dentro del
evento o proceso estudiado; se debe realizar una lista de
todos los controles identificados.
• Ejemplo: En seguridad Física de un Departamento de
Sistemas, un Aspecto Critico, es la puerta de Acceso, la
causa de riesgo es La chapa y el material de la puerta, la
Amenaza suele ser: acceso Ilegal o ingreso no autorizado
de personal y el Riesgo es Perdida de Activos; Controles
existentes : la puerta, la chapa en ella, la ubicación, las
paredes, el numero de ventanas.
 Controles Propuestos
• se debe proponer un conjunto de controles posibles, faciliten mejorar
la protección del activo o evento analizado.

• Los controles propuestos, Escribir una lista con todos los controles
potenciales identificados; deben ser analizados y estudiados
metódicamente, usando técnicas facilitadoras de su evaluación y
adecuación.

• Ejemplo: En seguridad Física de un Departamento de

Sistemas, un Aspecto Critico, es la puerta de Acceso,
una causa de riesgo es la chapa y el material de la
puerta, una Amenaza puede ser acceso Ilegal o ingreso
no autorizado de personal y el Riesgo, es Perdida de
Activos, ; Controles existentes: la misma puerta, la chapa
en ella, la ubicación, las paredes, el numero de ventanas.
• Controles propuestos son chapa de seguridad adicional,
control de acceso biométrico, una reja metálica de
seguridad en la puerta, una puerta metálica, ….. .
 Ejercicio Taller
1.- Revise el Caso de Estudio, preparado a
manera de ejemplo, elabore
conclusiones.

2.- Elabore el análisis de Riesgos, Con base

en el sistema, propuesto para el
proyecto del Modulo.