Descripción: La métodología de evalución curricular
Descripción completa
Descripción completa
Descripción: parcial final
matriz de riesgos en la construcción de un hotelDescripción completa
Riesgos en la seguridad informaticaDescripción completa
Identificación de Peligros y Evaluacion de RiesgosDescripción completa
Descripción: Guia para evaluar los riesgos ambientales
seguridad e higiene industriaDescripción completa
Full description
examen para bachilleresDescripción completa
Descripción: unad
Descripción: it 8
Descripción: es una guia sencilla para poder identificar y evaluar los riesgos en una empresa
Descripción: Manual para evaluar los riesgos laborales, prevenir y evitar.
rubricaDescripción completa
rubricaDescripción completa
Descripción completa
UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS Facultad de Ciencias Económicas Administ!ati"as # Conta$les De%a!tamento de Contadu!&a '($lica # Finan)as Audito!&a de Sistemas de In*o!mación II
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
INDICE INTRODUCCIÓN
1
METODOLO+,A DE EVALUACIÓN DE RIES+OS DE TI
2
'ROCESO DE LA METODOLO+,A DE EVALUACIÓN DE RIES+O 3RIS- IT4
7 7 7
I2
+O5IERNO DEL RIES+O 62 A'ETITO DE RIES+O 7 TOLERANCIA 82 RES'ON RES'ONSA5 SA5ILI ILIDAD DADES ES 7 RENDIC RENDICIÓ IÓN N DE CUENT CUENTAS AS SO5RE LOS RIES+OS DE TI 92 SENSI5ILI:ACIÓN 7 COMUNICACIÓN ;2 CULTURA DE RIES+OS II2 EVALUACIÓN DE RIES+OS 62 COM'ONENTES DEL ESCENARIO DE RIES+O 82 DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN III2 RES'UESTA ANTE EL RIES+O 62 'RINCI'ALES 'RINCI'ALES INDICADORES DE RIES+O 82 RES'UESTA ANTE EL RIES+O 92 SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O CASOS 'R.CTICOS EVALUACIÓN DE RIES+OS DE TI A TRAV
10 10 11 12 12 14 15 15 15 16 17 17
17
23 28 33
5I5LIO+RAF,A
0
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
INDICE INTRODUCCIÓN
1
METODOLO+,A DE EVALUACIÓN DE RIES+OS DE TI
2
'ROCESO DE LA METODOLO+,A DE EVALUACIÓN DE RIES+O 3RIS- IT4
7 7 7
I2
+O5IERNO DEL RIES+O 62 A'ETITO DE RIES+O 7 TOLERANCIA 82 RES'ON RES'ONSA5 SA5ILI ILIDAD DADES ES 7 RENDIC RENDICIÓ IÓN N DE CUENT CUENTAS AS SO5RE LOS RIES+OS DE TI 92 SENSI5ILI:ACIÓN 7 COMUNICACIÓN ;2 CULTURA DE RIES+OS II2 EVALUACIÓN DE RIES+OS 62 COM'ONENTES DEL ESCENARIO DE RIES+O 82 DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN III2 RES'UESTA ANTE EL RIES+O 62 'RINCI'ALES 'RINCI'ALES INDICADORES DE RIES+O 82 RES'UESTA ANTE EL RIES+O 92 SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O CASOS 'R.CTICOS EVALUACIÓN DE RIES+OS DE TI A TRAV
10 10 11 12 12 14 15 15 15 16 17 17
17
23 28 33
5I5LIO+RAF,A
0
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
INTRODUCCIÓN Existen Existen diversas diversas metodologías metodologías para evaluar evaluar riesgos de TI y su adopi!n depende de las neesidades neesidades de ada organi"ai!n# organi"ai!n# tales tales metodologías metodologías representan representan una $erramienta muy %til& dado 'ue& permiten identi(iar los riesgos 'ue la organi"ai!n est) est) disp dispue uest sta a a u*r u*rir ir&& a eval evalua uarl rlos os y dar dar resp respue uest sta a a los los mism mismos os para para ontrarrestarlos+ ,entro de estas metodologías a*e menionar la -etodología de Evaluai!n de .iesgos de TI .I/ IT asado en IT# en la ual& se detalla de prinipio a (in los proesos 'ue de*e seguir una organi"ai!n 'ue deida adoptar este tipo de maro+ Esta metodología est) *asada en tres )m*itos de importania 1+
o*ie o*iern rno o del ries riesgo go
2+ Eval Evalua uai i!n !n del del .ie .iesg sgo o 3+ .esp .espue uest sta a ante ante el .ies .iesgo go
1
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
METODOLOGÍA DE EVALUACIÓN DE RIESGOS DE TI
METODOLOGÍA RISK IT (BASADO EN COBIT) DISE>ADO 7 CREADO 'OR ISACA os riesgos de TI son un omponente del universo de riesgos a los 'ue est) sometida una organi"ai!n+ tros de los riesgos a los 'ue una organi"ai!n se en(renta pueden ser riesgos estrat9gios& riesgos am*ientales& riesgos de merado& riesgos de r9dito& riesgos operativos y riesgos de umplimiento+ .I/ IT es el riesgo omerial& es deir& el riesgo de los negoios asoiados on el uso& la propiedad& la operai!n& la partiipai!n& la in(luenia y la adopi!n de TI dentro de una organi"ai!n+ /e ompone de eventos relaionados on TI 'ue podrían a(etar a la organi"ai!n+ Esto inluye tanto la (reuenia y la magnitud inierta& la reai!n de pro*lemas en el umplimiento de metas y o*:etivos estrat9gios& así omo la inertidum*re en la *%s'ueda de oportunidades+ os riesgos relaionados de TI existen& independientemente de si son desu*iertos o reonoidos por una organi"ai!n+ En este ontexto es importante identi(iar y gestionar potenialmente los asuntos importantes de riesgo de TI& a di(erenia del resto de riesgos& ya 'ue 9ste puede no ser renta*le+ El uso om%n y general de TI puede proporionar importantes *ene(iios a una organi"ai!n& pero tam*i9n implia riesgos+ ,e*ido a su importania para las organi"aiones& los riesgos relaionados on TI de*erían ser tratados omo los dem)s riesgos laves organi"aionales& tales omo el riesgo del merado& el riesgo de r9dito y otros riesgos operativos+
2
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
a metodología de .I/ IT llena los $ueos entre la gesti!n de los riesgos gen9rios& omo las metodologías del / E.- y ;/ < =>/ 4360& I/ 31000& el dominio *rit)nio ;.-/5 y maros de dominios espeí(ios+ ?roporiona de prinipio a (in& visi!n glo*al de todos los riesgos relaionados on el uso de las TI y un tratamiento igualmente minuioso de la gesti!n del riesgo& desde el tono y la ultura $asta las uestiones operativas+ En resumen& la metodología permitir) a las organi"aiones entender y gestionar todos los tipos importantes de riesgos de TI+ a metodología provee
@na metodología de proeso de punta a punta para gesti!n de riesgos de TI orreta+
rientai!n para los pro(esionales& inluyendo $erramientas y t9nias para entender y gestionar los riesgos onretos para las operaiones de negoio+
5ENEFICIOS 7 RESULTADOS a metodología de .I/ IT a*orda mu$as uestiones a las uales las organi"aiones se en(rentan $oy en día& es nota*le su neesidad de
@na visi!n preisa del presente y del (uturo pr!ximo so*re los riesgos relaionados on TI en toda la organi"ai!n y el 9xito on el 'ue la organi"ai!n se oupa de di$os riesgos+
rientai!n de prinipio a (in so*re la (orma de gestionar los riesgos relaionados on TI& m)s all) de medidas puramente t9nias de ontrol y de seguridad+
3
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
omprensi!n de !mo apitali"ar una inversi!n reali"ada en un sistema de ontrol interno de TI ya existente para gestionar los riesgos relaionados on TI+
En uanto a la evaluai!n y gesti!n de los riesgos de TI& la integrai!n on el riesgo glo*al y el umplimiento de las estruturas dentro de la organi"ai!n+
?romoi!n de la responsa*ilidad del riesgo y su aeptai!n en toda la organi"ai!n+
@n per(il de riesgo ompleto para me:or entender el riesgo y aprove$ar me:or los reursos de la organi"ai!n+
'RINCI'IOS DE LOS RIES+OS DE TI .I/ IT de(ine& de manera (undamentada& una serie de guías para la gesti!n e(ia" de los riesgos+ ,i$as guías son generalmente aeptadas so*re la *ase de los prinipios de la gesti!n del riesgo& 'ue se $an apliado en el ampo de las TI+ El modelo de proeso de .I/ IT est) diseAado y estruturado para 'ue las organi"aiones puedan apliar los prinipios en la pr)tia y omparar sus resultados+
4
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
a metodología de .I/ IT se re(iere a los riesgos de TI& en poas pala*ras& os riesgos organi"aionales relaionados on el uso de TI+
ada uno de estos prinipios se examina a ontinuai!n on m)s detalle 1+
a e(ia" gesti!n de la organi"ai!n de los riesgos de TI siempre se alinea on los o*:etivos de la organi"ai!n+
5
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
2+
El go*ierno e(ia" de la organi"ai!n on respeto a los riesgos de TI alinea la gesti!n de riesgos de relaionados on TI on el riesgo organi"aional en general on /+
3+
El go*ierno e(ia" de la organi"ai!n on respeto a los riesgos de TI e'uili*ra los ostos y *ene(iios de la gesti!n del riesgo+
4+
a direi!n e(ia" de los riesgos de TI promueve la omuniai!n a*ierta y :usta de los riesgos de TI+
5+
a gesti!n e(ia" de los riesgos de TI esta*lee el tono orreto de(iniendo y esta*leiendo las responsa*ilidades personales para el (unionamiento dentro de los niveles de tolerania aepta*les y *ien de(inidos+
6+
a gesti!n e(ia" de los riesgos promueve la me:ora ontinua y es una parte de las atividades diarias+
6
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
'ROCESO DE LA METODOLO+,A DE EVALUACIÓN DE RIES+O 3RIS- IT4 El modelo del proeso en la gesti!n de riesgos (i:a iertas atividades lave en una serie de proesos+ Estos proesos se agrupan en tres )m*itos+ I+
o*ierno del riesgo
II+
Evaluai!n del .iesgo
III+
.espuesta ante el .iesgo
I2
+O5IERNO DEL RIES+O El go*ierno de riesgo inluye los siguientes proesos 1+
El apetito del riesgo y la tolerania al riesgo
2+
.esponsa*ilidades y rendii!n de uentas so*re la gesti!n riesgos de TI
3+
/ensi*ili"ai!n y omuniai!n
4+
ultura del riesgo
62 A'ETITO DE RIES+O 7 TOLERANCIA El ;petito del riesgo y la tolerania son oneptos 'ue se utili"an on (reuenia+ ;lgunas personas utili"an indistintamente los dos oneptos& otros ven una lara di(erenia+ as de(iniiones de la metodología de .I/ IT son ompati*les on las de(iniiones de /+
6262
A%etito de Ries1o
El apetito de riesgo es la antidad de riesgo 'ue una entidad est) dispuesta a aeptar uando se trata de alan"ar sus o*:etivos+ El apetito de riesgo se puede de(inir en la pr)tia en t9rminos de om*inaiones de la (reuenia y la magnitud de un riesgo+ El apetito de riesgo puede y va a ser di(erente entre las organi"aiones ya 'ue no existe una norma a*soluta o una norma de lo 'ue onstituye un riesgo aepta*le e inaepta*le+ 7
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
El apetito por el riesgo se puede de(inir mediante los mapas de riesgo& en este e:emplo se de(inen uatro *andas de importania
Ro?o/ india 'ue realmente es un riesgo inaepta*le+ a organi"ai!n estima 'ue este nivel de riesgo es mu$o m)s all) de su apetito de riesgo normal+ ual'uier riesgo 'ue se enuentren en esta *anda podría desenadenar una respuesta inmediata de riesgos+
Ama!illo/ india riesgo elevado& es deir& tam*i9n por enima de apetito de riesgo aepta*le& la organi"ai!n podría aeptarlo& omo uesti!n de polítia+ .e'uieren mitigai!n o respuesta adeuada a de(inir dentro de los límites de tiempo determinado+
Ve!de/ india un nivel aepta*le normal de riesgo& normalmente on ninguna ai!n espeial re'uerida& exepto el mantenimiento de los ontroles atuales o de otras respuestas+
A)ul/ indiio de un riesgo muy *a:o& donde el a$orro del osto de oportunidades se puede enontrar al disminuir el grado de ontrol o donde las oportunidades para asumir m)s riesgos pueden surgir+
8
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
El apetito de riesgo y la tolerania de riesgo de*erían ser apliados no s!lo para arriesgar evaluaiones& sino 'ue tam*i9n para la toma de deisiones de riesgo de TI+
6282
Tole!ancia de Ries1o
a tolerania al riesgo es la desviai!n tolera*le desde el nivel esta*leido por la de(inii!n del apetito de riesgo& por e:emplo& las normas o proyetos 'ue de*en reali"arse dentro de los presupuestos y el tiempo+
9
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
82 RES'ONSA5ILIDADES 7 RENDICIÓN DE CUENTAS SO5RE LOS RIES+OS DE TI /e de(inen las (uniones asumen la responsa*ilidad o rendii!n de uentas por una o m)s atividades dentro de un proeso+
8262
a responsa*ilidad orresponde a a'uellos 'ue de*en velar por 'ue las atividades se $an ompletado on 9xito+
8282
a rendii!n de uentas se aplia a 'uienes poseen los reursos neesarios y tener la autoridad para apro*ar la e:eui!n y aeptar el resultado de una atividad espeí(ia dentro de los proesos de TI de riesgo+
92 SENSI5ILI:ACIÓN 7 COMUNICACIÓN a onieniai!n de los riesgos es de reonoer 'ue el riesgo es una parte integral de la organi"ai!n+ Esto no implia 'ue todos los riesgos 'ue de*en ser evitadas o eliminadas& sino 'ue se entienden y onoen los riesgos de TI& pro*lemas de riesgo sean identi(ia*les& y la organi"ai!n reonoe y utili"a los medios de mane:ar los riesgos de TI+ a omuniai!n de*e ser siempre
lara onoida y omprendida por todas las partes interesadas
onisa a in(ormai!n o omuniai!n no de*e inundar a los reeptores+ Todas las reglas de una *uena omuniai!n se aplian a la omuniai!n del riesgo+
Btil ual'uier omuniai!n so*re el riesgo de*e ser pertinente+
portuna en ada riesgo existen momentos rítios desde su origen y sus posi*les onseuenias+
10
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
,irigida a la audienia orreta a in(ormai!n de*e ser omuniada en el nivel de agregai!n& adaptada para el p%*lio y permitir deisiones in(ormadas+
,isponi*le para onoer la *ase del riesgo de TI& la in(ormai!n relaionada de*e ser onoida y omuniada a todos las ?artes on una neesidad real& un registro de riesgos on todos los riesgos doumentados no es in(ormai!n p%*lia y de*e estar de*idamente protegidos ontra las partes internas y externas sin neesidad de ella+
;2 CULTURA DE RIES+OS a ultura del riesgo inluye
El omportamiento $aia la toma del riesgo C Du)l es el grado de riesgo 'ue siente la organi"ai!n 'ue puede asumir y 'u9 riesgos est) dispuesta a tomar
El omportamiento $aia la polítia siguiente C DEn 'u9 medida la gente va a aeptar o umplir on la polítia
El omportamiento $aia resultados negativos F D!mo la organi"ai!n se oupa de los resultados negativos& es deir& aonteimientos de p9rdida u oportunidades perdidas D;prender) ellos de esto y tratar)n de adaptarse& o se ulpar) sin tratar la ausa de origen
11
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
II2
EVALUACIÓN DE RIES+OS
Escena!ios de !ies1os de TI @no de los desa(íos para la gesti!n de riesgos de TI de*e identi(iar los riesgos importantes y relevantes entre todo lo 'ue posi*lemente puede relaionarse on TI& onsiderando la presenia y dependenia de TI en el negoio+
62 COM'ONENTES DEL ESCENARIO DE RIES+O @n esenario de riesgo es la desripi!n de un evento relaionado on TI 'ue puede onduir a un impato en el negoio+ ?ara 'ue los esenarios de riesgo sean ompletos y se puedan utili"ar en an)lisis de riesgos& de*en ontener los siguientes omponentes
6262
;tor 'ue genera la amena"a os atores pueden ser internos o externos y puede ser $umano o no $umano& no todo tipo de amena"a exige un ator& por e:emplo& (allas o ausas naturales+
6282
Tipo de amena"a la naturale"a del evento+ DEs malintenionado /i no Des aidental o DEs un (raaso de un proeso *ien de(inido DEs un evento natural (uer"a mayor
6292
Evento un esenario siempre tiene un evento+ DEs una revelai!n de la in(ormai!n on(idenial& la interrupi!n de un sistema& un proyeto& la modi(iai!n& ro*o& destrui!n& et+
62;2
;tivo reurso so*re el ual el esenario at%a& un ativo es ual'uier o*:eto de valor de la organi"ai!n 'ue puede ser a(etado por un evento y rear un impato en el negoio+
62@2
?lani(iai!n del tiempo 'ue podría de(inir lo siguiente& si es relevante para el esenario la durai!n del evento+
12
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
os (atores de riesgo son a'uellos (atores 'ue in(luyen en la (reuenia o impato en el negoio de los esenarios de riesgo& ya 'ue pueden ser de di(erente naturale"a& y se pueden lasi(iar en dos ategorías prinipales
Gatores internos del medio am*iente est)n& en gran medida& *a:o el ontrol de la organi"ai!n& aun'ue no siempre sea ()il de am*iar+
Gatores externos del medio am*iente est)n& en gran medida& (uera del ontrol de la organi"ai!n+
13
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
@na ve" 'ue el on:unto de esenarios de riesgo se de(ine& puede ser utili"ado para el an)lisis de riesgos& donde se eval%a la (reuenia y el impato del esenario+
82 DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN a evaluai!n signi(iativa de riesgos de TI y el riesgo+ a gesti!n e(etiva del riesgo re'uiere de la omprensi!n mutua entre TI y el negoio so*re el 'ue el riesgo de*e ser gestionado y por 'u9+ Todas las partes interesadas de*en tener la apaidad de omprender y expresar !mo los eventos adversos pueden a(etar a los o*:etivos de negoio+ Esto signi(ia 'ue
@na persona de TI de*e omprender omo los (allos relaionados o aonteimientos relaionados on TI pueden a(etar a los o*:etivos de la organi"ai!n y ausar perdida direta o indireta a la organi"ai!n
@na persona de negoios de*en entender !mo los Gallos o eventos relaionados on TI pueden a(etar a los serviios y proesos lave+
14
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
III2
RES'UESTA ANTE EL RIES+O 62 'RINCI'ALES INDICADORES DE RIES+O os indiadores de riesgos m9trios son apaes de demostrar 'ue la empresa est) su:eta a& o tiene una alta pro*a*ilidad de& estar sometida a un riesgo 'ue exede del apetito de riesgo de(inido+ a metodología .I/ se distingue por ser de gran relevania& por poseer una alta pro*a*ilidad de predeir o por 'ue indian un riesgo importante+ os riterios para seleionar riesgos inluyen Impato los indiadores de riesgo on alto impato omerial son m)s
propensos a ser .I/+ Es(uer"o para apliar& medir y reportar los indiadores el riterio de*e ser la
(ailidad+
Gia*ilidad el indiador de*e poseer una alta orrelai!n on el riesgo+
/ensi*ilidad el indiador de*e ser representativo para el riesgo y apa" de indiar on preisi!n las di(erenias en el riesgo+
82 RES'UESTA ANTE EL RIES+O El o*:etivo de de(inir una respuesta al riesgo es llevar el riesgo al mismo nivel 'ue el apetito de riesgo de(inido para la empresa despu9s del an)lisis de riesgo+
8262
E"ita! !ies1os: se aplia uando no $ay otra respuesta adeuada+ Este es el aso uando
=o $ay ninguna otra respuesta renta*le 'ue puede tener 9xito en la redui!n de la (reuenia y de la magnitud por de*a:o de los um*rales de(inidos para el apetito del riesgo+
El riesgo no puede ser ompartido o trans(erido+
El riesgo se :u"ga inaepta*le por la administrai!n+ 15
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
8282
Reducción de Ries1os Miti1ación/ a redui!n signi(ia& 'ue medidas est)n tomadas para detetar el riesgo& seguido por la ai!n para reduir la (reuenia y
as maneras m)s omunes de respuesta al riesgo inluyen
Gortaleimiento glo*al de la gesti!n de las pr)tias de riesgos de TI+
Introdui!n de una serie de medidas de ontrol intentando reduir las (reuenias de un sueso de onseuenias adversas o el impato empresarial de un evento& en aso de 'ue sueda+
8292
Ries1o Com%a!tido T!ans*e!encia/ ompartir signi(ia reduir la (reuenia de riesgo o impato mediante la trans(erenia o distri*ui!n de una parte del riesgo+ as t9nias m)s omunes son los seguros y la su*ontratai!n+
82;2
Ace%tación del !ies1o/ ;eptai!n signi(ia 'ue no se tomen medidas relativas on un riesgo partiular& y la p9rdida es aeptada uando y si se produe+
92 SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O a organi"ai!n tiene 'ue seleionar y priori"ar las respuestas al riesgo& utili"ando los siguientes riterios
El oste de la respuesta+
Importania del riesgo+
apaidad de la organi"ai!n para apliar la respuesta 2
a e(etividad de la respuesta& es deir& reduir) el impato y la (reuenia de eventos adversos+
a e(iienia de la respuesta
16
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
CASOS 'R.CTICOS EVALUACIÓN DE RIES+OS DE TI A TRAV
ETA'A DE +O5IERNO DE RIES+O 62 EL A'ETITO DEL RIES+O 7 LA TOLERANCIA AL RIES+O 6262
A%etito del Ries1o
Este proeso se lleva a a*o para determinar u)les son los riesgos 'ue la organi"ai!n desea gestionar& ya 'ue& 9stos se onsideran inaepta*les para la misma+ ?or lo 'ue es pro*a*le 'ue los accesos no auto!i)ados al sistema de
in*o!mación (ormen parte de los riesgos a gestionar+ 6282
Tole!ancia al Ries1o
En este proeso la empresa esta*lee uales son los riesgos tolera*les& en los uales no reali"ar) ninguna gesti!n para ontrarrestarlos+
17
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
82
RES'ONSA5ILIDADES 7 RENDICIÓN DE CUENTAS SO5RE LOS RIES+OS DE TI
8262
Res%onsa$les/
El dueAo de la apliai!n
os empleados
El administrador de seguridad
8282
;uditoría interna
Rendición de cuentas/
92 SENSI5ILI:ACIÓN 7 COMUNICACIÓN Este proeso es de vital importania& ya 'ue omunia las polítias de seguridad& el uso de ontraseAas y los aesos al sistema& lo 'ue permite la onienti"ai!n por parte de los usuarios del sistema en el umplimento de las mismas# así omo las medidas orretivas en aso de inumplimiento+
18
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
;2 CULTURA DE RIES+OS Es el omportamiento 'ue adoptar)n los usuarios del sistema& una ve" omuniadas las polítias y onienti"ado los peligros o riesgos 'ue pueden surgir de no umplir a a*alidad di$as polítias de seguridad para la organi"ai!n# así mismo tomar una atitud proativa ante los reportes de inidenias+
II2
ETA'A DE EVALUACIÓN DE RIES+OS 62
COM'ONENTES DEL ESCENARIO DE RIES+O
19
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
82
DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN
?9rdidas de la in(ormai!n
?9rdidas (inanieras
?9rdidas de la imagen instituional
III2 62
RES'UESTA ANTE EL RIES+O 'RINCI'ALES INDICADORES DE RIES+O
En este proeso se esta*leen indiadores de los riesgos 'ue no est)n u*iertos en el apetito de riesgo& on el o*:etivo de alertar a la organi"ai!n para tomar medidas proativas antes de 'ue ourra el riesgo+
82
RES'UESTA ANTE EL RIES+O
En este proeso se identi(ian las posi*les respuestas ante el riesgo
20
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
92
SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O
?ara el riesgo ;esos no autori"ados al sistema de in(ormai!n de la organi"ai!n se apliar)n dos respuestas
62
MITI+AR EL RIES+O CONTROLES
;n)lisis ex$austivo de los privilegios y dere$os a oneder
Exigir un am*io peri!dio y (or"ado de la ontraseAa+
as ontraseAas de*en estar ompuestas on arateres al(anum9rios on may%sulas y min%sulas on una longitud mínima de 6 arateres+
.estringir el =H de intentos (allidos así omo el tiempo de introduir el @/E.
?ro$i*ir a los usuarios esri*ir en lugares visi*les& prestar sus ontraseAas y tener preaui!n al momento de digitar las mismas+
?ro$i*ir la reutili"ai!n de ontraseAas+
,esonexi!n de la terminal despu9s de un tiempo de inatividad del servidor+
El sistema de*e mostrar mensa:es de tipo gen9rio aeso no autori"ado y no desriptivos usuario no existe o ontraseAa inorreta+
21
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
82
RIES+O COM'ARTIDO CONTROLES
Girma de un auerdo de responsa*ilidad en el uso de la ontraseAa& on el ual se trans(ieren los riesgos a los usuarios asoiados a la mala utili"ai!n de las mismas+
22
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
CASO 'R.CTICO 8 '
LA INTE+RIDAD
+ARANTIA DEL
NO
RE'UDIO
7
CONFIDENCIALIDAD DE LA INFORMACIÓN 'OR EL NO USO DE T
ETA'A DE +O5IERNO DE RIES+O
62
EL A'ETITO DEL RIES+O 7 LA TOLERANCIA AL RIES+O
6262
A%etito del Ries1o
Este proeso se lleva a a*o para determinar u)les son los riesgos 'ue la organi"ai!n desea gestionar& ya 'ue& 9stos se onsideran inaepta*les para la misma+ ?or lo 'ue es pro*a*le 'ue la 'B!dida de la Inte1!idad 1a!ant&a del No Re%udio
# Con*idencialidad de la In*o!mación %o! el no uso de tBcnicas c!i%to1!*icas (orman parte de los riesgos a gestionar+
6282
Tole!ancia al Ries1o
En este proeso la empresa esta*le uales son los riesgos tolera*les& en los uales no reali"ar) ninguna gesti!n para ontrarrestarlos+
82
RES'ONSA5ILIDADES 7 RENDICIÓN DE CUENTAS SO5RE LOS RIES+OS DE TI
8262
Res%onsa$les/
@suarios de las apliaiones sensi*les o rítias a (raude
El dueAo de las apliaiones sensi*les o rítias a (raude 23
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
8282
Rendición de cuentas/
92
SENSI5ILI:ACIÓN 7 COMUNICACIÓN
Este proeso es de vital& para proteger la in(ormai!n sensi*le a (raude& ya 'ue& se omunian las t9nias riptogr)(ias a utili"ar# lo 'ue permite la onienti"ai!n por parte de los usuarios de apliaiones sensi*les o rítias de la organi"ai!n y el umplimento de las mismas# así omo las medidas orretivas en aso de inumplimiento+
;2
CULTURA DE RIES+OS
Es el omportamiento 'ue adoptar)n los usuarios de las apliaiones sensi*les o rítias de la organi"ai!n& una ve" omuniadas las polítias y onienti"ado de los peligros o riesgos 'ue pueden surgir de no umplir a a*alidad on las polítias 'ue garantien la integridad& el no repudio y la on(idenialidad de la in(ormai!n# así mismo tomar una atitud proativa ante los reportes de inidenias+
24
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
II2
ETA'A DE EVALUACIÓN DE RIES+OS 62
COM'ONENTES DEL ESCENARIO DE RIES+O
82
DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN
?9rdidas de la in(ormai!n
?9rdidas (inanieras
?9rdidas de la imagen instituional
25
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
III2 62
RES'UESTA ANTE EL RIES+O 'RINCI'ALES INDICADORES DE RIES+O
En este proeso se esta*leen indiadores de los riesgos 'ue no est)n u*iertos en el apetito de riesgo& on el o*:etivo de alertar a la organi"ai!n para tomar medidas proativas antes de 'ue ourra el riesgo+
82
RES'UESTA ANTE EL RIES+O
En este proeso se identi(ian las posi*les respuestas ante el riesgo
92
SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O
a ?9rdida de la Integridad& garantía del =o .epudio y on(idenialidad de la In(ormai!n por el no uso de t9nias riptogr)(ias& implia un riesgo al ual& se le apliar) la siguiente respuesta 26
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
62
MITI+AR EL RIES+O CONTROLES
a red de seguridad de*e espei(iar laramente los usuarios 'ue proesan y tiene aeso a in(ormai!n on(idenial o rítia+
El uso de t9nias riptogr)(ias+
?rotei!n y uidado de los algoritmos riptogr)(ios rotai!n de los mismos+
?rotei!n de la integridad de las llaves p%*lias& es deir& erti(iai!n de 9stas+
?rotei!n de la on(idenialidad de las llaves privadas+
ontar on laves riptogr)(ias para las (irmas digitales y otras laves para i(rar el doumento+
onsiderar el uso de espeialistas para ontemplar el nivel apropiado de protei!n+
27
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
EERCICIO DE LA5ORATORIO INE=ISTENCIA DE UN 'LAN DE CONTIN+ENC,A 'ROCESO DE EVALUAC,ON I2
ETA'A DE +O5IERNO DE RIES+O
62
EL A'ETITO DEL RIES+O 7 LA TOLERANCIA AL RIES+O
6262
A%etito del Ries1o
Este proeso se lleva a a*o para determinar u)les son los riesgos 'ue la organi"ai!n desea gestionar& ya 'ue& 9stos se onsideran inaepta*les para la misma+ ?or lo 'ue es pro*a*le 'ue la inexistenia de un plan de ontingenia (orman parte de los riesgos a gestionar+
6282
Tole!ancia a Ries1o
En este proeso la empresa esta*le uales son los riesgos tolera*les& en los uales no reali"ar) ninguna gesti!n para ontrarrestarlos+
82
RES'ONSA5ILIDADES 7 RENDICIÓN DE CUENTAS SO5RE LOS RIES+OS DE TI
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
II2
ETA'A DE EVALUACIÓN DE RIES+OS 62
COM'ONENTES DEL ESCENARIO DE RIES+O
82
DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN
30
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”
III2 62
RES'UESTA ANTE EL RIES+O 'RINCI'ALES INDICADORES DE RIES+O
En este proeso se esta*leen indiadores de los riesgos 'ue no est)n u*iertos en el apetito de riesgo& on el o*:etivo de alertar a la organi"ai!n para tomar medidas proativas antes de 'ue ourra el riesgo+
82
RES'UESTA ANTE EL RIES+O
En este proeso se identi(ian las posi*les respuestas ante el riesgo
92
SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O
a inexistenia de un plan de ontingenias& implia un riesgo al ual se apliar) la siguiente respuesta
31
Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”