08 Metodologia de Evaluacion de Riesgos - RISK It ALUMNOS

UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS Facultad de Ciencias Económicas Administ!ati"as # Conta$les De%a!tamento de Contadu!&a '($lica # Finan)as Audito!&a de Sistemas de In*o!mación II

METODOLO+,A DE EVALUACIÓN DE RIES+OS DE TI

RIS- IT CATEDR.TICOS/ Licenciado Ro$e!to C0an1 Licenciado Ro$e!to Ma!t&ne) Licenciado Rica!do Casco In12 Al*onso Al*onso

Ciudad Uni"e!sita!ia Te1uci1al%a M2D2C2

Universidad Nacional Autónoma de Honduras Auditoría en sistemas de información II “Riesgo de TI analizados con la metodología “RISK IT”

INDICE INTRODUCCIÓN

1


2

'ROCESO DE LA METODOLO+,A DE EVALUACIÓN DE RIES+O 3RIS- IT4

7 7 7

I2

+O5IERNO DEL RIES+O 62 A'ETITO DE RIES+O 7 TOLERANCIA 82 RES'ON RES'ONSA5 SA5ILI ILIDAD DADES ES 7 RENDIC RENDICIÓ IÓN N DE CUENT CUENTAS AS SO5RE LOS RIES+OS DE TI 92 SENSI5ILI:ACIÓN 7 COMUNICACIÓN ;2 CULTURA DE RIES+OS II2 EVALUACIÓN DE RIES+OS 62 COM'ONENTES DEL ESCENARIO DE RIES+O 82 DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN III2 RES'UESTA ANTE EL RIES+O 62 'RINCI'ALES 'RINCI'ALES INDICADORES DE RIES+O 82 RES'UESTA ANTE EL RIES+O 92 SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O CASOS 'R.CTICOS EVALUACIÓN DE RIES+OS DE TI A TRAV
10 10 11 12 12 14 15 15 15 16 17 17

17

23 28 33

5I5LIO+RAF,A

0


INDICE INTRODUCCIÓN

1


2

'ROCESO DE LA METODOLO+,A DE EVALUACIÓN DE RIES+O 3RIS- IT4

7 7 7

I2

+O5IERNO DEL RIES+O 62 A'ETITO DE RIES+O 7 TOLERANCIA 82 RES'ON RES'ONSA5 SA5ILI ILIDAD DADES ES 7 RENDIC RENDICIÓ IÓN N DE CUENT CUENTAS AS SO5RE LOS RIES+OS DE TI 92 SENSI5ILI:ACIÓN 7 COMUNICACIÓN ;2 CULTURA DE RIES+OS II2 EVALUACIÓN DE RIES+OS 62 COM'ONENTES DEL ESCENARIO DE RIES+O 82 DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN III2 RES'UESTA ANTE EL RIES+O 62 'RINCI'ALES 'RINCI'ALES INDICADORES DE RIES+O 82 RES'UESTA ANTE EL RIES+O 92 SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O CASOS 'R.CTICOS EVALUACIÓN DE RIES+OS DE TI A TRAV
10 10 11 12 12 14 15 15 15 16 17 17

17

23 28 33

5I5LIO+RAF,A

0


INTRODUCCIÓN Existen Existen diversas diversas metodologías metodologías para evaluar evaluar riesgos de TI y su adopi!n depende de las neesidades neesidades de ada organi"ai!n# organi"ai!n# tales tales metodologías metodologías representan representan una $erramienta muy %til& dado 'ue& permiten identi(iar los riesgos 'ue la organi"ai!n est) est) disp dispue uest sta a a u*r u*rir ir&& a eval evalua uarl rlos os y dar dar resp respue uest sta a a los los mism mismos os para para ontrarrestarlos+ ,entro de estas metodologías a*e menionar la -etodología de Evaluai!n de .iesgos de TI .I/ IT asado en IT# en la ual& se detalla de prinipio a (in los proesos 'ue de*e seguir una organi"ai!n 'ue deida adoptar este tipo de maro+ Esta metodología est) *asada en tres )m*itos de importania 1+

o*ie o*iern rno o del ries riesgo go

2+ Eval Evalua uai i!n !n del del .ie .iesg sgo o 3+ .esp .espue uest sta a ante ante el .ies .iesgo go

1


METODOLOGÍA DE EVALUACIÓN DE RIESGOS DE TI

METODOLOGÍA RISK IT (BASADO EN COBIT) DISE>ADO 7 CREADO 'OR ISACA os riesgos de TI son un omponente del universo de riesgos a los 'ue est) sometida una organi"ai!n+ tros de los riesgos a los 'ue una organi"ai!n se en(renta pueden ser riesgos estrat9gios& riesgos am*ientales& riesgos de merado& riesgos de r9dito& riesgos operativos y riesgos de umplimiento+ .I/ IT es el riesgo omerial& es deir& el riesgo de los negoios asoiados on el uso& la propiedad& la operai!n& la partiipai!n& la in(luenia y la adopi!n de TI dentro de una organi"ai!n+ /e ompone de eventos relaionados on TI 'ue podrían a(etar a la organi"ai!n+ Esto inluye tanto la (reuenia y la magnitud inierta& la reai!n de pro*lemas en el umplimiento de metas y o*:etivos estrat9gios& así omo la inertidum*re en la *%s'ueda de oportunidades+ os riesgos relaionados de TI existen& independientemente de si son desu*iertos o reonoidos por una organi"ai!n+ En este ontexto es importante identi(iar y gestionar potenialmente los asuntos importantes de riesgo de TI& a di(erenia del resto de riesgos& ya 'ue 9ste puede no ser renta*le+ El uso om%n y general de TI puede proporionar importantes *ene(iios a una organi"ai!n& pero tam*i9n implia riesgos+ ,e*ido a su importania para las organi"aiones& los riesgos relaionados on TI de*erían ser tratados omo los dem)s riesgos laves organi"aionales& tales omo el riesgo del merado& el riesgo de r9dito y otros riesgos operativos+

2


a metodología de .I/ IT llena los $ueos entre la gesti!n de los riesgos gen9rios& omo las metodologías del / E.- y ;/ < =>/ 4360& I/ 31000& el dominio *rit)nio ;.-/5 y maros de dominios espeí(ios+ ?roporiona de prinipio a (in& visi!n glo*al de todos los riesgos relaionados on el uso de las TI y un tratamiento igualmente minuioso de la gesti!n del riesgo& desde el tono y la ultura $asta las uestiones operativas+ En resumen& la metodología permitir) a las organi"aiones entender y gestionar todos los tipos importantes de riesgos de TI+ a metodología provee 

@na metodología de proeso de punta a punta para gesti!n de riesgos de TI orreta+



rientai!n para los pro(esionales& inluyendo $erramientas y t9nias para entender y gestionar los riesgos onretos para las operaiones de negoio+

5ENEFICIOS 7 RESULTADOS a metodología de .I/ IT a*orda mu$as uestiones a las uales las organi"aiones se en(rentan $oy en día& es nota*le su neesidad de 

@na visi!n preisa del presente y del (uturo pr!ximo so*re los riesgos relaionados on TI en toda la organi"ai!n y el 9xito on el 'ue la organi"ai!n se oupa de di$os riesgos+



rientai!n de prinipio a (in so*re la (orma de gestionar los riesgos relaionados on TI& m)s all) de medidas puramente t9nias de ontrol y de seguridad+

3




omprensi!n de !mo apitali"ar una inversi!n reali"ada en un sistema de ontrol interno de TI ya existente para gestionar los riesgos relaionados on TI+



En uanto a la evaluai!n y gesti!n de los riesgos de TI& la integrai!n on el riesgo glo*al y el umplimiento de las estruturas dentro de la organi"ai!n+



?romoi!n de la responsa*ilidad del riesgo y su aeptai!n en toda la organi"ai!n+



@n per(il de riesgo ompleto para me:or entender el riesgo y aprove$ar me:or los reursos de la organi"ai!n+

'RINCI'IOS DE LOS RIES+OS DE TI .I/ IT de(ine& de manera (undamentada& una serie de guías para la gesti!n e(ia" de los riesgos+ ,i$as guías son generalmente aeptadas so*re la *ase de los prinipios de la gesti!n del riesgo& 'ue se $an apliado en el ampo de las TI+ El modelo de proeso de .I/ IT est) diseAado y estruturado para 'ue las organi"aiones puedan apliar los prinipios en la pr)tia y omparar sus resultados+

4


a metodología de .I/ IT se re(iere a los riesgos de TI& en poas pala*ras& os riesgos organi"aionales relaionados on el uso de TI+

ada uno de estos prinipios se examina a ontinuai!n on m)s detalle 1+

a e(ia" gesti!n de la organi"ai!n de los riesgos de TI siempre se alinea on los o*:etivos de la organi"ai!n+

5


2+

El go*ierno e(ia" de la organi"ai!n on respeto a los riesgos de TI alinea la gesti!n de riesgos de relaionados on TI on el riesgo organi"aional en general on /+

3+

El go*ierno e(ia" de la organi"ai!n on respeto a los riesgos de TI e'uili*ra los ostos y *ene(iios de la gesti!n del riesgo+

4+

a direi!n e(ia" de los riesgos de TI promueve la omuniai!n a*ierta y :usta de los riesgos de TI+

5+

a gesti!n e(ia" de los riesgos de TI esta*lee el tono orreto de(iniendo y esta*leiendo las responsa*ilidades personales para el (unionamiento dentro de los niveles de tolerania aepta*les y *ien de(inidos+

6+

a gesti!n e(ia" de los riesgos promueve la me:ora ontinua y es una parte de las atividades diarias+

6


'ROCESO DE LA METODOLO+,A DE EVALUACIÓN DE RIES+O 3RIS- IT4 El modelo del proeso en la gesti!n de riesgos (i:a iertas atividades lave en una serie de proesos+ Estos proesos se agrupan en tres )m*itos+ I+

o*ierno del riesgo

II+

Evaluai!n del .iesgo

III+

.espuesta ante el .iesgo

I2

+O5IERNO DEL RIES+O El go*ierno de riesgo inluye los siguientes proesos 1+

El apetito del riesgo y la tolerania al riesgo

2+

.esponsa*ilidades y rendii!n de uentas so*re la gesti!n riesgos de TI

3+

/ensi*ili"ai!n y omuniai!n

4+

ultura del riesgo

62 A'ETITO DE RIES+O 7 TOLERANCIA El ;petito del riesgo y la tolerania son oneptos 'ue se utili"an on (reuenia+ ;lgunas personas utili"an indistintamente los dos oneptos& otros ven una lara di(erenia+ as de(iniiones de la metodología de .I/ IT son ompati*les on las de(iniiones de /+

6262

A%etito de Ries1o

El apetito de riesgo es la antidad de riesgo 'ue una entidad est) dispuesta a aeptar uando se trata de alan"ar sus o*:etivos+ El apetito de riesgo se puede de(inir en la pr)tia en t9rminos de om*inaiones de la (reuenia y la magnitud de un riesgo+ El apetito de riesgo puede y va a ser di(erente entre las organi"aiones ya 'ue no existe una norma a*soluta o una norma de lo 'ue onstituye un riesgo aepta*le e inaepta*le+ 7


El apetito por el riesgo se puede de(inir mediante los mapas de riesgo& en este e:emplo se de(inen uatro *andas de importania 

Ro?o/ india 'ue realmente es un riesgo inaepta*le+ a organi"ai!n estima 'ue este nivel de riesgo es mu$o m)s all) de su apetito de riesgo normal+ ual'uier riesgo 'ue se enuentren en esta *anda podría desenadenar una respuesta inmediata de riesgos+



Ama!illo/ india riesgo elevado& es deir& tam*i9n por enima de apetito de riesgo aepta*le& la organi"ai!n podría aeptarlo& omo uesti!n de polítia+ .e'uieren mitigai!n o respuesta adeuada a de(inir dentro de los límites de tiempo determinado+



Ve!de/ india un nivel aepta*le normal de riesgo& normalmente on ninguna ai!n espeial re'uerida& exepto el mantenimiento de los ontroles atuales o de otras respuestas+



A)ul/ indiio de un riesgo muy *a:o& donde el a$orro del osto de oportunidades se puede enontrar al disminuir el grado de ontrol o donde las oportunidades para asumir m)s riesgos pueden surgir+

8


El apetito de riesgo y la tolerania de riesgo de*erían ser apliados no s!lo para arriesgar evaluaiones& sino 'ue tam*i9n para la toma de deisiones de riesgo de TI+

6282

Tole!ancia de Ries1o

a tolerania al riesgo es la desviai!n tolera*le desde el nivel esta*leido por la de(inii!n del apetito de riesgo& por e:emplo& las normas o proyetos 'ue de*en reali"arse dentro de los presupuestos y el tiempo+

9


82 RES'ONSA5ILIDADES 7 RENDICIÓN DE CUENTAS SO5RE LOS RIES+OS DE TI /e de(inen las (uniones asumen la responsa*ilidad o rendii!n de uentas por una o m)s atividades dentro de un proeso+

8262

a responsa*ilidad orresponde a a'uellos 'ue de*en velar por 'ue las atividades se $an ompletado on 9xito+

8282

a rendii!n de uentas se aplia a 'uienes poseen los reursos neesarios y tener la autoridad para apro*ar la e:eui!n y aeptar el resultado de una atividad espeí(ia dentro de los proesos de TI de riesgo+

92 SENSI5ILI:ACIÓN 7 COMUNICACIÓN a onieniai!n de los riesgos es de reonoer 'ue el riesgo es una parte integral de la organi"ai!n+ Esto no implia 'ue todos los riesgos 'ue de*en ser evitadas o eliminadas& sino 'ue se entienden y onoen los riesgos de TI& pro*lemas de riesgo sean identi(ia*les& y la organi"ai!n reonoe y utili"a los medios de mane:ar los riesgos de TI+ a omuniai!n de*e ser siempre 

lara onoida y omprendida por todas las partes interesadas



onisa a in(ormai!n o omuniai!n no de*e inundar a los reeptores+ Todas las reglas de una *uena omuniai!n se aplian a la omuniai!n del riesgo+



Btil ual'uier omuniai!n so*re el riesgo de*e ser pertinente+



portuna en ada riesgo existen momentos rítios desde su origen y sus posi*les onseuenias+



10




,irigida a la audienia orreta a in(ormai!n de*e ser omuniada en el nivel de agregai!n& adaptada para el p%*lio y permitir deisiones in(ormadas+



,isponi*le para onoer la *ase del riesgo de TI& la in(ormai!n relaionada de*e ser onoida y omuniada a todos las ?artes on una neesidad real& un registro de riesgos on todos los riesgos doumentados no es in(ormai!n p%*lia y de*e estar de*idamente protegidos ontra las partes internas y externas sin neesidad de ella+

;2 CULTURA DE RIES+OS a ultura del riesgo inluye 

El omportamiento $aia la toma del riesgo C Du)l es el grado de riesgo 'ue siente la organi"ai!n 'ue puede asumir y 'u9 riesgos est) dispuesta a tomar



El omportamiento $aia la polítia siguiente C DEn 'u9 medida la gente va a aeptar o umplir on la polítia



El omportamiento $aia resultados negativos F D!mo la organi"ai!n se oupa de los resultados negativos& es deir& aonteimientos de p9rdida u oportunidades perdidas D;prender) ellos de esto y tratar)n de adaptarse& o se ulpar) sin tratar la ausa de origen

11


II2

EVALUACIÓN DE RIES+OS

Escena!ios de !ies1os de TI @no de los desa(íos para la gesti!n de riesgos de TI de*e identi(iar los riesgos importantes y relevantes entre todo lo 'ue posi*lemente puede relaionarse on TI& onsiderando la presenia y dependenia de TI en el negoio+

62 COM'ONENTES DEL ESCENARIO DE RIES+O @n esenario de riesgo es la desripi!n de un evento relaionado on TI 'ue puede onduir a un impato en el negoio+ ?ara 'ue los esenarios de riesgo sean ompletos y se puedan utili"ar en an)lisis de riesgos& de*en ontener los siguientes omponentes

6262

;tor 'ue genera la amena"a os atores pueden ser internos o externos y puede ser $umano o no $umano& no todo tipo de amena"a exige un ator& por e:emplo& (allas o ausas naturales+

6282

Tipo de amena"a la naturale"a del evento+ DEs malintenionado /i no Des aidental o DEs un (raaso de un proeso *ien de(inido DEs un evento natural (uer"a mayor

6292

Evento un esenario siempre tiene un evento+ DEs una revelai!n de la in(ormai!n on(idenial& la interrupi!n de un sistema& un proyeto& la modi(iai!n& ro*o& destrui!n& et+

62;2

;tivo reurso so*re el ual el esenario at%a& un ativo es ual'uier o*:eto de valor de la organi"ai!n 'ue puede ser a(etado por un evento y rear un impato en el negoio+

62@2

?lani(iai!n del tiempo 'ue podría de(inir lo siguiente& si es relevante para el esenario la durai!n del evento+

12


os (atores de riesgo son a'uellos (atores 'ue in(luyen en la (reuenia o impato en el negoio de los esenarios de riesgo& ya 'ue pueden ser de di(erente naturale"a& y se pueden lasi(iar en dos ategorías prinipales 

Gatores internos del medio am*iente est)n& en gran medida& *a:o el ontrol de la organi"ai!n& aun'ue no siempre sea ()il de am*iar+



Gatores externos del medio am*iente est)n& en gran medida& (uera del ontrol de la organi"ai!n+

13


@na ve" 'ue el on:unto de esenarios de riesgo se de(ine& puede ser utili"ado para el an)lisis de riesgos& donde se eval%a la (reuenia y el impato del esenario+

82 DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN a evaluai!n signi(iativa de riesgos de TI y el riesgo+ a gesti!n e(etiva del riesgo re'uiere de la omprensi!n mutua entre TI y el negoio so*re el 'ue el riesgo de*e ser gestionado y por 'u9+ Todas las partes interesadas de*en tener la apaidad de omprender y expresar !mo los eventos adversos pueden a(etar a los o*:etivos de negoio+ Esto signi(ia 'ue 

@na persona de TI de*e omprender omo los (allos relaionados o aonteimientos relaionados on TI pueden a(etar a los o*:etivos de la organi"ai!n y ausar perdida direta o indireta a la organi"ai!n



@na persona de negoios de*en entender !mo los Gallos o eventos relaionados on TI pueden a(etar a los serviios y proesos lave+

14


III2

RES'UESTA ANTE EL RIES+O 62 'RINCI'ALES INDICADORES DE RIES+O os indiadores de riesgos m9trios son apaes de demostrar 'ue la empresa est) su:eta a& o tiene una alta pro*a*ilidad de& estar sometida a un riesgo 'ue exede del apetito de riesgo de(inido+ a metodología .I/ se distingue por ser de gran relevania& por poseer una alta pro*a*ilidad de predeir o por 'ue indian un riesgo importante+ os riterios para seleionar riesgos inluyen Impato los indiadores de riesgo on alto impato omerial son m)s



propensos a ser .I/+ Es(uer"o para apliar& medir y reportar los indiadores el riterio de*e ser la



(ailidad+ 

Gia*ilidad el indiador de*e poseer una alta orrelai!n on el riesgo+



/ensi*ilidad el indiador de*e ser representativo para el riesgo y apa" de indiar on preisi!n las di(erenias en el riesgo+

82 RES'UESTA ANTE EL RIES+O El o*:etivo de de(inir una respuesta al riesgo es llevar el riesgo al mismo nivel 'ue el apetito de riesgo de(inido para la empresa despu9s del an)lisis de riesgo+

8262

E"ita! !ies1os: se aplia uando no $ay otra respuesta adeuada+ Este es el aso uando



=o $ay ninguna otra respuesta renta*le 'ue puede tener 9xito en la redui!n de la (reuenia y de la magnitud por de*a:o de los um*rales de(inidos para el apetito del riesgo+



El riesgo no puede ser ompartido o trans(erido+



El riesgo se :u"ga inaepta*le por la administrai!n+ 15


8282

Reducción de Ries1os  Miti1ación/ a redui!n signi(ia& 'ue medidas est)n tomadas para detetar el riesgo& seguido por la ai!n para reduir la (reuenia y
as maneras m)s omunes de respuesta al riesgo inluyen 

Gortaleimiento glo*al de la gesti!n de las pr)tias de riesgos de TI+



Introdui!n de una serie de medidas de ontrol intentando reduir las (reuenias de un sueso de onseuenias adversas o el impato empresarial de un evento& en aso de 'ue sueda+

8292

Ries1o Com%a!tido  T!ans*e!encia/ ompartir signi(ia reduir la (reuenia de riesgo o impato mediante la trans(erenia o distri*ui!n de una parte del riesgo+ as t9nias m)s omunes son los seguros y la su*ontratai!n+

82;2

Ace%tación del !ies1o/ ;eptai!n signi(ia 'ue no se tomen medidas relativas on un riesgo partiular& y la p9rdida es aeptada uando y si se produe+

92 SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O a organi"ai!n tiene 'ue seleionar y priori"ar las respuestas al riesgo& utili"ando los siguientes riterios 

El oste de la respuesta+



Importania del riesgo+



apaidad de la organi"ai!n para apliar la respuesta 2



a e(etividad de la respuesta& es deir& reduir) el impato y la (reuenia de eventos adversos+



a e(iienia de la respuesta

16


CASOS 'R.CTICOS EVALUACIÓN DE RIES+OS DE TI A TRAV
ETA'A DE +O5IERNO DE RIES+O 62 EL A'ETITO DEL RIES+O 7 LA TOLERANCIA AL RIES+O 6262

A%etito del Ries1o

Este proeso se lleva a a*o para determinar u)les son los riesgos 'ue la organi"ai!n desea gestionar& ya 'ue& 9stos se onsideran inaepta*les para la misma+ ?or lo 'ue es pro*a*le 'ue los accesos no auto!i)ados al sistema de

in*o!mación (ormen parte de los riesgos a gestionar+ 6282

Tole!ancia al Ries1o

En este proeso la empresa esta*lee uales son los riesgos tolera*les& en los uales no reali"ar) ninguna gesti!n para ontrarrestarlos+

17


82

RES'ONSA5ILIDADES 7 RENDICIÓN DE CUENTAS SO5RE LOS RIES+OS DE TI

8262

Res%onsa$les/



El dueAo de la apliai!n



os empleados



El administrador de seguridad



8282

;uditoría interna

Rendición de cuentas/

92 SENSI5ILI:ACIÓN 7 COMUNICACIÓN Este proeso es de vital importania& ya 'ue omunia las polítias de seguridad& el uso de ontraseAas y los aesos al sistema& lo 'ue permite la onienti"ai!n por parte de los usuarios del sistema en el umplimento de las mismas# así omo las medidas orretivas en aso de inumplimiento+

18


;2 CULTURA DE RIES+OS Es el omportamiento 'ue adoptar)n los usuarios del sistema& una ve" omuniadas las polítias y onienti"ado los peligros o riesgos 'ue pueden surgir de no umplir a a*alidad di$as polítias de seguridad para la organi"ai!n# así mismo tomar una atitud proativa ante los reportes de inidenias+

II2

ETA'A DE EVALUACIÓN DE RIES+OS 62

COM'ONENTES DEL ESCENARIO DE RIES+O

19


82

DESCRI'CIÓN DEL IM'ACTO DE LA OR+ANI:ACIÓN



?9rdidas de la in(ormai!n



?9rdidas (inanieras



?9rdidas de la imagen instituional

III2 62

RES'UESTA ANTE EL RIES+O 'RINCI'ALES INDICADORES DE RIES+O

En este proeso se esta*leen indiadores de los riesgos 'ue no est)n u*iertos en el apetito de riesgo& on el o*:etivo de alertar a la organi"ai!n para tomar medidas proativas antes de 'ue ourra el riesgo+

82

RES'UESTA ANTE EL RIES+O

En este proeso se identi(ian las posi*les respuestas ante el riesgo

20


92

SELECCIÓN 7 'RIORI:ACIÓN DE RES'UESTA DE RIES+O

?ara el riesgo ;esos no autori"ados al sistema de in(ormai!n de la organi"ai!n se apliar)n dos respuestas

62

MITI+AR EL RIES+O CONTROLES



;n)lisis ex$austivo de los privilegios y dere$os a oneder



Exigir un am*io peri!dio y (or"ado de la ontraseAa+



as ontraseAas de*en estar ompuestas on arateres al(anum9rios on may%sulas y min%sulas on una longitud mínima de 6 arateres+



.estringir el =H de intentos (allidos así omo el tiempo de introduir el @/E.


?ro$i*ir a los usuarios esri*ir en lugares visi*les& prestar sus ontraseAas y tener preaui!n al momento de digitar las mismas+



?ro$i*ir la reutili"ai!n de ontraseAas+



,esonexi!n de la terminal despu9s de un tiempo de inatividad del servidor+



El sistema de*e mostrar mensa:es de tipo gen9rio aeso no autori"ado y no desriptivos usuario no existe o ontraseAa inorreta+

21


82

RIES+O COM'ARTIDO CONTROLES



Girma de un auerdo de responsa*ilidad en el uso de la ontraseAa& on el ual se trans(ieren los riesgos a los usuarios asoiados a la mala utili"ai!n de las mismas+

22


CASO 'R.CTICO 8 '
LA INTE+RIDAD

+ARANTIA DEL

NO

RE'UDIO

7

CONFIDENCIALIDAD DE LA INFORMACIÓN 'OR EL NO USO DE T
ETA'A DE +O5IERNO DE RIES+O

62

EL A'ETITO DEL RIES+O 7 LA TOLERANCIA AL RIES+O

6262

A%etito del Ries1o

Este proeso se lleva a a*o para determinar u)les son los riesgos 'ue la organi"ai!n desea gestionar& ya 'ue& 9stos se onsideran inaepta*les para la misma+ ?or lo 'ue es pro*a*le 'ue la 'B!dida de la Inte1!idad 1a!ant&a del No Re%udio

# Con*idencialidad de la In*o!mación %o! el no uso de tBcnicas c!i%to1!*icas (orman parte de los riesgos a gestionar+

6282

Tole!ancia al Ries1o

En este proeso la empresa esta*le uales son los riesgos tolera*les& en los uales no reali"ar) ninguna gesti!n para ontrarrestarlos+

82


8262

Res%onsa$les/



@suarios de las apliaiones sensi*les o rítias a (raude



El dueAo de las apliaiones sensi*les o rítias a (raude 23


8282


92

SENSI5ILI:ACIÓN 7 COMUNICACIÓN

Este proeso es de vital& para proteger la in(ormai!n sensi*le a (raude& ya 'ue& se omunian las t9nias riptogr)(ias a utili"ar# lo 'ue permite la onienti"ai!n por parte de los usuarios de apliaiones sensi*les o rítias de la organi"ai!n y el umplimento de las mismas# así omo las medidas orretivas en aso de inumplimiento+

;2

CULTURA DE RIES+OS

Es el omportamiento 'ue adoptar)n los usuarios de las apliaiones sensi*les o rítias de la organi"ai!n& una ve" omuniadas las polítias y onienti"ado de los peligros o riesgos 'ue pueden surgir de no umplir a a*alidad on las polítias 'ue garantien la integridad& el no repudio y la on(idenialidad de la in(ormai!n# así mismo tomar una atitud proativa ante los reportes de inidenias+

24


II2


COM'ONENTES DEL ESCENARIO DE RIES+O

82




?9rdidas de la in(ormai!n



?9rdidas (inanieras



?9rdidas de la imagen instituional

25


III2 62



82



92


a ?9rdida de la Integridad& garantía del =o .epudio y on(idenialidad de la In(ormai!n por el no uso de t9nias riptogr)(ias& implia un riesgo al ual& se le apliar) la siguiente respuesta 26


62




a red de seguridad de*e espei(iar laramente los usuarios 'ue proesan y tiene aeso a in(ormai!n on(idenial o rítia+



El uso de t9nias riptogr)(ias+



?rotei!n y uidado de los algoritmos riptogr)(ios rotai!n de los mismos+



?rotei!n de la integridad de las llaves p%*lias& es deir& erti(iai!n de 9stas+



?rotei!n de la on(idenialidad de las llaves privadas+



ontar on laves riptogr)(ias para las (irmas digitales y otras laves para i(rar el doumento+



onsiderar el uso de espeialistas para ontemplar el nivel apropiado de protei!n+

27


EERCICIO DE LA5ORATORIO INE=ISTENCIA DE UN 'LAN DE CONTIN+ENC,A 'ROCESO DE EVALUAC,ON I2

ETA'A DE +O5IERNO DE RIES+O

62

EL A'ETITO DEL RIES+O 7 LA TOLERANCIA AL RIES+O

6262

A%etito del Ries1o

Este proeso se lleva a a*o para determinar u)les son los riesgos 'ue la organi"ai!n desea gestionar& ya 'ue& 9stos se onsideran inaepta*les para la misma+ ?or lo 'ue es pro*a*le 'ue la inexistenia de un plan de ontingenia (orman parte de los riesgos a gestionar+

6282

Tole!ancia a Ries1o

En este proeso la empresa esta*le uales son los riesgos tolera*les& en los uales no reali"ar) ninguna gesti!n para ontrarrestarlos+

82


8262 

Res%onsa$les/    

28


8282


92

SENSI5ILI:ACIÓN 7 COMUNICACIÓN

     

;2

CULTURA DE RIES+OS

         

29


II2


COM'ONENTES DEL ESCENARIO DE RIES+O          

82


















30


III2 62



82



92


a inexistenia de un plan de ontingenias& implia un riesgo al ual se apliar) la siguiente respuesta

31


62




   



  



  



  

32

08 Metodologia de Evaluacion de Riesgos - RISK It ALUMNOS

Recommend Documents