SlideShare una empresa de Scribd logo

Riesgosprocesosppt383 2477 1239 1790

Descargar como PPT, PDF
A
albertodiego26

SEGURIDAD -CRUSO VIRTUAL RIESGOS

ViajesEmpresariales
1 de 31
Riesgo Sistemas de Informacion
Contenido ,[object Object],[object Object],[object Object],[object Object]
Hoy en día, la mayor parte de los datos de una empresa están almacenados en los equipos informáticos. Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. Introducción El análisis de riesgos es un proceso de apoyo a la decisión; sus resultados constituyen una guía para que la organización pueda tomar decisiones sobre si es necesario implantar nuevos mecanismos de seguridad y qué controles o procesos de seguridad serán los más adecuados.
El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas. De igual manera: Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o perdidas. Definición
RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMÁTICA Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes :
Riesgos de Integridad Sus Componentes: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema. Interfase del usuario :
Riesgos de Integridad Sus Componentes: Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles detectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.
Procesamiento de errores: Riesgos de Integridad Sus Componentes: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente. Interfase: Los riesgos en esta área generalmente se relacionan con controles preventivos y detectivos que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones.
Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Estos riesgos están asociados con la administración inadecuadas de procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos. Administración de cambios: Riesgos de Integridad Sus Componentes:
Riesgos de Integridad Sus Componentes: Información: continua
Riesgos de Integridad Sus Componentes: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos. La integridad puede perderse por: Errores de programación ( buena información es procesada por programas mal construidos) , procesamiento de errores ( transacciones incorrectamente procesadas) ó administración y procesamiento de errores ( Administración pobre del mantenimiento de sistemas).
Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones ( Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas). Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:
Procesos de negocio:   Las decisiones organizacionales deben separar trabajo incompatible de la organización y proveer el nivel correcto de ejecución de funciones. Aplicación: La aplicación interna de mecanismos de seguridad que provee a los usuarios las funciones necesarias para ejecutar su trabajo. Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno. Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información. Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.  
[object Object],[object Object],[object Object],[object Object],[object Object],Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva ( hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas ( servicio al cliente, pago de cuentas, etc.) . 
Proceso de administración de riesgos de seguridad Realizar un soporte basado en decisiones 2 Implementar los controles 3 Medir la efectividad del programa 4 Evaluar los riesgos 1
Descripción general de la etapa de Evaluación de riesgos ,[object Object],[object Object],[object Object],Realizar un soporte basado en decisiones 2 Evaluar los riesgos 1 Implementar los controles 3 Medir la efectividad del programa 4
Recopilar datos La información almacenada durante la recopilación de datos incluye: ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Las claves para una recopilación de datos exitosa incluyen: ,[object Object],[object Object],[object Object]
Identificar y clasificar activos Un activo es algo de valor para la organización y se puede clasificar como uno de los siguientes: Moderado impacto empresarial Mínimo impacto empresarial   Alto impacto empresarial 
Priorizar el riesgo Las siguientes cuatro tareas definen el proceso para dar prioridad a los riesgos: Determinar el impacto y la exposición 1 Identificar los controles actuales 2 Determinar la probabilidad del impacto 3 Determinar el nivel de riesgo en detalle 4
Comunicar el riesgo Mitigación ¿Qué está reduciendo el riesgo? Declaración de riesgo Impacto ¿Cuál es el impacto al negocio? Probabilidad ¿Cuán probable es la amenaza dados los controles? Activo ¿Qué intenta proteger? Amenaza ¿Qué teme que suceda? Vulnerabilidad ¿Cómo puede ocurrir la amenaza?
Descripción general del soporte a la decisión ,[object Object],[object Object],Evaluar los riesgos 1 Realizar un soporte basado en decisiones 2 Implementar los controles 3 Medir la efectividad del programa 4
Identificar las soluciones de control Por cada activo, responda las siguientes preguntas: ¿Cómo puede reducir el riesgo de un ataque?  ¿Cómo se puede recobrar de un ataque?  ¿Cómo puede detectar el ataque?  ¿Cómo puede supervisar la solución de control?  ¿Cómo puede medir la efectividad de la solución de control?  ¿Hay otras maneras de reducir el riesgo? 
Implementar los controles ,[object Object],[object Object],Realizar un soporte basado en decisiones 2 Implementar los controles 3 Evaluar los riesgos 1 Medir la efectividad del programa 4
Medir la efectividad del programa ,[object Object],Medir la efectividad del programa 4 Implementar los controles 3 Realizar un soporte basado en decisiones 2 Evaluar los riesgos 1
Factores de riesgo Impredecibles - Inciertos Predecibles Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc. Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc.
Virus informáticos: Definición Un virus informático es un programa (código) que se replica , añadiendo una copia de sí mismo a otro(s) programa(s). Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la pérdida total del sistema.
Virus informáticos: Características Sus principales características son: Auto-reproducción : Es la capacidad que tiene el programa de replicarse ( hacer copias de sí mismo ), sin intervención o consentimiento del usuario. Infección : Es la capacidad que tiene el código de alojarse en otros programas , diferentes al portador original.
Virus informáticos: Propósitos Afectar el software : Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos existentes, eliminándolo parcial o totalmente. Afectar el hardware : Sus instrucciones manipulan los componentes físicos. Su principal objetivo son los dispositivos de almacenamiento secundario y pueden sobrecalentar las unidades, disminuir la vida útil del medio, destruir la estructura lógica para recuperación de archivos (FAT) y otras consecuencias.
Factores humanos de riesgo Hackers ,[object Object],[object Object],[object Object],[object Object]
Factores humanos de riesgo Crackers ,[object Object],[object Object],[object Object],[object Object]
Mecanismos de Seguridad Informática Un mecanismo correctivo para factores de riesgo humano: Sanciones legales. La legislación española se ocupa de sancionar a las personas que incurran en cualquier delito relacionado con sistemas informáticos a través de la Ley Especial Contra Delitos Informáticos

Recomendados

Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacionMaria de Lourdes Castillero
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 
Control del sistema de información
Control del sistema de informaciónControl del sistema de información
Control del sistema de informaciónsanty6a
 
Investigacion controles de seguridad en mi empresa
Investigacion controles de seguridad en mi empresaInvestigacion controles de seguridad en mi empresa
Investigacion controles de seguridad en mi empresaJoel Martin
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Auditoria clase 3-4
Auditoria clase 3-4Auditoria clase 3-4
Auditoria clase 3-4elreydearmenia
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticarubicolimba
 
Auditoría de seguridad de sistemas de información
Auditoría de seguridad de sistemas de informaciónAuditoría de seguridad de sistemas de información
Auditoría de seguridad de sistemas de informaciónAlexis Arias Huapaya
 

Recomendados

Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacionMaria de Lourdes Castillero
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 
Control del sistema de información
Control del sistema de informaciónControl del sistema de información
Control del sistema de informaciónsanty6a
 
Investigacion controles de seguridad en mi empresa
Investigacion controles de seguridad en mi empresaInvestigacion controles de seguridad en mi empresa
Investigacion controles de seguridad en mi empresaJoel Martin
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Auditoria clase 3-4
Auditoria clase 3-4Auditoria clase 3-4
Auditoria clase 3-4elreydearmenia
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticarubicolimba
 
Auditoría de seguridad de sistemas de información
Auditoría de seguridad de sistemas de informaciónAuditoría de seguridad de sistemas de información
Auditoría de seguridad de sistemas de informaciónAlexis Arias Huapaya
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
Controles administrativos
Controles administrativosControles administrativos
Controles administrativosluisalejandro153
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNguest75288c
 
Mapa conceptual jhoner rodriguez
Mapa conceptual jhoner rodriguezMapa conceptual jhoner rodriguez
Mapa conceptual jhoner rodriguezjhonerr
 
10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP Henry Raúl González Brito
 
Auditoria de sistemas
Auditoria de sistemas Auditoria de sistemas
Auditoria de sistemas andrea_sanchez_UCE
 
Tema 1 auditoria de sistemas
Tema 1 auditoria de sistemasTema 1 auditoria de sistemas
Tema 1 auditoria de sistemasMILDRED JESSENIA BUSTAMANTE MOSQUERA
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasEdgar Alvarado
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Informatica alcance y objetivos de
Informatica alcance y objetivos deInformatica alcance y objetivos de
Informatica alcance y objetivos deISTELAM
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Trabajo de exposicion auditoria de sistemas
Trabajo de exposicion auditoria de sistemasTrabajo de exposicion auditoria de sistemas
Trabajo de exposicion auditoria de sistemasVinicio Zurita
 
Exposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiExposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiFrancis Perez
 
Exposicion auditoria de sistemas
Exposicion auditoria de sistemasExposicion auditoria de sistemas
Exposicion auditoria de sistemascriss39
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos InformáticosVernicaQuinteroJimne
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
RiesgosinformaticaAlvaro Rodríguez
 

Más contenido relacionado

La actualidad más candente

control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNguest75288c
 
Mapa conceptual jhoner rodriguez
Mapa conceptual jhoner rodriguezMapa conceptual jhoner rodriguez
Mapa conceptual jhoner rodriguezjhonerr
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Informatica alcance y objetivos de
Informatica alcance y objetivos deInformatica alcance y objetivos de
Informatica alcance y objetivos deISTELAM
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Trabajo de exposicion auditoria de sistemas
Trabajo de exposicion auditoria de sistemasTrabajo de exposicion auditoria de sistemas
Trabajo de exposicion auditoria de sistemasVinicio Zurita
 
Exposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiExposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiFrancis Perez
 
Exposicion auditoria de sistemas
Exposicion auditoria de sistemasExposicion auditoria de sistemas
Exposicion auditoria de sistemascriss39
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 

La actualidad más candente (20)

control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoría
 
Controles administrativos
Controles administrativosControles administrativos
Controles administrativos
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridad
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióN
 
Mapa conceptual jhoner rodriguez
Mapa conceptual jhoner rodriguezMapa conceptual jhoner rodriguez
Mapa conceptual jhoner rodriguez
 
10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP
 
Auditoria de sistemas
Auditoria de sistemas Auditoria de sistemas
Auditoria de sistemas
 
Tema 1 auditoria de sistemas
Tema 1 auditoria de sistemasTema 1 auditoria de sistemas
Tema 1 auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
Informatica alcance y objetivos de
Informatica alcance y objetivos deInformatica alcance y objetivos de
Informatica alcance y objetivos de
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Trabajo de exposicion auditoria de sistemas
Trabajo de exposicion auditoria de sistemasTrabajo de exposicion auditoria de sistemas
Trabajo de exposicion auditoria de sistemas
 
Exposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiExposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd ii
 
Exposicion auditoria de sistemas
Exposicion auditoria de sistemasExposicion auditoria de sistemas
Exposicion auditoria de sistemas
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
 

Similar a Riesgosprocesosppt383 2477 1239 1790

Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos InformáticosVernicaQuinteroJimne
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4rodrigonix
 
Riesgos de la información electrónica
Riesgos de la información electrónicaRiesgos de la información electrónica
Riesgos de la información electrónicaDanito1990
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
Presentacion2
Presentacion2Presentacion2
Presentacion2AGCR22
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 

Similar a Riesgosprocesosppt383 2477 1239 1790 (20)

Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4
 
Riesgos de la información electrónica
Riesgos de la información electrónicaRiesgos de la información electrónica
Riesgos de la información electrónica
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Seguridad
Seguridad Seguridad
Seguridad
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
 

Riesgosprocesosppt383 2477 1239 1790

  • 1. Riesgo Sistemas de Informacion
  • 2.
  • 3. Hoy en día, la mayor parte de los datos de una empresa están almacenados en los equipos informáticos. Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. Introducción El análisis de riesgos es un proceso de apoyo a la decisión; sus resultados constituyen una guía para que la organización pueda tomar decisiones sobre si es necesario implantar nuevos mecanismos de seguridad y qué controles o procesos de seguridad serán los más adecuados.
  • 4. El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas. De igual manera: Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o perdidas. Definición
  • 5. RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMÁTICA Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes :
  • 6. Riesgos de Integridad Sus Componentes: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema. Interfase del usuario :
  • 7. Riesgos de Integridad Sus Componentes: Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles detectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.
  • 8. Procesamiento de errores: Riesgos de Integridad Sus Componentes: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente. Interfase: Los riesgos en esta área generalmente se relacionan con controles preventivos y detectivos que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones.
  • 9. Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Estos riesgos están asociados con la administración inadecuadas de procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos. Administración de cambios: Riesgos de Integridad Sus Componentes:
  • 10. Riesgos de Integridad Sus Componentes: Información: continua
  • 11. Riesgos de Integridad Sus Componentes: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos. La integridad puede perderse por: Errores de programación ( buena información es procesada por programas mal construidos) , procesamiento de errores ( transacciones incorrectamente procesadas) ó administración y procesamiento de errores ( Administración pobre del mantenimiento de sistemas).
  • 12. Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones ( Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas). Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:
  • 13. Procesos de negocio:   Las decisiones organizacionales deben separar trabajo incompatible de la organización y proveer el nivel correcto de ejecución de funciones. Aplicación: La aplicación interna de mecanismos de seguridad que provee a los usuarios las funciones necesarias para ejecutar su trabajo. Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno. Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información. Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.  
  • 14.
  • 15. Proceso de administración de riesgos de seguridad Realizar un soporte basado en decisiones 2 Implementar los controles 3 Medir la efectividad del programa 4 Evaluar los riesgos 1
  • 16.
  • 17.
  • 18. Identificar y clasificar activos Un activo es algo de valor para la organización y se puede clasificar como uno de los siguientes: Moderado impacto empresarial Mínimo impacto empresarial   Alto impacto empresarial 
  • 19. Priorizar el riesgo Las siguientes cuatro tareas definen el proceso para dar prioridad a los riesgos: Determinar el impacto y la exposición 1 Identificar los controles actuales 2 Determinar la probabilidad del impacto 3 Determinar el nivel de riesgo en detalle 4
  • 20. Comunicar el riesgo Mitigación ¿Qué está reduciendo el riesgo? Declaración de riesgo Impacto ¿Cuál es el impacto al negocio? Probabilidad ¿Cuán probable es la amenaza dados los controles? Activo ¿Qué intenta proteger? Amenaza ¿Qué teme que suceda? Vulnerabilidad ¿Cómo puede ocurrir la amenaza?
  • 21.
  • 22. Identificar las soluciones de control Por cada activo, responda las siguientes preguntas: ¿Cómo puede reducir el riesgo de un ataque?  ¿Cómo se puede recobrar de un ataque?  ¿Cómo puede detectar el ataque?  ¿Cómo puede supervisar la solución de control?  ¿Cómo puede medir la efectividad de la solución de control?  ¿Hay otras maneras de reducir el riesgo? 
  • 23.
  • 24.
  • 25. Factores de riesgo Impredecibles - Inciertos Predecibles Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc. Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc.
  • 26. Virus informáticos: Definición Un virus informático es un programa (código) que se replica , añadiendo una copia de sí mismo a otro(s) programa(s). Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la pérdida total del sistema.
  • 27. Virus informáticos: Características Sus principales características son: Auto-reproducción : Es la capacidad que tiene el programa de replicarse ( hacer copias de sí mismo ), sin intervención o consentimiento del usuario. Infección : Es la capacidad que tiene el código de alojarse en otros programas , diferentes al portador original.
  • 28. Virus informáticos: Propósitos Afectar el software : Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos existentes, eliminándolo parcial o totalmente. Afectar el hardware : Sus instrucciones manipulan los componentes físicos. Su principal objetivo son los dispositivos de almacenamiento secundario y pueden sobrecalentar las unidades, disminuir la vida útil del medio, destruir la estructura lógica para recuperación de archivos (FAT) y otras consecuencias.
  • 29.
  • 30.
  • 31. Mecanismos de Seguridad Informática Un mecanismo correctivo para factores de riesgo humano: Sanciones legales. La legislación española se ocupa de sancionar a las personas que incurran en cualquier delito relacionado con sistemas informáticos a través de la Ley Especial Contra Delitos Informáticos