Analisis de riesgos parcial

1.593 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.593
En SlideShare
0
De insertados
0
Número de insertados
24
Acciones
Compartido
0
Descargas
59
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Analisis de riesgos parcial

  1. 1. UNFV- FIIS <br />SEGURIDAD EN COMPUTACION E INFORMATICA<br />ANÁLISIS DE RIESGOS <br />PROFESOR:<br />Ing. Mujica Ruiz, Oscar<br />Aguilar Chumpitaz Julio César<br />Huamán Romero, Ronald José<br />Quintanilla Gálvez, Susan Hítala<br />INTEGRANTES:<br />1<br />UNFV - FIIS<br />SEGURIDAD EN COMPUTACION E INFORMATICA<br />
  2. 2. CONCEPTO<br /><ul><li>Proceso por el cual se identifican las amenazas y vulnerabilidades de una organización, con el fin de conseguir herramientas necesarias para disminuir o evitar la ocurrencia del riesgo, es decir; generar controles que minimicen los efectos de los riesgos.
  3. 3. ISO 17799 (InformationTechnology -- Code of</li></ul>practiceforinformationsecuritymanagement)<br />3<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  4. 4. METODOLOGÍA RISK IT <br />Desarrollado por ISACA<br />Organización líder en Auditoria<br />de Sistemas y Seguridad de los <br />Activos de Información.<br />Mientras que el Cobit se concentra en la gestión de procesos de TI y Val IT se concentra en la gestión del portafolio de iniciativas de TI para generar valor a la organización, Risk IT es una metodología de análisis de riesgo que tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios. Es decir, el riesgo de no tomar ventaja de TI. Contiene 3 dominios:<br /> Gestión de Riesgos Evaluación de Riesgos <br /> Respuesta al Riesgo<br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  5. 5. CASOS PRACTICOS<br />1. MetLife<br />Es un proveedor líder de seguros y otros servicios financieros a millones de clientes individuales e institucionales en los Estados Unidos. Fuera de los EE.UU., las compañías MetLife tienen operaciones directas de seguros en Asia, América Latina y Europa.<br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  6. 6. CASOS PRACTICOS<br />MetLife<br />Como líder en su sector MetLife considera que; evitar riesgos a sus clientes, partes interesadas y la reputación debe ser primordial.<br />El establecimiento de procesos de gestión de riesgos de IT ha permitido; a MetLife; reducir las pérdidas operativas, porque brinda: <br />Prioridad a las inversiones<br />Confianza para reaccionar a los cambios del negocio<br />Concentrar los recursos en atender las zonas de alto riesgo.<br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  7. 7. CASOS PRACTICOS<br />MetLifeEnhancesRisk Management<br />MetLife tiene por objeto mejorar continuamente sus procesos de gestión de riesgos de TI . Con este fin, cuando ISACA dio a conocer su proyecto de Risk IT Framework, MetLife hallo buenas prácticas de gestión de riesgos.  Dada la amplia adopción de COBIT , los profesionales de MetLife aprovecharon el documento para crear un MetLifeEnhancesRisk Management.<br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  8. 8. CASOS PRACTICOS<br />MetLifeEnhancesRisk Management<br />Proporciona detalles sobre los procesos y actividades asociadas necesarias para cumplir los objetivos de los tres dominios. También; indicadores potenciales que pueden ser utilizados para monitorear el riesgo, las actividades y el estado de cumplimiento de las políticas de gestión del riesgo.<br />Una vez que fue redactado, Los profesionales en coordinación con la Auditoría Interna realizó un análisis de madurez de los procesos para identificar los procesos y actividades que requiera enfoque y lograr la mejora continua. <br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  9. 9. MetLifeEnhancesRisk Management<br />Entonces se da prioridad las áreas de enfoque y se crea una hoja de ruta continua, que se centra principalmente en la convergencia de las actividades de riesgo de varias funciones de MetLife, para reducir la fatiga de evaluación dentro de TI y las líneas de negocio y aumentar la eficiencia y eficacia del proceso . <br />El progreso hacia la hoja de ruta es supervisado por los líderes de la Gestión del Riesgo Operacional, Auditoría Interna, el riesgo y el cumplimiento funciones de TI para dar impulso a los esfuerzos de mejora continua<br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  10. 10. Caso práctico: sistema informático_interno<br />CASOS PRACTICOS<br />2. Sistema Informático Interno<br />La unidad objeto de estudio no es de nueva creación, sino que lleva años tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema informático propio. A este sistema informático se le ha añadido recientemente una conexión a un archivo central que funciona como “memoria histórica”: permite recuperar datos y conservar los expedientes cerrados. El responsable del proyecto de administración electrónica, alarmado por las noticias aparecidas en los medios sobre la inseguridad de Internet, y sabiendo que un fallo en el servicio conllevaría un serio daño a la imagen de su unidad, asume el papel de promotor. En este papel escribe un informe<br />interno1, dirigido al director de la unidad, en el que da cuenta de<br />• los medios informáticos con que se está trabajando y los que se van a instalar<br />• las incidencias acaecidas desde que la unidad existe<br />• las incertidumbres que le causa el uso de Internet para la prestación del servicio<br />En base a dicho informe argumenta la conveniencia de lanzar un proyecto AGR.<br />
  11. 11. CASOS PRACTICOS<br />
  12. 12.
  13. 13. CASOS PRACTICOS<br />
  14. 14. CASOS PRACTICOS<br />
  15. 15. CASOS PRACTICOS<br />
  16. 16. CASOS PRACTICOS<br />
  17. 17. CASOS PRACTICOS<br />3. Diseño de Sistema: Aplicación y Mantenimiento<br />Un banco afronta el riesgo de que el sistema por él elegido no se encuentre bien diseñado o implantado. Por ejemplo, un banco está expuesto al riesgo de una interrupción de su sistema de banca electrónica si éste no es compatible o no satisface los requerimientos de sus usuarios.<br />Muchos bancos delegan en suministradores de servicios externos y expertos (outsourcing) la operativa y el mantenimiento de sus actividades de banca electrónica. Esta delegación puede ser conveniente porque permite al banco desprenderse de aspectos que no puede suministrar de forma eficiente por sí mismo. Sin embargo, el outsourcing expone al banco al riesgo operacional, en la medida en que los proveedores de servicios pudieran no estar tecnológicamente preparados para prestar los servicios esperados o fallar en la actualización de su tecnología. Si esto ocurriera la reputación bancaria se vería seriamente dañada.<br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  18. 18. CASOS PRACTICOS<br />El mal uso de los productos y servicios por el cliente<br />.<br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  19. 19. CASOS PRACTICOS<br />El mal uso de los productos y servicios por el cliente<br />Los malos usos del cliente, tanto intencionados como inadvertidos, constituyen otra de las fuentes de riesgo operacional. El riesgo puede ser mayor si el banco no "educa" adecuadamente a sus clientes sobre las precauciones de seguridad. Además, en ausencia de medidas adecuadas para verificar las transacciones, los clientes podrían anular operaciones que, previamente, autorizaron, dando lugar a importantes pérdidas financieras para el banco.<br />El uso personal de información del cliente (como por ejemplo la verificación de información, número de las tarjetas de crédito, número de las cuentas bancarias, etc.) en una transmisión electrónica carente de seguridad permitiría a un experto (hacker) tener acceso directo a las cuentas de los clientes. Consecuentemente, el banco podría incurrir en pérdidas financieras debido a transacciones de clientes no autorizados.<br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  20. 20. CONCLUSIONES <br /><ul><li>El Análisis de riesgo es la forma de conocer las vulnerabilidades de una organización, así como las amenazas que enfrenta.
  21. 21. El análisis y manejo de riesgo es un proceso indispensable para las empresas, en especial en países donde las variables económicas y las reglas de juego cambian constantemente.
  22. 22. Es importante tenerlo en cuenta en toda toma de decisión e incluirlo en el plan estratégico de la empresa.
  23. 23. La seguridad es un conjunto de planes y estrategias enfocadas a reducir los riesgos. </li></ul>4<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  24. 24. RECOMENDACIONES<br />Las empresas deben identificar cuidadosamente las oportunidades, impactos y riesgos a los que se enfrentan los usuarios como consecuencia directa o indirecta de su actividad.<br /> Mantener una estratégica de protección y de<br />reducción de riesgo.<br />Para tener una óptima gestión de riesgos se necesita iniciar con un buen análisis de riesgos; el cual permita desarrollar un plan de prevención y recuperación antes de ocurrido los riesgos. <br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />
  25. 25. CONCEPTOS PREVIOS<br />GRACIAS <br />6<br />UNFV - FIIS<br />REDES Y CONECTIVIDAD <br />

×