2. ¿Qué es riesgo?
De acuerdo con el Project Management Institute
[PMI 2004], riesgo es:
“Un evento o condición incierta que, si ocurre,
tiene un efecto positivo o negativo en al menos
uno de los objetivos del proyecto, tales como
tiempo, costo, alcance o calidad”.
“La administración del riesgo del proyecto
incluye los procesos relacionados con llevar a
cabo la planeación de la administración de
riesgos, su identificación, análisis, respuesta,
monitoreo y control en un proyecto” y la
manera en como puede impactar.
• La probabilidad e
impacto de
eventos adversos
al proyecto
Minimizar
• La probabilidad y
consecuencia de
eventos positivos
Maximizar
Los objetivos de la administración de riesgo son:
3. Riesgo Informático
• La Organización Internacional por la Normalización (ISO) define
riesgo tecnológico (Guías para la gestión de la seguridad de TI
/TEC TR 13335-1, 1996) como:
• “La probabilidad de que una amenaza se materialice, utilizando
vulnerabilidad existente de un activo o un grupo de activos,
generándole perdidas o daños”, a los bienes o servicios
informáticos como por ejemplo los equipos informáticos,
periféricos, instalaciones, proyectos, programas de computo,
archivos, información, datos confidenciales, entre otros.
4. Concepto de riesgo Integral
• En la definición anterior se pueden identificar varios elementos
como:
5. Probabilidad
Probabilidad
de
ocurrencia
• cualitativa o cuantitativa
Ejemplo 1: • acceso no autorizado de datos
Ejemplo 2: • Un incendio
Debe considerarse en cada caso; qué posibilidades existen de que la amenaza se
presenten independientemente del hecho que sea o no contrarrestada.
6. Amenazas
• Son aquellas acciones que pueden ocasionar consecuencias negativas en la
operatividad de la empresa.
Estas pueden ser
Fallas
Virus
Uso inadecuado de
Software
Ingresos no autorizados
Desastres ambientales Físicas
Lógicas
7. Vulnerabilidad
• Son ciertas condiciones
inherentes a los activos o
presentes en su entorno, es decir,
a través de debilidades
existentes; las amenazas logran
materializarse.
8. Activos e Impactos
Son aquellos relacionados con
sistemas de información.
Ejemplo:
• Los datos,
• El hardware,
• El software,
• Servicios,
• Documentos,
• Edificios y
• Recursos humanos.
Las pérdidas generadas pueden ser
financieras, no financieras, de corto
o de largo plazo.
Las más comunes son:
• La pérdida directa de dinero, de
confianza o de oportunidades de
negocio,
• La reducción de la eficiencia,
• Perdida humana o
• Desastre Natural,
• Multas o demandas legales.
9. Evaluación de riesgos y presentación de
pruebas
Debe prepararse de forma personalizada para cada organización; formulando algunas preguntas
que ayuden a identificar lo anteriormente expuesto:
1. ¿Qué puede salir mal? 5. ¿Se está preparado para abrir
las puertas del negocio sin
sistemas; por cuanto tiempo?"
9. ¿Cuántas personas dentro de la
empresa, están en condiciones de
inhibir el procesamiento de datos?
2. ¿Con qué frecuencia
puede ocurrir?
6. ¿Cuánto, tiempo se puede estar
off-line sin que los clientes se
vayan a la competencia?
10. ¿A que se llama información
confidencial y/o sensitiva?"
3. ¿Cuáles serían sus
consecuencias?
7. ¿Se tiene forma de detectar a
un empleado deshonesto a través
del sistema?
11. ¿La seguridad actual cubre los tipos
de ataques existentes y está preparada
para adecuarse a los avances
tecnológicos?
4. ¿Qué tan fiables son las
respuestas a las tres
primeras preguntas?
8. ¿Se tiene control sobre las
operaciones de los distintos
sistemas?
12. ¿Quién es el propietario del recurso
y cómo se actuará si la seguridad es
violada?
10. Lista de riesgos
• Posteriormente se realiza un resumen de los tipos de riesgos localizados para determinar el
valor del factor y poner en marcha el plan de contingencia según sus objetivos estratégicos,
necesarios para evitar dicho riesgo:
11. Administración de riesgos
• La Administración del Riesgo Empresarial (Enterprise Risk Management-
ERM) es el proceso por el cual la dirección de una empresa u
organización administra a partir de los recursos, (humanos, físicos y
financieros) minimiza pérdidas a corto plazo por la ocurrencia de
acuerdo al nivel de riesgos a los cuales está expuesto (tanto sean de
mercado como operacionales) según sus objetivos estratégicos.
12. Soluciones y Beneficios
• Buenas prácticas junto con empresas
dedicadas a planificar opciones de
mitigación de riesgos,
• Diseñar soluciones,
• Alinear riesgos informáticos con costos
empresariales para optimizar inversiones y
• Administrar de forma unificada los riesgos
informáticos de manera continua.
• Priorizar y establecer niveles de riesgo para sus
procesos y recursos empresariales críticos.
• Pasar de mitigar el riesgo a prevenir
proactivamente las fallas.
• Tomar decisiones más informadas sobre cómo
proteger su empresa.
• Evaluar las tácticas y los costos de la
administración de riesgos relacionados con los
diferentes niveles de protección.
• Prepararse adecuadamente para las auditorías de
las agencias de control.
16. Referencias bibliograficas
• http://carrmen.jimdo.com/riesgo-informatico/
• http://www.kit.com.ar/boletines-a.php?id=0000037
• Security in Computing – Charles P. Pfleeger – Prentice Hall
• Network Security - Analysis and Implementation - January 1996 -
MG-1 - http://www.cse.dnd.ca - Government of Canadá,
Communications Security Establishment (CSE)
Mtra. Ana Elena García Pumarino
Asesor