SlideShare una empresa de Scribd logo

Unidad 3 riesgos-contingencias

G
garivas2006

Auditoria de Sistema

Educación
1 de 29
Descargar para leer sin conexión
Amenaza  una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad  la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magnético, etc.).
Riesgo  la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes). Exposición o Impacto  la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.).
 Determinación del área a auditar.  Riesgos y  contingencias
 Planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: ◦ Evaluación de los sistemas y procedimientos. ◦ Evaluación de los equipos de cómputo.
 Para analizar y dimensionar la estructura por auditar se debe solicitar:  A NIVEL DEL ÁREA DE INFORMÁTICA.- Objetivos a corto y largo plazo.  RECURSOS MATERIALES Y TECNICOS.- Solicitar documentos sobre los equipos, número de ellos, localización y características. ◦ Estudios de viabilidad. ◦ Número de equipos, localización y las características (de los equipos instalados y por instalar y programados) ◦ Fechas de instalación de los equipos y planes de instalación. ◦ Contratos vigentes de compra, renta y servicio de mantenimiento. ◦ Contratos de seguros. ◦ Convenios que se tienen con otras instalaciones. ◦ Configuración de los equipos y capacidades actuales y máximas. ◦ Planes de expansión. ◦ Ubicación general de los equipos. ◦ Políticas de operación. ◦ Políticas de uso de los equipos.
 SISTEMAS ◦ Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de ◦ información. ◦ Manual de formas. ◦ Manual de procedimientos de los sistemas. ◦ Descripción genérica. ◦ Diagramas de entrada, archivos, salida. ◦ Salidas. ◦ Fecha de instalación de los sistemas. ◦ Proyecto de instalación de nuevos sistemas.
 El análisis de riesgo, también conocido como evaluación de riesgo, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
 El primer paso del análisis es identificar los activos a proteger o evaluar.  La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.  Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
 Riesgo inherente  Riesgo de Control  Riesgo de detección
 Cuando un error no se puede evitar que suceda porque no existen controles compensatorios relacionados que se puedan establecer.
 Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.
 Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.
•Etapa 1Cuestionario •Etapa 2Identificar los riesgos •Etapa 3Calcular el impacto •Etapa 4 Identificar las contramedidas y el coste •Etapa 5Simulaciones •Etapa 6Creación de los informes
Se identifican vulnerabilidades y riesgos en base a cuestionarios y se evalúa el impacto para luego identificar las contramedidas y el coste. La siguiente etapa es la más importante, mediante el juego de simulación (¿Qué pasa SI…?) se analiza el efecto de las distintas contramedidas en la disminución de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de seguridad) que compondrá el informe final de evaluación
 Riesgos de integridad ◦ Interfaz de usuario ◦ Procesamiento ◦ Procesamiento de errores ◦ Interfaz ◦ Administración de cambios ◦ Información ◦ Ver documento Riesgos Informáticos y seguridad
 Riesgos de relación  Riesgos de acceso ◦ Procesos de negocio ◦ Aplicación ◦ Administración de la información ◦ Entorno de procesamiento ◦ Redes ◦ Nivel Físico
 Riesgos de utilidad  Riesgos de infraestructura ◦ Planeación organizacional ◦ Definición de las aplicaciones ◦ Administración de seguridad ◦ Operaciones de red y computacionales ◦ Administración de sistemas de bases de datos ◦ Información / Negocio  Riesgos de seguridad general (eléctrico, incendio, niveles inadecuados de energía eléctrica, radiaciones, mecanicos)
Es una estrategía planificada constituida por: • Un conjunto de recursos de respaldo • Una organización de emergencia y • Unos procedimientos de actuación Encaminaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa
 Un Plan de contingencias contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una empresa.  Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías.  Dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.
Fase 1 •Análisis y Diseño: para su desarrollo se diferencias dos familias metodológicas: •Análisis de Riesgos • Impacto de Negocio Fase 2 •Desarrollo del Plan Fase 3 •Pruebas y Mantenimiento
 Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas.  Familias metodológicas: 1. Análisis de Riesgo: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan. 2. Impacto de Negocio: se basan en el estudio del impacto (pérdida económica o de imagen) que ocaciona la falta de algun recurso de los que soporta la actividad del negocio. Permiten hacer estudios coste/beneficio que justifican las inversiones con más rigor que los estudios de probabilidad que se obtienen con los análisis de riesgos
 Se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones previstas.  Se analiza la vuelta a la normalidad, dado que pasr de la situación normal a la alternativa debe concluirse con la restitución de la situación inicial antes de la contingencia.
 Se definen las pruebas, sus caracterísiticas y sus ciclos, y se realiza la primera prueba como comprobación de todo el trabajo realizado, asi como mentalizar al personal implicado  Se define la estrategia de mantenimiento, la organización destinada a ello y la normativa y procedimientos necesarios para llevarlo a cabo.
 Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar?  Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta.  Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica.  En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas.  Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.
 Las partes de un plan auditor informático: •Describir las funciones de forma precisa, y la organización interna del departamento, con todos sus recursosFunciones •Para las distintas tareas de auditoríaProcedimientos •Auditoría completa de un área •Limitada a un aspecto •Comprobación de acciones correctivas de auditorías anteriores Tipos de Auditorías •Definir varios aspectos a evaluar como gestión de recursos, cumplimiento de normas. •Realizar una evaluación global de resumen para toda la auditoría •Niveles: Bien, Regular o Mal (grado de gravedad) Sistema de Evaluación
Nivel de Exposición Evaluación Frecuencia Visitas 10-9 B 18 meses R 9 meses M 6 meses 8 -7 B 18 meses R 12 meses M 9 meses 6 – 5 B 24 meses R 18 meses M 12 meses 4 -1 B 36 meses R 24 meses M 18 meses
 El valor del nivel de exposición significa la suma de factores como impacto, peso del área, situación de control en el área  En la tabla anterior se aprecia un numero del 1 al 10 definido subjetivamente y que permite en base a la evaluación final de la última auditoría realizada definir la fecha de la repetición de la misma auditoría.
Lista de distribución de informes Seguimiento de las acciones correctoras •Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repetirse en 4 o 5 años Plan quinqueenal •Deben estimarse tiempos de manera racional y componer un calendario que una vez terminado nos dé un resultado de horas de trabajo previstas y, por lo tanto, de los recursos que se necesitarán Plan de trabajo anual

Recomendados

Identificación y evaluación de riesgos potenciales y definición de auditoria ...
Identificación y evaluación de riesgos potenciales y definición de auditoria ...Identificación y evaluación de riesgos potenciales y definición de auditoria ...
Identificación y evaluación de riesgos potenciales y definición de auditoria ...Linda Chabbeine
 
Metodos para la evaluacion integral del riesgo
Metodos para la evaluacion integral del riesgoMetodos para la evaluacion integral del riesgo
Metodos para la evaluacion integral del riesgoTATA_ACERO
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
Actividad 3 metodos para la evaluacion integral del riesgo
Actividad 3 metodos para la evaluacion integral del riesgoActividad 3 metodos para la evaluacion integral del riesgo
Actividad 3 metodos para la evaluacion integral del riesgoJeimyLamprea
 
Metodos simplificados para evaluacion de riesgo
Metodos simplificados para evaluacion de riesgo Metodos simplificados para evaluacion de riesgo
Metodos simplificados para evaluacion de riesgo vale1509
 
Métodos para evaluación integral de riesgos
Métodos para evaluación integral de riesgosMétodos para evaluación integral de riesgos
Métodos para evaluación integral de riesgosLuis Antonio Mojica Torres
 
Unidad3 tema2 v2
Unidad3 tema2 v2Unidad3 tema2 v2
Unidad3 tema2 v2Carlos Andres Perez Cabrales
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgosAndrea Guzmán
 

Recomendados

Identificación y evaluación de riesgos potenciales y definición de auditoria ...
Identificación y evaluación de riesgos potenciales y definición de auditoria ...Identificación y evaluación de riesgos potenciales y definición de auditoria ...
Identificación y evaluación de riesgos potenciales y definición de auditoria ...Linda Chabbeine
 
Metodos para la evaluacion integral del riesgo
Metodos para la evaluacion integral del riesgoMetodos para la evaluacion integral del riesgo
Metodos para la evaluacion integral del riesgoTATA_ACERO
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
Actividad 3 metodos para la evaluacion integral del riesgo
Actividad 3 metodos para la evaluacion integral del riesgoActividad 3 metodos para la evaluacion integral del riesgo
Actividad 3 metodos para la evaluacion integral del riesgoJeimyLamprea
 
Metodos simplificados para evaluacion de riesgo
Metodos simplificados para evaluacion de riesgo Metodos simplificados para evaluacion de riesgo
Metodos simplificados para evaluacion de riesgo vale1509
 
Métodos para evaluación integral de riesgos
Métodos para evaluación integral de riesgosMétodos para evaluación integral de riesgos
Métodos para evaluación integral de riesgosLuis Antonio Mojica Torres
 
Unidad3 tema2 v2
Unidad3 tema2 v2Unidad3 tema2 v2
Unidad3 tema2 v2Carlos Andres Perez Cabrales
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgosAndrea Guzmán
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia primaPaolita Gomez
 
Plan de contingencia cit, s.a.
Plan de contingencia cit, s.a.Plan de contingencia cit, s.a.
Plan de contingencia cit, s.a.Ciro Bonilla
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de RiesgosUniversidad Dominicana OYM
 
Actv3 abel-ecci-gestion riesgo
Actv3 abel-ecci-gestion riesgoActv3 abel-ecci-gestion riesgo
Actv3 abel-ecci-gestion riesgoABEL FERIA
 
Metodos para evaluacion del riesgo
Metodos para evaluacion del riesgoMetodos para evaluacion del riesgo
Metodos para evaluacion del riesgoLesly Fortich
 
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019DickJavier
 
MÉTODOS DE EVALUACIÓN DE RIESGOS.
MÉTODOS DE EVALUACIÓN DE RIESGOS.MÉTODOS DE EVALUACIÓN DE RIESGOS.
MÉTODOS DE EVALUACIÓN DE RIESGOS.EDWIN DAVID MORENO QUINTERO
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2Aguss2906
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2Aguss2906
 
Guia sco analisis_criticidad
Guia sco analisis_criticidadGuia sco analisis_criticidad
Guia sco analisis_criticidadAbel Enrique Sinning Castañeda
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputovanesa calderón lizana
 
Auditorías de seguridad
Auditorías de seguridadAuditorías de seguridad
Auditorías de seguridadGermán Espindola
 
MÉTODOS DE EVALUACIÓN DE RIESGOS
MÉTODOS DE EVALUACIÓN DE RIESGOSMÉTODOS DE EVALUACIÓN DE RIESGOS
MÉTODOS DE EVALUACIÓN DE RIESGOSEDWIN DAVID MORENO QUINTERO
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoindeson12
 
Actividad 3.metodos pptx
Actividad 3.metodos pptxActividad 3.metodos pptx
Actividad 3.metodos pptxPaola Montana Duque
 
Métodos para la evaluación del riesgo
Métodos para la evaluación del riesgoMétodos para la evaluación del riesgo
Métodos para la evaluación del riesgoJeimy Paola Rodríguez
 
Métodos para la Evaluación Integral de Riesgos
Métodos para la Evaluación Integral de Riesgos Métodos para la Evaluación Integral de Riesgos
Métodos para la Evaluación Integral de Riesgos AndresMauricioPuente
 
Actividad 3
Actividad 3Actividad 3
Actividad 3yuliovalle
 
Evaluacion riesgo
Evaluacion riesgoEvaluacion riesgo
Evaluacion riesgoDianaGualdron2
 
procesos de la auditoria
procesos de la auditoriaprocesos de la auditoria
procesos de la auditoriaJosLuisMndezMndezHer
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 

Más contenido relacionado

La actualidad más candente

Plan de contingencia cit, s.a.
Plan de contingencia cit, s.a.Plan de contingencia cit, s.a.
Plan de contingencia cit, s.a.Ciro Bonilla
 
Actv3 abel-ecci-gestion riesgo
Actv3 abel-ecci-gestion riesgoActv3 abel-ecci-gestion riesgo
Actv3 abel-ecci-gestion riesgoABEL FERIA
 
Metodos para evaluacion del riesgo
Metodos para evaluacion del riesgoMetodos para evaluacion del riesgo
Metodos para evaluacion del riesgoLesly Fortich
 
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019DickJavier
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2Aguss2906
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2Aguss2906
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputovanesa calderón lizana
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoindeson12
 
Métodos para la evaluación del riesgo
Métodos para la evaluación del riesgoMétodos para la evaluación del riesgo
Métodos para la evaluación del riesgoJeimy Paola Rodríguez
 
Métodos para la Evaluación Integral de Riesgos
Métodos para la Evaluación Integral de Riesgos Métodos para la Evaluación Integral de Riesgos
Métodos para la Evaluación Integral de Riesgos AndresMauricioPuente
 

La actualidad más candente (20)

Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
 
Plan de contingencia cit, s.a.
Plan de contingencia cit, s.a.Plan de contingencia cit, s.a.
Plan de contingencia cit, s.a.
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Actv3 abel-ecci-gestion riesgo
Actv3 abel-ecci-gestion riesgoActv3 abel-ecci-gestion riesgo
Actv3 abel-ecci-gestion riesgo
 
Metodos para evaluacion del riesgo
Metodos para evaluacion del riesgoMetodos para evaluacion del riesgo
Metodos para evaluacion del riesgo
 
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019
Actividad no 3 metodos para la evaluacion integral de riesgos d nunez 2019
 
MÉTODOS DE EVALUACIÓN DE RIESGOS.
MÉTODOS DE EVALUACIÓN DE RIESGOS.MÉTODOS DE EVALUACIÓN DE RIESGOS.
MÉTODOS DE EVALUACIÓN DE RIESGOS.
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2
 
Guia sco analisis_criticidad
Guia sco analisis_criticidadGuia sco analisis_criticidad
Guia sco analisis_criticidad
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputo
 
Auditorías de seguridad
Auditorías de seguridadAuditorías de seguridad
Auditorías de seguridad
 
MÉTODOS DE EVALUACIÓN DE RIESGOS
MÉTODOS DE EVALUACIÓN DE RIESGOSMÉTODOS DE EVALUACIÓN DE RIESGOS
MÉTODOS DE EVALUACIÓN DE RIESGOS
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 
Actividad 3.metodos pptx
Actividad 3.metodos pptxActividad 3.metodos pptx
Actividad 3.metodos pptx
 
Métodos para la evaluación del riesgo
Métodos para la evaluación del riesgoMétodos para la evaluación del riesgo
Métodos para la evaluación del riesgo
 
Métodos para la Evaluación Integral de Riesgos
Métodos para la Evaluación Integral de Riesgos Métodos para la Evaluación Integral de Riesgos
Métodos para la Evaluación Integral de Riesgos
 
Actividad 3
Actividad 3Actividad 3
Actividad 3
 
Evaluacion riesgo
Evaluacion riesgoEvaluacion riesgo
Evaluacion riesgo
 

Similar a Unidad 3 riesgos-contingencias

Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
Presentacion analisis del riesgo
Presentacion analisis del riesgoPresentacion analisis del riesgo
Presentacion analisis del riesgoJhovany Lavado
 
Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Joanna Patricia
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Métodos para la evaluación integral de riesgosTarea.pdf
Métodos para la evaluación integral de riesgosTarea.pdfMétodos para la evaluación integral de riesgosTarea.pdf
Métodos para la evaluación integral de riesgosTarea.pdfsantiago626162
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgosJeniferPaloSan
 
Métodos para la evaluación de riesgos. Ricardo López
Métodos para la evaluación de riesgos. Ricardo LópezMétodos para la evaluación de riesgos. Ricardo López
Métodos para la evaluación de riesgos. Ricardo LópezRicardo Galeano
 
Actividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgosActividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgosNATALIA CAROLINA PEREZ LONDOÑO
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgosAlexLeonardoCantillo
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3GLENIAMARIA
 
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgoMetodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgosandrahoyos18
 

Similar a Unidad 3 riesgos-contingencias (20)

procesos de la auditoria
procesos de la auditoriaprocesos de la auditoria
procesos de la auditoria
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
 
Presentacion analisis del riesgo
Presentacion analisis del riesgoPresentacion analisis del riesgo
Presentacion analisis del riesgo
 
Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Métodos para la evaluación integral de riesgosTarea.pdf
Métodos para la evaluación integral de riesgosTarea.pdfMétodos para la evaluación integral de riesgosTarea.pdf
Métodos para la evaluación integral de riesgosTarea.pdf
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 
Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgos
 
Métodos para la evaluación de riesgos. Ricardo López
Métodos para la evaluación de riesgos. Ricardo LópezMétodos para la evaluación de riesgos. Ricardo López
Métodos para la evaluación de riesgos. Ricardo López
 
Taller 3 gestion de riesgos
Taller 3 gestion de riesgosTaller 3 gestion de riesgos
Taller 3 gestion de riesgos
 
Actividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgosActividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgos
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgos
 
02 matriz de riesgo
02 matriz de riesgo02 matriz de riesgo
02 matriz de riesgo
 
Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingencia
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastres
 
Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3
 
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgoMetodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgo
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingencia
 

Último

Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxAleParedes11
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadAlejandrino Halire Ccahuana
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfMARIAPAULAMAHECHAMOR
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
Movimientos Precursores de La Independencia en Venezuela
Movimientos Precursores de La Independencia en VenezuelaMovimientos Precursores de La Independencia en Venezuela
Movimientos Precursores de La Independencia en Venezuelacocuyelquemao
 
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxPRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxinformacionasapespu
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 

Último (20)

Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdad
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdf
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
La Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdfLa Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdf
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDIUnidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
 
Movimientos Precursores de La Independencia en Venezuela
Movimientos Precursores de La Independencia en VenezuelaMovimientos Precursores de La Independencia en Venezuela
Movimientos Precursores de La Independencia en Venezuela
 
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxPRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 

Unidad 3 riesgos-contingencias

  • 1.
  • 2. Amenaza  una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad  la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magnético, etc.).
  • 3. Riesgo  la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes). Exposición o Impacto  la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.).
  • 4.  Determinación del área a auditar.  Riesgos y  contingencias
  • 5.  Planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: ◦ Evaluación de los sistemas y procedimientos. ◦ Evaluación de los equipos de cómputo.
  • 6.  Para analizar y dimensionar la estructura por auditar se debe solicitar:  A NIVEL DEL ÁREA DE INFORMÁTICA.- Objetivos a corto y largo plazo.  RECURSOS MATERIALES Y TECNICOS.- Solicitar documentos sobre los equipos, número de ellos, localización y características. ◦ Estudios de viabilidad. ◦ Número de equipos, localización y las características (de los equipos instalados y por instalar y programados) ◦ Fechas de instalación de los equipos y planes de instalación. ◦ Contratos vigentes de compra, renta y servicio de mantenimiento. ◦ Contratos de seguros. ◦ Convenios que se tienen con otras instalaciones. ◦ Configuración de los equipos y capacidades actuales y máximas. ◦ Planes de expansión. ◦ Ubicación general de los equipos. ◦ Políticas de operación. ◦ Políticas de uso de los equipos.
  • 7.  SISTEMAS ◦ Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de ◦ información. ◦ Manual de formas. ◦ Manual de procedimientos de los sistemas. ◦ Descripción genérica. ◦ Diagramas de entrada, archivos, salida. ◦ Salidas. ◦ Fecha de instalación de los sistemas. ◦ Proyecto de instalación de nuevos sistemas.
  • 8.  El análisis de riesgo, también conocido como evaluación de riesgo, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
  • 9.  El primer paso del análisis es identificar los activos a proteger o evaluar.  La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.  Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
  • 10.  Riesgo inherente  Riesgo de Control  Riesgo de detección
  • 11.  Cuando un error no se puede evitar que suceda porque no existen controles compensatorios relacionados que se puedan establecer.
  • 12.  Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.
  • 13.  Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.
  • 14. •Etapa 1Cuestionario •Etapa 2Identificar los riesgos •Etapa 3Calcular el impacto •Etapa 4 Identificar las contramedidas y el coste •Etapa 5Simulaciones •Etapa 6Creación de los informes
  • 15. Se identifican vulnerabilidades y riesgos en base a cuestionarios y se evalúa el impacto para luego identificar las contramedidas y el coste. La siguiente etapa es la más importante, mediante el juego de simulación (¿Qué pasa SI…?) se analiza el efecto de las distintas contramedidas en la disminución de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de seguridad) que compondrá el informe final de evaluación
  • 16.  Riesgos de integridad ◦ Interfaz de usuario ◦ Procesamiento ◦ Procesamiento de errores ◦ Interfaz ◦ Administración de cambios ◦ Información ◦ Ver documento Riesgos Informáticos y seguridad
  • 17.  Riesgos de relación  Riesgos de acceso ◦ Procesos de negocio ◦ Aplicación ◦ Administración de la información ◦ Entorno de procesamiento ◦ Redes ◦ Nivel Físico
  • 18.  Riesgos de utilidad  Riesgos de infraestructura ◦ Planeación organizacional ◦ Definición de las aplicaciones ◦ Administración de seguridad ◦ Operaciones de red y computacionales ◦ Administración de sistemas de bases de datos ◦ Información / Negocio  Riesgos de seguridad general (eléctrico, incendio, niveles inadecuados de energía eléctrica, radiaciones, mecanicos)
  • 19. Es una estrategía planificada constituida por: • Un conjunto de recursos de respaldo • Una organización de emergencia y • Unos procedimientos de actuación Encaminaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa
  • 20.  Un Plan de contingencias contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una empresa.  Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías.  Dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.
  • 21. Fase 1 •Análisis y Diseño: para su desarrollo se diferencias dos familias metodológicas: •Análisis de Riesgos • Impacto de Negocio Fase 2 •Desarrollo del Plan Fase 3 •Pruebas y Mantenimiento
  • 22.  Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas.  Familias metodológicas: 1. Análisis de Riesgo: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan. 2. Impacto de Negocio: se basan en el estudio del impacto (pérdida económica o de imagen) que ocaciona la falta de algun recurso de los que soporta la actividad del negocio. Permiten hacer estudios coste/beneficio que justifican las inversiones con más rigor que los estudios de probabilidad que se obtienen con los análisis de riesgos
  • 23.  Se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones previstas.  Se analiza la vuelta a la normalidad, dado que pasr de la situación normal a la alternativa debe concluirse con la restitución de la situación inicial antes de la contingencia.
  • 24.  Se definen las pruebas, sus caracterísiticas y sus ciclos, y se realiza la primera prueba como comprobación de todo el trabajo realizado, asi como mentalizar al personal implicado  Se define la estrategia de mantenimiento, la organización destinada a ello y la normativa y procedimientos necesarios para llevarlo a cabo.
  • 25.  Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar?  Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta.  Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica.  En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas.  Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.
  • 26.  Las partes de un plan auditor informático: •Describir las funciones de forma precisa, y la organización interna del departamento, con todos sus recursosFunciones •Para las distintas tareas de auditoríaProcedimientos •Auditoría completa de un área •Limitada a un aspecto •Comprobación de acciones correctivas de auditorías anteriores Tipos de Auditorías •Definir varios aspectos a evaluar como gestión de recursos, cumplimiento de normas. •Realizar una evaluación global de resumen para toda la auditoría •Niveles: Bien, Regular o Mal (grado de gravedad) Sistema de Evaluación
  • 27. Nivel de Exposición Evaluación Frecuencia Visitas 10-9 B 18 meses R 9 meses M 6 meses 8 -7 B 18 meses R 12 meses M 9 meses 6 – 5 B 24 meses R 18 meses M 12 meses 4 -1 B 36 meses R 24 meses M 18 meses
  • 28.  El valor del nivel de exposición significa la suma de factores como impacto, peso del área, situación de control en el área  En la tabla anterior se aprecia un numero del 1 al 10 definido subjetivamente y que permite en base a la evaluación final de la última auditoría realizada definir la fecha de la repetición de la misma auditoría.
  • 29. Lista de distribución de informes Seguimiento de las acciones correctoras •Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repetirse en 4 o 5 años Plan quinqueenal •Deben estimarse tiempos de manera racional y componer un calendario que una vez terminado nos dé un resultado de horas de trabajo previstas y, por lo tanto, de los recursos que se necesitarán Plan de trabajo anual