Este documento presenta una introducción a los riesgos informáticos y al análisis de riesgos. Explica que los riesgos informáticos son exposiciones como ataques y amenazas a los sistemas de información. Luego define el análisis de riesgos como la identificación de las posibles consecuencias de las vulnerabilidades para lograr un manejo de riesgos a través de controles. Finalmente, introduce la matriz de riesgos como una herramienta para identificar las actividades más riesgosas de una organización y los factores
1. AUDITORIA DE SISTEMAS
RIESGOS INFORMATICOS
PRESENTADO POR:
JOSE LUGO NAVARRETE
MANUEL ALEJANDRO MURCIA
ING. NESTOR ALEJANDRO LOPEZ RINCON
CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR
FACULTAD DE INGENIERIA
PROGRAMA INGENIERIA DE SISTEMAS
2016
2. 1. RIESGOS INFORMATICOS
Es importante entodaorganizacióncontarcon una herramienta,que garantice lacorrecta
evaluaciónde losriesgos,aloscualesestánsometidoslosprocesosyactividadesque participanen
el área informática;ypor mediode procedimientosde control que puedanevaluarel desempeño
del entornoinformático.
Viendolanecesidadenel entornoempresarial de estetipode herramientasyteniendoencuenta
que,unade lasprincipalescausasde losproblemasdentrodel entornoinformático,esla
inadecuadaadministraciónde riesgosinformáticos,estainformaciónsirve de apoyoparauna
adecuadagestiónde laadministraciónde riesgos.
¿QUE SON LOS RIESGOS?
El riesgoesunacondicióndel mundoreal,enel cual hay unaexposiciónalaadversidad
conformadapor unacombinaciónde circunstanciasdel entornodonde hayposibilidadde
pérdidas.Losriesgosinformáticossonexposicionestalescomoatentadosyamenazasalos
sistemasde información.
“La probabilidadde que unaamenazase materialice,utilizandolavulnerabilidadexistentesde un
activoo gruposde activos,generándolespérdidasodaños”.Fuente:OrganizaciónInternacional
por la Normalización(ISO).
2. ANALISIS DE RIESGOS
¿QUE ES?
Podemosdefinirel riesgocomo:laposibilidadde que ocurraalgúneventonegativoparalas
personasy/oempresas.Yaque cualquierpersonaoentidadestáexpuestaaunaserie de riesgos
derivadosde factoresinternosyexternos,tanvariablescomosupropiopersonal,suactividad,la
situación económica,laasignaciónde susrecursosfinancierosolatecnologíautilizada(Rodríguez,
1995).
Los equiposde cómputoque habitualmente se utilizanenlasempresasestánsujetosal riesgode
que ocurra algunaeventualidadque losdañe ydebidoaque no existe unaseguridadtotal ylas
medidasde seguridadnopuedenaseguraral 100% laprotecciónencontra de las vulnerabilidades,
esimprescindiblerealizarperiódicamente enunaorganización,unanálisisde riesgos,para
identificarlasconsecuenciaprobablesolosriesgosasociadosconlasvulnerabilidades,yasí,lograr
un manejode riesgotrasla implementaciónymantenimientode controlesque reduzcanlos
efectosde éste aun nivel aceptable.
El análisisde riegosproporcionaherramientasútilespara cuantificarel riesgoyevaluarsi este
análisisesadecuado,tomarmedidasparareducirlo,ademásintentamantenerunbalance
económicoentre el impactode losriesgosyel costode las solucionesde unprogramaefectivode
seguridaddestinadasamanejarlos.
3. CONSIDERACIONES Y RELACIONES DEL ANÁLISIS DE RIESGOS
En un procesode análisisdel riesgodebeconsiderarse lasiguiente terminología:
Activo:estodoaquelloconvalorpara una organizaciónyque necesitaprotección –datos
infraestructura,hardware,software,personal ysuexperiencia,información,servicios-.
Riesgo:posibilidadde sufriralgúndañoopérdida.
Aceptacióndel riesgo: decisiónparaaceptarunriesgo.
Análisisde riesgo: usosistemáticode informacióndisponible paraidentificarlasfuentesypara
estimarqué tan seguidodeterminadoseventosnodeseadospuedenocurrirylamagnitudde sus
consecuencias.Usosistemáticode lainformaciónparadescribirycalcularel riesgo(vertabla5.3).
Evaluaciónde amenazasyvulnerabilidadesde la informaciónysuimpacto(vertabla5.4) en el
procesamientode lainformaciónasícomo sufrecuenciade ocurrencia(vertabla5.5).
Tabla 5.3 Un ejemplode laescaladel riesgo
ANALISIS DE RIESGOS
1. Manejode riesgo: proceso de identificación, control y minimización o eliminación de riesgos de
seguridad que pueden afectar sistemas de información, por un costo aceptable.
2. Evaluación del riesgo: comparación de los resultados de un análisis del riesgo con los criterios
estándares del riesgo u otros criterios de decisión.
3. Impacto: pérdidascomoresultadode laactividadde una amenaza,laspérdidasson normalmente
expresadas en una o más áreas de impacto –destrucción, denegación de servicios, revelación o
modificación-.
4. Pérdidaesperada: el impactoanticipadoy negativoalosactivos debido a una manifestación de la
amenaza.
5. Vulnerabilidad: una condición de debilidad.
6. Amenaza: una acciónpotencial (que puedesucederoexistir,peronoexisteaún) conlaposibilidad
de causar daño.
7. Riesgo residual: el nivel de riesgo que queda después de la consideración de todas las medidas
necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado
como es o reducirse a un punto donde pueda ser aceptado.
8. Control: son los protocolos y mecanismos de protección que permiten el cumplimiento de las
políticas de seguridad de la organización
4. RELACION DE ANALISIS DE RIESGOS
3. MATRIZ DE RIESGOS
¿QUE ES?
Una matriz de riesgoesuna herramientade control yde gestiónnormalmente utilizada para
identificarlasactividades(procesosy productos) más importantesde unainstitución financiera,
el tipoy nivel de riesgosinherentesaestasactividadesylosfactoresexógenosendógenosque
engendranestosriesgos(factoresde riesgo).Igualmente,una matrizde riesgopermiteevaluarla
efectividadde unaadecuadagestiónyadministraciónde los riesgosfinancieros,operativosy
estratégicosque impactanlamisiónde laorganización. Lamatrizdebe serunaherramienta
flexible que documentelosprocesos yevalúe de maneraglobal el riesgode unainstitución.Una
matrizes unaherramientasencillaque permiterealizarundiagnósticoobjetivode lasituación
global de riesgode unainstitución financiera.Permiteunaparticipaciónmásactivade lasunidades
de negocios,operativasy funcionalesenladefiniciónde laestrategiainstitucionalde riesgode la
entidadbancaria. Esconsistente conlosmodelosde auditoríabasadosenriesgosampliamente
difundido enlasmejoresprácticasinternacionales(Coso,Coco- Cobit).Unaefectivamatrizde
riesgopermite hacercomparacionesobjetivasentre proyectos, áreas,productos,procesoso
actividades. Finalmente,unaMatrizde Riesgoadecuadamente diseñaday
efectivamenteimplementadase convierte en soporte conceptual y funcionalde un efectivo
SistemaIntegral de Gestiónde Riesgo.