Information Risk Management and Compliance Chapter 2

2.10.6 Vulnerabilidades Algunos ejemplos de vulnerabilidades son:Falta de funcionalidad de la seguridad.Falta de mantenimiento apropiado.Eleccin deficiente de contraseas.Tecnologa no probada.Transmisin de comunicaciones no protegidas.Falta de redundancia.Comunicaciones gerenciales deficientes.Copyright 2013 ISACA. Todos los derechos reservados.1Contenidos a Enfatizar: Las vulnerabilidades tienen otras dimensiones adems de la tecnologa. Considere la organizacin que no tiene una capacitacin formal de la seguridad de la informacin y un programa de concientizacin. La vulnerabilidad en este caso se origina de la falta de concientizacin del usuario acerca de las polticas de seguridad, estndares y directrices. Las vulnerabilidades tambin pueden derivarse de la falta de procesos para el control de configuracin, y certificacin y acreditacin de sistemas.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 111

2.10.7 RiesgoEl Gerente de Seguridad de Informacin debe entender el perfil de riesgo de negocio de una organizacin.El riesgo es inherente al negocio.Dado que resulta imprctico y costoso eliminar todos los riesgos, cada organizacin tiene un apetito de riesgo (nivel de riesgo que est dispuesto a aceptar).Para determinar el nivel razonable de riesgo aceptable, el Gerente de Riesgos debe determinar el punto ptimo en el cual el costo de las prdidas se intersecta con el costo de mitigar el riesgo.La falta de una adecuada gestin de riesgos genera una asignacin inapropiada de los esfuerzos.Copyright 2013 ISACA. Todos los derechos reservados.2Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1112.10.8 Anlisis de riesgos relevantesEl anlisis de riesgos es la fase en la cual se valoran y entienden tanto el nivel de riesgo como su naturaleza.El anlisis de riesgos implica:Una inspeccin rigurosa de las fuentes de riesgo.Sus consecuencias negativas y positivas.La probabilidad de que dichas consecuencias ocurran y los factores que influyen en ellas.La evaluacin de cualquier control o proceso existente que tienda a minimizar los riesgos negativos o a mejorar los riesgos positivos.Copyright 2013 ISACA. Todos los derechos reservados.3Pginas de Referencia del Manual de Preparacin al Examen: Pg. 111El nivel de riesgo puede determinarse utilizando anlisis estadstico y clculos que combinen el impacto y la probabilidad.La informacin utilizada para calcular el impacto y la probabilidad suele provenir de:experiencia o datos y registros pasados (por ejemplo notificacin de incidentes);prcticas confiables, normas o lineamientos internacionales;investigacin y anlisis de mercado;experimentos y prototipos;modelos econmicos, de ingeniera o de otro tipo;asesora de especialistas y expertos.2.10.8 Anlisis de riesgos relevantesCopyright 2013 ISACA. Todos los derechos reservados.4Directivas para el Instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 111

2.10.8 Anlisis de riesgos relevantesEntre las tcnicas de anlisis de riesgos se encuentran las siguientes:entrevistas con expertos en el rea de inters y cuestionarios; uso de modelos existentes y simulaciones.El anlisis de riesgos puede ser: Cuantitativo.Semi-cuantitativo.Cualitativo.Copyright 2013 ISACA. Todos los derechos reservados.5Pginas de Referencia del Manual de Preparacin al Examen: Pg. 111-113

Anlisis cuantitativo:Se asignan valores numricos tanto al impacto como a la probabilidad.Las consecuencias pueden expresarse en varios trminos de criterios monetarios, tcnicos, operativos, impacto humano.Anlisis semicuantitativo:El objetivo es intentar asignar algunos valores a las escalas que se utilizan en la valoracin cualitativa.Anlisis cualitativo:La magnitud y la probabilidad de las posibles consecuencias se presentan y describen en forma detallada.Las escalas que se utilizan pueden formarse o ajustarse para adaptarse a las circunstancias.2.10.8 Anlisis de riesgos relevantes

Copyright 2013 ISACA. Todos los derechos reservados.6Directivas para el Instructor: Debe ser observado que en un anlisis semi cuantitativo, los valores asignados no son a menudo verdaderos y puede llevar a varias inconsistencias. Asegrese por favor de que los candidatos tomen nota para entender las diferencias en estos tipos de anlisis.

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 113-115