Gestion Riesgo Ti Unidad 1

7/23/2019 Gestion Riesgo Ti Unidad 1

1/38


2/38

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

1

Introduccin:

Esta unidad pretende profundizar sobre la nocin de riesgo, aclarando conceptos relacionados tales comovulnerabilidad, amenaza, activo crtico, entre otros. As mismo, se describir el proceso de identificacin d

riesgos organizacionales relacionados con las tecnologas de la informacin y las clasificaciones que puede

tener, planteando la importancia de un adecuado contexto organizacional orientado a una cultura de riesgo. Po

ltimo, se describirn algunos esquemas de clasificacin de los riesgos segn su naturaleza, la probabilidad d

ocurrencia y el impacto que tengan en los activos de la organizacin.

Esta unidad tiene como fin formar la competencia en el establecimiento de riesgos y controles inherentes a la

tecnologas de la informacin, para lo cual se espera que el estudiante pueda ser capaz de caracterizar visione

complementarias sobre gobierno, riesgo y cumplimiento y explicar el impacto de los riesgos de TI en la

organizaciones.

Bienvenido a esta experiencia de aprendizaje, en la que a travs del anlisis de las diferentes lecturas y e

desarrollo de las actividades de autoaprendizaje y de evaluacin, mediadas por las tecnologas de la informaci

y la comunicacin, podr adquirir los saberes y competencias necesarias para apoyar a las organizaciones e

torno a una visin de gobierno, riesgo y cumplimiento.


3/38



2

1. Nociones sobre el Riesgo

1.1Conceptos bsicos sobre el riesgo de

Tecnologas de Informacin

La incorporacin acelerada de las tecnologas de la informacin en las organizaciones, y en general en casi todo

los aspectos de la vida humana, ha posibilitado un crecimiento de las amenazas relacionadas con la falta d

polticas y medidas de seguridad y la falta de concienciacin sobre el impacto que ello pueda tener en

informacin y en los bienes organizacionales.

Una de las funciones ms importantes de la

direccin de tecnologas de la informacin (DTI) enlas organizaciones tiene que ver con la gestin de

riesgos y el establecimiento de controles para

mitigarlos. No obstante, la gestin de riesgos no

es slo responsabilidad de la DTI, sino de toda la

organizacin, lo cual la convierte en una poltica

que debe estar alineada con los objetivos

estratgicos organizacionales.

Un riesgo puede ser definido como la probabilidad

de que una amenaza se materialice a causa de unavulnerabilidad, lo cual afecta los activos crticos de

una organizacin. Como se puede observar, hay

varios elementos involucrados en la definicin del riesgo, elementos que en diversas ocasiones pueden se

confundidos de manera indiscriminada. Por ello es necesario prestar especial atencin a sus diferencias.

Amenaza: Condicin del entorno organizacional relacionado con las tecnologas de informacin, que ant

determinada circunstancia podra ser una fuente de desastre informtico y afectar a los activos de la compaa

(Guerrero y Gmez, 2012).

Vulnerabilidad: Situacin generada por la falta de controles que permite concretar una amenaza, y el riesgo e

la posibilidad que una amenaza se materialice y produzca un impacto en la organizacin (Guerrero y Gme

2012).

En este sentido, podemos entender la amenaza como un factor externo a las tecnologas de la informacin

mientras que la vulnerabilidad es un factor inherente a estas, relacionada con la falta de control.

Figura 1. Amenazas en la incorporacin de TI

Fuente: elaboracin propia


4/38



3

As mismo, se ha detectado la necesidad de establecer controles orientados a mitigar los riesgos; aqu s

entiende el control como toda salvaguarda establecida por la organizacin para evitar que una amenaza afect

un activo crtico.

1.2

Definiciones de riesgo

Aunque existen diversas definiciones para riesgo de tecnologa de la informacin, no existe una clasificaci

definitiva o estndar para ellos. No obstante, la Information Systems Audit and Control Association (ISACA

provee una gua de definiciones que pueden ser utilizadas como un punto de partida (tabla 1).

Riesgo Definicin

Riesgo deinversin o

gasto

Es el riesgo de que la inversin que se realiza en TI no proporciona valor; es excesiva o sedesperdicia.

Riesgo deacceso oseguridad

Es el riesgo de que la informacin confidencial o sensible pueda ser divulgada o expuesta apersonas que no tienen el acceso permitido. Este riesgo tambin est relacionado con laprivacidad y la proteccin de los datos personales.

Riesgo deintegridad

Es el riesgo de que los datos no sean confiables porque son no autorizados, incompletos oinexactos.

Riesgo derelevancia

Es el riesgo ocasionado porque no se pueden tomar las acciones pertinentes, debido a que no seconsigue la informacin correcta de forma oportuna de las personas, procesos o sistemasdispuestos para ello.

Riesgo dedisponibilidad

Es el riesgo ocasionado por la prdida del servicio.

Riesgo deinfraestructura

Es el riesgo de que la infraestructura tecnolgica definida para la organizacin no soporte demanera eficiente las necesidades actuales y futuras del negocio. Incluye hardware, redes,software, personas y procesos.

Riesgos deproyectospropios

Es el riesgo asociado a que los proyectos de TI no cumplan con los objetivos propuestos debido ala falta de compromiso y responsabilidad de los actores involucrados.

Tabla 1. Definiciones de riesgos asociados a las TI

Fuente: adaptado de ITGI (2013)


5/38



4

1.2.1

Reto creciente de las organizaciones

Como se ha podido observar hasta el momento, los riesgos permean en todos los procesos organizacionales

afectan no solamente al personal interno y a los bienes materiales e inmateriales de la organizacin, sin

tambin a los clientes, proveedores, procesos y servicios. En la medida en que se presentan nuevos modelos dnegocio y nuevas incorporaciones de tecnologas de informacin para su apoyo, tambin surgen ms riesgo

potenciales. En la figura 2 se pueden

observar algunos ejemplos

relacionados con lo expuesto

anteriormente y la necesidad

creciente de reglamentaciones

asociadas a ello.

Se puede apreciar entonces que lasorganizaciones tienen un reto

creciente en la incorporacin de

polticas y procedimientos orientados

a la gestin del riesgo de TI. Los

modelos de negocio siguen

innovndose y las TI seguirn cambiando en torno a ellos y de manera inherente propiciando espacios de riesg

que deben ser mitigados y controlados para garantizar la continuidad del servicio y la proteccin de los activos.

1.2.2

Delito informticoLos delitos informticos (o ciber-terrorismo) se han convertido en una de las amenazas ms crecientes de la

tecnologas de la informacin, en la medida en que su principal objetivo es obtener informacin para su uso

dao, modificacin o eliminacin. Ahora bien, teniendo en cuenta que la informacin es uno de los activos m

importantes de las organizaciones en el entorno actual, los delitos informticos deben ser evitados a toda costa.

Un delito informtico puede ser definido como toda accin u omisin que conlleve a un perjuicio de una persona

organizacin o a un beneficio propio a travs del uso de sistemas informticos. Los delitos informticos estn tipificado

por la ley y son punibles (deben ser castigados).

En Colombia, la Ley 1273 tipifica los delitos informticos y establece la proteccin de la informacin y de lodatos como un bien jurdico tutelado. Dicha ley se puede consultar en los objetos de informacin del curso.

Establecer una clasificacin de los delitos informticos presenta una complejidad en la medida en que un cas

puede atentar contra varias de ellas. No obstante, una clasificacin general de delitos informticos de acuerd

con bien jurdico afectado se presenta en la tabla 2.

Figura 2. Nuevos modelos de negocio y amenazas emergentes

Fuente: Ernst y Young (2012)


6/38



5

Delito Descripcin

Aquellos que atentan contrala confidencialidad de losdatos

Pertenecen a esta clasificacin los delitos relacionados con el acceso abusivo a los sistemainformticos, interceptacin de datos, violacin de datos personales y suplantacin desitios web para capturar datos personales.

Aquellos que atentan contra

la integridad delosdatos

Se refieren a los delitos relacionados con la interceptacin de datos y la violacin de datos

personales.Aquellos que atentan contrala disponibilidad de los datos

Se alude a los delitos relacionados con la obstaculizacin ilegtima de sistemas informticoo redes.

Aquellos que atentan contralos sistemas informticos

Pertenecen a esta clasificacin los delitos relacionados con el dao informtico y el uso desoftware malicioso.

Tabla 2. Clasificacin general de delitos informticos

Fuente: Elaboracin propia.

Como se puede observar, se han introducido varios conceptos relevantes que deben ser estudiados co

detenimiento, a saber:

Confidencialidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en lo

sistemas informticos slo puede ser accedida por personal autorizado.

Integridad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en lo

sistemas informticos se corresponde con la real.

Disponibilidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en lo

sistemas informticos est a disposicin de quienes tienen acceso y estn autorizadas para su uso.

Los delitos informticos pueden ocasionarse por diversas fuentes como son: hacking, virus informticos

sabotaje.

1.2.3

Fraude informtico

Anteriormente se defini que el delito informtico no necesariamente

traa un beneficio para la persona que incurra en l. Ahora bien, cuando el

delito informtico permite obtener beneficios ilegtimos, bien sea de tipo

econmico o informacional, se denomina fraude.

Para que exista perpetracin de un fraude deben encontrarse dos factores:

la motivacin hacia el fraude y la disponibilidad (figura 3). La motivacin se

refiere al conjunto de necesidades (econmicas, psicolgicas, etc.) que

pueda tener quien lo comete. Por su parte, la disponibilidad hace

referencia a las vulnerabilidades que posee la tecnologa de informacin y

que propicia la ocurrencia del fraude.

La perpetracin de los fraudes se realiza utilizando diversas tcnicas o Figura 3. Motivacin y disponibilidad para el fraudeFuente: elaboracin propia


7/38



6

procedimientos. En la tabla 3 se describen los ms utilizados.

Tcnica o

procedimiento

Descripcin

Caballo de

Troya

Consiste en introducir segmentos de programacin en programas, fotografas, videos, documentos para

que realicen actividades indeseadas en los sistemas informticos. Los caballos de Troya pueden serutilizados tambin como virus, gusanos o bombas lgicas.

Data diddling oTemporing

Consiste en la modificacin de forma no autorizada de los datos para que los sistemas informticosproduzcan informacin falsa o errnea.

Salami oRounding down

Consiste en el redondeo de cifras para obtener ganancias de pequeas cantidades de dinero por cadacuenta.

Scavenging Consiste en la recopilacin de informacin residual de los sistemas informticos para espionajeindustrial o comercial.

Data leakage Consiste en el robo de informacin de los ficheros de una organizacin con fines de espionaje industriao comercial.

Eavesdropping Consiste en la interseccin de lneas, bien sean de datos o telefnicas, con el fin de capturar, modificar

o eliminar datos de los sistemas informticos.Phishing Este fraude est catalogado dentro de la Ingeniera Social y consiste en suplantar a una persona uorganizacin para obtener informacin no autorizada.

Keylogger Consiste en el uso de malware para capturar informacin confidencial y enviarla a personas noautorizadas, a travs de dispositivos de captura de pulsaciones del teclado.

Spyware Consiste en el uso de malware que captura y recopila informacin de los archivos de una organizacinpara ser entregados a personal no autorizado.

Trap doors Consiste en la utilizacin de las puertas traseras de los sistemas operativos o sistemas informticos,para acceder a informacin no autorizada o ejecutar transacciones indeseadas.

Denial ofservice attack

Consiste en generar ataques a los servidores de los sistemas informticos para que se interrumpan osuspendan temporal o indefinidamente los servicios prestados a los usuarios.

Tabla 3. Tcnicas o procedimientos utilizados para fraudes


Aunque es comn pensar que los delitos informticos y los fraudes son perpetrados por personal externo a

organizacin, en muchas ocasiones el personal interno es responsable de la mayor parte de ellos.

1.3Gobierno, riesgo y cumplimiento

La relacin entre gobierno, riesgo y cumplimiento es sumamente importante para las organizaciones. Aunque e

trmino gobierno es usualmente utilizado por la alta gerencia, este no necesariamente es aplicable slo a ella, y

que el gobierno hace referencia a la relacin existente entre los diferentes niveles organizacionales para el logrde los objetivos estratgicos del negocio.

La cultura organizacional es extremadamente importante para que exista una adecuada relacin entre gobierno

riesgo y cumplimiento (GRC), especialmente porque todo el personal debe estar sintonizado con la poltica d

integridad y de tica de la organizacin. Lo anterior cobra relevancia toda vez que la gestin de riesgos no s


8/38



7

basa nicamente en la teora del problema, sino que se soporta en la integridad y la tica de las personas qu

trabajan para la organizacin.

Mientras el gobierno se encarga

de la definicin de estrategias,

polticas y procedimientos paralo relacionado con los riesgos, la

gestin de riesgos identifica las

reas que se encuentran

expuestas a riesgos potenciales y

el cumplimiento ejecuta las

acciones de control necesarias

para mitigar los riesgos (figura

4).

La GRC apoya la toma de decisiones organizacionales en la medida en que ayuda a definir las responsabilidades

los roles de los stakeholders y del personal clave; formaliza los canales de comunicacin; dispone a l

organizacin de una perspectiva del riesgo, e implementa programas de cumplimiento basados en las leyes

regulaciones. La GRC beneficia a la organizacin en diferentes niveles, pero, especficamente, al rea financiera,

la direccin de tecnologas de la informacin y al departamento de auditora interna.

El rea financiera se beneficia reduciendo los tiempos y los costos relacionados con el ejercicio de la auditora

reduce riesgos e incrementa la confianza en los reportes financieros y los diagnsticos que apoyan la toma d

decisiones financieras.

Con respecto a la direccin de tecnologas de informacin, la GRC ayuda a reducir los tiempos y costo

relacionados con el cumplimiento, ya que disminuye el esfuerzo necesario para la realizacin de auditora

internas y genera mejores respuestas de los procesos que sirven a los usuarios.

Por su parte, el departamento de auditora se beneficia con un flujo coordinado de procesos que ayudan

identificar rpidamente los riesgos potenciales, disminuyendo la ejecucin de auditoras y mejorando lo

procesos de gestin de riesgos.

La GRC busca, entonces, generar organizaciones inteligentes ante la gestin de riesgos, que permitan lograr u

balance coordinado entre el riesgo y la recuperacin, mediante la garanta de niveles adecuados de continuidadel servicio. La definicin de un proceso de GRC puede incluir diversos frameworks tales como: OCEG (Ope

Compliance & Ethics Group), GRC Model (Red Book), COSO, CoBIT, etc., una gua para el desarrollo de la

actividades, los diferentes estados en los que se pueden encontrar y un grupo de trabajo que lo desarrolle per

que tambin ayude a validarlo. Teniendo esto presente, cada organizacin es libre de elegir y disear su prop

proceso de GRC, pero no se debe olvidar que la GRC requiere de un cambio cultural y de un proceso de adopci

claramente establecido.

Figura 4. La GRC



9/38



8

1.3.1

Herramientas comunes para la GRC

Existen varias herramientas orientadas a la GRC. En la tabla 4 se realiza un comparativo de los procesos que caduna de ellas implementa para el desarrollo de la GRC en las organizaciones.

Herramienta Procesos Beneficios

SAP GRC Control de accesoControl de procesosGestin de riesgosServicios comercialesglobalesMedio ambiente,salud y seguridad

Monitoreo constante de usuarios, accesos y segregacin defunciones.Mejora del rendimiento gracias priorizacin y apoyo de losprocesos.Mayor comprensin de los factores de riesgo, lo que garantiza unaadecuada respuesta y control.

Oracle GRC Inteligencia GRCAdministracin GRCGobierno del controlde acceso aaplicacionesGobierno del controlde transaccionesGobierno del controlpreventivoGobierno del control

de la configuracin

Proporciona un repositorio de procesos, riesgos y controles queayudan a disminuir los costos de cumplimiento.Apoya la segregacin de funciones, ayudando a identificar yremediar los riesgos asociados con el control de acceso.Apoya el desarrollo de las auditoras y a la generacin de polticasde restriccin de accesos no autorizados y a la mejora de lasrelaciones de confianza con los clientes.

Accelus Administracin delriesgoGRC empresarial paraauditora internaGRC empresarial paracontrol internoAdministracin delcumplimiento.

Supervisa constantemente los cambios en las reglamentacioneshacia la gestin de riesgos.Mitiga riesgos a travs de diferentes procesos de auditora ycontrol interno.Proporciona transparencia en los procesos relacionados con la GRC.

Open Pages Polticas y

administracin delcumplimientoPlataforma GRCAdministracin delriesgo operacionalAdministracin delcontrol financieroGobierno de TI

Ayuda a reducir las prdidas y mejora los procesos de negocio

debido al manejo de reportes de riesgos estandarizados.Habilita el control interno para desarrollar procesos de auditoraque conduzcan a la administracin de riesgos y al control.


10/38



9

Administracin de laauditora interna.

RSA Archer

eGRC

Administracin depolticasAdministracin de

riesgosAdministracin delcumplimientoAdministracinempresarialAdministracin deincidentesAdministracin deventasAdministracin de

amenazasAdministracin de lacontinuidad delnegocioAdministracin de laauditora.

Apoya la gestin y automatizacin de procesos para agilizar el flujode trabajo de los usuarios y generar informes en tiempo real.Apoya la unificacin de criterios para la administracin de riesgos

en todos los niveles de la organizacin, lo cual facilita lacolaboracin entre los diferentes departamentos ya que utilizandatos y procesos comunes.

Tabla 3. Tcnicas o procedimientos utilizados para fraudes


Resumen 1:

La gestin de riesgos es una de las actividades ms importantes de la direccin de TI y en general d

todos los niveles organizacionales. Diversas amenazas pueden atacar las vulnerabilidades de la

tecnologas de la informacin y generar espacios de riesgo que deben ser mitigados a travs del uso d

controles y salvaguardas. Este aspecto constituye un reto creciente para las organizaciones, las cuales deben innova

constantemente debido al surgimiento creciente de modelos de negocio que traen consigo tecnologas ms avanzadas

con ello amenazas ms avanzadas.


11/38



10

Resumen 2:

El delito informtico o ciber-terrorismo es una de las amenazas que ha venido creciendo y adaptndose

a los nuevos esquemas de control de las organizaciones. Cada da surgen nuevas y diferentes figuras d

fraude para cometer los delitos informticos, lo cual hace que las organizaciones deban preocuparse por regulacionescada vez ms estrictas no slo para controlarlos sino tambin para que sean penalizados.


12/38



11

2. Identificacin del riesgo

2.1Comprendiendo el entorno organizaciona

hacia la gestin de riesgo

La definicin del contexto organizacional permite conocer en detalle los objetivos estratgicos y su alineaci

con la gestin de riesgos para orientar decisiones relacionadas con estudios y anlisis detallados de poltica

procesos y procedimientos necesarios para la mitigacin de los riesgos.

As mismo, la definicin del contexto organizacional proveer una comprensin de las polticas, estndares

regulaciones diseadas por la organizacin en materia de gestin de riesgos, las cuales, segn Ross (2008

deberan incluir:

El establecimiento de un ejecutivo de riesgo con funciones claramente definidas

El establecimiento de una estrategia organizacional hacia la gestin de riesgos que incluya la descripcin de

tolerancia hacia el riesgo

El diseo y puesta en marcha de estrategias destinadas a la inversin de recursos de informacin y de segurida

de la informacin.

La comprensin del entorno organizacional, adems de la identificacin de la estrategia, implica la especificaci

de las tecnologas de informacin que apoyan los procesos de negocio y el nivel de madurez de la organizacien su incorporacin. Con ello permite la clarificacin de la dependencia que tiene la continuidad del servicio d

dichas tecnologas, as como las responsabilidades de los actores involucrados (figura 5).

Figura 5. Comprensin del contexto organizacional



13/38



12

2.2Identificacin de la poltica y gobierno de

riesgos de TI

La estrategia organizacional en materia de riesgos es clave para identificar cmo responde la organizacin a lo

procesos de aseguramiento y monitoreo de riesgos y, de forma especial, para detectar la tolerancia de l

organizacin a ello.

Las organizaciones comnmente tienden a plantear esquemas de seguridad que respondan a las amenazas de lo

atacantes externos. No obstante, muchas de las amenazas que padece la organizacin tienen que ver co

sabotajes perpetrados por el personal interno y debido a la utilizacin de diferentes medios tecnolgicos com

son la telefona mvil, las redes sociales y la computacin en la nube.

Una organizacin inteligente debe empezar definiendo una funcin orientada a la gestin de riesgos qugarantice la construccin de medidas y estrategias de actuacin ante los riesgos y que genere consistentement

con los objetivos estratgicos evaluaciones e informes que faciliten la comprensin y concienciacin del person

sobre el impacto de los riesgos en los activos, los procesos y los servicios. La gestin de riesgos debe se

predictiva y no debe verse solamente como un ejercicio para cumplir con un estndar o una normatividad.

La gestin de riesgos debe basarse en la confianza y no en la coaccin, dado que la prohibicin no es el camino

ms adecuado para generar una verdadera transformacin organizacional. La gestin de riesgos debe impulsa

por s misma el cumplimiento y debe detectar los problemas pequeos antes de que se conviertan en grande

amenazas.

Un primer paso de la organizacin debe ser identificar las amenazas reales a las que est expuesta de acuerd

con su propia naturaleza, de manera que se pueda sustentar y consolidar una poltica adecuada y pertinent

para el gobierno de los riesgos relacionados con las tecnologas de la informacin, con indicadores claros y co

estudios de casos que permitan una realimentacin.

Una parte importante de la gestin de riesgos en la organizacin es la definicin de la tolerancia al riesgo, la cua

se entiende como el grado de aceptacin que la organizacin pueda tener sobre la ocurrencia del riesgo. Si e

grado de tolerancia es mayor, entonces la organizacin slo se preocupar por aquellas amenazas que se ha

presentado, mientras que si el grado de tolerancia es menor, la organizacin tendr un listado de las posible

amenazas que pudieran afectar sus activos, sin importar si se han presentado o no.

La tolerancia ante el riesgo es comnmente un indicador de la cultura organizacional hacia el riesgo, ya qu

permite evidenciar el grado de importancia que tiene la gestin de riesgos para la organizacin y para la toma d

decisiones.


14/38



13

No existe una organizacin 100% segura; lo que s existe es una organizacin que ha definido estrategias par

actuar ante la ocurrencia de los

riesgos. En una encuesta realizada por

Ernst y Young (2010), en la que se

encuest a ms de 1.600 participantes

de 56 pases diferentes, se demuestra

que uno de los principales controles

que las empresas estn aplicando para

enfrentarse a los riesgos es el ajuste en

las polticas (64%).

As mismo, relacionado con el contexto

organizacional, otro de los controles de

mayor aplicacin es la concientizacin

del personal sobre los aspectos deseguridad, aspecto que es fundamental

si se pretende contar con una

capacidad de respuesta ante las amenazas.

La organizacin debe estar en constante actualizacin de la especificacin de las amenazas reales, ya que s

deben analizar con detalle las amenazas que emergen cada da y que traen consigo nuevas necesidades d

control y estrategias de seguridad.

La generacin de una adecuada poltica para la gestin de riesgos de tecnologa de informacin debe basarse e

la cultura organizacional y en la incorporacin de herramientas tecnolgicas claves para mitigar los riesgoteniendo cuidado de priorizar adecuadamente la inversin para que no haya fuga de dinero en aplicaciones qu

posteriormente no se utilizan o que quedan obsoletas con facilidad. Una adecuada inversin en tecnologa par

garantizar la seguridad de la organizacin en cuanto a riesgos de tecnologa de informacin debe conservar un

mesurada relacin entre el costo/beneficio, es decir, que la inversin en tecnologa se balancee con l

disminucin de los costos vinculados a los incidentes.

2.3Especificacin de las TI que apoyan los

procesos de negocio

Los nuevos modelos de negocio han posibilitado una mayor incorporacin y dependencia de las tecnologas de

informacin para apoyar los procesos de negocio en las organizaciones, para adquirir y vender servicios y par

relacionarse con clientes y proveedores. No obstante, esta dependencia tambin ha posibilitado que la

amenazas consigan un mayor impacto cuando penetran en las vulnerabilidades de los sistemas informticos.

Figura 6. El ajuste en la poltica como control principal para mitigar riesgos creciente

Fuente: Ernst y Young (2010, p. 6)


15/38



14

Es as como las organizaciones deben asegurar que existan procedimientos para la gestin de riesgos en cada un

de las etapas del ciclo de vida de la incorporacin de tecnologas de la informacin (figura 7). La especificacin d

las TI que apoyan los procesos de negocio requiere de un conocimiento amplio de los elementos que conforma

su entorno de procesamiento de informacin, a saber: hardware, software, redes, datos, procesos y personas.

As mismo, se deben tener en cuentaaspectos relacionados con el uso, la

capacidad y el desempeo de las

tecnologas de informacin frente a

condiciones adversas o simplemente

frente a condiciones de alta demanda

de servicios. Las organizaciones deben

garantizar la confianza que clientes y

proveedores tengan sobre la

confiabilidad de las tecnologas de lainformacin.

Por ltimo, la revisin y actualizacin

constante de la documentacin del

sistema permitir mitigar riesgos relacionados con el uso, el mantenimiento, la configuracin y la puesta e

marcha de los sistemas informticos.

2.4Responsabilidades de los actores

Las personas son sumamente importantes en la

gestin de riesgos, ya que en definitiva son ellas

quienes aplican las medidas de seguridad diseadas

por la organizacin. Es por ello que se debe identificar

la cultura organizacional frente a los riesgos, de forma

que se puedan detectar posibles causas o creencias y

actuaciones conducentes a la ocurrencia de incidentes.

Una de las principales fuentes de amenazas en lo que

concierne a la fuga de informacin confidencial tiene

que ver con el desconocimiento de las personas, no

slo en lo que respecta a los controles que deberan

aplicar para evitar los riesgos, sino tambin en relacin

con su propia responsabilidad sobre el manejo de la

informacin.

Figura 7. Procedimientos de gestin de riesgos en el ciclo de vida de las TI


Figura 8. Responsabilidades del ejecutivo de riesgos



16/38



15

Las estrategias en las que se involucra a personal concienciado sobre la importancia de la gestin de riesgos so

ms efectivas y requieren menores esfuerzos para su adopcin. No obstante, cuando existen interrelacione

entre diferentes organizaciones para el logro de los objetivos, las diferencias entre la cultura ante riesgos de un

y otra organizacin pueden representar obstculos que deben ser canalizados y para los cuales se deben defin

estrategias de intercambio de informacin y servicios. Esta es una responsabilidad directa de la direccin d

tecnologas de la informacin y el ejecutivo de riesgos. Otras funciones que son responsabilidad del ejecutivo d

riesgos se presentan en la figura 8.

La creacin de una cultura de riesgo debe iniciar desde la alta direccin y debe llegar hasta el nivel operaciona

de la empresa. No obstante, las decisiones sobre las acciones que se deben implementar ante los riesgos sl

pueden ser tomadas por el personal autorizado y capacitado para ello.

En el marco de riesgos de TI desarrollado por ISACA (2014), se definen

tres elementos fundamentales de la cultura de riesgo (figura 9). El

primero de ellos tiene que ver con el comportamiento (actitud) quepueden asumir los empleados hacia los riesgos. Una posicin adecuada

ante ello implica que los empleados asumen una actitud que aunque

conservadora refleja una aversin hacia los riesgos. Por su parte, una

postura inadecuada se ve reflejada en una actitud agresiva y de

asuncin de los riesgos.

El segundo elemento de la cultura de riesgos segn ISACA (2014) tiene

que ver con el comportamiento hacia los resultados negativos. Este

elemento se puede ver reflejado en una cultura de cumplimiento o de

incumplimiento. Por supuesto, el cumplimiento debe propiciarse atravs de estrategias de concienciacin y de comprensin de las responsabilidades ante los riesgos.

El ltimo elemento tiene que ver con el comportamiento hacia la poltica, es decir, la cultura que se genere e

cuanto a la aceptacin o repulsin sobre las polticas de riesgos. El comportamiento esperado es que en l

organizacin se propicie una cultura de aprendizaje y no una de culpabilidad.

La comunicacin con los actores del proceso de gestin de riesgos de tecnologa de informacin es sumament

importante para la generacin de un compromiso institucional y una adecuada concienciacin. Por ello la alt

direccin debe garantizar procesos de rendicin de cuentas con los diferentes niveles organizacionales, en l

bsqueda de generar espacios de presentacin de informes de rendimiento y de reconocimiento de la poltica

Una adecuada comunicacin permitir generar expectativas claras sobre la pertinencia de la inversin y sobre l

necesidad de una cultura de prevencin de riesgos. Por su parte, una inadecuada comunicacin propiciar qu

las personas generen aversin a la poltica y que por ende no participen activamente en el proceso.

Figura 9. Elementos de la cultura de riesgo

Fuente: adaptado de ISACA (2014)


17/38



16

2.5Identificacin de activos crticos

Esta actividad, enmarcada en la gestin de riesgos, busca identificar los activos que pueden estar expuestos

amenazas y cuyo deterioro, modificacin, prdida o exposicin pueden afectar los criterios de seguridad de l

informacin relacionados con la disponibilidad, la autenticidad, la integridad y la confidencialidad.

La informacin y los servicios como activos esenciales para proteger dependen de otros activos que tambi

deben ser protegidos, a saber: las instalaciones, los equipos de cmputo, las redes, los sistemas informticos, lo

soportes de informacin y las

personas.

De acuerdo con el Ministerio de

Administraciones Pblicas

(Espaa) (2012), los activos se

pueden clasificar en capas, en las

cuales los activos inferiores son el

pilar sobre el que la seguridad de

los activos superiores se apoya

(figura 10). As, por ejemplo, una

organizacin puede contar con

todos los procesos que permitan

prestar sus servicios con la mejor

calidad, pero si tiene

subcontratado el servicio de hosting donde aloja la pgina web mediante la cual presta dichos servicios y est

queda fuera de servicio, el cliente lo asumir como culpa de la organizacin y como un servicio de mala calidad.

El costo relacionado con los activos crticos tiene que ver con la medida del costo de reposicin en caso de qu

un incidente perjudicara dicho activo. En este sentido, para valorar dicho costos hay que tener en cuenta lo

siguientes factores: costo de reposicin, costo de mano de obra invertida en la recuperacin del activo, l

prdida de los ingresos generada por la falta del activo, la prdida de la confianza de los clientes y proveedore

en la calidad del servicio, el costo de las sanciones por incumplimiento de la ley u obligaciones contractuales, e

dao a otros activos, propios o ajenos, el dao a personas o los daos medioambientales.

2.6Identificacin de las amenazas

El siguiente ejercicio, luego de comprender el contexto organizacional e identificar los activos crticos, es l

identificacin de las amenazas y vulnerabilidades. Como se ha descrito en la unidad anterior, las amenaza

Figura 10. Clasificacin por capas de los activos crticos



18/38



17

pueden ser internas o externas, mientras que las vulnerabilidades son todas aquellas condiciones generadas po

la falta de controles internos que pueden ser explotadas de forma accidental o intencionada.

La principal meta de la identificacin de riesgos es establecer el conjunto de amenazas y vulnerabilidades de las tecnologa

de la informacin que apoyan los procesos de negocio en la organizacin. Las amenazas pueden clasificarse segn s

presenta en la tabla 5.

Causa que

origina la

amenaza

Descripcin

Amenazas deorigennatural

Amenazas causadas por terremotos, inundaciones, tormentas y que perjudiquen elfuncionamiento de las tecnologas de la informacin. Por ejemplo: dao de las lneas decomunicacin por una tormenta.

Amenazas de

origenhumano

Amenazas que son causadas por personas autorizadas o no a las tecnologas de la informacin,

de manera involuntaria o intencional. Por ejemplo: el uso de spyware para espionaje industrial.

Amenazasoriginadas enel entorno

Amenazas causadas por condiciones ambientales o industriales (contaminacin, fallasenergticas, etc.). Por ejemplo: corto circuito de la red elctrica de los servidores.



La naturaleza cambiante de las organizaciones ocasiona que tambin exista una dinmica en la identificacin d

las amenazas, por lo cual este proceso debe realizarse peridicamente. Es necesario entonces que

organizacin defina una base de datos con los escenarios de riesgos y que los mantenga actualizados.

2.7Identificacin de vulnerabilidades

Las vulnerabilidades son debilidades en los controles internos asociados con el sistema de seguridad de la

tecnologas de la informacin. Estas vulnerabilidades pueden ser aprovechadas de forma intencional o accident

por otros sistemas o personas, lo cual ocasiona una violacin al sistema de seguridad de dicha tecnologa.

La identificacin de vulnerabilidades en las tecnologas de la informacin se puede abordar desde diferente

ngulos, teniendo en cuenta la naturaleza y la etapa de incorporacin en la que se encuentra. En la tabla podemos apreciar los procedimientos que se pueden aplicar.


19/38



18

Etapa de

incorporacin

de la TI

Procedimiento

An no se hadiseado

Previsin de polticas y procedimientos de seguridad.Definicin y anlisis de requisitos de seguridad.

Se encuentra enimplementacin

Diseo de los criterios de seguridad.Pruebas de certificacin y evaluacin del sistema.

Se encuentraoperativo

Anlisis de caractersticas y procedimientos tcnicos y operativos relacionados con los controles deseguridad.Listas de verificacin de auditora.

Tabla 6. Procedimientos para la identificacin de vulnerabilidades


La identificacin de vulnerabilidades requiere de un proceso claramente establecido de auditora sobre lo

controles de seguridad definidos para las tecnologas de la informacin. En la mayora de los casos, no e

suficiente con aplicar pruebas de integridad y de sistemas y se requieren procedimientos de control mucho m

exigentes. Algunos ejemplos de vulnerabilidades del sistema se presentan en la tabla 7.

Vulnerabilidad Amenaza

El sistema de informacin no posee una adecuadasegregacin de funciones para el control de acceso y todoslos usuarios acceden con la misma cuenta.

Los operarios pueden obtener, modificar o eliminarinformacin sensible para su propio beneficio o el deterceros.

El sistema no controla las transacciones que son ejecutadasdurante la prdida de conexin con el servidor.

Los datos capturados en la ejecucin de la transaccinpueden perderse o duplicarse.

La estructura organizativa de la direccin de TI no tienecontrol de versiones de los aplicativos desarrollados.

Los sistemas puestos en marcha pueden bloquearse ogenerar errores de procesamiento de informacin.

Tabla 7. Ejemplos de vulnerabilidades


Resumen 1:

La comprensin del contexto organizacional permite determinar no slo la cultura organizacional hacia

los riesgos, sino tambin la dependencia de los procesos de negocio sobre la tecnologa de informacin

y las responsabilidades que cada uno de los actores involucrados tiene frente a la gestin de riesgos.


20/38



19

Resumen 2:

La identificacin de los activos crticos permite un entendimiento del costo relacionado con l

reposicin, la mano de obra invertida, la prdida de los ingresos, la prdida de la confianza, la

sanciones por incumplimiento, el dao a otros activos, personas o entorno.

Resumen 3:

La identificacin de amenazas y vulnerabilidades es una de las tareas primordiales en la gestin deriesgos, ya que permite identificar los eventos y circunstancias que podran generar la prdida de lo

activos esenciales para la organizacin.


21/38



20

3. Clasificacin de los riesgosExisten varias clasificaciones de los riesgos, todas ellas orientadas a la identificacin de nuevos riesgos. Lo

riesgos se pueden clasificar segn su naturaleza, segn la causa que lo origina, segn la consecuencia o impacto

segn la probabilidad de ocurrencia, etc.

La razn principal por la que una organizacin debe clasificar sus riesgos es porque no necesariamente todo

requieren la misma atencin y es necesario priorizar la inversin. No obstante, la gestin de los riesgos se bas

en la incertidumbre de la ocurrencia. Cuando un riesgo ya ha tenido un incidente en la organizacin,

planificacin de las medidas de aseguramiento es menos compleja, mientras que cuando las organizaciones s

enfrentan a riesgos desconocidos, la incertidumbre sobre lo adecuado de las medidas de seguridad y el impact

en los activos sensibles es mucho ms alta.

Es necesario recalcar que aunque la organizacin haya dispuesto medidas de control para riesgos que ya se ha

presentado, los riesgos son situacionales y no necesariamente una nueva ocurrencia impactar de la mism

manera a la organizacin; incluso un riesgo puede ocasionar la ocurrencia de otros riesgos que anteriormente n

se haban presentado. Ahora bien, el nivel de tolerancia sobre un riesgo vara de una organizacin a otra, ya qu

el impacto es tambin diferente.

En la figura 11 se presenta un esquema general de las clasificaciones que se estudiarn en este tema.

Figura 11. Clasificaciones de los riesgos



22/38



21

3.1Clasificacin de los riesgos segn su

naturaleza

Segn la naturaleza de los riesgos se pueden clasificar en inherentes y residuales. Un riesgo inherente es aqu

que se propicia por la naturaleza misma de la tecnologa de informacin. Por ejemplo: las redes por su naturalez

intrnseca tienen un riesgo de ser interceptadas para que un perpetrador pueda obtener, modificar o elimina

informacin de una compaa.

Por su parte, un riesgo residual es aquel que permanece despus de que se han implementado medida

adecuadas de seguridad para proteger los activos involucrados. Por ejemplo, un antivirus es un contro

implementado por las organizaciones para evitar la presencia de virus en los sistemas informticos. No obstante

los antivirus muchas veces son logran detectar malware o sus bases de datos no han sido actualizadas par

detectarlos. El riesgo latente que surge de esta limitacin es lo que se denomina riesgo residual. Como se habexpresado anteriormente, las organizaciones deben tener definidos niveles de tolerancia ante los riesgo

residuales.

Lo anterior conlleva a generar una discusin en torno a la erradicacin de los riesgos. Tal y como se ha plantead

en esta unidad, los riesgos no pueden ser erradicados en su totalidad, pueden ser mitigados y reducidos a un

escala de improbabilidad que genere un alto grado de confianza entre clientes, proveedores y organizacin.

Comnmente, los riesgos residuales son salvaguardados con plizas de seguridad provenientes de compaa

aseguradoras que exigen a las organizaciones compromisos efectivos en el diseo de controles para mitigar lo

riesgos. No obstante, hay que tener en cuenta que si las medidas de seguridad diseadas para mitigar el riesginherente no funcionan, el riesgo residual ser igual al riesgo inherente y su impacto ser el mismo.

Riesgo inherente Control Riesgo residual

Prdida de comunicacin de losequipos cliente con el servidor.

Activacin de servidores espejo Lentitud en la entrega de servicios pordemoras en la comunicacin con losservidores espejo.

Robo de informacin de las papelerasde reciclaje

Anti-Spyware Robo de informacin pordesactualizacin de la BD de virus.

Prdida de flujo elctrico en lasconexiones de los equipos.

UPS Fuentes alternas de suministroelctrico

Apagado de equipos por clculosinadecuados del retorno del flujoelctrico.

Eliminacin de archivos sensibles. Backups Copias de seguridad Prdida de informacin remanente podesactualizacin de los backups.




23/38



22

3.2Clasificacin de los riesgos segn la causa

que los origina

Segn la causa que los originan, los riesgos se pueden clasificar en internos y externos. Los riesgos internos so

aquellos que se originan dentro de la organizacin. Por ejemplo: la probabilidad de que un sistema d

informacin no pueda ser colocado en produccin por un error en la catalogacin de las versiones del aplicativo

Las fuentes internas de riesgos pueden ser tecnolgicas, financieras, contractuales o legales, entre otras. Po

ejemplo: cambios en las tecnologas, personal capacitado y actualizado, disponibilidad de las herramientas

recursos tecnolgicos, administracin de la informacin, fondos y presupuestos, polticas de gobierno

contratacin y subcontratacin, polticas de propiedad intelectual y derecho patrimonial, planificacin d

actividades, etc.

Los riesgos externos son aquellos que se originan fuera de la organizacin. Por ejemplo: la probabilidad de que

aplicacin web de venta de servicios de una organizacin no pueda ser accedida por los clientes por una falla e

el hosting subcontratado.

Las fuentes externas de riesgo varan de acuerdo con su probabilidad de ocurrencia. Por ejemplo: desastre

naturales y ambientales, situaciones laborales (huelgas), cambios en las polticas reguladoras del mercado, de l

contratacin y de la subcontratacin, intereses de los clientes y proveedores, etc.

Riesgos ocasionados por fuentes internas Riesgos ocasionados por fuentes externas

Retraso en los tiempos de entrega de los proyectos deTI por ejecucin de presupuestos.

Prdida de la conexin de las pginas web de la empresa pordesconexin de hosting subcontratado.

Fallas en los equipos de cmputo por falta de controlpreventivo.

Prdida de la continuidad en la prestacin de servicios porsanciones regulatorias.

Ingreso de datos errneos por falta de capacitacindel personal.

Robo de informacin por el uso de spyware.

Ingreso de personal no autorizado a la instalacionespor falta de polticas en el control de acceso.

Retraso en los tiempos de entrega de los aplicativossubcontratados.

Tabla 9. Ejemplos de riesgos segn la causa que lo origina



24/38



23

3.3Clasificacin de los riesgos segn la

consecuencia e impacto

Segn la consecuencia o impacto, el riesgo puede clasificarse en bajo, medio y alto. Para poder clasificar lo

riesgos en esta categora, la organizacin debe plantearse la pregunta qu tan malo sera si ocurriera?, por cad

riesgo analizado. Un riesgo se considera bajo cuando la consecuencia no perjudica los activos sensibles o tien

una baja prdida financiera. Cuando el impacto de un riesgo es bajo, la organizacin puede decidir si actuar

aceptar el riesgo. Por su parte, un riesgo se clasifica como alto, cuando se requieren acciones correctiva

inmediatas. En la tabla 10 se describen cada uno de ellos y se proveen ejemplificaciones.

Tipos de riesgo Descripcin EjemploInsignificante La consecuencia no perjudica losactivos sensibles o tiene una bajaprdida financiera

Falla en los equipos de respaldo sincontingencia.

Moderado Aunque se requieren accionescorrectivas, estas pueden tomarse enun tiempo prudencial.

Desactualizacin de las copias derespaldo.

Alto Cuando se requieren accionescorrectivas inmediatas

Falta de planes de contingencia para lacontinuidad del servicio.

Tabla 10. Clasificacin de los riesgos segn la consecuencia e impacto


Es importante destacar que las clasificaciones que se realizan sobre el impacto o la consecuencia de un riesgo, eparticular para cada organizacin y depende de sus intereses y necesidades de seguridad especficas.


25/38



24

3.4Clasificacin de los riesgos segn la

probabilidad de ocurrencia

Segn la probabilidad de ocurrencia, los riesgos se pueden clasificar como probables e improbables. Un riesgo s

considera probable cuando se espera que ocurra en la mayora de las circunstancias y se considera improbabl

cuando puede ocurrir bajo circunstancias excepcionales

Como se puede observar, en esta clasificacin el riesgo siempre tendr un espacio de ocurrencia que depender

de las circunstancias detonadoras del mismo. En la tabla 11 se presentan algunos ejemplos de ambos tipos.

Riesgo Ejemplo

Probable Para una empresa de transporte de gases, el riesgo deexplosin.

Improbable Para un banco perder la conexin de los cajeroelectrnicos.

Tabla 11. Ejemplos de riesgos segn su probabilidad


Una adecuada clasificacin de los riesgos permitir que la

organizacin tome decisiones acertadas y en tiempo real sobre

las medidas de seguridad que deben implementarse. As mismo,permitir reconocer el impacto de la ocurrencia de un riesgo y de

acuerdo con su probabilidad, aprender sobre las medidas

implementadas o sobre la necesidad de nuevos controles.

Cuando la ocurrencia de un espacio de riesgo es probable y el

impacto es alto, se deben planificar acciones concretas de

mitigacin, las cuales deben ser prioridad de la direccin de

tecnologas de la informacin y en general de la estrategia

organizacional. Nuevamente se debe tener en cuenta que la

clasificacin de probabilidad o improbabilidad depende de las

amenazas a las que se encuentra expuesta cada organizacin.

Figura 12 - La intencionalidad formativa con elestudiante

Fuente: Elaboracin propia


26/38



25

3.5Clasificacin de los riesgos segn su espacio

de ocurrencia

Una ltima clasificacin de los riesgos que se abordar en esta unidad es la planteada por Guerrero y Gome

(2010), en la cual se propone una subdivisin de los riesgos en los sistemas de informacin teniendo en cuenta

espacio en el que ocurre el riesgo. Es as como Guerrero y Gmez (2010) proponen los seis niveles de riesgos e

los sistemas de informacin presentados en la tabla 12 y esquematizados en la figura 13.

Nivel de riesgo Definicin

Acceso Este nivel de riesgo surge cuando personas autorizadas ono, tienen acceso a la informacin o a las funciones deprocesamiento de los Sistemas de Informacin, con el fin deleer, modificar o eliminar la informacin o los segmentos de

programacin o con el fin de ingresar transacciones noautorizadas para que sean procesadas por los SI.

Ingreso de informacin Este nivel de riesgo surge cuando la informacin esingresada a los SI de manera imprecisa, incompleta o msde una vez, ocasionando que las transacciones no puedanser ejecutadas y/o que la informacin no sea correcta.

tems rechazados o en suspenso Este nivel de riesgo surge cuando no se detectan, analizany corrigen las transacciones rechazadas y/o pendientes,ocasionando que la informacin no se actualicecorrectamente o se pierda o que las transacciones no seejecuten.

Procesamiento Este nivel de riesgo surge cuando los procesos de los SI nogarantizan el adecuado procesamiento de la informacin,ocasionando que las salidas esperadas no sean correctas, lainformacin se pierda y los procesos subsecuentes fallen ose retarden.

Estructura organizativa Este nivel de riesgo surge cuando la estructura organizativano garantiza un adecuado ambiente para el procesamientode la informacin y/o no define apropiados planes decontinuidad del negocio, ocasionando que no existanprocedimientos definidos y optimizados para el manejo dela informacin y de los SI, no se actualicen los SI y no se

reaccione adecuadamente ante contingencias.Cambio a los programas Este nivel de riesgo surge cuando los programadores

efectan cambios incorrectos, no autorizados y/o nodocumentados en el software de aplicacin, ocasionandoprdida de informacin, repeticin de esfuerzo,inconsistencias en los procesos e inconformidad en losclientes y usuarios.


27/38



26

Tabla 12. Propuesta de niveles de riesgo en sistemas de informacin

Fuente: tomado de Guerrero y Gmez (2010)

En esta clasificacin se pueden observar

riesgos relacionados con personal interno,personal externo y con el sistema de

informacin y la infraestructura

tecnolgica que los soportan. En la tabla

13 se presenta una descripcin de las

posibles amenazas y vulnerabilidades

asociadas con la propuesta de niveles de

riesgo de Guerrero y Gmez (2010).

Amenaza Nivel de riesgo Vulnerabilidad Recurso asociado

con la amenaza

Recurso asociado

con la

vulnerabilidad

Acceso de personalinterno o externo ainformacin sensible

Acceso Falta de segregacinde funciones en elsistema deinformacin.

Personal internoPersonal externo

Sistema clienteServidorRedes ytelecomunicaciones.

Introducir informacinerrnea en lossistemas informticos

Ingreso deinformacin

Falta de controles enlos campos quepermiten el ingreso deinformacin alsistema.Dispositivos deingreso de datosdesconfigurados.


Sistema clienteDispositivosautomatizados deingreso de datos.

Prdida deinformacin

tems rechazados o ensuspenso

Falta de control en losequipos cliente y en el


Sistema clienteServidor

Figura 13. Propuesta de niveles de riesgo en sistemas de informaci

Fuente: Guerrero y Gmez (2010)


28/38



27

servidor. Bases de datosRedes ytelecomunicaciones.

Procesamientoinadecuado de lainformacin

Procesamiento Falta de control en lasfunciones yprocedimientos de lossistemas informticosy las bases de datos.

Sistema informtico Sistema clienteServidorBases de datos

Prdida de lacontinuidad delservicio.

Estructuraorganizativa

Falta deprocedimientos ycontroles antecontingencias.

Personal interno Personal interno

Desconfiguracin delos sistemas.

Cambio a losProgramas

Falta deprocedimientos ycontrolesrelacionados con loscambios en los

sistemas informticos.

Personal interno Personal interno

Tabla 13. Relacin de los niveles de riesgos de Guerrero y Gmez (2010) con las amenazas y vulnerabilidades del sistema de informaci


As mismo, relacionando los niveles de riesgo propuestos con los criterios de la seguridad de la informaci

(disponibilidad, integridad, confidencialidad y autenticidad), Guerrero y Gmez (2010), plantean la propuest

presentada en la figura 14. Recordemos los trminos de disponibilidad, confidencialidad e integridad

introduzcamos el trmino autenticidad.

Confidencialidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en losistemas informticos solo puede ser accedida por personal autorizado.

Integridad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en lo

sistemas informticos se corresponde con la real.

Disponibilidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en lo

sistemas informticos est a disposicin de quienes tienen acceso y estn autorizados para su uso.

Autenticidad de la informacin: Es la propiedad que permite que no haya duda de quin se hace responsable d

una informacin o prestacin de un servicio, tanto a fin de confiar en l como de poder perseguir posteriormentlos incumplimientos o errores (Ministerio de Administraciones Pblicas, 2012).


29/38



28

Resumen 1:

Las clasificaciones de los riesgos ayudan a las organizaciones a la toma de decisiones, en la medida e

que permiten detectar cules son los de mayor impacto y probabilidad para poder implementar la

medidas de seguridad necesarias.

Resumen 3:

Las causas que originan los espacios de riesgo son diferentes y pueden ser clasificadas como internas o

externas. En todos los casos, una adecuada clasificacin de la probabilidad de ocurrencia y del impacto

es necesaria para la implementacin de salvaguardas adecuadas.

Resumen 2:

La organizacin debe tomar la decisin de aceptar los riesgos residuales que quedan remanentes

despus de la aplicacin de controles sobre los riesgos inherentes. No obstante, se debe tene

precaucin en la definicin de dichos controles, ya que si no son adecuados, el impacto del riesgo residual ser igual a

del riesgo inherente.

Figura 14. Relacin de los niveles de riesgo de Guerrero y Gmez (2010) con los criterios de seguridad de

la informacin



30/38



29

Glosario

Activos crticos:

Son todos aquellos bienes materiales e inmateriales que al ser deteriorados, perdidos, divulgados si

autorizacin, etc., perjudican el patrimonio organizacional.

Amenaza:

Condicin del entorno organizacional relacionado con las tecnologas de informacin, que ante determinad

circunstancia podra ser una fuente de desastre informtico y afectar a los activos de la compaa (Guerrero

Gmez, 2012).

Caballo de Troya:

Segmentos de programacin en programas, fotografas, videos, documentos para que realicen actividade

indeseadas en los sistemas informticos. Los caballos de Troya pueden ser utilizados tambin como viru

gusanos o bombas lgicas.

Cumplimiento:

Conjunto de controles establecidos para garantizar una adecuada relacin entre confianza y confiabilidad.

Data diddling:

Modificacin de forma no autorizada de los datos para que los sistemas informticos produzcan informaci

falsa o errnea.

Data Leakage:

Consiste en el robo de informacin de los ficheros de una organizacin con fines de espionaje industrial

comercial.

Delito informtico:

Figura delictiva, tipificada por la ley en la que haciendo uso de sistemas informticos se atenta contra l

integridad, la disponibilidad y la confidencialidad de los datos y contra los sistemas informticos.


31/38



30

Denial of service attack:

Consiste en generar ataques a los servidores de los sistemas informticos para que se interrumpan o suspenda

temporal o indefinidamente los servicios prestados a los usuarios.

Eavesdropping:

Consiste en la interseccin de lneas, bien sean de datos o telefnicas con el fin de capturar, modificar o elimina

datos de los sistemas informticos.

Fraude informtico:

Delito informtico que se perpetra para obtener un beneficio de tipo econmico o informacional.

Keylogger:

Consiste en el uso de malware para capturar informacin confidencial y enviarla a personas no autorizadas, travs de dispositivos de captura de pulsaciones del teclado.

Malware:

Cdigo maligno o software malicioso utilizado para cometer un delito informtico.

Phishing:

Este fraude est catalogado dentro de la Ingeniera Social y consiste en suplantar a una persona u organizaci

para obtener informacin no autorizada.

Riesgo:

Es la probabilidad de que una amenaza se materialice a causa de una vulnerabilidad afectando los activos crtico

de una organizacin.

Riesgo inherente:

Riesgo que se propicia por la naturaleza misma del sistema informtico o de la organizacin.

Riesgo residual:

Es el riesgo remanente que resulta de la aplicacin de medidas adecuadas de seguridad para los riesgo

inherentes.

Salami:


32/38



31

Redondeo de cifras para obtener ganancias de pequeas cantidades de dinero por cada cuenta.

Scavenging:

Consiste en la recopilacin de informacin residual de los sistemas informticos para espionaje industrial

comercial.

Spyware:

Malware que captura y recopila informacin de los archivos de una organizacin para ser entregados a persona

no autorizado.

Trap doors:

Consiste en la utilizacin de las puertas traseras de los sistemas operativos o sistemas informticos, para accede

a informacin no autorizada o ejecutar transacciones indeseadas.

Vulnerabilidad:

Situacin generada por la falta de controles que permite concretar una amenaza, y el riesgo es la posibilida

que una amenaza se materialice y produzca un impacto en la organizacin (Guerrero y Gmez, 2012).


33/38



32

Bibliografa y Webgrafa

AS/NZS 4360 (2004). Estndar australiano de administracin de riesgos. Australia: Standards.

Ernst y Young (2010). Seguridad de la informacin en un mundo sin fronteras. Recuperado d

http://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE

/Seguridad_de_la_

informacion_en_un_mundo_sin_fronteras.pdf

Ernst y Young (2012). Cambios en el panorama de los riesgos de TI. Recuperado d

http://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspect

as_riesgos_TI.pdf

Guerrero, M. y Gmez, L. (2010). Gestin de riesgos y controles en sistemas de informacin (Tesis de maestra

Bucaramanga: Universidad Industrial de Santander.

Guerrero, M. y Gmez, L. (2012). Risk management and controls in information systems: from the learning t

organizational transformation. Estudios Gerenciales, 28(125). Recuperado d

http://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemas-

informacion-90199780

Guerrero, M. y Gmez, L. (2011). Revisin de estndares y literatura de gestin de riesgos y controles e

sistemas de informacin. Estudios Gerenciales, 27(121http://www.icesi.edu.co/estudios_gerenciales/es/Consulta_de_ejemplares.php

ISACA (2014). Marco de riesgos de TI. http://www.isaca.org/Knowledge-Center/Research/Documents/Risk-IT

Framework_fmk_Spa_0610.pdf

ITGI (2013). Information Risks: Whose Business Are They? http://www.isaca.org/Knowledge

Center/Research/Documents/info-risks-whose-business.pdf

Ministerio de Administraciones Pblicas (2012). MAGERIT. Metodologa de Anlisis y Gestin de Riesgos de lo

Sistemas de Informacin. Madrid: Ministerio de Administraciones Pblicas.

Ross, R. (2008). Managing Risk from Information Systems. Recommendations of the National Institute o

Standards and Technology. Gaithersburg: NIST Special Publication 800-39.
http://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE/Seguridad_de_la_http://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE/Seguridad_de_la_http://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE/Seguridad_de_la_http://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectivas_riesgos_TI.pdfhttp://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectivas_riesgos_TI.pdfhttp://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectivas_riesgos_TI.pdfhttp://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemas-informacion-90199780http://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemas-informacion-90199780http://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemas-informacion-90199780http://www.icesi.edu.co/estudios_gerenciales/es/Consulta_de_ejemplares.phphttp://www.icesi.edu.co/estudios_gerenciales/es/Consulta_de_ejemplares.phphttp://www.isaca.org/Knowledge-Center/Research/Documents/Risk-IT-Framework_fmk_Spa_0610.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/Risk-IT-Framework_fmk_Spa_0610.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/Risk-IT-Framework_fmk_Spa_0610.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/Risk-IT-Framework_fmk_Spa_0610.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/info-risks-whose-business.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/info-risks-whose-business.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/info-risks-whose-business.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/info-risks-whose-business.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/info-risks-whose-business.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/Risk-IT-Framework_fmk_Spa_0610.pdfhttp://www.isaca.org/Knowledge-Center/Research/Documents/Risk-IT-Framework_fmk_Spa_0610.pdfhttp://www.icesi.edu.co/estudios_gerenciales/es/Consulta_de_ejemplares.phphttp://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemas-informacion-90199780http://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemas-informacion-90199780http://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectivas_riesgos_TI.pdfhttp://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectivas_riesgos_TI.pdfhttp://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE/Seguridad_de_la_http://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE/Seguridad_de_la_


34/38



33

Steinberg, R. (2001).Governance, Risk Management, and Compliance: It Can't Happen to Us--Avoiding Corporat

Disaster While Driving Succes. Editorial Wiley.

Westerman, G. (2007). Hunter, R. IT Risk: Turning Business Threats into Competitive. Editorial Harvard Busines

School Press.


35/38



34

Crditos

El curso Gestin de Riesgo de TI es propiedad de la Universidad Cooperativa de Colombia y hace parte de l

Especializacin en Docencia Universitaria. Algunas imgenes se relacionan con su respectiva fuente y otra

fueron creadas por el autor de los contenidos, con el diseo posterior del equipo de produccin. El contenido de

curso est protegido por las leyes de derechos de autor que rigen al pas.

Este material tiene fines educativos.

Autor

Marlene Lucila Guerrero Julio

Decana de la Facultad de Ingenieras de la Universida

Cooperativa de Colombia, sede Bucaramanga, a cargo d

los programa de Ingeniera de Sistemas, Ingeniera d

Mercados, Maestra en Tecnologas de la informacin

las Comunicaciones y Maestra en Gestin de Tecnologa

de la Informacin (modalidad virtual).

Experiencia en procesos de acreditacin de programas

registro calificado de programas nuevos y en renovacin

Experiencia en planeacin acadmica, planeaci

estratgica, planeacin y ejecucin presupuestal

administracin de personal.

Docente investigadora en las reas de Informtica Educativa, Gestin de riesgos y controles en sistemas de informacin

Gestin de tecnologas de la informacin y auditora de sistemas. Miembro del grupo de investigacin GITI de l

Universidad Cooperativa de Colombia.

Experiencia en la aplicacin de pruebas de auditora que permitan reconocer y evidenciar riesgos y en el establecimiento d

controles pertinentes a los sistemas y tecnologas de la informacin a travs de la experiencia adquirida en la utilizacin d

estndar COBIT (Control Objectives for Information and realted Technology) y de la membresa honoraria de ISAC(Information System Audit and Control Association) as como de los lineamientos de la Organizacin Internacional de

Trabajo OIT.

Marlene Lucila Guerrero Julio

Autora del Curso


36/38



35

Responsable Acadmico

Marlene Lucia Guerrero Julio

Decana Facultad de Ingenieras

Sede Bucaramanga

Ing. Lina Mara Torres Barreto

Coordinadora Maestras Ingenieras Facultad de ingenieras


37/38



36

Direccin General

Direccin Nacional de Innovacin y Tecnologas

Educativas

Produccin y Montaje

Subdireccin E-learning

Angelica Ricaurte Avendao

Subdirectora Nacional E-Learning

Enry Doria Doria

Especialista en Diseo Instruccional

Mauricio Escudero Restrepo

Especialista en Produccin

Carlos Gulfo Cabrales

Programador

Daniel Morales Rojas

Administrador de Plataforma

Mario Fernando Castao

Diseador

Estefana Pelez Muoz

Practicante E-Learning


38/38


Primera versin. Septiembre de 2014.

Derechos Reservados

Esta obra es publicada bajo la licencia CreativeCommons. Reconocimiento-No Comercial-Compartir Igual 2.5 Colombia.

Gestion Riesgo Ti Unidad 1

Documents

Transcript of Gestion Riesgo Ti Unidad 1