Riesgo
-
Upload
christian-martinez -
Category
Documents
-
view
1.439 -
download
1
Transcript of Riesgo
AUDITORIA DE SISTEMAS II
NORMAS Y ESTÁNDARES PARA LA GESTIÓN DEL RIESGO
Christian Felipe Martínez López 907035
CLIMA ORGANIZACIONAL
Funcionamiento normal existencia posibles eventos que lo alteran
Creación de la gestión del riesgo.
Estándares y Normas (como INCONTEC, ANSI, ISO, COBIT, ITIL, entre otras)
TÉRMINOS IMPORTANTES
RIESGO: Probabilidad de que ocurra un daño PELIGRO: Probabilidad de ocurrencia de un
evento que conlleve a un daño. DAÑO: Perdida o perjuicio tanto material o
personal. IMPACTO: Nivel de calificación del daño, de
acuerdo a parámetros de medida establecidos, usualmente se utiliza en términos de dinero.
FRECUENCIA: En parámetros de tiempo; posible regularidad con la que puede ocurrir el suceso que conlleve al daño.
NORMA INICIALIZADORA
AS/NZ 4360
1. Establecer el contexto2. Identificar riesgos3. Analizar riesgos4. Evaluar riesgos5. Tratar riesgos6. Monitorear y revisar7. Comunicar y consultar
CALIFICACIÓN SEGÚN IMPACTO
CALIFICACIÓN DE LA FRECUENCIA
MATRIZ DE ANÁLISIS DE RIESGOS
ACCIONES CORRECTIVAS – PLAN DE CONTINGENCIA - CONTROL
Para reducir la probabilidad
Para reducir el impacto
FORMATOS DE TRABAJO PRE-ESTABLECIDOS PARA EL REGISTRO DE RIESGOS
FORMATOS PRE-ESTABLECIDOS PARA LA GESTIÓN Y EL CONTROL DE RIESGOS
PLAN DE ACCIÓN PUNTUAL
NIST SP 800-34
Identifica principios fundamentales de planificación basándose en el ámbito del gobierno de TI:
Ordenadores Sitios web Redes Locales y Amplias Sistemas distribuidos Sistemas mainfraime
ACTORES
Esta labor puede se ejecutada por categorías de personal como:
Directivos
Administradores de sistemas
Ingenieros de sistemas y arquitectos
Usuarios
ADICIONES A LA NORMA PRINCIPAL Manejo de antecedentes
Tipos de plan Continuidad Recuperación Soporte Comunicación Recuperación
Incorporación de las fases
inicial (requerimientos y objetivos) desarrollo (conceptos y diseño) implementación (pruebas iniciales) mantenimiento (usado por las dependencias)
NTC 5254 (CONTEXTO COLOMBIANO)
Fundamentada en la as/nz 4360 (gran parte de su contenido es el mismo), agrega el concepto de establecimientos de contextos (interno y externo), establecimientos de responsabilidades y autoridades, adaptación del proceso de adaptación del riesgo y aseguramiento de los recursos adecuados.