Riesgos informaticos

8
AUDITORIA DE SISTEMAS RIESGOS INFORMATICOS PRESENTADO POR: JOSE LUGO NAVARRETE MANUEL ALEJANDRO MURCIA ING. NESTOR ALEJANDRO LOPEZ RINCON CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR FACULTAD DE INGENIERIA PROGRAMA INGENIERIA DE SISTEMAS

Transcript of Riesgos informaticos

Page 1: Riesgos informaticos

AUDITORIA DE SISTEMAS

RIESGOS INFORMATICOS

PRESENTADO POR:

JOSE LUGO NAVARRETE

MANUEL ALEJANDRO MURCIA

ING. NESTOR ALEJANDRO LOPEZ RINCON

CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR

FACULTAD DE INGENIERIA

PROGRAMA INGENIERIA DE SISTEMAS

2016

Page 2: Riesgos informaticos

1. RIESGOS INFORMATICOS

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control que puedan evaluar el desempeño del entorno informático.Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos.

¿QUE SON LOS RIESGOS?

El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de información.

“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”. Fuente: Organización Internacional por la Normalización (ISO).

2. ANALISIS DE RIESGOS

¿QUE ES?

Podemos definir el riesgo como: la posibilidad de que ocurra algún evento negativo para las personas y/o empresas. Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de factores internos y externos, tan variables como su propio personal, su actividad, la situación económica, la asignación de sus recursos financieros o la tecnología utilizada (Rodríguez, 1995).

Los equipos de cómputo que habitualmente se utilizan en las empresas están sujetos al riesgo de que ocurra alguna eventualidad que los dañe y debido a que no existe una seguridad total y las medidas de seguridad no pueden asegurar al 100% la protección en contra de las vulnerabilidades, es imprescindible realizar periódicamente en una organización, un análisis de riesgos, para identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y así, lograr un manejo de riesgo tras la implementación y mantenimiento de controles que reduzcan los efectos de éste a un nivel aceptable.

El análisis de riegos proporciona herramientas útiles para cuantificar el riesgo y evaluar si este análisis es adecuado, tomar medidas para reducirlo, además intenta mantener un balance económico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de seguridad destinadas a manejarlos.

Page 3: Riesgos informaticos

CONSIDERACIONES Y RELACIONES DEL ANÁLISIS DE RIESGOS

En un proceso de análisis del riesgo debe considerarse la siguiente terminología:

Activo: es todo aquello con valor para una organización y que necesita protección –datos infraestructura, hardware, software, personal y su experiencia, información, servicios-.

Riesgo: posibilidad de sufrir algún daño o pérdida.

Aceptación del riesgo: decisión para aceptar un riesgo.

Análisis de riesgo: uso sistemático de información disponible para identificar las fuentes y para estimar qué tan seguido determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias. Uso sistemático de la información para describir y calcular el riesgo (ver tabla 5.3). Evaluación de amenazas y vulnerabilidades de la información y su impacto (ver tabla 5.4) en el procesamiento de la información así como su frecuencia de ocurrencia (ver tabla 5.5).

Tabla 5.3 Un ejemplo de la escala del riesgo

ANALISIS DE RIESGOS

1. Manejo de riesgo: proceso de identificación, control y minimización o eliminación de riesgos de seguridad que pueden afectar sistemas de información, por un costo aceptable.

2. Evaluación del riesgo: comparación de los resultados de un análisis del riesgo con los criterios estándares del riesgo u otros criterios de decisión.

3. Impacto: pérdidas como resultado de la actividad de una amenaza, las pérdidas son normalmente expresadas en una o más áreas de impacto –destrucción, denegación de servicios, revelación o modificación-.

4. Pérdida esperada: el impacto anticipado y negativo a los activos debido a una manifestación de la amenaza.

5. Vulnerabilidad: una condición de debilidad.6. Amenaza: una acción potencial (que puede suceder o existir, pero no existe aún) con la posibilidad

de causar daño.7. Riesgo residual: el nivel de riesgo que queda después de la consideración de todas las medidas

necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.

8. Control: son los protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización

Page 4: Riesgos informaticos

RELACION DE ANALISIS DE RIESGOS

3. MATRIZ DE RIESGOS

¿QUE ES?

 Una matriz de riesgo es una herramienta de control y de gestión normalmente utilizada para

identificar las actividades (procesos y productos) más importantes de una institución financiera,

el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos endógenos que engendran estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros, operativos y estratégicos que impactan la misión de la organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera global el riesgo de una institución. Una matriz es una herramienta sencilla que permite realizar un diagnóstico objetivo de la situación global de riesgo de una institución financiera. Permite una participación más activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la entidad bancaria. Es consistente con los modelos de auditoría basados en riesgos ampliamente difundido en las mejores prácticas internacionales (Coso, Coco - Cobit).Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Finalmente, una Matriz de Riesgo adecuadamente diseñada y

Page 5: Riesgos informaticos

efectivamente implementada se convierte en soporte conceptual y funcional de un efectivo Sistema Integral de Gestión de Riesgo.

EJEMPLOS


Riesgos informaticos

Riesgos informaticos

Virus informaticos y riesgos en la internet

Virus informaticos y riesgos en la internet

clases de virus informaticos y de antivirus informaticos

clases de virus informaticos y de antivirus informaticos

Ingenieros Informaticos

Ingenieros Informaticos

Delitos informaticos

Delitos informaticos

conceptos informaticos

conceptos informaticos

Analisis de Riesgos Informaticos en Empresa Ecuador

Analisis de Riesgos Informaticos en Empresa Ecuador

-VIRUS INFORMATICOS-

-VIRUS INFORMATICOS-

Riesgos informaticos j

Riesgos informaticos j

Viirus informaticos

Viirus informaticos

auditores informaticos

auditores informaticos

Virus informaticos

Virus informaticos

Virus y riesgos informaticos

Virus y riesgos informaticos

Sistemas informaticos

Sistemas informaticos