Activos de Información
• Servicios (Procesos del Negocio)
• Datos o Información
• Aplicaciones de Software
• Equipos Informáticos
• Personal (Interno, Subcontratado,Externo, etc.)
• Redes de Conexión
• Soportes de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles (Imagen, Reputación)
Análisis de Riesgos
Definición de Riesgos
El potencial que una amenaza determinada
pueda explotar vulnerabilidades de un activo o
grupo de activos causando pérdida a la
institución o daño de los activos.
El impacto o severidad del riesgo es
proporcional al valor de la pérdida/daño para el
negocio.
Análisis de Riesgos
Elementos de Riesgo
Amenazas a, y vulnerabilidades de, procesos y/o
activos (incluyendo tanto activos físicos como de
información)
Impacto sobre los activos basado en amenazas y
vulnerabilidades
Probabilidad de amenazas (combinación de la
posibilidad y la frecuencia de ocurrencia)
Análisis de Riesgos
Riesgo y Planeación de Auditoría
El análisis de riesgos es parte de la
planeación de auditoría y ayuda a identificar
riesgos y vulnerabilidades para que el
auditor pueda determinar los controles
necesarios para mitigar esos riesgos.
Tipos de Riesgo
• Estratégico
• De Crédito
• De Liquidez
• Operativo
• País
• De Tipo de Cambio
• De Mercado
Políticas y Procedimientos
Política de Seguridad de Información La política de seguridad de información provee a la
administración la dirección y el soporte para la seguridad de información en conformidad con los requerimientos del negocio y las leyes y regulaciones relevantes. La Administración debe fijar una dirección clara de política en línea con los objetivos del negocio y demostrar apoyo a y compromiso con la seguridad de información a través de la emisión y mantenimiento de una política de seguridad de información para la organización.
Políticas y Procedimientos
Documento de Política de Seguridad de la Información
• Definición de seguridad de información
• Declaración de la intención de la gerencia
• Marco para fijar los objetivos de control y los controles
• Breve explicación de las políticas de seguridad
• Definición de las responsabilidades
• Referencias a la documentación
Políticas y Procedimientos Revisión de la Política de Seguridad de la Información • El input para la revisión de gerencia debe incluir:
– Retroalimentación de las partes interesadas – Resultados de revisiones independientes – Estado de las acciones preventivas y correctivas – Resultados de revisión de gerencias anteriores – Desempeño del proceso y cumplimiento de la política de seguridad de
información – Cambios que podrían afectar el enfoque de la organización para
administrar la seguridad de información, incluyendo cambios al entorno organizacional; las circunstancias del negocio; la disponibilidad de recursos; las condiciones contractuales, regulatorias y legales; o el entorno técnico.
– Tendencias relacionadas con las amenazas y vulnerabilidades – Incidentes de seguridad de información reportados – Recomendaciones suministradas por las autoridades relevantes
Políticas y Procedimientos
Revisión de la Política de Seguridad de la Información
El output o producto de la revisión de gerencia
– Mejoramiento del enfoque de la organización para administrar la seguridad de información y sus procesos
– Mejoramiento de los objetivos de control y los controles
– Mejoramiento en la asignación de recursos y /o responsabilidad
Análisis de Riesgos
Definición de Riesgos
El potencial que una amenaza determinada
pueda explotar vulnerabilidades de un activo o
grupo de activos causando pérdida o daño de
los activos.
El impacto o severidad del riesgo es
proporcional al valor para el negocio de la
pérdida/daño y a la frecuencia estimada de la
amenaza.
Análisis de Riesgos
Elementos de Riesgo
Amenazas a, y vulnerabilidades de, procesos y/o
activos (incluyendo tanto activos físicos como de
información)
Impacto sobre los activos basado en amenazas y
vulnerabilidades
Probabilidad de amenazas (combinación de la
posibilidad y la frecuencia de ocurrencia)
Análisis de Riesgos
Riesgo y Planeación de Auditoría
El análisis de riesgos es parte de la
planeación de auditoría y ayuda a identificar
riesgos y vulnerabilidades para que el
auditor pueda determinar los controles
necesarios para mitigar esos riesgos.
Proceso de Administración del
Riesgo
Evaluación del riesgo
Mitigación del riesgo
Reevaluación del riesgo
Análisis de Riesgos
Políticas y Procedimientos
Política Alto Nivel
Políticas específicas
Estándares
Proc. Admin. &
Operacionales
Alta Gerencia
Gerencia Media
( VP – Director)
Gerentes
Operaciones - Ejecución
Prácticas de Gerencia de SI
• Política de seguridad de información
– Comunica estándar coherente de seguridad a los usuarios, gerencia y personal técnico
– Primer paso para la construcción de la infraestructura de seguridad
– Debe balancear el nivel de control con el de productividad …
Top Related