Professional Documents
Culture Documents
CAPITULO 2
20
Es la posibilidad de errores o
21
22
23
Externas e
Internas.
Naturales y
Motivadas por el Hombre.
Inundaciones
Temblores
24
Tornados
Tormentas Elctricas
Huracanes
Erupciones Volcnicas
Las causas de riesgo originadas por el hombre, son entre otras, las
siguientes:
Incendios
Explosiones
Accidentes laborales
Destruccin intencional
Sabotaje
Robo
Fraude
Contaminacin Ambiental
25
26
27
TABLA I
ETAPAS DE LA IDENTIFICACIN DEL RIESGO
RIESGO.
DESCRIPCIN
POSIBLES
CONSECUENCIAS
Posibilidad
de Se
ocurrencia
de caractersticas
aquella
refiere
situacin generales
que
las
Corresponde a los
las posibles
efectos
entorpecer
el observa
daos
de la entidad y le
econmico,
impidan el logro
administrativo, entre
de sus objetivos.
otros
de
tipo
social,
28
29
30
FIGURA 2.1.
PROBABILIDAD
Alta
31
Baja
Bajo
Alto
TABLA II
MATRIZ DE FRECUENCIA DE REVISIN DE SISTEMAS
Sistem a
Modo Mov.
10
T rx.
10
10
Ctas.Ctes.
C. Ahorros
Plazo Fijo
Inf. DGI
32
33
34
35
As mismo, es importante
36
El xito
37
38
TABLA III
MATRIZ DE LOCALIZACIN DE RIESGOS POTENCIALES
CRTICOS EN LOS ESCENARIOS DE RIESGO
Escenario de Riesgo
Fraude
Generacin y Registro de
2
3
Transacciones
Ingreso de los datos al sistema
Procesamiento de las
X
X
Exces
Sanci
Prdid
o de
o-nes
Egres
legale
Credib
os
s
X
i-lidad
X
X
X
X
transacciones y actualizacin
4
de la base de datos
Utilizacin y control de los
riesgos potenciales crticos. Con una "x" se sealan las celdas en donde
39
TABLA IV
MATRIZ DE LOCALIZACIN DE LOS RIESGOS CRTICOS
EN LAS DEPENDENCIAS
Dependencias
Fraude
1
2
Sucursales
Dpto. de
X
X
3
4
Sistemas
Contabilidad
DECEVAL
Exceso de
Sanciones
Prdida
Egresos
legales
X
X
Credibilidad
X
X
40
pareja escenario
dependencia.
R1: Fraude.
R3: Prdida de
Credibilidad Pblica.
TABLA V
MAPA DE RIESGOS POTENCIALES CRTICOS.
41
Escenario de Riesgo
Sucursales
1
2
3
Generacin de Transacciones
Ingreso de los datos al sistema
Procesamiento de las
R1, R2
R1
Sistemas
Deceval
Contabilidad
R1,R2
transacciones y actualizacin
4
de la base de datos
Utilizacin y control de los
R2
R1,R3
R2
42
43
pueda
ser
significativo
donde
se
identifiquen
oportunidades de mejora.
44
Seguridades
Objetivos
Manuales de usuarios
Polticas
45
46
A nivel organizacional:
enfocar
sus
recursos
en
los
objetivos
Al proceso de administracin:
47
de
toma
administracin
de
decisiones.
Una
mejor
generar
servicios
ms
operacional
48
FIGURA 2.2.
PROCESO DE ADMINISTRACIN DE RIESGO de TI
49
50
2.1.4.4.2.
Identificacin
de
Riesgos
de
TI:
Mediante
el
51
52
El anlisis de riesgos y los criterios contra los cuales los riesgos son
comparados en la valoracin deben ser considerados sobre la misma
base. As, evaluaciones cualitativas incluyen la comparacin de un
nivel cualitativo de riesgo contra criterios cualitativos, y evaluaciones
cuantitativas involucran la comparacin de niveles estimados de riesgo
contra
criterios
que
pueden
ser
expresados
como
nmeros
53
Para evaluar riesgos hay que considerar, entre otros factores, el tipo
de informacin almacenada, procesada y transmitida, la criticidad de
las aplicaciones, la tecnologa usada, el marco legal aplicable, el
sector de la entidad, la entidad misma y el momento.
exclusivas
ni
sern
apropiadas
en
todas
las
54
REDUCIR
55
56
57
de
los
ochenta,
paralelamente
al
nacimiento
58
59
60
61
62
63
64
65
2.1.4.5.2.2.2.
Metodologas
Cualitativas:
Precisan
de
la
Pero
66
TABLA VI
COMPARACIN ENTRE LAS METODOLOGAS CUANTITATIVAS Y
CUALITATIVAS
Cuantitativa
Cualitativa
Enfoca
pensamientos - Enfoque lo amplio que se
vulnerabilidades
distintas.
-
Proporciona
justificante
s
muy reactivo.
una
para
Se
concentra
en
la
contramedida.
de
estadsticas habilidad
fiables inexistentes.
C
o
n
t
r
del
si
Puede
son significantes
excluir
riesgos
desconocidos
valores cuantificables.
(depende de la capacidad
- Metodologas estndares.
slo
calidad
personal involucrado.
Dependencia
profesional.
- Identificacin de eventos
de
Dependencia
profesional.
de
un
67
68
2.1.4.5.2.3.1.
Metodologas
de
Anlisis
de
Riesgo:
Estn
FIGURA 2.3.
FUNCIONAMIENTO ESQUEMTICO BSICO DE
CUALQUIER METODOLOGA
Cuestionario
Etapa 1
Etapa 2
Calcular el impacto
Etapa 3
las contramedidas
y el coste
Etapa y4 riesgos
En base aIdentificar
estos cuestionarios
se identifican
vulnerabilidades
Simulaciones
Etapa 5
y se evala el impacto para
ms tarde identificar las contramedidas
y
Creacin de los Informes
Etapa 6
el coste. La siguiente etapa es la ms importante, pues mediante un
juego de simulacin (que se llamar Qu pasa si..?) que analizar
el efecto de las distintas contramedidas en la disminucin de los
riesgos
analizados,
eligiendo
de
esta
manera
un
plan
de
69
matemticas
subjetivamente,
las
70
71
72
73
74
son:
riesgos
materiales,
sabotajes
fsicos,
averas,
75
Su
enfoque
es
metodologa
cualitativa.
Sus
resultados
son
76
2.1.4.5.2.3.1.5. Metodologa
de
debilidades,
riesgos
77
FIGURA 2.4.
FASES DE LA METODOLOGA PRIMA
Check list
Toma de
datos
Ponderacin
Valoracin
Econmica
Prioridad
Duracin
Coste Econ.
Dificultad
Debilidades
Riesgos
Plan de Acciones
Plan de Proyectos
Identificacin
Debilidades
Amenazas
Vulnerabilidades
Anlisis del
Impacto y Riesgo
Definicin de contramedidas
Valoracin de contramedidas
Juegos de
Ensayo
(Opcionales)
78
Anlisis de Riesgos.
Plan de Contingencias Informtica y de recuperacin
del negocio.
Plan de restauracin interno informtico.
Clasificacin de la informacin.
Definicin y desarrollo de procedimientos de control
informticos.
Plan de cifrado.
Auditora Informtica.
Definicin y desarrollo de control de acceso lgico.
FIGURA 2.5.
LISTA DE AYUDA DE LA METODOLOGA PRIMA
79
Base de Datos de
Incidentes (A)
Relacin de
Debilidades (B)
Men Base de
Datos del
Conocimiento
(10)
Relacin de
eventos por sector
de actividad
Estadsticas y
Grficos
Relacin de Riesgos
(C)
Relacin de
contramedidas (D)
Conocimientos
Generales (E)
Relacin de
Proyectos (F)
80
Los miembros del grupo deben discutir los controles que debern
incluirse. A medida que esos controles se van admitiendo, es
necesario crear una lista con los siguientes datos:
Nmero de Identificacin,
Nombre corto que distingue a cada control,
Breve descripcin sobre la funcionalidad y utilidad del
control,
Identificacin
de
la
persona
responsable
de
la
81
determinados
problemas.
Dicho
grupo
realiza
la
equipo
Delphi
sesiona
conjuntamente
para
combinar
sus
82
83
superiores al cociente e
84
en
el
mtodo
Delphi,
se
disean
documentan
85
86
87
88
Estratgica
(informacin
muy
restringida,
muy
1. Identificacin de la Informacin.
2. Inventario de Entidades de Informacin Residentes y Operativas.
Inventario de programas, archivos de datos, estructuras de datos,
soportes de informacin, etc.
3. Identificacin de Propietarios. Son los que necesitan para su
trabajo, usan o custodian la informacin.
4. Definicin de jerarquas de informacin. Suelen ser cuatro, por que
es difcil distinguir entre ms niveles.
5. Definicin de la Matriz de Clasificacin. Esto consiste en definir las
polticas, estndares, objetivos de control y contramedidas por
tipos y jerarquas de informacin.
6. Confeccin de la Matriz de Clasificacin. En esta fase se
complementa toda la matriz, asignndole a cada entidad un nivel
89
90
91
92
93
94
95
que
debe
tener
toda
organizacin
debe
contribuir
96
97
98
99
por
mltiples
vnculos
contractuales
entre
factores
100
101
que
permitan
subsanar
las
deficiencias
encontradas.
102