Professional Documents
Culture Documents
CATEDRÁTICOS:
Licenciado Roberto Chang
Licenciado Roberto Martínez
Licenciado Ricardo Casco
Ing. Alfonso Alfonso
INDICE
INTRODUCCIÓN 1
BIBLIOGRAFÍA 33
0
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
INTRODUCCIÓN
Existen diversas metodologías para evaluar riesgos de TI y su adopción depende
de las necesidades de cada organización; tales metodologías representan una
herramienta muy útil, dado que, permiten identificar los riesgos que la organización
está dispuesta a cubrir, a evaluarlos y dar respuesta a los mismos para
contrarrestarlos.
Dentro de estas metodologías cabe mencionar la Metodología de Evaluación de
Riesgos de TI RISK IT (Basado en COBIT); en la cual, se detalla de principio a fin
los procesos que debe seguir una organización que decida adoptar este tipo de
marco.
Esta metodología está basada en tres ámbitos de importancia:
1. Gobierno del riesgo
1
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
Los riesgos de TI son un componente del universo de riesgos a los que está
sometida una organización. Otros de los riesgos a los que una organización se
enfrenta pueden ser riesgos estratégicos, riesgos ambientales, riesgos de
mercado, riesgos de crédito, riesgos operativos y riesgos de cumplimiento.
RISK IT es el riesgo comercial, es decir, el riesgo de los negocios asociados con el
uso, la propiedad, la operación, la participación, la influencia y la adopción de TI
dentro de una organización.
2
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
Proporciona de principio a fin, visión global de todos los riesgos relacionados con
el uso de las TI y un tratamiento igualmente minucioso de la gestión del riesgo,
desde el tono y la cultura hasta las cuestiones operativas. En resumen, la
metodología permitirá a las organizaciones entender y gestionar todos los tipos
importantes de riesgos de TI.
La metodología provee:
Una metodología de proceso de punta a punta para gestión de riesgos de TI
correcta.
BENEFICIOS Y RESULTADOS
La metodología de RISK IT aborda muchas cuestiones a las cuales las
organizaciones se enfrentan hoy en día, es notable su necesidad de:
Una visión precisa del presente y del futuro próximo sobre los riesgos
relacionados con TI en toda la organización y el éxito con el que la
organización se ocupa de dichos riesgos.
3
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
4
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
5
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
6
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
7
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
El apetito por el riesgo se puede definir mediante los mapas de riesgo, en este
ejemplo se definen cuatro bandas de importancia:
Rojo: indica que realmente es un riesgo inaceptable. La organización
estima que este nivel de riesgo es mucho más allá de su apetito de riesgo
normal. Cualquier riesgo que se encuentren en esta banda podría
desencadenar una respuesta inmediata de riesgos.
8
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
9
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
3. SENSIBILIZACIÓN Y COMUNICACIÓN
La concienciación de los riesgos es de reconocer que el riesgo es una parte
integral de la organización. Esto no implica que todos los riesgos que deben ser
evitadas o eliminadas, sino que se entienden y conocen los riesgos de TI,
problemas de riesgo sean identificables, y la organización reconoce y utiliza los
medios de manejar los riesgos de TI.
10
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
4. CULTURA DE RIESGOS
11
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
1.3. Evento: un escenario siempre tiene un evento. ¿Es una revelación (de la
información confidencial), la interrupción (de un sistema, un proyecto), la
modificación, robo, destrucción, etc.?
1.5. Planificación del tiempo: que podría definir lo siguiente, si es relevante para
el escenario la duración del evento.
12
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
Factores internos del medio ambiente están, en gran medida, bajo el control
de la organización, aunque no siempre sea fácil de cambiar.
Factores externos del medio ambiente están, en gran medida, fuera del
control de la organización.
13
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
Una vez que el conjunto de escenarios de riesgo se define, puede ser utilizado
para el análisis de riesgos, donde se evalúa la frecuencia y el impacto del
escenario.
14
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
La metodología RISK se distingue por ser de gran relevancia, por poseer una alta
probabilidad de predecir o por que indican un riesgo importante. Los criterios para
seleccionar riesgos incluyen:
Impacto: los indicadores de riesgo con alto impacto comercial son más
propensos a ser RISK.
Esfuerzo para aplicar, medir y reportar los indicadores: el criterio debe ser la
facilidad.
Fiabilidad: el indicador debe poseer una alta correlación con el riesgo.
Sensibilidad: el indicador debe ser representativo para el riesgo y capaz de
indicar con precisión las diferencias en el riesgo.
15
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
16
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
CASOS PRÁCTICOS
EVALUACIÓN DE RIESGOS DE TI A TRAVÉS DEL PROCESO DE LA
METODOLOGÍA RISK IT
CASO PRÁCTICO 1
ACCESOS NO AUTORIZADOS AL SISTEMA DE INFORMACÍON DE LA
EMPRESA
PROCESO DE EVALUACÍON
I. ETAPA DE GOBIERNO DE RIESGO
1. EL APETITO DEL RIESGO Y LA TOLERANCIA AL RIESGO
17
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
2.1. Responsables:
El dueño de la aplicación
Los empleados
El administrador de seguridad
Auditoría interna
2.2. Rendición de cuentas:
3. SENSIBILIZACIÓN Y COMUNICACIÓN
Este proceso es de vital importancia, ya que comunica las políticas de seguridad,
el uso de contraseñas y los accesos al sistema, lo que permite la concientización
por parte de los usuarios del sistema en el cumplimento de las mismas; así como
las medidas correctivas en caso de incumplimiento.
18
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
4. CULTURA DE RIESGOS
Es el comportamiento que adoptarán los usuarios del sistema, una vez
comunicadas las políticas y concientizado los peligros o riesgos que pueden surgir
de no cumplir a cabalidad dichas políticas de seguridad para la organización; así
mismo tomar una actitud proactiva ante los reportes de incidencias.
19
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
20
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
1. MITIGAR EL RIESGO
CONTROLES
Análisis exhaustivo de los privilegios y derechos a conceder
21
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
2. RIESGO COMPARTIDO
CONTROLES
Firma de un acuerdo de responsabilidad en el uso de la contraseña, con el
cual se transfieren los riesgos a los usuarios asociados a la mala utilización
de las mismas.
22
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
CASO PRÁCTICO 2
PROCESO DE EVALUACÍON
2.1. Responsables:
Usuarios de las aplicaciones sensibles o críticas a fraude
El dueño de las aplicaciones sensibles o críticas a fraude
23
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
3. SENSIBILIZACIÓN Y COMUNICACIÓN
Este proceso es de vital, para proteger la información sensible a fraude, ya que, se
comunican las técnicas criptográficas a utilizar; lo que permite la concientización
por parte de los usuarios de aplicaciones sensibles o críticas de la organización y
el cumplimento de las mismas; así como las medidas correctivas en caso de
incumplimiento.
4. CULTURA DE RIESGOS
Es el comportamiento que adoptarán los usuarios de las aplicaciones sensibles o
críticas de la organización, una vez comunicadas las políticas y concientizado de
los peligros o riesgos que pueden surgir de no cumplir a cabalidad con las políticas
que garanticen la integridad, el no repudio y la confidencialidad de la información;
así mismo tomar una actitud proactiva ante los reportes de incidencias.
24
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
25
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
26
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
1. MITIGAR EL RIESGO
CONTROLES
La red de seguridad debe especificar claramente los usuarios que procesan
y tiene acceso a información confidencial o crítica.
Contar con claves criptográficas para las firmas digitales y otras claves para
cifrar el documento.
27
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
EJERCICIO DE LABORATORIO
PROCESO DE EVALUACÍON
2.1. Responsables:
____________________________________________________________
____________________________________________________________
____________________________________________________________
28
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
3. SENSIBILIZACIÓN Y COMUNICACIÓN
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
4. CULTURA DE RIESGOS
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
29
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
_______________________________________________________
_______________________________________________________
_______________________________________________________
_______________________________________________________
_______________________________________________________
_______________________________________________________
_______________________________________________________
_______________________________________________________
_______________________________________________________
_______________________________________________________
30
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
31
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
1. MITIGAR EL RIESGO
CONTROLES
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
32
Universidad Nacional Autónoma de Honduras
Auditoría en sistemas de información II
“Riesgo de TI analizados con la metodología “RISK IT”
BIBLIOGRAFÍA
www.isaca.org.
MARCO DE RIESGO DE TI
33