ADACSI 1.4. Análisis de riesgos

ADACSI

2013

Capítulo I -

1

• Activos – Información y datos

– Hardware

– Software

– Servicios de TI

– Documentos

– Personal

– Imagen y reputación de la empresa

• Valor de los activos y potenciales impactos – Evaluar su valor en función de su importancia para el negocio

– El valor se expresa en términos del potencial impacto de negocio o de incidentes no deseados como la pérdida de confidencialidad, integridad y/o disponibilidad

– También pueden expresarse como pérdidas financieras, de porciones de mercado, de imagen empresaria, ingresos, etc.

Fue

nte:

ISO

/IEC

270

02 –

Cód

igo

de p

ráct

ica

para

la g

estió

n de

la s

egur

idad

de

la In

form

ació

n

1.4. Análisis de riesgos Componentes en la Administración de Riesgos

ADACSI

2013 Capítulo I

- 2

• Amenaza (Factor de riesgo) – Errores

– Daño/ataque intencional

– Fraude

– Robo

– Falla de Hardware/Software

– Acceso no autorizado a la información, a los sistemas de información y/o redes y servicios de redes

– Software malicioso

– Redireccionamiento de mensajes

– Modificación no autorizada de mensajes/información

– Fuego


Fue

nte:

ISO

/IEC

270

02 –

Cód

igo

de p

ráct

ica

para

la g

estió

n de

la s

egur

idad

de

la In

form

ació

n

ADACSI

2013 Capítulo I

- 3

• Vulnerabilidad/Debilidad (Factor de riesgo)

– Falta de conocimiento del usuario – Falta de eficacia de la seguridad física – Mala elección y uso de contraseñas – Tecnología no probada – Transmisión por dispositivos de comunicaciones no protegidos – Concentración de recursos – Falta de revisión humana – Interrupciones en las aplicaciones – Cantidad y monto de transacciones – Cantidad de sistemas de aplicación – Antigüedad de la aplicación o sistema operativo – Cantidad de cambios a una aplicación en un período dado – Tamaño de las bases de datos – Falta de actualización del hardware


Fue

nte:

ISO

/IEC

270

02 –

Cód

igo

de p

ráct

ica

para

la g

estió

n de

la s

egur

idad

de

la In

form

ació

n

ADACSI

2013

• Impacto/Exposición

– Pérdida directa de dinero – Violación de las leyes – Pérdida de reputación/confianza – Reducción en la eficiencia/rendimiento operacional – Interrupción de la actividad de negocio – Continuidad del negocio – Imagen institucional – Insatisfacción del cliente – Ineficaz e ineficiente uso de recursos – Procesamiento o registración errónea – No cumplimiento de leyes y reglamentaciones – Fraude – Pérdida o destrucción de activos

• Riesgo Total (impacto * probabilidad) • Riesgo Residual

$

Capítulo I

- 4


ADACSI

2013

Capítulo

I - 5

• Los auditores de SI deben conocer los riesgos del negocio relacionados con las TI utilizadas por la organización, las técnicas de gestión usadas por los gerentes de negocio y los controles relevantes.

• El auditor de SI está generalmente enfocado en una clase particular de riesgos asociados con la información y con los sistemas y los procesos de TI relacionados que generan, almacenan y manipulan la misma.

• Es posible destacar los riesgos asociados con la pérdida de confidencialidad, integridad o disponibilidad de la información.

• El auditor también debe entender el riesgo existente dentro del proceso de auditoría (se analizará en el tema “Ejecución de una Auditoría de TI”).

1.4. Análisis de riesgos

ADACSI

2013

Capítulo I

- 6

Se debería realizar un análisis de costo - beneficio

• El costo del control comparado con el beneficio de minimizar el riesgo

• El nivel de riesgo residual que la gerencia está preparada a aceptar

• Métodos preferidos de reducción de riesgos (ej.: eliminarlo, minimizar su probabilidad de ocurrencia o el impacto, transferencia al seguro).


Medidas de control

ADACSI

2013 Capítulo I - 7

• Dependiendo del resultado del análisis/evaluación de riesgos, el auditor puede definir más acertadamente qué áreas auditar

• Ayuda al auditor en la evaluación de los controles durante el planeamiento de la auditoría.

• Ayuda al auditor a determinar los objetivos de la auditoría

• Respalda las decisiones de la auditoría basada en riesgos.


Propósitos

ADACSI


Fue

nte:

ISO

177

99 /

BS

7799

– A

dmin

istr

ació

n de

la S

egur

idad

de

la In

form

ació

n

PD

300

2 –

Gui

de to

BS

779

9: R

isk

Ass

essm

ent &

Ris

k M

anag

emen

t

3. Amenazas

4. Vulnerabilidades

1. Activos

7. Controles

6. Requerimientos

de seguridad

2. Valor de los activos y

Potenciales impactos

exponen

tienen

incrementan incrementan

incrementan cubiertos por indican

protegen

contra

aprovechan

Impacto sobre la

Organización

5. Riesgos

de Seguridad

mitigan


Relación entre los componentes

ADACSI


El riesgo general del negocio para una amenaza en particular se puede expresar como: A. un producto de la probabilidad y de la magnitud del impacto si una amenaza explotara exitosamente una vulnerabilidad B. la magnitud del impacto si una fuente de amenaza explotara exitosamente la vulnerabilidad. C. la probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad. D. la opinión colectiva del equipo de evaluación de riesgos.

Preguntas de práctica

ADACSI


• Objetivos de control interno

• Objetivos de control de los SI

• Objetivos de Control para la información y tecnologías relacionadas (COBIT)

• Controles Generales

• Controles de SI

1.5. Controles Internos

ADACSI

2013 Capítulo I

- 11

Modelo de Madurez del Control

PROCESOS Y

CONTROLES

Inicial

Repetible

Definido

Manejado

Optimizado

BAJO

CONTROL

MEJORADO

FUERA DE

CONTROL

disciplina

estandarizado,

consistente

previsible

administración

del proceso

proceso

formalizado

monitoreo y medición

del proceso

automatizar las

mejores prácticas

mejora continua

1.5.3. Objetivos de Control para la

Información y Tecnologías

Relacionadas (CobiT)

ADACSI

2013

Capítulo I -

12

1.5.1. Objetivos del Control Interno

• Objetivos

– salvaguarda de los activos del SI

– confiabilidad e integridad de la información

– integridad de los entornos de operaciones y de sistemas de aplicación

–eficacia del SI y la utilización económica y eficiente de los recursos de TI asociados

– cumplimiento de políticas, planes, procedimientos, leyes, normas y contratos

Los objetivos de control interno son declaraciones del resultado deseado o del propósito a ser alcanzado con la implementación de actividades de control (procedimientos)

ADACSI

2013

Capítulo I -

13

1.5.1. Clasificaciones del Control

INSTALACIONES

PERSONAL

DATOS

SISTEMAS de APLICACION

TECNOLOGÍA

Amenazas y vulnerabilidades

-Revelación

- Destrucción

- Modificación P

R

E

V

E

N

T

I

V

O

S

D

E

T

E

C

T

I

V

O

S

C

O

R

R

E

C

T

I

V

O

S

ADACSI

2013 Capítulo I

- 14




Proporciona un marco integral que ayuda a las empresas a alcanzar sus metas y obtener valor a través de un gobierno y gestión eficaz de las TI corporativas. También a crear valor óptimo a partir de las TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. Presenta una serie de facilitadores para lograr el gobierno y gestión integral de las TI, considerando el negocio de principio a fin y las áreas funcionales de responsabilidad de TI, teniendo en cuenta los intereses relacionados con la TI tanto de los grupos de interés internos como externos. Los 5 principios de COBIT y los facilitadores son de carácter genérico y útil para las empresas de todos los tamaños, ya sean de orden comercial, sin fines de lucro o pertenecientes al sector público.

Nota Pág. 53: A un candidato a CISA no se le pedirá que identifique específicamente el proceso de CobiT, los dominios o el conjunto de procesos de TI definidos en cada uno de ellos. Sin embargo, los candidatos deben saber qué es un marco general, qué hace y por qué se usa en las empresas. El conocimiento de la existencia, estructura y principios clave de las normas más importantes y marcos generales relacionados con el gobierno, el aseguramiento y la seguridad de TI será también ventajoso.

ADACSI





Source: COBIT® 5, figure 2. ©

2012 ISACA® All rights

reserved.

ADACSI

2013

Las empresas existen para crear valor para sus partes interesadas, manteniendo un balance entre la obtención de beneficios, la optimización del riesgo y el uso de recursos. COBIT 5 provee todos los procesos requeridos y otros facilitadores para dar soporte a la creación de valor para el negocio a través del uso de las TI. Dado que cada empresa tiene diferentes objetivos, una empresa puede ajustar COBIT 5 a su propio contexto a través de las metas en cascada traduciendo las metas de alto nivel en metas relacionadas con TI concretas, manejables y específicas proporcionando procesos y prácticas para su logro.




Source: COBIT® 5, figure 4. © 2012

ISACA® All rights reserved.

1

Cubrir las necesidades de las terceras partes

ADACSI

2013




COBIT 5 integra el gobierno de TI en el gobierno de la empresa. Cubre todas las funciones y procesos dentro de la empresa; pero no se focaliza sólo en la "función de TI", trata la información y tecnologías relacionadas como activos que deben ser manejados como cualquier otro bien por todos en la empresa. Considera todos los facilitadores relacionados con el gobierno y gestión de TI como parte de toda los negocios, a lo ancho y de principio al fin.

Source: COBIT® 5, figure 8 y 9. © 2012 ISACA® All rights reserved.

2 Abarcar los negocios de principio a fin

ADACSI

2013

Existen varios estándares y buenas prácticas relacionados con TI que proveen guía sobre un subconjunto de las actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos relevantes y de esa manera puede servir como marco integrador para el gobierno y la gestión de TI. Empresa: COSO, COSO ERM, ISO / IEC 9000, ISO / IEC 31000 Relacionados con la TI: ISO / IEC 38500, ITIL, ISO / IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI




3 Aplicar un marco único e integrado

ADACSI

2013




Para lograr efectividad y eficiencia en el gobierno y la gestión de las TI se requiere un enfoque holístico, tomando en cuenta todos los componentes que interactúan. COBIT 5 define un conjunto de facilitadores para dar soporte a la implementación de un sistema abarcativo para el gobierno y la gestión de TI. Una definición de alcance amplio de “facilitadores” es: “todo lo que pueda ayudar al logros de los objetivos de la empresa. COBIT 5 define 7 facilitadores. • Principios, políticas y marcos- son los vehículos para traducir el comportamiento deseado en una guía práctica para la gestión del día a día • Procesos- Describir un conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir un conjunto de salidas en apoyo del logro de TI • Estructuras organizativas - son las entidades clave en la toma de decisiones en una organización • Cultura, ética y comportamiento - de los individuos y de la organización; muy a menudo subestimado como factor de éxito en las actividades de gobierno y gestión • Información - es un fenómeno generalizado en toda una organización, es decir, se refiere a toda la información producida y utilizada por la empresa. La información es necesaria para mantener la organización funcionando y bien gobernada, pero a nivel operativo, la información es muy a menudo la clave del producto de la propia empresa. • Servicios, infraestructura y aplicaciones – son los que proporcionan a la empresa el soporte para el procesamiento de la información • Personas, habilidades y competencias – son necesarios para completar con éxito todas las actividades, tomar las decisiones correctas y aplicar las medidas correctivas

4 Permitir/habilitar un enfoque holístico

ADACSI

2013




COBIT 5 establece una clara distinción entre el gobierno y la gestión. Estas dos disciplinas abarcan diferentes tipos de actividades, requieren diferentes estructuras organizativas y sirven para diferentes propósitos. La visión de COBIT 5 es la siguiente. Gobierno asegura que las necesidades, las condiciones y las opciones de las partes interesadas son evaluadas para determinar equilibrados y consensuados objetivos a alcanzar, estableciendo la dirección a través de la priorización y la toma de decisiones y monitorizando el desempeño y el cumplimiento respecto de la dirección y objetivos acordados (EDM). En la mayoría de las empresas, el gobierno es responsabilidad del consejo de administración bajo la dirección del presidente. Es posible delegar responsabilidades de gobierno específicas a estructuras organizacionales del nivel apropiado, sobre todo en empresas muy grandes y complejas. La gestión planifica, construye (builds), ejecuta (runs) y monitoriza actividades; acciones que deben estar alineadas con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa (PBRM). En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva, bajo la dirección del CEO.

5 Separar gobierno de gestión

ADACSI


1.5.3. Controles Generales

Incluyen políticas, procedimientos y prácticas (tareas y actividades) que son establecidos por la gerencia para proveer una certeza razonable de que se alcanzarán objetivos específicos. Son aplicables a todas las áreas de la organización, incluyendo infraestructura y servicios de soporte. – Internos de contabilidad (confiabilidad de registros financieros)

– Operativos (aseguran que la operación cumple con los objs. de negocio)

– Administrativos (eficiencia operacional y adhesión a políticas de gestión)

– Políticas y procedimientos organizacionales de seguridad – Políticas generales para el diseño y uso de documentos y registros – Procedimientos y prácticas para asegurar la protección adecuada

en el acceso y uso de activos – Políticas de seguridad lógica y física

ADACSI


1.5.4. Controles de SI

Cada procedimiento de control general puede ser traducido en un procedimiento de control específico de SI. Podrían incluir:

• Estrategia y dirección • Organización y administración general • Accesos a los recursos de TI, incluyendo datos y programas • Metodología de desarrollo de sistemas y administración de cambios • Procedimientos de operación • Programación de sistemas y funciones de apoyo técnico • Operaciones de procesamiento de datos • Procedimientos de aseguramiento de la calidad • Controles de acceso físico • Planificación de continuidad/recuperación de desastre del negocio • Redes y comunicaciones • Administración de la base de datos • Protección y mecanismos de detección contra ataques internos y

externos

ADACSI


Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría: A. la eficiencia de la aplicación para cumplir con el proceso del negocio. B. el impacto de cualquier exposición descubierta. C. los procesos del negocio atendidos por la aplicación. D. la optimización de la aplicación.

Preguntas de práctica

ADACSI 1.4. Análisis de riesgos

Documents

Transcript of ADACSI 1.4. Análisis de riesgos