Presentacin de PowerPoint

GESTIN DE RIESGOS ITIL v3Definicin de Riesgo en TIEs la probabilidad de ocurrencia de un evento o condicin indeseable y la significancia de la consecuencia de dicha ocurrencia.Puede referirse a numerosos tipos de amenazas causadas por: el medio ambiente, la tecnologa y los seres humanos.

Riesgos Conocidos:Aquellos que han sido identificados y analizados. Es posible establecer un plan especfico para atenderlos.

Riesgos Desconocidos:No pueden ser administrados, no obstante, pueden atenderse mediante un plan de contingencia basado en experiencias.

Qu es la gestin de riesgos?

Es el proceso sistemtico para manejar la incertidumbre, es decir, la posibilidad de que ocurra un riesgo o no.Es un mtodo para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.Se basa en la nocin de que los riesgos deben tratarse de forma proactiva, que la gestin de riesgos forma parte de un proceso formal y sistemtico que debe considerarse como una iniciativa positiva.Busca anticipar posibles perdidas accidentales con el diseo e implementacin de procedimientos que minimicen la ocurrencia de prdidas o el impacto financiero de las prdidas que puedan ocurrir.

Qu es la gestin de riesgos?

Se basa en los siguientes aspectos:La evaluacin de los riesgos inherentes a los procesos informticos.La evaluacin de las amenazas causas de los riesgos.Los controles utilizados para minimizar las amenazas a riesgos.La asignacin de responsables a los procesos informticos.La evaluacin de los elementos delanlisis de riesgos.

Fases de la Gestin del Riesgo

Cuenta con 4 fases basadas en polticas de seguridad, normas y reglas institucionales, que tienen la finalidad de potencializar las capacidades de una empresa disminuyendo las vulnerabilidades y limitando las amenazas con el resultado de reducir el riesgo.

Fase 1: Anlisis del Riesgo

En esta fase lo que se busca es conocer el sistema que se desea proteger conociendo sus vulnerabilidades y las amenazas a las que est expuesto con la finalidad de conocer la probabilidad de que un riesgo se materialice.

Las amenazas empiezan a existir cuando estn presentes las vulnerabilidades y en consecuencia a ellas da pie a los incidentes, hechos que se desea que sean evitados puesto que genera resultados negativos conocidos como impactos.

Fase 1: Anlisis del Riesgo

Definir los activos informticos a analizar (Confidencial, Privado, Sensitivo, Pblico).Identificar las amenazas y determinar la probabilidad de ocurrencia de ellas (Baja, Media, Alta).Determinar el impacto de las amenazas (Prdida de la informacin, personas ajenas tiene acceso a la informacin, la informacin ha sido manipulada o est incompleta.Recomendar controles que disminuyan la probabilidad de los riesgos.

Fase 2: Clasificacin del Riesgo

Determina hasta qu grado es factible combatir los riesgos encontrados, dependiendo de:

VoluntadRecursos Econmicos Entornodel ICBFdel ICBF del riesgo

Los riesgos que no queremos o podemos combatir se llaman riesgos restantes y no hay otra solucin ms que aceptarlos.

Evitar exceso de medidas y procesos de proteccin, puede paralizar procesos operativos e impedir el cumplimiento de la misin.Fase 2: Clasificacin del Riesgo

Al definir las medidas de proteccin, debemos encontrar un equilibrio entre su funcionalidad (cumplir el objetivo) y el esfuerzo econmico: suficientes, ajustados y optimizados.

Evitar escasez de proteccin, nos deja en peligro que pueda causar dao

Fase 3: Reduccin del Riesgo

Establece e implementa las medidas de proteccin para la reduccin de los riesgo encontrados en la fase del anlisis, ademssensibiliza y capacita los usuarios conforme a las medidas.

Construcciones del edificio, planta elctrica, control de acceso, antivirus, datos cifrados, contraseas inteligentes, etc.Medidas fsicasy tcnicas

ContratacinCapacitacinSensibilizacin

MedidasPersonales

Normas y ReglasSeguimiento de controlAuditoraMedidasOrganizativasFase 3: Reduccin del Riesgo

Consideraciones sobre las Medidas de Proteccin:

Su fuerza y alcance depende del nivel de riesgo.Alto riesgo Deben evitar el impacto y dao.Medio riesgo Solo mitigan la magnitud del dao.2. Se debe verificar su funcionalidad (que cumplan su propsito).-Respaldadas y aprobadas por la coordinacin.-Que no paralicen u obstaculicen los procesos operativos.3. Deben estar fundadas en normas y reglas.-Integrado en el funcionamiento operativo institucional.-Regular su aplicacin, control y sanciones por incumplimiento.

Fase 4: Control del Riesgo

Analiza y evala el funcionamiento, la efectividad y el cumplimiento de las medidas de proteccin implementadas en la fase de reduccin, para determinar y ajustar las medidas deficientes y sancionar el incumplimiento.

Debemos:Levantar constantemente registros sobre la ejecucin de las actividades, los eventos de ataques y sus respectivos resultados y analizarlos frecuentemente.Sancionar el incumplimiento y sobrepaso de las normas y reglas, dependiendo de su gravedad.Retroalimentar el proceso de la gestin de riesgos con los resultados obtenidos en ocasiones anteriores.

Gracias