La definición de riesgo según ISO
Enviado por juanangelc12 • 14 de Abril de 2014 • Trabajos • 2.962 Palabras (12 Páginas) • 276 Visitas
Explicación del tema 13
Proyecto integrador de administración de tecnologías de información
Tema 13. Administración de riesgos
13.1 Análisis de riesgos
La definición de riesgo según ISO es “potencial de que una amenaza determinada explota las vulnerabilidades de un activo o grupo de activos ocasionando pérdida o daño a la organización”.
El análisis de estos riesgos se basa en la detección de las amenazas, las cuales pueden ser operacionales, financieras, del entorno, etcétera. Pero independientemente de su naturaleza, elobjetivo será proteger la confidencialidad, integridad y disponibilidad de la información y de la infraestructura de la organización.
En la identificación de activos se debe incluir:
• Hardware.
• Software.
• Empleados.
• Servicios.
• Imagen/Reputación.
• Documentos (en papel y digitales).
13.2 Estimación y tratamiento de riesgos
El proceso de administración de riesgos se compone básicamente de 3 fases. La primera es el análisis de los riesgos en la que se inicia identificando los activos del negocio, sus objetivos y los recursos necesarios para el logro de estos objetivos. El análisis de riesgos se enfoca a detectar cuáles son los activos críticos para lograr los objetivos.
Una vez identificados los activos críticos, la siguiente fase es realizar una evaluación de estos riesgos identificando las amenazas potenciales para cada uno de los activos. Adicionalmente, se evalúa la probabilidad de que el evento ocurra y en caso de ocurrir, cuál sería el impacto en la empresa.
Los riesgos más comunes provienen de:
• Amenazas físicas y robos.
• Errores humanos.
• Errores en las aplicaciones.
• Fallas en los equipos.
• Problemas del medio ambiente (fallas de corriente eléctrica por ejemplo).
• Software malicioso (virus, spywares, etcétera).
Una vez identificados los riesgos, la siguiente fase es definir los controles que puedan mitigar los riesgos a un nivel aceptable establecido por la alta dirección. Recuerda que los controles tienen como propósito reducir la probabilidad de ocurrencia de una amenaza y detectarla de manera oportuna.
A su vez, la evaluación de riesgos identificará y cuantificará esta probabilidad en comparación con los niveles que fueron establecidos por la organización, y de esta forma determinar la acción apropiada para cada uno de ellos.
Las probables alternativas son las siguientes:
• Aceptar el riesgo. Cuando la administración decide que el beneficio es mayor que el riesgo.
• Reducirlo. Aplicar acciones y métodos para minimizar la ocurrencia de las amenazas.
• Transferirlo. Adquiriendo un seguro para proteger los activos.
• Rechazarlo. No hacer nada ni tomar medidas preventivas esperando que el riesgo no se presente.
La inversión en estos controles se basa en el costo del control comparado con el beneficio y de la cantidad de tolerancia a riesgos que establezca la alta gerencia.
Algunas de las consecuencias de los riesgos que se deberán evaluar incluyen:
• Pérdidas financieras.
• Pérdidas de imagen.
• Lesiones a clientes y/o trabajadores.
• Pérdida de oportunidades de negocio.
• Incumplimiento de leyes.
Como auditor de sistemas de información debes de verificar que el análisis de riesgos contemple la infraestructura de tecnologías de información y que los procesos de administración de información estén a su vez contemplados. Recuerda que ningún tipo de control podrá proveer una seguridad total. Sin embargo, pueden reducir en gran medida los efectos en la organización.
13.3 Técnicas de evaluación de riesgos
Aunque existen muchas técnicas y métodos para realizar un análisis y que incluye desde procedimientos manuales hasta aplicaciones computacionales, el análisis de riesgos se basa principalmente en 2 técnicas o métodos:
• Cuantitativo: Este método trata básicamente con números. Principalmente monetarios. Se trata de asignar un costo a los elementos del análisis de riesgos. (Activos y riesgos).
• Cualitativo: Asigna un rango de valores no monetarios a los riesgos. Se basa en la intuición y experiencia.
Análisis cuantitativo
En este análisis se cuantifican todos los elementos incluyendo el valor del activo, el impacto, la frecuencia, la probabilidad de ocurrencia y el costo de la solución.
Análisis cualitativo
En el análisis cualitativo, no se pretende asignar valores monetarios a los componentes del análisis de riesgos. En este tipo de análisis se da un rango al riesgo de acuerdo a la sensibilidad del activo del mismo.
Generalmente se utiliza una escala como la siguiente:
• Bajo: se asigna a inconvenientes menores que pueden ser tolerados en un período de tiempo corto y que no provocarán ninguna pérdida económica.
• Medio: ocasiona algún daño a la empresa, puede resultar en publicidad negativa y ocasionar pérdidas económicas moderadas.
• Alto: provoca una fuerte pérdida de confianza en clientes, empleados y accionistas. Puede llegar a causar acciones legales y multas para la empresa que representen una pérdida económica significativa.
Se puede utilizar una combinación de técnicas, la decisión final de qué metodología o metodologías utilizar depende del responsable del análisis. Tu responsabilidad como auditor de sistemas de información es verificar que estos análisis estén realizados adecuadamente en toda la infraestructura de tecnologías de información y que representen los procesos de la organización.
13.4 Proceso de administración
...