Post on 11-Apr-2015
1
Riesgos
José Luis Dominikow
2
Riesgo
3
Riesgo
Los riesgos cuando se materializan, se denominan:
errores, irregularidades Omisiones
los cuales pueden generar una pérdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.
4
Que hacer con el riesgo ?
5
Riesgos
6
Riesgos
Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de ésta.
Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes,
como los errores, irregularidades o fallas
que pudieran ser importantes en forma individual o en conjunto con otros riesgos.
Riesgo Inherente
Riesgo inherente al deporteRiesgo inherente al comercioRiesgo inherente al procesamiento de datosRiesgo inherente …
7
8
Riesgos
Los riesgos inherentes a la materia pueden tener o no controles elaborados por la dirección para mitigar su probabilidad o su impacto.
Los riesgos inherentes a la materia bajo análisis pueden ser : relativos al entorno, ambiente interno, procesos, información, etc
9
Riesgos Inherentes
Riesgo de CréditoRiesgo FinancieroRiesgo OperacionalRiesgo de Tecnología de la InformaciónRiesgo Calidad de Servicio y transparencia de la Información
10
Riesgos Inherentes…
Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurídica.
Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economía local o internacional que podría afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez, como asimismo los descalces globales de activos.
Riesgos Inherentes
Riesgo Operacional: se define como el riesgo de pérdida debido a la inadecuación o fallas en los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes, daños activos materiales, fallas en procesos, etc). Incluye riesgos legales y normativos.
Riesgo Calidad de Servicio y transparencia de la Información: es el riesgo de perdida por no contar con un nivel adecuado de calidad de servicio y transparencia en la operación
12
Riesgos de Tecnología de la Información
13
Riesgos de Tecnología de la Información
1. Riesgo de Integridad de la Información2. Riesgo de Acceso3. Segregación de Funciones o Contraposición
de Intereses4. Riesgo de Disponibilidad5. Riesgo de Infraestructura6. Riesgo de Externalización de Servicios
14
1. Riesgo de Integridad de la Información
Agrupa todos los riesgos asociados con la autorización, integridad, y exactitud
de las transacciones según se ingresan, se procesan, se resumen y se informan en los sistemas computacionales de una organización, manifestándose en los siguientes componentes de una organización:
15
1. Riesgo de Integridad de la Información
Interfaz usuaria; se refiere a si existen restricciones que hagan que los trabajadores de una organización estén autorizados a desarrollar funciones de negocio sobre necesidad del negocio y la necesidad de lograr una segregación de funciones razonable.
Procesamiento; se relacionan a la existencia de controles que asegurar que el procesamiento de datos se ha completado y realizado a tiempo.
16
1. Riesgo de Integridad de la Información
Error de Procesamiento; se refiere a si existen procesos adecuados que aseguren que todas las excepciones de entrada y procesamiento de datos que se capturan, son corregidas y reprocesadas en forma precisa, íntegra y oportuna..
Datos; se relacionan a la existencia de controles de administración de datos inadecuados que incluyen seguridad / integridad de los datos procesados.La integridad se puede perder por errores en la programación, errores de procesamiento, errores de administración de sistemas.
17
Riesgos de Tecnología de la Información
1.Riesgo de Integridad de la Información2.Riesgo de Acceso3.Segregación de Funciones o Contraposición de
Intereses4.Riesgo de Disponibilidad5.Riesgo de Infraestructura6.Riesgo de Externalización de Servicios
18
2. Riesgo de Acceso
Puede ocurrir en cada uno o todos de los siguientes cinco niveles:
• Red, el riesgo en esta área está generado por el riesgo de acceso inapropiado a la red a pc´s y servidores.
• Ambiente de Procesamiento, el riesgo se genera con el acceso indebido al ambiente de procesamiento a los programas y datos que están almacenados en ese ambiente.
19
2. Riesgo de Acceso
• Sistemas de Aplicación, está dado por una inadecuada segregación de funciones que podría ocurrir si el acceso a los sistemas estuviese concedido a personas con necesidades de negocio sin definiciones claras.
• Acceso Funcional, dentro de aplicaciones (Código fuente)
• Acceso a nivel de campo o dato.
20
Riesgos de Tecnología de la Información
1.Riesgo de Integridad de la Información2.Riesgo de Acceso3.Segregación de Funciones o
Contraposición de Intereses4.Riesgo de Disponibilidad5.Riesgo de Infraestructura6.Riesgo de Externalización de Servicios
21
3. Segregación de Funciones o Contraposición de Intereses
Es un control preventivo que persigue evitar que una misma persona pueda tener bajo su control totalmente la información, para evitar así la comisión de fraudes o errores.
22
Riesgos de Tecnología de la Información
1.Riesgo de Integridad de la Información2.Riesgo de Acceso3.Segregación de Funciones o Contraposición de
Intereses4.Riesgo de Disponibilidad5.Riesgo de Infraestructura6.Riesgo de Externalización de Servicios
23
4. Riesgo de Disponibilidad
Riesgos asociados con la interrupción de los sistemas a corto plazo donde las técnicas de restitución / recuperación se pueden utilizar para minimizar el alcance de la interrupción.
Riesgos asociados con desastres que causan interrupciones en el procesamiento de la información a largo plazo y que se centran en controles como backups y planes de contingencia.
La capacidad de la empresa para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información.
24
4. Riesgo de Disponibilidad
La capacidad de la empresa para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información.
Si no se dispusiera de sistemas críticos o importantes por un período importante, la compañía podría experimentar dificultades para continuar con sus operaciones.
Sistemas de información críticos e importantes que no están disponibles para dar soporte a determinadas operaciones pueden provocar pérdidas de ingresos, flujos de cajas y rentabilidad, pérdidas de ventajas competitivas, insatisfacción de clientes y pérdida de participación de mercado, problemas de imagen, incremento de costos e incluso multas y sanciones.
25
Riesgos de Tecnología de la Información
1.Riesgo de Integridad de la Información2.Riesgo de Acceso3.Segregación de Funciones o Contraposición de
Intereses4.Riesgo de Disponibilidad5.Riesgo de Infraestructura6.Riesgo de Externalización de Servicios
26
5. Riesgo de Infraestructura
El riesgo de que una organización no tenga una infraestructura eficaz de información tecnológica (HW, SW, personas y procesos) para apoyar eficazmente las necesidades actuales y futuras del negocio de una forma eficiente y eficaz en términos de costos y controles.
27
5. Riesgo de Infraestructura
Principalmente están relacionados con:Planificación organizacional; el riesgo de que los
planes de información tecnológica no estén integrados con los planes del negocio presentes y futuros, afectando el proceso de toma de decisiones y planificaciones inadecuadas.
Definición y despliegue de sistemas de aplicación; el riesgo de que las definiciones y necesidades de los usuarios para nuevas soluciones de sistemas provoquen diseños ineficaces o incompletos. Los esfuerzos de desarrollo no siguen un enfoque consistente para confirmar la satisfacción del usuario y del negocio. Los esfuerzos de implantación no consideran adecuadamente el entrenamiento usuario.
28
5. Riesgo de Infraestructura
Seguridad Lógica y Administración de Seguridad; el riesgo de acceso inadecuado a los sistemas, datos o transacciones críticos, tanto por personal de la compañía como externos, resultando en pérdida de la integridad de los datos/información y la exposición o mal uso de información confidencial..
Operaciones con computador y red; es el riesgo que los computadores y/o redes no sean eficientemente administrados derivando en problemas de desempeño o de capacidad de los usuarios.
29
5. Riesgo de Infraestructura
Administración de Bases de Datos; es el riesgo de que los datos o bases carezcan de la integridad necesaria para dar apoyo a las decisiones de negocio.
Recuperación del centro de proceso de datos; es el riesgo de que los sistemas, procesos y datos/información no puedan ser restablecidos luego de una interrupción del servicio de manera oportuna para las necesidades del negocio.
30
Riesgos de Tecnología de la Información
1.Riesgo de Integridad de la Información2.Riesgo de Acceso3.Segregación de Funciones o Contraposición de
Intereses4.Riesgo de Disponibilidad5.Riesgo de Infraestructura6.Riesgo de Externalización de Servicios
31
6. Riesgo de Externalización de Servicios
Generar e implementar una Metodología de Análisis de Riesgo que permita evaluar en forma sistemática los procesos y recursos, sus vulnerabilidades y las amenazas para los procesos que la organización externaliza.
Incorporar un proceso sistemático por el cual el administrador de la empresa con el servicio externalizado, evalúa y reduce la exposición al riesgo identificado a un nivel aceptable por la organización.
Aspectos a considerar en la gestión del riesgo.
33
Aspectos a considerar en la gestión del riesgo.
Identificación del Sistema o ProcesoIdentificación de la AmenazasIdentificación de las VulnerabilidadesControlesDeterminar la Probabilidad de ocurrencia Análisis de ImpactoDeterminación del RiesgoRecomendación de ControlesDocumentar los Resultados
34
Aspectos a considerar en la gestión del riesgo.
Evitar: Cambiando la forma de hacer las cosas
Minimizar: La metodología a implementar debe considerar opciones de mitigación de los riesgos
Asumir: Vivir con el riesgo
Transferir: Seguros
35
Aspectos a considerar en la Seguridad de Información.
Desde el punto de vista de los servidoresAnálisis de Vulnerabilidad de los servidores
que darán el servicio
Antivirus instalado y actualizado en los servidores que darán el servicio
Parches de seguridad evaluados e instalados según corresponda en los servidores que darán el servicio
36
Aspectos a considerar en la Seguridad de Información.
Desde el punto de vista de la transferencia de informaciónEncriptación de la comunicación entre la organización y la empresa prestadora de servicios
Desde el punto de la continuidad operacionalServidores de respaldoMáquina especializadas de respaldoSite de respaldoPruebas de contingencia