EVALUACION DE RIESGOS INTRODUCCION
Los riesgo riesgoss de seguri segurida dad d infor informát mática ica deben deben ser ser consid considera erados dos en el contex contexto to del del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos. Cada organización tiene una misión. n esta era digital, las organizaciones !ue utilizan sistemas tecnológicos para automatizar sus procesos o información deben de estar conscientes !ue la administración del riesgo informático "uega un rol cr#tico. La meta principal de la administración del riesgo informático deber#a ser $proteger a la organización y su habilidad de mane"ar su misión% no solamente la protección de los elementos informáticos. &demás, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnolog#a !ue operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización. La e'aluación de riesgos informáticos es un proceso !ue comprende la identificación de acti'o acti'oss inform informáti áticos cos,, sus sus 'ulner 'ulnerab abili ilidad dades es y amena amenazas zas a los !ue se encue encuentr ntran an expuestos as# como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determ determina inarr los los contro controles les adecua adecuados dos para para acepta aceptar, r, dismi disminui nuir, r, trans transfer ferir ir o e'itar e'itar la ocurrencia del riesgo.
¿Cree usted que la evaluación de riesgs es igual !ara tdas las rgani"acines# ¿$r qu%#
(o creo creo por!u por!ue e existe existen n empre empresas sas de difer diferent ente e tipo tipo de ser'ic ser'icios ios,, comerc comercial iales es e industriales y cada una tienen ob"eti'os diferentes es por ello el auditor de sistemas debe e'aluar los riesgos globales de la empresa en s# y luego desarrollar un programa de auditoria para cada empresa !ue !ue consta de ob"eti'os de control y procedimientos procedimientos de auditoria !ue deben satisfacer esos ob"eti'os reuniendo e'idencia, e'al)e fortalezas y debilidades de los controles existentes basado en la e'idencia recopilada, el auditor tiene !ue preparar un informe de auditor#a presentando esos temas en forma ob"eti'a para as# garantizar una disponibilidad y asignación adecuada de recursos. La e'aluación de riesgos se la hace con una planeación eficaz, lo primero !ue se re!uiere es obtener información general sobre la organización y sobre la función de informática a e'aluar. *ara ello es preciso hacer una in'estigación preliminar y algunas entre'istas pre'ias, con base en esto planear el programa de traba"o, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
Enu&ere las !si'les !reguntas que le (ar)an en una evaluación de riesgs
+. La seguridad actual cubre los tipos de ata!ues existentes y está preparada para adecuarse a los a'ances tecnológicos esperados. Cómo protege su información confidencial/. 0uién es el propietario del recurso- y !uién es el usuario con mayores pri'ilegios sobre ese recurso1. 2e está preparado para abrir las puertas del negocio sin sistemas, por un d#a, una semana, cuánto tiempo3. Cuál es el costo de una hora sin traba"ar, un d#a, una semana45. 2e tiene forma de detectar a un empleado deshonesto en el sistema como atrasos o faltas entre otros6. 2e tiene control sobre las operaciones de los distintos sistemas7. Cuáles serán los pri'ilegios y responsabilidades del &dministrador 's. la del usuario8. Cómo se actuará si la seguridad es 'iolada+9. Con !ue frecuencia ocurre un problema con alg)n ordenador, impresora, el internet o afines++. 0ué plan de contingencia se han establecido para los riesgos establecidos+. 0ué recursos in'irtió para minimizar los riesgos+/. :e !ué manera asegura sus acti'os fiscos en la empresa+1. 0ué posibilidad hay !ue sus riesgos se con'iertan en desastre-
*usque en Internet las a!licacines c&erciales que le !er&itan reali"ar una evaluación de riesgs
:I;<=2> La aplicación informática :I;<=2 está dise?ada para su utilización en los organismos y entidades, con el ob"eti'o de ayudar en la comple"a tarea de establecer una mayor seguridad y confianza durante el empleo de las tecnolog#as de la información. :I;<=2 es una aplicación !ue permite la 'erificación del estado de conformidad entre lo establecido oficialmente en la base legal de la 2eguridad de las Tecnolog#as de la Información 'igente en el pa#s y los controles implementados en un @rganismo o ntidad. AiesgosTI> s una herramienta !ue permite la e'aluación y gestión de los riesgos en Tecnolog#as de la Información está implementada en el lengua"e de programación Ba'a por su potencia para desarrollar aplicaciones en cual!uier ámbito, su dinamismo y su propósito general, además de incorporar una base de datos en y2!l. *A@TI=C. *rotinc. antenimiento m#nimo de las instalaciones de protección contra incendios. sta aplicación informática facilita cumplir con el mantenimiento de los e!uipos de lucha contra incendios. :e forma sencilla y rápida y siguiendo el Aeglamento de Instalaciones de *rotección contra Incendios permite determinar el incumplimiento del mantenimiento de los e!uipos de lucha contra incendios.
&D:&* 2oftEare de auditor#a basada en riesgos para procesos de negocio, la infraestructura de TI y los sistemas de información catalogodesoftEare.com
F&I=A 2oftEare para examinar los logs de una red G indoEs y extraer los registros !ue tengan impacto en la seguridad filetransit.com G@AHI=< *&*A2 2oftEare para resol'er la funcionalidad re!uerida para la elaboración y mane"o de los papeles de traba"o de una auditoria. auditnet.org 2CDAIT( &D:IT@A D=IF 2oftEare para realizar un gran n)mero de pruebas a la seguridad de integridad de un sistema D=IF en forma rápida y eficiente neti!.com T@: G&A Implementa estrategias para la administración del riesgo, gestión de controles en cual!uier tipo de auditorias> integral, interna, externa y de calidad gitltda.com :AIJA2C&==A sta )til aplicación buscará en su *C para todos los controladores instalados y, a continuación referencia cruzada de estos contra la biblioteca autorizada, cuando :ri'er2canner identifica controladores obsoletos, entonces le dará las herramientas para actualizar su *C con las 'ersiones más recientes, por lo !ue me"ora el rendimiento y la estabilidad de su computadora y sus periféricos liutilities.com GI=&D:IT está dise?ado para producir una auditor#a completa con un solo clic de un botón, asegurando resultados se obtienen en el m#nimo tiempo posible. l programa es pe!ue?o y autónomo, sino !ue se puede e"ecutar desde un dis!uete, unidad D2K o en'iarse por email !ue te permite auditor#a casi cual!uier ordenador GindoEs M con prácticamente sin ning)n esfuerzo en unos pocos segundos. dodoEnload.com
CONCLUSIONES
*odemos concluir !ue la e'aluación de riesgos es muy importante para un nue'o modelo de seguridad de una organización ya !ue con ella podremos saber los aspectos conocidos o como a!uellos no con'encionales, la e'aluación de riesgos informáticos es un proceso !ue comprende la identificación de acti'os informáticos, sus 'ulnerabilidades y amenazas a los !ue se encuentran expuestos as# como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o e'itar la ocurrencia del riesgo, por eso debemos tener en cuenta !ue la explotación de un riesgo causar#a da?os o pérdidas financieras o administrati'as a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a !ue se encuentra expuesta mediante la aplicación de controles. :ichos controles, para !ue sean efecti'os, deben ser implementados en con"unto formando una ar!uitectura de seguridad con la finalidad de preser'ar las propiedades de confidencialidad, integridad y disponibilidad de los recursos ob"etos de riesgo.
RE+ERENCIAS
•
•
•
2cribd.com N9+3O. Aiesgos Informáticos. Aecuperado el de &gosto del 9+3 de> https>PPes.scribd.comPdocP856585PAI2<@2I=Q@A&TIC@2 2eguinfo.com N9+3O 2eguridad Informatica P 'aluación de Aiesgos . Aecuperado el de &gosto del 9+3 de> EEE.seguinfo.com.arPpoliticasPriesgos.htm l Cyta.com N9+3O. etodolog#a de &nálisis de Aiesgos Informáticos. Aecuperado el de &gosto del 9+3 de> EEE.cyta.com.arPta+99+P'+9n+a/.html