UNIVERSIDAD NACIONAL DE INGENIERA INSTITUTO DE ESTUDIOS SUPERIORES

Trabajo de Auditora de Sistemas Tema: Medicin de Riesgos

Elaborado por: Emely Scarlett Gamboa Orozco Migdia Arabell Maradiaga Lpez Vania Mara Rayo Ramrez Grupo: 5T1-Sistema

Profesor: Ing. Liber Marcial Cerda Reyes

Managua, Nicaragua Jueves 11 de marzo del 2011

Page 0

INDICE

PAGINAS

Introduccin ........................................................................................................................................ 1 Riesgos en auditoria informtica ........................................................................................................ 2 Proceso de la Administracin de Riesgos ............................................................................................ 3 Conclusin ........................................................................................................................................... 9 Bibliografa ........................................................................................................................................ 10

Page 0

Introduccin

Riesgos La incertidumbre que ocurra un evento que podra tener un impacto en el logro de los objetivos. La administracin de riesgos. Concepto Es una aproximacin cientfica del comportamiento de los riesgos, anticipando posibles prdidas accidentales con el diseo e implementacin de procedimientos que minimicen la ocurrencia de prdidas o el impacto financiero de las prdidas que puedan ocurrir.

Es un proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin o empresa. Es la identificacin de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de informacin (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organizacin. Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y actividades que participan en el rea informtica; y por medio de procedimientos de control se pueda evaluar el desempeo del entorno informtico. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informtico, es la inadecuada administracin de riesgos informticos, as que para una adecuada gestin de la administracin de riesgos, esta se debe de basar en los siguientes aspectos: La evaluacin de los riesgos inherentes a los procesos informticos. La evaluacin de las amenazas causas de los riesgos. Los controles utilizados para minimizar las amenazas a riesgos. La asignacin de responsables a los procesos informticos. La evaluacin de los elementos del anlisis de riesgos.

Page 1

Riesgos en auditoria informtica Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de sta. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la direccin para mitigar su probabilidad o su impacto. Los riesgos inherentes a la materia bajo anlisis pueden ser relativos al entorno, ambiente interno, procesos, informacin, etc Tipos de riesgos inherentes: Riesgo de Crdito: Exposicin a una prdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurdica. Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economa local o internacional que podra afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez, como asimismo los descalces globales de activos. Riesgo Operacional: Se define como el riesgo de prdida debido a la inadecuacin o fallas en los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes, daos activos materiales, fallas en procesos,etc). Incluye riesgos legales y normativos. Riesgo de Integridad de la Informacin: Agrupa todos los riesgos asociados con la autorizacin, integridad, y exactitud de las transacciones segn se ingresan, se procesan, se resumen y se informan en los sistemas computacionales de una organizacin, manifestndose en los siguientes componentes de un sistema.

Page 2

Proceso de la Administracin de Riesgos El proceso de la administracin de riesgos es: a) b) c) d) e) Determinar los objetivos Identificacin Anlisis Evaluacin Consideracin de alternativas y seleccin de mecanismos de tratamiento de riesgos f) Implementacin de la Decisin, Evaluacin y Revisiones Paso a. Determinar los Objetivos: El primer paso en la administracin de riesgos es decidir precisamente el programa de administracin de riesgos. Para obtener el mximo beneficio de los gastos asociados con la administracin de riesgos un plan es necesario. De otro modo, es ver el proceso de administracin de riesgos como una serie de problemas aislados ms bien que un problema sencillo, y no hay guas para proveer una consistencia lgica en los procesos de la organizacin. El principal objetivo de la administracin de riesgos, como primera ley de la naturaleza, garantizar la supervivencia de la organizacin, minimizando los costos asociados con los riesgos. Muchos de los defectos en la administracin de riesgos radica en la ausencia de objetivos claros. Los objetivos de la administracin de riesgos estn formalizados en una poltica corporativa de administracin de riesgos, la cual describe las polticas y medidas tomadas para su consecucin. Idealmente los objetivos y las polticas de administracin de riesgos deben ser producto de las decisiones de la Junta Directiva de la compaa. Paso b. Identificacin Los riesgos sern identificados, en los puntos vulnerables de cada subproceso, atendiendo a las diversas fuentes que pueden originarlos y las posibles manifestaciones de ocurrencia de los mismos. Se detallar si su fuente es interna o externa. Deber entenderse quedar registrado:

Cul es el riesgo Cmo puede manifestarse Por qu Qu controles existen en ese momento para contrarrestar sus efectos.

Podemos considerar las siguientes tcnicas para identificar riesgos: Anlisis del flujo del proceso. En cada proceso, debemos identificar los subprocesos y actividades, respecto de las cuales debemos preguntar Qu puede fallar?, Cmo puede suceder? y Cul es la consecuencia desde el punto de vista de riesgo?

Page 3

Considerar los resultados de la investigacin preliminar Tomar en cuenta eventos ocurridos en la empresa y/o en la industria Anlisis de factores externos (econmicos, competencia, polticos, sociales, tecnolgicos) e internos (personal, sistemas). Entrevistas y consultas al personal clave respecto de riesgos asociados a factores internos y externos.

Las fuentes de informacin que pueden ser utilizadas para realizar identificar los riesgos son: Datos estadsticos Experiencias Prctica diaria Datos relevantes de publicaciones Comprobaciones efectuadas por investigacin de mercado Resultados de experimentos Modelos establecidos Opiniones y juicios de expertos y especialistas

Paso c. Anlisis.El anlisis de riesgos cumple los siguientes objetivos: * * * * * Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas. Llevar a cabo un minucioso anlisis de los riesgos y debilidades. Identificar, definir y revisar los controles de seguridad. Determinar si es necesario incrementar las medidas de seguridad. Cuando se identifican los riesgos, los permetros de seguridad y los sitios de mayor peligro, se pueden hacer el mantenimiento ms fcilmente.

Antes de realizar el anlisis de riesgos hay que tener en cuenta los siguientes aspectos: Se debe tener en cuenta las polticas y las necesidades de la organizacin as como la colaboracin con todas las partes que la conforman y que intervienen en los procesos bsicos. Debe tenerse en cuenta los nuevos avances tecnolgicos y la astucia de intrusos expertos. Tener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de mecanismos de control. El comit o la junta directiva de toda organizacin debe incluir en sus planes y presupuesto los gastos necesarios para el desarrollo de programas de seguridad, as como tener en cuenta que esta parte es fundamental de todo proceso de desarrollo de la empresa, especificar los niveles de seguridad y las responsabilidades de las personas relacionadas, las cuales son complemento crucial para el buen funcionamiento de todo programa de seguridad. Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan tener sobre el entorno informtico, sin olvidar los costos adicionales que se generan por su implementacin.

Page 4

Las tcnicas para analizar los riesgos, entre otras, pueden ser: Entrevistas Grupos de expertos Cuestionarios individuales

El anlisis realizado a los riesgos es en cuanto a las consecuencias y probabilidades de ocurrencia de los mismos. Probabilidad Impacto

Riesgo = Impacto * Probabilidad Impacto: es el efecto o consecuencia cuando el riesgo se materializa Probabilidad: representa la posibilidad que un evento dado ocurra. Se analizan los riesgos combinando las estimaciones de impacto y su probabilidad de ocurrencia, en el contexto de las medidas de control existentes, valorando las fortalezas y debilidades de cada uno. Si algn riesgo resulta excluido se debe mencionar en el anlisis. Al combinar las consecuencias de ocurrir un evento con las probabilidades de que ocurra se llega a determinar un nivel de riesgo.

Paso d. Evaluacin. El objetivo de esta actividad es determinar la magnitud del riesgo de lograr los objetivos definidos por la organizacin para la materia bajo anlisis, en funcin de su impacto o consecuencias y de su probabilidad de ocurrencia. La combinacin impacto/probabilidad para cada uno de los riesgos identificados, permite determinar cun riesgoso es que la materia a auditar sea susceptible a errores o fallas, que pudieran ser importantes en forma individual o en conjunto con otros riesgos, asumiendo que no hay acciones y/o controles de la direccin para mitigar su probabilidad o impacto. Es el resultado de comparar los niveles de riesgo establecidos, con los criterios que se tienen preestablecidos para su evaluacin. En este caso los criterios son los siguientes: a) Probabilidad de ocurrencia del Riesgo b) Impacto ante la ocurrencia del Riesgo. Para ello: 1. Las probabilidades de ocurrencia debern determinarse en: a) Poco Frecuente (PF). Cuando el Riesgo ocurre slo en circunstancias excepcionales. b) Moderado (M). Puede ocurrir en algn momento. c) Frecuente (F). Se espera que ocurra en la mayora de las circunstancias.

Page 5

2. El Impacto ante la ocurrencia sera considerado de: a) Leve (L). Perjuicios tolerables. Baja prdida financiera. b) Moderado (M). Requiere de un tratamiento diferenciado: Prdida financiera media. c) Grande (G). Requiere tratamiento diferenciado. Alta prdida financiera.

3. La evaluacin del Riesgo sera de: a) Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales, siguiendo los procedimientos de rutina. b) Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas de Control. Se deben acometer acciones de reduccin de daos y especificar las responsabilidades de su implantacin y supervisin. c) Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de reduccin de Impacto y Probabilidad para atenuar la gravedad del riesgo. Se especificar el responsable y la fecha de revisin sistemtica.

Para ello se debe utilizar un Estndar el que se muestra a continuacin:

Mapa de los Riesgos Luego de evaluado todos los riesgos, se sitan en el cuadrante del Mapa que le corresponde segn la Matriz. Resulta una tcnica conocida y muy usada, como herramienta de trabajo, la representacin grfica, que se ilustra a continuacin:

Page 6

Como puede observarse, el grfico anterior ilustra los cuadrantes donde segn su Impacto y Probabilidad de Ocurrencia se sitan estos Riesgos, y su color identifica la Evaluacin del mismo, lo que no significa que en el Plan de Medidas no se tengan en cuenta todos los Riesgos, pues deber mantenerse el seguimiento de todos los identificados y el Plan de accin de cada uno. Paso e. Consideracin de alternativas y seleccin de mecanismos de tratamiento de riesgos: El prximo paso es considerar las tcnicas que puedan ser usadas para tratar con riesgos. Estas tcnicas incluyen: evitar los riesgos, retencin, transparencia y reduccin. Algunas polticas de la administracin de riesgos de la organizacin establece el criterio a ser aplicada en la eleccin de tcnicas, haciendo un bosquejo de las reglas con las cuales el administrador de riesgos, puede operar. Las opciones a tener en cuenta para acometer acciones de reduccin de riesgos pueden ser: o o o o o Evitarlo Reducir probabilidad de ocurrencia Reducir consecuencias Transferir el riesgo Retener el riesgo

Luego estas opciones debern evaluarse y tener en cuenta el costo beneficio de la decisin del tratamiento del riesgo. Se confeccionarn planes de tratamiento de riesgos. En los mismos se tendr en cuenta: o o o o o El riesgo en orden de prioridad Opciones posibles de tratamiento Nivel que adquiere el riesgo luego de ser tratado Resultado del anlisis costo beneficio Responsable de acometer la accin

Page 7

o o

Calendario de implementacin Forma en que se va a monitorear

El Plan de Accin estara en correspondencia con el tipo de riesgo, con la organizacin donde se realiza el servicio, con el tipo de auditora, con el subproceso que se realice y por supuesto con el auditor o auxiliar que la ejecute. Paso f. Implementacin de la Decisin, Evaluacin y Revisiones: Este paso debe ser incluido por 2 razones. Primero, el proceso de administracin de riesgos no es la panacea definitiva, las cosas pueden cambiar nuevos riesgos surgen y riesgos viejos desaparecen, el programa de administracin de riesgos permite al administrador de riesgos revisar decisiones y descubrir errores.

Page 8

Conclusin La vida en el mundo informtico sera ms fcil si los riesgos apareciesen despus de que hayamos desarrollado planes para tratarlos. Pero los riesgos aparecen y desaparecen dentro del entorno informtico, por lo que se necesita una monitorizacin para comprobar cmo progresa el control de un riesgo e identificar como aparecen nuevos eventos perjudiciales en las actividades informticas. La administracin de riesgos nos ayuda a determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organizacin, pero tambin a que los riesgos puedan ser tratados segn el plan de cada empresa y as no ocasiones perdidas grandes sino que se pueda disminuir al mximo el efecto.

Page 9

Bibliografa http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp
Anlisis de Riesgos Por LUCIANO SALELLAS

Presentacin de Power Point Auditoria_Informatica-clases-10_Unidad_III Autor: jfuente2 Presentacin de Power Point Tipos de Riesgos Informaticos Autor: jfuente2 www.gestiopolis.com Tema: SISTEMA DE ADMINISTRACION DE RIESGOS EN TECNOLOGIA INFORMATICA Aportado por: Alberto Cancelado G. - acancelado@hotmail.com

Page 10