You are on page 1of 8

ANALISIS DE RIESGOS

Al crear una poltica de seguridad, se debe saber cules recursos de la red vale la
pena proteger, y entender que algunos son ms importantes que otros.
El anlisis de riesgos implica determinar lo siguiente:
Qu necesita proteger.
De quin debe protegerlo.
Cmo protegerlo.
Usted no debe llegar a una situacin donde gaste ms para proteger aquello que es
menos valioso. En el anlisis de riesgos es necesario determinar los siguientes factores:
1. Estimacin del riesgo de prdida del recurso ( Ri ).
2. Estimacin de la importancia del recurso ( Wi ).
Como un paso hacia la cuantificacin del riesgo de perder un recurso, es posible
asignar un valor numrico.
Con la siguiente frmula es posible calcular el riesgo general de los recursos de la red:

WR = ( R1*W1 + R2*W2 + ........ + Rn*Wn ) / ( W1 + W2 + ........ + Wn )


Otros factores que debe considerar para el anlisis de riesgo de un recurso de red son
su disponibilidad, su integridad y su carcter confidencial

METODOLOGIAS DE CONTROL INTERNO,SEGURIDAD Y ADITORIA


INFORMATICA

INTRODUCCION A LAS METODOLOGAS


METODOLOGIAS DE EVALUACION DE SISTEMAS
TIPOS DE METODOLOGIAS
METODOLOGIAS MS COMUNES

INTRODUCCION A LAS METODOLOGAS


Siendo el mtodo un modo ordenado de decir o hacer una cosa determinada, podemos decir que la
metodologa es un conjunto de mtodos que se siguen en una investigacin cientfica, lo cual significa que
cada proceso cientfico debe estar sujeto a una disciplina de proceso definida con anterioridad a la cual se le
da el nombre de metodologa.
La metodologa se hace necesaria en materias como la informtica, ya que sus aspectos son muy complejos y
la cual se utiliza en cada doctrina que compone dicha materia, siendo de gran ayuda en la auditoria de los
sistemas de informacin.
El nacimiento de metodologa en el mundo de la auditoria y el control informtico se puede observar en los
primeros aos de los ochenta, naciendo a la par con la informtica, la cual utiliza la metodologa en
disciplinas como la seguridad de los sistemas de informacin, la cual la definimos como la doctrina que trata
de los riesgos informticos, en donde la auditoria se involucra en este proceso de proteccin y preservacin de
la informacin y de sus medios de proceso.
La informtica crea unos riesgos informticos los cuales pueden causar grandes problemas en entidades, por
lo cual hay que proteger y preservar dichas entidades con un entramado de contramedidas, y la calidad y la
eficacia de la mismas es el objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos, siendo
esta una funcin de los auditores informticos. Una contramedida nace de la composicin de varios factores
como:

LA NORMATIVA: en donde se debe definir de forma clara y precisa todo lo que se debe existir y ser
cumplido. Debe inspirarse en estndares, polticas, marco jurdico, y normas de la empresa.
LA ORGANIZACIN: en esta la integran personas con funciones especficas y con actuaciones
concretas, procedimientos definidos y aprobados por la direccin de la empresa.
LAS METODOLOGIAS: son muy necesarias para desarrollar cualquier proyecto que queramos
hacer de forma ordenada eficaz.
LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos
LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos de las distintas reas
de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios
objetivos de control, por lo cual deben estar aprobados por la direccin
En la TECNOLOGIA DE SEGURIDAD estn todos los elementos, ya sean hardware o software,
que ayudan a controlar el riesgo informtico.
LAS HERRAMIENTAS DE CONTROL: son los elementos software que permiten definir uno o
varios procedimientos de control para cumplir una normativa y un objetivo de control.

Todos estos anteriores factores estn relacionados entre s, as como la calidad de cada uno de ellos con la de
los dems y al evaluar el nivel de seguridad en una entidad, lo que se est evaluando son estos factores y se
plantea un plan de seguridad nuevo que mejore todos los factores a medida que se va realizando los distintos
proyectos del plan, dicho plan de seguridad no es ms que una estrategia planificada de acciones y proyectos
que lleven a mejorar un sistema de informacin.

Arriba

METODOLOGIAS DE EVALUACION DE SISTEMAS


En la seguridad de sistemas se utilizan todas las metodologas necesarias para realizar un plan de seguridad
adems de la auditoria informtica.
Existen dos metodologas de evaluacin de sistemas son las de ANALISIS DE RIESGOS y las de
AUDITORIA INFORMATICA, con dos enfoques distintos. La auditoria informtica solo identifica el nivel
de exposicin por la falla de controles, mientras el anlisis de riesgos facilita la evaluacin de los riesgos y
recomienda acciones en base al coste-beneficio de las mismas.

Arriba

TIPOS DE METODOLOGIAS
Las metodologas existentes en la auditoria y el control informtico, se pueden agrupar en dos familias:

Cuantitativas : basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo.
Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para
seleccionar en base a la experiencia acumulada.

METODOLOGIAS CUANTITATIVAS
Estn diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tener
asignados unos valores numricos. Estos valores en el caso de metodologas de anlisis de riesgos son datos
de probabilidad de ocurrencia de un evento que se debe extraer de un registro de incidencias donde el nmero
de incidencias tienda al infinito.
METODOLOGIAS CUALITATIVAS/SUBJETIVAS
Se basan en mtodos estadsticos y lgica borrosa. Precisan de un profesional experimentado, pero requieren
menos recursos humanos/tiempo que las metodologas cuantitativas.

Arriba

METODOLOGIAS MS COMUNES
Entre las metodologas ms comunes de evaluacin de sistemas se encuentra :

CONTROL INTERNO INFORMATICO. SUS METODOS Y PROCESAMIENTOS. LAS


HERRAMIENTAS DE CONTROL
Funcin de Control;
En la auditoria Informtica; esta tiene funcin de vigilancia y evaluacin mediante dictmenes, los
auditores de tienen diferentes objetivos de los de cuentas, ellos evalan eficiencia, costos y la seguridad con
mayor visin, y realizan evaluaciones de tipo cualitativo.
Control interno informtico; Cumplen funciones de control dual en los diferentes departamentos, que puede
ser normativa, marco jurdico, la funciones del control interno es la siguientes determinar los propietarios y
los perfiles segn la clase de informacin, permitir a dos personas intervenir como medida de control, realizar
planes de contingencias, dictar normas de seguridad informtica, controla la calidad de software, los costos,
los responsables de cada departamento, control de licencias, manejo de claves de cifrado, vigilan el
cumplimiento de normas y de controles, es clara que esta medida permite la seguridad informtica.
Metodologas de clasificacin de informacin y de obtencin de procedimientos de control;
Es establecer cuales son las entidades de informacin a proteger, dependiendo del grado de importancia de la
informacin para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lgicos y fsicos , des del punto lgico son programas que
brindar seguridad, las principales herramientas son las siguientes; seguridad lgica del sistema, seguridad
lgica complementaria del sistema, seguridad lgica en entornos distribuidos, control de acceso fsico, control
de copias, gestin de soporte magnticos, gestin de control de impresin y envo de listados por red, control
de proyectos y versiones , gestin de independencia y control de cambios. Y fisiocs los cifradores
ANALISIS DE PLATAFORMAS
Se trata de en determinar la plataforma para la colocacin del producto ms tarde.
CATALOGOS DE REQUERIMIENTOS PREVIOS DE IMPLANTACION
Es determinar el inventario de lo que se va a conseguir y tambin lo necesario para la implantacin; acciones
y proyectos, calendarizados y su duracin y seguimiento.
ANALISIS DE APLICACIN
Se trata de inventariar las necesidades de desarrollo de INTERFASES con los diferentes software de
seguridad de las aplicaciones y bases de datos.
INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS
Es determinar los controles que se deben tener por parte de los usuarios de las aplicaciones como de los del
sistema y permite establecer que si el nuevo esquema de control no pierde los objetivos de control .
ADMINISTEACION DE SEGURIDAD
Es la observacin de los diferentes productos para la control loa cuales deben de tener; reglas de control
aplicables a todos los recursos del sistema, permitir al administrador la seguridad de establecer un perfil de

privilegios de acceso para el usuario, designacin de diferentes administradores, permitir el producto al


administrador de establecer privilegios a grupos y limitarlos en estas peticiones.
SINGLE SING ON
Este concepto se define como la utilizacin de un software password para tener una identificacin para un
usuario.
FACILIDAD DE USO Y REPORTING
Trata de la interfaz y la calidad de interfaz (interfaz grficas, mens, etc.).
SEGURIDAD
Esta relacionado con la contrasea , la identificacin , la contrasea mnima

TABLA DE CONTENIDO

INTRODUCCION
PARTE I - ADMINISTRACION DE RIESGOS
1.

EL PROBLEMA - ADMINISTRACION DE RIESGOS

1.1

. CLASIFICACION DE LOS RIESGOS

1.2.

RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMATICA

1.3.

TECNICAS DE PROCEDIMIENTOS PARA ADMINISTRAR RIESGOS

2.

SOLUCIONES EN LA ADMINISTRACION DE RIESGOS

2.1. DEFINICION DE ADMINISTRACION DE RIESGOS


2.2.

HERRAMIENTAS DE LA ADMINISTRACION DE RIESGOS

2.3.

PROCESO DE LA ADMINISTRACION DE RIESGOS

2.4 RESPONSABILIDADES DEL ADMINISTRADOR DE RIESGOS


3. DECISIONES EN LA ADMINISTRACION DE RIESGOS
3.1. REGLAS DE LA ADMINISTRACIN DE RIESGOS
4. EVALUACION Y REVISION DE PROBLEMAS EN LA ADMINISTRACION DE
RIESGOS
4.1. EVALUACION Y REVISION GENERAL
4.2 AUDITORIA EN LA ADMINISTRACION DE RIESGOS
4.2.1. ALCANCE DE LA AUDITORIA DE LA ADMINISTRACION DE RIESGOS
5. OBJETIVOS DE LA ADMINISTRACION DE RIESGOS
5.1. CLASIFICACION DE LOS OBJETIVOS
6. IDENTIFICACION DE RIESGOS

6.1. METODOLOGIAS DE IDENTIFICACION DE RIESGOS


6.2 HERRAMIENTAS DE IDENTIFICACION DE RIESGOS
6.3. TECNICAS DE IDENTIFICACION DE RIESGOS
6.4. SISTEMAS DE INFORMACION EN LA ADMINISTRACION DE RIESGOS
6.4.1. SISTEMAS DE REGISTRO DE ADMINISTRACION DE RIESGOS
6.4.2. SISTEMAS DE COMUNICACION INTERNA
6.5. MANUAL DE POLITICAS DE ADMINISTRACION DE RIESGOS
7. CONTROL DE RIESGOS
7.1. GENERALIDADES EN EL CONTROL DE RIESGOS
7.2. EL CONTROL Y EL ADMINISTRADOR DE RIESGOS
7.3. TEORIAS DE CAUSAS DE ACCIDENTES
7.4. APROXIMACIONES CIENTIFICAS DEL CONTROL Y PREVENCION DE
RIESGOS
7.5. SISTEMAS DE SEGURIDAD
7.5.1. TECNICAS DE SISTEMAS DE SEGURIDAD
7.6. PLAN DE CONTINGENCIA - PLAN DE PREVENCION DE DESASTRES
7.7. ESTRUCTURA DE LA SEGURIDAD INFORMATICA
8. LA ADMINISTRACION DE RIESGOS Y LOS DELITOS
8.1. DELITOS CONTRA LOS NEGOCIOS
8.2 ASPECTOS DEL CONTROL DE PERDIDAS Y LA DESHONESTIDAD DE LOS
EMPLEADOS
PARTE II - ELEMENTOS DE GESTION DE RIESGOS EN INFORMATICA
1. ESTIMACION DE RIESGOS
1.1. IDENTIFICACION DE RIESGOS

1.2. ANALISIS DE RIESGOS


1.2.1. EXPOSICION A RIESGOS
1.2.2. ESTIMACION DE LA PROBABILIDAD DE PERDIDA
1.2.3. PRIORIZACION DE RIESGOS
1.3 CONTROL DE RIESGOS
1.3.1. PLANIFICACION DE RIESGOS
1.3.2. RESOLUCION DE RIESGOS
1.3.3 MONITORIZACION DE RIESGOS
PARTE III - ANALISIS DE RIESGOS
Seleccin e implementacin de Planes de Contingencia y continuidad de negocios.
Cumplimiento de normas ISO e IRAM relativas a la Seguridad Informtica
Implementacin de un sistema de Control por Oposicin o Auditora Interna