Upload
buibao
View
248
Download
0
Embed Size (px)
Citation preview
M. Sc. Miguel Cotaña Mier Lp, Octubre 2018
14.6.1 Riesgo tecnológico
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS
Carrera de Contaduría Pública
GABINETE DE AUDITORIA DE
SISTEMAS
2
Es el uso de latecnología paraobtener, procesar,almacenar, transmitir,comunicar y disponerde la información,para dar viabilidad alos procesos denegocio.
TECNOLOGIA DE LA INFORMACIÓN
3
4
5
6
7
El simple conocimiento de los riesgos deuna actividad ya supone una ventaja alfacilitar un estado de alerta sobre losmismos que disminuye sus consecuenciasindeseables en caso de producirse
8
A veces, es necesario que se tenga que planificartanto la respuesta al riesgo de mitigación y larespuesta de contingencia al lado. En este tipo desituaciones, se suele preparar un plan proactivo deacciones para reducir la probabilidad y el impacto delos riesgos y también un plan de contingencia.
9
Probabilidad deocurrencia de unevento o resultadono deseado.Lo que le podríaocurrir a unactivo, individuoo sistema si nose protegeadecuadamente.
RIESGO
10
La contingencia de que lainterrupción, alteración, ofalla de la infraestructurade TI, sistemas deinformación, BD y procesosde TI, provoque pérdidasfinancieras a la institución.Es uno de los componentesde riesgo operacional.
RIESGO TECNOLÓGICO
11
LOS VISIBLES Virus Spyware Spam Ataques a páginas
Web Robo de equipo Imposibilidad de
restablecer lasoperaciones en elcentro de datos
RIESGO TECNOLÓGICO
LOS NO VISIBLES Fraude en línea Espionaje digital Privacidad y
protección dedatos
Robo deidentidad
Continuidad deoperaciones
12
Son eventos quepueden ocasionarun incidente,daños materiales ono materiales enlos activos.
AMENAZA
13
Son las debilidadesque pueden tenerlos activos y quepueden seraprovechadas poruna amenaza.
VULNERABILIDAD
14
15
Impacto en los clientes y socios
Imagen/Reputación Incertidumbre Insatisfacción Pérdida de credibilidad Buscan otras
alternativas en elmercado
16
17
RIESGO TECNOLÓGICO INHERENTE
Las decisionesorganizacionales conllevanun riesgo inherente oasociado;
El riesgo de dichasdecisiones debeidentificarse (conocerse),valorarlo y aprender acontrolarlo;
El riesgo no es únicamenteuna potencial amenaza…esuna oportunidad denegocio.
18
19
20
Es el monitoreo ytratamiento de losriesgos, con baseen la informaciónrecopilada de losmismos, medianteel análisis, laidentificación yevaluación.
GESTIÓN DE RIESGOS TECNOLÓGICOS
21
Si se desconocen los riesgostecnológicos a los que laorganización está expuesta: Muy difícilmente se pueden
implantar controles paramitigarlos.
Muy probablemente seopera en ambientetecnológicamente inseguro.
22
La administración de riesgo esel proceso de identificar yevaluar el riesgo, reduciéndoloa un nivel aceptable, eimplantar los mecanismospara mantenerlo a ese nivel.
23
¿Cómo se hace?1. Valor de la información yactivos de TI;2. Identificar amenazas;3. Análisis de riesgocuantitativo/ cualitativo;4. Mecanismos de protección;5. Riesgo total vs riesgo
residual;6. Manejo del riesgo.
24
¿ …..y con esas actividades es suficiente?
25
¿Qué más se debe hacer?
Construir eimplantarpolíticas,estándares yprocedimientos.
Asignar responsabilidad a
un OSI
26
Reflexiones finales…… Algunas organizaciones piensan que son
inmunes. Las amenazas existen y son reales. Existen y aparecerán más riesgos tecnológicos
para pretender mitigarlos todos. Cada día los entes reguladores y los clientes
exigirán más que las organizaciones protejan susdatos personales.
Asignar recursos a tiempo completo, a velar porla seguridad de información no es opcional.