UNFV- FIIS SEGURIDAD EN COMPUTACION E INFORMATICA

ANÁLISIS DE RIESGOS

Aguilar Chumpitaz Julio CésarHuamán Romero, Ronald JoséQuintanilla Gálvez, Susan Hítala

UNFV - FIIS SEGURIDAD EN COMPUTACION E INFORMATICA

INTEGRANTES:

1

PROFESOR: Ing. Mujica Ruiz, Oscar

• Proceso por el cual se identificanlas amenazas y vulnerabilidadesde una organización, con el fin deconseguir herramientas necesariaspara disminuir o evitar laocurrencia del riesgo, es decir;generar controles que minimicenlos efectos de los riesgos.

• ISO 17799 (InformationTechnology -- Code of

practice for information securitymanagement)

UNFV - FIIS REDES Y CONECTIVIDAD 3

CONCEPTO

Organización líder en Auditoria

de Sistemas y Seguridad de los

Activos de Información.

Mientras que el Cobit se concentra en la gestión de procesos de TI y Val IT se concentra en la gestión del portafolio de iniciativas de TI para generar valor a la organización, Risk IT es una metodología de análisis de riesgo que tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios. Es decir, el riesgo de no tomar ventaja de TI. Contiene 3 dominios:

Gestión de Riesgos Evaluación de Riesgos Respuesta al Riesgo

UNFV - FIIS REDES Y CONECTIVIDAD

Desarrollado por ISACA

6

METODOLOGÍA RISK IT

Es un proveedor líder de seguros y otrosservicios financieros a millones de clientesindividuales e institucionales en los EstadosUnidos. Fuera de los EE.UU., las compañíasMetLife tienen operaciones directas de segurosen Asia, América Latina y Europa.

UNFV - FIIS REDES Y CONECTIVIDAD

1. MetLife

6

CASOS PRACTICOS

.

Como líder en su sector MetLife considera que;evitar riesgos a sus clientes, partes interesadas yla reputación debe ser primordial.

El establecimiento de procesos de gestión deriesgos de IT ha permitido; a MetLife; reducir laspérdidas operativas, porque brinda: Prioridad a las inversiones

Confianza para reaccionar a los cambios del negocio

Concentrar los recursos en atender las zonas de alto riesgo.

UNFV - FIIS REDES Y CONECTIVIDAD

MetLife

6

CASOS PRACTICOS

MetLife tiene por objeto mejorarcontinuamente sus procesos de gestión deriesgos de TI . Con este fin, cuando ISACA dio aconocer su proyecto de RiskIT Framework, MetLife hallo buenas prácticasde gestión de riesgos. Dada la amplia adopciónde COBIT , los profesionales de MetLifeaprovecharon el documento para crear unMetLife Enhances Risk Management .

UNFV - FIIS REDES Y CONECTIVIDAD

MetLife Enhances Risk Management

6

CASOS PRACTICOS

Proporciona detalles sobre los procesos yactividades asociadas necesarias para cumplir losobjetivos de los tres dominios. También; indicadorespotenciales que pueden ser utilizados paramonitorear el riesgo, las actividades y el estado decumplimiento de las políticas de gestión del riesgo.

Una vez que fue redactado, Los profesionales encoordinación con la Auditoría Interna realizó unanálisis de madurez de los procesos para identificarlos procesos y actividades que requiera enfoque ylograr la mejora continua.

UNFV - FIIS REDES Y CONECTIVIDAD

MetLife Enhances Risk Management

6

CASOS PRACTICOS

Entonces se da prioridad las áreas de enfoque y se crea una hoja deruta continua, que se centra principalmente en la convergencia de lasactividades de riesgo de varias funciones de MetLife, para reducir lafatiga de evaluación dentro de TI y las líneas de negocio y aumentar laeficiencia y eficacia del proceso .El progreso hacia la hoja de ruta es supervisado por los líderes de laGestión del Riesgo Operacional, Auditoría Interna, el riesgo y elcumplimiento funciones de TI para dar impulso a los esfuerzos demejora continua

UNFV - FIIS REDES Y CONECTIVIDAD 6

MetLife Enhances Risk Management

La unidad objeto de estudio no es de nueva creación, sino que lleva años tramitandoexpedientes de forma local, antes manualmente, ahora por medio de un sistemainformático propio. A este sistema informático se le ha añadido recientemente unaconexión a un archivo central que funciona como “memoria histórica”: permite recuperardatos y conservar los expedientes cerrados. El responsable del proyecto de administraciónelectrónica, alarmado por las noticias aparecidas en los medios sobre la inseguridad deInternet, y sabiendo que un fallo en el servicio conllevaría un serio daño a la imagen de suunidad, asume el papel de promotor. En este papel escribe un informeinterno1, dirigido al director de la unidad, en el que da cuenta de

• los medios informáticos con que se está trabajando y los que se van ainstalar• las incidencias acaecidas desde que la unidad existe• las incertidumbres que le causa el uso de Internet para la prestación delservicio

En base a dicho informe argumenta la conveniencia de lanzar un proyecto AGR.

CASOS PRACTICOS

CASOS PRACTICOS

CASOS PRACTICOS

CASOS PRACTICOS

CASOS PRACTICOS

CASOS PRACTICOS

Un banco afronta el riesgo de que el sistema por él elegido no seencuentre bien diseñado o implantado. Por ejemplo, un banco estáexpuesto al riesgo de una interrupción de su sistema de bancaelectrónica si éste no es compatible o no satisface losrequerimientos de sus usuarios.

Muchos bancos delegan en suministradores de servicios externos yexpertos (outsourcing) la operativa y el mantenimiento de susactividades de banca electrónica. Esta delegación puede serconveniente porque permite al banco desprenderse de aspectos queno puede suministrar de forma eficiente por sí mismo. Sin embargo,el outsourcing expone al banco al riesgo operacional, en la medidaen que los proveedores de servicios pudieran no estartecnológicamente preparados para prestar los servicios esperados ofallar en la actualización de su tecnología. Si esto ocurriera lareputación bancaria se vería seriamente dañada.

UNFV - FIIS REDES Y CONECTIVIDAD

3. Diseño de Sistema: Aplicación y Mantenimiento

6

CASOS PRACTICOS

.

UNFV - FIIS REDES Y CONECTIVIDAD

El mal uso de los productos y servicios por el cliente

6

CASOS PRACTICOS

Los malos usos del cliente, tanto intencionados comoinadvertidos, constituyen otra de las fuentes de riesgooperacional. El riesgo puede ser mayor si el banco no "educa"adecuadamente a sus clientes sobre las precauciones deseguridad. Además, en ausencia de medidas adecuadas paraverificar las transacciones, los clientes podrían anularoperaciones que, previamente, autorizaron, dando lugar aimportantes pérdidas financieras para el banco.

El uso personal de información del cliente (como por ejemplo laverificación de información, número de las tarjetas decrédito, número de las cuentas bancarias, etc.) en unatransmisión electrónica carente de seguridad permitiría a unexperto (hacker) tener acceso directo a las cuentas de losclientes. Consecuentemente, el banco podría incurrir en pérdidasfinancieras debido a transacciones de clientes no autorizados.

UNFV - FIIS REDES Y CONECTIVIDAD

El mal uso de los productos y servicios por el cliente

6

CASOS PRACTICOS

El Análisis de riesgo es la forma de conocer lasvulnerabilidades de una organización, así como lasamenazas que enfrenta.

El análisis y manejo de riesgo es un procesoindispensable para las empresas, en especial en paísesdonde las variables económicas y las reglas de juegocambian constantemente.

Es importante tenerlo en cuenta en toda toma dedecisión e incluirlo en el plan estratégico de la empresa.

La seguridad es un conjunto de planes y estrategiasenfocadas a reducir los riesgos.

UNFV - FIIS REDES Y CONECTIVIDAD 4

CONCLUSIONES

Las empresas deben identificar cuidadosamente las oportunidades, impactos y riesgos a los que se enfrentan los usuarios como consecuencia directa o indirecta de su actividad.

Mantener una estratégica de protección y de

reducción de riesgo.

Para tener una óptima gestión de riesgos se necesita iniciar con un buen análisis de riesgos; el cual permita desarrollar un plan de prevención y recuperación antes de ocurrido los riesgos.

UNFV - FIIS REDES Y CONECTIVIDAD 6

RECOMENDACIONES

GRACIAS

UNFV - FIIS REDES Y CONECTIVIDAD 6

CONCEPTOS PREVIOS