Proceso de Administración de Riesgo
-
Upload
lorenzo-antonio-jasso-martinez -
Category
Documents
-
view
34 -
download
0
description
Transcript of Proceso de Administración de Riesgo
PROCESO DE ADMINISTRACIÓN DE
RIESGO
• El proceso de Administración de riesgos es un proceso continuo, dado que es
necesario evaluar periódicamente si los riesgos identificados y la exposición
a los mismos calculada en etapas anteriores se mantienen vigentes.
• La dinámica en la cual se ven inmersa las organizaciones actualmente
demanda este esfuerzo día a día.
• Es por eso que ante cada nuevo emprendimiento se realice en tempranas
etapas un análisis de riesgo del referido proyecto como su impacto futuro en
la estructura de riesgos de la organización
EJEMPLO:
• EN CADA FILA SE PRESENTA UNA AMENAZA IDENTIFICADA
• EN LA COLUMNA DE PROBABILIDAD SE INDICA CUAN PROBABLE
ES QUE ESA AMENAZA ACTUE, CON INDEPENDENCIA DE LOS
CONTROLES QUE EXISTAN O QUE SE ESTABLEZCAN. LA CERTEZA
ES EL 100% Y LA IMPOSIBILIDAD ES 0%. CADA PORCENTAJE DE
CADA FILA ES MANEJADO EN FORMA INDEPENDIENTE
• EN LAS COLUMNAS SIGUIENTES SE INDICA PARA CADA UNO DE
LOS ARCHIVOS A PROTEGER CUAL ES EL IMPORTE DE LA
PERDIDA MEDIA ESTIMADA QUE OCACIONARIA ESA AMENAZA
EN ESE ACTIVO.
• LOS DATOS PRECEDENTES PERMITEN CALCULAR LA COLUMNA
SIGUIENTE, RIESGO TOTAL, EL CUAL SUMARIZA LOS PRODUCTOS
DE LA PROBABILIDAD DE LA AMENAZA POR EL IMPACTO, DE
TODA LA FILA
• A CONTINUACION SE PRESENTA LA EFECTIVIDAD DEL CONTROL
ACTUANTE, O SEA QUE NIVEL DEL RIESGO TOTAL SE PUEDE
MITIGAR
• FINALMENTE EN LA ULTIMA COLUMNA SE INDICA CUAL ES EL
RIESGO RESIDUAL, QUE RESULTA DE APLICAR LA EFECTIVIDAD
DEL CONTROL AL RIESGO TOTAL
TIPOS DE RIESGOS
Las principales áreas en que habitualmente ha incursionado la seguridad en los
centros de cómputos han sido:
• Seguridad física.
• Control de accesos.
• Protección de los datos.
• Seguridad en las redes.
Por tanto se ha estado descuidando otros aspectos intrínsecos de la protección informática
y que no dejan de ser importantes para la misma organización, como por ejemplo
• Organización y división de responsabilidades
• Cuantificación de riesgos
• Políticas hacia el personal
• Medidas de higiene, salubridad y ergonomía
• Selección y contratación de seguros
• Aspectos legales y delitos
• Estándares de ingeniería, programación y operación
• Función de los auditores tanto internos como externos
• Seguridad de los sistemas operativos y de red
• Plan de contingencia
RIESGOS DE INTEGRIDAD
Este tipo abarca todos los riesgos asociados con la autorización,
completitud y exactitud de la entrada, procesamiento y reportes de las
aplicaciones utilizadas en una organización
• Interface del usuario
• Procesamiento
• Interface
• RIESGOS DE RELACION.- se enfocan al inapropiado acceso a sistemas,
datos e información.
• RIESGOS DE UTILIDAD:
• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los
problemas ocurran.
• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
• Backups y planes de contingencia controlan desastres en el procesamiento de la
información.
RIESGOS EN LA INFRAESTRUCTURA.
• Estos riesgos se refieren a que en las organizaciones no existe una
estructura información tecnológica efectiva (hardware, software,
redes, personas y procesos) para soportar adecuadamente las
necesidades futuras y presentes de los negocios con un costo
eficiente.
RIESGOS DE SEGURIDAD GENERAL.
Los estándares IEC 950 proporcionan los requisitos de diseño para lograr una
seguridad general y que disminuyen el riesgo:
• Riesgos de choque de eléctrico: Niveles altos de voltaje.
• Riesgos de incendio: Inflamabilidad de materiales.
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
• Riesgos mecánicos: Inestabilidad de las piezas eléctricas.