Activos de Información

• Servicios (Procesos del Negocio)

• Datos o Información

• Aplicaciones de Software

• Equipos Informáticos

• Personal (Interno, Subcontratado,Externo, etc.)

• Redes de Conexión

• Soportes de Información

• Equipamiento Auxiliar

• Instalaciones

• Intangibles (Imagen, Reputación)

Definición de Riesgos

Análisis de Riesgos

Definición de Riesgos

El potencial que una amenaza determinada

pueda explotar vulnerabilidades de un activo o

grupo de activos causando pérdida a la

institución o daño de los activos.

El impacto o severidad del riesgo es

proporcional al valor de la pérdida/daño para el

negocio.

Análisis de Riesgos

Elementos de Riesgo

Amenazas a, y vulnerabilidades de, procesos y/o

activos (incluyendo tanto activos físicos como de

información)

Impacto sobre los activos basado en amenazas y

vulnerabilidades

Probabilidad de amenazas (combinación de la

posibilidad y la frecuencia de ocurrencia)

Análisis de Riesgos

Riesgo y Planeación de Auditoría

El análisis de riesgos es parte de la

planeación de auditoría y ayuda a identificar

riesgos y vulnerabilidades para que el

auditor pueda determinar los controles

necesarios para mitigar esos riesgos.

Tipos de Riesgo

• Estratégico

• De Crédito

• De Liquidez

• Operativo

• País

• De Tipo de Cambio

• De Mercado

Riesgo de TI

Políticas y Procedimientos

Política de Seguridad de Información La política de seguridad de información provee a la

administración la dirección y el soporte para la seguridad de información en conformidad con los requerimientos del negocio y las leyes y regulaciones relevantes. La Administración debe fijar una dirección clara de política en línea con los objetivos del negocio y demostrar apoyo a y compromiso con la seguridad de información a través de la emisión y mantenimiento de una política de seguridad de información para la organización.

Políticas y Procedimientos

Documento de Política de Seguridad de la Información

• Definición de seguridad de información

• Declaración de la intención de la gerencia

• Marco para fijar los objetivos de control y los controles

• Breve explicación de las políticas de seguridad

• Definición de las responsabilidades

• Referencias a la documentación

Políticas y Procedimientos Revisión de la Política de Seguridad de la Información • El input para la revisión de gerencia debe incluir:

– Retroalimentación de las partes interesadas – Resultados de revisiones independientes – Estado de las acciones preventivas y correctivas – Resultados de revisión de gerencias anteriores – Desempeño del proceso y cumplimiento de la política de seguridad de

información – Cambios que podrían afectar el enfoque de la organización para

administrar la seguridad de información, incluyendo cambios al entorno organizacional; las circunstancias del negocio; la disponibilidad de recursos; las condiciones contractuales, regulatorias y legales; o el entorno técnico.

– Tendencias relacionadas con las amenazas y vulnerabilidades – Incidentes de seguridad de información reportados – Recomendaciones suministradas por las autoridades relevantes

Políticas y Procedimientos

Revisión de la Política de Seguridad de la Información

El output o producto de la revisión de gerencia

– Mejoramiento del enfoque de la organización para administrar la seguridad de información y sus procesos

– Mejoramiento de los objetivos de control y los controles

– Mejoramiento en la asignación de recursos y /o responsabilidad

Definición de Riesgos

Análisis de Riesgos

Definición de Riesgos

El potencial que una amenaza determinada

pueda explotar vulnerabilidades de un activo o

grupo de activos causando pérdida o daño de

los activos.

El impacto o severidad del riesgo es

proporcional al valor para el negocio de la

pérdida/daño y a la frecuencia estimada de la

amenaza.

Análisis de Riesgos

Elementos de Riesgo

Amenazas a, y vulnerabilidades de, procesos y/o

activos (incluyendo tanto activos físicos como de

información)

Impacto sobre los activos basado en amenazas y

vulnerabilidades

Probabilidad de amenazas (combinación de la

posibilidad y la frecuencia de ocurrencia)

Análisis de Riesgos

Riesgo y Planeación de Auditoría

El análisis de riesgos es parte de la

planeación de auditoría y ayuda a identificar

riesgos y vulnerabilidades para que el

auditor pueda determinar los controles

necesarios para mitigar esos riesgos.

Proceso de Administración del

Riesgo

Evaluación del riesgo

Mitigación del riesgo

Reevaluación del riesgo

Análisis de Riesgos

Políticas y Procedimientos

Política Alto Nivel

Políticas específicas

Estándares

Proc. Admin. &

Operacionales

Alta Gerencia

Gerencia Media

( VP – Director)

Gerentes

Operaciones - Ejecución

Prácticas de Gerencia de SI

• Política de seguridad de información

– Comunica estándar coherente de seguridad a los usuarios, gerencia y personal técnico

– Primer paso para la construcción de la infraestructura de seguridad

– Debe balancear el nivel de control con el de productividad …

Prácticas de Gerencia de SI

• Política de seguridad de información (…) – El costo de un control nunca debe exceder el beneficio

que se espera.

– Esta política debe ser aprobada por la alta gerencia

– Debe ser usada, cundo sea relevante, por los auditores de SI como marco de referencia