![Page 1: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/1.jpg)
M. Sc. Miguel Cotaña Mier Lp, diciembre de 2020
1
Gestión de Riesgos
GABINETE DE AUDITORIA
DE SISTEMAS
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA DE CONTADURÍA PÚBLICA
![Page 2: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/2.jpg)
2
![Page 3: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/3.jpg)
3
![Page 4: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/4.jpg)
4
![Page 5: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/5.jpg)
5
![Page 6: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/6.jpg)
6
![Page 7: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/7.jpg)
7
El simple conocimiento de los riesgos deuna actividad ya supone una ventaja alfacilitar un estado de alerta sobre losmismos que disminuye sus consecuenciasindeseables en caso de producirse
![Page 8: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/8.jpg)
8
![Page 9: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/9.jpg)
9
La contingencia de que lainterrupción, alteración, ofalla de la infraestructurade TI, sistemas deinformación, BD y procesosde TI, provoque pérdidasfinancieras a la institución.Es uno de los componentesde riesgo operacional.
RIESGO TECNOLÓGICO
![Page 10: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/10.jpg)
10
LOS VISIBLES✓ Virus✓ Spyware✓ Spam✓ Ataques a páginas
Web✓ Robo de equipo✓ Imposibilidad de
restablecer lasoperaciones en elcentro de datos
RIESGO TECNOLÓGICO
LOS NO VISIBLES✓ Fraude en línea✓ Espionaje digital✓ Privacidad y
protección dedatos
✓ Robo deidentidad
✓ Continuidad deoperaciones
![Page 11: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/11.jpg)
11
La sociedad actual vive en un caminoconstante hacia la digitalización, con eluso masivo de los smartphones, lacomunicación diaria a través de internet,el uso de la inteligencia artificial, el BigData, e incluso el IoT, donde loselectrodomésticos también se vuelveninteligentes y se conectan a la red.
COMPRENDER EL RIESGO CIBERNÉTICO
![Page 12: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/12.jpg)
12
En los últimos años, los gobiernos, lasempresas y los ciudadanos se han vueltocríticamente dependientes del Internet yde las TIC´s. Tenemos la creencia quesiempre funcionarán los serviciosesenciales para el ciudadano, como laenergía y las telecomunicaciones, y quelos bienes, servicios, datos y capitalcruzarán fronteras sin inconvenientes.
![Page 13: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/13.jpg)
13
La realidad, sin embargo, es que muchossistemas e infraestructuras en red sonvulnerables y están siendo explotados.Organizaciones de todo tipo estánsufriendo mayores violaciones a susdatos, actividad criminal, interrupción delservicio y destrucción de su propiedad.Colectivamente, nuestra inseguridad estácreciendo.
![Page 14: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/14.jpg)
14
Los ciberdelincuentes pueden causardaños a las infraestructuras en red degobiernos y de la industria. Los objetivosvarían según el actor, desde:
✓ el activismo político;✓ fraude y delito informático;✓ robo de propiedad intelectual (PI);✓ espionaje;✓ interrupción del servicio;✓ destrucción de bienes y activos.
![Page 15: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/15.jpg)
15
¡vivimos en un mundo de inseguridadcibernética!
¡El riesgo de inacción es demasiadogrande!
¡los países y las empresas tienen quecomprender que en el centro de suestrategia y agenda digital debe estar unenfoque disciplinado de gestión deriesgos!
![Page 16: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/16.jpg)
16
El riesgo se define en términos de tiempo,cuando algo o alguien está expuesto a unpeligro, daño o pérdida. La condición deriesgo puede cambiar en función de lasacciones realizadas por al menos dosactores:✓ el atacante, que obtiene y utiliza la capacidad de
causar daño;✓ el objetivo pretendido, que puede tomar
precauciones para resistir o frustrar el peligropretendido por el atacante
![Page 17: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/17.jpg)
17
Por ejemplo, se puede comprar softwaremalicioso por Bs. 10 y se puede lanzar unataque distribuido de denegación deservicio, por menos de Bs. 7.000.Ataques sofisticados de ransomware(secuestro de archivos a cambio de unrescate) están disponibles por Bs. 1.200 yservicios maliciosos de correo electrónico nodeseado se consiguen poraproximadamente Bs. 2.500.-
![Page 18: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/18.jpg)
18
En mayo de 2017, el secuestro de archivos acambio de un rescate tuvo como blancoespecífico las fallas en los sistemasoperativos de Windows y esto afectó amillones de computadoras en 150 países entodos los sectores comerciales. Este ataqueglobal, un secuestro de archivos muysencillo llamado WannaCry, detuvooperaciones de fabricación, transporte ysistemas de telecomunicaciones
![Page 19: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/19.jpg)
19
En junio de 2017, se lanzó NotPetya, otromalware (un software malintencionado) másdestructivo. NotPetya se extendió entre lasempresas en red del mundo a través de unmecanismo de actualización de softwarepara un programa de contabilidadampliamente utilizado (doc.me). En cuestiónde minutos, el software malintencionadoinfectó decenas de miles de sistemasconectados a Internet en más de 65 países.
![Page 20: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/20.jpg)
20
Por ejemplo, el ataque de NotPetya contraA.P. Moller-Maersk, la compañía naviera másgrande del mundo, cifró y eliminó lossistemas de TI de la empresa en todo elmundo. Maersk tuvo que detener lasoperaciones en la mayoría de las 76terminales portuarias de la compañía entodo el mundo, interrumpiendo el comerciomarítimo por semanas.
![Page 21: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/21.jpg)
21
Las pérdidas financieras causadas porNotPetya superaron los 300 millones dedólares, ya que tuvo que reconstruir toda suinfraestructura, incluidos 4.000 nuevosservidores, 45.000 computadoras nuevas y2.500 aplicaciones nuevas. Se estima queNotPetya ocasionó pérdidas por miles demillones de dólares debido a la interrupciónde los negocios y la destrucción depropiedad en todo el mundo.
![Page 22: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/22.jpg)
22
Aún más preocupante, en agosto de 2017,una instalación de petróleo y gas de ArabiaSaudita se vio repentinamente obligada acerrar. Fue víctima de Trisis, un virusinformático bien diseñado para sabotear lossistemas de control industrial (SCI). Creadopara afectar los componentes operacionalesde la TI en sitios industriales como petróleoy gas y servicios de agua.
![Page 23: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/23.jpg)
23
Las actividades cibernéticas maliciosasmuestran un impacto extraordinario entérminos de pérdida y daño, pero lasherramientas utilizadas para causar dañorealmente no eran sofisticadas. El númerode ataques dirigidos contra los sistemas deenergía, de telecomunicaciones, transportey financieros casi se ha triplicado en losúltimos años, una tendencia que planteariesgos de seguridad económica y nacionalpara todos.
![Page 24: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/24.jpg)
24
Existe una necesidad urgente de
que los gobiernos y organizaciones
participen en procesos efectivos de
gestión de riesgos cibernéticos y
aborden los riesgos digitales dentro
de sus procesos de planificación
estratégica.
![Page 25: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/25.jpg)
25
A pesar de los diversos modelos y marcos ahoradisponibles, para poder identificar, analizar yvalorar y reducir el riesgo cibernético, elmejorar la seguridad cibernética a nivelnacional sigue siendo un desafío. Debemosreconocer que necesitamos una economíadigital confiable y que funcione bien. Por tanto,las instituciones deben asignar fondos para elfuncionamiento y estar aptos para resistir yrecuperarnos rápidamente de todos los riesgos
![Page 26: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/26.jpg)
26
![Page 27: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/27.jpg)
27
Es un documentoPRÁCTICO que pretendeayudar a las organizacionesen el desarrollo de su propioenfoque a la GESTIÓN DELRIESGO. Pero esto no esun estándar donde lasorganizaciones puedensolicitar la certificación.
¿Qué es la ISO 31000?
![Page 28: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/28.jpg)
28
Mediante la implementaciónde la norma ISO 31000, lasorganizaciones puedenCOMPARAR sus prácticasde gestión de riesgos con unpunto de referenciareconocidoINTERNACIONALMENTE,proporcionando sólidosprincipios para una gestióneficaz.
![Page 29: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/29.jpg)
29
Se trata de un estándar que puedeaplicarse a cualquier tipo deorganización. A través de una serie dedirectrices y principios, la norma buscaque cada empresa implemente unSistema de Gestión del Riesgo parareducir los obstáculos que impiden laconsecución de sus objetivos, siendocompatible con cada sector.
![Page 30: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/30.jpg)
30
Esta norma para la Gestión de Riesgos
ha sido simplificada. Permitirá a las
empresas y organizaciones revaluar sus
metodologías de gestión sobre cualquier
tipo de riesgo. La norma se centra de
forma exhaustiva en la atención de la
gestión del riesgo, como una herramienta
para minimizar de forma anticipada las
posibles inseguridades que pudieran
producirse.
![Page 31: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/31.jpg)
31
Antecedentes de la ISO 31000:2018
![Page 32: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/32.jpg)
32
![Page 33: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/33.jpg)
33
Estructura de la ISO 31000:2018
![Page 34: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/34.jpg)
34
![Page 35: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/35.jpg)
35
Términos y definiciones
![Page 36: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/36.jpg)
36
![Page 37: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/37.jpg)
37
![Page 38: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/38.jpg)
38
![Page 39: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/39.jpg)
39
![Page 40: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/40.jpg)
40
Tipos de Riesgos
![Page 41: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/41.jpg)
41
Análisis Bow Tie - Riesgos
![Page 42: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/42.jpg)
42
Identificación de riesgosNro Causa Evento Consecuencia
1 Materia prima no
renovable
Elevados costos unitarios Pérdida de nichos de
mercado2 Uso de tecnología
obsoleta
Nivel tecnológico bajo Demora en el
procesamiento3 Inadecuada
segregación de
funciones
Alta rotación de personal
subcontratado
Personal no
comprometido con la
institución
4 Publicidad y
Marketing sin
recursos
Concepto de marca poco
socializado
Demora en posicionarse
en el mercado
![Page 43: GABINETE DE AUDITORIA DE SISTEMAS - INFORMATICA](https://reader034.vdocuments.co/reader034/viewer/2022050923/627659919af9e543133d09d1/html5/thumbnails/43.jpg)
43
Reflexiones ……✓ Algunas organizaciones piensan que son
inmunes.✓ Las amenazas existen y son reales.✓ Existen y aparecerán más riesgos tecnológicos
para pretender mitigarlos todos.✓ Cada día los entes reguladores y los clientes
exigirán más que las organizaciones protejan susdatos personales.
✓ Asignar recursos a tiempo completo, a velar porla seguridad de información no es opcional.