gabinete de auditoria de sistemascotana.informatica.edu.bo/downloads/4.6.1 riesgo...
TRANSCRIPT
![Page 1: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/1.jpg)
M. Sc. Miguel Cotaña Mier Lp, Octubre 2018
14.6.1 Riesgo tecnológico
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS
Carrera de Contaduría Pública
GABINETE DE AUDITORIA DE
SISTEMAS
![Page 2: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/2.jpg)
2
Es el uso de latecnología paraobtener, procesar,almacenar, transmitir,comunicar y disponerde la información,para dar viabilidad alos procesos denegocio.
TECNOLOGIA DE LA INFORMACIÓN
![Page 3: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/3.jpg)
3
![Page 4: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/4.jpg)
4
![Page 5: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/5.jpg)
5
![Page 6: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/6.jpg)
6
![Page 7: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/7.jpg)
7
El simple conocimiento de los riesgos deuna actividad ya supone una ventaja alfacilitar un estado de alerta sobre losmismos que disminuye sus consecuenciasindeseables en caso de producirse
![Page 8: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/8.jpg)
8
A veces, es necesario que se tenga que planificartanto la respuesta al riesgo de mitigación y larespuesta de contingencia al lado. En este tipo desituaciones, se suele preparar un plan proactivo deacciones para reducir la probabilidad y el impacto delos riesgos y también un plan de contingencia.
![Page 9: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/9.jpg)
9
Probabilidad deocurrencia de unevento o resultadono deseado.Lo que le podríaocurrir a unactivo, individuoo sistema si nose protegeadecuadamente.
RIESGO
![Page 10: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/10.jpg)
10
La contingencia de que lainterrupción, alteración, ofalla de la infraestructurade TI, sistemas deinformación, BD y procesosde TI, provoque pérdidasfinancieras a la institución.Es uno de los componentesde riesgo operacional.
RIESGO TECNOLÓGICO
![Page 11: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/11.jpg)
11
LOS VISIBLES Virus Spyware Spam Ataques a páginas
Web Robo de equipo Imposibilidad de
restablecer lasoperaciones en elcentro de datos
RIESGO TECNOLÓGICO
LOS NO VISIBLES Fraude en línea Espionaje digital Privacidad y
protección dedatos
Robo deidentidad
Continuidad deoperaciones
![Page 12: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/12.jpg)
12
Son eventos quepueden ocasionarun incidente,daños materiales ono materiales enlos activos.
AMENAZA
![Page 13: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/13.jpg)
13
Son las debilidadesque pueden tenerlos activos y quepueden seraprovechadas poruna amenaza.
VULNERABILIDAD
![Page 14: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/14.jpg)
14
![Page 15: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/15.jpg)
15
Impacto en los clientes y socios
Imagen/Reputación Incertidumbre Insatisfacción Pérdida de credibilidad Buscan otras
alternativas en elmercado
![Page 16: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/16.jpg)
16
![Page 17: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/17.jpg)
17
RIESGO TECNOLÓGICO INHERENTE
Las decisionesorganizacionales conllevanun riesgo inherente oasociado;
El riesgo de dichasdecisiones debeidentificarse (conocerse),valorarlo y aprender acontrolarlo;
El riesgo no es únicamenteuna potencial amenaza…esuna oportunidad denegocio.
![Page 18: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/18.jpg)
18
![Page 19: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/19.jpg)
19
![Page 20: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/20.jpg)
20
Es el monitoreo ytratamiento de losriesgos, con baseen la informaciónrecopilada de losmismos, medianteel análisis, laidentificación yevaluación.
GESTIÓN DE RIESGOS TECNOLÓGICOS
![Page 21: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/21.jpg)
21
Si se desconocen los riesgostecnológicos a los que laorganización está expuesta: Muy difícilmente se pueden
implantar controles paramitigarlos.
Muy probablemente seopera en ambientetecnológicamente inseguro.
![Page 22: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/22.jpg)
22
La administración de riesgo esel proceso de identificar yevaluar el riesgo, reduciéndoloa un nivel aceptable, eimplantar los mecanismospara mantenerlo a ese nivel.
![Page 23: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/23.jpg)
23
¿Cómo se hace?1. Valor de la información yactivos de TI;2. Identificar amenazas;3. Análisis de riesgocuantitativo/ cualitativo;4. Mecanismos de protección;5. Riesgo total vs riesgo
residual;6. Manejo del riesgo.
![Page 24: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/24.jpg)
24
¿ …..y con esas actividades es suficiente?
![Page 25: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/25.jpg)
25
¿Qué más se debe hacer?
Construir eimplantarpolíticas,estándares yprocedimientos.
Asignar responsabilidad a
un OSI
![Page 26: GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/4.6.1 riesgo tecnologico.pdf · una actividad ya supone una ventaja al facilitar un estado de alerta sobre los](https://reader030.vdocuments.co/reader030/viewer/2022021520/5bb47e7409d3f2317c8d88e7/html5/thumbnails/26.jpg)
26
Reflexiones finales…… Algunas organizaciones piensan que son
inmunes. Las amenazas existen y son reales. Existen y aparecerán más riesgos tecnológicos
para pretender mitigarlos todos. Cada día los entes reguladores y los clientes
exigirán más que las organizaciones protejan susdatos personales.
Asignar recursos a tiempo completo, a velar porla seguridad de información no es opcional.