SlideShare uma empresa Scribd logo

Analisis de riesgos parcial

Transferir como PPTX, PDF
Alexander Velasque Rimac
Alexander Velasque Rimac
Tecnologia
1 de 21
UNFV- FIIS SEGURIDAD EN COMPUTACION E INFORMATICA ANÁLISIS DE RIESGOS PROFESOR: Ing. Mujica Ruiz, Oscar Aguilar Chumpitaz Julio César Huamán Romero, Ronald José Quintanilla Gálvez, Susan Hítala INTEGRANTES: 1 UNFV - FIIS SEGURIDAD EN COMPUTACION E INFORMATICA
CONCEPTO ,[object Object]
ISO 17799 (InformationTechnology -- Code ofpracticeforinformationsecuritymanagement) 3 UNFV - FIIS REDES Y CONECTIVIDAD
METODOLOGÍA RISK IT Desarrollado por ISACA Organización líder en Auditoria de Sistemas y Seguridad de los Activos de Información. Mientras que el Cobit se concentra en la gestión de procesos de TI y Val IT se concentra en la gestión del portafolio de iniciativas de TI para generar valor a la organización, Risk IT es una metodología de análisis de riesgo que tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios. Es decir, el riesgo de no tomar ventaja de TI. Contiene 3 dominios: Gestión de Riesgos Evaluación de Riesgos Respuesta al Riesgo 6 UNFV - FIIS REDES Y CONECTIVIDAD
CASOS PRACTICOS 1. MetLife Es un proveedor líder de seguros y otros servicios financieros a millones de clientes individuales e institucionales en los Estados Unidos. Fuera de los EE.UU., las compañías MetLife tienen operaciones directas de seguros en Asia, América Latina y Europa. 6 UNFV - FIIS REDES Y CONECTIVIDAD
CASOS PRACTICOS MetLife Como líder en su sector MetLife considera que; evitar riesgos a sus clientes, partes interesadas y la reputación debe ser primordial. El establecimiento de procesos de gestión de riesgos de IT ha permitido; a MetLife; reducir las pérdidas operativas, porque brinda: Prioridad a las inversiones Confianza para reaccionar a los cambios del negocio Concentrar los recursos en atender las zonas de alto riesgo. 6 UNFV - FIIS REDES Y CONECTIVIDAD
CASOS PRACTICOS MetLifeEnhancesRisk Management MetLife tiene por objeto mejorar continuamente sus procesos de gestión de riesgos de TI . Con este fin, cuando ISACA dio a conocer su proyecto de Risk IT Framework, MetLife hallo buenas prácticas de gestión de riesgos.  Dada la amplia adopción de COBIT , los profesionales de MetLife aprovecharon el documento para crear un MetLifeEnhancesRisk Management. 6 UNFV - FIIS REDES Y CONECTIVIDAD
CASOS PRACTICOS MetLifeEnhancesRisk Management Proporciona detalles sobre los procesos y actividades asociadas necesarias para cumplir los objetivos de los tres dominios. También; indicadores potenciales que pueden ser utilizados para monitorear el riesgo, las actividades y el estado de cumplimiento de las políticas de gestión del riesgo. Una vez que fue redactado, Los profesionales en coordinación con la Auditoría Interna realizó un análisis de madurez de los procesos para identificar los procesos y actividades que requiera enfoque y lograr la mejora continua. 6 UNFV - FIIS REDES Y CONECTIVIDAD
MetLifeEnhancesRisk Management Entonces se da prioridad las áreas de enfoque y se crea una hoja de ruta continua, que se centra principalmente en la convergencia de las actividades de riesgo de varias funciones de MetLife, para reducir la fatiga de evaluación dentro de TI y las líneas de negocio y aumentar la eficiencia y eficacia del proceso .  El progreso hacia la hoja de ruta es supervisado por los líderes de la Gestión del Riesgo Operacional, Auditoría Interna, el riesgo y el cumplimiento funciones de TI para dar impulso a los esfuerzos de mejora continua 6 UNFV - FIIS REDES Y CONECTIVIDAD
Caso práctico: sistema informático_interno CASOS PRACTICOS 2. Sistema Informático Interno La unidad objeto de estudio no es de nueva creación, sino que lleva años tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema informático propio. A este sistema informático se le ha añadido recientemente una conexión a un archivo central que funciona como “memoria histórica”: permite recuperar datos y conservar los expedientes cerrados. El responsable del proyecto de administración electrónica, alarmado por las noticias aparecidas en los medios sobre la inseguridad de Internet, y sabiendo que un fallo en el servicio conllevaría un serio daño a la imagen de su unidad, asume el papel de promotor. En este papel escribe un informe interno1, dirigido al director de la unidad, en el que da cuenta de • los medios informáticos con que se está trabajando y los que se van a instalar • las incidencias acaecidas desde que la unidad existe • las incertidumbres que le causa el uso de Internet para la prestación del servicio En base a dicho informe argumenta la conveniencia de lanzar un proyecto AGR.
CASOS PRACTICOS
CASOS PRACTICOS
CASOS PRACTICOS
CASOS PRACTICOS
CASOS PRACTICOS
CASOS PRACTICOS 3. Diseño de Sistema: Aplicación y Mantenimiento Un banco afronta el riesgo de que el sistema por él elegido no se encuentre bien diseñado o implantado. Por ejemplo, un banco está expuesto al riesgo de una interrupción de su sistema de banca electrónica si éste no es compatible o no satisface los requerimientos de sus usuarios. Muchos bancos delegan en suministradores de servicios externos y expertos (outsourcing) la operativa y el mantenimiento de sus actividades de banca electrónica. Esta delegación puede ser conveniente porque permite al banco desprenderse de aspectos que no puede suministrar de forma eficiente por sí mismo. Sin embargo, el outsourcing expone al banco al riesgo operacional, en la medida en que los proveedores de servicios pudieran no estar tecnológicamente preparados para prestar los servicios esperados o fallar en la actualización de su tecnología. Si esto ocurriera la reputación bancaria se vería seriamente dañada. 6 UNFV - FIIS REDES Y CONECTIVIDAD
CASOS PRACTICOS El mal uso de los productos y servicios por el cliente . 6 UNFV - FIIS REDES Y CONECTIVIDAD
CASOS PRACTICOS El mal uso de los productos y servicios por el cliente Los malos usos del cliente, tanto intencionados como inadvertidos, constituyen otra de las fuentes de riesgo operacional. El riesgo puede ser mayor si el banco no "educa" adecuadamente a sus clientes sobre las precauciones de seguridad. Además, en ausencia de medidas adecuadas para verificar las transacciones, los clientes podrían anular operaciones que, previamente, autorizaron, dando lugar a importantes pérdidas financieras para el banco. El uso personal de información del cliente (como por ejemplo la verificación de información, número de las tarjetas de crédito, número de las cuentas bancarias, etc.) en una transmisión electrónica carente de seguridad permitiría a un experto (hacker) tener acceso directo a las cuentas de los clientes. Consecuentemente, el banco podría incurrir en pérdidas financieras debido a transacciones de clientes no autorizados. 6 UNFV - FIIS REDES Y CONECTIVIDAD
CONCLUSIONES ,[object Object]
El análisis y manejo de riesgo es un proceso indispensable para las empresas, en especial en países donde las variables económicas y las reglas de juego cambian constantemente.

Recomendados

Manual continuidad negocio
Manual continuidad negocioManual continuidad negocio
Manual continuidad negocioLeonardo Lenin Banegas Barahona
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosAlvaro Silva Gutierrez
 
Cybersecurity Skills Audit
Cybersecurity Skills AuditCybersecurity Skills Audit
Cybersecurity Skills AuditVilius Benetis
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJoannamar
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
OSB130 Patch Management Best Practices
OSB130 Patch Management Best PracticesOSB130 Patch Management Best Practices
OSB130 Patch Management Best PracticesIvanti
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & ComplianceAmazon Web Services
 
Akim ve geri̇li̇m trans
Akim ve geri̇li̇m trans Akim ve geri̇li̇m trans
Akim ve geri̇li̇m trans ka_ka
 

Recomendados

Manual continuidad negocio
Manual continuidad negocioManual continuidad negocio
Manual continuidad negocioLeonardo Lenin Banegas Barahona
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosAlvaro Silva Gutierrez
 
Cybersecurity Skills Audit
Cybersecurity Skills AuditCybersecurity Skills Audit
Cybersecurity Skills AuditVilius Benetis
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJoannamar
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
OSB130 Patch Management Best Practices
OSB130 Patch Management Best PracticesOSB130 Patch Management Best Practices
OSB130 Patch Management Best PracticesIvanti
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & ComplianceAmazon Web Services
 
Akim ve geri̇li̇m trans
Akim ve geri̇li̇m trans Akim ve geri̇li̇m trans
Akim ve geri̇li̇m trans ka_ka
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Patch Management Best Practices 2019
Patch Management Best Practices 2019Patch Management Best Practices 2019
Patch Management Best Practices 2019Ivanti
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocioAndres Ldño
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesLuciano Moreira da Cruz
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TITabodiaz
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Introduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskIntroduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskOsama Salah
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)PMI Capítulo México
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridadDaniela Florez
 
How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckSlideTeam
 
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...Jomaly Ruiz
 
Lesson 2- Information Asset Valuation
Lesson 2- Information Asset ValuationLesson 2- Information Asset Valuation
Lesson 2- Information Asset ValuationMLG College of Learning, Inc
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Camilo Esteban
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cfAlexander Velasque Rimac
 

Mais conteúdo relacionado

Mais procurados

Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Patch Management Best Practices 2019
Patch Management Best Practices 2019Patch Management Best Practices 2019
Patch Management Best Practices 2019Ivanti
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocioAndres Ldño
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TITabodiaz
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Introduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskIntroduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskOsama Salah
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)PMI Capítulo México
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridadDaniela Florez
 
How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckSlideTeam
 
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...Jomaly Ruiz
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 

Mais procurados (20)

Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
 
Patch Management Best Practices 2019
Patch Management Best Practices 2019Patch Management Best Practices 2019
Patch Management Best Practices 2019
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocio
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummies
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TI
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdf
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Introduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskIntroduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information Risk
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informática
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridad
 
How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete Deck
 
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...
ESTUDIO DE CASO "DISEÑO E IMPLEMENTACION DE SISTEMAS DE INFORMACIÓN GERENCIAL...
 
Lesson 2- Information Asset Valuation
Lesson 2- Information Asset ValuationLesson 2- Information Asset Valuation
Lesson 2- Information Asset Valuation
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 

Semelhante a Analisis de riesgos parcial

Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redesbatuvaps
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.carolina tovar
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Jack Daniel Cáceres Meza
 
Trabajo riesgo operacional
Trabajo riesgo operacionalTrabajo riesgo operacional
Trabajo riesgo operacionalkvidal26
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
Auditoria seguridad
Auditoria seguridadAuditoria seguridad
Auditoria seguridadDeivis Diaz
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaOsita Sweet
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 

Semelhante a Analisis de riesgos parcial (20)

Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Actividad 2 crs
Actividad 2 crsActividad 2 crs
Actividad 2 crs
 
Definiciones
DefinicionesDefiniciones
Definiciones
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
 
Memoria administrativa
Memoria administrativaMemoria administrativa
Memoria administrativa
 
manual SGURIDAD.pdf
manual SGURIDAD.pdfmanual SGURIDAD.pdf
manual SGURIDAD.pdf
 
Trabajo riesgo operacional
Trabajo riesgo operacionalTrabajo riesgo operacional
Trabajo riesgo operacional
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
Auditoria seguridad
Auditoria seguridadAuditoria seguridad
Auditoria seguridad
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TI
 

Mais de Alexander Velasque Rimac

Mais de Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacComision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Cobit
CobitCobit
Cobit
 
Organigramas 1- exposicion
Organigramas 1- exposicionOrganigramas 1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 

Último

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 

Último (16)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 

Analisis de riesgos parcial

  • 1. UNFV- FIIS SEGURIDAD EN COMPUTACION E INFORMATICA ANÁLISIS DE RIESGOS PROFESOR: Ing. Mujica Ruiz, Oscar Aguilar Chumpitaz Julio César Huamán Romero, Ronald José Quintanilla Gálvez, Susan Hítala INTEGRANTES: 1 UNFV - FIIS SEGURIDAD EN COMPUTACION E INFORMATICA
  • 2.
  • 3. ISO 17799 (InformationTechnology -- Code ofpracticeforinformationsecuritymanagement) 3 UNFV - FIIS REDES Y CONECTIVIDAD
  • 4. METODOLOGÍA RISK IT Desarrollado por ISACA Organización líder en Auditoria de Sistemas y Seguridad de los Activos de Información. Mientras que el Cobit se concentra en la gestión de procesos de TI y Val IT se concentra en la gestión del portafolio de iniciativas de TI para generar valor a la organización, Risk IT es una metodología de análisis de riesgo que tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios. Es decir, el riesgo de no tomar ventaja de TI. Contiene 3 dominios: Gestión de Riesgos Evaluación de Riesgos Respuesta al Riesgo 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 5. CASOS PRACTICOS 1. MetLife Es un proveedor líder de seguros y otros servicios financieros a millones de clientes individuales e institucionales en los Estados Unidos. Fuera de los EE.UU., las compañías MetLife tienen operaciones directas de seguros en Asia, América Latina y Europa. 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 6. CASOS PRACTICOS MetLife Como líder en su sector MetLife considera que; evitar riesgos a sus clientes, partes interesadas y la reputación debe ser primordial. El establecimiento de procesos de gestión de riesgos de IT ha permitido; a MetLife; reducir las pérdidas operativas, porque brinda: Prioridad a las inversiones Confianza para reaccionar a los cambios del negocio Concentrar los recursos en atender las zonas de alto riesgo. 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 7. CASOS PRACTICOS MetLifeEnhancesRisk Management MetLife tiene por objeto mejorar continuamente sus procesos de gestión de riesgos de TI . Con este fin, cuando ISACA dio a conocer su proyecto de Risk IT Framework, MetLife hallo buenas prácticas de gestión de riesgos.  Dada la amplia adopción de COBIT , los profesionales de MetLife aprovecharon el documento para crear un MetLifeEnhancesRisk Management. 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 8. CASOS PRACTICOS MetLifeEnhancesRisk Management Proporciona detalles sobre los procesos y actividades asociadas necesarias para cumplir los objetivos de los tres dominios. También; indicadores potenciales que pueden ser utilizados para monitorear el riesgo, las actividades y el estado de cumplimiento de las políticas de gestión del riesgo. Una vez que fue redactado, Los profesionales en coordinación con la Auditoría Interna realizó un análisis de madurez de los procesos para identificar los procesos y actividades que requiera enfoque y lograr la mejora continua. 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 9. MetLifeEnhancesRisk Management Entonces se da prioridad las áreas de enfoque y se crea una hoja de ruta continua, que se centra principalmente en la convergencia de las actividades de riesgo de varias funciones de MetLife, para reducir la fatiga de evaluación dentro de TI y las líneas de negocio y aumentar la eficiencia y eficacia del proceso .  El progreso hacia la hoja de ruta es supervisado por los líderes de la Gestión del Riesgo Operacional, Auditoría Interna, el riesgo y el cumplimiento funciones de TI para dar impulso a los esfuerzos de mejora continua 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 10. Caso práctico: sistema informático_interno CASOS PRACTICOS 2. Sistema Informático Interno La unidad objeto de estudio no es de nueva creación, sino que lleva años tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema informático propio. A este sistema informático se le ha añadido recientemente una conexión a un archivo central que funciona como “memoria histórica”: permite recuperar datos y conservar los expedientes cerrados. El responsable del proyecto de administración electrónica, alarmado por las noticias aparecidas en los medios sobre la inseguridad de Internet, y sabiendo que un fallo en el servicio conllevaría un serio daño a la imagen de su unidad, asume el papel de promotor. En este papel escribe un informe interno1, dirigido al director de la unidad, en el que da cuenta de • los medios informáticos con que se está trabajando y los que se van a instalar • las incidencias acaecidas desde que la unidad existe • las incertidumbres que le causa el uso de Internet para la prestación del servicio En base a dicho informe argumenta la conveniencia de lanzar un proyecto AGR.
  • 12.
  • 17. CASOS PRACTICOS 3. Diseño de Sistema: Aplicación y Mantenimiento Un banco afronta el riesgo de que el sistema por él elegido no se encuentre bien diseñado o implantado. Por ejemplo, un banco está expuesto al riesgo de una interrupción de su sistema de banca electrónica si éste no es compatible o no satisface los requerimientos de sus usuarios. Muchos bancos delegan en suministradores de servicios externos y expertos (outsourcing) la operativa y el mantenimiento de sus actividades de banca electrónica. Esta delegación puede ser conveniente porque permite al banco desprenderse de aspectos que no puede suministrar de forma eficiente por sí mismo. Sin embargo, el outsourcing expone al banco al riesgo operacional, en la medida en que los proveedores de servicios pudieran no estar tecnológicamente preparados para prestar los servicios esperados o fallar en la actualización de su tecnología. Si esto ocurriera la reputación bancaria se vería seriamente dañada. 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 18. CASOS PRACTICOS El mal uso de los productos y servicios por el cliente . 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 19. CASOS PRACTICOS El mal uso de los productos y servicios por el cliente Los malos usos del cliente, tanto intencionados como inadvertidos, constituyen otra de las fuentes de riesgo operacional. El riesgo puede ser mayor si el banco no "educa" adecuadamente a sus clientes sobre las precauciones de seguridad. Además, en ausencia de medidas adecuadas para verificar las transacciones, los clientes podrían anular operaciones que, previamente, autorizaron, dando lugar a importantes pérdidas financieras para el banco. El uso personal de información del cliente (como por ejemplo la verificación de información, número de las tarjetas de crédito, número de las cuentas bancarias, etc.) en una transmisión electrónica carente de seguridad permitiría a un experto (hacker) tener acceso directo a las cuentas de los clientes. Consecuentemente, el banco podría incurrir en pérdidas financieras debido a transacciones de clientes no autorizados. 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 20.
  • 21. El análisis y manejo de riesgo es un proceso indispensable para las empresas, en especial en países donde las variables económicas y las reglas de juego cambian constantemente.
  • 22. Es importante tenerlo en cuenta en toda toma de decisión e incluirlo en el plan estratégico de la empresa.
  • 23. La seguridad es un conjunto de planes y estrategias enfocadas a reducir los riesgos. 4 UNFV - FIIS REDES Y CONECTIVIDAD
  • 24. RECOMENDACIONES Las empresas deben identificar cuidadosamente las oportunidades, impactos y riesgos a los que se enfrentan los usuarios como consecuencia directa o indirecta de su actividad. Mantener una estratégica de protección y de reducción de riesgo. Para tener una óptima gestión de riesgos se necesita iniciar con un buen análisis de riesgos; el cual permita desarrollar un plan de prevención y recuperación antes de ocurrido los riesgos. 6 UNFV - FIIS REDES Y CONECTIVIDAD
  • 25. CONCEPTOS PREVIOS GRACIAS 6 UNFV - FIIS REDES Y CONECTIVIDAD