15. Que ofrecen las TIC Fácil acceso a todo tipo de Información Interactividad entre maquinas y personas Instrumentos para procesar todo tipo de datos Canales de Comunicación Almacenamiento masivo de Información
16. Homogenización de los tipos de datos INTERNET Fácil acceso a la información Procesamiento de Datos Interactividad Homogenización de Códigos Automatización de tareas Canales de Comunicación INTERNET Almacenamiento de Información
17. Circunstancias que limitan la expansión de TIC Dificultan las posibilidades de expansión de las TIC Problemas Técnicos Falta de Formación Barreras Económicas Barreras Culturales Problemas de Seguridad
18. Que podría ayudar a su expansión Ayudan a la expansión de las TIC Políticas Públicas Nuevas Tecnologías Capacitación Internet Cambio Cultural Suministros Gratuitos Financiamiento Automatización de Acciones
19. Problemáticas asociadas a las TI Grandes desigualdades Dependencia Tecnológica Vulnerabilidad de la Información Necesidad de una Alfabetización Digital Cambio Cultural
20. Problemáticas asociadas a las TI La posibilidad del anonimato La vulnerabilidad de los sistemas informáticos Problemas relacionados con los idiomas Los problemas éticos con la información El costo asociados a los equipos y sus programas
21. Errores en la Administración de TI Olvidarse de las amenazas internas No extender el perímetro de seguridad Promover a la gente equivocada Uso de Aplicaciones Open-Source Fallar en la estrategia de Outsourcing
22. Errores en la Administración de TI No considerar las TI como parte de la estrategia Inexistencia de control de calidad Mal manejo de la gestión del cambio
23. Hoy las PYMES deben… Incrementar el posicionamiento en el mercado Incorporar TICs Potenciar sus ventajas frente a la de sus competidores Identificar Oportunidades
24. TIC en las PYMES Malos resultados PYMES Buenos resultados 1.- Procesos Ineficientes 2.- Falta de Recursos Humanos 3.- Escasez Tecnológica 4.- Bajo Acceso a la economía Global 1.- Mejoramiento de la Productividad 2.- Mejoramiento de la competitividad 3.- Mejora la interacción 4.- Reduce costos de intermediación 5.- Provee nuevas posibilidades de comercialización 6.- Facilita la apertura de mercado
25. Obstáculos de desarrollo TIC en las PYMES “ No se visualiza el beneficio” “ Recursos humanos capacitados en TIC” “ Las TIC no están al alcance de los presupuestos de las PYMES”
26.
27.
28. Beneficios para la organización Mejoramiento continuo del sistema de control interno Optimiza la asignación de recursos Aprovechamiento de oportunidades de negocio Hace a la organización más segura y consciente de sus riesgos Facilita el logro de los objetivos de la organización
29. Beneficios para la organización Mayor estabilidad ante cambios del entorno Fortalece la cultura del autocontrol
30. Pasos en el Proceso de administración de riesgos Establecer el marco referencial Identificar Riesgos Análisis de Riesgos Evaluar y Priorizar Riesgos Tratamiento del Riesgo Monitorear y Revisar
31. Establecer el marco general Establecer el contexto Estratégico Establecer el contexto Organizacional Identificar Objetivos Críticos Definir la relación entre la organización y el ambiente en el que opera. Entender la organización, sus capacidades y habilidades conocer sus objetivos y estrategias Subdividir la áreas y identificar los riesgos para cada una de ellas. Definir los criterios de medición para parametrizar los estados críticos Aspectos financieros, operacionales, competitivos, políticos. Objetivos del negocio, productividad, recursos humanos, impacto en la comunidad. Definiendo los criterios Pérdida Financiera, Pérdida de Imagen.
32. Establecer el marco general Objetivos del negocio Estructura organizacional Actividades Las líneas del negocio Procesos Productos Ambiente tecnológico
33. Identificar Riesgos Descomponer el todo en pequeñas secciones para que facilite comprender el análisis Establecer un marco especifico de administración de riesgos Desarrollar criterios de evaluación de riesgos Identificar la estructura Entender la actividad o parte de la organización para la cual se aplicara el proceso de administración de riesgos Definir e identificar los criterios de análisis y el nivel de aceptación de los riesgos. Separar la actividad o proyecto en un conjunto de elementos que facilite su comprensión y análisis Definir los objetivos, estrategias y alcances y los parámetros de la evaluación. Definir los aspectos en los cuales va a centrar su atención durante la evaluación.
34. Identificar Riesgos Identificar Riesgos Identificar Causas Responder ¿qué puede ocurrir? Identificar los eventos que puedan afectar los elementos de la estructura identificada ¿Cómo y por qué pueden ocurrir los eventos identificados como riesgos? Las causas Situaciones que ocurren en un sitio concreto durante un intervalo de tiempo determinado Factores que podrían materializar el riesgo
35. Identificar Riesgos 1.- debilidad en el uso de TI 2.- Perdida de confidencialidad 3.- Perdida de integridad de la información. 4.- Interrupción en la continuidad del servicio. 5.- Acceso no autorizado. 6.- Perdida Económica. 1.- Heterogeneidad en la ejecución de los procesos. 2.- Ausencia de metodologías de procesos 3.- Inadecuada clasificación de la Información. 4.- Error u omisión en el procesamiento de cambios no autorizados 5.- Ausencia de Planes de Contingencia 6.- Suplantación de Usuarios. Algunos Riesgos Algunas Causas
36. Identificar Riesgos Desarrollo y Adquisición de Software Sub o sobre dimensionamiento Diseño Inadecuado Aceptación de sw no acorde con las necesidades Falta de oportunidad en entrada en producción Negación del servicio Cambios no autorizados Ineficiente uso de los recursos Acceso no autorizado Operación de Instalaciones Técnicos y Tecnológicos Relacionados con la Información Pérdida de información Selección inadecuada de estrategias Obsolescencia Tecnológica Pérdida de Información Pérdida de Confidencialidad Pérdida de integridad o Confiabilidad Incumplimiento de normas Riesgos de TI (un ejemplo con 2 procesos y 2 recursos)
37.
38. Análisis de Riesgos 1 Rara vez ocurre 2 Poco probable 3 Algunas Veces 4 probable 5 muy probable Pérdida Financiera 0 No hay pérdida 1 de 1 a 10.000 2 de 10.000 a 50.000 3 de 50.000 a 100.000 4 de 100.000 a 500.000 5 más de 500.000 Pérdida de Imagen 0 No se afecta la imagen 1 ante los empleados 2 ante un cliente 3 ante una ciudad 4 ante el país 5 ante el mundo Cuando lo requiera elabore sus propias escalas de medición Aplique métodos semi-cuantitativos Riesgo (Causa) = Probabilidad x Impacto Pérdida de Disponibilidad 0 No se afecta 1 por algunos segundos 2 por algunos minutos 3 por algunas horas 4 por un día/semana 5 por una semana/mes Relacionados con la Probabilidad Relacionada con el Impacto
39.
40. Evaluar y priorizar los riesgos Heterogeneidad en la ejecución de procesos 785 Inadecuada clasificación de la información 750 Desarrollo informal (sin metodología) de SW 675 Ausencia de planes de continuidad de Negocio 585 Incertidumbre para atender incidentes 400 Cambios no autorizados 310 Error u omisión en el procesamiento 250 Hurto de activos (recursos informáticos) 230 Suplantación de usuarios 175
41. Tratamiento del Riesgo Los cuales deberán ser documentados Identificando responsabilidades, resultados esperados, presupuesto Identificar opciones de tratamiento Evaluar Opciones de tratamiento Preparar planes de tratamiento Las opciones que permitirán reducir o mitigar el riesgo Bajo las consideraciones del marco de referencia definido, establecer cuáles de las opciones de tratamiento identificadas se ajustan a la organización Elaborar los planes que le permitan poner en práctica las opciones de tratamiento del riesgo seleccionadas que permitan evitar, reducir, transferir, etc. los riesgos. Deberán considerar los siguientes factores: Eficacia, Eficiencia, Factibilidad.
42. Tratamiento del Riesgo Implementar plan de rendimiento Poner en marcha el plan definido. Deberán implementarse los planes y documentar sus resultados.
43. Administración de riesgos de TI Las organizaciones tienen una elevada inversión en tecnología, por su adquisición, mantencion y seguridad Se ha incrementado el numero de ataques externos a las instalaciones de TI Se ha generado un alto grado de dependencia de las tecnologías de información Hoy en día la mayoría de las empresas soportan sus procesos en las TI