M. Sc. Miguel Cotaña Mier Lp, Octubre 2018

14.6.1 Riesgo tecnológico

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

Carrera de Contaduría Pública

GABINETE DE AUDITORIA DE

SISTEMAS

2

Es el uso de latecnología paraobtener, procesar,almacenar, transmitir,comunicar y disponerde la información,para dar viabilidad alos procesos denegocio.

TECNOLOGIA DE LA INFORMACIÓN

3

4

5

6

7

El simple conocimiento de los riesgos deuna actividad ya supone una ventaja alfacilitar un estado de alerta sobre losmismos que disminuye sus consecuenciasindeseables en caso de producirse

8

A veces, es necesario que se tenga que planificartanto la respuesta al riesgo de mitigación y larespuesta de contingencia al lado. En este tipo desituaciones, se suele preparar un plan proactivo deacciones para reducir la probabilidad y el impacto delos riesgos y también un plan de contingencia.

9

Probabilidad deocurrencia de unevento o resultadono deseado.Lo que le podríaocurrir a unactivo, individuoo sistema si nose protegeadecuadamente.

RIESGO

10

La contingencia de que lainterrupción, alteración, ofalla de la infraestructurade TI, sistemas deinformación, BD y procesosde TI, provoque pérdidasfinancieras a la institución.Es uno de los componentesde riesgo operacional.

RIESGO TECNOLÓGICO

11

LOS VISIBLES Virus Spyware Spam Ataques a páginas

Web Robo de equipo Imposibilidad de

restablecer lasoperaciones en elcentro de datos

RIESGO TECNOLÓGICO

LOS NO VISIBLES Fraude en línea Espionaje digital Privacidad y

protección dedatos

Robo deidentidad

Continuidad deoperaciones

12

Son eventos quepueden ocasionarun incidente,daños materiales ono materiales enlos activos.

AMENAZA

13

Son las debilidadesque pueden tenerlos activos y quepueden seraprovechadas poruna amenaza.

VULNERABILIDAD

14

15

Impacto en los clientes y socios

Imagen/Reputación Incertidumbre Insatisfacción Pérdida de credibilidad Buscan otras

alternativas en elmercado

16

17

RIESGO TECNOLÓGICO INHERENTE

Las decisionesorganizacionales conllevanun riesgo inherente oasociado;

El riesgo de dichasdecisiones debeidentificarse (conocerse),valorarlo y aprender acontrolarlo;

El riesgo no es únicamenteuna potencial amenaza…esuna oportunidad denegocio.

18

19

20

Es el monitoreo ytratamiento de losriesgos, con baseen la informaciónrecopilada de losmismos, medianteel análisis, laidentificación yevaluación.

GESTIÓN DE RIESGOS TECNOLÓGICOS

21

Si se desconocen los riesgostecnológicos a los que laorganización está expuesta: Muy difícilmente se pueden

implantar controles paramitigarlos.

Muy probablemente seopera en ambientetecnológicamente inseguro.

22

La administración de riesgo esel proceso de identificar yevaluar el riesgo, reduciéndoloa un nivel aceptable, eimplantar los mecanismospara mantenerlo a ese nivel.

23

¿Cómo se hace?1. Valor de la información yactivos de TI;2. Identificar amenazas;3. Análisis de riesgocuantitativo/ cualitativo;4. Mecanismos de protección;5. Riesgo total vs riesgo

residual;6. Manejo del riesgo.

24

¿ …..y con esas actividades es suficiente?

25

¿Qué más se debe hacer?

Construir eimplantarpolíticas,estándares yprocedimientos.

Asignar responsabilidad a

un OSI

26

Reflexiones finales…… Algunas organizaciones piensan que son

inmunes. Las amenazas existen y son reales. Existen y aparecerán más riesgos tecnológicos

para pretender mitigarlos todos. Cada día los entes reguladores y los clientes

exigirán más que las organizaciones protejan susdatos personales.

Asignar recursos a tiempo completo, a velar porla seguridad de información no es opcional.