1. UNFV- FIIS SEGURIDAD EN COMPUTACION E INFORMATICA ANÁLISIS DE RIESGOS PROFESOR: Ing. Mujica Ruiz, Oscar Aguilar Chumpitaz Julio César Huamán Romero, Ronald José Quintanilla Gálvez, Susan Hítala INTEGRANTES: 1 UNFV - FIIS SEGURIDAD EN COMPUTACION E INFORMATICA
4. METODOLOGÍA RISK IT Desarrollado por ISACA Organización líder en Auditoria de Sistemas y Seguridad de los Activos de Información. Mientras que el Cobit se concentra en la gestión de procesos de TI y Val IT se concentra en la gestión del portafolio de iniciativas de TI para generar valor a la organización, Risk IT es una metodología de análisis de riesgo que tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios. Es decir, el riesgo de no tomar ventaja de TI. Contiene 3 dominios: Gestión de Riesgos Evaluación de Riesgos Respuesta al Riesgo 6 UNFV - FIIS REDES Y CONECTIVIDAD
5. CASOS PRACTICOS 1. MetLife Es un proveedor líder de seguros y otros servicios financieros a millones de clientes individuales e institucionales en los Estados Unidos. Fuera de los EE.UU., las compañías MetLife tienen operaciones directas de seguros en Asia, América Latina y Europa. 6 UNFV - FIIS REDES Y CONECTIVIDAD
6. CASOS PRACTICOS MetLife Como líder en su sector MetLife considera que; evitar riesgos a sus clientes, partes interesadas y la reputación debe ser primordial. El establecimiento de procesos de gestión de riesgos de IT ha permitido; a MetLife; reducir las pérdidas operativas, porque brinda: Prioridad a las inversiones Confianza para reaccionar a los cambios del negocio Concentrar los recursos en atender las zonas de alto riesgo. 6 UNFV - FIIS REDES Y CONECTIVIDAD
7. CASOS PRACTICOS MetLifeEnhancesRisk Management MetLife tiene por objeto mejorar continuamente sus procesos de gestión de riesgos de TI . Con este fin, cuando ISACA dio a conocer su proyecto de Risk IT Framework, MetLife hallo buenas prácticas de gestión de riesgos. Dada la amplia adopción de COBIT , los profesionales de MetLife aprovecharon el documento para crear un MetLifeEnhancesRisk Management. 6 UNFV - FIIS REDES Y CONECTIVIDAD
8. CASOS PRACTICOS MetLifeEnhancesRisk Management Proporciona detalles sobre los procesos y actividades asociadas necesarias para cumplir los objetivos de los tres dominios. También; indicadores potenciales que pueden ser utilizados para monitorear el riesgo, las actividades y el estado de cumplimiento de las políticas de gestión del riesgo. Una vez que fue redactado, Los profesionales en coordinación con la Auditoría Interna realizó un análisis de madurez de los procesos para identificar los procesos y actividades que requiera enfoque y lograr la mejora continua. 6 UNFV - FIIS REDES Y CONECTIVIDAD
9. MetLifeEnhancesRisk Management Entonces se da prioridad las áreas de enfoque y se crea una hoja de ruta continua, que se centra principalmente en la convergencia de las actividades de riesgo de varias funciones de MetLife, para reducir la fatiga de evaluación dentro de TI y las líneas de negocio y aumentar la eficiencia y eficacia del proceso . El progreso hacia la hoja de ruta es supervisado por los líderes de la Gestión del Riesgo Operacional, Auditoría Interna, el riesgo y el cumplimiento funciones de TI para dar impulso a los esfuerzos de mejora continua 6 UNFV - FIIS REDES Y CONECTIVIDAD
10. Caso práctico: sistema informático_interno CASOS PRACTICOS 2. Sistema Informático Interno La unidad objeto de estudio no es de nueva creación, sino que lleva años tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema informático propio. A este sistema informático se le ha añadido recientemente una conexión a un archivo central que funciona como “memoria histórica”: permite recuperar datos y conservar los expedientes cerrados. El responsable del proyecto de administración electrónica, alarmado por las noticias aparecidas en los medios sobre la inseguridad de Internet, y sabiendo que un fallo en el servicio conllevaría un serio daño a la imagen de su unidad, asume el papel de promotor. En este papel escribe un informe interno1, dirigido al director de la unidad, en el que da cuenta de • los medios informáticos con que se está trabajando y los que se van a instalar • las incidencias acaecidas desde que la unidad existe • las incertidumbres que le causa el uso de Internet para la prestación del servicio En base a dicho informe argumenta la conveniencia de lanzar un proyecto AGR.
17. CASOS PRACTICOS 3. Diseño de Sistema: Aplicación y Mantenimiento Un banco afronta el riesgo de que el sistema por él elegido no se encuentre bien diseñado o implantado. Por ejemplo, un banco está expuesto al riesgo de una interrupción de su sistema de banca electrónica si éste no es compatible o no satisface los requerimientos de sus usuarios. Muchos bancos delegan en suministradores de servicios externos y expertos (outsourcing) la operativa y el mantenimiento de sus actividades de banca electrónica. Esta delegación puede ser conveniente porque permite al banco desprenderse de aspectos que no puede suministrar de forma eficiente por sí mismo. Sin embargo, el outsourcing expone al banco al riesgo operacional, en la medida en que los proveedores de servicios pudieran no estar tecnológicamente preparados para prestar los servicios esperados o fallar en la actualización de su tecnología. Si esto ocurriera la reputación bancaria se vería seriamente dañada. 6 UNFV - FIIS REDES Y CONECTIVIDAD
18. CASOS PRACTICOS El mal uso de los productos y servicios por el cliente . 6 UNFV - FIIS REDES Y CONECTIVIDAD
19. CASOS PRACTICOS El mal uso de los productos y servicios por el cliente Los malos usos del cliente, tanto intencionados como inadvertidos, constituyen otra de las fuentes de riesgo operacional. El riesgo puede ser mayor si el banco no "educa" adecuadamente a sus clientes sobre las precauciones de seguridad. Además, en ausencia de medidas adecuadas para verificar las transacciones, los clientes podrían anular operaciones que, previamente, autorizaron, dando lugar a importantes pérdidas financieras para el banco. El uso personal de información del cliente (como por ejemplo la verificación de información, número de las tarjetas de crédito, número de las cuentas bancarias, etc.) en una transmisión electrónica carente de seguridad permitiría a un experto (hacker) tener acceso directo a las cuentas de los clientes. Consecuentemente, el banco podría incurrir en pérdidas financieras debido a transacciones de clientes no autorizados. 6 UNFV - FIIS REDES Y CONECTIVIDAD
20.
21. El análisis y manejo de riesgo es un proceso indispensable para las empresas, en especial en países donde las variables económicas y las reglas de juego cambian constantemente.
22. Es importante tenerlo en cuenta en toda toma de decisión e incluirlo en el plan estratégico de la empresa.
23. La seguridad es un conjunto de planes y estrategias enfocadas a reducir los riesgos. 4 UNFV - FIIS REDES Y CONECTIVIDAD
24. RECOMENDACIONES Las empresas deben identificar cuidadosamente las oportunidades, impactos y riesgos a los que se enfrentan los usuarios como consecuencia directa o indirecta de su actividad. Mantener una estratégica de protección y de reducción de riesgo. Para tener una óptima gestión de riesgos se necesita iniciar con un buen análisis de riesgos; el cual permita desarrollar un plan de prevención y recuperación antes de ocurrido los riesgos. 6 UNFV - FIIS REDES Y CONECTIVIDAD