MATERIAL PARA DIAPOSITIVAS DE GESTION DEL RIESGO
• 1. Gestión de Riesgos
• 2. …¿ Que debo proteger y de que me debo de proteger?…¿ Esto es un riesgo o es una amenaza?…¿ Como nos preparamos para eventos no deseados?…¿Como minimizamos el impacto si el evento sematerializa?…¿ Cual es el nivel de riego que estamos dispuestos aaceptar ?…¿ A queaplicamos los controles? A la vulnerabilidad, ala amenaza, a ambos.
• 3. Marcos de ReferenciaISO/DIS 31000IEC/DIS 31010BS 31100ISO/IEC 27005ITGI- Risk IT FrameworkBasilea IIOctaveNIST SP 800-30AS/NZ 4360MageritBS 7799-3Microsoft – SRMGCRAMM_o_R
• 4. Gestión del RiesgoEl Riesgo es la probabilidad de que un incidente o transacción ocasionepérdidas financieras o daños patrimoniales a laorganización, su personal,sus activos o su reputación en general obstaculizando el logro de losobjetivos estratégicos, operativos y financieros de la organización. Aplicación sistemática de controles • Administrativos • Técnicos • Físicos que permita minimizar el riesgo a un nivel aceptable. La Gestión del Riesgo es una función fundamental y vital de la Seguridad de Información
• 5. El Riesgo esuna característica dela vida del negocio y debido a que resulta impráctico y poco económico eliminar los riesgos, cada organización tiene un nivel de Riesgo Aceptable
• 6. Riesgo AceptablePara la aceptación definitiva de los riesgos la organizacióndebe tener en cuenta:• La política organizacional• Sensibilidad y criticidad de los activos involucrados• Niveles aceptables de los posibles impactos•Rentabilidad de la implementación• Apetito del riesgo
• 7. Términos Comunes•Amenaza•Vulnerabilidad•Impacto•Apetito del Riesgo•Control•Respuesta al Riesgo•Probabilidad•Riesgo Inherente•Riesgo Residual•Valuación•Clasificación de Activos•Información Crítica•Información Sensible
• 8. Categorías de Riesgos Operativos• Riesgo ambiental operativo y de instalaciones• Riesgo de salud y seguridad• Riesgode seguridad de información• Riesgo de marco de control• Riesgo legal y de incumplimiento regulatorio• Riesgo de gobierno corporativo• Riesgo reputacional o imagen• Riesgo estratégico• Riesgo de procesamiento y desempeño
• 9. Categorías de Riesgos Operativos• Riesgo Tecnológico• Riesgo de administración de proyectos• Riesgo de actos ilícitos o delictivos• Riesgo de recursos humanos• Riesgo deproveedores• Riesgo de información gerencial• Riesgo de ética• Riesgo Geopolítico• Riesgo Cultural• Riesgo Climático
• 10. Metodologías de Evaluación del RiesgoMétodo Cuantitativo (Objetivo): Basado en el impacto material,monetario e inmediato. Método Cuantitativo = Costo Monetario del RiesgoMétodo Cualitativo (Subjetivo): Basado en el criterio yraciocinio humano capaz de definir un proceso detrabajopara evaluar los riesgos en base a la experiencia delproceso del negocio.
• 11. Ventajas de los Métodos de Evaluación del RiesgoCuantitativo/Objetivo• Enfoca el análisis mediante el uso de números• Facilita la comparación de vulnerabilidades muy distintas• Proporciona una cifra “justificante” para cada control.Cualitativo/Subjetivo• Enfoca lo amplio que se desee• Plan de trabajo flexible yreactivo• Se concentra en la identificación de eventos• Incluye valores intangibles
• 12. Desventajas de los Métodos de Evaluación del RiesgoCuantitativo/Objetivo •Cálculos complejos •Estimación de las pérdidas sólo si son valores justificables. •Difíciles de mantener o modificarCualitativo/Subjetivo•La evaluación es un proceso subjetivo•Depende fuertemente de la habilidad y calidad delpersonalinvolucrado.•Puede existir riesgos significantes desconocidos.
• 13. Proceso de Gestión del Riesgo Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar
• 14. Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y...
Regístrate para leer el documento completo.