Proyecto Integrador De Administracion De Tecnologias De Informacion
Páginas: 7 (1653 palabras)
Publicado: 8 de abril de 2012
Bibliografia
Kendall, J. E. (2005). Análisis y diseño de sistemas. (6ª Ed.). México: Pearson Educación
Instrucciones:
Identifica y define lo siguiente:
1. ¿Qué es el análisis del riesgo?
13.1 Análisis de riesgos
La definición de riesgo según ISO es “potencial de que una amenaza determinada explota las vulnerabilidades de un activo o grupo de activos ocasionando pérdida o daño a laorganización”.
El análisis de estos riesgos se basa en la detección de las amenazas, las cuales pueden ser operacionales, financieras, del entorno, etcétera. Pero independientemente de su naturaleza, el objetivo será proteger la confidencialidad, integridad y disponibilidad de la información y de la infraestructura de la organización.
En la identificación de activos se debe incluir:
• Hardware.• Software.
• Empleados.
• Servicios.
• Imagen/Reputación.
• Documentos (en papel y digitales).
2. Enumera 3 riesgos que identifiques en una sucursal de banco (respecto a seguridad de la información e infraestructura de TI)
3. Determina las diferencias entre las técnicas para la determinación de los riesgos.
Aunque existen muchas técnicas y métodos para realizar un análisis y queincluye desde procedimientos manuales hasta aplicaciones computacionales, el análisis de riesgos se basa principalmente en 2 técnicas o métodos:
• Cuantitativo: Este método trata básicamente con números. Principalmente monetarios. Se trata de asignar un costo a los elementos del análisis de riesgos. (Activos y riesgos).
• Cualitativo: Asigna un rango de valores no monetarios a los riesgos. Sebasa en la intuición y experiencia.
Análisis cuantitativo
En este análisis se cuantifican todos los elementos incluyendo el valor del activo, el impacto, la frecuencia, la probabilidad de ocurrencia y el costo de la solución.
Análisis cualitativo
En el análisis cualitativo, no se pretende asignar valores monetarios a los componentes del análisis de riesgos. En este tipo de análisis se da unrango al riesgo de acuerdo a la sensibilidad del activo del mismo.
Generalmente se utiliza una escala como la siguiente:
• Bajo: se asigna a inconvenientes menores que pueden ser tolerados en un período de tiempo corto y que no provocarán ninguna pérdida económica.
• Medio: ocasiona algún daño a la empresa, puede resultar en publicidad negativa y ocasionar pérdidas económicas moderadas.
• Alto:provoca una fuerte pérdida de confianza en clientes, empleados y accionistas. Puede llegar a causar acciones legales y multas para la empresa que representen una pérdida económica significativa.
Se puede utilizar una combinación de técnicas, la decisión final de qué metodología o metodologías utilizar depende del responsable del análisis. Tu responsabilidad como auditor de sistemas de informaciónes verificar que estos análisis estén realizados adecuadamente en toda la infraestructura de tecnologías de información y que representen los procesos de la organización.
4. Identifica que técnicas utilizarías en los riesgos que enumeraste en el inciso b.
5. Redacta el proceso de administración de riesgos que aplicación.
La administración de riesgos es el proceso de identificar debilidadesy amenazas para los recursos o activos de la empresa utilizados para el logro de objetivos. En este proceso además, se establecerán qué medidas se tomarán para reducir hasta un nivel aceptable los riesgos.
La administración efectiva de riesgos inicia con un entendimiento claro del nivel de riesgos de la empresa, en este punto se impulsan los esfuerzos para administrar el riesgo. Laadministración de riesgos implica identificar, analizar, evaluar, tratar, monitorear y comunicar el impacto del riesgo sobre los activos de la empresa.
Una vez identificado el nivel aceptable de riesgo por la empresa y la exposición al mismo, se pueden establecer las estrategias para administrarlo y definir responsabilidades.
Las estrategias a seguir en el tratamiento de riesgos pueden ser:
• Transferirlo...
Kendall, J. E. (2005). Análisis y diseño de sistemas. (6ª Ed.). México: Pearson Educación
Instrucciones:
Identifica y define lo siguiente:
1. ¿Qué es el análisis del riesgo?
13.1 Análisis de riesgos
La definición de riesgo según ISO es “potencial de que una amenaza determinada explota las vulnerabilidades de un activo o grupo de activos ocasionando pérdida o daño a laorganización”.
El análisis de estos riesgos se basa en la detección de las amenazas, las cuales pueden ser operacionales, financieras, del entorno, etcétera. Pero independientemente de su naturaleza, el objetivo será proteger la confidencialidad, integridad y disponibilidad de la información y de la infraestructura de la organización.
En la identificación de activos se debe incluir:
• Hardware.• Software.
• Empleados.
• Servicios.
• Imagen/Reputación.
• Documentos (en papel y digitales).
2. Enumera 3 riesgos que identifiques en una sucursal de banco (respecto a seguridad de la información e infraestructura de TI)
3. Determina las diferencias entre las técnicas para la determinación de los riesgos.
Aunque existen muchas técnicas y métodos para realizar un análisis y queincluye desde procedimientos manuales hasta aplicaciones computacionales, el análisis de riesgos se basa principalmente en 2 técnicas o métodos:
• Cuantitativo: Este método trata básicamente con números. Principalmente monetarios. Se trata de asignar un costo a los elementos del análisis de riesgos. (Activos y riesgos).
• Cualitativo: Asigna un rango de valores no monetarios a los riesgos. Sebasa en la intuición y experiencia.
Análisis cuantitativo
En este análisis se cuantifican todos los elementos incluyendo el valor del activo, el impacto, la frecuencia, la probabilidad de ocurrencia y el costo de la solución.
Análisis cualitativo
En el análisis cualitativo, no se pretende asignar valores monetarios a los componentes del análisis de riesgos. En este tipo de análisis se da unrango al riesgo de acuerdo a la sensibilidad del activo del mismo.
Generalmente se utiliza una escala como la siguiente:
• Bajo: se asigna a inconvenientes menores que pueden ser tolerados en un período de tiempo corto y que no provocarán ninguna pérdida económica.
• Medio: ocasiona algún daño a la empresa, puede resultar en publicidad negativa y ocasionar pérdidas económicas moderadas.
• Alto:provoca una fuerte pérdida de confianza en clientes, empleados y accionistas. Puede llegar a causar acciones legales y multas para la empresa que representen una pérdida económica significativa.
Se puede utilizar una combinación de técnicas, la decisión final de qué metodología o metodologías utilizar depende del responsable del análisis. Tu responsabilidad como auditor de sistemas de informaciónes verificar que estos análisis estén realizados adecuadamente en toda la infraestructura de tecnologías de información y que representen los procesos de la organización.
4. Identifica que técnicas utilizarías en los riesgos que enumeraste en el inciso b.
5. Redacta el proceso de administración de riesgos que aplicación.
La administración de riesgos es el proceso de identificar debilidadesy amenazas para los recursos o activos de la empresa utilizados para el logro de objetivos. En este proceso además, se establecerán qué medidas se tomarán para reducir hasta un nivel aceptable los riesgos.
La administración efectiva de riesgos inicia con un entendimiento claro del nivel de riesgos de la empresa, en este punto se impulsan los esfuerzos para administrar el riesgo. Laadministración de riesgos implica identificar, analizar, evaluar, tratar, monitorear y comunicar el impacto del riesgo sobre los activos de la empresa.
Una vez identificado el nivel aceptable de riesgo por la empresa y la exposición al mismo, se pueden establecer las estrategias para administrarlo y definir responsabilidades.
Las estrategias a seguir en el tratamiento de riesgos pueden ser:
• Transferirlo...
Leer documento completo
Regístrate para leer el documento completo.