“AÑO DEL DIALOGO Y LA RECONCILIACION NACIONAL”

EVALUACION DE
TEMA:
RIESGO

CATEDRA : AUDITORIA DE SISTEMAS CONTABLES

CÁTEDRATICO : CPCC ESPINOZA OCHOA, Gaudencio

ALUMNA : GIRALDEZ DUEÑAS, Carol Jasminda.

REFULIO ENRIQUEZ, Candy Karolina

SANCHEZ CONDORI, Rosario

VERA SOLDEVILLA, Jhosmel Raul

CICLO : IX

TURNO : NOCHE

Huancavelica – Perú

2018
ANALISIS DE RIESGO
 ¿QUE ES RIESGO?
El riesgo es la probabilidad que un peligro (causa inminente de
pérdida), existente en una actividad determinada durante un
período definido, ocasione un incidente de ocurrencia incierta pero
con consecuencias factibles de ser estimadas.

potencial conlleven
de pérdidas un peligro
LA AUDITORÍA DE SISTEMAS
 CAUSAS DE RIESGO: LA CALIDAD EN LOS SISTEMAS COMPUTARIZADOS

afectación de los recursos informativos de las entidades muchas veces se deben a la calidad deficiente de
las aplicaciones informáticas en algunas de las fases de su ciclo de vida

Seleccionar adecuadamente el personal que diseñar á o trabajará con las

aplicaciones informáticas.

Entrenarlo adecuadamente para la labor en equipo.

Escoger la metodología de trabajo adecuada para el diseño del

sistema y aplicarla correctamente

Escoger la metodología adecuada para la dirección y el control del proyecto y

utilizarla consecuentemente

Establecer relaciones de trabajo adecuadas, sinceras, de colaboración

mutua entre diseñadores o vendedores y usuarios o clientes.
 Elementos relacionados

Activo Amenaza Vulnerabilidad Riesgo Análisis. Control

 SEGURIDAD INFORMÁTICA Y DE LA INFORMACIÓN

La seguridad informática está relacionada con

las metodologías, procesos y procedimientos
para mantener salvaguardada la información y
los datos confidenciales de una organización, al
interior de los sistemas informáticos

La seguridad de la información está relacionada

con las medidas preventivas aplicadas con el fin
de salvaguardar y proteger la información bajo la
confidencialidad, disponibilidad e integridad
 RIESGOS DEL SISTEMA

AMENAZA cause daño

TIPOS DE AMENAZAS Fallas en los

sistemas de
procesamiento
de información

Actos maliciosos
Desastres
o
naturales
malintencionados

Factores
Humanos
Nombre de los atacantes Definición
Hackers Expertos informáticos con una gran curiosidad por
descubrir las vulnerabilidades de los sistemas pero sin
motivación económica o dañina.
Crackers Un hacker que, cuando rompe la seguridad de un
sistema, lo hace con intención maliciosa, bien para
dañarlo o para obtener un beneficio económico.

Phreakers Crackers telefónicos, que sabotean las redes de telefonía

para conseguir llamadas gratuitas.
Sniffers Expertos en redes que analizan el tráfico para obtener
información extrayéndola de los paquetes que se
transmiten por la red.
Lammers Chicos jóvenes sin grandes conocimientos de informática
pero que se consideran a sí mismos hackers y se
vanaglorian de ello.
Newbie Hacker novato.
Ciberterrorista Expertos en informática e intrusiones en la red que
trabajan para países y organizaciones como espías y
saboteadores informáticos.
Programadores de virus Expertos en programación, redes y sistemas que crean
programas dañinos que producen efectos no deseados
en los sistemas o aplicaciones.
Carders Personas que se dedican al ataque de los sistemas de
Nombre del ataque Definición

Interrupción Un recurso del sistema o la red deja de estar

disponible debido a un ataque.
Intercepción Un intruso accede a la información de nuestro
equipo o a la que enviamos por la red.

Modificación La información ha sido modificada sin autorización,

por lo que ya no es válida.

Fabricación Se crea un producto (por ejemplo una página Web)

difícil de distinguir del auténtico y que puede utilizarse
para hacerse, por ejemplo, con información
confidencial del usuario.
SALVAGUARDA
Regulaciones y normas que tratan el riesgo

• Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con

tecnología informática y sistemas de información.

ISO/IEC 27001
• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la Información (SGSI)

ISO/IEC 27005
• Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la
Información en una Organización. Sin embargo, esta Norma no proporciona ninguna
metodología específica para el análisis y la gestión del riesgo de la seguridad de la
información.
CLASES DE RIESGOS
Riesgos de relación Riesgos de utilidad

•Los riesgos de •Estos riesgos se

relación se refieren enfocan en tres
al uso oportuno de diferentes niveles
la información de riesgo
creada por una •Los riesgos pueden
aplicación. ser enfrentados por
•Estos riesgos se el direccionamiento
relacionan de sistemas antes
directamente a la de que los
información para la problemas ocurran.
toma de decisiones
MANEJO DEL RIESGO

Transferencia de responsabilidad

Indemnización

Mitigación

Retención
 Identificación de Riesgos
examen de los elementos esenciales de riesgo y las relaciones causa/efecto entre ellos. Los
elementos esenciales de riesgo incluyen activos tangibles e intangibles, valor de los activos,
amenazas, vulnerabilidades, protecciones, consecuencias y probabilidad de amenaza.
 Medición de Riesgos

El enfoque de la evaluación de riesgos deberá asegurar que la información del análisis de la

identificación de riesgos genere como resultado una medida cuantitativa y/o cualitativa del
riesgo al cual está expuesta el área examinada
 Plan de Acción contra Riesgos
El enfoque de evaluación de riesgos deberá proporcionar la definición de un plan de acción
contra riesgos para asegurar que el costo–efectividad de los controles y las medidas de
seguridad mitiguen los riesgos en forma continua. El plan de acción contra los riesgos debe
identificar la estrategia de riesgos en términos de evitar, mitigar o aceptar el riesgo
 Aceptación de Riesgos

El enfoque de la evaluación de riesgos deberá asegurar la aceptación formal del riesgo

residual, dependiendo de la identificación y la medición del riesgo, de la política
organizacional, de la incertidumbre incorporada al enfoque de evaluación de riesgos y el
costo-efectividad de la implementación de protecciones y controles. El riesgo residual
deberá compensarse con una cobertura de seguro adecuada, compromisos de
negociación contractual y auto aseguramiento.
 Selección de Garantías o Protecciones
Mientras se logra un sistema de controles y garantías razonable, apropiado
y proporcional, controles con el más alto retorno de inversión y aquellos
que provean ganancia rápida deben recibir la primera prioridad. El sistema
de control necesita además balancear las medidas de prevención,
detección, corrección y recuperación. Adicionalmente, la gerencia necesita
comunicar el propósito de las medidas de control, manejar el conflicto y
monitorear continuamente la efectividad de las medidas de control.
 Compromiso con el Análisis de Riesgos

La gerencia deberá motivar el análisis de riesgos como una herramienta

importante para proveer información para el diseño e implementación de
controles internos, en la definición del plan estratégico de tecnología de
información y en los mecanismos de evaluación y monitoreo.