19

ADMINISTRACIN DE RIESGOS DE TECNOLOGA DE

INFORMACIN.
2.1.- Fundamentacin Teica
2.1.1.- Rie!"#!
2.1.1.1. C#nce$t#!% Se definen tres conceptos de Riesgos a
continuacin:
Segn Fernando Izquierdo Duarte: El Riesgo es un incidente o
situacin, que ocurre en un sitio concreto durante un interalo de
tie!po deter!inado, con consecuencias positias o negatias que
podr"an afectar el cu!pli!iento de los o#$etios%&
Segn 'l#erto (ancelado )onz*lez: El riesgo es una condicin
del !undo real en el cual +a, una e-posicin a la adersidad,
confor!ada por una co!#inacin de circunstancias del entorno,
donde +a, posi#ilidad de p.rdidas%&
Segn /art"n 0ilc+es 1roncoso: El riesgo es cualquier aria#le
i!portante de incertidu!#re que interfiera con el logro de los o#$etios
23
, estrategias del negocio& Es decir es la posi#ilidad de la ocurrencia de
un +ec+o o suceso no deseado o la no4ocurrencia de uno deseado%&
2.1.1.2. C&a!i'icacin de Rie!"#!.-
2.1.1.2.1. Rie!"# de Ne"#ci#!% Es el riego de los negocios
estrat.gicos de la e!presa , de sus procesos claes& En otras
pala#ras es un riesgo cr"tico de la e!presa&
2.1.1.2.2. Rie!"# In(eente% Es la posi#ilidad de errores o
irregularidades en la infor!acin financiera, ad!inistratia u operatia,
antes de considerar la efectiidad de los controles internos dise5ados
, aplicados por el ente&
2.1.1.2.). Rie!"# de Audit#*a% E-iste al aplicar los progra!as de
auditor"a, cu,os procedi!ientos no son suficientes para descu#rir
errores o irregularidades significatias&
2.1.1.2.+. Rie!"# de C#nt#&% Est* asociado con la posi#ilidad de
que los procedi!ientos de control interno, inclu,endo a la unidad de
21
auditor"a interna, no puedan preenir o detectar los errores e
irregularidades significatias de !anera oportuna&
2.1.1.2.,. Rie!"# E!tat-"ic#% Se asocia con la for!a en que se
ad!inistra la Entidad& El !ane$o del riesgo estrat.gico se enfoca a
asuntos glo#ales relacionados con el cu!pli!iento de la !isin de la
Entidad, la cual #usca la igilancia de la conducta de los seridores
p#licos, defender el orden $ur"dico , los derec+os funda!entales&
2.1.1.2... Rie!"# O$eati/#% (o!prende tanto el riesgo en siste!as
co!o operatio proenientes de deficiencias en los siste!as de
infor!acin, procesos, estructura, que conducen a ineficiencias,
oportunidad de corrupcin o incu!pli!iento de los derec+os
funda!entales&
22
2.1.1.2.0. Rie!"# Financie#% Se relaciona con las e-posiciones
financieras de la e!presa& El !ane$o del riesgo financiero toca
actiidades de tesorer"a, presupuesto, conta#ilidad , reportes
financieros, entre otros&
2.1.1.2.1. Rie!"# de Cum$&imient#% Se asocia con la capacidad de la
e!presa para cu!plir con los requisitos regulatios, legales,
contractuales, de .tica p#lica, de!ocracia , participacin, sericio a
la co!unidad, interaccin con el ciudadano, respeto a los derec+os, a
la indiidualidad, la equidad , la igualdad&
2.1.1.2.2. Rie!"# de Tecn#&#"*a% Se asocia con la capacidad de la
e!presa en que la tecnolog"a disponi#le satisfaga las necesidades
actuales , futuras de la e!presa , soporten el cu!pli!iento de la
!isin&
26
2.1.1.2.13. Rie!"# 4#'e!i#na&% (on$unto de entidades p#licas ,
priadas, nor!as , procedi!ientos, destinados a preenir, proteger ,
atender a los tra#a$adores de los efectos, de las enfer!edades , los
accidentes que puedan ocurrirles con ocasin o co!o consecuencia
del tra#a$o que desarrollan&
2.1.1.). Ti$#! de Cau!a! de Rie!"#! de TI% 7as causas de riesgo
!*s co!unes, para efectos del te!a, se diiden en:
E-ternas e
Internas&
7as causas de riesgo e-ternas pueden ser de dos clases:
8aturales ,
/otiadas por el 9o!#re&
7as causas de riesgo naturales son nor!al!ente las siguientes:
Inundaciones
1e!#lores
1ornados
2:
1or!entas El.ctricas
9uracanes
Erupciones 0olc*nicas
7as causas de riesgo originadas por el +o!#re, son entre otras, las
siguientes:
Incendios
E-plosiones
'ccidentes la#orales
Destruccin intencional
Sa#ota$e
Ro#o
Fraude
(onta!inacin '!#iental
7as causas internas de riesgo, se generan a partir de las !is!as
e!presas& Son !*s frecuentes las causas internas de riesgo que las
causas e-ternas&
Entre las causas internas de riesgo tene!os #*sica!ente:
Ro#o: de !ateriales, de dinero , de infor!acin
2;
Sa#ota$e
Insuficiencia de Dinero
Destruccin: de datos , de recursos
<ersonal 8o capacitado
9uelgas
Fraudes
'usencia de seguridades f"sicas tanto de la
e!presa co!o dela infor!acin&
2.1.2. Rie!"#! de Tecn#&#"*a de In'#macin.-
2.1.2.1. C#nce$t#% El concepto de riesgo de 1I puede definirse co!o
el efecto de una causa !ultiplicado por la frecuencia pro#a#le de
ocurrencia dentro del entorno de 1I& Es el control el que acta so#re la
causa del riesgo para !ini!izar sus efectos& (uando se dice que los
controles !ini!izan los riesgos, lo que en erdad +acen es actuar
so#re las causas de los riesgos, para !ini!izar sus efectos&
2.1.2.2. 5a&#acin de& Rie!"#% 7a aloracin del riesgo consta de
tres etapas: 7a identificacin, el an*lisis , la deter!inacin del niel
del riesgo& <ara cada una de ellas es necesario tener en cuenta la
2=
!a,or cantidad de datos disponi#les , contar con la participacin de
las personas que e$ecutan los procesos , procedi!ientos para lograr
que las acciones deter!inadas alcancen los nieles de efectiidad
esperados& <ara adelantarlas de#en utilizarse las diferentes fuentes
de infor!acin&
2.1.2.). Identi'icacin de& Rie!"#% El proceso de la identificacin del
riesgo de#e ser per!anente, integrado al proceso de planeacin ,
responder a las preguntas qu., co!o , por qu. se pueden originar
+ec+os que influ,en en la o#tencin de resultados&
>na !anera de realizar la identificacin del riesgo es a tra.s de la
ela#oracin de un !apa de riesgos, el cual co!o +erra!ienta
!etodolgica per!ite +acer un inentario de los !is!os ordenada ,
siste!*tica!ente, definiendo en pri!era instancia los riesgos,
posterior!ente presentando una descripcin de cada uno de ellos ,
las posi#les consecuencias&
2?
TA6LA I
ETA4AS DE LA IDENTIFICACIN DEL RIESGO
RIESGO.
<osi#ilidad de
ocurrencia de
aquella situacin
que pueda
entorpecer el
nor!al desarrollo
de las funciones
de la entidad , le
i!pidan el logro
de sus o#$etios&
DESCRI4CIN
Se refiere a las
caracter"sticas
generales o las
for!as en que se
o#sera o
!anifiesta el riesgo
identificado
4OSI6LES
CONSEC7ENCIAS
(orresponde a los
posi#les efectos
ocasionados por el
riesgo, los cuales se
pueden traducir en
da5os de tipo
econ!ico, social,
ad!inistratio, entre
otros
2.1.2.+. An8&i!i! de& Rie!"#%
2.1.2.+.1. O9:eti/# Genea& de& An8&i!i! de Rie!"#% Su o#$etio es
esta#lecer una aloracin , priorizacin de los riesgos con #ase en la
infor!acin ofrecida por los !apas ela#orados en la etapa de
identificacin, con el fin de clasificar los riesgos , proeer infor!acin
2@
para esta#lecer el niel de riesgo , las acciones que se an a
i!ple!entar&
Se +an esta#lecido dos aspectos para realizar el an*lisis de los
riesgos identificados:
<ro#a#ilidad: 7a posi#ilidad de ocurrencia del riesgo, la cual puede ser
!edida con criterios de frecuencia o teniendo en cuenta la presencia
de factores internos , e-ternos que puedan propiciar el riesgo, aunque
.ste no se +a,a presentado nunca&
<ara el an*lisis cualitatio se esta#lece una escala de !edida
cualitatia en donde se esta#lecen unas categor"as a utilizar , la
descripcin de cada una de ellas, con el fin que cada persona la
aplique, por e$e!plo:
'71': Es !u, facti#le que el +ec+o se presente
/EDI': Es facti#le que el +ec+o se presente
A'B': Es poco facti#le que el +ec+o se presente
29
I!pacto: (onsecuencias que puede ocasionar a la organizacin la
!aterializacin del riesgo&
Ese !is!o dise5o puede aplicarse para la escala de !edida
cualitatia de I/<'(1C, esta#leciendo las categor"as , la descripcin,
por e$e!plo:
'71C: Si el +ec+o llegara a presentarse, tendr"a alto i!pacto o efecto
so#re la Entidad&
/EDIC: Si el +ec+o llegara a presentarse tendr"a !edio i!pacto o
efecto en la entidad&
A'BC: Si el +ec+o llegara a presentarse tendr"a #a$o i!pacto o efecto
en la entidad&
2.1.2.+.2. O9:eti/#! E!$ec*'ic#! de& An8&i!i! de Rie!"#%
'nalizar el tie!po, esfuerzo , recursos disponi#les ,
necesarios para atacar los pro#le!as&
Definir cu*les son los recursos e-istentes&
63
7lear a ca#o un !inuciosos an*lisis de los riesgos ,
de#ilidades&
Identificar, definir , reisar todos los controles de seguridad
,a e-istentes&
Deter!inar si es necesario incre!entar las !edidas de
seguridad, los costos del riesgo , los #eneficios esperados&
2.1.2.,. Mati; de 4i#i;acin de &#! Rie!"#!% >na ez realizado el
an*lisis de los riesgos con #ase en los aspectos de pro#a#ilidad e
i!pacto, se reco!ienda utilizar la !atriz de priorizacin que per!ite
deter!inar cuales riesgos requieren de un trata!iento in!ediato&
FIG7RA 2.1.
MATRI< DE 4RIORI<ACIN DE RIESGOS
'lta

Aa$a
Aa$o 'lto
A B
D C
IM4ACTO
4
R
O
6
A
6
I
L
I
D
A
D
61
(uando se u#ican los riesgos en la !atriz se define cuales de ellos
requieren acciones in!ediatas, que en este caso son los del
cuadrante A, es decir los de alto i!pacto , alta pro#a#ilidad, respecto
a los riesgos que queden u#icados en el cuadrante ' , D, se de#e
seleccionar de acuerdo a la naturaleza del riesgo, ,a que estos
pueden ser peligrosos para el alcance de los o#$etios institucionales
por las consecuencias que presentan los u#icados en el cuadrante D o
por la constante de su presencia en el caso del cuadrante '&
<ode!os citar co!o e$e!plo, una !atriz de frecuencia de reisin de
siste!as, donde cada "ndice tiene una ponderacin , cada cuenta del
siste!a es analizada , calificada de acuerdo a la ponderacin
deter!inada&
TA6LA II
MATRI< DE FREC7ENCIA DE RE5ISIN DE SISTEMAS
Si!tema M#d# M#/. Cant. M#nt# C#m$&.Renta9Ie".
4#c. Fd#!. T=. T=.
Ponderador 4 10 6 8 4 10 10
Cta!.Cte!. ) ) ) 2 ) ) 2
C. A(##! ) ) 2 2 ) 2 2
4&a;# Fi:# ) ) 2 ) 2 1 1
In'. DGI 1 1 1 1 1 1 1
62
2.1.2... Deteminacin de& Ni/e& de& Rie!"#% 7a deter!inacin del
niel de riesgo es el resultado de confrontar el i!pacto , la
pro#a#ilidad con los controles e-istentes al interior de los diferentes
procesos , procedi!ientos que se realizan& <ara adelantar esta
etapa se de#en tener !u, claros los puntos de control e-istentes en
los diferentes procesos, los cuales per!iten o#tener infor!acin para
efectos de to!ar decisiones, estos nieles de riesgo pueden ser:

'71C: (uando el riesgo +ace alta!ente ulnera#le a la entidad o
dependencia& DI!pacto , pro#a#ilidad alta ersus controles e-istentesE
/EDIC: (uando el riesgo presenta una ulnera#ilidad !edia&
DI!pacto alto 4 pro#a#ilidad #a$a o I!pacto #a$o 4 pro#a#ilidad alta
ersus controles e-istentesE&
A'BC: (uando el riesgo presenta ulnera#ilidad #a$a&D I!pacto ,
pro#a#ilidad #a$a ersus controles e-istentesE&

7o anterior significa que a pesar que la pro#a#ilidad , el i!pacto son
altos confrontado con los controles se puede afir!ar que el niel de
riesgo es !edio , por lo tanto las acciones que se i!ple!enten
66
entraran a reforzar los controles e-istentes , a alorar la efectiidad de
los !is!os&
2.1.2.0. Mane:# de& Rie!"#% (ualquier esfuerzo que e!prendan las
entidades en torno a la aloracin del riesgo llega a ser en ano, si no
cul!ina en un adecuado !ane$o , control de los !is!os definiendo
acciones facti#les , efectias, tales co!o la i!plantacin de pol"ticas,
est*ndares, procedi!ientos , ca!#ios f"sicos entre otros, que +agan
parte de un plan de !ane$o&
<ara el !ane$o del riesgo se pueden tener en cuenta algunas de las
siguientes opciones, las cuales pueden considerarse cada una de
ellas independiente!ente, interrelacionadas o en con$unto&
Eitar el riesgo: Es sie!pre la pri!era alternatia a considerar& Se
logra cuando al interior de los procesos se generan ca!#ios
sustanciales por !e$ora!iento, redise5o o eli!inacin, resultado de
unos adecuados controles , acciones e!prendidas& >n e$e!plo de
esto puede ser el control de calidad, !ane$o de los insu!os,
!anteni!iento preentio de los equipos, desarrollo tecnolgico, etc&
6:
Reducir el riesgo: Si el riesgo no puede ser eitado porque crea
grandes dificultades operacionales, el siguiente paso es reducirlo al
!*s #a$o niel posi#le& 7a reduccin del riesgo es pro#a#le!ente el
!.todo !*s sencillo , econ!ico para superar las de#ilidades antes
de aplicar !edidas !*s costosas , dif"ciles& Se consigue !ediante la
opti!izacin de los procedi!ientos , la i!ple!entacin de controles&
Dispersar , ato!izar el riesgo: Se logra !ediante la distri#ucin o
localizacin del riesgo en diersos lugares& Es as" co!o por e$e!plo,
la infor!acin de gran i!portancia se puede duplicar , al!acenar en
un lugar distante , de u#icacin segura, en ez de de$arla concentrada
en un solo lugar e$e!plo de ello el procedi!iento utilizado por la
Cficina de Siste!as para la salaguarda de la infor!acin que se
genera diaria!ente en la Entidad&

1ransferir el riesgo: 9ace referencia a #uscar respaldo , co!partir con
otro parte del riesgo co!o por e$e!plo to!ar plizas de segurosF se
traslada el riesgo a otra parte o f"sica!ente se traslada a otro lugar&
Esta t.cnica es usada para eli!inar el riesgo de un lugar , pasarlo a
otro o de un grupo a otro& 's" !is!o, el riesgo puede ser !ini!izado
co!parti.ndolo con otro grupo o dependencia&
6;
'su!ir el riesgo: 7uego que el riesgo +a sido reducido o transferido
puede quedar un riesgo residual que se !antiene& En este caso, el
gerente del proceso si!ple!ente acepta la p.rdida residual pro#a#le ,
ela#ora planes de contingencia para su !ane$o&
>na ez esta#lecidos cu*les de los anteriores !ane$os del riesgo se
an a concretar, .stos de#en ealuarse con relacin al #eneficio4costo
para definir, cu*les son suscepti#les de ser aplicados , proceder a
ela#orar el plan de !ane$o de riesgo, teniendo en cuenta, el an*lisis
ela#orado para cada uno de los riesgos de acuerdo con su i!pacto,
pro#a#ilidad , niel de riesgo&

<osterior!ente se definen los responsa#les de llear a ca#o las
acciones especificando el grado de participacin de las dependencias
en el desarrollo de cada una de ellas& 's" !is!o, es i!portante
construir indicadores, entendidos co!o los ele!entos que per!iten
deter!inar de for!a pr*ctica el co!porta!iento de las aria#les de
riesgo, que an a per!itir !edir el i!pacto de las acciones&
2.1.2.0.1. 4&an de mane:# de Rie!"#!% <ara ela#orar el plan de
!ane$o de riesgos es necesario tener en cuenta si las acciones
6=
propuestas reducen la !aterializacin del riesgo , +acer una
ealuacin $ur"dica, t.cnica, institucional, financiera , econ!ica, es
decir considerar la ia#ilidad de su adopcin& 7a seleccin de las
acciones !*s conenientes para la entidad se puede realizar con #ase
en los siguientes factores:
aE el niel del riesgo
#E el #alance entre el costo de la i!ple!entacin de cada accin
contra el #eneficio de la !is!a&

>na ez realizada la seleccin de las acciones !*s conenientes se
de#e proceder a la preparacin e i!plantar del plan, identificando
responsa#ilidades, progra!as, resultados esperados, !edidas para
erificar el cu!pli!iento , las caracter"sticas del !onitoreo& El .-ito
de la adopcin ,Go e$ecucin del plan requiere de un siste!a gerencial
efectio el cual tenga claro el !.todo que se a a aplicar&

Es i!portante tener en cuenta que los o#$etios est*n consignados en
la planeacin anual de la entidad, por tal razn se sugiere incluir el
plan de !ane$o de riesgos dentro de la planeacin, con el fin de no
solo alcanzar los o#$etios sino de definir ta!#i.n las acciones&
6?
2.1.2.1. Mati; de Rie!"#!%
2.1.2.1.1. 7ti&idad de& M-t#d# Maticia& $aa e& an8&i!i! de Rie!"#!%
Este !.todo utiliza una !atriz para !ostrar gr*fica!ente tanto las
a!enazas a que est*n e-puestos los siste!as co!putarizados co!o
los o#$etos que co!prenden el siste!a&
Dentro de cada celda se !uestran los controles que atacan a las
a!enazas&
2.1.2.1.2. Ti$#! de Matice! de Rie!"#%
2.1.2.1.2.1. Mati; de Rie!"#! C*tic#! 5!. E!cenai#! de Rie!"#% En
esta se representan los escenarios o puntos del proceso que pueden ser
i!pactados por los riesgos potenciales cr"ticos& (on una H-H se se5alan
las celdas en donde podr"a presentarse cada riesgo& <ara co!pletar el
significado de esta !atriz, en +o$a separada se descri#e la for!a co!o
podr"a presentarse cada riesgo en los diferentes escenarios !arcado
con H-%&
6@
TA6LA III
MATRI< DE LOCALI<ACIN DE RIESGOS 4OTENCIALES
CRTICOS EN LOS ESCENARIOS DE RIESGO

LOCALIZACION DE RIESGOS CRTICOS EN LOS
ESCENARIOS DE RIESGO
Proceso de Negocio o Sistema : CDTs.
No Escenario de Riesgo Fraude Exces
o de
Egres
os
Sanci
o-nes
legale
s
Prdid
a
Credib
i-lidad
1 Generacin ! Registro de
Transacciones
" "
# Ingreso de $os datos a$ sistema "
% Procesamiento de $as
transacciones ! act&a$i'acin
de $a (ase de datos
" " " "
) *ti$i'acin ! contro$ de $os
res&$tados +or +arte de $os
&s&arios de$ sistema
"
, C&stodia de t-t&$os .a$ores " "
/ Registro conta($e de $as
transacciones
" "
2.1.2.1.2.2. Mati; de Rie!"#! C*tic#! 5!. De$endencia!. En esta se
representan las dependencias que pueden ser i!pactadas por los
riesgos potenciales cr"ticos& (on una H-H se se5alan las celdas en donde
69
podr"a presentarse cada riesgo& <ara co!pletar el significado de esta
!atriz, en +o$a separada se descri#e la for!a co!o podr"a presentarse
cada riesgo en las dependencias !arcadas con H-H&
TA6LA I5
MATRI< DE LOCALI<ACIN DE LOS RIESGOS CRTICOS
EN LAS DE4ENDENCIAS
LOCALIZACION DE RIESGOS CRTICOS EN LAS DEPENDENCIAS 0*E
1ANE2AN LA IN3OR1ACION
Proceso de Negocio o Sistema : CDTs.
No Dependencias Fraude Exceso de
Egresos
Sanciones
legales
Prdida
Credibilidad
1 S&c&rsa$es " "
# D+to. de
Sistemas
" " "
% Conta(i$idad "
) DECE4AL "
:3
2.1.2.1.2.). L#ca&i;acin de &#! Rie!"#! C*tic#! en Mati; de
De$endencia! 5! E!cenai#! de Rie!"#% Es el resultado de co!#inar
las dos !atrices anteriores& En las celdas de esta !atriz se escri#en las
identificaciones de los riesgos cr"ticos que correspondan& 0er figura ;:
7ocalizacin de riesgos cr"ticos en las Dependencias que interienen en
el proceso o siste!a&
>tilizando cdigos de identificacin alfanu!.ricos para los riesgos
potenciales cr"ticos, dentro de esta !atriz se identifican los riesgos
que podr"an !aterializarse en cada pare$a escenario I
dependencia%&
R1: Fraude& R2% Sanciones 7egales& R)% <.rdida de
(redi#ilidad <#lica.
:1
TA6LA 5
MA4A DE RIESGOS 4OTENCIALES CRTICOS.
LOCALIZACION DE RIESGOS CRTICOS EN 1ATRIZ DE
ESCENARIOS DE RIESGO 5 DEPENDENCIAS
Proceso de Negocio o Sistema : CDTs.
No Escenario de Riesgo Sucursales Sise!as Dece"al Conabilidad
1 Generacin de Transacciones R16 R#
# Ingreso de $os datos a$ sistema R1
% Procesamiento de $as
transacciones ! act&a$i'acin
de $a (ase de datos
R16R#
) *ti$i'acin ! contro$ de $os
res&$tados +or +arte de $os
&s&arios de$ sistema
R#
, C&stodia de t-t&$os .a$ores R16R%
/ Registro conta($e de $as
transacciones
R#
:2
2.1.). Admini!tacin de Rie!"#!.- En la econo!"a glo#al, las
organizaciones necesitan to!ar riesgos para so#reiir, la !a,or"a de
ellas necesitan incre!entar el niel de riesgos que to!an para ser
e-itosas a largo plazo& (on el significatio incre!ento en la
co!petencia, los o#$etios , !etas agresios de las corporaciones se
est*n conirtiendo en nor!a& <ara direccionar este ca!#io, los l"deres
!undiales est*n fortaleciendo sustancial!ente sus pr*cticas de
ad!inistracin de riesgos para asegurar que si las iniciatias o el
:6
funciona!iento de las unidades de negocio se descarrilan%, esto se
identifique r*pida!ente poder actuar para corregir la situacin&
2.1.).1. De'inicin% Es un proceso interactio e iteratio #asado en el
conoci!iento, ealuacin , !ane$o de los riesgos , sus i!pactos, con
el propsito de !e$orar la to!a de decisiones organizacionales&
Es aplica#le a cualquier situacin donde un resultado no deseado o
inesperado pueda ser significatio o donde se identifiquen
oportunidades de !e$ora&

2.1.).2. 6ene'ici#! $aa &a O"ani;acin%
Facilita el logro de los o#$etios de la organizacin&
9ace a la organizacin !*s segura , consciente de sus
riesgos&
/e$ora!iento continuo del Siste!a de (ontrol Interno&
Cpti!iza la asignacin de recursos&
'proec+a!iento de oportunidades de negocio&
::
Fortalece la cultura de autocontrol&
/a,or esta#ilidad ante ca!#ios del entorno&
2.1.).). 6ene'ici#! $aa e& De$atament# de Audit#ia%
Soporta el logro de los o#$etios de la auditoria&
Estandarizacin en el !.todo de tra#a$o&
Integracin del concepto de control en las pol"ticas
organizacionales&
/a,or efectiidad en la planeacin general de 'uditoria&
Ealuaciones enfocadas en riesgos&
/a,or co#ertura de la ad!inistracin de riesgos&
'uditorias !*s efectias , con !a,or alor agregado&
2.1.).+. Fact#e! a c#n!idea% 7os principales factores que se de#en
considerar en la 'd!inistracin de Riesgos de 1I son:
Seguridades
:;
(ontroles: <reentios, Detectios , (orrectios
C#$etios
/anuales de usuarios
<ol"ticas
Si no e-iste una adecuada consideracin de los factores antes
descritos , si nuestros controles , seguridades fueran errados,
nuestros planes organizacionales, financieros, ad!inistratios , de
siste!as se er"an seria!ente afectados, ,a que no slo el *rea de
siste!as ser* el afectado&
2.1.+.- Admini!tacin de Rie!"#! de TI.-
2.1.+.1. C#nce$t#% 7a 'd!inistracin de Riesgos de 1I es el proceso
continuo #asado en el conoci!iento, ealuacin, !ane$o de los
riesgos , sus i!pactos que !e$ora la to!a de decisiones
organizacionales, frente a los riesgos de 1I&
Es entonces la ad!inistracin de riesgos el t.r!ino asociado al
con$unto de pasos secuenciales, lgicos , siste!*ticos que de#e
:=
seguir el analista de riesgos para identificar, alorar , !ane$ar los
riesgos asociados a los procesos de 1I de la organizacin, los cuales
e$ecutados en for!a organizada le per!iten encontrar soluciones
reales a los riesgos detectados !ini!izando las p.rdidas o
!a-i!izando las oportunidades de !e$ora&
2.1.+.2. 6ene'ici#!% Se pueden !encionar los siguientes #eneficios:
' niel organizacional:
'lcance o logro de los o#$etios organizacionales&
Jnfasis en prioridades de negocio: per!ite a los
directios enfocar sus recursos en los o#$etios
pri!arios& 1o!ar accin para preenir , reducir p.rdidas,
antes que corregir despu.s de los +ec+os, es una
estrategia efectia de ad!inistracin del riesgo&
Fortaleci!iento del proceso de planeacin&
'po,o en la identificacin de oportunidades&
Fortaleci!iento de la cultura de autocontrol&
'l proceso de ad!inistracin:
:?
(a!#io cultural que soporta discusiones a#iertas so#re
riesgos e infor!acin potencial!ente peligrosa& 7a
nuea cultura tolera equiocaciones pero no tolera
errores escondidos& 7a nuea cultura ta!#i.n +ace
.nfasis en el aprendiza$e de los errores&
/e$or ad!inistracin financiera , operacional al asegurar
que los riesgos sean adecuada!ente considerados en el
proceso de to!a de decisiones& >na !e$or
ad!inistracin operacional generar* sericios !*s
efectios , eficientes& 'nticipando los pro#le!as, los
directios tendr*n !a,or oportunidad de reaccin ,
to!ar acciones& 7a organizacin ser* capaz de cu!plir
con sus pro!esas de sericio&
/a,or responsa#ilidad de los ad!inistradores en el corto
plazo& ' largo plazo, se !e$orar*n todas las capacidades
de los directios&
2.1.+.). Caacte*!tica! Genea&e!%
:@
7a 'd!inistracin de Riesgos de#e estar apo,ada por la
'lta )erencia de la Crganizacin&
7a 'd!inistracin de Riesgos de#e ser parte integral del
proceso ad!inistratio utilizado por la Direccin de la
Crganizacin&
7a 'd!inistracin de Riesgos es un proceso !ultifac.tico ,
participatio, el cual es frecuente!ente !e$or lleado a ca#o por un
equipo !ultidisciplinario&
2.1.+.+. 4#ce!# de Admini!tacin de Rie!"#! de TI% '
continuacin se descri#en las principales etapas definidas para el
<roceso de 'd!inistracin de Riesgos de 1I&
FIG7RA 2.2.
:9
4ROCESO DE ADMINISTRACIN DE RIESGO de TI
2.1.+.+.1. E!ta9&ecimient# de &a Met#d#&#"*a de TI% <er!ite, a
tra.s del conoci!iento del entorno , de la organizacin, esta#lecer
criterios generales que ser*n utilizados para i!ple!entar el enfoque
de 'd!inistracin de Riesgos de 1I en el *rea de siste!as de la
Crganizacin&
Durante esta etapa se de#e esta#lecer la !etodolog"a que ser*
utilizada para la 'd!inistracin de Riesgos de 1I en el *rea de
siste!as de la e!presa&
;3
(onsiste en analizar los riesgos e-istentes en el *rea , de acuerdo a
este an*lisis, deter!inar cual de las alternatias propuestas
D!etodolog"asE a a ser la !e$or opcin para la realizacin del tra#a$o&
2.1.+.+.2. Identi'icacin de Rie!"#! de TI% /ediante el
esta#leci!iento de un !arco de accin espec"fico se puede entender
el o#$eto so#re el cual se aplicar* el proceso de 'd!inistracin de
Riesgos de 1I&
El propsito final de esta etapa es proeer los !ecanis!os necesarios
para recopilar la infor!acin relacionada con los riesgos, i!pactos ,
sus causas&
'lgo i!portante en esta etapa, es tener claro la definicin de Riesgo&
<ara la !a,or"a de partes, los riesgos son perci#idos co!o cualquier
cosa o eento que podr"a apo,ar la for!a en que la organizacin
alcance sus o#$etios&
;1
<or consiguiente, la 'd!inistracin de Riesgos de 1I no est* dirigida
e-clusia!ente a eitarlos& Su enfoque est* en identificar, ealuar,
controlar , do!inar% los riesgos&
2.1.+.+.). An8&i!i! de& Rie!"#! de TI% En esta etapa se #usca
o#tener el entendi!iento , conoci!iento de los riesgos identificados
de tal !anera que se pueda recopilar infor!acin que per!ita el
c*lculo del niel de riesgo al cual est* e-puesto el o#$eto, Identificar
los controles e-istentes i!ple!entados para !itigar el i!pacto ante la
ocurrencia de los riesgos de 1I, per!itiendo de esta !anera alorar
los nieles del riesgo, la efectiidad de los controles , el niel de
e-posicin&
El riesgo de 1I es analizado a tra.s de la co!#inacin de esti!atios
de pro#a#ilidad , de las consecuencias en el conte-to de las !edidas
de control e-istentes& El an*lisis de riesgos de 1I inolucra un de#ido
e-a!en de las fuentes de riesgo, sus consecuencias , la pro#a#ilidad
de que esas consecuencias puedan ocurrir& <ueden llegar a
identificarse factores que afectan tanto las consecuencias co!o la
pro#a#ilidad&
;2
7os esti!atios pueden deter!inarse utilizando an*lisis, estad"sticas ,
c*lculos& 'lternatia!ente donde no +a, datos +istricos disponi#les,
se pueden +acer esti!atios su#$etios que refle$en el grado de
creencia de un grupo o de un indiiduo en que un eento en particular
o suceso ocurran&
2.1.+.+.+. E/a&uacin > 4i#i;acin de Rie!"#! de TI% 7a
ealuacin de riesgos de 1I inclu,e co!parar el niel de riesgo
encontrado durante el proceso de an*lisis contra el criterio de riesgo
esta#lecido preia!ente, , decidir si los riesgos pueden ser
aceptados&
El an*lisis de riesgos , los criterios contra los cuales los riesgos son
co!parados en la aloracin de#en ser considerados so#re la !is!a
#ase& 's", ealuaciones cualitatias inclu,en la co!paracin de un
niel cualitatio de riesgo contra criterios cualitatios, , ealuaciones
cuantitatias inolucran la co!paracin de nieles esti!ados de riesgo
contra criterios que pueden ser e-presados co!o n!eros
espec"ficos, tales co!o fatalidad, frecuencia o alores !onetarios&
;6
El resultado de una ealuacin de riesgos es una lista priorizada de
riesgos para definirles acciones de trata!iento posteriores&
<ara ealuar riesgos +a, que considerar, entre otros factores, el tipo
de infor!acin al!acenada, procesada , trans!itida, la criticidad de
las aplicaciones, la tecnolog"a usada, el !arco legal aplica#le, el
sector de la entidad, la entidad !is!a , el !o!ento&
2.1.+.+.,. Tatamient# de Rie!"#! de TI ?C#nt#&e! De'initi/#!@%
Despu.s de alorar , priorizar los riesgos de 1I, , dependiendo del
niel de e-posicin, se de#e deter!inar la opcin de trata!iento que
!*s coniene aplicar en cada caso& El trata!iento de riesgos de 1I
inclu,e la identificacin de la ga!a de opciones de trata!iento del
riesgo de 1I, la ealuacin de las !is!as, la preparacin de planes de
trata!iento de riesgos de 1I , su posterior i!ple!entacin por parte
de la )erencia de la e!presa&
7as opciones de trata!iento que se relacionan a continuacin no son
!utua!ente e-clusias ni ser*n apropiadas en todas las
circunstancias:
;:
E0I1'R el riesgo: Se decide, donde sea pr*ctico, no proceder con
procesos ,Go actiidades que podr"an generar riesgos inacepta#les,
#uscando con ello eludir el riesgo in+erente asociado a esos o#$etos&
Es sie!pre la pri!era alternatia que de#e considerarse&
RED>(IR el riesgo: 7a organizacin decide preenir ,Go reducir el
riesgo de 1I& Si el riesgo no se puede eitar porque crea grandes
dificultades en el departa!ento, el siguiente paso es reducirlo al !*s
#a$o niel posi#le, el cual de#e ser co!pati#le con las actiidades del
*rea& Se consigue !ediante la opti!izacin de los procedi!ientos , la
i!ple!entacin de controles&
RED>(IR la pro#a#ilidad de ocurrencia: <reencin del riesgo a
tra.s de la i!ple!entacin de acciones tendientes a controlar su
frecuencia o pro#a#ilidad&
RED>(IR las consecuencias o /I1I)'R el riesgo: reduccin del
riesgo a tra.s de la i!ple!entacin de acciones o !edidas de control
dirigidas a dis!inuir el i!pacto o seeridad de las consecuencias del
riesgo si .ste ocurre&
;;
'S>/IR el riesgo: 7a organizacin decide aceptar los riesgos co!o
ellos e-isten en la actualidad, , esta#lece pol"ticas o estrategias
apropiadas para su trata!iento&
Ctra !anera de 'S>/IR los riesgos, pero de#e +acerse a un niel
adecuado en la entidad , considerando que puede ser !uc+o !a,or
el costo de la inseguridad que el de la seguridad, lo que a eces slo
se sa#e cuando +a ocurrido algo& K(u*l es el riesgo !*-i!o ad!isi#le
que puede per!itirse una entidadL 'lguna ez se nos +a +ec+o la
pregunta, , depende de lo cr"tica que sea para la entidad la
infor!acin as" co!o disponer de ella, e incluso puede depender del
!o!ento&
2.1.+.+... M#nit#e# > Re/i!in% <ocos riesgos per!anecen
est*ticos& <or ello, los riesgos , la efectiidad de sus !edidas de
control necesitan ser !onitoreados continua!ente para asegurar que
circunstancias ca!#iantes no alteren las prioridades&
Reisiones progresias son esenciales para asegurar que los planes
de la ad!inistracin per!anecen releantes& 7os factores que afectan
;=
la pro#a#ilidad , la consecuencia de un resultado puede ca!#iar, al
igual que los factores que afectan la ia#ilidad o el costo de las
opciones de trata!iento&
2.1.+.,. Met#d#&#"*a! de Admini!tacin de Rie!"#! de TI >
Se"uidad%
2.1.+.,.1. Int#duccin a &a! Met#d#&#"*a!% Segn el Diccionario,
/.todo es el !odo de decir o +acer con orden una cosa%& 'si!is!o
define el diccionario la pala#ra /etodolog"a co!o con$unto de
!.todos que se siguen en una inestigacin cient"fica%& Esto significa
que cualquier proceso cin.tico de#e estar su$eto a una disciplina de
proceso defina con anterioridad que lla!are!os /etodolog"a&
7a Infor!*tica +a sido tradicional!ente una !ateria co!ple$a en todos
sus aspectos, por lo que se +ace necesaria la utilizacin de
!etodolog"as en cada doctrina que la co!ponen, desde su dise5o de
ingenier"a +asta la auditoria de los siste!as de infor!acin&
7as !etodolog"as usadas por un profesional dicen !uc+o de su for!a
de entender su tra#a$o, , est*n directa!ente relacionadas con su
;?
e-periencia profesional acu!ulada co!o parte del co!porta!iento
+u!ano de acierto G error%&
'si!is!o una !etodolog"a es necesaria para que un equipo de
profesionales alcance un resultado +o!og.neo tal co!o si lo +iciera
uno solo, por lo que resulta +a#itual el uso de !etodolog"as en las
e!presas auditoras G consultoras profesionales, desarrolladas por los
!*s e-pertos, para conseguir resultados +o!og.neos en equipos de
tra#a$o +eterog.neos&
7a proliferacin de !etodolog"as en el !undo de la auditoria , el
control infor!*tico se pueden o#serar en los pri!eros a5os de la
d.cada de los oc+enta, paralela!ente al naci!iento ,
co!ercializacin de deter!inadas +erra!ientas !etodolgicas& <ero
el uso de !.todos de auditoria es casi paralelo al naci!iento de la
infor!*tica, en la que e-isten !uc+as disciplinas cu,o uso de
!etodolog"as constitu,e una pr*ctica +a#itual& >na de ellas es la
seguridad de los siste!as de infor!acin&
'unque de for!a si!plista se trata de identificar la seguridad
infor!*tica a la seguridad lgica de los siste!as, nada est* !*s le$os
;@
de la realidad +o, en d"a, e-tendi.ndose sus ra"ces a todos los
aspectos que suponen riesgos para la infor!*tica&
Si defini!os la Seguridad delos Siste!as de Infor!acin% co!o la
doctrina que trata de los riesgos infor!*ticos o creados por la
infor!*tica, entonces la auditor"a es una de las figuras inolucradas
en este proceso de proteccin , preseracin de la infor!acin , de
sus !edios de proceso&
<or lo tanto, el niel de seguridad infor!*tica en una entidad es un
o#$etio a ealuar , est* directa!ente relacionado con la calidad ,
eficacia de un con$unto de acciones , !edidas destinadas a proteger ,
preserar la infor!acin de la entidad , sus !edios de proceso&
2.1.+.,.1.1. L#! 4#cedimient#! de C#nt#&% Son los procedi!ientos
operatios de las distintas *reas de a e!presa, o#tenidos con una
!etodolog"a apropiada, para la consecucin de uno o arios o#$etios
de control ,, por tanto, de#en de estar docu!entados , apro#ados por
la direccin& 7a tendencia +a#itual de los infor!*ticos es la de dar !*s
peso a la +erra!ienta que al control o contra!edida%, pero no se
de#e olidar que una +erra!ienta nunca es una solucin sino una
;9
a,uda para conseguir un control !e$or%& Sin la e-istencia de estos
procedi!ientos, las +erra!ientas de control son slo una an.cdota&
2.1.+.,.1.2. Dentro de la Tecn#&#"*a de Se"uidad est*n todos los
ele!entos ,a sean +ardMare o softMare, que a,udan a controlar un
riesgo infor!*tico& Dentro de este concepto est*n los cifradores,
autentificadores, equipos tolerantes al fallo%, las +erra!ientas de
control, etc&
2.1.+.,.1.). La! (eamienta! de c#nt#& son los ele!entos softMare
que per!iten definir uno o arios procedi!ientos de control para
cu!plir una nor!atia , un o#$etio de control&
1odos estos factores est*n relacionados entre s", as" co!o la calidad
de cada uno con la de los de!*s& (uando se eala el niel de
Seguridad de Siste!as en una institucin, se est*n ealuando todos
estos factores , se plantea un <lan de Seguridad nueo que !e$ore
todos los factores, aunque confor!e se a,an realizando los distintos
pro,ectos del plan, no se ir*n !e$orando todos por igual& 'l finalizar el
plan se +a#r* conseguido una situacin nuea en la que el niel de
control sea superior al anterior&
=3
Se lla!ar* <lan de Seguridad a una estrategia planificada de acciones
, productos que lleen a un siste!a de infor!acin , sus centros de
proceso de una situacin inicial deter!inada D, a !e$orarE a una
situacin !e$orada&
2.1.+.,.2. Met#d#&#"*a! de E/a&uacin de Si!tema!%
2.1.+.,.2.1. C#nce$t#! Fundamenta&e!% En el !undo de la seguridad
de siste!as se utilizan todas las !etodolog"as necesarias para
realizar un plan de seguridad ade!*s de las de auditor"a infor!*tica&
7as dos !etodolog"as de ealuacin de siste!as por e-celencia son
las de 'n*lisis de Riesgos , las de 'uditor"a Infor!*tica, con dos
enfoques distintos& 7a auditor"a infor!*tica slo identifica el niel de
e-posicin% por la falta de controles, !ientras el an*lisis de riesgos
facilita la ealuacin% de los riesgos , reco!ienda acciones en #ase al
costo4#eneficio de las !is!as&
Se introducir*n una serie de definiciones para profundizar en estas
!etodolog"as&
=1
'!enaza: >naDsE personaDsE o cosaDsE istaDsE co!o posi#le fuente de
peligro o cat*strofe& E$e!plo: inundacin, incendio, ro#o de datos,
sa#ota$e, aplicaciones !al dise5adas, etc&
0ulnera#ilidad: 7a situacin creada, por la falta de uno o arios
controles, con la que la a!enaza pudiera suceder , as" afectar el
entorno infor!*tico& E$e!plos: falta de control de acceso lgico,
ine-istencia de un control de soportes !agn.ticos, falta de cifrado en
las teleco!unicaciones, etc&
Riesgo: 7a pro#a#ilidad de que una a!enaza llegue a suceder por una
ulnera#ilidad& E$e!plo: los datos estad"sticos de cada eento de una
#ase de datos de incidentes&
E-posicin o I!pacto: 7a ealuacin del efecto del riesgo& E$e!plo: es
frecuente ealuar el i!pacto en t.r!inos econ!icos, aunque no
sie!pre lo es, co!o idas +u!anas, i!agen de la e!presa, +onor,
defensa nacional, etc&
1odos los riesgos que se presentan pode!os:
=2
Eitarlos Dpor e$e!plo: no construir un centro donde +a,
peligro constante de inundacionesE&
1ransferirlos Dpor e$e!plo: uso de un centro de c*lculo
controladoE&
Reducirlos Dpor e$e!plo: siste!a de deteccin , e-tincin de
incendiosE&
'su!irlos& Nue es lo que se +ace si no se controla el riesgo
en a#soluto&
<ara los tres pri!eros, se acta si se esta#lecen controles o
contra!edidas& 1odas las !etodolog"as e-istentes en seguridad de
siste!as an enca!inadas a esta#lecer , !e$orar un entra!ado de
contra!edidas que garanticen que la pro#a#ilidad de que las
a!enazas se !aterialicen en +ec+os Dpor falta de controlE sea lo !*s
#a$a posi#le o al !enos quede reducida de una for!a razona#le en
costo I #eneficio&
2.1.+.,.2.2. Ti$#! de Met#d#&#"*a!% 1odas las !etodolog"as
e-istentes desarrolladas , utilizadas en la auditor"a , el control
infor!*tico, se pueden agrupar en dos grandes fa!ilias& Jstas son:
=6
(uantitatias: Aasadas en un !odelo !ate!*tico nu!.rico
que a,uda a la realizacin del tra#a$o&
(ualitatias: Aasadas en el criterio , raciocinio +u!ano
capaz de definir un proceso de tra#a$o, para seleccionar en
#ase a la e-periencia acu!ulada&
2.1.+.,.2.2.1. Met#d#&#"*a! Cuantitati/a!% Este tipo de !etodolog"as
+an sido dise5adas para producir una lista de riesgos que pueden
co!para#les entre s", con facilidad de poder asignarles alores
nu!.ricos& Estos alores en el caso de !etodolog"as de an*lisis de
riesgos, son datos de pro#a#ilidad de ocurrencia de una situacin o
eento que se de#e e-traer de un registro de incidencias donde el
n!ero de incidencias sea suficiente!ente grande o tienda al infinito&
Esto no se aplica con precisin en la pr*ctica, pero se apro-i!a ese
alor de for!a su#$etia restando as" rigor cient"fico al c*lculo& <ero
dado que el c*lculo se +ace para a,udar a elegir el !.todo entre
arias contra!edidas podr"a ser aceptado&
9a, arios coeficientes que coniene definir:
=:
'&7&E& D'nnualized 7oss E-pentac,E: !ultiplicar la p.rdida
!*-i!a posi#le de cada #ien Grecurso por la a!enaza con
pro#a#ilidad !*s alta&
Retorno de la Inersin DR&C&I&E: '&7&E& original !enos '&7&E&
reducido Dco!o resultado de la !edidaE, diidido por el
coste anualizado de la !edida&
Reduccin del '&7&E& D'nnualized 7oss E-pectanc,E: Es el
cociente entre el coste anualizado de la instalacin , el
!anteni!iento de la !edida contra el alor total del #ien
Grecurso que se est* protegiendo, en tanto por ciento&
Estos coeficientes , algunos otros son utilizados para la si!ulacin
que per!ite elegir entre arias contra!edidas en el an*lisis de
riesgos&
<or consiguiente, se nota con claridad los dos grandes inconenientes
o pro#le!as que presentan estas !etodolog"as: por una parte la
de#ilidad de los datos de la pro#a#ilidad de ocurrencia por los pocos
registros , la poca significacin de los !is!os a niel !undial, , por
otra la i!posi#ilidad o dificultad de ealuar econ!ica!ente todos los
=;
i!pactos que pueden suceder frente a la enta$a de poder usar un
!odelo !ate!*tico para el an*lisis&
2.1.+.,.2.2.2. Met#d#&#"*a! Cua&itati/a!% <recisan de la
inolucracin de un profesional e-peri!entado& Aasadas en !.todos
estad"sticos , lgica #orrosa D+u!ana, no !ate!*ticaE& <ero
requieren !enos recursos +u!anos G tie!po que las !etodolog"as
cuantitatias&
7a tendencia de uso en la realidad es la !ezcla de a!#as& '
continuaciones !uestra un cuadro co!paratio de las co!paraciones
entre estos dos tipos de !etodolog"as:
==
TA6LA 5I
COMPARACIN ENTRE LAS METODOLOGAS CUANTITATIVAS Y
CUALITATIVAS
Cuantitati/a Cua&itati/a
4

#
!
4 Enfoca pensa!ientos
!ediante el uso de n!eros&
Facilita la co!paracin de
ulnera#ilidades !u,
distintas&
4 <roporciona una cifra
$ustificante para cada
contra!edida&
4 Enfoque lo a!plio que se
desee&
4 <lan de tra#a$o fle-i#le o
reactio&
4 Se concentra en la
identificacin de eentos&
4 Inclu,e factores intangi#les&
C
#
n
t

a
!
4 Esti!acin de pro#a#ilidad
depende de estad"sticas
fia#les ine-istentes&
4 Esti!acin de las p.rdidas
potenciales slo si son
alores cuantifica#les&
4 /etodolog"as est*ndares&
4 Dif"ciles de !antener o
!odificar&
4 Dependencia de un
profesional&
4 Depende fuerte!ente de la
+a#ilidad , calidad del
personal inolucrado&
4 <uede e-cluir riesgos
significantes desconocidos
Ddepende de la capacidad
del profesional para usar la
gu"aE&
4 Identificacin de eentos
reales !*s claros al no tener
que aplicarles pro#a#ilidades
co!ple$as de calcular&
4 Dependencia de un
profesional&
=?
2.1.+.,.2.). Met#d#&#"*a! m8! c#mune!% 7as !etodolog"as !*s
co!unes de ealuacin de siste!as que pode!os encontrar son de
an*lisis de riesgos o de diagnsticos de seguridad, las de plan de
contingencias, , las de auditor"a de controles generales&
=@
2.1.+.,.2.).1. Met#d#&#"*a! de An8&i!i! de Rie!"#% Est*n
desarrolladas para la identificacin de la falta de controles , el
esta#leci!iento de un plan de contra!edidas& E-isten dos tipos: 7as
cuantitatias , las cualitatias, de las que e-isten gran cantidad de
a!#as clases , slo citare!os algunas de ellas&
El esque!a #*sico de una !etodolog"a de an*lisis de riesgos es, en
esencia, el representado a continuacin:
FIG7RA 2.).
F7NCIONAMIENTO ESA7EMBTICO 6BSICO DE
C7ALA7IER METODOLOGA
En #ase a estos cuestionarios se identifican ulnera#ilidades , riesgos
, se eala el i!pacto para !*s tarde identificar las contra!edidas ,
el coste& 7a siguiente etapa es la !*s i!portante, pues !ediante un
$uego de si!ulacin Dque se lla!ar* KNu. pasa si&&L%E que analizar*
el efecto de las distintas contra!edidas en la dis!inucin de los
(uestionario
(alcular el i!pacto
Identificar las contra!edidas , el coste
Si!ulaciones
(reacin de los Infor!es
Identificar los Riesgos
Etapa 1
Etapa 2
Etapa 6
Etapa :
Etapa ;
Etapa =
=9
riesgos analizados, eligiendo de esta !anera un plan de
contra!edidas Dplan de seguridadE que co!pondr* el infor!e final de
la ealuacin&
De for!a gen.rica las !etodolog"as e-istentes se diferencian en:
Si son cuantitatias o cualitatias, o sea si para el
KNu. pasa si&&&L% utilizan un !odelo !ate!*tico o
algn siste!a cercano a la eleccin su#$etia& 'unque,
#ien pensado, al apro-i!ar las pro#a#ilidades por
esperanzas !ate!*ticas su#$etia!ente, las
!etodolog"as cuantitatias, aunque utilicen aparatos
!ate!*ticos en sus si!ulaciones, tienen un gran
co!ponente su#$etio&
O ade!*s se diferencian en el propio siste!a de
si!ulacin&
Se +an identificado == !etodolog"as& Entre ellas est*n: '8'7IPO,
ADSS, AIS RISQ 'SESCR, A>DDO SOS1E/, (CAR', (R'//,
DDIS /'RIC8 '<R, /E7IS', RIS'8, RISQ<'(, RISQS'1(9&
?3
Despu.s de estas !etodolog"as +an nacido !uc+as otras co!o la
/')ERI1, desarrollada por la ad!inistracin espa5olaF /'RIC8,
<RI/' D<reencin de Riesgos Infor!*ticos con /etodolog"a '#iertaE
, DE7<9I& ' continuacin se detallan algunas de las !etodolog"as:

2.1.+.,.2.).1.1. Met#d#&#"*a MAGERIT ?Met#d#&#"*a de An8&i!i! >
Se!in de Rie!"#! de &#! Si!tema! de In'#macin@
% El esque!a co!pleto de Etapas, 'ctiidades , 1areas del
Su#!odelo de <rocesos de /')ERI1 es el siguiente:
Etapa 1& <lanificacin del 'n*lisis , )estin de Riesgos
'ctiidad 1&1& Cportunidad de Realizacin
1area 1&1&1& DnicaE (larificar la oportunidad de realizacin
'ctiidad 1&2& Definicin de Do!inio , C#$etios
1area 1&2&1& Especificar los o#$etios del pro,ecto
1area 1&2&2& Definir el do!inio , los l"!ites del pro,ecto
1area 1&2&6& Identificar el entorno , restricciones generales
1area 1&2&:& Esti!ar di!ensin, costos , retornos del pro,ecto
'ctiidad 1&6& <lanificacin del <ro,ecto
1area 1&6&1& Ealuar cargas , planificar entreistas
1area 1&6&2& Crganizar a los participantes
1area 1&6&6& <lanificar el tra#a$o
?1
'ctiidad 1&:& 7anza!iento del <ro,ecto
1area 1&:&1& 'daptar los cuestionarios
1area 1&:&2& Seleccionar criterios de ealuacin , t.cnicas para
el pro,ecto
1area 1&:&6& 'signar los recursos necesarios
1area 1&:&:& Sensi#ilizar Dca!pa5a infor!atiaE
Etapa 2& 'n*lisis de Riesgos
'ctiidad 2&1& Recogida de Infor!acin
1area 2&1&1& <reparar la infor!acin
1area 2&1&2& Realizacin de las entreistas
1area 2&1&6& 'nalizar la infor!acin recogida
'ctiidad 2&2& Identificacin , 'grupacin de 'ctios
1area 2&2&1& Identificar 'ctios , grupos de 'ctios
1area 2&2&2& Identificar !ecanis!os de salaguarda e-istentes
1area 2&2&6& 0alorar 'ctios
'ctiidad 2&6& Identificacin , Ealuacin de '!enazas
1area 2&6&1& Identificar , 'grupar '!enazas
1area 2&6&2& Esta#lecer los *r#oles de fallos generados por
a!enazas
'ctiidad 2&:& Identificacin , Esti!acin de 0ulnera#ilidades
1area 2&:&1& Identificar ulnera#ilidades
?2
1area 2&:&2& Esti!ar ulnera#ilidades
'ctiidad 2&;& Identificacin , 0aloracin de I!pactos
1area 2&;&1& Identificar I!pactos
1area 2&;&2& 1ipificar I!pactos
1area 2&;&6& 0alorar i!pactos
'ctiidad 2&=& Ealuacin del Riesgo
1area 2&=&1& Ealuar el riesgo intr"nseco
1area 2&=&2& 'nalizar las funciones de salaguarda e-istentes
1area 2&=&6& Ealuar el riesgo efectio
Etapa 6& )estin del Riesgo
'ctiidad 6&1& Interpretacin del Riesgo
1area 6&1&1& DnicaE Interpretar los riesgos
'ctiidad 6&2& Identificacin , Esti!acin de Funciones de salaguarda
1area 6&2&1& Identificar funciones de salaguarda
1area 6&2&2& Esti!ar la efectiidad de las funciones de
salaguarda
'ctiidad 6&6& Seleccin de Funciones de Salaguarda
1area 6&6&1& 'plicar los par*!etros de seleccin
1area 6&6&2& Ealuar el riesgo
'ctiidad 6&:& (u!pli!iento de C#$etios
1area 6&:&1& DnicaE Deter!inar el cu!pli!iento de los o#$etios
?6
Etapa :& Seleccin de Salaguardas
'ctiidad :&1& Identificacin de !ecanis!os de salaguarda
1area :&1&1& Identificar los !ecanis!os posi#les
1area :&1&2& Estudiar !ecanis!os i!plantados
1area :&1&6& Incorporar restricciones
'ctiidad :&2& Seleccin de !ecanis!os de salaguarda
1area :&2&1& Identificar !ecanis!os a i!plantar
1area :&2&2& Ealuar el riesgo D!ecanis!os elegidosE
1area :&2&6& Seleccionar !ecanis!os a i!plantar
'ctiidad :&6& Especificacin de los !ecanis!os a i!plantar
1area :&6&1& DnicaE Especificar los !ecanis!os a i!plantar
'ctiidad :&:& <lanificacin de la I!plantacin
1area :&:&1& <riorizar !ecanis!os
1area :&:&2& Ealuar los recursos necesarios
1area :&:&6& Ela#orar cronogra!as tentatios
'ctiidad :&;& Integracin de resultados
1area :&;&1& DnicaE Integrar los resultados
2.1.+.,.2.).1.2. Met#d#&#"*a MARION% /.todo docu!entado en dos
li#ros de los cuales el !*s actual es 7a Securit. des reseau-4
/et+odes et 1ec+niques de B&/& 7a!ere , 7erou-, B& 1ourl,& 1iene
?:
dos productos: /'RIC8 '<R, para siste!as indiiduales, , /'RIC8
RST para siste!as distri#uidos , conectiidad&
Es un !.todo cuantitatio , se #asa en la encuesta anual de
!ie!#ros la #ase de incidentes francesa D(&7&>&S&I&F&E& 8o conte!pla
pro#a#ilidades, sino esperanzas !ate!*ticas que son apro-i!aciones
nu!.ricas Dalores su#$etiosE&
7a /'RIC8 '<R utiliza cuestionarios , par*!etros correlacionados
enfocados a las distintas soluciones de contra!edidas, en seis
categor"as& 7as categor"as son: seguridad infor!*tica general,
factores socioecon!icos, concienciacin so#re la seguridad de
softMare , !ateriales, seguridad en e-plotacin , seguridad de
desarrollo&
El an*lisis de riesgos lo +ace so#re diez *reas pro#le!*ticas& Estas
*reas son: riesgos !ateriales, sa#ota$es f"sicos, aer"as,
co!unicaciones, errores de desarrollo, errores de e-plotacin, fraude,
ro#o de infor!acin, ro#o de softMare, pro#le!as de personal&
?;
2.1.+.,.2.).1.). Met#d#&#"*a RISCC4AC% 1odas las !etodolog"as
que se desarrollan en la actualidad est*n pensadas para su aplicacin
en +erra!ientas& 7a pri!era de esta fa!ilia la desarroll <RCFI7E
'8U7ISIS (CR<CR'1IC8, , la pri!era instalacin en cliente data de
19@:& Segn D'1'<RC es el softMare !*s endido&
Su enfoque es !etodolog"a cualitatia& Sus resultados son
e-porta#les a procesadores de te-to, #ases de datos, +o$a electrnica
o siste!as gr*ficos& Est* estructurada en tres nieles: Entorno,
<rocesador , 'plicaciones con 2= categor"as de riesgo en cada niel&
1iene un KNu. pasa si&&&L% con un niel de riesgo de ealuacin
su#$etia del 1 al ; , ofrece una lista de contra!edidas o
reco!endaciones #*sicas para a,udar al infor!e final o plan de
acciones&
2.1.+.,.2.).1.+. Met#d#&#"*a CRAMM% Se desarroll entre 19@; ,
19@? por AIS , ((1' D(entral (o!puter V 1eleco!unication 'genc,
RisW 'n*lisis V /anage!ent /eted, InglaterraE& I!plantado en !*s de
?;3 organizaciones en Europa, so#re todo de la ad!inistracin
p#lica& Es una !etodolog"a cualitatia , per!ite +acer an*lisis KNu.
pasa si&&&L%&
?=
2.1.+.,.2.).1.,. Met#d#&#"*a 4RIMA ?4e/encin de Rie!"#!
In'#m8tic#! c#n Met#d#&#"*a A9ieta@% Es un con$unto de
!etodolog"as espa5olas desarrolladas entre los a5os 1993 , la
actualidad con un enfoque su#$etio& Sus caracter"sticas esenciales
son:
(u#rir las necesidades de los profesionales que
desarrollan cada uno de los pro,ectos necesarios de
un plan de seguridad&
F*cil!ente adapta#le a cualquier tipo de +erra!ienta&
<osee cuestionarios de preguntas para la identificacin
de de#ilidades o faltas de controles&
<osee listas de a,uda para los usuarios !enos
e-peri!entados de de#ilidades, riesgos ,
contra!edidas Dsiste!a de a,udaE&
<er!ite f*cil!ente la generacin de infor!es finales&
7as 7istas de ',uda% D0er Figura 2&=&E , los
cuestionarios son a#iertos, , por tanto es posi#le
introducir infor!acin nuea o ca!#iar la e-istente& De
a+" la e-presin a#ierta de su no!#re&
??
1iene un KNu. pasa si&&&L% cualitatio, , capacidad de
aprendiza$e al poseer una #ase de conoci!iento o
registro de incidentes que an ariando las esperanzas
!ate!*ticas de partida , adapt*ndose a los entornos
de tra#a$o&
FIG7RA 2.+.
FASES DE LA METODOLOGA 4RIMA
(on la !is!a filosof"a a#ierta e-isten en la actualidad las siguientes
!etodolog"as:
'n*lisis de Riesgos&
Identificacin
De#ilidades
'n*lisis del
I!pacto , Riesgo
Infor!e Final
Definicin de contra!edidas
0aloracin de contra!edidas
Realizacin del <lan de
'cciones , <ro,ectos
1o!a de
datos
(+ecW list
'!enazas
0ulnera#ilidades
<onderacin
0aloracin
Econ!ica
<rioridad
Duracin
(oste Econ&
Dificultad
De#ilidades
Riesgos
<lan de 'cciones
<lan de <ro,ectos
Buegos de
Ensa,o
DCpcionalesE
?@
<lan de (ontingencias Infor!*tica , de recuperacin
del negocio&
<lan de restauracin interno infor!*tico&
(lasificacin de la infor!acin&
Definicin , desarrollo de procedi!ientos de control
infor!*ticos&
<lan de cifrado&
'uditor"a Infor!*tica&
Definicin , desarrollo de control de acceso lgico&
FIG7RA 2.,.
LISTA DE AD7DA DE LA METODOLOGA 4RIMA
Aase de Datos de
Incidentes D'E
Relacin de
De#ilidades DAE
Relacin de
eentos por sector
de actiidad
Estad"sticas ,
)r*ficos
?9
2.1.+.,.2.).1... Met#d#&#"*a DEL4EI% 7a siguiente !etodolog"a
analizada, es la /etodolog"a Delp+i& El esque!a co!pleto del !.todo
Delp+i es el siguiente:
1& (rear la !atriz de '!enazas , C#$etos: 'l co!ienzo se de#e
realizar una reunin con todo el personal inolucrado en el tra#a$o&
Esta reunin tiene por o#$eto no slo identificar las a!enazas , los
o#$etos del *rea, sino ta!#i.n esta#lecer no!#res cortos para
deno!inar las a!enazas , los o#$etos , redactar una #ree definicin
de cada uno de ellos&
2& Identificar los controles necesarios: Este paso de#e darse al
co!ienzo en la reunin del grupo de personas inolucradas en el *rea&
Relacin de Riesgos
D(E
Relacin de
contra!edidas DDE
(onoci!ientos
)enerales DEE
Relacin de
<ro,ectos DFE
/en Aase de
Datos del
(onoci!iento
D13E
@3
Es all" donde se precisan los controles para salaguardar los o#$etos
en relacin con las a!enazas&
7os !ie!#ros del grupo de#en discutir los controles que de#er*n
incluirse& ' !edida que esos controles se an ad!itiendo, es
necesario crear una lista con los siguientes datos:
8!ero de Identificacin,
8o!#re corto que distingue a cada control,
Aree descripcin so#re la funcionalidad , utilidad del
control,
Identificacin de la persona responsa#le de la
i!ple!entacin de los controles&
6& Registrar los controles dentro de la !atriz: Este paso se e$ecuta
para colocar dentro de las celdas el n!ero de identificacin de los
controles
:& (ategorizar los riesgos: 'qu" se identifican las *reas de alto, !edio
, #a$o riesgo, coloc*ndolas en orden de niel de e-posicin& <ara la
@1
e$ecucin de este paso se utiliza el !.todo Delp+i , la co!paracin de
los nieles de riesgo&
El !.todo Delp+i, consiste en reunir a un grupo de e-pertos para
solucionar deter!inados pro#le!as& Dic+o grupo realiza la
categorizacin indiidual de las a!enazas , de los o#$etos de riesgo&
El equipo Delp+i sesiona con$unta!ente para co!#inar sus
e-periencias en la realizacin de las siguientes tareas:
(ategorizar las a!enazas por nieles de riesgos& D0er
'ne-o =E <ara efecto de este e$ercicio, se +a organizado un
grupo de cinco personas, quienes se so!eten a otacin
+asta co!pletar la !atriz& D0er 'ne-o ?E 7a categorizacin
se o#tiene su!ando co!o se !uestra en el ane-o @& 7uego
se su!an los dos otos para o#tener el total final de cada
a!enaza& El resultado se utiliza para producir una lista de
categorizacin de a!enazas, por nieles de riesgo de !a,or
a !enor& D0er 'ne-o @E&
(ategorizar la Sensi#ilidad de los C#$etos: Este proceso se
inicia copiando los o#$etos que registra la !atriz de control
@2
de riesgos en una +o$a de co!paracin de categor"as de
riesgos D0er 'ne-o 9E& <ara categorizar la sensi#ilidad de los
o#$etos se utiliza la percepcin que tenga cada uno de los
!ie!#ros del equipo Delp+i so#re cu*l o#$eto de cada
pare$a de o#$etos puede causar !a,or p.rdida econ!ica si
se da5a o causa de!oras en el procesa!iento& El grupo
ota +asta co!pletar la !atiz D0er 'ne-o 13E& Despu.s se
su!an los resultados derec+os de diagonales de las
colu!nas, en for!a ertical, , luego se su!an los resultados
izquierdos de las diagonales de las colu!nas, en for!a
+orizontal, en el sentido de las filas de la !atriz& Se su!an
los resultados para o#tener el total final& D0er 'ne-o 11E&
(o!#inar las dos (ategor"as: >na ez ter!inadas las dos
categor"as, se ela#ora una !atriz de control de riesgos,
colocando los totales en orden de !a,or a !enor, en los dos
casos& D0er 'ne-o 12E&
Seguida!ente se !ultiplican los correspondientes alores ,
con los resultados se organiza una !atriz& 1er!inada esta
operacin se procede a o#tener el niel de riesgo G
@6
sensi#ilidad de las celdas de acuerdo con el alor del
producto& <uede ser que al ter!inar este proceso se
presenten repeticiones&
Diidir las celdas en regiones de !a,or, !ediano , !enor
riesgo: Este proceso se realiza diidiendo la cantidad de
nieles de riesgo G sensi#ilidad por cinco Dn!ero de
personas del grupoE& El cociente se utiliza para indicar las
celdas de !a,or o !enor riesgo& De !anera que las celdas
con nieles de riesgo G sensi#ilidad inferiores o iguales al
cociente son las celdas de !a,or riesgo& 7as celdas con
nieles de riesgo G sensi#ilidad superiores al cociente e
inferiores o iguales a tres eces el cociente son las celdas
de !ediano riesgo , las celdas con nieles de riesgo G
sensi#ilidad superiores a tres eces el cociente son las
celdas de #a$o riesgo&
En la !atriz se resta al n!ero de celdas las repeticiones Dsi
es que las +a,E, para efectos del c*lculo& Este alor es
diidido para el n!ero de personas del grupo o#teniendo
@:
un cociente con el cual se organiza el cuadro de riesgo G
sensi#ilidad , la !atriz correspondiente& D0er 'ne-o 16E
;& Dise5ar los controles Definitios: (on el resultado del tra#a$o
apo,ados en el !.todo Delp+i, se dise5an , docu!entan
definitia!ente los controles a niel: preentio, detectio , correctio,
de acuerdo con el *rea que se est. analizando&
Este es un tra#a$o dispendioso, de#ido a que todo depende del
conoci!iento que se tenga del *rea infor!*tica , del siste!a de
control interno infor!*tico desea#le&
=& Resultados del 'n*lisis de Riesgos& 7os resultados del an*lisis de
riesgos, de#en ser escritos , dados a conocer oportuna!ente para
que sean incorporados en el *rea analizada&
2.1.+.,.). Met#d#&#"*a! de Audit#ia In'#m8tica% 7as nicas
!etodolog"as que pode!os encontrar en la auditor"a infor!*tica son
dos fa!ilias distintas: las auditorias de (ontroles )enerales co!o
producto est*ndar de la de 'uditores <rofesionales, que son una
@;
+o!ologacin de las !is!as a niel internacional, , las /etodolog"as
de los auditores internos&
Entre las dos !etodolog"as de aluacin de siste!as Dan*lisis de
riesgos , auditor"aE e-isten si!ilitudes , grandes diferencias& '!#as
tienen papeles de tra#a$o o#tenidos del tra#a$o de ca!po tras el plan
de entreistas, pero los cuestionarios son total!ente distintos&
7as !etodolog"as de auditoria son del tipo cualitatio G su#$etio& Se
puede decir que son las su#$etias por e-celencia& <or lo tanto, est*n
#asadas en profesionales de gran niel de e-periencia , for!acin,
capaces de dictar reco!endaciones t.cnicas, operatias , $ur"dicas,
que e-igen una gran profesionalidad , for!acin continuada& Slo as"
esta funcin se consolidar* en las entidades, esto es, por el respeto
profesional% a los que e$ercen la funcin&
El concepto de las !etodolog"as de an*lisis de riesgos de tie!pos
!edios% es !*s #ien para consultores profesionales que para
auditores internos&
@=
2.1.+.,.+. Met#d#&#"*a! de C&a!i'icacin de &a In'#macin > de
O9tencin de &#! 4#cedimient#! de C#nt#&%
2.1.+.,.+.1. C&a!i'icacin de &a In'#macin% 8o es frecuente
encontrar !etodolog"as de este tipo, pero la !etodolog"a <RI/' tiene
dos !dulos que desarrollan estos dos aspectos que se !uestran a
continuacin&
Se podr"a preguntar si es suficiente con un an*lisis de riesgos para
o#tener un plan de contra!edidas que nos llear* a una situacin de
control co!o se desea& 7a respuesta es no, dado que todas las
entidades de infor!acin a proteger no tienen el !is!o grado de
i!portancia, , el an*lisis de riesgos !etodolgica!ente no per!ite
aplicar una diferenciacin de contra!edidas segn el actio o recurso
que protege, sino por la pro#a#ilidad del riesgo analizado&
1iene que ser otro concepto, esto es si se identifican distintos nieles
de contra!edidas para distintas entidades de infor!acin con distinto
niel de criticidad, se estar* opti!izando la eficiencia de las
contra!edidas , reduciendo los costos de las !is!as%&
@?
Esta !etodolog"a es del tipo cualitatio, , co!o el resto de la
!etodolog"a <RI/' tiene listas de a,uda con el concepto a#ierto, esto
es, que el profesional puede a5adir en la +erra!ienta nieles o
$erarqu"as, est*ndares , o#$etios a cu!plir por niel, , a,udas de
contra!edidas&
C sea los factores a considerar son los requeri!ientos legislatios, la
sensi#ilidad a la diulgacin DconfidencialidadE, a la !odificacin
DintegridadE, , a la destruccin&
7as $erarqu"as suelen ser cuatro, , segn se trate de ptica de
preseracin o de proteccin, los cuatro grupos ser"an: 0ital, (r"tica,
aluada , 8o sensi#le&
<RI/', aunque per!ite definirla a oluntad, #*sica!ente define:
Estrat.gica Dinfor!acin !u, restringida, !u,
confidencial, ital para la su#sistencia de la e!presaE&
Restringida Da los propietarios de la infor!acinE&
De uso interno Da todos los e!pleadosE&
De uso general Dsin restriccinE&
@@
7os pasos de la !etodolog"a son los siguientes:
1& Identificacin de la Infor!acin&
2& Inentario de Entidades de Infor!acin Residentes , Cperatias&
Inentario de progra!as, arc+ios de datos, estructuras de datos,
soportes de infor!acin, etc&
6& Identificacin de <ropietarios& Son los que necesitan para su
tra#a$o, usan o custodian la infor!acin&
:& Definicin de $erarqu"as de infor!acin& Suelen ser cuatro, por que
es dif"cil distinguir entre !*s nieles&
;& Definicin de la /atriz de (lasificacin& Esto consiste en definir las
pol"ticas, est*ndares, o#$etios de control , contra!edidas por
tipos , $erarqu"as de infor!acin&
=& (onfeccin de la /atriz de (lasificacin& En esta fase se
co!ple!enta toda la !atriz, asign*ndole a cada entidad un niel
de $erarqu"a, lo que se asocia a una serie de +itos a cu!plir, para
cu,o cu!pli!iento se de#er*n desarrollar acciones concretas en el
punto siguiente&
?& Realizacin del <lan de 'cciones& Se confecciona el plan detallado
de acciones& <or e$e!plo, se refor!a una aplicacin de n!inas
@9
para que un e!pleado utilice el progra!a de su#idas de salario ,
su superisor lo aprue#e&
@& I!plantacin , /anteni!iento& Se i!planta el plan de acciones ,
se !antiene actualizado&
O as" se co!pleta esta !etodolog"a&
2.1.+.,.+.2. O9tencin de &#! 4#cedimient#! de C#nt#&% Ctra
/etodolog"a necesaria para la o#tencin de los controles es la
C#tencin de los <rocedi!ientos de (ontrol%& Es frecuente encontrar
!anuales de procedi!ientos en todas las *reas de la e!presa que
e-plican las funciones , c!o se realizan las distintas tareas
diaria!ente, siendo .stos necesarios para que los auditores realicen
sus reisiones operatias, ealuando si los procedi!ientos son
correctos , est*n apro#ados , so#re todo si se cu!plen&
<ero se podr"a preguntar si desde el punto de ista de control
infor!*tico es suficiente , c!o se podr"an !e$orar&
7a respuesta es dada por la !etodolog"a que se e-pone a
continuacin, que dar* otro plan de acciones que contri#uir*
93
su!*ndose a los distintos pro,ectos de un plan de seguridad para
!e$orar el entra!ado de contra!edidas&
7a !etodolog"a se !uestra a continuacin:
Fase I& Definicin de C#$etios de (ontrol&
1area 1: 'n*lisis de la e!presa& Se estudian los procesos,
organigra!as , funciones&
1area 2: Recopilacin de est*ndares& Se estudian todas las
fuentes de infor!acin necesarias para conseguir definir en la
siguiente fase los o#$etios de control a cu!plir Dpor e$e!plo:
ISC, (IS', etcE&
1area 6: Definir los o#$etios de control&
Fase II& Definicin de los (ontroles&
1area 1: Definir los controles& (on los o#$etios de control
definidos, se analizan los procesos , se a definiendo los
distintos controles que se necesiten&
1area 2: Definicin de 8ecesidades 1ecnolgicas D+ardMare ,
+erra!ientas de controlE&
91
1area 6: Definicin de los <rocedi!ientos de (ontrol& Se
desarrollan los distintos procedi!ientos que se generan en las
*reas usuarias, infor!*tica, control infor!*tico , control no
infor!*tico&
1area :: Definicin de las necesidades de recursos +u!anos&
Fase III& I!plantacin de los (ontroles&
>na ez definidos los controles, las +erra!ientas de control , los
recursos +u!anos necesarios, no resta !*s que i!plantarlos en for!a
de acciones espec"ficas&
1er!inado el proceso de i!plantacin de acciones +a#r* que
docu!entar los procedi!ientos nueos , reisar los afectados de
ca!#io& 7os procedi!ientos resultantes ser*n:
<rocedi!ientos propios de control de la actiidad infor!*tica
Dcontrol interno infor!*ticoE&
<rocedi!ientos de distintas *reas usuarias de la infor!*tica,
!e$orados&
<rocedi!ientos de *reas infor!*ticas, !e$orados&
92
<rocedi!ientos de control dual entre control interno
infor!*tica , el *rea infor!*tica, los usuarios infor!*ticos, ,
el *rea de control no infor!*tico&
2.1.+.,.,. Met#d#&#"*a de E/a&uacin de Rie!"#!% Este tipo de
!etodolog"a, conocida ta!#i.n por risW oriented approac+, es la que
propone la IS'(', , e!pieza fi$ando los o#$etios de control que
!ini!izan los riesgos potenciales a los que est* so!etido el entorno&
2.2. De'inici#ne! C#nce$tua&e!
A&cance% Distancia a que llega una cosa& Efectuada la reisin de
antecedentes, se procede a preparar el progra!a de auditoria,
precisando periodo , alcance del e-a!en&
96
Antecedente% 1odo lo que sire para $uzgar +ec+os posteriores&
'cordada la realizacin de una auditoria, el grupo designado para
practicarla efecta una reisin de antecedentes con el estudio de
papeles de tra#a$o e infor!es anteriores&
Audit#*a% E-a!en o#$etio, siste!*tico, profesional e independiente,
aplicado a una organizacin por un auditor co!petente&
Caacte*!tica!% (ualidades o rasgos que siren para distinguir una
persona o una cosa de sus se!e$antes& 7a consideracin de las
caracter"sticas de la organizacin es funda!ental en la i!plantacin ,
desarrollo de la auditoria interna&
C#nt#& en TI% 7as pol"ticas, procedi!ientos, pr*cticas , estructuras
organizacionales dise5adas para garantizar razona#le4!ente que los
o#$etios del negocio ser*n alcanzados , que eentos no desea#les
ser*n preenidos o detectados , corregidos
9:
Citei#% <auta, nor!a, regla para conocer la erdadF $uicio,
discerni!iento frente a un asunto deter!inado& El auditor funda!enta
su tra#a$o en la ealuacin del cu!pli!iento de criterios esta#lecidos&
8ingn tipo de auditoria es posi#le si no +a, criterios esta#lecidos
so#re los cuales un auditor de#e ealuar&
C#n#"ama% Relacin de actiidades por desarrollar en fec+as
deter!inadas, las cuales +acen parte de los planes , progra!as de
las organizaciones , a su ez se constitu,e en un !ecanis!o del
control interno&
De!em$eFa% 9acer aquello a lo que uno est* o#ligado, lo cual de#e
estar garantizado en un alto grado por los !ecanis!os de control&
Dia"n!tic#% 'n*lisis que per!ite deter!inar el con$unto de s"nto!as
o caracter"sticas de la eolucin o el desarrollo de un proceso
deter!inado, el cu*l resulta !u, til para conocer el grado de
desarrollo , fortaleci!iento del siste!a de control interno de una
organizacin&
9;
Di!eF#% Aosque$o for!al de un proceso o cosa& Dise5o de los
ele!entos , !ecanis!os del siste!a de control interno&
Ec#n#m*a% 'd!inistracin recta , prudente de los #ienes& ' este
requisito que de#e tener toda organizacin de#e contri#uir
per!anente!ente el siste!a de control interno , de auditoria interna&
E'icacia% 0irtud, fuerza , poder para o#rar&
E'iciencia% 7ogro de !etas , o#$etios en t.r!inos de cantidad ,
calidad& 0irtud , facultad para lograr un efecto deter!inado&
Gn'a!i!% Fuerza de e-presin o entonacin& 7os progra!as de
auditoria se confeccionan so#re la #ase de poner .nfasis en las *reas
!*s i!portantes , las *reas donde los controles internos son
deficientes&
E!tate"ia% <rocedi!iento o plan que se aplica para lograr un
propsito u o#$etio&
9=
Gtica% <arte de la filosof"a que trata de la !oral , de las o#ligaciones
del +o!#re& El auditor cuenta con su propia .tica profesional para el
desarrollo de sus funciones&
E/a&ua% 0alorar, esti!ar el alor de las cosas o situaciones&
E/idencia% 7a eidencia se constitu,e en el soporte , respaldo a las
afir!aciones dadas&
Fa!e% (ualquiera de los aspectos o ca!#ios dentro de un proceso&
Funcin% Es el con$unto de actiidades u operaciones que dan
caracter"sticas propias , definidas a un cargo, para deter!inar nieles
de responsa#ilidad , autoridad, , de#en estar for!uladas ,
docu!entadas en un !anual de funciones , procedi!ientos el que a
su ez se constitu,e en el ele!ento de control&
G#9ien# de TI% >na estructura de relaciones , procesos para dirigir ,
controlar la e!presa con el fin de lograr sus o#$etios al a5adir alor
9?
!ientras se equili#ran los riesgos contra el re4torno so#re 1I , sus
procesos&
Im$&anta% Esta#lecer , poner en e$ecucin doctrinas nueas,
pr*cticas o costu!#res&
In'#m8tica% 'plicacin racional, siste!*tica de la infor!acin para el
desarrollo econ!ico, social , pol"tico&
In(eente% >nido insepara#le!ente , por naturaleza a una cosa& El
riesgo es in+erente al desarrollo de las actiidades de una
organizacin por lo que no se pueden orientar todos los recursos a
eli!inarlo total!ente& 7o i!portante es identificarlo , !ane$arlo&
Inte"idad% (alidad de "ntegro& Nue tiene todas sus partes& 7os
papeles de tra#a$o protegen la integridad profesional del auditor ,
a,udan a $ustificar su actuacin&
Manua&% Docu!ento gu"a que descri#e asuntos o actiidades de
acuerdo con un ordena!iento lgico, , est* su$eto a per!anente
9@
ealuacin , actualizacin& Es una de las fuentes de criterios a ealuar
dentro del an*lisis de riesgos&
Mecani!m#!% (o!#inacin de partes que producen o transfor!an un
!oi!iento& <ara que e-ista un #uen control se de#en esta#lecer
!ecanis!os de segui!iento , control&
M-t#d#% /odo de o#rar con orden& 7a ealuacin de control interno
por el !.todo de cuestionario consiste en conertir en preguntas todas
las nor!as de control interno, de tal !anera que una respuesta
afir!atia indique la e-istencia , o#seracin de la nor!a , una
respuesta negatia indique su ausencia o incu!pli!iento&
N#ma!% Son los requisitos de calidad relatios a la persona del
auditor, al tra#a$o que realiza , a la e!isin de su opinin&
O9:eti/#% Relatio al o#$eto en s" , no a nuestro !odo de pensar o
sentir& El infor!e de#e presentar co!entarios, conclusiones ,
reco!endaciones en for!a o#$etia&
99
O9:eti/# de C#nt#&% >na sentencia del resultado o propsito que se
desea alcanzar i!ple!entando procedi!ientos de control en una
actiidad de 1I particular&
O$#tunidad% Se refiere a la .poca en que se de#en aplicar los
procedi!ientos del an*lisis, de tal for!a que se o#tengan los
resultados !*s eficientes que sean posi#les&
O"ani;acin% >nin oluntaria de una serie de indiiduosF est*
integrada por !ltiples "nculos contractuales entre factores
Dpersonas, sericio , procesosE con una funcin de asignacin
eficiente de los recursos , #a$o la direccin , coordinacin de una
autoridad directia&
4&anea% 1razar, for!ar, disponer el plan de una o#ra& For$ar planes&
4#ndea% <esar, deter!inar el peso de una cosa& E-a!inar con
atencin las razones de una cosa para for!ar un $uicio de ella&
133
4inci$i#!% Aase, origen, funda!ento !*-i!o por el que cada quien
rige sus actuaciones& 7a actuacin del auditor est* regida por
principios .ticos profesionales&
4#cedimient#% /.todo para +acer alguna cosa& Entonces pode!os
referirnos a procedi!ientos operatios, ad!inistratios , de control&
4#ce!#% (on$unto de fases sucesias de un fen!eno o asunto, las
cuales son controladas, superisadas , ealuadas por el siste!a de
control interno&
4#"ama% Escrito que indica las condiciones de un an*lisis& El auditor
de#e for!ular un progra!a general de tra#a$o que inclu,e un resu!en
de las actiidades a desarrollar&
Rec#mendacin% Encargo que se +ace a una persona respecto de
otra o de alguna cosa& El infor!e del an*lisis de#e tener
reco!endaciones que per!itan su#sanar las deficiencias
encontradas&
131
Recu!#! Mateia&e!% 1odo lo referente a !o#iliario de oficina ,
equipos de co!putacin con que cuenta la organizacin&

Re&e/ante% So#resaliente, e-celente, i!portante& El infor!e del
an*lisis de#e #rindar la infor!acin necesaria , releante relacionada
con el e-a!en practicado&
S89ana% Refi.rase a los reportes largos que se i!pri!"an antes&
Semicuanti'ica% 'signar rangos nu!.ricos a las caracter"sticas 'lto,
/edio, , Aa$o&
Si!tem8tic#% Nue sigue un siste!a& D"cese de quien procede por
principios so!eti.ndose a un siste!a fi$o en su conducta, escritos,
opiniones& Es una de las caracter"sticas del e-a!en de auditor"a&
T-cnica% (on$unto de procedi!ientos de un arte o ciencia& 9a#ilidad
para usar esos procedi!ientos& En el desarrollo del e-a!en de
auditor"a se +ace uso de las t.cnicas de auditor"a&
132
T-cnica!% Son los recursos pr*cticos de inestigacin , prue#a que el
auditor utiliza para o#tener la infor!acin que necesita&
5ei'ica% <ro#ar que es erdad una cosa que se duda& 7a auditor"a
es un e-a!en que erifica , eala deter!inadas *reas de una
e!presa&