Sunteți pe pagina 1din 8

UNIVERSIDAD DE SANTIAGO DE CHILE

FACULTAD DE ADMINISTRACIÓN Y ECONOMÍA


CARRERA CONTADOR PÚBLICO Y AUDITOR

“MODELOS DE RIESGO
MAGERIT Y ESTÁNDAR AUSTRALIANO”
DIFERENCIAS

INTEGRANTES:
Daniela López Merino
Jonathan Riquelme Arévalo
PROFESOR:
Daniel Campos rieloff

Santiago, septiembre 2009.


AUDITORIA DE SISTEMAS DE INFORMACIÓN

AÑO 2009

Introducción

Los riesgos que soporta un sistema de información y el entorno asociable con él,
entendiendo por riesgo la posibilidad de que suceda un daño o perjuicio, es fundamental
para el desarrollo de la entidad y es por esto que es necesario minimizarlos al máximo.

Existen modelos de riesgo que recomiendan las medidas apropiadas que deberían adoptarse
para conocer, prevenir, impedir, reducir o controlar los riesgos investigados.

En este informe se presentan las fases o elementos de implementación del modelo de riesgo
MAGERIT y Estándar Australiano, ya que en estos se encuentran enfocadas las principales
diferencias de ambos, aunque estos se asemejan en su horizonte en identificar, analizar y
minimizar los riesgos en su impacto en la empresa.

DIFERENCIAS ENTRE MAGERIT Y ESTÁNDAR AUSTRALIANO 2


AUDITORIA DE SISTEMAS DE INFORMACIÓN

AÑO 2009

Diferencias entre los modelos de riesgo


Estándar Australiano y MAGERIT

Las diferencias que existen entre los modelos de riesgo MAGERIT y Estándar Australiano
están básicamente enfocadas en sus fases de implementación, ya que MAGERIT consta de
3 fases (planificación, análisis de riesgo y gestión de riesgo) y el Estándar Australiano de 7
etapas (contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el
monitoreo). A continuación se presentan las etapas de cada modelo.

I. MAGERIT

MAGERIT consta de tres etapas Planificación, Análisis de Riesgo y Gestión de


Riesgo.

1. Planificación

El objetivo principal de esta fase es determinar el marco general referencial para el


proyecto.

• Se establecen las consideraciones necesarias para arrancar el proyecto AGR.


• Se investiga la oportunidad de realizarlo.
• Se definen los objetivos que ha de cumplir y el dominio (ámbito) que abarcará.
• Se planifican los medios materiales y humanos para su realización.
• Se procede al lanzamiento del proyecto. Estudio de oportunidad

2. Análisis de riesgo

DIFERENCIAS ENTRE MAGERIT Y ESTÁNDAR AUSTRALIANO 3


AUDITORIA DE SISTEMAS DE INFORMACIÓN

AÑO 2009

Este proceso es la base central de MAGERIT y su correcta aplicación es la


condicionante para la validez y utilidad del proyecto. La identificación, valorización
de los activos al igual que el de las amenazas representa una tarea compleja.

• Se identifican los activos a tratar, las relaciones entre ellos y la valoración


que merecen.
• Se identifican las amenazas significativas sobre aquellos activos y se valoran
en términos de frecuencia de ocurrencia y degradación que causan sobre el
valor del activo afectado.
• Se identifican las salvaguardas existentes y se valora la eficacia de su
implantación.
• Se estima el impacto y el riesgo al que están expuestos los activos del
sistema. Se interpreta el significado del impacto y el riesgo.

3. Gestión de riesgo
En este proceso se analiza la información elaborada de los impactos y riesgos
identificados en el proceso anterior, para posterior llevar a cabo planes para los
riesgo que se consideren inaceptables.

• Se elige una estrategia para mitigar impacto y riesgo


• Se determinan las salvaguardas oportunas para el objetivo anterior.
• Se determina la calidad necesaria para dichas salvaguardas.
• Se diseña un plan de seguridad (plan de acción o plan director) para llevar el
impacto y el riesgo a niveles aceptables.
• Se lleva a cabo el plan de seguridad.

DIFERENCIAS ENTRE MAGERIT Y ESTÁNDAR AUSTRALIANO 4


AUDITORIA DE SISTEMAS DE INFORMACIÓN

AÑO 2009

II. ESTÁNDAR AUSTRALIANO

1. Establecer el contexto
• Establecer el contexto estratégico, organizacional y de administración de riesgos
en el cual tendrá lugar el resto del proceso.
• Deberían establecerse criterios contra los cuales se evaluarán los riesgos y
definirse la estructura del análisis.

2. Identificar riesgos
• Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis
posterior.

3. Analizar riesgos

DIFERENCIAS ENTRE MAGERIT Y ESTÁNDAR AUSTRALIANO 5


AUDITORIA DE SISTEMAS DE INFORMACIÓN

AÑO 2009

• Determinar los controles existentes y analizar riesgos en términos de


consecuencias y probabilidades en el contexto de esos controles.
• El análisis debería considerar el rango de consecuencias potenciales y cuán
probable es que ocurran esas consecuencias.

4. Evaluar riesgos
• Comparar niveles estimados de riesgos contra los criterios preestablecidos.
• Esto posibilita que los riesgos sean ordenados como para identificar las
prioridades de administración. Si los niveles de riesgo establecidos son bajos,
los riesgos podrían caer en una categoría aceptable y no se requeriría un
tratamiento.

5. Tratar riesgos
• Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos,
desarrollar e implementar un plan de administración específico que incluya
consideraciones de fondeo.

6. Monitorear y revisar
• Monitorear y revisar el desempeño del sistema de administración de riesgos y
los cambios que podrían afectarlo.

7. Comunicar y consultar
• Comunicar y consultar con interesados internos y externos según
corresponda en cada etapa del proceso de administración de riesgos y
concerniendo al proceso como un todo.
• La administración de riesgos se puede aplicar en una organización a muchos
niveles. Se lo puede aplicar a nivel estratégico y a niveles operativos. Se lo
puede aplicar a proyectos específicos, para asistir con decisiones específicas o
para administrar áreas específicas reconocidas de riesgo.

DIFERENCIAS ENTRE MAGERIT Y ESTÁNDAR AUSTRALIANO 6


AUDITORIA DE SISTEMAS DE INFORMACIÓN

AÑO 2009

DIFERENCIAS ENTRE MAGERIT Y ESTÁNDAR AUSTRALIANO 7


AUDITORIA DE SISTEMAS DE INFORMACIÓN

AÑO 2009

Conclusión

Es necesario definir un modelo de evaluación de riesgos que sirva para la empresa en la que
utilizara, los modelos existentes solo permiten evaluar amenazas conocidas. Esta
evaluación se puede hacer de forma cualitativa o cuantitativa.
Una parte Clave de estos modelos es la definición de una métrica que permite evaluar el
nivel de seguridad de un sistema, en la evaluación de esta métrica es preciso evaluar las
vulnerabilidades y, en eso de nuevo, hay dos posibilidades: una cuantitativa (más costosa) y
otra cualitativa (menos precisa y objetiva).

Estos 2 modelos son en si lo mismo solo que uno es mas adversa que otro, mientras el
australiano mide cuida los riesgos muy al punto, el modelo MAGERIT realiza una
inspección general, lo que nos sirve si tenemos seguridad de nuestros controles. El uso de
uno de estos modelos, estará sujeto solo a la aceptación al riesgo que cada empresa acepte.

DIFERENCIAS ENTRE MAGERIT Y ESTÁNDAR AUSTRALIANO 8