GESTIN DE RIESGOS

ITIL v3

Definicin de Riesgo en TI

Es la probabilidad de ocurrencia de un evento o

condicin indeseable y la significancia de la
consecuencia de dicha ocurrencia.
Puede referirse a numerosos tipos de amenazas
causadas por: el medio ambiente, la tecnologa y los
seres humanos.
Riesgos Conocidos:
Aquellos que han sido identificados y
analizados. Es posible establecer un plan
especfico para atenderlos.
Riesgos Desconocidos:
No pueden ser administrados, no obstante,
pueden atenderse mediante un plan de
contingencia basado en experiencias.

Qu es la gestin de riesgos?
Es el proceso sistemtico para manejar la
incertidumbre, es decir, la posibilidad de que
ocurra un riesgo o no.
Es un mtodo para determinar, analizar, valorar y
clasificar
el
riesgo,
para
posteriormente
implementar
mecanismos
que
permitan
controlarlo.
Se basa en la nocin de que los riesgos deben
tratarse de forma proactiva, que la gestin de
riesgos forma parte de un proceso formal y
sistemtico que debe considerarse como una
iniciativa positiva.
Busca anticipar posibles perdidas accidentales
con
el
diseo
e
implementacin
de
procedimientos que minimicen la ocurrencia de
prdidas o el impacto financiero de las prdidas
que puedan ocurrir.

Qu es la gestin de riesgos?
Se basa en los siguientes aspectos:
La evaluacin de los riesgos
inherentes a los procesos
informticos.
La evaluacin de las amenazas
causas de los riesgos.
Los controles utilizados para
minimizar las amenazas a riesgos.
La asignacin de responsables a los
procesos informticos.
La evaluacin de los elementos
delanlisis de riesgos.

Fases de la Gestin del Riesgo

Cuenta con 4 fases basadas en polticas
de
seguridad,
normas
y
reglas
institucionales, que tienen la finalidad de
potencializar las capacidades de una
empresa
disminuyendo
las
vulnerabilidades y limitando las amenazas
con el resultado de reducir el riesgo.

Fase 1: Anlisis del Riesgo

En esta fase lo que se busca es conocer el
sistema que se desea proteger conociendo
sus vulnerabilidades y las amenazas a las
que est expuesto con la finalidad de
conocer la probabilidad de que un riesgo
se materialice.
Las amenazas empiezan a existir cuando
estn presentes las vulnerabilidades y
en consecuencia a ellas da pie a los
incidentes, hechos que se desea que
sean
evitados
puesto
que
genera
resultados negativos conocidos como
impactos.

Fase 1: Anlisis del Riesgo

Definir los activos informticos a

analizar
(Confidencial,
Privado,
Sensitivo, Pblico).
Identificar las amenazas y determinar la
probabilidad de ocurrencia de ellas
(Baja, Media, Alta).
Determinar el impacto de las amenazas
(Prdida de la informacin, personas
ajenas tiene acceso a la informacin, la
informacin ha sido manipulada o est
incompleta.
Recomendar controles que disminuyan
la probabilidad de los riesgos.

Fase 2: Clasificacin del Riesgo

Determina hasta qu grado es factible combatir
los riesgos encontrados, dependiendo de:
Voluntad Recursos Econmicos
Entorno
del ICBF
del ICBF
del riesgo
Los riesgos que no queremos o podemos
combatir se llaman riesgos restantes y no hay
otra solucin ms que aceptarlos.

Fase 2: Clasificacin del Riesgo

Al definir las medidas de proteccin, debemos
encontrar un equilibrio entre su funcionalidad
(cumplir el objetivo) y el esfuerzo econmico:
suficientes, ajustados y optimizados.

Evitar escasez de
proteccin, nos deja en
peligro que pueda causar
dao

Evitar exceso de medidas y

procesos de proteccin,
puede paralizar procesos
operativos e impedir el
cumplimiento de la misin.

Fase 3: Reduccin del Riesgo

Establece e implementa las medidas de
proteccin para la reduccin de los riesgo
encontrados
en
la
fase
del
anlisis,
ademssensibiliza y capacita los usuarios
conforme a las medidas.
Medidas fsicas
y tcnicas
Construcciones
del edificio,
planta elctrica,
control de
acceso, antivirus,
datos cifrados,
contraseas
inteligentes, etc.

Medidas
Personales

Medidas
Organizativas

Contratacin

Normas y Reglas

Capacitacin

Seguimiento de
control

Sensibilizacin

Auditora

Fase 3: Reduccin del Riesgo

Consideraciones sobre las Medidas de Proteccin:
1. Su fuerza y alcance depende del nivel de riesgo.
Alto riesgo Deben evitar el impacto y dao.
Medio riesgo Solo mitigan la magnitud del dao.
2. Se debe verificar su funcionalidad (que cumplan
su propsito).
-Respaldadas y aprobadas por la coordinacin.
-Que no paralicen u obstaculicen los procesos
operativos.
3. Deben estar fundadas en normas y reglas.
-Integrado
en
el
funcionamiento
operativo
institucional.
-Regular su aplicacin, control y sanciones por
incumplimiento.

Fase 4: Control del Riesgo

Analiza y evala el funcionamiento, la efectividad y
el cumplimiento de las medidas de proteccin
implementadas en la fase de reduccin, para
determinar y ajustar las medidas deficientes y
sancionar el incumplimiento.
Debemos:
Levantar constantemente registros sobre la
ejecucin de las actividades, los eventos de
ataques y sus respectivos resultados y analizarlos
frecuentemente.
Sancionar el incumplimiento y sobrepaso de las
normas y reglas, dependiendo de su gravedad.
Retroalimentar el proceso de la gestin de riesgos
con los resultados obtenidos en ocasiones

Gracias