Gestion Riesgo Ti Unidad 1

Gestin de Riesgo de TI| Unidad 1
Introduccin:
Esta unidad pretende profundizar sobre la nocin de riesgo, aclarando conceptos relacionados tales como:
vulnerabilidad, amenaza, activo crtico, entre otros. As mismo, se describir el proceso de identificacin de
riesgos organizacionales relacionados con las tecnologas de la informacin y las clasificaciones que pueden
tener, planteando la importancia de un adecuado contexto organizacional orientado a una cultura de riesgo. Por
ltimo, se describirn algunos esquemas de clasificacin de los riesgos segn su naturaleza, la probabilidad de
ocurrencia y el impacto que tengan en los activos de la organizacin.
Esta unidad tiene como fin formar la competencia en el establecimiento de riesgos y controles inherentes a las
tecnologas de la informacin, para lo cual se espera que el estudiante pueda ser capaz de caracterizar visiones
complementarias sobre gobierno, riesgo y cumplimiento y explicar el impacto de los riesgos de TI en las
organizaciones.
Bienvenido a esta experiencia de aprendizaje, en la que a travs del anlisis de las diferentes lecturas y el
desarrollo de las actividades de autoaprendizaje y de evaluacin, mediadas por las tecnologas de la informacin
y la comunicacin, podr adquirir los saberes y competencias necesarias para apoyar a las organizaciones en
torno a una visin de gobierno, riesgo y cumplimiento.
Universidad Cooperativa de Colombia
1. Nociones sobre el Riesgo

1.1 Conceptos
bsicos
sobre
el
riesgo
de
Tecnologas de Informacin
La incorporacin acelerada de las tecnologas de la informacin en las organizaciones, y en general en casi todos
los aspectos de la vida humana, ha posibilitado un crecimiento de las amenazas relacionadas con la falta de
polticas y medidas de seguridad y la falta de concienciacin sobre el impacto que ello pueda tener en la
informacin y en los bienes organizacionales.
Una de las funciones ms importantes de la
direccin de tecnologas de la informacin (DTI) en
las organizaciones tiene que ver con la gestin de
riesgos y el establecimiento de controles para
mitigarlos. No obstante, la gestin de riesgos no
es slo responsabilidad de la DTI, sino de toda la
organizacin, lo cual la convierte en una poltica
que debe estar alineada con los objetivos
estratgicos organizacionales.
Un riesgo puede ser definido como la probabilidad
de que una amenaza se materialice a causa de una
vulnerabilidad, lo cual afecta los activos crticos de Figura 1. Amenazas en la incorporacin de TI
Fuente: elaboracin propia
una organizacin. Como se puede observar, hay
varios elementos involucrados en la definicin del riesgo, elementos que en diversas ocasiones pueden ser
confundidos de manera indiscriminada. Por ello es necesario prestar especial atencin a sus diferencias.
Amenaza: Condicin del entorno organizacional relacionado con las tecnologas de informacin, que ante
determinada circunstancia podra ser una fuente de desastre informtico y afectar a los activos de la compaa
(Guerrero y Gmez, 2012).
Vulnerabilidad: Situacin generada por la falta de controles que permite concretar una amenaza, y el riesgo es
la posibilidad que una amenaza se materialice y produzca un impacto en la organizacin (Guerrero y Gmez,
2012).
En este sentido, podemos entender la amenaza como un factor externo a las tecnologas de la informacin,
mientras que la vulnerabilidad es un factor inherente a estas, relacionada con la falta de control.
As mismo, se ha detectado la necesidad de establecer controles orientados a mitigar los riesgos; aqu se
entiende el control como toda salvaguarda establecida por la organizacin para evitar que una amenaza afecte
un activo crtico.
1.2 Definiciones de riesgo

Aunque existen diversas definiciones para riesgo de tecnologa de la informacin, no existe una clasificacin
definitiva o estndar para ellos. No obstante, la Information Systems Audit and Control Association (ISACA)
provee una gua de definiciones que pueden ser utilizadas como un punto de partida (tabla 1).
Riesgo
Definicin
Riesgo de
inversin o
gasto
Riesgo de
acceso o
seguridad
Riesgo de
integridad
Riesgo de
relevancia
Es el riesgo de que la inversin que se realiza en TI no proporciona valor; es excesiva o se

desperdicia.
Es el riesgo de que la informacin confidencial o sensible pueda ser divulgada o expuesta a
personas que no tienen el acceso permitido. Este riesgo tambin est relacionado con la
privacidad y la proteccin de los datos personales.
Es el riesgo de que los datos no sean confiables porque son no autorizados, incompletos o
inexactos.
Es el riesgo ocasionado porque no se pueden tomar las acciones pertinentes, debido a que no se
consigue la informacin correcta de forma oportuna de las personas, procesos o sistemas
dispuestos para ello.
Es el riesgo ocasionado por la prdida del servicio.
Riesgo de
disponibilidad
Riesgo de
Es el riesgo de que la infraestructura tecnolgica definida para la organizacin no soporte de
infraestructura manera eficiente las necesidades actuales y futuras del negocio. Incluye hardware, redes,
software, personas y procesos.
Riesgos de
Es el riesgo asociado a que los proyectos de TI no cumplan con los objetivos propuestos debido a
proyectos
la falta de compromiso y responsabilidad de los actores involucrados.
propios
Tabla 1. Definiciones de riesgos asociados a las TI
Fuente: adaptado de ITGI (2013)
1.2.1 Reto creciente de las organizaciones

Como se ha podido observar hasta el momento, los riesgos permean en todos los procesos organizacionales y
afectan no solamente al personal interno y a los bienes materiales e inmateriales de la organizacin, sino
tambin a los clientes, proveedores, procesos y servicios. En la medida en que se presentan nuevos modelos de
negocio y nuevas incorporaciones de tecnologas de informacin para su apoyo, tambin surgen ms riesgos
potenciales. En la figura 2 se pueden
observar
algunos
ejemplos
relacionados con lo expuesto
anteriormente y la necesidad
creciente
de
reglamentaciones
asociadas a ello.
Se puede apreciar entonces que las
organizaciones tienen un reto
creciente en la incorporacin de
polticas y procedimientos orientados
a la gestin del riesgo de TI. Los Figura 2. Nuevos modelos de negocio y amenazas emergentes
modelos
de
negocio
siguen Fuente: Ernst y Young (2012)
innovndose y las TI seguirn cambiando en torno a ellos y de manera inherente propiciando espacios de riesgo
que deben ser mitigados y controlados para garantizar la continuidad del servicio y la proteccin de los activos.
1.2.2
Delito informtico
Los delitos informticos (o ciber-terrorismo) se han convertido en una de las amenazas ms crecientes de las
tecnologas de la informacin, en la medida en que su principal objetivo es obtener informacin para su uso,
dao, modificacin o eliminacin. Ahora bien, teniendo en cuenta que la informacin es uno de los activos ms
importantes de las organizaciones en el entorno actual, los delitos informticos deben ser evitados a toda costa.
Un delito informtico puede ser definido como toda accin u omisin que conlleve a un perjuicio de una persona u
organizacin o a un beneficio propio a travs del uso de sistemas informticos. Los delitos informticos estn tipificados
por la ley y son punibles (deben ser castigados).
En Colombia, la Ley 1273 tipifica los delitos informticos y establece la proteccin de la informacin y de los
datos como un bien jurdico tutelado. Dicha ley se puede consultar en los objetos de informacin del curso.
Establecer una clasificacin de los delitos informticos presenta una complejidad en la medida en que un caso
puede atentar contra varias de ellas. No obstante, una clasificacin general de delitos informticos de acuerdo
con bien jurdico afectado se presenta en la tabla 2.
Delito
Descripcin
Aquellos que atentan contra

la confidencialidad de los
datos
la integridad de los datos
la disponibilidad de los datos
los sistemas informticos
Pertenecen a esta clasificacin los delitos relacionados con el acceso abusivo a los sistemas
informticos, interceptacin de datos, violacin de datos personales y suplantacin de
sitios web para capturar datos personales.
Se refieren a los delitos relacionados con la interceptacin de datos y la violacin de datos
personales.
Se alude a los delitos relacionados con la obstaculizacin ilegtima de sistemas informticos
o redes.
Pertenecen a esta clasificacin los delitos relacionados con el dao informtico y el uso de
software malicioso.
Tabla 2. Clasificacin general de delitos informticos

Fuente: Elaboracin propia.
Como se puede observar, se han introducido varios conceptos relevantes que deben ser estudiados con
detenimiento, a saber:
Confidencialidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos slo puede ser accedida por personal autorizado.
Integridad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos se corresponde con la real.
Disponibilidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos est a disposicin de quienes tienen acceso y estn autorizadas para su uso.
Los delitos informticos pueden ocasionarse por diversas fuentes como son: hacking, virus informticos y
sabotaje.
1.2.3
Fraude informtico
Anteriormente se defini que el delito informtico no necesariamente

traa un beneficio para la persona que incurra en l. Ahora bien, cuando el
delito informtico permite obtener beneficios ilegtimos, bien sea de tipo
econmico o informacional, se denomina fraude.
Para que exista perpetracin de un fraude deben encontrarse dos factores:
la motivacin hacia el fraude y la disponibilidad (figura 3). La motivacin se
refiere al conjunto de necesidades (econmicas, psicolgicas, etc.) que
pueda tener quien lo comete. Por su parte, la disponibilidad hace
referencia a las vulnerabilidades que posee la tecnologa de informacin y
que propicia la ocurrencia del fraude.
La perpetracin de los fraudes se realiza utilizando diversas tcnicas o Figura 3. Motivacin y disponibilidad para el fraude
procedimientos. En la tabla 3 se describen los ms utilizados.
Tcnica o
Descripcin
procedimiento
Caballo de
Troya
Data diddling o
Temporing
Salami o
Rounding down
Scavenging
Data leakage
Eavesdropping
Phishing
Keylogger
Spyware
Trap doors
Denial of
service attack
Consiste en introducir segmentos de programacin en programas, fotografas, videos, documentos para

que realicen actividades indeseadas en los sistemas informticos. Los caballos de Troya pueden ser
utilizados tambin como virus, gusanos o bombas lgicas.
Consiste en la modificacin de forma no autorizada de los datos para que los sistemas informticos
produzcan informacin falsa o errnea.
Consiste en el redondeo de cifras para obtener ganancias de pequeas cantidades de dinero por cada
cuenta.
Consiste en la recopilacin de informacin residual de los sistemas informticos para espionaje
industrial o comercial.
Consiste en el robo de informacin de los ficheros de una organizacin con fines de espionaje industrial
o comercial.
Consiste en la interseccin de lneas, bien sean de datos o telefnicas, con el fin de capturar, modificar
o eliminar datos de los sistemas informticos.
Este fraude est catalogado dentro de la Ingeniera Social y consiste en suplantar a una persona u
organizacin para obtener informacin no autorizada.
Consiste en el uso de malware para capturar informacin confidencial y enviarla a personas no
autorizadas, a travs de dispositivos de captura de pulsaciones del teclado.
Consiste en el uso de malware que captura y recopila informacin de los archivos de una organizacin
para ser entregados a personal no autorizado.
Consiste en la utilizacin de las puertas traseras de los sistemas operativos o sistemas informticos,
para acceder a informacin no autorizada o ejecutar transacciones indeseadas.
Consiste en generar ataques a los servidores de los sistemas informticos para que se interrumpan o
suspendan temporal o indefinidamente los servicios prestados a los usuarios.
Tabla 3. Tcnicas o procedimientos utilizados para fraudes

Aunque es comn pensar que los delitos informticos y los fraudes son perpetrados por personal externo a la
organizacin, en muchas ocasiones el personal interno es responsable de la mayor parte de ellos.
1.3 Gobierno, riesgo y cumplimiento

La relacin entre gobierno, riesgo y cumplimiento es sumamente importante para las organizaciones. Aunque el
trmino gobierno es usualmente utilizado por la alta gerencia, este no necesariamente es aplicable slo a ella, ya
que el gobierno hace referencia a la relacin existente entre los diferentes niveles organizacionales para el logro
de los objetivos estratgicos del negocio.
La cultura organizacional es extremadamente importante para que exista una adecuada relacin entre gobierno,
riesgo y cumplimiento (GRC), especialmente porque todo el personal debe estar sintonizado con la poltica de
integridad y de tica de la organizacin. Lo anterior cobra relevancia toda vez que la gestin de riesgos no se
basa nicamente en la teora del problema, sino que se soporta en la integridad y la tica de las personas que
trabajan para la organizacin.
Mientras el gobierno se encarga
de la definicin de estrategias,
polticas y procedimientos para
lo relacionado con los riesgos, la
gestin de riesgos identifica las
reas que se encuentran
expuestas a riesgos potenciales y
el cumplimiento ejecuta las
acciones de control necesarias
para mitigar los riesgos (figura
4).
Figura 4. La GRC
La GRC apoya la toma de decisiones organizacionales en la medida en que ayuda a definir las responsabilidades y
los roles de los stakeholders y del personal clave; formaliza los canales de comunicacin; dispone a la
organizacin de una perspectiva del riesgo, e implementa programas de cumplimiento basados en las leyes y
regulaciones. La GRC beneficia a la organizacin en diferentes niveles, pero, especficamente, al rea financiera, a
la direccin de tecnologas de la informacin y al departamento de auditora interna.
El rea financiera se beneficia reduciendo los tiempos y los costos relacionados con el ejercicio de la auditora;
reduce riesgos e incrementa la confianza en los reportes financieros y los diagnsticos que apoyan la toma de
decisiones financieras.
Con respecto a la direccin de tecnologas de informacin, la GRC ayuda a reducir los tiempos y costos
relacionados con el cumplimiento, ya que disminuye el esfuerzo necesario para la realizacin de auditoras
internas y genera mejores respuestas de los procesos que sirven a los usuarios.
Por su parte, el departamento de auditora se beneficia con un flujo coordinado de procesos que ayudan a
identificar rpidamente los riesgos potenciales, disminuyendo la ejecucin de auditoras y mejorando los
procesos de gestin de riesgos.
La GRC busca, entonces, generar organizaciones inteligentes ante la gestin de riesgos, que permitan lograr un
balance coordinado entre el riesgo y la recuperacin, mediante la garanta de niveles adecuados de continuidad
del servicio. La definicin de un proceso de GRC puede incluir diversos frameworks tales como: OCEG (Open
Compliance & Ethics Group), GRC Model (Red Book), COSO, CoBIT, etc., una gua para el desarrollo de las
actividades, los diferentes estados en los que se pueden encontrar y un grupo de trabajo que lo desarrolle pero
que tambin ayude a validarlo. Teniendo esto presente, cada organizacin es libre de elegir y disear su propio
proceso de GRC, pero no se debe olvidar que la GRC requiere de un cambio cultural y de un proceso de adopcin
claramente establecido.
1.3.1
Herramientas comunes para la GRC
Existen varias herramientas orientadas a la GRC. En la tabla 4 se realiza un comparativo de los procesos que cada
una de ellas implementa para el desarrollo de la GRC en las organizaciones.
Herramienta
SAP GRC
Oracle GRC
Accelus
Open Pages
Procesos
Control de acceso
Control de procesos
Gestin de riesgos
Servicios comerciales
globales
Medio
ambiente,
salud y seguridad
Inteligencia
GRC
Administracin GRC
Gobierno del control
de
acceso
a
aplicaciones
de
transacciones
preventivo
de la configuracin
Administracin
del
riesgo
GRC empresarial para
auditora
interna
GRC empresarial para
control
interno
Administracin
del
cumplimiento.
Polticas
y
administracin
del
cumplimiento
Plataforma
GRC
Administracin
del
riesgo
operacional
Administracin
del
control
financiero
Gobierno
de
TI
Beneficios
Monitoreo constante de usuarios, accesos y segregacin de
funciones.
Mejora del rendimiento gracias priorizacin y apoyo de los
procesos.
Mayor comprensin de los factores de riesgo, lo que garantiza una
adecuada respuesta y control.
Proporciona un repositorio de procesos, riesgos y controles que
ayudan
a
disminuir
los
costos
de
cumplimiento.
Apoya la segregacin de funciones, ayudando a identificar y
remediar los riesgos asociados con el control de acceso.
Apoya el desarrollo de las auditoras y a la generacin de polticas
de restriccin de accesos no autorizados y a la mejora de las
relaciones de confianza con los clientes.
Supervisa constantemente los cambios en las reglamentaciones

hacia
la
gestin
de
riesgos.
Mitiga riesgos a travs de diferentes procesos de auditora y
control
interno.
Proporciona transparencia en los procesos relacionados con la GRC.
Ayuda a reducir las prdidas y mejora los procesos de negocio

debido al manejo de reportes de riesgos estandarizados.
Habilita el control interno para desarrollar procesos de auditora
que conduzcan a la administracin de riesgos y al control.
Administracin de la
auditora interna.
RSA Archer Administracin
de
eGRC
polticas
Administracin
de
riesgos
Administracin
del
cumplimiento
Administracin
empresarial
Administracin
de
incidentes
Administracin
de
ventas
Administracin
de
amenazas
Administracin de la
continuidad
del
negocio
Administracin de la
auditora.
Apoya la gestin y automatizacin de procesos para agilizar el flujo

de trabajo de los usuarios y generar informes en tiempo real.
Apoya la unificacin de criterios para la administracin de riesgos
en todos los niveles de la organizacin, lo cual facilita la
colaboracin entre los diferentes departamentos ya que utilizan
datos y procesos comunes.
Tabla 3. Tcnicas o procedimientos utilizados para fraudes

Resumen 1:
La gestin de riesgos es una de las actividades ms importantes de la direccin de TI y en general de
todos los niveles organizacionales. Diversas amenazas pueden atacar las vulnerabilidades de las
tecnologas de la informacin y generar espacios de riesgo que deben ser mitigados a travs del uso de
controles y salvaguardas. Este aspecto constituye un reto creciente para las organizaciones, las cuales deben innovar
constantemente debido al surgimiento creciente de modelos de negocio que traen consigo tecnologas ms avanzadas y
con ello amenazas ms avanzadas.
Resumen 2:
El delito informtico o ciber-terrorismo es una de las amenazas que ha venido creciendo y adaptndose
a los nuevos esquemas de control de las organizaciones. Cada da surgen nuevas y diferentes figuras de
fraude para cometer los delitos informticos, lo cual hace que las organizaciones deban preocuparse por regulaciones
cada vez ms estrictas no slo para controlarlos sino tambin para que sean penalizados.
10
2. Identificacin del riesgo

2.1 Comprendiendo el entorno organizacional
hacia la gestin de riesgo
La definicin del contexto organizacional permite conocer en detalle los objetivos estratgicos y su alineacin
con la gestin de riesgos para orientar decisiones relacionadas con estudios y anlisis detallados de polticas,
procesos y procedimientos necesarios para la mitigacin de los riesgos.
As mismo, la definicin del contexto organizacional proveer una comprensin de las polticas, estndares y
regulaciones diseadas por la organizacin en materia de gestin de riesgos, las cuales, segn Ross (2008),
deberan incluir:
El establecimiento de un ejecutivo de riesgo con funciones claramente definidas
El establecimiento de una estrategia organizacional hacia la gestin de riesgos que incluya la descripcin de la
tolerancia hacia el riesgo
El diseo y puesta en marcha de estrategias destinadas a la inversin de recursos de informacin y de seguridad
de la informacin.
La comprensin del entorno organizacional, adems de la identificacin de la estrategia, implica la especificacin
de las tecnologas de informacin que apoyan los procesos de negocio y el nivel de madurez de la organizacin
en su incorporacin. Con ello permite la clarificacin de la dependencia que tiene la continuidad del servicio de
dichas tecnologas, as como las responsabilidades de los actores involucrados (figura 5).
Figura 5. Comprensin del contexto organizacional

11
2.2 Identificacin de la poltica y gobierno de

riesgos de TI
La estrategia organizacional en materia de riesgos es clave para identificar cmo responde la organizacin a los
procesos de aseguramiento y monitoreo de riesgos y, de forma especial, para detectar la tolerancia de la
organizacin a ello.
Las organizaciones comnmente tienden a plantear esquemas de seguridad que respondan a las amenazas de los
atacantes externos. No obstante, muchas de las amenazas que padece la organizacin tienen que ver con
sabotajes perpetrados por el personal interno y debido a la utilizacin de diferentes medios tecnolgicos como
son la telefona mvil, las redes sociales y la computacin en la nube.
Una organizacin inteligente debe empezar definiendo una funcin orientada a la gestin de riesgos que
garantice la construccin de medidas y estrategias de actuacin ante los riesgos y que genere consistentemente
con los objetivos estratgicos evaluaciones e informes que faciliten la comprensin y concienciacin del personal
sobre el impacto de los riesgos en los activos, los procesos y los servicios. La gestin de riesgos debe ser
predictiva y no debe verse solamente como un ejercicio para cumplir con un estndar o una normatividad.
La gestin de riesgos debe basarse en la confianza y no en la coaccin, dado que la prohibicin no es el camino
ms adecuado para generar una verdadera transformacin organizacional. La gestin de riesgos debe impulsar
por s misma el cumplimiento y debe detectar los problemas pequeos antes de que se conviertan en grandes
amenazas.
Un primer paso de la organizacin debe ser identificar las amenazas reales a las que est expuesta de acuerdo
con su propia naturaleza, de manera que se pueda sustentar y consolidar una poltica adecuada y pertinente
para el gobierno de los riesgos relacionados con las tecnologas de la informacin, con indicadores claros y con
estudios de casos que permitan una realimentacin.
Una parte importante de la gestin de riesgos en la organizacin es la definicin de la tolerancia al riesgo, la cual
se entiende como el grado de aceptacin que la organizacin pueda tener sobre la ocurrencia del riesgo. Si el
grado de tolerancia es mayor, entonces la organizacin slo se preocupar por aquellas amenazas que se han
presentado, mientras que si el grado de tolerancia es menor, la organizacin tendr un listado de las posibles
amenazas que pudieran afectar sus activos, sin importar si se han presentado o no.
La tolerancia ante el riesgo es comnmente un indicador de la cultura organizacional hacia el riesgo, ya que
permite evidenciar el grado de importancia que tiene la gestin de riesgos para la organizacin y para la toma de
decisiones.
12
No existe una organizacin 100% segura; lo que s existe es una organizacin que ha definido estrategias para
actuar ante la ocurrencia de los
riesgos. En una encuesta realizada por
Ernst y Young (2010), en la que se
encuest a ms de 1.600 participantes
de 56 pases diferentes, se demuestra
que uno de los principales controles
que las empresas estn aplicando para
enfrentarse a los riesgos es el ajuste en
las polticas (64%).
As mismo, relacionado con el contexto
organizacional, otro de los controles de
mayor aplicacin es la concientizacin
del personal sobre los aspectos de Figura 6. El ajuste en la poltica
seguridad, aspecto que es fundamental Fuente: Ernst y Young (2010, p. 6)
si se pretende contar con una
capacidad de respuesta ante las amenazas.
como control principal para mitigar riesgos crecientes
La organizacin debe estar en constante actualizacin de la especificacin de las amenazas reales, ya que se
deben analizar con detalle las amenazas que emergen cada da y que traen consigo nuevas necesidades de
control y estrategias de seguridad.
La generacin de una adecuada poltica para la gestin de riesgos de tecnologa de informacin debe basarse en
la cultura organizacional y en la incorporacin de herramientas tecnolgicas claves para mitigar los riesgos,
teniendo cuidado de priorizar adecuadamente la inversin para que no haya fuga de dinero en aplicaciones que
posteriormente no se utilizan o que quedan obsoletas con facilidad. Una adecuada inversin en tecnologa para
garantizar la seguridad de la organizacin en cuanto a riesgos de tecnologa de informacin debe conservar una
mesurada relacin entre el costo/beneficio, es decir, que la inversin en tecnologa se balancee con la
disminucin de los costos vinculados a los incidentes.
2.3 Especificacin de las TI que apoyan los

procesos de negocio
Los nuevos modelos de negocio han posibilitado una mayor incorporacin y dependencia de las tecnologas de la
informacin para apoyar los procesos de negocio en las organizaciones, para adquirir y vender servicios y para
relacionarse con clientes y proveedores. No obstante, esta dependencia tambin ha posibilitado que las
amenazas consigan un mayor impacto cuando penetran en las vulnerabilidades de los sistemas informticos.
13
Es as como las organizaciones deben asegurar que existan procedimientos para la gestin de riesgos en cada una
de las etapas del ciclo de vida de la incorporacin de tecnologas de la informacin (figura 7). La especificacin de
las TI que apoyan los procesos de negocio requiere de un conocimiento amplio de los elementos que conforman
su entorno de procesamiento de informacin, a saber: hardware, software, redes, datos, procesos y personas.
As mismo, se deben tener en cuenta
aspectos relacionados con el uso, la
capacidad y el desempeo de las
tecnologas de informacin frente a
condiciones adversas o simplemente
frente a condiciones de alta demanda
de servicios. Las organizaciones deben
garantizar la confianza que clientes y
proveedores
tengan
sobre
la
confiabilidad de las tecnologas de la
informacin.
Figura 7. Procedimientos de gestin de riesgos en el ciclo de vida de las TI
Por ltimo, la revisin y actualizacin Fuente: elaboracin propia

constante de la documentacin del
sistema permitir mitigar riesgos relacionados con el uso, el mantenimiento, la configuracin y la puesta en
marcha de los sistemas informticos.
2.4 Responsabilidades de los actores

Las personas son sumamente importantes en la
gestin de riesgos, ya que en definitiva son ellas
quienes aplican las medidas de seguridad diseadas
por la organizacin. Es por ello que se debe identificar
la cultura organizacional frente a los riesgos, de forma
que se puedan detectar posibles causas o creencias y
actuaciones conducentes a la ocurrencia de incidentes.
Una de las principales fuentes de amenazas en lo que
concierne a la fuga de informacin confidencial tiene
que ver con el desconocimiento de las personas, no
slo en lo que respecta a los controles que deberan
aplicar para evitar los riesgos, sino tambin en relacin
con su propia responsabilidad sobre el manejo de la
informacin.
Figura 8. Responsabilidades del ejecutivo de riesgos

14
Las estrategias en las que se involucra a personal concienciado sobre la importancia de la gestin de riesgos son
ms efectivas y requieren menores esfuerzos para su adopcin. No obstante, cuando existen interrelaciones
entre diferentes organizaciones para el logro de los objetivos, las diferencias entre la cultura ante riesgos de una
y otra organizacin pueden representar obstculos que deben ser canalizados y para los cuales se deben definir
estrategias de intercambio de informacin y servicios. Esta es una responsabilidad directa de la direccin de
tecnologas de la informacin y el ejecutivo de riesgos. Otras funciones que son responsabilidad del ejecutivo de
riesgos se presentan en la figura 8.
La creacin de una cultura de riesgo debe iniciar desde la alta direccin y debe llegar hasta el nivel operacional
de la empresa. No obstante, las decisiones sobre las acciones que se deben implementar ante los riesgos slo
pueden ser tomadas por el personal autorizado y capacitado para ello.
En el marco de riesgos de TI desarrollado por ISACA (2014), se definen
tres elementos fundamentales de la cultura de riesgo (figura 9). El
primero de ellos tiene que ver con el comportamiento (actitud) que
pueden asumir los empleados hacia los riesgos. Una posicin adecuada
ante ello implica que los empleados asumen una actitud que aunque
conservadora refleja una aversin hacia los riesgos. Por su parte, una
postura inadecuada se ve reflejada en una actitud agresiva y de
asuncin de los riesgos.
El segundo elemento de la cultura de riesgos segn ISACA (2014) tiene
que ver con el comportamiento hacia los resultados negativos. Este
Figura 9. Elementos de la cultura
elemento se puede ver reflejado en una cultura de cumplimiento o de Fuente: adaptado de ISACA (2014)
incumplimiento. Por supuesto, el cumplimiento debe propiciarse a
travs de estrategias de concienciacin y de comprensin de las responsabilidades ante los riesgos.
de riesgo
El ltimo elemento tiene que ver con el comportamiento hacia la poltica, es decir, la cultura que se genere en
cuanto a la aceptacin o repulsin sobre las polticas de riesgos. El comportamiento esperado es que en la
organizacin se propicie una cultura de aprendizaje y no una de culpabilidad.
La comunicacin con los actores del proceso de gestin de riesgos de tecnologa de informacin es sumamente
importante para la generacin de un compromiso institucional y una adecuada concienciacin. Por ello la alta
direccin debe garantizar procesos de rendicin de cuentas con los diferentes niveles organizacionales, en la
bsqueda de generar espacios de presentacin de informes de rendimiento y de reconocimiento de la poltica.
Una adecuada comunicacin permitir generar expectativas claras sobre la pertinencia de la inversin y sobre la
necesidad de una cultura de prevencin de riesgos. Por su parte, una inadecuada comunicacin propiciar que
las personas generen aversin a la poltica y que por ende no participen activamente en el proceso.
15
2.5 Identificacin de activos crticos

Esta actividad, enmarcada en la gestin de riesgos, busca identificar los activos que pueden estar expuestos a
amenazas y cuyo deterioro, modificacin, prdida o exposicin pueden afectar los criterios de seguridad de la
informacin relacionados con la disponibilidad, la autenticidad, la integridad y la confidencialidad.
La informacin y los servicios como activos esenciales para proteger dependen de otros activos que tambin
deben ser protegidos, a saber: las instalaciones, los equipos de cmputo, las redes, los sistemas informticos, los
soportes de informacin y las
personas.
De acuerdo con el Ministerio de
Administraciones
Pblicas
(Espaa) (2012), los activos se
pueden clasificar en capas, en las
cuales los activos inferiores son el
pilar sobre el que la seguridad de
los activos superiores se apoya
(figura 10). As, por ejemplo, una
organizacin puede contar con
todos los procesos que permitan
Figura 10. Clasificacin por capas de los activos crticos
prestar sus servicios con la mejor
calidad,
pero
si
tiene
subcontratado el servicio de hosting donde aloja la pgina web mediante la cual presta dichos servicios y esta
queda fuera de servicio, el cliente lo asumir como culpa de la organizacin y como un servicio de mala calidad.
El costo relacionado con los activos crticos tiene que ver con la medida del costo de reposicin en caso de que
un incidente perjudicara dicho activo. En este sentido, para valorar dicho costos hay que tener en cuenta los
siguientes factores: costo de reposicin, costo de mano de obra invertida en la recuperacin del activo, la
prdida de los ingresos generada por la falta del activo, la prdida de la confianza de los clientes y proveedores
en la calidad del servicio, el costo de las sanciones por incumplimiento de la ley u obligaciones contractuales, el
dao a otros activos, propios o ajenos, el dao a personas o los daos medioambientales.
2.6 Identificacin de las amenazas

El siguiente ejercicio, luego de comprender el contexto organizacional e identificar los activos crticos, es la
identificacin de las amenazas y vulnerabilidades. Como se ha descrito en la unidad anterior, las amenazas
16
pueden ser internas o externas, mientras que las vulnerabilidades son todas aquellas condiciones generadas por
la falta de controles internos que pueden ser explotadas de forma accidental o intencionada.
La principal meta de la identificacin de riesgos es establecer el conjunto de amenazas y vulnerabilidades de las tecnologas
de la informacin que apoyan los procesos de negocio en la organizacin. Las amenazas pueden clasificarse segn se
presenta en la tabla 5.
Causa que
origina la
amenaza
Amenazas de
origen
natural
Amenazas de
origen
humano
Amenazas
originadas en
el entorno
Descripcin
Amenazas causadas por terremotos, inundaciones, tormentas y que perjudiquen el
funcionamiento de las tecnologas de la informacin. Por ejemplo: dao de las lneas de
comunicacin por una tormenta.
Amenazas que son causadas por personas autorizadas o no a las tecnologas de la informacin,
de manera involuntaria o intencional. Por ejemplo: el uso de spyware para espionaje industrial.
Amenazas causadas por condiciones ambientales o industriales (contaminacin, fallas
energticas, etc.). Por ejemplo: corto circuito de la red elctrica de los servidores.

La naturaleza cambiante de las organizaciones ocasiona que tambin exista una dinmica en la identificacin de
las amenazas, por lo cual este proceso debe realizarse peridicamente. Es necesario entonces que la
organizacin defina una base de datos con los escenarios de riesgos y que los mantenga actualizados.
2.7 Identificacin de vulnerabilidades

Las vulnerabilidades son debilidades en los controles internos asociados con el sistema de seguridad de las
tecnologas de la informacin. Estas vulnerabilidades pueden ser aprovechadas de forma intencional o accidental
por otros sistemas o personas, lo cual ocasiona una violacin al sistema de seguridad de dicha tecnologa.
La identificacin de vulnerabilidades en las tecnologas de la informacin se puede abordar desde diferentes
ngulos, teniendo en cuenta la naturaleza y la etapa de incorporacin en la que se encuentra. En la tabla 6
podemos apreciar los procedimientos que se pueden aplicar.
17
Etapa de
incorporacin
de la TI
Procedimiento
An no se ha
diseado
Se encuentra en
implementacin
Se encuentra
operativo
Previsin de polticas y procedimientos de seguridad.

Definicin y anlisis de requisitos de seguridad.
Diseo de los criterios de seguridad.
Pruebas de certificacin y evaluacin del sistema.
Anlisis de caractersticas y procedimientos tcnicos y operativos relacionados con los controles de
seguridad.
Listas de verificacin de auditora.
Tabla 6. Procedimientos para la identificacin de vulnerabilidades

La identificacin de vulnerabilidades requiere de un proceso claramente establecido de auditora sobre los

controles de seguridad definidos para las tecnologas de la informacin. En la mayora de los casos, no es
suficiente con aplicar pruebas de integridad y de sistemas y se requieren procedimientos de control mucho ms
exigentes. Algunos ejemplos de vulnerabilidades del sistema se presentan en la tabla 7.
Vulnerabilidad
Amenaza
El sistema de informacin no posee una adecuada

segregacin de funciones para el control de acceso y todos
los usuarios acceden con la misma cuenta.
El sistema no controla las transacciones que son ejecutadas
durante la prdida de conexin con el servidor.
La estructura organizativa de la direccin de TI no tiene
control de versiones de los aplicativos desarrollados.
Los operarios pueden obtener, modificar o eliminar

informacin sensible para su propio beneficio o el de
terceros.
Los datos capturados en la ejecucin de la transaccin
pueden perderse o duplicarse.
Los sistemas puestos en marcha pueden bloquearse o
generar errores de procesamiento de informacin.
Tabla 7. Ejemplos de vulnerabilidades

Resumen 1:
La comprensin del contexto organizacional permite determinar no slo la cultura organizacional hacia
los riesgos, sino tambin la dependencia de los procesos de negocio sobre la tecnologa de informacin
y las responsabilidades que cada uno de los actores involucrados tiene frente a la gestin de riesgos.
18
Resumen 2:
La identificacin de los activos crticos permite un entendimiento del costo relacionado con la
reposicin, la mano de obra invertida, la prdida de los ingresos, la prdida de la confianza, las
sanciones por incumplimiento, el dao a otros activos, personas o entorno.
Resumen 3:
La identificacin de amenazas y vulnerabilidades es una de las tareas primordiales en la gestin de
riesgos, ya que permite identificar los eventos y circunstancias que podran generar la prdida de los
activos esenciales para la organizacin.
19
3. Clasificacin de los riesgos

Existen varias clasificaciones de los riesgos, todas ellas orientadas a la identificacin de nuevos riesgos. Los
riesgos se pueden clasificar segn su naturaleza, segn la causa que lo origina, segn la consecuencia o impacto,
segn la probabilidad de ocurrencia, etc.
La razn principal por la que una organizacin debe clasificar sus riesgos es porque no necesariamente todos
requieren la misma atencin y es necesario priorizar la inversin. No obstante, la gestin de los riesgos se basa
en la incertidumbre de la ocurrencia. Cuando un riesgo ya ha tenido un incidente en la organizacin, la
planificacin de las medidas de aseguramiento es menos compleja, mientras que cuando las organizaciones se
enfrentan a riesgos desconocidos, la incertidumbre sobre lo adecuado de las medidas de seguridad y el impacto
en los activos sensibles es mucho ms alta.
Es necesario recalcar que aunque la organizacin haya dispuesto medidas de control para riesgos que ya se han
presentado, los riesgos son situacionales y no necesariamente una nueva ocurrencia impactar de la misma
manera a la organizacin; incluso un riesgo puede ocasionar la ocurrencia de otros riesgos que anteriormente no
se haban presentado. Ahora bien, el nivel de tolerancia sobre un riesgo vara de una organizacin a otra, ya que
el impacto es tambin diferente.
En la figura 11 se presenta un esquema general de las clasificaciones que se estudiarn en este tema.
Figura 11. Clasificaciones de los riesgos

20
3.1 Clasificacin
de
los
riesgos
segn
su
naturaleza
Segn la naturaleza de los riesgos se pueden clasificar en inherentes y residuales. Un riesgo inherente es aquel
que se propicia por la naturaleza misma de la tecnologa de informacin. Por ejemplo: las redes por su naturaleza
intrnseca tienen un riesgo de ser interceptadas para que un perpetrador pueda obtener, modificar o eliminar
informacin de una compaa.
Por su parte, un riesgo residual es aquel que permanece despus de que se han implementado medidas
adecuadas de seguridad para proteger los activos involucrados. Por ejemplo, un antivirus es un control
implementado por las organizaciones para evitar la presencia de virus en los sistemas informticos. No obstante,
los antivirus muchas veces son logran detectar malware o sus bases de datos no han sido actualizadas para
detectarlos. El riesgo latente que surge de esta limitacin es lo que se denomina riesgo residual. Como se haba
expresado anteriormente, las organizaciones deben tener definidos niveles de tolerancia ante los riesgos
residuales.
Lo anterior conlleva a generar una discusin en torno a la erradicacin de los riesgos. Tal y como se ha planteado
en esta unidad, los riesgos no pueden ser erradicados en su totalidad, pueden ser mitigados y reducidos a una
escala de improbabilidad que genere un alto grado de confianza entre clientes, proveedores y organizacin.
Comnmente, los riesgos residuales son salvaguardados con plizas de seguridad provenientes de compaas
aseguradoras que exigen a las organizaciones compromisos efectivos en el diseo de controles para mitigar los
riesgos. No obstante, hay que tener en cuenta que si las medidas de seguridad diseadas para mitigar el riesgo
inherente no funcionan, el riesgo residual ser igual al riesgo inherente y su impacto ser el mismo.
Riesgo inherente
Control
Riesgo residual
Prdida de comunicacin de los

equipos cliente con el servidor.
Activacin de servidores espejo
Robo de informacin de las papeleras

de reciclaje
Prdida de flujo elctrico en las
conexiones de los equipos.
Anti-Spyware
Eliminacin de archivos sensibles.
Backups Copias de seguridad
Lentitud en la entrega de servicios por

demoras en la comunicacin con los
servidores espejo.
Robo de informacin por
desactualizacin de la BD de virus.
Apagado de equipos por clculos
inadecuados del retorno del flujo
elctrico.
Prdida de informacin remanente por
desactualizacin de los backups.
UPS Fuentes alternas de suministro

elctrico

21
3.2 Clasificacin de los riesgos segn la causa

que los origina
Segn la causa que los originan, los riesgos se pueden clasificar en internos y externos. Los riesgos internos son
aquellos que se originan dentro de la organizacin. Por ejemplo: la probabilidad de que un sistema de
informacin no pueda ser colocado en produccin por un error en la catalogacin de las versiones del aplicativo.
Las fuentes internas de riesgos pueden ser tecnolgicas, financieras, contractuales o legales, entre otras. Por
ejemplo: cambios en las tecnologas, personal capacitado y actualizado, disponibilidad de las herramientas y
recursos tecnolgicos, administracin de la informacin, fondos y presupuestos, polticas de gobierno,
contratacin y subcontratacin, polticas de propiedad intelectual y derecho patrimonial, planificacin de
actividades, etc.
Los riesgos externos son aquellos que se originan fuera de la organizacin. Por ejemplo: la probabilidad de que la
aplicacin web de venta de servicios de una organizacin no pueda ser accedida por los clientes por una falla en
el hosting subcontratado.
Las fuentes externas de riesgo varan de acuerdo con su probabilidad de ocurrencia. Por ejemplo: desastres
naturales y ambientales, situaciones laborales (huelgas), cambios en las polticas reguladoras del mercado, de la
contratacin y de la subcontratacin, intereses de los clientes y proveedores, etc.
Riesgos ocasionados por fuentes internas
Riesgos ocasionados por fuentes externas
Retraso en los tiempos de entrega de los proyectos de

TI por ejecucin de presupuestos.
Fallas en los equipos de cmputo por falta de control
preventivo.
Ingreso de datos errneos por falta de capacitacin
del personal.
Ingreso de personal no autorizado a la instalaciones
por falta de polticas en el control de acceso.
Prdida de la conexin de las pginas web de la empresa por

desconexin de hosting subcontratado.
Prdida de la continuidad en la prestacin de servicios por
sanciones regulatorias.
Robo de informacin por el uso de spyware.
Retraso en los tiempos de entrega de los aplicativos
subcontratados.
Tabla 9. Ejemplos de riesgos segn la causa que lo origina

22
3.3 Clasificacin
de
los
riesgos
segn
la
consecuencia e impacto
Segn la consecuencia o impacto, el riesgo puede clasificarse en bajo, medio y alto. Para poder clasificar los
riesgos en esta categora, la organizacin debe plantearse la pregunta qu tan malo sera si ocurriera?, por cada
riesgo analizado. Un riesgo se considera bajo cuando la consecuencia no perjudica los activos sensibles o tiene
una baja prdida financiera. Cuando el impacto de un riesgo es bajo, la organizacin puede decidir si actuar o
aceptar el riesgo. Por su parte, un riesgo se clasifica como alto, cuando se requieren acciones correctivas
inmediatas. En la tabla 10 se describen cada uno de ellos y se proveen ejemplificaciones.
Tipos de riesgo
Descripcin
Ejemplo
Insignificante
La consecuencia no perjudica los

activos sensibles o tiene una baja
prdida financiera
Aunque se requieren acciones
correctivas, estas pueden tomarse en
un tiempo prudencial.
Cuando se requieren acciones
correctivas inmediatas
Falla en los equipos de respaldo sin

contingencia.
Moderado
Alto
Desactualizacin de las copias de

respaldo.
Falta de planes de contingencia para la
continuidad del servicio.
Tabla 10. Clasificacin de los riesgos segn la consecuencia e impacto

Es importante destacar que las clasificaciones que se realizan sobre el impacto o la consecuencia de un riesgo, es
particular para cada organizacin y depende de sus intereses y necesidades de seguridad especficas.
23
3.4 Clasificacin
de
los
riesgos
segn
la
probabilidad de ocurrencia
Segn la probabilidad de ocurrencia, los riesgos se pueden clasificar como probables e improbables. Un riesgo se
considera probable cuando se espera que ocurra en la mayora de las circunstancias y se considera improbable
cuando puede ocurrir bajo circunstancias excepcionales
Como se puede observar, en esta clasificacin el riesgo siempre tendr un espacio de ocurrencia que depender
de las circunstancias detonadoras del mismo. En la tabla 11 se presentan algunos ejemplos de ambos tipos.
Riesgo
Ejemplo
Probable
Para una empresa de transporte de gases, el riesgo de

explosin.
Para un banco perder la conexin de los cajeros
electrnicos.
Improbable
Tabla 11. Ejemplos de riesgos segn su probabilidad
Una adecuada clasificacin de los riesgos permitir que la

organizacin tome decisiones acertadas y en tiempo real sobre
las medidas de seguridad que deben implementarse. As mismo,
permitir reconocer el impacto de la ocurrencia de un riesgo y de
acuerdo con su probabilidad, aprender sobre las medidas
implementadas o sobre la necesidad de nuevos controles.
Cuando la ocurrencia de un espacio de riesgo es probable y el
impacto es alto, se deben planificar acciones concretas de
mitigacin, las cuales deben ser prioridad de la direccin de
tecnologas de la informacin y en general de la estrategia
organizacional. Nuevamente se debe tener en cuenta que la
clasificacin de probabilidad o improbabilidad depende de las
amenazas a las que se encuentra expuesta cada organizacin.
Figura 12 - La intencionalidad formativa con el

estudiante
Fuente: Elaboracin propia
24
3.5 Clasificacin de los riesgos segn su espacio

de ocurrencia
Una ltima clasificacin de los riesgos que se abordar en esta unidad es la planteada por Guerrero y Gomez
(2010), en la cual se propone una subdivisin de los riesgos en los sistemas de informacin teniendo en cuenta el
espacio en el que ocurre el riesgo. Es as como Guerrero y Gmez (2010) proponen los seis niveles de riesgos en
los sistemas de informacin presentados en la tabla 12 y esquematizados en la figura 13.
Nivel de riesgo
Definicin
Acceso
Este nivel de riesgo surge cuando personas autorizadas o

no, tienen acceso a la informacin o a las funciones de
procesamiento de los Sistemas de Informacin, con el fin de
leer, modificar o eliminar la informacin o los segmentos de
programacin o con el fin de ingresar transacciones no
autorizadas para que sean procesadas por los SI.
Este nivel de riesgo surge cuando la informacin es
ingresada a los SI de manera imprecisa, incompleta o ms
de una vez, ocasionando que las transacciones no puedan
ser ejecutadas y/o que la informacin no sea correcta.
Este nivel de riesgo surge cuando no se detectan, analizan
y corrigen las transacciones rechazadas y/o pendientes,
ocasionando que la informacin no se actualice
correctamente o se pierda o que las transacciones no se
ejecuten.
Este nivel de riesgo surge cuando los procesos de los SI no
garantizan el adecuado procesamiento de la informacin,
ocasionando que las salidas esperadas no sean correctas, la
informacin se pierda y los procesos subsecuentes fallen o
se retarden.
Este nivel de riesgo surge cuando la estructura organizativa
no garantiza un adecuado ambiente para el procesamiento
de la informacin y/o no define apropiados planes de
continuidad del negocio, ocasionando que no existan
procedimientos definidos y optimizados para el manejo de
la informacin y de los SI, no se actualicen los SI y no se
reaccione adecuadamente ante contingencias.
Este nivel de riesgo surge cuando los programadores
efectan cambios incorrectos, no autorizados y/o no
documentados en el software de aplicacin, ocasionando
prdida de informacin, repeticin de esfuerzo,
inconsistencias en los procesos e inconformidad en los
clientes y usuarios.
Ingreso de informacin
tems rechazados o en suspenso
Procesamiento
Estructura organizativa
Cambio a los programas
25

Tabla 12. Propuesta de niveles de riesgo en sistemas de informacin
Fuente: tomado de Guerrero y Gmez (2010)
En esta clasificacin se pueden observar

riesgos relacionados con personal interno,
personal externo y con el sistema de
informacin
y
la
infraestructura
tecnolgica que los soportan. En la tabla
13 se presenta una descripcin de las
posibles amenazas y vulnerabilidades
asociadas con la propuesta de niveles de
riesgo de Guerrero y Gmez (2010).
Figura 13. Propuesta de niveles

Fuente: Guerrero y Gmez (2010)
de
riesgo
en
sistemas
de
informacin
Amenaza
Nivel de riesgo
Vulnerabilidad
Recurso asociado
con la amenaza
Recurso asociado
con la
vulnerabilidad
Acceso de personal
interno o externo a
informacin sensible
Acceso
Falta de segregacin
de funciones en el
sistema de
informacin.
Falta de controles en
los campos que
permiten el ingreso de
informacin al
sistema.
Dispositivos de
ingreso de datos
desconfigurados.
Falta de control en los
equipos cliente y en el
Personal interno
Personal externo
Sistema cliente
Servidor
Redes y
telecomunicaciones.
Sistema cliente
Dispositivos
automatizados de
ingreso de datos.
Introducir informacin Ingreso de

errnea en los
informacin
sistemas informticos
Prdida de
informacin
tems rechazados o en
suspenso
Personal interno
Personal externo
Personal interno
Personal externo
Sistema cliente
Servidor
26
servidor.
Procesamiento
inadecuado de la
informacin
Procesamiento
Prdida de la
continuidad del
servicio.
Estructura
organizativa
Desconfiguracin de
los sistemas.
Cambio a los
Programas
Falta de control en las

funciones y
procedimientos de los
sistemas informticos
y las bases de datos.
Falta de
procedimientos y
controles ante
contingencias.
Falta de
procedimientos y
controles
relacionados con los
cambios en los
sistemas informticos.
Sistema informtico
Bases de datos
Redes y
telecomunicaciones.
Sistema cliente
Servidor
Bases de datos
Personal interno
Personal interno
Personal interno
Personal interno
Tabla 13. Relacin de los niveles de riesgos de Guerrero y Gmez (2010) con las amenazas y vulnerabilidades del sistema de informacin
As mismo, relacionando los niveles de riesgo propuestos con los criterios de la seguridad de la informacin
(disponibilidad, integridad, confidencialidad y autenticidad), Guerrero y Gmez (2010), plantean la propuesta
presentada en la figura 14. Recordemos los trminos de disponibilidad, confidencialidad e integridad e
introduzcamos el trmino autenticidad.
Confidencialidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos solo puede ser accedida por personal autorizado.
Integridad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos se corresponde con la real.
Disponibilidad de la informacin: es aquella que permite garantizar que la informacin que se encuentra en los
sistemas informticos est a disposicin de quienes tienen acceso y estn autorizados para su uso.
Autenticidad de la informacin: Es la propiedad que permite que no haya duda de quin se hace responsable de
una informacin o prestacin de un servicio, tanto a fin de confiar en l como de poder perseguir posteriormente
los incumplimientos o errores (Ministerio de Administraciones Pblicas, 2012).
27
Figura 14. Relacin de los niveles de riesgo de Guerrero y Gmez (2010) con los criterios de seguridad de
la informacin
Resumen 1:
Las clasificaciones de los riesgos ayudan a las organizaciones a la toma de decisiones, en la medida en
que permiten detectar cules son los de mayor impacto y probabilidad para poder implementar las
medidas de seguridad necesarias.
Resumen 2:
La organizacin debe tomar la decisin de aceptar los riesgos residuales que quedan remanentes
despus de la aplicacin de controles sobre los riesgos inherentes. No obstante, se debe tener
precaucin en la definicin de dichos controles, ya que si no son adecuados, el impacto del riesgo residual ser igual al
del riesgo inherente.
Resumen 3:
Las causas que originan los espacios de riesgo son diferentes y pueden ser clasificadas como internas o
externas. En todos los casos, una adecuada clasificacin de la probabilidad de ocurrencia y del impacto
es necesaria para la implementacin de salvaguardas adecuadas.
28
Glosario
Activos crticos:
Son todos aquellos bienes materiales e inmateriales que al ser deteriorados, perdidos, divulgados sin
autorizacin, etc., perjudican el patrimonio organizacional.
Amenaza:
Condicin del entorno organizacional relacionado con las tecnologas de informacin, que ante determinada
circunstancia podra ser una fuente de desastre informtico y afectar a los activos de la compaa (Guerrero y
Gmez, 2012).
Caballo de Troya:
Segmentos de programacin en programas, fotografas, videos, documentos para que realicen actividades
indeseadas en los sistemas informticos. Los caballos de Troya pueden ser utilizados tambin como virus,
gusanos o bombas lgicas.
Cumplimiento:
Conjunto de controles establecidos para garantizar una adecuada relacin entre confianza y confiabilidad.
Data diddling:
Modificacin de forma no autorizada de los datos para que los sistemas informticos produzcan informacin
falsa o errnea.
Data Leakage:
Consiste en el robo de informacin de los ficheros de una organizacin con fines de espionaje industrial o
comercial.
Delito informtico:
Figura delictiva, tipificada por la ley en la que haciendo uso de sistemas informticos se atenta contra la
integridad, la disponibilidad y la confidencialidad de los datos y contra los sistemas informticos.
29
Denial of service attack:

Consiste en generar ataques a los servidores de los sistemas informticos para que se interrumpan o suspendan
temporal o indefinidamente los servicios prestados a los usuarios.
Eavesdropping:
Consiste en la interseccin de lneas, bien sean de datos o telefnicas con el fin de capturar, modificar o eliminar
datos de los sistemas informticos.
Fraude informtico:
Delito informtico que se perpetra para obtener un beneficio de tipo econmico o informacional.
Keylogger:
Consiste en el uso de malware para capturar informacin confidencial y enviarla a personas no autorizadas, a
travs de dispositivos de captura de pulsaciones del teclado.
Malware:
Cdigo maligno o software malicioso utilizado para cometer un delito informtico.
Phishing:
Este fraude est catalogado dentro de la Ingeniera Social y consiste en suplantar a una persona u organizacin
para obtener informacin no autorizada.
Riesgo:
Es la probabilidad de que una amenaza se materialice a causa de una vulnerabilidad afectando los activos crticos
de una organizacin.
Riesgo inherente:
Riesgo que se propicia por la naturaleza misma del sistema informtico o de la organizacin.
Riesgo residual:
Es el riesgo remanente que resulta de la aplicacin de medidas adecuadas de seguridad para los riesgos
inherentes.
Salami:
30
Redondeo de cifras para obtener ganancias de pequeas cantidades de dinero por cada cuenta.
Scavenging:
Consiste en la recopilacin de informacin residual de los sistemas informticos para espionaje industrial o
comercial.
Spyware:
Malware que captura y recopila informacin de los archivos de una organizacin para ser entregados a personal
no autorizado.
Trap doors:
Consiste en la utilizacin de las puertas traseras de los sistemas operativos o sistemas informticos, para acceder
a informacin no autorizada o ejecutar transacciones indeseadas.
Vulnerabilidad:
Situacin generada por la falta de controles que permite concretar una amenaza, y el riesgo es la posibilidad
que una amenaza se materialice y produzca un impacto en la organizacin (Guerrero y Gmez, 2012).
31
Bibliografa y Webgrafa
AS/NZS 4360 (2004). Estndar australiano de administracin de riesgos. Australia: Standards.
Ernst y Young (2010). Seguridad de la informacin en un mundo sin fronteras. Recuperado de
http://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE
/Seguridad_de_la_
informacion_en_un_mundo_sin_fronteras.pdf
Ernst y Young (2012). Cambios en el panorama de los riesgos de TI. Recuperado de
http://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectiv
as_riesgos_TI.pdf
Guerrero, M. y Gmez, L. (2010). Gestin de riesgos y controles en sistemas de informacin (Tesis de maestra).
Bucaramanga: Universidad Industrial de Santander.
Guerrero, M. y Gmez, L. (2012). Risk management and controls in information systems: from the learning to
organizational
transformation.
Estudios
Gerenciales,
28(125).
Recuperado
de
http://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemasinformacion-90199780
Guerrero, M. y Gmez, L. (2011). Revisin de estndares y literatura de gestin de riesgos y controles en
sistemas
de
informacin.
Estudios
Gerenciales,
27(121).
http://www.icesi.edu.co/estudios_gerenciales/es/Consulta_de_ejemplares.php
ISACA (2014). Marco de riesgos de TI. http://www.isaca.org/Knowledge-Center/Research/Documents/Risk-ITFramework_fmk_Spa_0610.pdf
ITGI (2013). Information Risks: Whose Business
Center/Research/Documents/info-risks-whose-business.pdf
Are
They?
http://www.isaca.org/Knowledge-
Ministerio de Administraciones Pblicas (2012). MAGERIT. Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Madrid: Ministerio de Administraciones Pblicas.
Ross, R. (2008). Managing Risk from Information Systems. Recommendations of the National Institute of
Standards and Technology. Gaithersburg: NIST Special Publication 800-39.
32
Steinberg, R. (2001).Governance, Risk Management, and Compliance: It Can't Happen to Us--Avoiding Corporate
Disaster While Driving Succes. Editorial Wiley.
Westerman, G. (2007). Hunter, R. IT Risk: Turning Business Threats into Competitive. Editorial Harvard Business
School Press.
33
Crditos
El curso Gestin de Riesgo de TI es propiedad de la Universidad Cooperativa de Colombia y hace parte de la
Especializacin en Docencia Universitaria. Algunas imgenes se relacionan con su respectiva fuente y otras
fueron creadas por el autor de los contenidos, con el diseo posterior del equipo de produccin. El contenido del
curso est protegido por las leyes de derechos de autor que rigen al pas.
Este material tiene fines educativos.
Autor
Marlene Lucila Guerrero Julio
Decana de la Facultad de Ingenieras de la Universidad
Cooperativa de Colombia, sede Bucaramanga, a cargo de
los programa de Ingeniera de Sistemas, Ingeniera de
Mercados, Maestra en Tecnologas de la informacin y
las Comunicaciones y Maestra en Gestin de Tecnologas
de la Informacin (modalidad virtual).
Experiencia en procesos de acreditacin de programas y
registro calificado de programas nuevos y en renovacin.
Marlene Lucila Guerrero Julio

Autora del Curso
Experiencia en planeacin acadmica, planeacin

estratgica, planeacin y ejecucin presupuestal y
administracin de personal.
Docente investigadora en las reas de Informtica Educativa, Gestin de riesgos y controles en sistemas de informacin,
Gestin de tecnologas de la informacin y auditora de sistemas. Miembro del grupo de investigacin GITI de la
Universidad Cooperativa de Colombia.
Experiencia en la aplicacin de pruebas de auditora que permitan reconocer y evidenciar riesgos y en el establecimiento de
controles pertinentes a los sistemas y tecnologas de la informacin a travs de la experiencia adquirida en la utilizacin del
estndar COBIT (Control Objectives for Information and realted Technology) y de la membresa honoraria de ISACA
(Information System Audit and Control Association) as como de los lineamientos de la Organizacin Internacional del
Trabajo OIT.
34
Responsable Acadmico
Marlene Lucia Guerrero Julio
Decana Facultad de Ingenieras
Sede Bucaramanga
Ing. Lina Mara Torres Barreto

Coordinadora Maestras Ingenieras Facultad de ingenieras
35
Direccin General
Direccin Nacional de Innovacin y Tecnologas
Educativas
Produccin y Montaje
Subdireccin E-learning
Angelica Ricaurte Avendao
Subdirectora Nacional E-Learning
Enry Doria Doria

Especialista en Diseo Instruccional
Mauricio Escudero Restrepo

Especialista en Produccin
Carlos Gulfo Cabrales

Programador
Daniel Morales Rojas

Administrador de Plataforma
Mario Fernando Castao

Diseador
Estefana Pelez Muoz

Practicante E-Learning
36
Primera versin. Septiembre de 2014.

Derechos Reservados
Esta obra es publicada bajo la licencia CreativeCommons. Reconocimiento-No Comercial-Compartir Igual 2.5 Colombia.
37

Gestion Riesgo Ti Unidad 1

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Gestion Riesgo Ti Unidad 1

Hochgeladen von

Copyright:

Verfügbare Formate

Gestin de Riesgo de TI| Unidad 1

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

1. Nociones sobre el Riesgo

Gestin de Riesgo de TI| Unidad 1

1.2 Definiciones de riesgo

Es el riesgo de que la inversin que se realiza en TI no proporciona valor; es excesiva o se

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

1.2.1 Reto creciente de las organizaciones

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

Aquellos que atentan contra

Tabla 2. Clasificacin general de delitos informticos

Anteriormente se defini que el delito informtico no necesariamente

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

procedimientos. En la tabla 3 se describen los ms utilizados.

Consiste en introducir segmentos de programacin en programas, fotografas, videos, documentos para

Tabla 3. Tcnicas o procedimientos utilizados para fraudes

1.3 Gobierno, riesgo y cumplimiento

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

Gestin de Riesgo de TI| Unidad 1

Herramientas comunes para la GRC

Universidad Cooperativa de Colombia

Supervisa constantemente los cambios en las reglamentaciones

Ayuda a reducir las prdidas y mejora los procesos de negocio

Gestin de Riesgo de TI| Unidad 1

Apoya la gestin y automatizacin de procesos para agilizar el flujo

Tabla 3. Tcnicas o procedimientos utilizados para fraudes

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

2. Identificacin del riesgo

Figura 5. Comprensin del contexto organizacional

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

2.2 Identificacin de la poltica y gobierno de

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

como control principal para mitigar riesgos crecientes

2.3 Especificacin de las TI que apoyan los

Gestin de Riesgo de TI| Unidad 1

Por ltimo, la revisin y actualizacin Fuente: elaboracin propia

2.4 Responsabilidades de los actores

Figura 8. Responsabilidades del ejecutivo de riesgos

Gestin de Riesgo de TI| Unidad 1

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

2.5 Identificacin de activos crticos

2.6 Identificacin de las amenazas

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

Tabla 2. Clasificacin general de delitos informticos

2.7 Identificacin de vulnerabilidades

Universidad Cooperativa de Colombia

Gestin de Riesgo de TI| Unidad 1

Previsin de polticas y procedimientos de seguridad.

Tabla 6. Procedimientos para la identificacin de vulnerabilidades

La identificacin de vulnerabilidades requiere de un proceso claramente establecido de auditora sobre los

El sistema de informacin no posee una adecuada