TALLER 3

ANALISIS DE RIESGOS EN TECNOLOGIA DE INFORMACION

La tarea de análisis y gestión de riesgo de la Tecnología de la Información es una parte fundamental para el análisis del riesgo operacional de la Entidad

ANALISIS

Conocer los riesgos al que están sometidos los activos de TI es imprescindible para poder gestionarlos. El gran reto de este proyecto es enfrentar una problemática compleja dado que se interrelacionan diferentes tipos de activos, con lo cual si no se es metódico y riguroso, los resultados y conclusiones no son de fiar y difícilmente sean de valor para la Entidad.

* Concientizar a los responsables de las Gerencias de Tecnología y Sistemas de Información de la existencia de riesgos y brindar soluciones para su mitigación.

* Ayudar a descubrir y planificar medidas oportunas para mantener los riesgos bajo control.

* Organización para procesos de evaluación, auditoría y cumplimiento, según corresponda.

PROCESO

El análisis de riesgo de TI es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados:

* Determinar los activos relevantes para la organización.

* Determinar a qué amenazas están expuestos aquellos activos.

* Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.

* Determinar que controles hay dispuestos y cuán eficaces son frente al riesgo.

* Estimar el riesgo, definido como el impacto ponderado con la probabilidad de ocurrencia de la amenaza.