Descargar la presentación
La descarga está en progreso. Por favor, espere
2
©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®
3
©Copyright 2013 ISACA. Todos los derechos reservados. Curso de Preparación 2014 CISM Capítulo 2 Gestión de Riesgos de la Información y Cumplimiento 2
4
©Copyright 2013 ISACA. Todos los derechos reservados. 2.10.9 Evaluación del riesgo Durante la fase de evaluación de riesgos, se deben tomar decisiones con respecto a qué riesgos necesitan ser tratados y las prioridades de tratamiento. Las decisiones tomadas suelen basarse en el nivel de riesgo; sin embargo, pueden estar relacionadas con umbrales específicos en términos de: —Consecuencias (por ejemplo impactos). —La probabilidad de los eventos. —El impacto acumulativo de una serie de eventos que pudiera ocurrir simultáneamente.
5
©Copyright 2013 ISACA. Todos los derechos reservados. 2.10.10 Opciones para el tratamiento de riesgos Al enfrentarse con el riesgo, las organizaciones tienen cuatro opciones estratégicas: —Terminar la actividad que da origen al riesgo. —Transferir el riesgo a otra parte. —Mitigar (Tratar) el riesgo con medidas y mecanismos de control apropiados. —Aceptar (Tolerar) el riesgo.
6
©Copyright 2013 ISACA. Todos los derechos reservados. Terminar la actividad: —La actividad que origina el riesgo es cambiada o terminada para eliminar el riesgo. Transferir el riesgo: —El riesgo puede reducirse a niveles aceptables al transferirlo a otra entidad (ej.Una compañía de seguros). —Los riesgos pueden también ser transferidos al contratar a un proveedor de servicio o a otra entidad. No se transfiere la responsabilidad. 2.10.10 Opciones para el tratamiento de riesgos
7
©Copyright 2013 ISACA. Todos los derechos reservados. Mitigar el riesgo: —Se utilizan controles y contramedidas*. —El costo de mitigar el riesgo no debe exceder el valor del activo. Aceptar el riesgo: —Existen circunstancias en las que se puede aceptar un riesgo definido. Por ej.: si el costo de mitigar el riesgo es demasiado alto en proporción al valor del activo. —La aceptación de los riesgos debe revisarse con regularidad. * contramedidas: reducen la magnitud de las amenazas y/o vulnerabilidades 2.10.10 Opciones para el tratamiento de riesgos
8
©Copyright 2013 ISACA. Todos los derechos reservados. 2.10.11 Impacto El impacto es el elemento fundamental para la gestión de riesgos. En última instancia, todas las actividades de gestión de riesgos están diseñadas para reducir el impacto a niveles aceptables. El resultado de cualquier vulnerabilidad que sea explotada por una amenaza y ocasione una pérdida se llama impacto. Las amenazas y las vulnerabilidades que no causan un impacto son irrelevantes.
9
©Copyright 2013 ISACA. Todos los derechos reservados. 2.10.11 Impacto Ejemplos de dichas pérdidas incluyen los siguientes: Pérdida directa de dinero (efectivo o crédito). Responsabilidad penal o civil. Pérdida de reputación/buen nombre/imagen. Disminución en el valor de las acciones. Conflicto de intereses para el personal, clientes o accionistas. Violaciones a la confidencialidad/privacidad. Pérdida de oportunidades de negocio/competencia. Pérdida de participación en el mercado. Reducción en el desempeño/eficiencia operativos. Interrupción de la actividad de negocio. Violaciones a la legislación que resulten en la imposición de sanciones.
10
©Copyright 2013 ISACA. Todos los derechos reservados. 2.10.11 Impacto El impacto se determina mediante un análisis de impacto al negocio (BIA): —El BIA sirve para priorizar la gestión de riesgos. —Junto con la valoración de los activos, establece la base para los niveles y tipos de protección que se requieren, así como para el desarrollo del caso de negocio para los controles.
Presentaciones similares
