El análisis de riesgos es parte de la planeación de auditoría y ayuda a identificar los riesgos y las vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlos.
Entender la relación entre riesgo y control es importante para los profesionales de auditoría de SI y de control, al evaluar los procesos de negocio relacionados con TI utilizados por una organización.
Además de un entendimiento de los riesgos y los controles de negocio, los auditores de SI deben entender que existe riesgo dentro del proceso de auditoría como tal.
Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas distintas para diferentes personas. En general, un riesgo es cualquier evento que puede afectar de manera negativa el logro de los objetivos de un negocio. Tal vez una de las definiciones de riesgo más comunes en el negocio de seguridad de información es la provista por las Directrices para la Administración de Seguridad de TI publicada por la ISO:
“El potencial de que una amenaza potencial explote las vulnerabilidades de un activo o grupo de activos ocasionando perdida o daño de los activos. El impacto o relativa severidad del riesgo es proporcional al valor para el negocio de la pérdida o daño y a la frecuencia estimada de la amenaza”
Esta definición es usada por la industria de TI ya que coloca al riesgo en un contexto organizacional usando los conceptos de activos y pérdida de valor – términos que los directivos del negocio comprenden fácilmente.
No hay comentarios:
Publicar un comentario