AUDITORIA DE SISTEMAS II MODELOS DE GESTION DE RIESGOS OCTAVE, DAFP, MAGERIT PROFESOR: CARLOS HERNAN GOMEZ INTEGRANTES: Luis Eduardo Bañol 905510 UNIVERSIDAD NACIONAL DE COLOMBIASEDE MANIZALES MANIZALES, NOVIEMBRE DE 2010 [Escribir texto] Página 0 CONTENIDO 1 Introducción…………………………………………………………………3 2 La Gestión del Riesgo…………………………………………………..4 2.1 Evolución e Historia…………………………………………….4 2.2 Descripción………………………………………………………5 3 Metodologías de Gestión de Riesgos…………………………………9 3.1 Octave……………………………………………………………10 3.1.1 Introducción………………………………….……….10 3.1.2 Historia y Evolución…………………………………..11 3.1.3 Descripción de la metodología………………………11 3.2 DAFP……………………………………………………………12 3.2.1 Introducción…………………………………………..12 3.2.2 Historia y Evolución…………………………………13 3.2.3 Descripción de la metodología……………………..15 3.3 Magerit…………………………………………………………22 3.3.1 Introducción……………………………………………22 3.3.2 Historia y Evolución………………………………….23 3.3.3 Descripción de la metodología……………………..24 3.4 Comparación con Cobit……..………………………………..33 [Escribir texto] Página 1 4 Resumen del trabajo……………………………………………………36 5 Conclusiones observaciones…………………………………………36 6 Bibliografia………………………………………………………………38 [Escribir texto] Página 2 1. INTRODUCCION La gestión de riesgos es un tema que empieza a ser importante para los años que vienen; incluso ahora, donde la información muestra la necesidad de ser respaldada y protegida contra los nuevos riesgos emergentes relacionados con TI y con las nuevas formas de realizar negocios; riesgos que a su vez han cambiado las condiciones económicas actuales derivadas de la cantidad de fallas en los sistemas financieros (fraudes masivos) en los sistemas de información (nivel de seguridad, inoperabilidad), fallas en los procesos de la organización; solo por nombrar algunos. Es necesario que las organizaciones dispongan de un área dedicada exclusivamente a la seguridad de la información, y al mismo tiempo analizar y diseñar adecuadamente los sistemas de información para que garanticen los requisitos de protección de los activos que se manejan. Para ello, es indispensable que los altos directivos reconozcan la importancia que tienen estas tareas dentro de la organización; y son ellos quienes deben establecer los requisitos de seguridad de los sistemas de información que manejan. Se deben formalizar procesos que gestionen los riesgos, y la selección de los mecanismos adecuados y coherentes con las políticas de la organización. Sin duda, la fase de análisis y gestión de riesgos aporta una información muy útil, tanto a altos directivos que pueden conocer de forma más precisa cuál es el entorno de su organización y por tanto tomar mejores decisiones. [Escribir texto] Página 3 2. LA GESTION DEL RIESGO HISTORIA Y EVOLUCIÓN En los años 40 se arranca con la teoría de la fiabilidad, la Teoría del Riesgo en Sistemas Complejos con el Teorema de Lusser: “la probabilidad de éxito (no fallo). Después en los años 60 se empieza con el análisis de riesgos cuantitativo (procesos markovianos) para describir el comportamiento de sistemas complejos con fallos ensayables y sin intervención manual (aleatoria); o cualitativo como los árboles de fallos para sistemas híbridos con la incertidumbre de la intervención humana y la imposibilidad de probar los impactos salvo por simulación. Se define el “riesgo como una entidad con dos dimensiones: probabilidad y consecuencia(s)” o sea vulnerabilidad e impacto. En los 70’s el Método general de Rasmussen. 6 etapas: Definición del proyecto de seguridad y su sistema objetivo; Análisis funcional de éste; Identificación de riesgos; Modelización del sistema; Evaluación de consecuencias; Síntesis y decisiones final. En la década de los años 90 modelos de procesos y eventos, llamados también modelos de segunda generación. Dentro de esta generación se pueden incluir: • Modelo de Boehm • Modelo de Hall y su relación con el de madurez de SEI-CMM • Modelo de Riesgos del SEI • Modelo SPR de mejora de capacidad en la gestión del riesgo. Actualmente están los modelos de tercera generación Está influida por modelos ‘causales’ (proyectuales, ‘ecológicos’, etc.). Los principales modelos de gestión de riesgos propuestos son: [Escribir texto] Página 4 • Modelo MAGERIT de Gestión de Riesgos en Sistemas adaptado • Modelo RiskMan • Modelo ISPL • Modelo PRisk Tal como se estableció en la Consulta de 1995, el análisis de riesgos se compone de tres elementos distintos pero integrados: evaluación de riesgos, gestión de riesgos y comunicación de riesgos. En dicha Consulta la comunicación de riesgos se definió como proceso interactivo de intercambio de información y opiniones sobre los riesgos entre asesores en la materia, gestores de riesgos y otras partes interesadas. La gestión de riesgos se define, en el ámbito del Codex, como proceso de ponderación de las distintas opciones normativas a la luz de los resultados de la evaluación de riesgos y, si es necesario, de selección y aplicación de opciones apropiadas para el control de riesgos, en particular medidas reglamentarias. Al elaborar sistemas para la gestión del riesgo, sus gestores utilizan la caracterización resultante del proceso de evaluación de riesgos. Un principio importante que se reconoció en la consulta de 1995 fue el de la separación funcional entre evaluación y gestión de los riesgos. DESCRIPCION La misión de la seguridad informática se puede plantear como una serie de actividades especificas para una organización que le permitan alcanzar los objetivos de seguridad. Entre las más importantes tenemos las siguientes: Desarrollo e implantación de políticas de seguridad que estén relacionadas directamente con las actividades reales de una organización. [Escribir texto] Página 5 Mejora constante de los sistemas de seguridad por medio de su monitoreo y análisis, así como la adquisición y actualización de tecnologías. Minimizar gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad. Capacitar al personal encargado de la seguridad del sistema para que tengan conocimientos actualizados que les permitan desempeñar su labor de manera más eficiente. Concienciar a los usuarios del sistema informático sobre la importancia de las políticas de seguridad impuestas. El objetivo a proteger es la misión de la Organización, teniendo en cuenta las diferentes dimensiones de la seguridad: Disponibilidad: Disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones. Integridad: Mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización. Confidencialidad: La información llegue solamente a las personas autorizadas. Contra la confidencialidad o secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados. La confidencialidad es una propiedad de difícil recuperación, pudiendo minar la confianza de los demás en la organización que no es diligente en el mantenimiento del secreto, y pudiendo [Escribir texto] Página 6 suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos. Autenticidad (de quién hace uso de los datos o servicios): No haya duda de quién se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física. Todas estas características pueden ser requeridas o no dependiendo de cada caso. Cuando se requieren, no es evidente que se disfruten sin más. Lo habitual que haya que poner medios y esfuerzo para conseguirlas. A racionalizar este esfuerzo se dedican las metodologías de análisis y gestión de riesgos que comienzan con una definición: Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida estas características están en peligro, es decir, analizar el sistema: Análisis de riesgos: Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. [Escribir texto] Página 7 Sabiendo lo que podría pasar, hay que tomar decisiones: Gestión de riesgos: Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Nótese que una opción legítima es aceptar el riesgo. Es frecuente oír que la seguridad absoluta no existe; en efecto, siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral de calidad que se requiere del servicio. Como todo esto es muy delicado, no es meramente técnico, e incluye la decisión de aceptar un cierto nivel de riesgo, deviene imprescindible saber en qué condiciones se trabaja y así poder ajustar la confianza que merece el sistema. Para ello qué mejor que una aproximación metódica que permita tomar decisiones con fundamento y explicar racionalmente las decisiones tomadas. [Escribir texto] Página 8 3. METODOLOGÍAS DE GESTIÓN DEL RIESGO [Escribir texto] Página 9 3.1 METODOLOGIA OCTAVE 3.1.1 Introducción El riesgo es la posibilidad de sufrir daños o pérdida. Es la posibilidad de darse cuenta de las consecuencias negativas no deseadas de un eventO. Se refiere a una situación en la que una persona puede hacer algo indeseable o un fenómeno natural podría provocar una situación no deseable, lo que resulta en un impacto negativo o consecuencia. El punto de vista operativo crítico de amenazas, de activos, y la vulnerabilidad de Evaluación (OCTAVESM) define los componentes esenciales de una paz general, el riesgo sistemático, la información de contexto de seguridad impulsado por evaluación2. Siguiendo el Método OCTAVE, una organización puede tomar decisiones de protección basada en la información sobre los riesgos para la confidencialidad, integridad y disponibilidad de los activos críticos de tecnología de la información. Las unidades operativas o razón social y el trabajo del departamento de TI en conjunto para abordar las necesidades de seguridad de la información de la empresa 3.1.2 Historia y evolución Octave apunta a dos aspectos diferentes: riesgos operativos y prácticas de seguridad. La tecnología es examinada en relación a las prácticas de seguridad, permitiendo a las compañías tomar decisiones de protección de información basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la información crítica. El método Octave permite la comprensión del manejo de los recursos, identificación y evaluación de riesgos que afectan la seguridad dentro de una organización. [Escribir texto] Página 10 Exige llevar la evaluación de la organización y del personal de la tecnología de la información por parte del equipo de análisis mediante el apoyo de un patrocinador interesado en la seguridad. El método Octave se enfoca en tres fases para examinar los problemas organizacionales y tecnológicos: Identificación de la información a nivel gerencial. Identificación de la información a nivel operacional. Identificación de la información a nivel de usuario final. Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta Octave: Consolidación de la información y creación de perfiles de amenazas. Identificación de componentes claves. Evaluación de componentes seleccionados. Análisis de riesgos de los recursos críticos. Desarrollo de estrategias de protección. 3.1.3 Descripción de la metodología El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó más empleados, pero el tamaño no fue la única consideración. Por ejemplo, las grandes organizaciones suelen tener una jerarquía de múltiples capas y es probable que mantengan su propia infraestructura informática, junto con la capacidad interna para ejecutar herramientas de evaluación de la vulnerabilidad e interpretar los resultados en relación a los activos críticos. [Escribir texto] Página 11 El método utiliza una ejecución en tres fases que examina las cuestiones organizacionales y tecnológicas, monta una visión clara de la organización y sus necesidades de información y seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a cabo por un equipo de análisis interdisciplinario de tres a cinco personas de la propia organización. El método aprovecha el conocimiento de múltiples niveles de la organización, centrándose en: Identificar los elementos críticos y las amenazas a esos activos. La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a las amenazas, creando un riesgo a la organización. El desarrollo de una estrategia basada en la protección de prácticas y planes de mitigación de riesgos para apoyar la misión de la organización y las prioridades. Estas actividades son apoyadas por un catálogo de buenas prácticas, así como encuestas y hojas de cálculo que se puede utilizar para obtener y captar información durante los debates y la solución de sesiones-problema. 3.2 METODOLOGIA DAFP 3.2.1 Introduccion Las etapas sugeridas por el Departamento de Administración de la Fundación Publica para una adecuada Administración del Riesgo son: Compromiso de la alta y media dirección: Para el éxito en la Implementación de una adecuada administración del riesgo, es indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de definir las políticas y en segunda instancia de [Escribir texto] Página 12 estimular la cultura de la identificación y prevención del riesgo. Para lograrlo es importante la definición de canales directos de comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. Conformación de un equipo de trabajo: Es importante conformar un equipo de trabajo que junto con la Oficina de Control Interno se encargue de liderar el proceso de administración del riesgo dentro de la entidad y cuente con un canal directo de comunicación con la alta dirección. Dicho equipo lo deben integrar personas de diferentes áreas que conozcan muy bien la entidad y el funcionamiento de los diferentes procesos para que se facilite la administración del riesgo y la construcción de los mapas de riesgos institucionales. Capacitación en la metodología: Definido el equipo o equipos de trabajo, debe capacitarse a sus integrantes en la metodología de la administración del riesgo, para lo cual se podrá contar con el apoyo del Departamento Administrativo de la Función Pública. 3.2.2 Historia y evolución A través del Decreto 1599 del 20 de mayo del 2005 se adoptó el Modelo Estándar de Control Interno para todas las entidades del Estado de las que habla el artículo 5º de la Ley 87 de 1993; este modelo presenta tres Subsistemas de Control: el Estratégico, el de Gestión y el de Evaluación. La Administración del Riesgo ha sido contemplada como uno de los componentes del Subsistema de Control Estratégico y ha sido definida en el Anexo Técnico “como el conjunto de Elementos de Control que al interrelacionarse, permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus [Escribir texto] Página 13 diferentes elementos le permite a la entidad pública autocontrolar aquellos eventos que pueden afectar el cumplimiento de sus objetivos”. Al ser un componente del Subsistema de Control Estratégico, la Administración del Riesgo se sirve de la planeación estratégica (misión, visión, establecimiento de objetivos, metas, factores críticos de éxito), del campo de aplicación (procesos, proyectos, unidades de negocio, sistemas de información), del componente ambiente de control y todos sus elementos (acuerdos, compromisos y protocolos éticos, las políticas de desarrollo del talento humano y el estilo de dirección), de la identificación de eventos (internos y externos) y de los resultados generados por el componente direccionamiento estratégico y sus elementos de control (planes y programas, modelo de operación y estructura organizacional). Así mismo, debe tener en cuenta el elemento de control “controles” del Subsistema de Gestión al momento de realizar la valoración de los riesgos (identificación, medición y priorización) y la formulación de la política (o respuesta al riesgo: evitar, aceptar, reducir, transferir). Esta mirada sistémica contribuye a que la entidad no solo garantice la gestión institucional y el logro de los objetivos, sino que fortalece el ejercicio del control interno en las entidades de la Administración Pública. La actualización de la cartilla Guía Administración del Riesgo obedece a la adopción del Modelo Estándar de Control Interno y a la armonización de la metodología planteada por la Dirección de Control Interno y Racionalización de Trámites del Departamento Administrativo de la Función Pública con el MECI 1000:2005, con el fin de facilitarles a las entidades el ejercicio de la Administración del Riesgo. [Escribir texto] Página 14 3.2.3 Descripción de la Metodología 1. Planeación de la administración del riesgo Para el diseño de esta planeación es fundamental tener claridad en la misión institucional, en sus objetivos y tener una visión sistémica de manera que no se perciba la administración del riesgo como algo aislado. Igualmente es necesario conocer sobre el tema de riesgos y la metodología propuesta. Dicha planeación debe contener: ¿Cuándo va a empezar a manejarse el tema dentro de la entidad?, ¿Quiénes van a participar directamente en el proceso? , ¿Cuándo van a realizarse las capacitaciones y a quién van a ir dirigidas? y ¿Cómo se va a articular el tema dentro de la planeación y con los procesos?, entre otros 2. Valoración del riesgo Presenta tres etapas que son Identificación, Análisis y Determinacion del Nivel del riesgo. Identificación de riesgos Debe considerarse los factores externos e internos. Factores externos relacionados con la entidad como son: económicos, sociales, de orden público, políticos, legales y cambios tecnológicos, entre otros y como factores internos: la naturaleza de las actividades de la entidad, la estructura organizacional, los sistemas de información, los procesos y procedimientos y los recursos económicos. Para la identificación se recomienda la aplicación de varias herramientas y técnicas como por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con directivos y con [Escribir texto] Página 15 personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de flujo, análisis de escenarios y hacer revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre otros. Clasificación del riesgo Durante el proceso de identificación del riesgo se recomienda hacer una clasificación de los mismos teniendo en cuenta los siguientes conceptos Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales. Riesgos de Control: Están directamente relacionados con inadecuados o inexistentes puntos de control y en otros casos, con puntos de control obsoletos, inoperantes o poco efectivos. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción [Escribir texto] Página 16 con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y sopor ten el cumplimiento de la misión. Análisis del riesgo El objetivo del análisis es el de establecer una valoración y priorización de los riesgos con base en la información obtenida en el formato de identificación de riesgos elaborados en la etapa de identificación, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información sobre el mismo, de su causa y la disponibilidad de datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas. Se han establecido dos aspectos para realizar el análisis de los riesgos identificados: Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo. [Escribir texto] Página 17 A continuación se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos. Análisis cualitativo: se refiere a la utilización de formas descriptivas para presentar la magnitud de consecuencias potenciales y la posibilidad de ocurrencia. Se diseñan escalas ajustadas a las circunstancias de acuerdo a las necesidades particulares de cada organización. Escala de medida cualitativa de PROBABILIDAD: se deben establecer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a través de ella los mismos ítems, por ejemplo: ALTA: es muy factible que el hecho se presente. MEDIA: es factible que el hecho se presente. BAJA: es muy poco factible que el hecho se presente. Ese mismo diseño puede aplicarse para la escala de medida cualitativa de IMPACTO, estableciendo las categorías y la descripción, por ejemplo: ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad. MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad. BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad. Análisis cuantitativo: Este análisis contempla valores numéricos para los cuales se pueden construir tablas; la calidad depende de lo [Escribir texto] Página 18 exactas y completas que estén las cifras utilizadas. La forma en la cual la probabilidad y el impacto es expresada y las formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo. Priorización de los riesgos Una vez realizado el análisis de los riesgos con base en los aspectos de probabilidad e impacto, se recomienda utilizar la matriz de priorización que permite determinar cuáles requieren de un tratamiento inmediato. Determinación del nivel del riesgo La determinación del nivel de riesgo es el resultado de confrontar el impacto y la probabilidad con los controles existentes al interior de los diferentes procesos y procedimientos que se realizan. Para adelantar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones, estos niveles de riesgo pueden ser: ALTO: Cuando el riesgo hace altamente vulnerable a la entidad o unidad. (Impacto y probabilidad alta vs controles) MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto alto - probabilidad baja o Impacto bajo - probabilidad alta vs controles). BAJO: Cuando el riesgo presenta vulnerabilidad baja.( Impacto y probabilidad baja vs controles). Ejemplo: Riesgo: Perdida de información debido a la entrada de un virus [Escribir texto] Página 19 en la red de información de la entidad. Probabilidad: Alta, porque todos los computadores de la entidad están conectados a la red de Internet e intranet. Impacto: Alto, porque la perdida de información traería consecuencias graves para el quehacer de la entidad. Controles existentes: la entidad tiene establecidos controles semanales haciendo backup o copias de seguridad y vacunando todos los programas y equipos; además guarda la información más relevante desconectada de la red en un centro de información. Resultado Nivel de riesgo: Medio por los controles establecidos 3. Manejo del riesgo Consideración de Acciones Para el manejo de los riesgos se deben analizar las posibles acciones a emprender las cuales deben ser factibles y efectivas, tales como: la implementación de políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros. Se pueden tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto. Evitar el riesgo: es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. Reducir el riesgo: si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al [Escribir texto] Página 20 más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Ejemplo: Planes de contingencia. Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar. Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia. Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. Elaboración del Mapa de Riesgos Para la consolidación del Mapa de Riesgos, adicional a las consideraciones expuestas, es necesario identificar las causas que los pueden ocasionar, lo cual facilita el proceso de definición de acciones para mitigar los mismos. [Escribir texto] Página 21 La selección de las acciones más convenientes debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base en los siguientes factores: a) El nivel del riesgo b) El balance entre el costo de la implementación de cada acción contra el beneficio de la misma 4. Monitoreo El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas. 3.3 METODOLOGIA MAGERIT 3.3.1 Introduccion Metodología de análisis y gestión de riesgos de los sistemas de información La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes, pero que también dan lugar a ciertos riesgos que deben minimizarse con medidas que garanticen la seguridad y generen confianza en la utilización de estos medios. La estructura de MAGERIT le permite llevar a cabo: [Escribir texto] Página 22 Análisis de riesgo para identificar las amenazas a los distintos componentes ("activos") pertenecientes o relacionados con el Sistema de Información, para evaluar la vulnerabilidad del sistema a esas amenazas y para estimar el impacto o el nivel de daño que una falta de seguridad puede tener en la organización, obteniendo así una cierta conciencia del riesgo que corre. Gestión del riesgo basados en los resultados obtenidos en el análisis anterior, y le permite seleccionar y aplicar las medidas de seguridad adecuadas o "garantías" a fin de descubrir, prevenir, impedir, reducir o controlar los riesgos identificados, reduciendo así los posibles daños a los activos. 3.3.2 Historia y evolución Actualmente se encuentra en la versión 2.0, el periodo transcurrido desde la publicación de la primera versión de Magerit (1997), el análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad. En Magerit v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta evolución. En particular se reconocerá lo que se denominaba submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las fases fundamentales de análisis y gestión. Se ha corregido y ampliado lo que se denominaba “subestados de seguridad” dándole el nuevo nombre de “dimensiones” e introduciendo nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo el epígrafe de “estructuración del proyecto de análisis y gestión de riesgos”. [Escribir texto] Página 23 Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo mismo de los detalles técnicos de los sistemas de información con los que se trabaja. Se intenta una puesta al día; pero ante todo se intenta diferenciar lo que es esencial (y permanente) de lo que es coyuntural y cambiará con el tiempo. Esto se traduce en parametrizar el método de trabajo, referenciándolo a catálogos externos de amenazas y salvaguardas que se podrán actualizar, adaptándose al paso del tiempo, tanto por progreso tecnológico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto más éxito tengan los sistemas, más usuarios tendrán y simultáneamente, más sujetos habrá interesados en abusar de ellos o, simplemente, destruirlos. Así pues, quede el método, abierto de forma que estando claro qué se hace y cómo, se puedan adaptar los detalles a cada momento. Por otro lado el paso de Métrica v2.1 a Métrica v3.0 ha supuesto una completa revisión de este punto. En la v2.0 de Magerit aparece en el capítulo de “Desarrollo de Sistemas Informáticos”, enfatizando primero el desarrollo de aplicaciones aisladas y luego el proceso de desarrollo de sistemas de información completos. 3.3.3 Descripción de la metodología Magerit persigue los siguientes objetivos: Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un método sistemático para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. [Escribir texto] Página 24 Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso. Describe los pasos y las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, y proporciona una serie de aspectos prácticos. Describe la metodología desde tres ángulos: El capítulo 2 describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación. Es una presentación netamente conceptual. El capítulo 3 describe las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente pautar roles, actividades, hitos y documentación para que la realización del proyecto de análisis y gestión de riesgos esté bajo control en todo momento. El capítulo 4 aplica la metodología al caso del desarrollo de sistemas de información, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que están expuestos, como los riesgos que las propias aplicaciones introducen en el sistema. Como complemento, el capítulo 5 desgrana una serie de aspectos prácticos, derivados de la experiencia acumulada en el tiempo para la realización de un análisis y una gestión realmente efectivos. Los apéndices recogen material de consulta: Glosario Referencias bibliográficas consideradas para el desarrollo de esta metodología Referencias al marco legal que encuadra las tareas de análisis y gestión [Escribir texto] Página 25 El marco normativo de evaluación y certificación Las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos Una guía comparativa de cómo Magerit versión 1 ha evolucionado en esta versión 2. Se desarrolla un caso práctico como ejemplo. Elementos de Magerit Activos: recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección. Amenazas: eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. Impacto en un activo: consecuencia sobre éste de la materialización de una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización. Servicio de salvaguarda: acción que reduce el riesgo. Mecanismo de salvaguarda: procedimiento, dispositivo, físico o lógico, que reduce el riesgo. Etapas de Magerit [Escribir texto] Página 26 Planificación En esta fase, se establece el objetivo del proyecto, el dominio de estudio y las restricciones generales. Deben también definirse las métricas con las que se valorarán los diferentes elementos de seguridad, de manera que los resultados finales de medición del riesgo sean definidos en función de los parámetros adecuados para cuantificar el riesgo por la organización (por ejemplo, definir la escala de frecuencias para medir la vulnerabilidad, definir las cantidades monetarias por las que cuantificar el impacto). Análisis de riesgos Una vez definido el dominio, los analistas de riesgos procederán a realizar las entrevistas al personal de la organización para la obtención de información. En esta fase se identificarán los activos de la organización, identificando las relaciones que se establecen entre activos. De esta forma se obtiene el "árbol de activos" que representan las distintas dependencias y relaciones entre activos, es decir, todos aquellos elementos que están "encadenados entre sí" en términos de seguridad. También se identifica el conjunto de amenazas, estableciendo para cada activo, cuál es la vulnerabilidad que presenta frente a dicha amenaza. Además, se cuantifica el impacto, para el caso en el que la amenaza se materializase. Analizar información generada en estudios de riesgos anteriores que permitan ajustar de forma más exacta las diferentes dependencias entre activos. Con toda esta información, tendremos una estimación del costo que podría producir la materialización de una amenaza sobre un activo. Teniendo en cuenta las relaciones funcionales y de dependencias entre activos, se hallan los valores de riesgo. [Escribir texto] Página 27 Gestión de riesgos En esta fase, se procede a la interpretación del riesgo. Una vez identificados los puntos débiles, debe seleccionarse el conjunto de funciones de salvaguarda que podrían ser usados para disminuir los niveles de riesgo a los valores deseados. Para ello, deberán especificarse los mecanismos de salvaguarda que se encuentran implantados hasta ese momento y cuál es su grado de cumplimiento. Este proceso es ayudado por la simulación. Se van probando selecciones de diferentes mecanismos de salvaguarda y se estudia en qué medida reducen los niveles de riesgo a los márgenes deseados. Es muy importante realizar las correctas estimaciones de la efectividad de los diferentes mecanismos de salvaguarda para ajustar de forma precisa los valores de riesgo. Selección de mecanismos de salvaguarda Una vez obtenidos estos resultados, se establecen de nuevo reuniones con el equipo de la organización. De esta forma, se analizan los resultados obtenidos y se establece un plan de implantación de mecanismos. [Escribir texto] Página 28 [Escribir texto] Página 29 Características de Magerit Clasifica el estado de seguridad de cada activo o grupo de activos de la siguiente manera según su estado de Autenticación, Confidencialidad, Integridad y Disponibilidad. Subestado A de autenticación: definido como la característica de dar y reconocer la autenticidad de los activos del dominio (de tipo información) y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de dichas tres cuestiones. [Escribir texto] Página 30 Subestado C de confidencialidad: definido como la característica que previene contra la divulgación no autorizada de activos del dominio. Concierne sobre todo a activos de tipo información, y a menudo se relaciona con la intimidad o ‘privacidad’, cuando esa información se refiere a personas físicas, que trata la LORTAD, Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal. El término divulgación debe tomarse en su sentido más estricto: el simple acceso físico o lógico al activo altera este subestado, aunque no haya modificaciones aparentes ni difusión posterior. Subestado I de integridad, definido como la característica que previene contra la modificación o destrucción no autorizadas de activos del dominio. La integridad está vinculada a la fiabilidad funcional del sistema de información (o sea su eficacia para cumplir las funciones del sistema de organización soportado por aquél) y suele referirse (no siempre) a activos de tipo información. Por ejemplo, son típicos los problemas causados por la amenaza de un virus (llegado con un disquete externo o por la red) a la integridad de los datos almacenados en el disco duro de un PC. Subestado D de disponibilidad, definido como la característica que previene contra la denegación no autorizada de acceso a activos del dominio. La disponibilidad se asocia a la fiabilidad técnica (tasa de fallos) de los componentes del sistema de información. [Escribir texto] Página 31 Categorías de los activos Magerit categoriza los activos en cinco categorías: 1. Activos relacionados con el nivel del entorno (E) • Equipamientos comunicaciones) y suministros (energía, climatización, • Personal (de dirección, de operación, de desarrollo, otro) • Otros tangibles (edificaciones, mobiliario, instalación física) 2. Activos relacionados con el nivel de los Sistemas de Información: • Hardware (de proceso, de almacenamiento, de interfaz, servidores, firmware, otros) • Software (de base, paquetes, modificación de firmware) producción de aplicaciones, • Comunicaciones (redes propias, servicios, componentes de conexión, etc.) 3. Activos relacionados con el nivel de la Información: • Datos (informatizados, concurrentes al o resultantes del Sistema de Información) • Meta-información (estructuración, formatos, códigos, claves de cifrado) • Soportes (tratables informáticamente, no tratables) 4. Activos relacionados con el nivel de las Funcionalidades de la organización: • Objetivos y misión de la organización • Bienes y servicios producidos • Personal usuario y/o destinatario de los bienes o servicios producidos [Escribir texto] Página 32 5. Otros Activos no relacionados con los niveles anteriores • Credibilidad (ética, jurídica, etc. ) o buena imagen de una persona jurídica o física, • Conocimiento acumulado, • Independencia de criterio o de actuación, • Intimidad de una persona física, • Integridad material de las personas, etc. Atributos de los Activos Cada Activo o Grupo de Activos incorpora como atributos esenciales dos indicadores sobre dos tipos de valoraciones, que ofrecen una orientación para calibrar el posible impacto que la materialización de una amenaza puede provocar en el activo: • La valoración intrínseca del activo considerado tiene dos aspectos Uno cualitativo como valor de uso del Activo; este atributo permite responder al para qué sirve el Activo y soporta la clasificación anterior en tipos por naturaleza. Otro cuantitativo como valor de cambio, o sea cuánto vale; este atributo es válido para ciertos tipos de activo y útil tanto a efectos indirectos de la valoración del impacto causable por las amenazas, como para soportar la decisión entre la valoración del Riesgo y la de las salvaguardas para reducirlo. • La valoración del estado de seguridad del activo considerado, expuesta anteriormente como característica por su importancia, se concreta en sus 4 subestados A-C-I-D: autenticación, confidencialidad, integridad, disponibilidad. [Escribir texto] Página 33 3.4 COMPARACION CON COBIT COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT", recomienda "Crear y dar mantenimiento a un marco de trabajo de administración de riesgos", alertándonos de esta forma de la necesidad de realizar un Análisis de Riesgos, con el fin de poder desarrollar una estrategia de mitigación de Riesgos minimizando el Riesgo Residual hasta un nivel aceptable por la organización. COBIT no especifica ninguna metodología ni herramienta de Análisis de Riesgos en particular, por lo que deja a nuestra elección la metodología más conveniente según nuestras necesidades. Aquí es donde se presenta una relación entre COBIT y Magerit ya que esta última según la definición es una metodología de administración de riesgos que proporciona políticas para asegurar la información relevante de una organización. A continuación se presenta una definición de esta metodología: MAGERIT es una metodología desarrollada en España por el Ministerio de Administraciones Públicas, que estudia los riesgos soportados por los Sistemas de Información para recomendar aquellas medidas más encaminadas a controlar su impacto. Sus objetivos básicos son, en primer lugar, concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de que éstos sean controlados antes de que se materialicen; en segundo lugar, ofrecer un método sistemático para el análisis de dichos riesgos; en tercer lugar, ayudar a descubrir y planificar medidas oportunas para mantener los riesgos bajo control; y en cuarto lugar, ayudar a la Organización para que ésta se encuentre preparada para procesos de evaluación, auditoría, certificación y acreditación. [Escribir texto] Página 34 4. RESUMEN DEL TRABAJO La gestión de riesgos corporativos permite a la dirección tratar Eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando así la capacidad de generar valor. Se maximiza el valor cuando la dirección establece una estrategia y objetivos para encontrar un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, además de desplegar recursos eficaz y eficientemente a fin de lograr los objetivos de la entidad. La gestión de riesgos corporativos incluye las siguientes capacidades: Alinear el riesgo aceptado y la estrategia En su evaluación de alternativas estratégicas, la dirección considera el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados. Mejorar las decisiones de respuesta a los riesgos La gestión de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar. Reducir las sorpresas y pérdidas operativas Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados. Identificar y gestionar la diversidad de riesgos para toda la entidad Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización y la gestión de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos. Aprovechar las oportunidades [Escribir texto] Página 35 Mediante la consideración de una amplia gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo. Mejorar la dotación de capital La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación. 5. CONCLUSIONES Y OBSERVACIONES Son dos los pilares fundamentales para la creación de esta cultura: o Una política de seguridad corporativa que se entienda (escrita para los que no son expertos en la materia), que se difunda y que se mantenga al día. o Una formación continua a todos los niveles, recordando las cautelas rutinarias y las actividades especializadas, según la responsabilidad adscrita a cada puesto de trabajo. A fin de que estas actividades cuajen en la organización, es imprescindible que la seguridad sea Mínimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos. Sea “natural”: que no dé pie a errores gratuitos, que facilite el cumplimiento de las buenas prácticas propuestas. Practicada por la Dirección: que dé ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias. [Escribir texto] Página 36 Los activos de información y los equipos informáticos son recursos importantes y vitales, sin ellos las organizaciones quedarían paralizadas en sus actividades y por tal razón es necesario preservarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la información y los sistemas informáticos estén apropiadamente protegidos de muchas clases de amenazas y riesgos. Para tal acción deben emplearse medidas y políticas de seguridad las cuales tienen como finalidad proporcionar instrucciones específicas sobre qué y cómo mantener seguras las tecnologías de información. En conclusión, por tanto, podemos afirmar que cualquier metodología de análisis de riesgos conlleva de forma implícita una identificación / inventario de activos, una reflexión sobre el posible catálogo de amenazas que pueden afectar a los mismos, la medición de su impacto y probabilidad de ocurrencia, así como una recomendación final sobre las salvaguardas más apropiadas para minimizar el riesgo. 6 BIBLIOGRAFIA [Escribir texto] Página 37 Departamento Administrativo de la fundación Publica Guía administración del riesgo Bogotá, D.C., junio de 2004 Segunda Edición http://200.26.134.109:8092/unisucre/hermesoft/portal/home_1/rec/arc_ 2129.pdf risk analysis and management methodology for information system ver 1.0 http://www.epractice.eu/files/media/media_920.pdf Risk IT ISACA 2009 http://www.isaca.org/Knowledge-Center/Research/Documents/Risk-ITframework-spanish.pdf CERT – Software Engineering Institute en:http://www.cert.org/octave/ [Escribir texto] Página 38 (2008). OCTAVE. Disponible