AUDITORIA DE SISTEMAS II MODELOS DE GESTION DE

Anuncio
AUDITORIA DE SISTEMAS II
MODELOS DE GESTION DE RIESGOS
OCTAVE, DAFP, MAGERIT
PROFESOR:
CARLOS HERNAN GOMEZ
INTEGRANTES:
Luis Eduardo Bañol
905510
UNIVERSIDAD NACIONAL DE COLOMBIASEDE MANIZALES
MANIZALES, NOVIEMBRE DE 2010
[Escribir texto]
Página 0
CONTENIDO
1
Introducción…………………………………………………………………3
2 La Gestión del Riesgo…………………………………………………..4
2.1 Evolución e Historia…………………………………………….4
2.2 Descripción………………………………………………………5
3 Metodologías de Gestión de Riesgos…………………………………9
3.1 Octave……………………………………………………………10
3.1.1 Introducción………………………………….……….10
3.1.2 Historia y Evolución…………………………………..11
3.1.3 Descripción de la metodología………………………11
3.2 DAFP……………………………………………………………12
3.2.1 Introducción…………………………………………..12
3.2.2 Historia y Evolución…………………………………13
3.2.3 Descripción de la metodología……………………..15
3.3 Magerit…………………………………………………………22
3.3.1 Introducción……………………………………………22
3.3.2 Historia y Evolución………………………………….23
3.3.3 Descripción de la metodología……………………..24
3.4 Comparación con Cobit……..………………………………..33
[Escribir texto]
Página 1
4 Resumen del trabajo……………………………………………………36
5 Conclusiones observaciones…………………………………………36
6 Bibliografia………………………………………………………………38
[Escribir texto]
Página 2
1. INTRODUCCION
La gestión de riesgos es un tema que empieza a ser importante para
los años que vienen; incluso ahora, donde la información muestra la
necesidad de ser respaldada y protegida contra los nuevos riesgos
emergentes relacionados con TI y con las nuevas formas de realizar
negocios; riesgos que a su vez han cambiado las condiciones
económicas actuales derivadas de la cantidad de fallas en los
sistemas financieros (fraudes masivos) en los sistemas de información
(nivel de seguridad, inoperabilidad), fallas en los procesos de la
organización; solo por nombrar algunos.
Es necesario que las organizaciones dispongan de un área dedicada
exclusivamente a la seguridad de la información, y al mismo tiempo
analizar y diseñar adecuadamente los sistemas de información para
que garanticen los requisitos de protección de los activos que se
manejan. Para ello, es indispensable que
los altos directivos
reconozcan la importancia que tienen estas tareas dentro de la
organización; y son ellos quienes deben establecer los requisitos de
seguridad de los sistemas de información que manejan.
Se deben formalizar procesos que gestionen los riesgos, y la
selección de los mecanismos adecuados y coherentes con las
políticas de la organización.
Sin duda, la fase de análisis y gestión de riesgos aporta una
información muy útil, tanto a altos directivos que pueden conocer de
forma más precisa cuál es el entorno de su organización y por tanto
tomar mejores decisiones.
[Escribir texto]
Página 3
2. LA GESTION DEL RIESGO
HISTORIA Y EVOLUCIÓN
En los años 40 se arranca con la teoría de la fiabilidad, la Teoría del
Riesgo en Sistemas Complejos con el Teorema de Lusser: “la
probabilidad de éxito (no fallo).
Después en los años 60 se empieza con el análisis de riesgos
cuantitativo (procesos markovianos) para describir el comportamiento
de sistemas complejos con fallos ensayables y sin intervención manual
(aleatoria); o cualitativo como los árboles de fallos para sistemas
híbridos con la incertidumbre de la intervención humana y la
imposibilidad de probar los impactos salvo por simulación. Se define el
“riesgo como una entidad con dos dimensiones: probabilidad y
consecuencia(s)” o sea vulnerabilidad e impacto.
En los 70’s el Método general de Rasmussen. 6 etapas: Definición del
proyecto de seguridad y su sistema objetivo; Análisis funcional de
éste; Identificación de riesgos; Modelización del sistema; Evaluación
de consecuencias; Síntesis y decisiones final.
En la década de los años 90 modelos de procesos y eventos, llamados
también modelos de segunda generación.
Dentro de esta generación se pueden incluir:
• Modelo de Boehm
• Modelo de Hall y su relación con el de madurez de SEI-CMM
• Modelo de Riesgos del SEI
• Modelo SPR de mejora de capacidad en la gestión del riesgo.
Actualmente están los modelos de tercera generación Está influida por
modelos ‘causales’ (proyectuales, ‘ecológicos’, etc.).
Los principales modelos de gestión de riesgos propuestos son:
[Escribir texto]
Página 4
• Modelo MAGERIT de Gestión de Riesgos en Sistemas adaptado
• Modelo RiskMan
• Modelo ISPL
• Modelo PRisk
Tal como se estableció en la Consulta de 1995, el análisis de riesgos
se compone de tres elementos distintos pero integrados: evaluación
de riesgos, gestión de riesgos y comunicación de riesgos. En dicha
Consulta la comunicación de riesgos se definió como proceso
interactivo de intercambio de información y opiniones sobre los riesgos
entre asesores en la materia, gestores de riesgos y otras partes
interesadas. La gestión de riesgos se define, en el ámbito del Codex,
como proceso de ponderación de las distintas opciones normativas a
la luz de los resultados de la evaluación de riesgos y, si es necesario,
de selección y aplicación de opciones apropiadas para el control de
riesgos, en particular medidas reglamentarias. Al elaborar sistemas
para la gestión del riesgo, sus gestores utilizan la caracterización
resultante del proceso de evaluación de riesgos. Un principio
importante que se reconoció en la consulta de 1995 fue el de la
separación funcional entre evaluación y gestión de los riesgos.
DESCRIPCION
La misión de la seguridad informática se puede plantear como una
serie de actividades especificas para una organización que le permitan
alcanzar los objetivos de seguridad.
Entre las más importantes tenemos las siguientes:
 Desarrollo e implantación de políticas de seguridad que estén
relacionadas directamente con las actividades reales de una
organización.
[Escribir texto]
Página 5
 Mejora constante de los sistemas de seguridad por medio de su
monitoreo y análisis, así como la adquisición y actualización de
tecnologías.
 Minimizar gestionar los riesgos y detectar los posibles
problemas y amenazas a la seguridad.
 Capacitar al personal encargado de la seguridad del sistema
para que tengan conocimientos actualizados que les permitan
desempeñar su labor de manera más eficiente.
 Concienciar a los usuarios del sistema informático sobre la
importancia de las políticas de seguridad impuestas.
El objetivo a proteger es la misión de la Organización, teniendo en
cuenta las diferentes dimensiones de la seguridad:
 Disponibilidad:
Disposición de los servicios a ser usados cuando sea necesario.
La carencia de disponibilidad supone una interrupción del
servicio. La disponibilidad afecta directamente a la productividad
de las organizaciones.
 Integridad:
Mantenimiento de las características de completitud y corrección
de los datos. Contra la integridad, la información puede aparecer
manipulada, corrupta o incompleta. La integridad afecta
directamente al correcto desempeño de las funciones de una
Organización.
 Confidencialidad:
La información llegue solamente a las personas autorizadas.
Contra la confidencialidad o secreto pueden darse fugas y
filtraciones de información, así como accesos no autorizados. La
confidencialidad es una propiedad de difícil recuperación,
pudiendo minar la confianza de los demás en la organización
que no es diligente en el mantenimiento del secreto, y pudiendo
[Escribir texto]
Página 6
suponer el incumplimiento de leyes y compromisos contractuales
relativos a la custodia de los datos.
 Autenticidad (de quién hace uso de los datos o servicios):
No haya duda de quién se hace responsable de una información
o prestación de un servicio, tanto a fin de confiar en él como de
poder perseguir posteriormente los incumplimientos o errores.
Contra la autenticidad se dan suplantaciones y engaños que
buscan realizar un fraude. La autenticidad es la base para poder
luchar contra el repudio y, como tal, fundamenta el comercio
electrónico o la administración electrónica, permitiendo confiar
sin papeles ni presencia física.
Todas estas características pueden ser requeridas o no dependiendo
de cada caso. Cuando se requieren, no es evidente que se disfruten
sin más. Lo habitual que haya que poner medios y esfuerzo para
conseguirlas. A racionalizar este esfuerzo se dedican las metodologías
de análisis y gestión de riesgos que comienzan con una definición:
 Riesgo:
Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios
a la Organización.
El riesgo indica lo que le podría pasar a los activos si no se
protegieran adecuadamente. Es importante saber qué características
son de interés en cada activo, así como saber en qué medida estas
características están en peligro, es decir, analizar el sistema:
 Análisis de riesgos:
Proceso sistemático para estimar la magnitud de los riesgos a
que está expuesta una Organización.
[Escribir texto]
Página 7
Sabiendo lo que podría pasar, hay que tomar decisiones:
 Gestión de riesgos:
Selección e implantación de salvaguardas para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados.
Nótese que una opción legítima es aceptar el riesgo. Es frecuente oír
que la seguridad absoluta no existe; en efecto, siempre hay que
aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral
de calidad que se requiere del servicio.
Como todo esto es muy delicado, no es meramente técnico, e incluye
la decisión de aceptar un cierto nivel de riesgo, deviene imprescindible
saber en qué condiciones se trabaja y así poder ajustar la confianza
que merece el sistema. Para ello qué mejor que una aproximación
metódica que permita tomar decisiones con fundamento y explicar
racionalmente las decisiones tomadas.
[Escribir texto]
Página 8
3. METODOLOGÍAS DE GESTIÓN DEL RIESGO
[Escribir texto]
Página 9
3.1
METODOLOGIA OCTAVE
3.1.1 Introducción
El riesgo es la posibilidad de sufrir daños o pérdida. Es la posibilidad
de darse cuenta de las consecuencias negativas no deseadas de un
eventO. Se refiere a una situación en la que una persona puede hacer
algo indeseable o un fenómeno natural podría provocar una situación
no deseable, lo que resulta en un impacto negativo o consecuencia.
El punto de vista operativo crítico de amenazas, de activos, y la
vulnerabilidad de Evaluación (OCTAVESM) define los componentes
esenciales de una paz general, el riesgo sistemático, la información de
contexto de seguridad impulsado por evaluación2. Siguiendo el
Método OCTAVE, una organización puede tomar decisiones de
protección basada en la información sobre los riesgos para la
confidencialidad, integridad y disponibilidad de los activos críticos de
tecnología de la información. Las unidades operativas o razón social y
el trabajo del departamento de TI en conjunto para abordar las
necesidades de seguridad de la información de la empresa
3.1.2 Historia y evolución
Octave apunta a dos aspectos diferentes: riesgos operativos y
prácticas de seguridad. La tecnología es examinada en relación a las
prácticas de seguridad, permitiendo a las compañías tomar decisiones
de protección de información basados en los riesgos de
confidencialidad, integridad y disponibilidad de los bienes relacionados
a la información crítica.
El método Octave permite la comprensión del manejo de los recursos,
identificación y evaluación de riesgos que afectan la seguridad dentro
de una organización.
[Escribir texto]
Página 10
Exige llevar la evaluación de la organización y del personal de la
tecnología de la información por parte del equipo de análisis mediante
el apoyo de un patrocinador interesado en la seguridad.
El método Octave se enfoca en tres fases para examinar los
problemas organizacionales y tecnológicos:
Identificación de la información a nivel gerencial.
Identificación de la información a nivel operacional.
Identificación de la información a nivel de usuario final.
Estos tres pasos dan lugar a otros 5 procesos para completar los 8
puntos de los que consta Octave:
Consolidación de la información y creación de perfiles de amenazas.
Identificación de componentes claves.
Evaluación de componentes seleccionados.
Análisis de riesgos de los recursos críticos.
Desarrollo de estrategias de protección.
3.1.3 Descripción de la metodología
El método fue desarrollado teniendo en cuenta grandes
organizaciones de 300 ó más empleados, pero el tamaño no fue la
única consideración. Por ejemplo, las grandes organizaciones suelen
tener una jerarquía de múltiples capas y es probable que mantengan
su propia infraestructura informática, junto con la capacidad interna
para ejecutar herramientas de evaluación de la vulnerabilidad e
interpretar los resultados en relación a los activos críticos.
[Escribir texto]
Página 11
El método utiliza una ejecución en tres fases que examina las
cuestiones organizacionales y tecnológicas, monta una visión clara de
la organización y sus necesidades de información y seguridad de la
misma. Se compone de una serie de talleres, facilitados o llevados a
cabo por un equipo de análisis interdisciplinario de tres a cinco
personas de la propia organización. El método aprovecha el
conocimiento de múltiples niveles de la organización, centrándose en:
 Identificar los elementos críticos y las amenazas a esos activos.
 La identificación de las vulnerabilidades, tanto organizativas y
tecnológicas, que exponen a las amenazas, creando un riesgo a
la organización.
 El desarrollo de una estrategia basada en la protección de
prácticas y planes de mitigación de riesgos para apoyar la misión
de la organización y las prioridades.
Estas actividades son apoyadas por un catálogo de buenas prácticas,
así como encuestas y hojas de cálculo que se puede utilizar para
obtener y captar información durante los debates y la solución de
sesiones-problema.
3.2
METODOLOGIA DAFP
3.2.1 Introduccion
Las etapas sugeridas por el Departamento de Administración de la
Fundación Publica para una adecuada Administración del Riesgo son:
Compromiso de la alta y media dirección: Para el éxito en la
Implementación de una adecuada administración del riesgo, es
indispensable el compromiso de la alta gerencia como encargada, en
primera instancia, de definir las políticas y en segunda instancia de
[Escribir texto]
Página 12
estimular la cultura de la identificación y prevención del riesgo. Para
lograrlo es importante la definición de canales directos de
comunicación y el apoyo a todas las acciones emprendidas en este
sentido, propiciando los espacios y asignando los recursos necesarios.
Conformación de un equipo de trabajo: Es importante conformar un
equipo de trabajo que junto con la Oficina de Control Interno se
encargue de liderar el proceso de administración del riesgo dentro de
la entidad y cuente con un canal directo de comunicación con la alta
dirección. Dicho equipo lo deben integrar personas de diferentes áreas
que conozcan muy bien la entidad y el funcionamiento de los
diferentes procesos para que se facilite la administración del riesgo y
la construcción de los mapas de riesgos institucionales.
Capacitación en la metodología: Definido el equipo o equipos de
trabajo, debe capacitarse a sus integrantes en la metodología de la
administración del riesgo, para lo cual se podrá contar con el apoyo
del Departamento Administrativo de la Función Pública.
3.2.2 Historia y evolución
A través del Decreto 1599 del 20 de mayo del 2005 se adoptó el
Modelo Estándar de Control Interno para todas las entidades del
Estado de las que habla el artículo 5º de la Ley 87 de 1993; este
modelo presenta tres Subsistemas de Control: el Estratégico, el de
Gestión y el de Evaluación. La Administración del Riesgo ha sido
contemplada como uno de los componentes del Subsistema de
Control Estratégico y ha sido definida en el Anexo Técnico “como el
conjunto de Elementos de Control que al interrelacionarse, permiten a
la entidad pública evaluar aquellos eventos negativos, tanto internos
como externos, que puedan afectar o impedir el logro de sus objetivos
institucionales o los eventos positivos, que permitan identificar
oportunidades para un mejor cumplimiento de su función. Se
constituye en el componente de control que al interactuar sus
[Escribir texto]
Página 13
diferentes elementos le permite a la entidad pública autocontrolar
aquellos eventos que pueden afectar el cumplimiento de sus
objetivos”.
Al ser un componente del Subsistema de Control Estratégico, la
Administración del Riesgo se sirve de la planeación estratégica
(misión, visión, establecimiento de objetivos, metas, factores críticos
de éxito), del campo de aplicación (procesos, proyectos, unidades de
negocio, sistemas de información), del componente ambiente de
control y todos sus elementos (acuerdos, compromisos y protocolos
éticos, las políticas de desarrollo del talento humano y el estilo de
dirección), de la identificación de eventos (internos y externos) y de los
resultados generados por el componente direccionamiento estratégico
y sus elementos de control (planes y programas, modelo de operación
y estructura organizacional). Así mismo, debe tener en cuenta el
elemento de control “controles” del Subsistema de Gestión al momento
de realizar la valoración de los riesgos (identificación, medición y
priorización) y la formulación de la política (o respuesta al riesgo:
evitar, aceptar, reducir, transferir). Esta mirada sistémica contribuye a
que la entidad no solo garantice la gestión institucional y el logro de los
objetivos, sino que fortalece el ejercicio del control interno en las
entidades de la Administración Pública.
La actualización de la cartilla Guía Administración del Riesgo obedece
a la adopción del Modelo Estándar de Control Interno y a la
armonización de la metodología planteada por la Dirección de Control
Interno y Racionalización de Trámites del Departamento Administrativo
de la Función Pública con el MECI 1000:2005, con el fin de facilitarles
a las entidades el ejercicio de la Administración del Riesgo.
[Escribir texto]
Página 14
3.2.3 Descripción de la Metodología
1. Planeación de la administración del riesgo
Para el diseño de esta planeación es fundamental tener claridad en la
misión institucional, en sus objetivos y tener una visión sistémica de
manera que no se perciba la administración del riesgo como algo
aislado. Igualmente es necesario conocer sobre el tema de riesgos y la
metodología propuesta.
Dicha planeación debe contener: ¿Cuándo va a empezar a manejarse
el tema dentro de la entidad?, ¿Quiénes van a participar directamente
en el proceso? , ¿Cuándo van a realizarse las capacitaciones y a
quién van a ir dirigidas? y ¿Cómo se va a articular el tema dentro de la
planeación y con los procesos?, entre otros
2. Valoración del riesgo
Presenta tres etapas que son Identificación, Análisis y Determinacion
del Nivel del riesgo.
Identificación de riesgos
Debe considerarse los factores externos e internos. Factores externos
relacionados con la entidad como son: económicos, sociales, de orden
público, políticos, legales y cambios tecnológicos, entre otros y como
factores internos: la naturaleza de las actividades de la entidad, la
estructura organizacional, los sistemas de información, los procesos y
procedimientos y los recursos económicos.
Para la identificación se recomienda la aplicación de varias
herramientas y técnicas como por ejemplo: entrevistas estructuradas
con expertos en el área de interés, reuniones con directivos y con
[Escribir texto]
Página 15
personas de todos los niveles en la entidad, evaluaciones individuales
usando cuestionarios, lluvias de ideas con los servidores de la entidad,
entrevistas e indagaciones con personas ajenas a la entidad, usar
diagramas de flujo, análisis de escenarios y hacer revisiones
periódicas de factores económicos y tecnológicos que puedan afectar
la organización, entre otros.
Clasificación del riesgo
Durante el proceso de identificación del riesgo se recomienda hacer
una clasificación de los mismos teniendo en cuenta los siguientes
conceptos
Riesgo Estratégico: Se asocia con la forma en que se administra la
Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales
relacionados con la misión y el cumplimiento de los objetivos
estratégicos, la clara definición de políticas, diseño y conceptualización
de la entidad por parte de la alta gerencia.
Riesgos Operativos: Comprende los riesgos relacionados tanto con
la parte operativa como técnica de la entidad, incluye riesgos
provenientes de deficiencias en los sistemas de información, en la
definición de los procesos, en la estructura de la entidad, la
desarticulación entre dependencias, lo cual conduce a ineficiencias,
oportunidades de corrupción e incumplimiento de los compromisos
institucionales.
Riesgos de Control: Están directamente relacionados con
inadecuados o inexistentes puntos de control y en otros casos, con
puntos de control obsoletos, inoperantes o poco efectivos.
Riesgos Financieros: Se relacionan con el manejo de los recursos de
la entidad que incluye, la ejecución presupuestal, la elaboración de los
estados financieros, los pagos, manejos de excedentes de tesorería y
el manejo sobre los bienes de cada entidad. De la eficiencia y
transparencia en el manejo de los recursos, así como su interacción
[Escribir texto]
Página 16
con las demás áreas dependerá en gran parte el éxito o fracaso de
toda entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la
entidad para cumplir con los requisitos legales, contractuales, de ética
pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología: Se asocian con la capacidad de la Entidad
para que la tecnología disponible satisfaga las necesidades
actuales y futuras de la entidad y sopor ten el cumplimiento de la
misión.
Análisis del riesgo
El objetivo del análisis es el de establecer una valoración y priorización
de los riesgos con base en la información obtenida en el formato de
identificación de riesgos elaborados en la etapa de identificación, con
el fin de obtener información para establecer el nivel de riesgo y las
acciones que se van a implementar. El análisis del riesgo dependerá
de la información sobre el mismo, de su causa y la disponibilidad de
datos. Para adelantarlo es necesario diseñar escalas que pueden ser
cuantitativas o cualitativas.
Se han establecido dos aspectos para realizar el análisis de los
riesgos identificados:
Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser
medida con criterios de frecuencia o teniendo en cuenta la presencia
de factores internos y externos que pueden propiciar el riesgo, aunque
éste no se haya materializado.
Impacto: consecuencias que puede ocasionar a la organización la
materialización del riesgo.
[Escribir texto]
Página 17
A continuación se presentan algunos ejemplos de las escalas que
pueden implementarse para analizar los riesgos.
Análisis cualitativo: se refiere a la utilización de formas descriptivas
para presentar la magnitud de consecuencias potenciales y la
posibilidad de ocurrencia. Se diseñan escalas ajustadas a las
circunstancias de acuerdo a las necesidades particulares de cada
organización.
Escala de medida cualitativa de PROBABILIDAD: se deben
establecer las categorías a utilizar y la descripción de cada una de
ellas, con el fin de que cada persona que aplique la escala mida a
través de ella los mismos ítems, por ejemplo:
ALTA: es muy factible que el hecho se presente.
MEDIA: es factible que el hecho se presente.
BAJA: es muy poco factible que el hecho se presente.
Ese mismo diseño puede aplicarse para la escala de medida
cualitativa de IMPACTO, estableciendo las categorías y la descripción,
por ejemplo:
ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto
sobre la entidad.
MEDIO: Si el hecho llegara a presentarse tendría medio impacto o
efecto en la entidad.
BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto
en la entidad.
Análisis cuantitativo: Este análisis contempla valores numéricos para
los cuales se pueden construir tablas; la calidad depende de lo
[Escribir texto]
Página 18
exactas y completas que estén las cifras utilizadas. La forma en la cual
la probabilidad y el impacto es expresada y las formas por las cuales
ellos se combinan para proveer el nivel de riesgo puede variar de
acuerdo al tipo de riesgo.
Priorización de los riesgos
Una vez realizado el análisis de los riesgos con base en los aspectos
de probabilidad e impacto, se recomienda utilizar la matriz de
priorización que permite determinar cuáles requieren de un tratamiento
inmediato.
Determinación del nivel del riesgo
La determinación del nivel de riesgo es el resultado de confrontar el
impacto y la probabilidad con los controles existentes al interior de los
diferentes procesos y procedimientos que se realizan. Para adelantar
esta etapa se deben tener muy claros los puntos de control existentes
en los diferentes procesos, los cuales permiten obtener información
para efectos de tomar decisiones, estos niveles de riesgo pueden ser:
ALTO: Cuando el riesgo hace altamente vulnerable a la entidad o
unidad. (Impacto y probabilidad alta vs controles)
MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto
alto - probabilidad baja o Impacto bajo - probabilidad alta vs controles).
BAJO: Cuando el riesgo presenta vulnerabilidad baja.( Impacto y
probabilidad baja vs controles).
Ejemplo:
Riesgo: Perdida de información debido a la entrada de un virus
[Escribir texto]
Página 19
en la red de información de la entidad. Probabilidad: Alta, porque
todos los computadores de la entidad están conectados a la red
de Internet e intranet.
Impacto: Alto, porque la perdida de información traería
consecuencias graves para el quehacer de la entidad.
Controles existentes: la entidad tiene establecidos controles
semanales haciendo backup o copias de seguridad y vacunando
todos los programas y equipos; además guarda la información
más relevante desconectada de la red en un centro de
información.
Resultado Nivel de riesgo: Medio por los controles establecidos
3. Manejo del riesgo
Consideración de Acciones
Para el manejo de los riesgos se deben analizar las posibles acciones
a emprender las cuales deben ser factibles y efectivas, tales como: la
implementación de políticas, definición de estándares, optimización de
procesos y procedimientos y cambios físicos entre otros. Se pueden
tener en cuenta alguna de las siguientes opciones, las cuales pueden
considerarse cada una de ellas independientemente, interrelacionadas
o en conjunto.
Evitar el riesgo: es siempre la primera alternativa a considerar. Se
logra cuando al interior de los procesos se generan cambios
sustanciales por mejoramiento, rediseño o eliminación, resultado de
unos adecuados controles y acciones emprendidas. Un ejemplo de
esto puede ser el control de calidad, manejo de los insumos,
mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
Reducir el riesgo: si el riesgo no puede ser evitado porque crea
grandes dificultades operacionales, el siguiente paso es reducirlo al
[Escribir texto]
Página 20
más bajo nivel posible. La reducción del riesgo es probablemente el
método más sencillo y económico para superar las debilidades antes
de aplicar medidas más costosas y difíciles. Se consigue mediante la
optimización de los procedimientos y la implementación de controles.
Ejemplo:
Planes de contingencia.
Dispersar y atomizar el riesgo: Se logra mediante la distribución o
localización del riesgo en diversos lugares. Es así como por ejemplo,
la información de gran importancia se puede duplicar y almacenar en
un lugar distante y de ubicación segura, en vez de dejarla concentrada
en un solo lugar. Transferir el riesgo: Hace referencia a buscar
respaldo y compartir con otro parte del riesgo como por ejemplo tomar
pólizas de seguros, esta técnica es usada para eliminar el riesgo de un
lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede
ser minimizado compartiéndolo con otro grupo o dependencia.
Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido
puede quedar un riesgo residual que se mantiene, en este caso el
gerente del proceso simplemente acepta la pérdida residual probable y
elabora planes de contingencia para su manejo.
Elaboración del Mapa de Riesgos
Para la consolidación del Mapa de Riesgos, adicional a las
consideraciones expuestas, es necesario identificar las causas que los
pueden ocasionar, lo cual facilita el proceso de definición de acciones
para mitigar los mismos.
[Escribir texto]
Página 21
La selección de las acciones más convenientes debe considerar la
viabilidad jurídica, técnica, institucional, financiera y económica y se
puede realizar con base en los siguientes factores:
a) El nivel del riesgo
b) El balance entre el costo de la implementación de cada acción
contra el beneficio de la misma
4. Monitoreo
El monitoreo es esencial para asegurar que las acciones se están
llevando a cabo y evaluar la eficiencia en su implementación
adelantando revisiones sobre la marcha para evidenciar todas
aquellas situaciones o factores que pueden estar influyendo en la
aplicación de las acciones preventivas.
3.3
METODOLOGIA MAGERIT
3.3.1 Introduccion
Metodología de análisis y gestión de riesgos de los sistemas de
información La razón de ser de MAGERIT está directamente
relacionada con la generalización del uso de los medios electrónicos,
informáticos y telemáticos, que supone unos beneficios evidentes,
pero que también dan lugar a ciertos riesgos que deben minimizarse
con medidas que garanticen la seguridad y generen confianza en la
utilización de estos medios.
La estructura de MAGERIT le permite llevar a cabo:
[Escribir texto]
Página 22
Análisis de riesgo para identificar las amenazas a los distintos
componentes ("activos") pertenecientes o relacionados con el Sistema
de Información, para evaluar la vulnerabilidad del sistema a esas
amenazas y
para estimar el impacto o el nivel de daño que una falta de
seguridad puede tener en la organización, obteniendo así una cierta
conciencia del riesgo que corre.
Gestión
del riesgo basados en los
resultados obtenidos en el
análisis anterior, y le permite seleccionar y aplicar las medidas de
seguridad adecuadas o "garantías" a fin de descubrir, prevenir,
impedir, reducir o controlar los riesgos identificados, reduciendo así los
posibles daños a los activos.
3.3.2 Historia y evolución
Actualmente se encuentra en la versión 2.0, el periodo transcurrido
desde la publicación de la primera versión de Magerit (1997), el
análisis de riesgos se ha venido consolidando como paso necesario
para la gestión de la seguridad.
En Magerit v1.0, todos los conceptos resultan familiares con la v2.0,
aunque hay cierta evolución.
En particular se reconocerá lo que se denominaba submodelo de
elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y
salvaguardas. Esta parte conceptual ha sido refrendada por el paso
del tiempo y sigue siendo el eje alrededor del cual se vertebran las
fases fundamentales de análisis y gestión. Se ha corregido y ampliado
lo que se denominaba “subestados de seguridad” dándole el nuevo
nombre de “dimensiones” e introduciendo nuevas varas de medir lo
que interesa de los activos. El submodelo de procesos aparece bajo el
epígrafe de “estructuración del proyecto de análisis y gestión de
riesgos”.
[Escribir texto]
Página 23
Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo
conceptual, no se puede decir lo mismo de los detalles técnicos de los
sistemas de información con los que se trabaja. Se intenta una puesta
al día; pero ante todo se intenta diferenciar lo que es esencial (y
permanente) de lo que es coyuntural y cambiará con el tiempo. Esto
se traduce en parametrizar el método de trabajo, referenciándolo a
catálogos externos de amenazas y salvaguardas que se podrán
actualizar, adaptándose al paso del tiempo, tanto por progreso
tecnológico como por progreso de los sujetos, pues tan cierto es que
los sistemas cambian como que lo hacen los sujetos a su alrededor,
buenos y malos. Y, cuanto más éxito tengan los sistemas, más
usuarios tendrán y simultáneamente, más sujetos habrá interesados
en abusar de ellos o, simplemente, destruirlos.
Así pues, quede el método, abierto de forma que estando claro qué se
hace y cómo, se puedan adaptar los detalles a cada momento.
Por otro lado el paso de Métrica v2.1 a Métrica v3.0 ha supuesto una
completa revisión de este punto. En la v2.0 de Magerit aparece en el
capítulo de “Desarrollo de Sistemas Informáticos”, enfatizando primero
el desarrollo de aplicaciones aisladas y luego el proceso de desarrollo
de sistemas de información completos.
3.3.3 Descripción de la metodología
Magerit persigue los siguientes objetivos:
 Concientizar a los responsables de los sistemas de información
de la existencia de riesgos y de la necesidad de atajarlos a
tiempo.
 Ofrecer un método sistemático para analizar tales riesgos.
 Ayudar a descubrir y planificar las medidas oportunas para
mantener los riesgos bajo control.
[Escribir texto]
Página 24
 Preparar a la Organización para procesos de evaluación,
auditoría, certificación o acreditación, según corresponda en
cada caso.
Describe los pasos y las tareas básicas para realizar un proyecto de
análisis y gestión de riesgos, y proporciona una serie de aspectos
prácticos. Describe la metodología desde tres ángulos:



El capítulo 2 describe los pasos para realizar un análisis del
estado de riesgo y para gestionar su mitigación. Es una
presentación netamente conceptual.
El capítulo 3 describe las tareas básicas para realizar un
proyecto de análisis y gestión de riesgos, entendiendo que no
basta con tener los conceptos claros, sino que es conveniente
pautar roles, actividades, hitos y documentación para que la
realización del proyecto de análisis y gestión de riesgos esté
bajo control en todo momento.
El capítulo 4 aplica la metodología al caso del desarrollo de
sistemas de información, en el entendimiento que los proyectos
de desarrollo de sistemas deben tener en cuenta los riesgos
desde el primer momento, tanto los riesgos a que están
expuestos, como los riesgos que las propias aplicaciones
introducen en el sistema.
Como complemento, el capítulo 5 desgrana una serie de aspectos
prácticos, derivados de la experiencia acumulada en el tiempo para la
realización de un análisis y una gestión realmente efectivos.
Los apéndices recogen material de consulta:
 Glosario
 Referencias bibliográficas consideradas para el desarrollo de
esta metodología
 Referencias al marco legal que encuadra las tareas de análisis y
gestión
[Escribir texto]
Página 25




El marco normativo de evaluación y certificación
Las características que se requieren de las herramientas,
presentes o futuras, para soportar el proceso de análisis y
gestión de riesgos
Una guía comparativa de cómo Magerit versión 1 ha
evolucionado en esta versión 2.
Se desarrolla un caso práctico como ejemplo.
Elementos de Magerit
Activos: recursos del sistema de información o relacionados con éste,
necesarios para que la organización funcione correctamente y alcance
los objetivos propuestos por la dirección.
Amenazas: eventos que pueden desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales
en sus activos.
Vulnerabilidad de un activo: potencialidad o posibilidad de
ocurrencia de la materialización de una amenaza sobre dicho activo.
Impacto en un activo: consecuencia sobre éste de la materialización
de una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un
activo, en un dominio o en toda la organización.
Servicio de salvaguarda: acción que reduce el riesgo.
Mecanismo de salvaguarda: procedimiento, dispositivo, físico o
lógico, que reduce el riesgo.
Etapas de Magerit
[Escribir texto]
Página 26
Planificación
En esta fase, se establece el objetivo del proyecto, el dominio de
estudio y las restricciones generales. Deben también definirse las
métricas con las que se valorarán los diferentes elementos de
seguridad, de manera que los resultados finales de medición del
riesgo sean definidos en función de los parámetros adecuados para
cuantificar el riesgo por la organización (por ejemplo, definir la escala
de frecuencias para medir la vulnerabilidad, definir las cantidades
monetarias por las que cuantificar el impacto).
Análisis de riesgos
Una vez definido el dominio, los analistas de riesgos procederán a
realizar las entrevistas al personal de la organización para la obtención
de información. En esta fase se identificarán los activos de la
organización, identificando las relaciones que se establecen entre
activos. De esta forma se obtiene el "árbol de activos" que representan
las distintas dependencias y relaciones entre activos, es decir, todos
aquellos elementos que están "encadenados entre sí" en términos de
seguridad. También se identifica el conjunto de amenazas,
estableciendo para cada activo, cuál es la vulnerabilidad que presenta
frente a dicha amenaza. Además, se cuantifica el impacto, para el
caso en el que la amenaza se materializase. Analizar información
generada en estudios de riesgos anteriores que permitan ajustar de
forma más exacta las diferentes dependencias entre activos. Con toda
esta información, tendremos una estimación del costo que podría
producir la materialización de una amenaza sobre un activo. Teniendo
en cuenta las relaciones funcionales y de dependencias entre activos,
se hallan los valores de riesgo.
[Escribir texto]
Página 27
Gestión de riesgos
En esta fase, se procede a la interpretación del riesgo. Una vez
identificados los puntos débiles, debe seleccionarse el conjunto de
funciones de salvaguarda que podrían ser usados para disminuir los
niveles de riesgo a los valores deseados. Para ello, deberán
especificarse los mecanismos de salvaguarda que se encuentran
implantados hasta ese momento y cuál es su grado de cumplimiento.
Este proceso es ayudado por la simulación. Se van probando
selecciones de diferentes mecanismos de salvaguarda y se estudia en
qué medida reducen los niveles de riesgo a los márgenes deseados.
Es muy importante realizar las correctas estimaciones de la efectividad
de los diferentes mecanismos de salvaguarda para ajustar de forma
precisa los valores de riesgo.
Selección de mecanismos de salvaguarda
Una vez obtenidos estos resultados, se establecen de nuevo
reuniones con el equipo de la organización. De esta forma, se analizan
los resultados obtenidos y se establece un plan de implantación de
mecanismos.
[Escribir texto]
Página 28
[Escribir texto]
Página 29
Características de Magerit
Clasifica el estado de seguridad de cada activo o grupo de activos de
la siguiente manera según su estado de Autenticación,
Confidencialidad, Integridad y Disponibilidad.
Subestado A de autenticación: definido como la característica de
dar y reconocer la autenticidad de los activos del dominio (de tipo
información) y/o la identidad de los actores y/o la autorización por
parte de los autorizadores, así como la verificación de dichas tres
cuestiones.
[Escribir texto]
Página 30
Subestado C de confidencialidad: definido como la característica
que previene contra la divulgación no autorizada de activos del
dominio. Concierne sobre todo a activos de tipo información, y a
menudo se relaciona con la intimidad o ‘privacidad’, cuando esa
información se refiere a personas físicas, que trata la LORTAD, Ley
Orgánica de Regulación del Tratamiento Automatizado de los Datos
de carácter personal. El término divulgación debe tomarse en su
sentido más estricto: el simple acceso físico o lógico al activo altera
este subestado, aunque no haya modificaciones aparentes ni difusión
posterior.
Subestado I de integridad, definido como la característica que
previene contra la modificación o destrucción no autorizadas de
activos del dominio. La integridad está vinculada a la fiabilidad
funcional del sistema de información (o sea su eficacia para cumplir
las funciones del sistema de organización soportado por aquél) y suele
referirse (no siempre) a activos de tipo información. Por ejemplo, son
típicos los problemas causados por la amenaza de un virus (llegado
con un disquete externo o por la red) a la integridad de los datos
almacenados en el disco duro de un PC.
Subestado D de disponibilidad, definido como la característica que
previene contra la denegación no autorizada de acceso a activos del
dominio. La disponibilidad se asocia a la fiabilidad técnica (tasa de
fallos) de los componentes del sistema de información.
[Escribir texto]
Página 31
Categorías de los activos
Magerit categoriza los activos en cinco categorías:
1. Activos relacionados con el nivel del entorno (E)
•
Equipamientos
comunicaciones)
y
suministros
(energía,
climatización,
• Personal (de dirección, de operación, de desarrollo, otro)
• Otros tangibles (edificaciones, mobiliario, instalación física)
2. Activos relacionados con el nivel de los Sistemas de
Información:
• Hardware (de proceso, de almacenamiento, de interfaz, servidores,
firmware, otros)
• Software (de base, paquetes,
modificación de firmware)
producción
de
aplicaciones,
• Comunicaciones (redes propias, servicios, componentes de conexión,
etc.)
3. Activos relacionados con el nivel de la Información:
• Datos (informatizados, concurrentes al o resultantes del Sistema de
Información)
• Meta-información (estructuración, formatos, códigos, claves de
cifrado)
• Soportes (tratables informáticamente, no tratables)
4. Activos relacionados con el nivel de las Funcionalidades de la
organización:
• Objetivos y misión de la organización
• Bienes y servicios producidos
• Personal usuario y/o destinatario de los bienes o servicios producidos
[Escribir texto]
Página 32
5. Otros Activos no relacionados con los niveles anteriores
• Credibilidad (ética, jurídica, etc. ) o buena imagen de una persona
jurídica o física,
• Conocimiento acumulado,
• Independencia de criterio o de actuación,
• Intimidad de una persona física,
• Integridad material de las personas, etc.
Atributos de los Activos
Cada Activo o Grupo de Activos incorpora como atributos esenciales
dos indicadores sobre dos tipos de valoraciones, que ofrecen una
orientación para calibrar el posible impacto que la materialización de
una amenaza puede provocar en el activo:
• La valoración intrínseca del activo considerado tiene dos aspectos
Uno cualitativo como valor de uso del Activo; este atributo
permite responder al para qué sirve el Activo y soporta la
clasificación anterior en tipos por naturaleza.
Otro cuantitativo como valor de cambio, o sea cuánto vale; este
atributo es válido para ciertos tipos de activo y útil tanto a efectos
indirectos de la valoración del impacto causable por las
amenazas, como para soportar la decisión entre la valoración del
Riesgo y la de las salvaguardas para reducirlo.
• La valoración del estado de seguridad del activo considerado,
expuesta anteriormente como característica por su importancia, se
concreta en sus 4 subestados A-C-I-D: autenticación, confidencialidad,
integridad, disponibilidad.
[Escribir texto]
Página 33
3.4
COMPARACION CON COBIT
COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de
IT", recomienda "Crear y dar mantenimiento a un marco de trabajo
de administración de riesgos", alertándonos de esta forma de la
necesidad de realizar un Análisis de Riesgos, con el fin de poder
desarrollar una estrategia de mitigación de Riesgos minimizando el
Riesgo Residual hasta un nivel aceptable por la organización.
COBIT no especifica ninguna metodología ni herramienta de
Análisis de Riesgos en particular, por lo que deja a nuestra elección
la metodología más conveniente según nuestras necesidades. Aquí
es donde se presenta una relación entre COBIT y Magerit ya que
esta última según la definición es una metodología de
administración de riesgos que proporciona políticas para asegurar
la información relevante de una organización. A continuación se
presenta una definición de esta metodología:
MAGERIT es una metodología desarrollada en España por el
Ministerio de Administraciones Públicas, que estudia los riesgos
soportados por los Sistemas de Información para recomendar
aquellas medidas más encaminadas a controlar su impacto. Sus
objetivos básicos son, en primer lugar, concienciar a los
responsables de los sistemas de información de la existencia de
riesgos y de la necesidad de que éstos sean controlados antes de
que se materialicen; en segundo lugar, ofrecer un método
sistemático para el análisis de dichos riesgos; en tercer lugar,
ayudar a descubrir y planificar medidas oportunas para mantener
los riesgos bajo control; y en cuarto lugar, ayudar a la Organización
para que ésta se encuentre preparada para procesos de
evaluación, auditoría, certificación y acreditación.
[Escribir texto]
Página 34
4. RESUMEN DEL TRABAJO
La gestión de riesgos corporativos permite a la dirección tratar
Eficazmente la incertidumbre y sus riesgos y oportunidades asociados,
mejorando así la capacidad de generar valor.
Se maximiza el valor cuando la dirección establece una estrategia y
objetivos para encontrar un equilibrio óptimo entre los objetivos de
crecimiento y rentabilidad y los riesgos asociados, además de
desplegar recursos eficaz y eficientemente a fin de lograr los objetivos
de la entidad.
La gestión de riesgos corporativos incluye las siguientes capacidades:
Alinear el riesgo aceptado y la estrategia
En su evaluación de alternativas estratégicas, la dirección considera el
riesgo aceptado por la entidad, estableciendo los objetivos
correspondientes y desarrollando mecanismos para gestionar los
riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos
La gestión de riesgos corporativos proporciona rigor para identificar los
riesgos y seleccionar entre las posibles alternativas de respuesta a
ellos: evitar, reducir, compartir o aceptar.
Reducir las sorpresas y pérdidas operativas
Las entidades consiguen mejorar su capacidad para identificar los
eventos potenciales y establecer respuestas, reduciendo las sorpresas
y los costes o pérdidas asociados.
Identificar y gestionar la diversidad de riesgos para toda la entidad
Cada entidad se enfrenta a múltiples riesgos que afectan a las
distintas partes de la organización y la gestión de riesgos corporativos
facilita respuestas eficaces e integradas a los impactos
interrelacionados de dichos riesgos.
Aprovechar las oportunidades
[Escribir texto]
Página 35
Mediante la consideración de una amplia gama de potenciales
eventos, la dirección está en posición de identificar y aprovechar las
oportunidades de modo proactivo.
Mejorar la dotación de capital
La obtención de información sólida sobre el riesgo permite a la
dirección evaluar eficazmente las necesidades globales de capital y
mejorar su asignación.
5. CONCLUSIONES Y OBSERVACIONES
Son dos los pilares fundamentales para la creación de esta cultura:
o Una política de seguridad corporativa que se entienda (escrita
para los que no son expertos en la materia), que se difunda y
que se mantenga al día.
o Una formación continua a todos los niveles, recordando las
cautelas rutinarias y las actividades especializadas, según la
responsabilidad adscrita a cada puesto de trabajo.
A fin de que estas actividades cuajen en la organización, es
imprescindible que la seguridad sea
 Mínimamente intrusiva: que no dificulte innecesariamente la
actividad diaria ni hipoteque alcanzar los objetivos de
productividad propuestos.
 Sea “natural”: que no dé pie a errores gratuitos, que facilite el
cumplimiento de las buenas prácticas propuestas.
 Practicada por la Dirección: que dé ejemplo en la actividad
diaria y reaccione con presteza a los cambios e incidencias.
[Escribir texto]
Página 36
 Los activos de información y los equipos informáticos son
recursos importantes y vitales, sin ellos las organizaciones
quedarían paralizadas en sus actividades y por tal razón es
necesario preservarlos. Esto significa que se deben tomar las
acciones apropiadas para asegurar que la información y los
sistemas informáticos estén apropiadamente protegidos de
muchas
clases
de
amenazas
y
riesgos.
Para tal acción deben emplearse medidas y políticas de
seguridad las cuales tienen como finalidad proporcionar
instrucciones específicas sobre qué y cómo mantener seguras
las tecnologías de información.
 En conclusión, por tanto, podemos afirmar que cualquier
metodología de análisis de riesgos conlleva de forma implícita
una identificación / inventario de activos, una reflexión sobre el
posible catálogo de amenazas que pueden afectar a los mismos,
la medición de su impacto y probabilidad de ocurrencia, así
como una recomendación final sobre las salvaguardas más
apropiadas para minimizar el riesgo.
6 BIBLIOGRAFIA
[Escribir texto]
Página 37
Departamento Administrativo de la fundación Publica
Guía administración del riesgo Bogotá, D.C., junio de 2004
Segunda Edición
http://200.26.134.109:8092/unisucre/hermesoft/portal/home_1/rec/arc_
2129.pdf
risk analysis and management methodology for
information system ver 1.0
http://www.epractice.eu/files/media/media_920.pdf
Risk IT
ISACA 2009
http://www.isaca.org/Knowledge-Center/Research/Documents/Risk-ITframework-spanish.pdf
CERT
–
Software
Engineering
Institute
en:http://www.cert.org/octave/
[Escribir texto]
Página 38
(2008).
OCTAVE.
Disponible
Documentos relacionados
Descargar