Capítulo 5. Gestión del Riesgo

Anuncio
Índice de contenido
5. Ficha de Caracterización del Subproceso Gestión del Riesgo.........................................................3
5.1. Descripción de la Actividades del procedimiento “ Gestión del Riesgo”...................................5
5.2 GUIAS............................................................................................................................................7
5.2.1. Generalidades MAGERIT.....................................................................................................7
5.2.2. Identificación de los Activos...............................................................................................10
5.2.3. Valoración de los Activos ..................................................................................................12
5.2.4. Identificación de amenazas asociadas a los activos............................................................14
5.2.5. Identificación y valoración de las Vulnerabilidades ..........................................................19
5.2.6. Identificación y valorización de impactos...........................................................................19
5.2.7. Estimación del Riesgo.........................................................................................................22
1
5. Ficha de Caracterización del Subproceso Gestión del
Riesgo. 2
3
5.1. Descripción de la Actividades del procedimiento “Gestión del Riesgo”
Nombre de la Actividad
Descripción Artefactos
Relacionados
(Productos)
Responsables
1. Identificación de Activos re­ Los activos son los recursos del proyecto o Líder del Proyecto
queridos para desarrollar un el software relacionados con éste, requeri­
proyecto de software
dos y necesarios para que se alcance efi­
cientemente los objetivos propuestos, pue­
den ser de diferente tipo como el entorno, las personas , la organización etc
Plan de Riesgos
Guías
­ Generalidades Magerit
­ Identificación de los acti­
vos
­ Valoración de los Activos
2. Definición de Criterios de va­ Una vez se identifique los activos asociados Líder del Proyecto
al proyecto y/o al software , se establecen loración de activos
los criterios o dimensiones que permiten evaluarlos y valorarlos.
3. Valoración de activos
Los criterios definidos deben valorarse en Líder del Proyecto
forma cualitativa, cuantitativa o ambas me­
diante escalas trazables.
4. Identificación de amenazas Este paso consiste en identificar las amena­ Líder del Proyecto
zas que afectan los activos relevantes que previamente fueron valorados. Las amena­
zas son eventos o cosas que ocurren o pue­
den ocurrir y que pueden generar daños a los activos .
­ Generalidades Magerit
­ Identificación de las ame­
nazas asociadas a los acti­
vos.
5.Identificación de vulnerabilida­ Una vulnerabilidad es un estado de debili­ Líder del Proyecto
des
dad que si ocurriese se materializa una o varias amenazas que afecta los activos del proyecto y/o software, por lo que es indis­
6. Definición de criterios y va­
Líder del Proyecto
pensable identificarlas, valorarlas y priorizar­
loración de vulnerabilidades
las.
­ Generalidades Magerit
­ Identificación y valoración de vulnerabilidades
4
7. Identificación y valoración del Los impactos son los daños que se pueden Líder del Proyecto
Impacto
originar por la materialización de las amena­
zas, estos se valoran de acuerdo a ciertos criterios preestablecidos tomando en cuenta el activo y las amenazas que lo potenciali­
zan.
­ Generalidades Magerit
­ Identificación y valoración de impactos
8. Estimación y priorización del Al tener la valoración de los elementos: acti­ Líder del Proyecto
riesgo a través de la matriz de vos, amenazas y vulnerabilidades, se desa­
riesgo
rrolla la matriz de riesgos que permite con­
trarrestar vulnerabilidades e impactos, per­
mitiendo identificar, estimar, clasificar y prio­
rizar los riesgos existen en el proyecto. ­ Estimación del Riesgo
9. Definición de Plan de Mejora­ Una vez identificados los riesgos con sus Líder del Proyecto
miento
respectivos impactos y vulnerabilidades se procede a definir las acciones correctivas y preventivas pertinentes que permitan mitigar en forma proactiva las amenazas a los que esta expuesto el proyecto.
10. Puesta en marcha del Plan Los actores responsables de las acciones Equipo de Desarrollo de Mejoramiento
de mejora proceden a ejecutarlas de tal ma­
nera que se evidencie un mejoramiento con­
tinuo del proyecto.
11. Seguimiento del Plan de Me­ El líder del proyecto lleva un seguimiento a Líder del Proyecto
joramiento
las acciones de mejora 12. Actualización del Plan de El líder de proyecto constantemente actuali­ Líder del Proyecto
Riesgos
za el Plan de Riesgos con sus respectivas acciones de mejoramiento.
5
­ Manejo del Riesgo
Plan de Riesgos
5.2 GUIAS
5.2.1. Generalidades MAGERIT
MAGERIT es el acrónimo de "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas". Es un método de carácter público elaborado por el Consejo Superior de Informática (CSI), órgano del Ministerio de Administraciones Públicas (MAP), encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.
Este metodo nace para minimizar los riesgos asociados al uso de Sistemas Informáticos y Telemáticos, garantizando la autenticación, confidencialidad, integridad y disponibilidad de dichos sistemas y generando de este modo confianza en el usuario de los mismos.
Se persigue, por tanto, un doble objetivo:
●
Estudiar los riesgos asociados a un sistema de información y su entorno.
●
Recomendar las medidas necesarias para conocer, prevenir, impedir, reducir o controlar los riesgos estudiados.
El modelo MAGERIT se apoya en 3 submodelos representados así:
6
Submódelo elementos
El Submódelo de elementos proporciona los “Componentes”’ que el Submódelo de eventos relacionará entre sí.
Componente
Definición
Activo
Son los recursos necesarios para que el ­Recurso
Humano
proyecto o relacionados con este, alcance ­Recurso
Tecnológico
los objetivos propuestos ­Recursos Físicos
­Información
Amenaza
Evento que puede desencadenar un ­Accidentes
naturales, incidente en la organización, produciendo industriales o humanos
daños materiales o inmateriales en los ­Errores y fallos intencionados activos. Al materializarse se transforman en y no intencionados.
Agresiones. Vulnerabilidad
Estado, debilidad o incapacidad de ­Disposición desorganizada resistencia cuando se presenta un de cables de energía y de red fenómeno amenazante y que al ser ­Ambientes sin protección explotado afecta el estado de los activos del contra incendios.
proyecto
Impacto
Es el daño producido sobre un activo por la ­Perdidas económicas, materialización de una amenaza.
­Incumplimiento de Objetivos del Proyecto
Riesgo
Es la probabilidad de que las amenazas exploten los puntos débiles (vulnerabilidades), causando pérdidas o daños a los activos e impacto al proyecto o sistema. Medidas
Control 7
Ejemplos
de Son acciones orientadas hacia la ­Especificación de puestos de eliminación de vulnerabilidades, teniendo en trabajo
mira evitar que una amenaza se vuelva ­Formación continua realidad. ­Configuración de cortafuegos
Submódelo de Eventos
Relación de los Elementos o componentes
P
R
O
P
I m
I E
p
o
T A
R
I O
S
n M e En D
I D
A
R
C
o
n
s c i e
n
e
t e
d
u
D
S
T A
C
A
N
E
D
a
n
p
i e
Aa
p
a
s
V
U
L N
s
T E
E
c i d
L
A
D
l e
C
Q
P
u
o
r
E
R
v a
O
l o
M
E
t a
I n
N
n
c r e
m
Z A
S
A
a
A
8
b
u
t a
o
o
b
b
n
I L I D
I E
n
S
s a
B
R
e
S
a
n
V a l o r a n
i n i m
i z a r
M
r a
R e d u c i r
N T R O L
e
p u e d e n
t e n
A
n
s e
a
S
x p
e
S
G
A
D
E
C
T I V
e
r
S
O
n
r e
A
O
S
r e
d
e
y / o
p
u
e
d
e
n
d
a
ñ
a
r
Submódelo Procesos
El Submódelo de Procesos se divide en 4 etapas
1. Planificación : Como consideraciones iniciales para arrancar el proyecto de análisis y gestión de riesgos se estudia la viabilidad de desarrollarlo, se definen los objetivos que ha de cumplir y el ámbito que abarcará, especificando los medios materiales y humanos para su ejecución. En esta etapa se hacen estimaciones iniciales de los riesgos que pueden afectar al sistema de información así como del tiempo y los recursos que su tratamiento conllevará.
2. Análisis de riesgos: Se identifican y valoran las diversas entidades, obteniendo una evaluación del riesgo.
3. Gestión de riesgos: Se identifican las medidas de control reductoras del riesgo, seleccionando los que son aceptables en función de las ya existentes y tomando en cuenta las restricciones.
4. Selección de Medidas de Control: Se definen actividades para desarrollar el plan de implantación de los mecanismos de control elegidos y los procedimientos de seguimiento para la implantación. 5.2.2. Identificación de los Activos
Para que el análisis de riesgos tenga un efecto positivo y real, es necesario identificar los elementos relevantes.
Se entiende Relevancia los puntos claves a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones del plan de Riesgos.
Este paso consiste en identificar y valorar la relevancia de los activos determinantes para el proyecto. Los activos se evalúan sobre una escala de valor crítico donde se define qué tan importantes son para cumplir con los objetivos del proyecto.
La relevancia de los activos marcará el rumbo definitivo de las acciones a seguir en el análisis del Riesgo.
Cuanta mayor relevancia tenga un activo o mayor es la importancia crítica, mayor será el riesgo al que está expuesto el proyecto en caso de ocurrir un incidente que materialice una amenaza.
Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos debe proveer los datos cuantitativos y cualitativos que permitan su evaluación.
9
En la identificación de los Activos se deberán detallar las siguientes variables: Fecha de Nombre del Identificación
Activo
Tipo
Valoración
Valoración
Valoración
Cuantitativa
Cualitativa
Final
Los activos identificados se agruparán en el siguiente cuadro, de acuerdo al tipo de función que desempeñan:
Tipo
Definición Ejemplo
Servicios
Función que satisface una necesidad de los Servicios públicos usuarios del servicio. Para la prestación de un prestados por la servicio los servicios aparecen como activos de un Administración para análisis de riesgos bien como servicios finales satisfacer necesidades
(prestados por la Organización a terceros), bien de la colectividad
como servicios instrumentales (donde los usuarios y los medios son propios), bien como servicios contratados (a otra organización que los Servicios internos proporciona con sus propios medios).
prestados
Datos/ Información
Elementos de información que de forma singular o Base de datos
agrupados de alguna forma, representan el Leyes o reglamentos
conocimiento que se tiene de algo.
Código Fuente
Los datos son el corazón que permite a una Código Ejecutable
organización prestar sus servicios
Aplicaciones
Este tipo se refiere a tareas que han sido Programas, aplicativos, automatizadas para su desempeño por un equipo desarrollos
informático. Las aplicaciones gestionan, analizan y transforman los datos permitiendo la explotación de la información para la prestación de los servicios.
(Software)
Equipos informáticos 10
Dícese de los bienes materiales, físicos, destinados Computador, Video a soportar directa o indirectamente los servicios ( Hardware)
que presta la organización, siendo pues Beam, Impresora
depositarios temporales o permanentes de los datos, soporte de ejecución de las aplicaciones informáticas o responsables del proceso o la transmisión de datos.
Redes de Comunicaciones
Incluyendo tanto instalaciones dedicadas como Red Local
servicios de comunicaciones contratados a Internet
terceros; pero siempre centrándose en que son medios de transporte que llevan datos de un sitio a Red telefónica
otro.
Red inalámbrica
Soportes de Información
Se consideran dispositivos físicos que permiten almacenar información de forma permanente o al menos durante largos periodos de tiempo.
Memoria USB
Disco duro
Equipamiento Auxiliar Se consideran dispositivos físicos que permiten almacenar información de forma permanente o al menos durante largos periodos de tiempo.
Cintas
Instalaciones
Los lugares donde se hospedan los sistemas de información y comunicaciones.
Edificio
Personal
Aparecen las personas relacionadas con los sistemas de información.
Administradores
Mobiliarios
Cajas Fuertes
Desarrolladores
5.2.3. Valoración de los Activos
Una vez identificados los activos que están relacionados con el proyecto de software es necesario valorar el nivel de importancia que tienen estos en el desarrrollo del mismo, para ello se debe definir las dimensiones o criterios bajo los cuales se van a evaluar, como por ejemplo:
­ Autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) ­ Confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. 11
­ Integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. ­ Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios. ­Trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? ­ Nivel de Importancia para el cumplimiento de los objetivos del proyecto La valoración del activo puede ser cualitativa , cualitativa o ambas
Por ejemplo, esta puede ser una escala para una valoración cualitativa Escala de Valoración
Valor MB:Muy Bajo 1
Descripción
Irrelevante para efectos Prácticos
B: Bajo
2
Importancia menor para el desarrollo del proyecto
M: Medio
3
Importante para el proyecto
A: Alto
4
Altamente importante para el proyecto
MA: Muy alto 5
De vital importancia para los objetivos que persigue el proyecto
Y una escala cuantitativa se determina, de acuerdo al valor del activo en pesos, de la siguiente manera:
12
Escala de Valoración
Escala Descripción
Cuantitativa
MB:Muy Bajo
1
0 a 500.000
B: Bajo
2
501.000 a 1.500.000
M: Medio
3
1.501.000 a 3.000.000
A: Alto
4
3.001.000 a 5.000.000
5
MA: Muy alto
5.000.001 o más
Si se toma en cuenta tanto la escala cuantitativa como cualitativa se deben promediar haciendo relevancia en aquellos con valor mayor a 3.
5.2.4. Identificación de amenazas asociadas a los activos
Una vez se hallan detectado los activos realmente importantes y relevantes para el desarrollo del proyecto, se inicia la identificación de las amenazas a los que están expuestos, diligenciado el siguiente cuadro:
Activo Amenaza
A continuación se presenta una relación de amenazas típicas que pueden guiar este paso.
a. Desastres Naturales
AMENAZA
DESCRIPCIÓN
Fuego
Incendios: posibilidad de que el fuego acabe con recursos del sistema.
Daños por Agua
inundaciones: posibilidad de que el agua acabe con recursos del sistema.
Desastres Naturales Incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento de tierras...
b. De Origen Industrial
AMENAZA
13
DESCRIPCIÓN
Fuego
Incendio: posibilidad de que el fuego acabe con los recursos del sistema.
Daños por Agua
Escapes, fugas, inundaciones: posibilidad de que el agua acabe con los recursos del sistema
Desastres Desastres debidos a la actividad humana: explosiones, Industriales
derrumbes, ...
contaminación química, sobrecarga eléctrica,.
Contaminación Mecánica
Vibraciones, polvo, suciedad, ...
Contaminación Electromagnética
Interferencias de radio, campos magnéticos, luz ultravioleta, Avería de origen Físico o lógico
Fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema
Corte del suministro eléctrico Cese de la alimentación de potencia
Condiciones inadecuadas de temperatura y/o humedad
Deficiencias en la aclimatación de los locales, excediendo los márgenes de trabajo de los equipos: excesivo calor, excesivo frío, exceso de humedad
Fallos de servicios Cese de la capacidad de transmitir datos de un sitio a otro.
de comunicación 14
Interrupción de otros servicios y suministros esenciales
Otros servicios o recursos de los que depende la operación de los equipos; por ejemplo, papel para las impresoras, tóner, refrigerante, etc.
Degradación de los soportes de almacenamiento de la información
Como consecuencia del paso del tiempo
c. Errores y fallos no Intecionados
AMENAZA
DESCRIPCIÓN
Errores de los usuarios
Equivocaciones de las personas cuando usan los servicios, datos, etc.
Errores del administrador
Equivocaciones de personas con responsabilidades de instalación y operación.
Errores de monitorización
Inadecuado registro de actividades: falta de registros, registros incompletos.
Errores de configuración
Introducción de datos de configuración erróneos.
Deficiencias en la organización Cuando no está claro quién tiene que hacer exactamente qué y cuándo.
Difusión de software dañino
Propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas,
Errores de re­encaminamiento Envío de información a través de un sistema o una red usando, accidentalmente, una ruta incorrecta que lleve la información a donde o por donde no es debido
Errores de secuencia
Alteración accidental del orden de los mensajes transmitidos
Escapes de información
La información llega accidentalmente al conocimiento de personas que no deberían tener conocimiento de ella, sin que la información en sí misma se vea alterada
Alteración de la información
Alteración accidental de la información.
Introducción de información incorrecta
Inserción accidental de información incorrecta.
Degradación de la información Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en algún soporte informático hay amenazas específicas.
Destrucción de información
Pérdida accidental de información.
Divulgación de información
Revelación por indiscreción.
Incontinencia verbal, medios electrónicos, soporte papel.
15
Vulnerabilidades de los programas (software)
Defectos en el código que dan pie a una operación defectuosa sin intención por parte del usuario
Errores de mantenimiento / actualización de programas (software
Defectos en los procedimientos o controles de actualización del código que permiten que sigan utilizándose programas con defectos conocidos y reparados por el fabricante.
Errores de mantenimiento / actualización de equipos (hardware).
Defectos en los procedimientos o controles de actualización de los equipos que permiten que sigan utilizándose más allá del tiempo nominal de uso.
Caída del sistema por agotamiento de recursos
La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada.
Indisponibilidad del personal
Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden público,
d. Ataques Intencionados
AMENAZA
DESCRIPCIÓN
Manipulación de la configuración
Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento
Suplantación de la identidad del usuario
Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios
Abuso de privilegios de acceso
Cada usuario disfruta de un nivel de privilegios para un determinado propósito: cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de su competencia hay problemas.
Uso no previsto
Utilización de los recursos del sistema para fines no previstos, típicamente de interés personal: juegos, consultas personales en Internet, bases de datos personales, programas personales, almacenamiento de datos personales, etc.
Difusión de software dañino
Propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc
Encaminamiento de mensajes
Envío de información a un destino incorrecto a través de un sistema o una red que llevan la información a donde o por donde no es 16
debido: puede tratarse de mensajes entre personas, entre procesos o entre unos y otros.
Alteración de secuencia
Alteración del orden de los mensajes transmitidos con ánimo de que el nuevo orden altere el significado del conjunto de mensajes, perjudicando a la integridad de los datos afectados.
Acceso no autorizado
El atacante consigue acceder a los recursos del sistema sin tener autorización para ello, típicamente aprovechando un fallo del sistema de identificación y autorización.
Análisis de tráfico
El atacante, sin necesidad de entrar a analizar el contenido de las comunicaciones, es capaz de extraer conclusiones a partir del análisis del origen, destino, volumen y frecuencia de los intercambios.
Repudio
Negación a posteriori de actuaciones o compromisos adquiridos en el pasado.
Repudio de origen: negación de ser el remitente u origen de un mensaje o comunicación.
Intercepción de información (escucha)
El atacante llega a tener acceso a información que no le corresponde, sin que la información en sí misma se vea alterada.
Modificación de la información
Alteración intencional de la información, con ánimo de obtener un beneficio o causar un perjuicio.
Introducción de falsa información
Inserción interesada de información falsa, con ánimo de obtener un beneficio o causar un perjuicio.
Corrupción de la información
Degradación intencional de la información, con ánimo de obtener un beneficio o causar un perjuicio.
Destrucción la información
Eliminación intencional de información, con ánimo de obtener un beneficio o causar un perjuicio.
Divulgación de información
Revelación de información.
Manipulación de programas
Alteración intencionada del funcionamiento de los programas, persiguiendo un beneficio indirecto cuando una persona autorizada lo utiliza.
Denegación de servicio
La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada
Robo
La sustracción de equipamiento provoca directamente la carencia de 17
un medio para prestar los servicios, es decir una indisponibilidad
Ataque destructivo
Vandalismo, terrorismo, acción militar, ...
Ocupación enemiga
Cuando los locales han sido invadidos y se carece de control sobre los propios medios de trabajo.
Indisponibilidad del personal
Ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral, bajas no justificadas, bloqueo de los accesos, ...
Extorsión
Presión que, mediante amenazas, se ejerce sobre alguien para obligarle a obrar en determinado sentido.
Ingeniería social
Abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero
5.2.5. Identificación y valoración de las Vulnerabilidades
Una vulnerabilidad se define en este método de Gestión del Riesgo, como un estado de debilidad o incapacidad para resistir un fenómeno amenazante y que al ser explotado afecta el estado de los activos del proyecto, dicho en otras palabras es la potencialidad o 'cercanía' previsible de la materialización de la Amenaza en Agresión.
Al igual que los activos las vulnerabilidades deben valorarse y priorizarse, pero antes deben describirse claramente y evaluarla tomando como criterios la frecuencia de ocurrencia.
Valor
Descripción
Probabilidad de Ocurrencia
Muy Frecuente (MF)
A diario
75­100%
Frecuente (F)
Una vez al mes
50% ­75%
Frecuencia Normal (FN)
Una vez al año
25% ­50%
Poco Frecuente ( PF)
Cada varios Años
0­25%
Y los resultados registrarlos en el siguiente cuadro:
Activo 18
Amenaza
Vulnerabilidad
Valoración
Probabilidad de Ocurrencia
5.2.6. Identificación y valorización de impactos
Un impacto es el daño que causa o puede causar sobre el activo derivado de la materialización de una amenaza. La tipificación de los impactos puede variar de acuerdo al proyecto. Para efectos de esta guía se presenta se evalúan los impactos de acuerdo al tipo de perdida ya sea organizacional o técnica.
IMP A C TOS
Pérdida de
Imagen
Pérdidas
Económicas
Org an izacio nales
Pérdida de
Disponibilidad
Pérdida de
Integridad
Pérdida de
Confidencialidad
Técnicos
­ Los organizacionales se clasifican en :
a. Perdidas económicas
Escala de Valoración
Escala Cuantitativa
Descripción
MB:Muy Bajo
1
Costos entre 10.000 y 100.000
B: Bajo
2
Costos entre 100.001 y 1.000.000
M: Medio
3
Costos entre 1.000.001 y 5.000.001
A: Alto
4
Costos entre 5.000.001 y 10.000.000
MA: Muy alto
5
Costos 10.000.000 o más
19
b. Pérdida de Imagen Escala de Valoración
Escala Descripción
Cuantitativa
MB:Muy Bajo
1
Leve pérdida de imagen
B: Bajo
2
Pérdida moderada
M: Medio
3
Pérdida importante
A: Alto
4
Pérdida alta
MA: Muy alto
5
Pérdida muy alta Las técnicas se clasifican en:
a. Pérdida de Confidencialidad
Escala de Valoración
Escala Cuantitativa
Descripción
MB:Muy Bajo
1
Información revelada mínima y no sensible
B: Bajo
2
Información revelada mínima
M: Medio
3
Importante Cantidad de información no sensible revelada
A: Alto
4
Importante cantidad de información revelada
MA: Muy alto
5
Toda la información revelada
b. Pérdida de Integridad
Escala de Valoración
Escala Cuantitativa
Descripción
MB:Muy Bajo
1
Mínima información dañada
B: Bajo
2
Mínima información importante dañada
M: Medio
3
Gran cantidad de información dañada
20
A: Alto
4
Gran cantidad de información importante dañada
MA: Muy alto
5
Toda la información destruida
c. Pérdida de Disponibilidad
Escala de Valoración
Escala Cuantitativa
Descripción
MB:Muy Bajo
1
Mínima interrupción del servicio
B: Bajo
2
Mínima interrupción de servicios primarios
M: Medio
3
Amplia interrupción de servicios
A: Alto
4
Amplia interrupción de servicios primarios
MA: Muy alto
5
Todos los servicios interrumpidos
Posteriormente se promedia la valoración de esta variables y se calificará el posible daño de acuerdo o tipo de degradación de la siguiente manera:
5
Muy alto (MA)
Daño muy grave para el proyecto
4
Alto (A)
Daño grave al proyecto
3
Medio (M)
Daño importante al proyecto
2
Bajo (B)
Daño menor al proyecto
1
Muy Bajo (MB)
Daño despreciable
21
5.2.7. Estimación del Riesgo
El valor de la Vulnerabilidad y su Impacto sobre el Activo determinan conjuntamente el valor del Riesgo. Esto se puede ver con facilidad cuando se representa el riesgo con una sencilla técnica matricial. En esta técnica se relacionan los niveles de Vulnerabilidad (puestos en filas) y los de Impacto (puestos en columnas). En las casillas correspondientes, los valores del nivel de Riesgo, como es lógico, son crecientes con los niveles de ambos factores, pero serán sistemáticamente mayores por debajo de la diagonal, pues se considera que el Impacto influye más en el nivel de Riesgo que la Vulnerabilidad.
Matriz Cualitativa
VULNERABILIDAD
RIESGO
IMPACTO
PF
FN
F
MF
MA
A
MA
MA
MA
A
M
A
MA
MA
M
B
M
A
MA
B
MB
B
M
A
MB
MB
MB
B
M
Matriz Cuantitativa
22
Clase
Valoración Cualitativa
Valoración Cuantitativa
Crítico
Muy Alto
10 a 20
Grave
Alto
5 a 9
Moderado
Medio
4 a 6
5.2.8. Manejo del Riesgo
Una vez que se realiza el análisis de riesgos, el equipo de desarrollo tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no persistan, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
RIESGO
IMPACTO
5
VULNERABILIDAD
1
2
5
10
3
15
4
20
4
4
8
12
16
3
2
3
2
6
4
9
6
12
8
1
1
2
2
4
La matriz de valor crítico indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados. Luego de listar las vulnerabilidades o amenazas potenciales, se deben fijar las respectivas recomendaciones de seguridad para su corrección.
Aquí se deben determinar medidas de control que son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información por tanto deben considerar todo.
Tipo de Manejo de los Riesgos Antes de definir las medidas de control se debe tomar la decisión de qué manejo se le va a hacer a los riesgos definidos, analizados y valorados en los pasos anteriores.
23
Medida
Descripción
Evitar el riesgo
Es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos.
Reducir el riesgo
Si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el paso a seguir es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Ejemplo: Planes de contingencia.
Dispersar
y Se logra mediante la distribución o localización del riesgo en diversos atomizar el riesgo lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.
Transferir el riesgo Hace referencia a buscar respaldo y compartir con otro parte del riesgo, como por ejemplo, tomar pólizas de seguros, así se traslada el riesgo a otra parte o físicamente se traslada a otro lugar. Esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro, o de un grupo a otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia.
Asumir el riesgo
Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.
Una vez establecidos cuáles de los anteriores manejos del riesgo se van a concretar, estos deben evaluarse con relación al beneficio­costo para definir, cuáles son susceptibles de ser aplicadas y proceder a elaborar el plan de manejo de riesgo, teniendo en cuenta, el análisis elaborado para cada uno de los riesgos de acuerdo con su impacto, probabilidad y nivel de riesgo.
Posteriormente se definen los responsables de llevar a cabo las acciones especificando el grado de participación de las dependencias en el desarrollo de cada una de ellas. Así mismo, es importante construir indicadores, entendidos como los elementos que permiten determinar
de forma práctica el comportamiento de las variables de riesgo que van a permitir medir el impacto de las acciones.
24
Medidas para el Manejo del Riesgo
ESCENARIOS
(Actividad donde
se debe aplicar el
control)
Recursos
Responsable
de implantar
acciòn de
mejora
Fecha d e
Seguimiento
Acción
/Mejoramiento
Fecha de
Implantación
Una vez definidos los riesgos que se va a asumir se deben especificar medidas del manejo del riesgo especificando:
Las medidas que se tomen deben ser objeto de evaluación y seguimiento constante, actualizando la valoración de las vulnerabilidades, impactos y riesgos.
25
Descargar