Análisis y gestion de riesgos

2010UNIVERSIDAD TECNOLOGICA DE PANAMÁSEGURIDAD DE 29/04/2010

ANALISIS Y GESTIÓN DE RIESGOS”Análisis y Gestión de Riesgos

Análisis y Gestión de Riesgos

UNIVERISDAD TECNOLÓGICA DE PANAMÁ

SEDE REGIONAL DE CHIRIQUÍ

FACULTAD DE SISTEMAS COMPUTACIONALES

SEGURIDAD EN TECNOLOGIA DE COMPUTACION

“ANALISIS Y GESTIÓN DE RIESGOS”

ELABORADO POR:

GADEAS, EDITH

MARTINEZ, MANUEL

STONESTREET, CHERYLL

PRESENTADO A LA CONSIDERACIÓN DEL PROFESOR:

RENE SALDAÑA

FECHA DE ENTREGA:

JUEVES, 28 DE ABRIL DE 2010


Índice

Introducción

I. Definición de Riesgos

II. Proceso de Administración de Riesgos

1. Identificar los factores de Riesgo

2. Análisis de la Probabilidad de Riesgos

3. Desarrollo de estrategias para mitigar los riesgos

o Invocar el plan de contingencias.

o Gestionar la crisis.

o Recuperarse de la crisis.

4. Supervisión de la Administración de los factores de riesgo

Conclusiones

Bibliografía


INTRODUCCIÓN

Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.

Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de estar conscientes que la administración del riesgo informático juega un rol crítico.

La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización.

Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable.

El análisis de riesgo informático es un elemento que forma parte del programa de gestión de continuidad de negocio (Business Continuity Management)

En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad será de riesgo no controlado.

Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos).


I. DEFINICIÓN DE RIESGOS

Anteriormente se conocía riesgos como los eventos que suscitaban una posibilidad de fraude, sustracción de activos, faltas a la ética y la moral.

Riesgos estaba únicamente referido a la gestión de riesgos físicos y cubiertos por pólizas de seguros.

Nueva Visión:

Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo.

De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas.

En lo relacionado con tecnología, generalmente el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.).

La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:

“La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generándole perdidas o daños”.

En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado.

Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos.


A continuación se analiza cada uno de ellos:

Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada.

Existen amenazas, como por ejemplo incendios, para las cuales hay información suficiente (series históricas, compañías de seguros y otros datos) para establecer con razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a datos; dónde se hacen estimaciones sobre la base de experiencias. Siguiendo con el ejemplo, para el personal interno del Centro de Cómputos (CPD), la probabilidad puede ser el 70%, para el personal de la organización, externo al CPD, del 45%, y para personas de fuera, el 80% (a través de acceso por Internet).

Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc.

Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer caso, o un acceso no autorizado a una base de datos en el segundo caso.

Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables.


Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto.

Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las siguientes: falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, etc.

Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien potencialmente seguiría existiendo no podría materializarse.

Activos: Los activos a reconocer son aquellos relacionados con sistemas de información.

Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos.

Impactos: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo.

Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan comunes, felizmente, son la pérdida de vidas humanas, afectación del medio ambiente, etc.

II. PROCESO DE ADMINISTRACIÓN DE RIESGOS

El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar periódicamente si los riesgos identificados y la exposición a los mismos calculada en etapas anteriores se mantienen vigentes. La dinámica en la cual se ven inmersa las organizaciones actualmente demanda este esfuerzo día a día. Es por eso que ante cada nuevo emprendimiento se realice en tempranas etapas (recomendable luego de fijar los objetivos) un análisis de riesgo del referido proyecto así como su impacto futuro en la estructura de riesgos de la organización.

Elementos de la Gestión de Riesgos:

1. Identificar los factores de Riesgo


Se trata de visualizar el desarrollo y tomar notas de las cosas “malas” que podrían ocurrirnos. Es aconsejable el disponer de una lista con los problemas acaecidos en otros sistemas y revisarla. “Quien no conoce su pasado esta condenado a repetirlo”

En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Los principales factores que se ven afectados son:

Creación de la planificación, que incluye: Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo.

La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es más lento de lo esperado.

El entorno de trabajo, que incluye: Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es más larga de lo esperado.

Las decisiones de los usuarios finales, que incluye: Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento de informática

El personal contratado, que incluye: Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad.

Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo.

2. Análisis de la Probabilidad de Riesgos

El análisis de riesgo es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización o empresa.

Es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de información (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organización.

Hay que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos y recursos. Es importante plantear diferentes situaciones


dependiendo del perfil técnico del atacante o de sus recursos técnicos y humanos.

Estos escenarios de ataque o dramatizaciones son importantes para evaluar impactos y riesgos.

Estructura de la Seguridad Informática

La historia de la seguridad informática se remonta a los tiempos de los primeros documentos escritos. De hecho, la necesidad de información segura tuvo su origen en el año 2000 antes de Cristo. Los egipcios fueron los primeros en utilizar jeroglíficos especiales para codificar la información y, según paso el tiempo, las civilizaciones de Babilonia, Mesopotamia y Grecia inventaron formas de proteger su información escrita. La codificación de la información, que es el base del cifrado, fue utilizada por Julio Cesar, y durante toda la historia en periodos de guerra, incluyendo las guerras civiles y revolucionarias, y las dos guerras mundiales. Una de las máquinas de codificación mejor conocidas fue la alemana Enigma, utilizada por los alemanes para crear mensajes codificados en la Segunda Guerra Mundial. Con el tiempo, y gracias a los esfuerzos del proyecto Ultra de los Estados Unidos de América, entre otros, la capacidad de descifrar los mensajes generados por los alemanes marcó un éxito importante para los aliados.

En los últimos diez años, la importancia de la seguridad informática se ha puesto de manifiesto por algunas historias. Una de ellas fue la del gusano de Internet, en 1988, que se extendió por decenas de miles de computadores, como resultado de la obra de un hacker llamado Robert Morris. Había un pirata informático en 1995 en Alemania que se introdujo en casi 30 sistemas a partir de un objetivo que se había propuesto a sí mismo de casi 500. Más recientemente, en febrero de 1995, el arresto del pirata informático más buscado, Kevin Nitnick, reveló las actividades criminales que incluían el robo de códigos, de información y de otro tipo de datos secretos durante años. Claramente, la amplia utilización de los sistemas informáticos ha puesto en evidencia la importancia de la seguridad informática. El objetivo principal de la seguridad informática es proteger los recursos informáticos del daño, la alteración, el robo y la pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listados de impresora y en general, los datos. Una efectiva estructura de seguridad informática se basa en cuatro técnicas de administración de riesgos, mostradas en el siguiente diagrama:


Figura No. 3 Estructura de la

seguridad informática

Estrategias y políticas:Estrategias de administración para seguridad informática y políticas, estándares, guías o directivos usados para comunicar estas

estrategias a la organización. Administración de la organización: Procesos que se dirigen

hacia políticas profesionales y programas de capacitación, administración de cambios y control, administración de seguridad y otras actividades necesarias.

Monitorización de eventos: Procesos reactivos que permite a la administración medir correctamente la implementación de políticas e identificar en que momento las políticas necesitan cambios.

Técnología informática: Es la tecnología necesaria para proveer la apropiada protección y soporte en los distintos procesos involucrados en la organización. La seguridad informática abarca un amplio rango de estrategias y soluciones, tales como:o Control de acceso: Una de las líneas de defensa más importantes

contra los intrusos indeseados es el control de acceso. Básicamente, el papel del control de acceso es identificar la persona que desea acceder al sistema y a sus datos, y verificar la identidad de dicha persona. La manera habitual de controlar el acceso a un sistema es restringir la entrada a cualquiera que no tenga un nombre de usuario y una contraseña válidos. Las contraseñas son un ejemplo de una forma simple pero efectiva de control de acceso.

El control de acceso es efectivo para mantener a las personas desautorizadas fuera del sistema. Sin embargo, una vez que alguien está dentro, la persona no debería tener acceso libre a todos los programas, archivos e información existente en el sistema. El control de acceso discrecional, a veces abreviado por el acrónimo DAC, se realiza en muchos sistemas, y es una parte importante de cualquier acceso donde el acceso a los archivos y programas se concede en función de la clase de permisos otorgados a un usuario o un perfil de usuarios. Es discrecional en tanto que un administrador puede especificar la clase de acceso que decide dar a otros usuarios del sistema.


Esto difiere de otra clase de controles más restrictiva, control de acceso obligatorio (MAC), que proporciona un control mucho más rigido de acceso a la información del sistema.

o Virus informáticos: La prevención y control de los efectos producidos por las diferentes clases de virus y programas destructivos que existen.

o Planificación y administración del sistema: Planificación, organización y administración de los servicios relacionados con la informática, así como políticas y procedimientos para garantizar la seguridad de los recursos de la organización.

o Cifrado: La encriptación y la desencriptación de la información manipulada, de forma que sólo las personas autorizadas pueden acceder a ella.

o Seguridad de la red y de comunicaciones: Controlar problemas de seguridad a través de las redes y los sistemas de telecomunicaciones.

o Seguridad física: Otro aspecto importante de la seguridad informática es la seguridad física de sus servicios, equipos informáticos y medios de datos reales; para evitar problemas que pueden tener como resultado: Pérdida de la productividad, pérdida de ventaja competitiva y sabotajes intencionados. Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos incluyen:

Claves y contraseñas para permitir el acceso a los equipos. Uso de cerrojos y llaves. Fichas ó tarjetas inteligentes. Dispositivos biométricos (Identificación de huellas dactilares, lectores de

huellas de manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina, entre otros).

Para desarrollar un análisis efectivo de la probabilidad de los riesgos se debe tener en cuenta lo siguiente:

Evaluar la probabilidad de tener el problema.

Evaluar los efectos sobre el proyecto.

Clasificar los riesgos en base a la EXPOSICIÓN AL RIESGO, que se calcula como: Probabilidad * Efecto

Como consecuencia de esta clasificación habrán riesgos importantes y otros menores.

3. Desarrollo de estrategias para mitigar los riesgos

Anticiparse a los hechos: Imagínese el peor escenario posible. Piense cómo evitarlo. Existen normas, procedimientos, protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo. Si su empresa opera a través de internet o telecomunicaciones no olvide que es más probable tener una fuga de información o


problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno está a la orden del día.

Realice periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicología laboral con experiencia previa y capacitado en PNL (nunca está de más que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un “insider” (Empleado desleal quien por motivos de desinterés, falta de capacidad intelectual y/o analítica, problemas psicológicos o psiquiátricos, corrupción, colusión u otros provoca daños en forma deliberada en la empresa en que trabaja).

Regulaciones y Normas que tratan el riesgo

Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información.

ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)

ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna metodología específica para el análisis y la gestión del riesgo de la seguridad de la información.

Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.

Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.

Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global

Llevar a cabo una detallada evaluación previa de cada proveedor y cada sitio de entrega antes de la firma.

http://seguridad-informacion.blogspot.com/2009/03/como-mitigar-los-riesgos-en-la_04.html



Haga su tarea. Revise las políticas de seguridad de información corporativas y las políticas de protección de la instalación física de los proveedores para garantizar todos los riesgos están cubiertos. Asegúrese de que existen controles de seguridad de red y que el sitio de la prestación está certificado internacionalmente de acuerdo con normas reconocidas de cumplimiento de seguridad incluyendo ISO 27001, BS 7799, SAS 70 y otras.

Establecer un programa de evaluación y auditoría.

Se recomienda la revisión y la realización de auditorías en las políticas de seguridad del proveedor de servicio remoto sobre una base anual como mínimo. Con mayor frecuencia, considere la posibilidad de realizar un examen sobre el terreno de la zona y lugar específico utilizado para llevar a cabo los negocios de clientes a razón de dos veces al año, o cuantas considere oportunas de acuerdo con las necesidades de los proyectos y los riesgos.

Crear obligaciones en materia de seguridad en el contrato de externalización.Recomendamos a los clientes que todos los controles relacionados con la seguridad figuren en el contrato. En concreto, éste incluirá temas como un acuerdo de no divulgación, la verificación de antecedentes personales y evaluaciones de seguridad. Debe figurar en el contrato que el personal del proveedor de servicios no se puede destinar a un competidor directo durante un determinado período de tiempo, y también deben figurar las definiciones de violación de la seguridad y sus responsabilidades derivadas.

Construir una cultura de seguridad en la organización.

Por encima de todo, una cultura de la seguridad es primordial y se inicia con un grupo de personas que impulsen esta iniciativa y refuercen constantemente el mensaje. Aquí hay cuatro iniciativas que deben considerarse para establecer una cultura de la seguridad:

a. Equipo de seguridad del cliente: los clientes deslocalizados han comenzado a crear los equipos de seguridad de TI, o, alternativamente, aumentar el número de personas en esos equipos. El equipo de seguridad es consciente de las cuestiones que puedan surgir y, por tanto, publica las políticas de seguridad aplicables a los prestadores de servicios y ayuda a asegurar los controles. El equipo asegura la formación continua de las personas involucradas por parte del cliente y por parte del proveedor de servicios.

b. Visitas de clientes: Recomendamos un calendario de visitas. Estas visitas ayudan los equipos del proveedor de servicios a apreciar los


negocios de sus clientes y sus preocupaciones. Los clientes también deberían incluir la seguridad en la agenda de sus conversaciones con el personal del proveedor de servicios.

c. Evaluaciones formales: En general, las evaluaciones no se dan con regularidad suficiente y se deben realizar al menos una vez al año. Las evaluaciones mantienen abiertos los temas clave en cualquier debate sobre seguridad y mejoran la rendición de cuentas. Además, los proveedores de servicios deben realizar una evaluación voluntaria una vez al año y presentar los resultados a los clientes.

d. Formación continua: La mezcla de personas sin experiencia en el trabajo y de múltiples orígenes culturales acentúa la necesidad de un continuo programa de educación en torno a las políticas de seguridad corporativas.

Invocar el plan de contingencias.

Sí algún factor de riesgo excede los límites de control habrá de tomarse las medidas previstas.

Es habitual varios niveles limites,

– ante los primeros excesos se notifique el problema a nivel operativo,

– si este no se corrige, se excede el siguiente límite, se pondrá en marcha el plan de contingencia previsto.

Gestionar la crisis.

El que la situación de crisis este prevista no quiere decir que podamos relajarnos, más bien al contrario. Deberemos estar más atentos al control de la crisis y del resto.

Puedes suceder que el plan de contingencia:

– funcione de acuerdo a lo previsto.


– fracase. En este caso pasaremos a una situación de crisis (vista en el tema anterior)

Recuperarse de la crisis.

Si el plan de contingencia ha ido de acuerdo a lo previsto como si no, deberemos:

Recompensar a las personas a las que se ha forzado a trabajar más duro (ver tema anterior),

Replanificar el proyecto con los retrasos y los costes que esa situación hayan provocado.

4. Supervisión de la Administración de los factores de riesgo

La supervisión de riesgos normalmente valora cada uno de los riesgos identificados para decidir si este es más o menos probable y si han cambiado sus efectos. Esto no se puede observar de forma directa, por lo que se tiene que buscar otros factores para dar indicios de la probabilidad de riesgos. Estos factores dependen de los tipos de riesgos.

Los síntomas deberán de cuantificarse de forma precisa mediante medidas objetivas y puntuales.

Hay que disponer de un sistema de trazabilidad entre los factores de riesgo y los problemas asociados, así como los límites de control.


CONCLUSIONES

Mas allá de todo lo expuesto a lo largo de este documento, no se debe olvidar nunca que los riesgos cohabitan continuamente con el diario quehacer, siempre están latentes, aun cuando no se los pueda o no se los quiera identificar.

Es por eso que independientemente de las herramientas utilizadas para la administración de los riesgos, lo más importante es que exista conciencia que la administración del riesgo informático debe ser una actividad prevista y llevada a cabo al igual que la implementación y el funcionamiento de sistemas de información.


Recordar que la única manera de evitar un riesgo es eliminarla, o las actividades que lo genera. Hay actividades que pueden ser eliminadas y otras no, son necesarias. Por lo tanto se está tratando, es imprescindible la adecuada administración del riesgo informático.


RECOMENDACIONES

La seguridad informática ha evolucionado sustancialmente durante los últimos 50 años. Los primeros sistemas elaborados en los años 1940’ y 1950’ no contaban con ninguna seguridad y aún así, por distintas razones, funcionaban bien. Pero los sistemas actuales forman parte de un mundo totalmente distinto; han sido diseñados en función de distintos controles de seguridad que nos protegen de problemas de seguridad inadvertidos y de agentes maliciosos.

1. Conviértase en experto o busque la ayuda de expertos

2. Entienda su negocio

3. Catalogue sus bienes

4. Bloquee los escritorios

5. Bloquee el perímetro

6. Establezca planes de contingencia


BIBLIOGRAFIA

http://www.basc-costarica.com/documentos/riesgosinformatica.pdf

http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp

http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico

http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf


http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico

http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp

Análisis y gestion de riesgos

Education

Transcript of Análisis y gestion de riesgos