Descargar

Sistema de administración de riesgos en tecnología informática (página 2)

Enviado por ALBERTO CANCELADO

Partes: 1, 2

3. Parte II – Elementos De Gestión De Riesgos En Informática

La función de la gestión de riesgos es identificar, estudiar y eliminar las fuentes de los eventos perjudiciales antes de que empiecen a amenazar los procesos informáticos.

La gestión de riesgos se divide generalmente en: Estimacion De Riesgos La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos:

  • La identificación de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal del entorno informático.
  • El análisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organización.
  • La asignación de prioridades a los riesgos.

Identificacion De Riesgos

En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Los principales factores que se ven afectados son:

  • Creación de la planificación, que incluye: Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo.
  • La organización y gestión,que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es mas lento de lo esperado.
  • El entorno de trabajo, que incluye: Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es mas larga de lo esperado.
  • Las decisiones de los usuarios finales, que incluye: Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento de informática
  • El personal contratado, que incluye: Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad.
  • Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo.

Analisis De Riesgos Una vez hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas de solución. La explicación de Análisis de riesgos se extenderá posteriormente.

Exposicion A Riesgos Una actividad útil y necesaria en el análisis de riesgos es determinar su nivel de exposición en cada uno de los procesos en que se hayan identificado.

Estimacion De La Probabilidad De Perdida Las principales formas de estimar la probabilidad de pérdida son las siguientes:

  • Disponer de la persona que está más familiarizada con el entorno informático para que estime la probabilidad de ocurrencia de eventos perjudiciales.
  • Usar técnicas Delphi o de consenso en grupo. El método Delphi consiste en reunir a un grupo de expertos para solucionar determinados problemas. Dicho grupo realiza la categorización individual de las amenazas y de los objetos del riesgo.
  • Utilizar la calibración mediante adjetivos, en la cuál las personas involucradas eligen un nivel de riesgo entre (probable, muy probable) y después se convierten a estimaciones cuantitativas.

Priorizacion De Riesgos En este paso de la estimación de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se realiza la priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no deben ser de gran preocupación, pues lo verdaderamente crítico se puede dejar en un segundo plano.

Control De Riesgos Una vez que se hayan identificado los riesgos del entorno informático y analizado su probabilidad de ocurrencia, existen bases para controlarlos que son:

  • Planificación
  • Resolución de riesgos
  • Monitorización de riesgos

Planificacion De Riesgos Su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a que se encuentran expuestos las actividades informaticas.

Resolucion De Riesgos La resolución de los riesgos está conformado por los métodos que controlan el problema de un diseño de controles inadecuado, los principales son:

  1. Evitar el Riesgo : No realizar actividades arriesgadas.
  2. Conseguir información acerca del riesgo.
  3. Planificar el entorno informático de forma que si ocurre un riesgo, las actividades informáticas sean cumplidas.
  4. Eliminar el origen delriesgo, si es posible desde su inicio.
  5. Asumir y comunicar el riesgo.

Para ilustrar la forma en que puede controlar algunos de estos riesgos, la tabla No.3 ilustra los métodos de control más comunes:

RIESGO

METODOS DE CONTROL

Cambio de la prestación del servicio

  • Uso de técnicas orientadas al cliente.
  • Diseño para nuevos cambios

Recorte de la calidad

  • Dejar tiempo a las actividades de control.

Planificación demasiado optimista

  • Utilización de técnicas y herramientas de estimación.

Problemas con el personal contratado

  • Pedir referencias personales y laborales.
  • Contratar y planificar los miembros clave del equipo mucho antes de que comience el proyecto.
  • Tener buenas relaciones con el personal contratado.

Tabla No. 3 Métodos de control de riesgos mas habituales

Monitorizacion De Riesgos La vida en el mundo informático sería más fácil si los riesgos apareciesen después de que hayamos desarrollado planes para tratarlos. Pero los riesgos aparecen y desaparecen dentro del entorno informático, por lo que se necesita una monitorización para comprobar como progresa el control de un riesgo e identificar como aparecen nuevos eventos perjudiciales en las actividades informáticas.

4. Parte III – Analisis De Riesgos

El objetivo general del análisis de riesgos es identificar sus causas potenciales, en la figura No. 4 se aprecia por ejemplo, los principales riesgos que amenazan el entorno informático. Esta identificación se realiza en una determinada área para que se pueda tener información suficiente al respecto, optando así por un adecuado diseño e implantación de mecanismos de control; a fin de minimizar los efectos de eventos no deseados, en los diferentes puntos de análisis.

Además el análisis de riesgos cumple los siguientes objetivos:

  • Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas.
  • Llevar a cabo un minucioso análisis de los riesgos y debilidades.
  • Identificar, definir y revisar los controles de seguridad.
  • Determinar si es necesario incrementar las medidas de seguridad.
  • Cuando se identifican los riesgos, los perímetros de seguridad y los sitios de mayor peligro, se pueden hacer el mantenimiento mas fácilmente.

Antes de realizar el análisis de riesgos hay que tener en cuenta los siguientes aspectos:

  • Se debe tener en cuenta las políticas y las necesidades de la organización así como la colaboración con todas las partes que la conforman y que intervienen en los procesos básicos.
  • Debe tenerse en cuenta los nuevos avances tecnológicos y la astucia de intrusos expertos.
  • Tener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de mecanismos de control.
  • El comité o la junta directiva de toda organización debe incluir en sus planes y presupuesto los gastos necesarios para el desarrollo de programas de seguridad, así como tener en cuenta que esta parte es fundamental de todo proceso de desarrollo de la empresa, especificar los niveles de seguridad y las responsabilidades de las personas relacionadas, las cuales son complemento crucial para el buen funcionamiento de todo programa de seguridad.
  • Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan tener sobre el entorno informático, sin olvidar los costos adicionales que se generan por su implementación.

El análisis de riesgos utiliza el método matricial llamado MAPA DE RIESGOS, para identificar la vulnerabilidad de un servicio o negocio a riesgos típicos, El método contiene los siguientes pasos:

  • Localización de los procesos en las dependencias que intervienen en la prestación del servicio (Ver figura No. 5).

FIGURA No. 5 Matriz de dependencias vs. procesos

  • Localización de los riesgos críticos y su efecto en los procesos del Negocio. En este paso se determina la vulnerabilidad de una actividad a una amenaza. Para asignar un peso a cada riesgo ; se consideran tres categorías de vulnerabilidad (1 baja, 2 media, 3 alta) que se asignarán a cada actividad de acuerdo a su debilidad a una amenaza (causa de riesgo). Por ejemplo, si afirmamos que el riesgo a una Decisión equivocada tiene alto riesgo de vulnerabilidad, entonces tendría alta prioridad dentro de nuestras políticas de seguridad (Ver figura No. 6).

RIESGO

(%) Obtenido

Vulnerabilidad

Decisiones equivocadas

59

ALTA

Fraude

55

MEDIA

Hurto

54

MEDIA

FIGURA No. 6 Matriz de riesgos vs. vulnerabilidad

Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así:

  • Naturales: Incluyen principalmente los cambios naturales que pueden afectar de una manera u otra el normal desempeño del entorno informático; por ejemplo, la posibilidad de un incendio en el sitio donde se encuentran los concentradores de cableado dado que posiblemente están rodeados de paredes de madera es una amenaza natural.
  • Accidentales: Son las más comunes que existen e incluyen:
  • Errores de los usuarios finales: Por ejemplo, El usuario tiene permisos de administrador y posiblemente sin intención modifica información relevante.
  • Errores de los operadores: Por ejemplo, si un operador tenía un sesión abierta y olvidó salir del sistema; alguien con acceso físico a la máquina en cuestión puede causar estragos.
  • Error administrativo: Por ejemplo, Instalaciones y configuraciones sin contar con mecanismos de seguridad para su protección.
  • Errores de salida: Por ejemplo, Impresoras u otros dispositivos mal configurados.
  • Errores del sistema: Por ejemplo, daños en archivos del sistema operativo.
  • Errores de comunicación: Por ejemplo, permitir la transmisión de información violando la confidencialidad de los datos.
  • Deliberadas: Estas amenazas pueden ser: activas (accesos no autorizados, modificaciones no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho más técnica, como: emanaciones electromagnéticas y/o microondas de interferencia).
  • Localización de los riesgos críticos en las dependencias de la empresa y procesos que intervienen en el negocio (Ver figura No. 7 y figura No. 8).

Proceso / Riesgo

Decisiones equivocadas

Fraude

Hurto

Gestión de centros transaccionales

X

X

Administración de sistemas

X

X

Atención al cliente

X

X

Conciliación de cuentas

X

X

X

FIGURA No. 7 Matriz de Procesos vs. riesgo

Riesgos Vs. Dependencias.

División Financiera

Sistemas

Cartera

Contabilidad

Decisiones equivocadas

X

X

Fraude

X

X

X

X

Hurto

X

X

X

X

FIGURA No. 8 Matriz de riesgo vs. dependencia

  • Identificar los controles necesarios: En este paso se precisan los controles, los cuales son mecanismos que ayudan a disminuir el riesgo a niveles mínimos o en algunos casos eliminarlos por completo. Se debe tener en cuenta que dichas medidas tienen tres diferentes capacidades que incluyen: mecanismos de prevención, mecanismos de detección y mecanismos de corrección; y que dentro de un proceso ó negocio funcionan como se describe en la figura No. 9. En este paso se incluye la funcionalidad y utilidad del control, y se identifican las personas responsables de la implantación de los controles.

Figura No. 9 Función de las medidas de control preventivas, de detección y correctivas.

  • Diseñar los controles definitivos: En este paso se tienen los productos necesarios para iniciar el proceso de implantación de los controles utilizados o bien para empezar la construcción de dichos mecanismos.

Los siguientes criterios permiten evaluar en un monto simbólico los mecanismos de control:

  • Confidencialidad: Se refiere a la protección de la información principalmente de accesos no autorizados. Información del personal, investigaciones y reportes de desarrollo son algunos de los ejemplos de información que necesita confidencialidad.
  • Integridad: Es el servicio ofrecido por el departamento de informática. Debe ser adecuado, completo y auténtico en el momento de ser procesada, presentada, guardada o transmitida la información.
  • Disponibilidad: Indica la disponibilidad que pueden tener en un determinado momento las actividades informáticas. Esta disponibilidad debe ser inmediata.
  • Resultados del análisis de riesgos: Los resultados del análisis de riesgos, deben dados a conocer oportunamente para que sean incorporados, desde las primeras fases del proceso.
  • Verificar por parte de la auditoría informática, la incorporación oportuna de los controles: La auditoría informática debe conocer el resultado del análisis de riesgos y verificar su implantación oportuna, para asegurar los mejores niveles de calidad, seguridad y efectividad de los procesos informáticos.

Glosario

  • ERGONOMIA
  • Disciplina científica que pone las necesidades y capacidades humanas como el foco del diseño de sistemas tecnológicos. Su propósito es asegurar que los humanos y la tecnología trabajan en completa armonía, mantiendo los equipos y las tareas en acuerdo con las características humanas.
  • RIESGO
  • Es el valor de las pérdidas a que se exponen las empresas por la ocurrencia de eventos perjudiciales.
  • AMENAZA
  • Las amenazas o causas del riesgo, se refieren a los medios o alternativas posibles que generan cada uno de los riesgos.
  • CONTROL
  • Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son : Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo , y retroalimentando el sistema de control interno con medios correctivos.
  • INHERENTE
  • Esencial, permanente, que, por su naturaleza, no se puede separar de otra cosa.
  • ACTIVIDAD
  • Ente que necesita ser realizado para completar una o varias tareas específicas.
  • NEGOCIO
  • Empresa privada o pública que provee productos y servicios, para satisfacer los requerimientos de un cliente determinado.

5. Bibliografía

  • COLOMBIA.Instituto Colombiano de Normas técnicas y certificación (ICONTEC). Sistemas de calidad. Santa Fe de Bogotá D.C.: 1994. 21p. NTC-ISO 9001.
  • COREY Michael y ABBEY Michael, ORACLE Data Warehousing: La seguridad de los datos, primera edición, España: Editorial McGraw Hill, 1997. 313 p. ISBN: 84-481-0998-8.
  • DERRIEN Yann, Técnicas de la Auditoría Informática: La dirección de la misión de la auditoría, México D.F.: Ediciones Alga Omega S.A., 1995. 228 p. ISBN 970-15-0030-X.
  • Equipo de economistas DVE, Curso completo de auditoría: Introducción, Barcelona – España: Editorial De Vecchi, S.A., 1991, 206 p., ISBN : 84-315-0957-0.
  • FARLEY Marc, Guía de LAN TIMES® de seguridad e integridad de datos: Seguridad informática, primera edición, Madrid(España): Editorial Mc Graw-Hill, 1996. 342 p. ISBN: 0-07-882166-5.
  • IBM Education and Training, Internet Security and firewalls concepts – Student Notebook. 1995. Course code IN30.
  • IBM Corporation, S.O.S. en su sistema de computación, primera edición, México: Editorial Prentice-Hall Hispanoamericana, S.A., 1998. 211 p. ISBN: 970-17-0110-0.
  • MC CONNELL STEVE, Desarrollo y gestión de proyectos informáticos: Gestión de riesgos, primera edición, Aravaca(Madrid): Editorial Mc. Graw Hill, 1996. 691 p. ISBN:84-481-1229-6.
  • MENDEZ Carlos E., Metodología-Guía para elaborar diseños de investigación en ciencias económicas, contables y administrativas, segunda edición, Santa Fe de Bogotá: Editorial Mc Graw Hill, 1993. 170 p. ISBN: 958-600-446-5.
  • PINILLA José Dagoberto, Auditoría Informática – Aplicaciones en Producción: Análisis de riesgos, primera edición, Santa Fe de Bogotá: ECOE Ediciones, 1997. 238 p. ISBN: 958-648-139-5.
  • SALLENAVE Jean Paul, Gerencia y Planeación Estratégica: El método Delfi, segunda edición, Colombia: Editorial Norma, 1996. 280 p. ISBN: 958-04-3162-0.
  • SCAROLA Robert, NOVELL Netware, primera edición, Madrid: Editorial Mc Graw Hill, 1992. 294 p. ISBN 84-7615-945-5.
  • SENN James A., Análisis y Diseño de Sistemas de Información, Segunda edición: Editorial Mc Graw Hill.
  • VAUGHAN EMMETT J., Risk Management, Primera edición, Estados Unidos de America: Editorial John Wiley & Sons, 1997. 812 p. ISBN 0-471-10759-X.

 

 

Alberto Cancelado González:

IT Consultant

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente