Herramienta informática para la gestión de riesgos en tecnologías de la información
Enviado por Luis Daniel Orta Cruz
- Resumen
- Introducción
- Marco teórico referencial de la investigación
- Análisis, diseño e implementación del software para la gestión de riesgos en Tecnologías de la Información
- Pruebas de validación y manual de usuario
- Conclusiones parciales del capítulo
- Referencias bibliográficas
Resumen
El trabajo presenta la implementación de la herramienta informática RiesgosTI a través de técnicas de programación e ingeniería de software. En el mismo se describen los antecedentes, características y dificultades de una herramienta similar (DIÓGENES) y se realiza una propuesta de mejoras que serán tomadas en consideración en esta nueva versión sobre software libre.
RiesgosTI es una herramienta que permite la evaluación y gestión de los riesgos en Tecnologías de la Información, a partir de la aplicación de la Resolución 127 del Ministerio de la Informática y las Comunicaciones de Cuba. Está implementada en el lenguaje de programación Java por su potencia para desarrollar aplicaciones en cualquier ámbito, su dinamismo y su propósito general, además de incorporar una base de datos en MySql.
Introducción
Los avances alcanzados en los últimos años en la informatización de la sociedad con el incremento de tecnologías de la información en todos los sectores y en particular de las redes informáticas y sus servicios asociados, y el impulso orientado por la dirección del país al desarrollo acelerado de programas que multipliquen dichos logros, requieren la adopción de medidas que garanticen un adecuado nivel de seguridad para su protección y ordenamiento.
La seguridad de las organizaciones, sistemas y redes de información están constantemente amenazadas por diversas fuentes que incluyen ataques de distintos tipos y origen; la ocurrencia de catástrofes, errores de operación y negligencias, aumentan los riesgos a que están expuestos los servicios y protocolos utilizados, así como el contenido de la información tratada en dichos sistemas, todo lo cual puede afectar severamente la confidencialidad, integridad y disponibilidad de la información.
A partir de las vulnerabilidades y debilidades propias de los sistemas informáticos y de las dificultades y limitaciones que se presentan para detectar y neutralizar oportunamente las posibles acciones del enemigo en esta esfera, resulta necesario implementar un basamento legal que establezca los requerimientos de seguridad en el empleo de las tecnologías de la información a partir de criterios de racionalidad y utilidad, que resulten susceptibles de verificación y propendan a la disminución de los riesgos en la seguridad informática. Así, desde el año 2007 se puso en vigor el Reglamento de Seguridad para las Tecnologías de la Información.
Este Reglamento tiene por objeto establecer los requerimientos que rigen la seguridad de las tecnologías de la información y garantizar un respaldo legal que responda a las condiciones y necesidades del proceso de informatización del país.
El término Seguridad de las Tecnologías de la Información utilizado en ese Reglamento está relacionado con la confidencialidad, integridad y disponibilidad de la información tratada por los ordenadores y las redes de datos. El empleo de otros términos, tales como seguridad de la información, seguridad de los ordenadores, seguridad de datos o seguridad informática, tienen a los efectos de lo que ahí se establece, el mismo significado.
El Reglamento está siendo aplicado en todos los Órganos y Organismos de la Administración Central del Estado y sus dependencias; otras entidades estatales; empresas mixtas; sociedades y asociaciones económicas; entidades privadas radicadas en el país; organizaciones políticas, sociales y de masas y personas naturales que posean o utilicen, en interés propio o de un tercero, tecnologías de la información.
Tomando esta idea inicial como referencia y dado el hecho de que el Ministerio de la Informática y las Comunicaciones (MIC) tiene como atribución estatal la ejecución de inspecciones en materia de Seguridad a las Tecnologías de la Información, es que ha sido concebido un sistema automatizado para la gestión de riesgos en Tecnologías de la Información (DIÓGENES), que implementa los contenidos esenciales que aparecen en el Reglamento de Seguridad para las Tecnologías de la Información y que facilita tanto a la empresa (en términos de autoevaluación), como a los inspectores estatales (al realizar una evaluación), el conocimiento del grado de cumplimiento del mencionado reglamento y el plan de acciones a tomar. Esta herramienta informática se ejecuta sobre el sistema operativo Windows.
A partir de los pasos que ha dado Cuba en materia de software libre por las ventajas que ofrece sobre el software propietario, desde una perspectiva del uso del software de forma colectiva y cooperativa mostrando su carácter público y sus objetivos de beneficiar a toda la comunidad, es que ha surgido la idea de proponer una herramienta con propósitos similares a DIÓGENES pero sobre una plataforma libre que pueda ser utilizada por aquellas empresas u organismos que ya han comenzado a migrar hacia estas tecnologías. Es por eso que se plantea el objetivo general del trabajo.
Objetivo General
Desarrollar una herramienta informática que facilite la verificación del estado de conformidad entre lo establecido oficialmente en el Reglamento de Seguridad para las Tecnologías de la Información vigente en el país y los controles y el análisis de riesgos en las tecnologías de la información implementados en una entidad, utilizando como base tecnológica el software libre.
El cumplimento de tal objetivo dependerá de la satisfacción de los siguientes objetivos específicos.
Objetivos Específicos:
Investigar acerca de las reglamentaciones existentes en el país para la seguridad y la gestión de riesgos en tecnologías de la información que faciliten la concepción de una herramienta automatizada sobre software libre.
Realizar el análisis y diseño de la herramienta informática atendiendo a las características del software existente y proponiendo algunas mejoras que permitan optimizar su funcionamiento.
Implementar la herramienta informática para la evaluación y el reporte de la información sobre riesgos en una empresa, organización o entidad utilizando tecnologías basadas en software libre.
Realizar validaciones a la herramienta para distintas entidades en la UCLV.
La herramienta RiesgosTI que se pretende implementar es un software libre que sigue la tendencia del país hacia la migración a estas tecnologías. Incorpora técnicas de Programación e Ingeniería de Software con el fin de dar solución a problemas que se presentan cotidianamente en las tecnologías de la información de las diferentes entidades y organismos, lo que le da un valor práctico y puede conducir a que la misma sea generalizada a diversas entidades y organismos que pretendan realizar sus propias evaluaciones acerca de los riesgos en tecnologías de la información, además de su factibilidad de uso por los auditores en estas temáticas. También brinda un apoyo metodológico a los que la utilicen debido a que pueden estar actualizados acerca de cuáles son las reglamentaciones existentes en el país para la gestión de riesgos en tecnologías de la información.
El presente Trabajo de Diploma consta de los siguientes capítulos:
Capítulo I: Marco teórico referencial de la investigación.
En este capítulo se realizará un análisis exhaustivo de los fundamentos de la gestión de riesgos en tecnologías de la información, el cual permitirá conocer las características y evolución de éstas, además de los beneficios que aportan su uso en la seguridad de diversos sistemas. Se exponen además algunos elementos relacionados con el software libre y las herramientas utilizadas para el desarrollo de RiesgosTI.
Capítulo II: Análisis, diseño e implementación del software para la gestión de riesgos en tecnologías de la información.
El capítulo tiene como objetivo dar solución al problema expuesto en la introducción de esta investigación. Para esto se procede a elaborar una herramienta automatizada utilizando como base tecnológica el software libre. Se exponen los elementos más importantes de la modelación del análisis y el diseño, así como algunos detalles de la implementación y la fundamentación del procedimiento de cálculo de los resultados.
Capítulo III: Elementos de la validación del software y Manual de usuarios.
En este capítulo se presentan tres casos de pruebas de validación del software, realizadas en diferentes locaciones de la Universidad, además se exponen de forma general diferentes características del software, los requerimientos necesarios para su funcionamiento y la guía para su uso lo que facilitará el trabajo.
Además de esta introducción y los capítulos anteriormente mencionados, este informe incluye conclusiones, recomendaciones y bibliografía.
DESARROLLO
CAPITULO I:
Marco teórico referencial de la investigación
En este capítulo se realiza un análisis de los fundamentos de la gestión de riesgos en tecnologías de la información, lo que permite conocer las características y evolución de éstas, además de los beneficios que aporta su uso en la seguridad de diversos sistemas. Se exploran diversas definiciones de riesgos en tecnologías de la información y las etapas para la gestión de riesgos y se puntualiza en algunas de las tecnologías sobre software libre utilizadas en el desarrollo del trabajo.
1.1 Tecnología de la información
La Tecnología de Información se ha convertido en el corazón de las operaciones de cualquier organización, desde los sistemas transaccionales hasta las aplicaciones enfocadas a la alta gerencia que ayudan tanto a las operaciones diarias como a definir el rumbo que tiene que seguir una organización.
Retener, manipular o distribuir información. La tecnología de la información se encuentra generalmente asociada con las computadoras y las tecnologías afines aplicadas a la toma de decisiones.
La tecnología de la información está cambiando la forma tradicional de hacer las cosas. Las personas que trabajan en gobierno, en empresas privadas, que dirigen personal o que trabajan como profesional en cualquier campo, utilizan la tecnología de la información cotidianamente mediante el uso de Internet, las tarjetas de crédito, el pago electrónico de la nómina, entre otras funciones; es por eso que la función de la tecnología de la información en los procesos de la empresa, como manufactura y ventas, se han expandido grandemente.
La primera generación de computadoras estaba destinada a guardar los registros y monitorear el desempeño operativo de la empresa, pero la información no era oportuna ya que el análisis obtenido en un día determinado en realidad describía lo que había pasado una semana antes. Los avances actuales hacen posible capturar y utilizar la información en el momento que se genera, es decir, tener procesos en línea. Este hecho no sólo ha cambiado la forma de hacer el trabajo y el lugar de trabajo sino que también ha tenido un gran impacto en la forma en la que las empresas compiten (Alter 1999).
1.1.1 Definición
Según la Asociación de la Tecnología de Información de América (ITAA) es "el estudio, diseño, desarrollo, implementación, soporte o dirección de los sistemas de información computarizados, en particular de software de aplicación y hardware de computadoras."
Se ocupa del uso de las computadoras y su software para convertir, almacenar, proteger, procesar, transmitir y recuperar la información. Hoy en día, el término "tecnología de información" se suele mezclar con muchos aspectos de la computación y la tecnología y el término es más reconocible que antes. La tecnología de la información puede ser bastante amplia, cubriendo muchos campos. Los profesionales de tecnología de la información realizan una variedad de tareas que van desde instalar aplicaciones a diseñar complejas redes de computación y bases de datos. Algunas de las tareas de los profesionales de tecnología de la información incluyen, administración de datos, redes, ingeniería de hardware, diseño de programas y bases de datos, así como la administración y dirección de los sistemas completos. Cuando las tecnologías de computación y comunicación se combinan, el resultado es la tecnología de la información o "infotech". La Tecnología de la Información es un término general que describe cualquier tecnología que ayuda a producir, manipular, almacenar, comunicar, y/o esparcir información.
1.1.2 Importancia de la tecnología de la información
En este mundo globalizado y de constantes cambios, las empresas, las organizaciones, entidades, obligadamente requieren ser cada vez más ágiles y se deben adaptar con mayor facilidad a estos cambios.
Para (Maxitana 2005) las organizaciones dependen en su totalidad de tener la información exacta en el momento preciso. Las compañías que no son capaces de alcanzar esto, están en peligro de extinción porque con el paso de los años, la información se ha convertido en el arma más potente para la toma decisiones, y es aquí donde radica la prioridad de desarrollar nuevas tecnologías que permitan tener la información requerida y lista para ser utilizada. Sin embargo, la mayoría de las organizaciones han fallado al no aprovechar el ambiente existente e implementar ideas innovadoras para mejorar el papel que juegan los sistemas de información dentro de sus organizaciones. Algunos de estos errores son: resistencia al cambio por parte de las personas, deficiencias para reconocer amenazas competitivas rápidamente, robustez de los sistemas de información, escasez de recursos apropiados e incertidumbre de cómo o porqué automatizar procesos.
Existe una creciente necesidad entre los usuarios de los servicios de tecnología de información, de estar protegidos a través de la acreditación y la auditoría de servicios de tecnología de información proporcionados internamente o por terceras partes, que aseguren la existencia de controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la implementación de buenos controles de Tecnología de Información en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales.
Aunque muchas organizaciones dependen de las tecnologías de información para conseguir su trabajo hecho, las industrias siguientes son directamente dependientes en tecnologías de información: computadoras, software, consultaría de la tecnología de la información, tecnología de información con servicios, outsourcing de proceso del negocio, intervención de la tecnología de información, tecnología de la comunicación, ciencias de la información, seguridad de la información, biblioteca digital, gerencia de datos, proceso de datos, almacenamiento de datos, criptografía, biblioteca de la infraestructura de la tecnología de información, telemática, gerencia de sistemas, etc.
Utilizando eficientemente la tecnología de la información se pueden obtener ventajas competitivas, pero es preciso encontrar procedimientos acertados para mantener tales ventajas como una constante, así como disponer de cursos y recursos alternativos de acción para adaptarlas a las necesidades del momento, pues las ventajas no siempre son permanentes. El sistema de información tiene que modificarse y actualizarse con regularidad si se desea percibir ventajas competitivas continuas. El uso creativo de la tecnología de la información puede proporcionar a los administradores una nueva herramienta para diferenciar sus recursos humanos, productos y/o servicios respecto de sus competidores, (Alter 1999).
Este tipo de preeminencia competitiva puede traer consigo otro grupo de estrategias, como es el caso de un sistema flexible y las normas justo a tiempo, que permiten producir una variedad más amplia de productos a un precio más bajo y en menor tiempo que la competencia.
Las tecnologías de la información representan una herramienta cada vez más importante en los negocios, sin embargo el implementar un sistema de información de una empresa no garantiza que ésta obtenga resultados de manera inmediata o a largo plazo. En la implementación de un sistema de información intervienen muchos factores siendo uno de los principales el factor humano.
1.1.3 Las tecnologías de la información y la eficiencia organizacional
Generalmente se piensa que las tecnologías de información sólo se usan en la etapa de producción, y vienen a la mente los grandes sistemas de manufactura, o los sistemas automatizados de producción continua, sin embargo, actualmente las tecnologías de información deberán de estar presentes en todas las actividades de la empresa, en decir, en las etapas de entrada, conversión y salida, (Rosseau 1999).
En la etapa de entrada, las tecnologías de información deberán contener todas las habilidades, procedimientos y técnicas que permitan a las organizaciones manejar eficientemente las relaciones existentes con los grupos de interés (clientes, proveedores, gobierno, sindicatos y público en general) y el entorno en el que se desenvuelven. En la función de recursos humanos, por ejemplo, existen técnicas especializadas, como entrevistas o test psicológicos que permiten reclutar al personal con el mejor perfil para satisfacer las necesidades de la empresa. Además de que actualmente, gracias a Internet se puede tener acceso a bolsas de trabajo de cualquier parte del mundo. En el manejo de recursos, existen técnicas de entrega con los proveedores de entrada que permiten obtener recursos de alta calidad y a un menor costo. El departamento de finanzas, gracias a las tecnologías de información como la banca electrónica o los modernos portales bancarios en internet, puede obtener capitales a un costo favorable para la compañía. En la etapa de conversión, las tecnologías de información en combinación con la maquinaria, técnicas y procedimientos, transforman las entradas en salidas. Una mejor tecnología permite a la organización añadir valor a las entradas para disminuir el consumo así como el desperdicio de recursos.
En la etapa de salida, las tecnologías de información permiten a la empresa ofrecer y distribuir servicios y productos terminados. Para ser efectiva, una organización deberá poseer técnicas para evaluar la calidad de sus productos terminados, así como para el marketing, venta y distribución y para el manejo de servicios de postventa a los clientes. Las tecnologías de información en los procesos de entrada, conversión y salida dan a la compañía una importante ventaja competitiva. ¿Porqué Microsoft es la más grande compañía de software? ¿Por qué Toyota es la manufacturera automotriz más eficiente? ¿Porqué McDonald's es la más eficiente compañía de comida rápida? Cada una de estas organizaciones sobresale en el desarrollo, administración y uso de tecnologías de información para administrar el entorno organizacional y crear valor para toda la compañía.
Las tecnologías de información pueden ayudar a mejorar la productividad de todas las funciones de la empresa, y además de mejorar el flujo de información dentro y entre las unidades del negocio. Una organización que pretenda ser efectiva deberá de explotar y administrar todas éstas tecnologías para dar un valor agregado a toda la organización.
1.1.4 Ventajas de la tecnología de la información para una empresa
La revolución de las tecnologías de información ha tenido un profundo efecto en la administración de las organizaciones, mejorando la habilidad de los administradores para coordinar y controlar las actividades de la organización y ayudándolos a tomar decisiones mucho más efectivas. Hoy en día el uso de las tecnologías de información se ha convertido en un componente central de toda empresa o negocio que busque un crecimiento sostenido. Ya no lo es sólo para procesos de producción o conversión, sino que deberá estar implícito en todos los ámbitos del negocio, incluyendo en el área administrativa, por ser ésta la que controla toda la empresa.
Como resultado del uso de estas tecnologías la empresa puede reducir el tamaño de su estructura jerárquica e incrementar el flujo de información horizontal. Esto es, a través de todos los departamentos de la empresa, además de proveer de una ventaja competitiva a la empresa se logra una reducción del tamaño de la estructura jerárquica. Esto se logra al proveer a los administradores y ejecutivos información de alta calidad, oportuna y completa, lo cual reduce la necesidad de varios niveles de burocracia y jerarquía administrativa.
Los sistemas de información al reducir éstos niveles jerárquicos, actúan como dispositivos de control en las actividades de la empresa o negocio. Cabe señalar que los sistemas de información también reducen la necesidad de los administradores de coordinar e integrar las actividades de las subunidades de la empresa, además de que las tecnologías de información actualmente pueden coordinar completamente el flujo de producción de una empresa.
Existe además un incremento del flujo de información horizontal facilitado por el crecimiento de los sistemas cliente – servidor del tipo three-tier (que permiten la conexión de computadoras personales a potentes servidores o mini-computadoras y éstos a su vez conectados a un mainframe). En los últimos años se ha visto una rápida expansión de los sistemas de red global en las empresas. Actualmente las redes de computadoras son usadas como el canal primario de información interna de una organización. Los sistemas de e-mail así como el desarrollo de software de intranet para compartir documentos electrónicos han acelerado ésta tendencia tecnológica.
Otra ventaja es la competitiva. El implementar apropiadas tecnologías de información puede significar un incremento en el potencial competitivo de la empresa o negocio. Actualmente, en la búsqueda de competitividad, se han vuelto los ojos hacia el uso de tecnologías de información, por ejemplo, al reducir la necesidad de muchas jerarquías, los sistemas de información ayudan a reducir los gastos burocráticos, ya que los administradores se basan en las tecnologías de información para coordinar y controlar las actividades de la empresa. Un ejemplo de esto es Intel, el cual, incrementando la sofisticación de sus tecnologías de información, han podido recortar el número de niveles jerárquicos de toda la compañía de 10 a sólo 5 niveles. Además de que gracias a los canales de comunicación que proveen las tecnologías de información, se puede obtener información clara y oportuna de todos los movimientos del entorno industrial, como lo son precios, clientes, impuestos, tipos de cambio, regulaciones, estándares y movimientos de la competencia, lo cual ayuda a los ejecutivos al momento de diseñar estrategias competitivas. Aunado a esto los grandes corporativos pueden mantener un flujo de información constante en todas sus unidades de negocios sin importar la distancia física a la que se encuentren distribuidos. Por último (Davidow, Malone et al. 2002) han dicho cómo las tecnologías de información pueden ser usadas para mejorar la respuesta de una empresa o negocio hacia los requerimientos de los clientes, lo cual es una fuente muy importante de competitividad. La esencia de su argumento es que las tecnologías de información permiten a las compañías crear "productos virtuales", productos que pueden ser personalizados de acuerdo con las necesidades específicas de algún cliente en particular, sin cargos adicionales. Un ejemplo de esto, es la compañía Levi´s la cual en sus tiendas, por medio de computadoras touch-screen se configuraban cada una de las diferentes características del pantalón que solicitaba el cliente, la solicitud se enviaba electrónicamente a las fábricas en Tenesse y de allí se enviaban por correo al cliente, el cual sólo pagaba un costo adicional de $10 dólares por todo este servicio.
1.2 Riesgo
Hoy día el tema del riesgo es un asunto tan importante que las empresas crean áreas específicas para su tratamiento y es en la actualidad un aspecto básico a seguir investigando. Es por ello que este término se encuentra muy difundido en la literatura, encontrándose diferentes definiciones.
1.2.1 Definiciones
(Charette 2000) señala que el riesgo afecta a los futuros acontecimientos, que el riesgo implica cambio (que puede venir dado por cambios de opinión, de acciones, de lugares) y que implica elección y la incertidumbre que entraña la elección. Por tanto, el riesgo, como la muerte, es una de las pocas cosas inevitables de la vida.
Según (Maxitana 2005) el concepto de riesgo de tecnologías de la información puede definirse como el efecto de una causa multiplicado por la frecuencia probable de ocurrencia dentro del entorno de tecnologías de la información . Surge entonces, la necesidad del control que actúe sobre la causa del riesgo para minimizar sus efectos. Cuando se dice que los controles minimizan los riesgos, lo que en verdad hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.
Se puede decir entonces que un riesgo es un evento, el cual es incierto y tiene un impacto negativo, es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. Un riesgo tiene una causa y, si ocurre una consecuencia. Habitualmente se gestionan los riesgos con efecto negativo, es decir, aquellos que suponen una amenaza para el éxito del proyecto.
También se puede decir que el riesgo es una condición del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de pérdidas.
El riesgo siempre implica dos características: la incertidumbre, que no es más que el acontecimiento que caracteriza que el riesgo puede o no puede ocurrir; por ejemplo, no hay riesgos de un 100 por ciento de probabilidad y la pérdida, que no es más que si el riesgo se convierte en una realidad, ocurrirán consecuencias no deseadas o pérdidas. Cuando se analizan los riesgos es importante cuantificar el nivel de incertidumbre y el grado de pérdidas asociado con cada riesgo.
1.2.2 Gestión de riesgos
Las empresas o entidades que adoptan un criterio equilibrado ante la madurez de la gestión de riesgos de tecnologías de la información, no sólo tienen menos incidentes en este ámbito sino que obtienen mayor rentabilidad del negocio y de tecnologías de la información respecto de la competencia.
El criterio idóneo es el que equilibra las tres disciplinas principales involucradas en la gestión de riesgos de tecnologías de la información: los procesos de gobierno de riesgos, un entorno sólido de tecnologías de la información y una cultura consciente de los riesgos. Todos aquellos que adopten este criterio no sólo evitarán la interrupción de sus operaciones, sino que además lograrán mayor eficacia y agilidad en la empresa. Pueden aprovechar las funciones de gestión de riesgos de tecnologías de la información para mejorar la gestión de tecnologías de la información en general.
A partir de la investigación realizada por (Westerman and Hunter 2007), una encuesta sobre gestión de riesgos de tecnologías de la información muestra que, por muy perfeccionado que esté uno de los componentes de la gestión de riesgos, sólo se rentabiliza una parte de ésta. Si se adopta un criterio más efectivo, se equilibran las tres disciplinas principales que intervienen en dicha gestión.
Se han establecido conclusiones que señalan la creciente importancia de la gestión de riesgos de tecnologías de la información a partir de encuestas realizadas. Más del 50% de los encargados de riesgos encuestados declaró que en el último año había aumentado en sus empresas la concienciación sobre riesgos de tecnologías de la información, mientras que sólo un 8% declaró que había disminuido.
Los encuestados declararon que los mayores obstáculos para lograr una eficaz gestión de riesgos son la falta de concienciación de los usuarios, de personal adecuadamente formado y de herramientas para procesar las amenazas. Lo positivo es que las tres disciplinas principales pueden resolver estos obstáculos. De hecho, las empresas o entidades que han logrado un equilibrio de las tres disciplinas, en cuanto a madurez de tecnologías de la información, en lugar de dar prioridad a una de ellas sobre las demás, son más eficaces a la hora de gestionar los riesgos. Estas empresas o entidades declaran mayor eficacia de tecnologías de la información en las siguientes áreas:
Capacidad para evitar incidentes negativos, tales como averías y brechas del sistema de seguridad.
Eficiencia de la unidad de tecnologías de la información.
Ajuste de tecnologías de la información con el resto de la empresa o entidad.
Capacidad para asumir los cambios en la empresa o entidad.
Además, las empresas o entidades encuestadas que adoptan un criterio de gestión de riesgos equilibrado declaran tener mejor percepción de la gestión de riesgos que las que no armonizan las tres disciplinas. Sólo el 10% de las empresas que no ha logrado dicho equilibrio declara que la gestión de riesgos de tecnologías de la información es adecuada. No obstante, el 72%, que sí logra equilibrar estas iniciativas, declara tener mejor percepción de la gestión de riesgos de tecnologías de la información. Además, las que cuentan con programas enfocados a una gestión de riesgos de tecnologías de la información equilibrada cuentan con mayores niveles de éxito en dicha gestión.
Lo más relevante de los resultados de la encuesta es que la gestión de riesgos de tecnologías de la información no se limita al costo de hacer negocio o a influir en la agilidad y la flexibilidad de éste. El hecho es que la gestión de riesgos de tecnologías de la información no es una cuestión técnica, es de gestión. La eficacia en este ámbito se consigue mejorando el modo de gestionar tecnologías de la información. La gestión de riesgos en tecnologías de la información se puede utilizar para abogar en favor de unas buenas prácticas de gestión de tecnologías de la información que no siempre pueden ofrecer una rentabilidad cuantificable. Si se consigue una madurez equilibrada en las tres disciplinas clave, las empresas pueden convertir los temas asociados a los riesgos de tecnologías de la información en mejoras en todo este departamento y en el entorno corporativo.
Utilizando el lenguaje adecuado para hablar de riesgos y disponiendo de los instrumentos adecuados para gestionarlos, las empresas pueden obtener un valor añadido, además de evitar los riesgos. Pueden servirse de la gestión de riesgos para introducir cambios que también generan mayor eficacia de tecnologías de la información y agilidad en el entorno corporativo en general.
Según (Gómez 2010) la disciplina de gestión de riesgos de tecnologías de la información se enmarca no sólo dentro de los requerimientos regulatorios, sino también dentro de los de negocio. Un profesional de la gestión del riesgo en tecnologías de la información debe ser especialista en tecnología y sistemas de gestión de seguridad de la información, y también tener un amplio conocimiento del negocio de la empresa en la que desarrolla su actividad. El reto actual de gestión de riesgos de tecnologías de la información se basa en definir un programa continuo, objetivo, repetible y medible, en el que la evaluación de costos, la valoración de activos y las métricas de rendimiento convivan de manera integrada con el resto de requerimientos corporativos. La creación del programa debe realizarse desde una perspectiva de arriba hacia abajo, totalmente enmarcada en la gestión global de los riesgos y respondiendo a los diferentes requerimientos de las distintas unidades de negocio, consiguiendo gestionar y definir unos controles flexibles y adaptables a los distintos tipos de riesgos y de requerimientos regulatorios que no obliguen a la organización de tecnologías de la información a reinventar las tareas, y los controles y las evidencias de cumplimiento.
Se puede plantear de forma general que la gestión de riesgos en tecnologías de la información se basa en los siguientes pasos:
Estimación de Riesgos: La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos:
La identificación de riesgos.
El análisis de riesgos.
La asignación de prioridades a los riesgos.
Administración de riesgos: su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a que se encuentran expuestos las actividades, categorías o ramas que presentan cada empresa, organización o entidad.
Monitorización de riesgos: la vida en el mundo informático sería más fácil si los riesgos apareciesen después de que hayamos desarrollado planes para tratarlos. Pero los riesgos aparecen y desaparecen dentro del entorno informático, por lo que se necesita una monitorización para comprobar cómo progresa el control de un riesgo e identificar como aparecen nuevos eventos perjudiciales en las actividades informáticas.
1.2.2.1 Identificación de riesgos
Según (Guadalupe Ramírez 2003) por un lado, la identificación de riesgos es de gran importancia para determinar el nivel de exposición de una institución, organización o entidad al inadecuado uso de los servicios que brindan las tecnologías de la información; pero además permite gestionar los riesgos, implementando controles que están orientados a evitarlos, transferirlos, reducirlos o asumirlos gerencialmente.
El objetivo de este paso es identificar el potencial de las fuentes de amenaza y compilar un listado de las fuentes de amenazas, que son aplicables al sistema de tecnología de información que se está evaluando. Durante la fase inicial, una evaluación del riesgo podría ser utilizado para desarrollar el plan de sistema de seguridad.
Una fuente de riesgo, se define como cualquier circunstancia o hecho que pueda poner un sistema de tecnología de la información en peligro. Las fuentes de riesgo comunes pueden ser natural, humano o el medio ambiente. En la identificación de riesgo, es importante considerar todas las posibles fuentes de riegos que puedan causar daño a un sistema de tecnología de la información y su entorno de procesamiento. Los seres humanos pueden ser fuentes de amenazas a través de actos intencionales, como los ataques deliberados por parte de personas maliciosas o empleados descontentos, o actos no intencionales, tales como la negligencia y los errores. Un ataque intencionado puede ser un intento malicioso para obtener acceso no autorizado a un sistema informático (por ejemplo, a través de adivinar la contraseña) con el fin de comprometer el sistema y la integridad de los datos, disponibilidad o confidencialidad, pero no obstante, con propósito, intento de eludir la seguridad del sistema.
Hoy en día se presentan muchas amenazas humanas, sus posibles motivaciones, y los métodos o acciones riesgosas por las cuales se podría llevar a cabo un ataque informático. Toda esta información será útil para las organizaciones o entidades en su estudio del entorno de los riesgos y para personalizar su listado de riesgos humanos. Además, las revisiones de la historia de entrada al sistema; informes de violación de seguridad; informes de incidentes, y entrevistas con los administradores de sistemas, asistencia personal, la comunidad de usuarios durante la recopilación de información, ayudará a identificar las fuentes de riesgos humanas que tienen el potencial de daño a un sistema de tecnologías de la información y sus datos que puede ser una preocupación cuando existe una vulnerabilidad. Un estimado de la motivación, recursos, capacidades que se requieren para llevar a cabo con éxito un ataque debe ser desarrollado después de la identificación de fuentes de riesgos potenciales para que se pueda determinar la probabilidad de que un riesgo pueda ocurrir.
La identificación de riesgos en tecnologías de la información es de vital importancia para la gestión de riesgos en tecnologías de la información ya que ésta es el proceso de comprender qué eventos potencialmente podría dañar o mejorar una organización o entidad.
1.2.2.2 Análisis de riesgos
Un punto importante en la gestión de riesgos en tecnologías de la información es analizar cada riesgo para determinar su impacto. El análisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Esto involucra una estimación de incertidumbre del riesgo y su impacto (Galway 2004).Es el proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una organización o entidad, se valora su impacto y la probabilidad de que ocurran, es decir, es un proceso para asegurar que los controles de seguridad de un sistema se adapten según la proporción de sus riesgos.
Por lo visto hasta ahora, los objetivos del análisis de riesgo son:
Tener la capacidad de:
Identificar, evaluar y manejar los riesgos de seguridad.
Estimar la exposición de un recurso a una amenaza determinada.
Determinar cuál combinación de medidas de seguridad proporcionará un nivel de seguridad razonable a un costo aceptable.
Tomar mejores decisiones en seguridad informática.
Enfocar recursos y esfuerzos en la protección de los activos
El análisis de riesgo está compuesto por varias fases:
Fase 1: Construir perfiles de amenazas basados en activos.
Activos críticos.
Requerimientos de seguridad para los activos críticos.
Amenazas a los activos críticos.
Prácticas de seguridad actuales.
Vulnerabilidades actuales de la organización.
Fase 2: Identificar vulnerabilidades de infraestructura.
Componentes claves.
Vulnerabilidades claves de la tecnología.
Fase 3: Desarrollar planes y estrategias de seguridad.
Riesgos de los activos críticos.
Medidas de riesgo.
Estrategias de protección.
Planes de mitigación de riesgos.
1.2.2.2.1 Análisis cualitativo de Riesgo
Según (P.Kindinger and Darby 2000) , el análisis cualitativo de riesgo involucra evaluar la probabilidad y el impacto de la identificación de riesgos, para determinar su magnitud y prioridad. Para poder evaluar cualitativamente los riesgos se cuenta fundamentalmente con tres herramientas: la matriz de probabilidad e impacto para calcular los factores de riesgos, la técnica de seguimiento de los diez factores de riesgo más importantes, y la evaluación del juicio de expertos.
(Ferrer 2006) plantea que el análisis cualitativo de riesgo permite agilidad en el proceso y facilidad en la asignación de valores de impacto o riesgo.
Página siguiente |