Análisis y administración de riesgo

Mtra. Ana elena García PumarinoAsesor On Line

UPAEP

¿Qué es riesgo? De acuerdo con el Project Management Institute [PMI 2004], riesgo es: “Un evento o condición incierta que, si ocurre, tiene un efecto positivo o negativo en al menos uno de los objetivos del proyecto, tales como tiempo, costo, alcance o calidad”.

“La administración del riesgo del proyecto incluye los procesos relacionados con llevar a cabo la planeación de la administración de riesgos, su identificación, análisis, respuesta, monitoreo y control en un proyecto” y la manera en como puede impactar.

La mayoría de estos procesos se ejecutan durante el desarrollo del proyecto.

• La probabilidad e impacto de eventos adversos al proyectoMinimiza

r

• La probabilidad y consecuencia de eventos positivos

Maximizar

Los objetivos de la administración de riesgo son:

Riesgo Informático

• La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:

•  “La probabilidad de que una amenaza se materialice,

utilizando vulnerabilidad existente de un activo o un

grupo de activos, generándole perdidas o daños”, a los bienes o servicios informáticos como por ejemplo los equipos informáticos, periféricos, instalaciones, proyectos, programas de computo, archivos, información, datos confidenciales, entre otros.

Concepto de riesgo Integral• En la definición anterior se pueden identificar varios

elementos como:

Probabilidad

Probabilidad de

ocurrencia• cualitativa o cuantitativa

Ejemplo 1: • acceso no autorizado de datos

Ejemplo 2: • Un incendio

Debe considerarse en cada caso; qué posibilidades existen de que la amenaza se presenten independientemente del hecho que sea o no contrarrestada.

Amenazas• Son aquellas acciones que pueden ocasionar consecuencias

negativas en la operatividad de la empresa. Estas pueden ser

Fallas

VirusUso inadecuado de SoftwareIngresos no autorizados

Desastres ambientales Físicas

Lógicas

Vulnerabilidad

• Son ciertas condiciones inherentes a los activos o

presentes en su entorno, es decir, a través de debilidades

existentes; las amenazas logran materializarse.

Activos e Impactos

Son aquellos relacionados con sistemas de información. Ejemplo:• Los datos, • El hardware,• El software, • Servicios, • Documentos, • Edificios y • Recursos humanos.

Las pérdidas generadas pueden ser financieras, no financieras, de corto o de largo plazo.

Las más comunes son:• La pérdida directa de dinero,

de confianza o de oportunidades de negocio,

• La reducción de la eficiencia,• Perdida humana o• Desastre Natural,• Multas o demandas legales.

Evaluación de riesgos y presentación de pruebasDebe prepararse de forma personalizada para cada organización; formulando algunas preguntas que ayuden a identificar lo anteriormente expuesto:1. ¿Qué puede salir mal?

5. ¿Se está preparado para abrir las puertas del negocio sin sistemas; por cuanto tiempo?"

9. ¿Cuántas personas dentro de la empresa, están en condiciones de inhibir el procesamiento de datos?

2. ¿Con qué frecuencia puede ocurrir?

6. ¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?

10. ¿A que se llama información confidencial y/o sensitiva?"

3. ¿Cuáles serían sus consecuencias?

7. ¿Se tiene forma de detectar a un empleado deshonesto a través del sistema?

11. ¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos?

4. ¿Qué tan fiables son las respuestas a las tres primeras preguntas?

8. ¿Se tiene control sobre las operaciones de los distintos sistemas?

12. ¿Quién es el propietario del recurso y cómo se actuará si la seguridad es violada?

Lista de riesgos• Posteriormente se realiza un resumen de los tipos de riesgos localizados para

determinar el valor del factor y poner en marcha el plan de contingencia según sus objetivos estratégicos, necesarios para evitar dicho riesgo:

Administración de riesgos

• La Administración del Riesgo Empresarial (Enterprise Risk Management-ERM) es el proceso por el cual la dirección de una empresa u organización administra a partir de los recursos, (humanos, físicos y financieros) minimiza pérdidas a corto plazo por la ocurrencia de acuerdo al nivel de riesgos a los cuales está expuesto (tanto sean de mercado como operacionales) según sus objetivos estratégicos.

Soluciones y Beneficios

• Buenas prácticas junto con empresas dedicadas a planificar opciones de mitigación de riesgos,

• Diseñar soluciones,

• Alinear riesgos informáticos con costos empresariales para optimizar inversiones y

• Administrar de forma unificada los riesgos informáticos de manera continua.

• Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales críticos. • Pasar de mitigar el riesgo a prevenir proactivamente las fallas. • Tomar decisiones más informadas sobre cómo proteger su empresa. • Evaluar las tácticas y los costos de la administración de riesgos relacionados con los diferentes niveles de protección. • Prepararse adecuadamente para las auditorías de las agencias de control.

ControlesAdministrativos

Politícas, Estándares,

Procedimientos,Guías,

Entrenamiento

Controles Técnicos

Acceso lógico,controles,encripción,

dispositivos de seguridad,Identificación y autenticación

Controles físicos

Protección de instalaciones,Guardias,

candados,Monitoreo,

Controles ambientales

Controles en Seguridad

¿Cómo valorar el riesgo?

Riesgos…

Referencias bibliograficas

• http://carrmen.jimdo.com/riesgo-informatico/

• http://www.kit.com.ar/boletines-a.php?id=0000037

• Security in Computing – Charles P. Pfleeger – Prentice Hall

• Network Security - Analysis and Implementation - January 1996 - MG-1 - http://www.cse.dnd.ca - Government of Canadá, Communications Security Establishment (CSE)

Mtra. Ana Elena García PumarinoAsesor