Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Sistema de administración de riesgos en tecnología informática (página 2)




Enviado por ALBERTO CANCELADO



Partes: 1, 2

3. Parte II – Elementos De
Gestión De
Riesgos En Informática

La función de
la gestión
de riesgos es
identificar, estudiar y eliminar las fuentes de los
eventos
perjudiciales antes de que empiecen a amenazar los procesos
informáticos.

La gestión de riesgos se divide generalmente
en:
Estimacion De Riesgos
La estimación de riesgos describe cómo estudiar los
riesgos dentro de la planeación
general del entorno informático y se divide en los
siguientes pasos:

  • La identificación de riesgos genera una lista
    de riesgos capaces de afectar el funcionamiento normal del
    entorno informático.
  • El análisis de riesgos mide su probabilidad de
    ocurrencia y su impacto en la
    organización.
  • La asignación de prioridades a los
    riesgos.

Identificacion De Riesgos

En este paso se identifican los factores que introducen
una amenaza en la planificación del entorno
informático. Los principales factores que se ven afectados
son:

  • Creación de la planificación, que
    incluye: Planificación excesivamente optimista,
    planificación con tareas innecesarias, y organización de un entorno
    informático sin tener en cuenta áreas
    desconocidas y la envergadura del mismo.
  • La organización y gestión,que incluye:
    Presupuestos
    bajos, El ciclo de revisión/decisión de las
    directivas es mas lento de lo esperado.
  • El entorno de trabajo, que
    incluye: Mal funcionamiento de las herramientas
    de desarrollo,
    espacios de trabajo inadecuados y la curva de aprendizaje de
    las nuevas
    tecnologías es mas larga de lo esperado.
  • Las decisiones de los usuarios finales, que incluye:
    Falta de participación de los usuarios finales y la
    falta de comunicación entre los usuarios y el
    departamento de informática
  • El personal
    contratado, que incluye: Falta de motivación, falta de trabajo en
    equipo y trabajos de poca calidad.
  • Los procesos, que incluye: La burocracia,
    falta de control de
    calidad y la falta de entusiasmo.

Analisis De Riesgos
Una vez hayan identificado los riesgos en la
planificación, el paso siguiente es analizarlos para
determinar su impacto, tomando así las posibles
alternativas de solución. La explicación de
Análisis de riesgos se extenderá
posteriormente.

Exposicion A Riesgos
Una actividad útil y necesaria en el análisis de
riesgos es determinar su nivel de exposición
en cada uno de los procesos en que se hayan
identificado.

Estimacion De La Probabilidad De Perdida
Las principales formas de estimar la probabilidad de
pérdida son las siguientes:

  • Disponer de la persona que
    está más familiarizada con el entorno
    informático para que estime la probabilidad de
    ocurrencia de eventos perjudiciales.
  • Usar técnicas
    Delphi o de
    consenso en grupo. El
    método
    Delphi consiste en reunir a un grupo de expertos para
    solucionar determinados problemas.
    Dicho grupo realiza la categorización individual de las
    amenazas y de los objetos del riesgo.
  • Utilizar la calibración mediante adjetivos, en
    la cuál las personas involucradas eligen un nivel de
    riesgo entre (probable, muy probable) y después se
    convierten a estimaciones cuantitativas.

Priorizacion De Riesgos
En este paso de la estimación de riesgos, se estiman su
prioridad de forma que se tenga forma de centrar el esfuerzo para
desarrollar la gestión de riesgos. Cuando se realiza la
priorización (elementos de alto riesgo y pequeños
riesgos), estos últimos no deben ser de gran
preocupación, pues lo verdaderamente crítico se
puede dejar en un segundo plano.

Control De Riesgos
Una vez que se hayan identificado los riesgos del entorno
informático y analizado su probabilidad de ocurrencia,
existen bases para controlarlos que son:

  • Planificación
  • Resolución de riesgos
  • Monitorización de riesgos

Planificacion De Riesgos
Su objetivo, es
desarrollar un plan que controle
cada uno de los eventos perjudiciales a que se encuentran
expuestos las actividades informaticas.

Resolucion De Riesgos
La resolución de los riesgos está conformado por
los métodos
que controlan el problema de un diseño
de controles inadecuado, los principales son:

  1. Evitar el Riesgo : No realizar actividades
    arriesgadas.
  2. Conseguir información acerca del
    riesgo.
  3. Planificar el entorno informático de forma que
    si ocurre un riesgo, las actividades informáticas sean
    cumplidas.
  4. Eliminar el origen delriesgo, si es posible desde su
    inicio.
  5. Asumir y comunicar el riesgo.

Para ilustrar la forma en que puede controlar algunos de
estos riesgos, la tabla No.3 ilustra los métodos de
control
más comunes:

RIESGO

METODOS DE CONTROL

Cambio de la prestación del
servicio

  • Uso de técnicas orientadas al cliente.
  • Diseño para nuevos cambios

Recorte de la calidad

  • Dejar tiempo
    a las actividades de control.

Planificación demasiado
optimista

  • Utilización de técnicas y
    herramientas de estimación.

Problemas con el personal contratado

  • Pedir referencias personales y
    laborales.
  • Contratar y planificar los miembros clave del
    equipo mucho antes de que comience el proyecto.
  • Tener buenas relaciones con el personal
    contratado.

Tabla No. 3 Métodos de control de riesgos mas
habituales

Monitorizacion De Riesgos
La vida en el mundo informático sería más
fácil si los riesgos apareciesen después de que
hayamos desarrollado planes para tratarlos. Pero los riesgos
aparecen y desaparecen dentro del entorno informático, por
lo que se necesita una monitorización para comprobar como
progresa el control de un riesgo e identificar como aparecen
nuevos eventos perjudiciales en las actividades
informáticas.

4. Parte III – Analisis De
Riesgos

El objetivo general del análisis de riesgos es
identificar sus causas potenciales, en la figura No. 4 se aprecia
por ejemplo, los principales riesgos que amenazan el entorno
informático. Esta identificación se realiza en una
determinada área para que se pueda tener
información suficiente al respecto, optando así por
un adecuado diseño e implantación de mecanismos de
control; a fin de minimizar los efectos de eventos no deseados,
en los diferentes puntos de análisis.

Además el análisis de riesgos cumple los
siguientes objetivos:

  • Analizar el tiempo, esfuerzo y recursos
    disponibles y necesarios para atacar los problemas.
  • Llevar a cabo un minucioso análisis de los
    riesgos y debilidades.
  • Identificar, definir y revisar los controles de
    seguridad.
  • Determinar si es necesario incrementar las medidas de
    seguridad.
  • Cuando se identifican los riesgos, los
    perímetros de seguridad y los sitios de mayor peligro,
    se pueden hacer el mantenimiento mas fácilmente.

Antes de realizar el análisis de riesgos hay que
tener en cuenta los siguientes aspectos:

  • Se debe tener en cuenta las políticas y las necesidades de la
    organización así como la colaboración con
    todas las partes que la conforman y que intervienen en los
    procesos básicos.
  • Debe tenerse en cuenta los nuevos avances
    tecnológicos y la astucia de intrusos
    expertos.
  • Tener en cuenta los costos vs. la
    efectividad del programa que se
    va a desarrollar de mecanismos de control.
  • El comité o la junta directiva de toda
    organización debe incluir en sus planes y presupuesto los
    gastos
    necesarios para el desarrollo de programas de
    seguridad, así como tener en cuenta que esta parte es
    fundamental de todo proceso de
    desarrollo de la empresa,
    especificar los niveles de seguridad y las responsabilidades de
    las personas relacionadas, las cuales son complemento crucial
    para el buen funcionamiento de todo programa de
    seguridad.
  • Otro aspecto que se debe tener en cuenta es la
    sobrecarga adicional que los mecanismos y contramedidas puedan
    tener sobre el entorno informático, sin olvidar los
    costos adicionales que se generan por su
    implementación.

El análisis de riesgos utiliza el método
matricial llamado MAPA DE RIESGOS, para identificar la
vulnerabilidad de un servicio o
negocio a riesgos típicos, El método contiene los
siguientes pasos:

  • Localización de los procesos en las
    dependencias que intervienen en la prestación del
    servicio (Ver figura No. 5).

FIGURA No. 5 Matriz de
dependencias vs. procesos

  • Localización de los riesgos críticos y
    su efecto en los procesos del Negocio. En este paso se
    determina la vulnerabilidad de una actividad a una amenaza.
    Para asignar un peso a cada riesgo ; se consideran tres
    categorías de vulnerabilidad (1 baja, 2 media, 3 alta)
    que se asignarán a cada actividad de acuerdo a su
    debilidad a una amenaza (causa de riesgo). Por ejemplo, si
    afirmamos que el riesgo a una Decisión equivocada tiene
    alto riesgo de vulnerabilidad, entonces tendría alta
    prioridad dentro de nuestras políticas de seguridad (Ver
    figura No. 6).

RIESGO

(%) Obtenido

Vulnerabilidad

Decisiones equivocadas

59

ALTA

Fraude

55

MEDIA

Hurto

54

MEDIA

FIGURA No. 6 Matriz de riesgos vs.
vulnerabilidad

Dentro del entorno informático las amenazas
(causas de riesgo) se pueden clasificar así:

  • Naturales: Incluyen principalmente los cambios
    naturales que pueden afectar de una manera u otra el normal
    desempeño del entorno informático;
    por ejemplo, la posibilidad de un incendio en el sitio donde se
    encuentran los concentradores de cableado dado que posiblemente
    están rodeados de paredes de madera es
    una amenaza natural.
  • Accidentales: Son las más comunes que existen
    e incluyen:
  • Errores de los usuarios finales: Por ejemplo, El
    usuario tiene permisos de administrador y
    posiblemente sin intención modifica información
    relevante.
  • Errores de los operadores: Por ejemplo, si un
    operador tenía un sesión abierta y olvidó
    salir del sistema;
    alguien con acceso físico a la máquina en
    cuestión puede causar estragos.
  • Error administrativo: Por ejemplo, Instalaciones y
    configuraciones sin contar con mecanismos de seguridad para su
    protección.
  • Errores de salida: Por ejemplo, Impresoras u
    otros dispositivos mal configurados.
  • Errores del sistema: Por ejemplo, daños en
    archivos del
    sistema
    operativo.
  • Errores de comunicación: Por ejemplo, permitir
    la transmisión de información violando la
    confidencialidad de los datos.
  • Deliberadas: Estas amenazas pueden ser: activas
    (accesos no autorizados, modificaciones no autorizadas,
    sabotaje) ó pasivas(son de naturaleza
    mucho más técnica, como: emanaciones
    electromagnéticas y/o microondas
    de interferencia).
  • Localización de los riesgos críticos en
    las dependencias de la empresa y
    procesos que intervienen en el negocio (Ver figura No. 7 y
    figura No. 8).

Proceso / Riesgo

Decisiones equivocadas

Fraude

Hurto

Gestión de centros
transaccionales

X

X

Administración de sistemas

X

X

Atención al cliente

X

X

Conciliación de cuentas

X

X

X

FIGURA No. 7 Matriz de Procesos vs. riesgo

Riesgos Vs. Dependencias.

División Financiera

Sistemas

Cartera

Contabilidad

Decisiones equivocadas

X

X

Fraude

X

X

X

X

Hurto

X

X

X

X

FIGURA No. 8 Matriz de riesgo vs. dependencia

  • Identificar los controles necesarios: En este paso se
    precisan los controles, los cuales son mecanismos que ayudan a
    disminuir el riesgo a niveles mínimos o en algunos casos
    eliminarlos por completo. Se debe tener en cuenta que dichas
    medidas tienen tres diferentes capacidades que incluyen:
    mecanismos de prevención, mecanismos de detección
    y mecanismos de corrección; y que dentro de un proceso
    ó negocio funcionan como se describe en la figura No. 9.
    En este paso se incluye la funcionalidad y utilidad del
    control, y se identifican las personas responsables de la
    implantación de los controles.

Figura No. 9 Función de las medidas de control
preventivas, de detección y correctivas.

  • Diseñar los controles definitivos: En este
    paso se tienen los productos
    necesarios para iniciar el proceso de implantación de
    los controles utilizados o bien para empezar la construcción de dichos
    mecanismos.

Los siguientes criterios permiten evaluar en un monto
simbólico los mecanismos de control:

  • Confidencialidad: Se refiere a la protección
    de la información principalmente de accesos no
    autorizados. Información del personal, investigaciones
    y reportes de desarrollo son algunos de los ejemplos de
    información que necesita confidencialidad.
  • Integridad: Es el servicio ofrecido por el
    departamento de informática. Debe ser adecuado, completo
    y auténtico en el momento de ser procesada, presentada,
    guardada o transmitida la información.
  • Disponibilidad: Indica la disponibilidad que pueden
    tener en un determinado momento las actividades
    informáticas. Esta disponibilidad debe ser
    inmediata.
  • Resultados del análisis de riesgos: Los
    resultados del análisis de riesgos, deben dados a
    conocer oportunamente para que sean incorporados, desde las
    primeras fases del proceso.
  • Verificar por parte de la auditoría informática, la
    incorporación oportuna de los controles: La
    auditoría informática debe conocer el resultado
    del análisis de riesgos y verificar su
    implantación oportuna, para asegurar los mejores niveles
    de calidad, seguridad y efectividad de los procesos
    informáticos.

Glosario

  • ERGONOMIA
  • Disciplina científica que pone las necesidades
    y capacidades humanas como el foco del diseño de
    sistemas
    tecnológicos. Su propósito es asegurar que los
    humanos y la tecnología trabajan en completa
    armonía, mantiendo los equipos y las tareas en acuerdo
    con las características humanas.
  • RIESGO
  • Es el valor de las
    pérdidas a que se exponen las empresas por la
    ocurrencia de eventos perjudiciales.
  • AMENAZA
  • Las amenazas o causas del riesgo, se refieren a los
    medios o
    alternativas posibles que generan cada uno de los
    riesgos.
  • CONTROL
  • Control es toda acción orientada a minimizar la
    frecuencia de ocurrencia de las causas del riesgo o valor de
    las pérdidas ocasionadas por ellas. Los controles sirven
    para asegurar la consecución de los objetivos de la
    organización o asegurar el éxito
    de un sistema y para reducir la exposición de los
    riesgos, a niveles razonables. Los objetivos básicos de
    los controles son : Prevenir las causas del riesgo, detectar la
    ocurrencia de las causas del riesgo , y retroalimentando el
    sistema de control interno con medios correctivos.
  • INHERENTE
  • Esencial, permanente, que, por su naturaleza, no se
    puede separar de otra cosa.
  • ACTIVIDAD
  • Ente que necesita ser realizado para completar una o
    varias tareas específicas.
  • NEGOCIO
  • Empresa privada o pública que provee productos
    y servicios,
    para satisfacer los requerimientos de un cliente
    determinado.

5. Bibliografía

  • COLOMBIA.Instituto Colombiano de Normas
    técnicas y certificación (ICONTEC). Sistemas de
    calidad. Santa Fe de Bogotá D.C.: 1994. 21p.
    NTC-ISO
    9001.
  • COREY Michael y ABBEY Michael, ORACLE Data
    Warehousing: La seguridad de los datos, primera edición, España:
    Editorial McGraw Hill, 1997. 313 p. ISBN:
    84-481-0998-8.
  • DERRIEN Yann, Técnicas de la Auditoría
    Informática: La dirección de la misión
    de la auditoría, México D.F.: Ediciones Alga Omega S.A.,
    1995. 228 p. ISBN 970-15-0030-X.
  • Equipo de economistas DVE, Curso completo de
    auditoría: Introducción, Barcelona – España:
    Editorial De Vecchi, S.A., 1991, 206 p., ISBN :
    84-315-0957-0.
  • FARLEY Marc, Guía de LAN
    TIMES® de seguridad e integridad de datos: Seguridad
    informática, primera edición, Madrid(España): Editorial Mc Graw-Hill,
    1996. 342 p. ISBN: 0-07-882166-5.
  • IBM Education and Training, Internet
    Security and firewalls concepts – Student Notebook. 1995.
    Course code IN30.
  • IBM Corporation, S.O.S. en su sistema de computación, primera edición,
    México: Editorial Prentice-Hall Hispanoamericana, S.A.,
    1998. 211 p. ISBN: 970-17-0110-0.
  • MC CONNELL STEVE, Desarrollo y gestión de
    proyectos
    informáticos: Gestión de riesgos, primera
    edición, Aravaca(Madrid): Editorial Mc. Graw Hill, 1996.
    691 p. ISBN:84-481-1229-6.
  • MENDEZ Carlos E., Metodología-Guía para elaborar
    diseños de investigación en ciencias
    económicas, contables y administrativas, segunda
    edición, Santa Fe de Bogotá: Editorial Mc Graw
    Hill, 1993. 170 p. ISBN: 958-600-446-5.
  • PINILLA José Dagoberto, Auditoría
    Informática – Aplicaciones en Producción: Análisis de riesgos,
    primera edición, Santa Fe de Bogotá: ECOE
    Ediciones, 1997. 238 p. ISBN: 958-648-139-5.
  • SALLENAVE Jean Paul, Gerencia y
    Planeación Estratégica: El método Delfi,
    segunda edición, Colombia:
    Editorial Norma, 1996. 280 p. ISBN: 958-04-3162-0.
  • SCAROLA Robert, NOVELL
    Netware, primera edición, Madrid: Editorial Mc Graw
    Hill, 1992. 294 p. ISBN 84-7615-945-5.
  • SENN James A., Análisis y Diseño de
    Sistemas de
    Información, Segunda edición: Editorial Mc
    Graw Hill.
  • VAUGHAN EMMETT J., Risk Management, Primera
    edición, Estados Unidos de America: Editorial John Wiley
    & Sons, 1997. 812 p. ISBN 0-471-10759-X.

 

 

Alberto Cancelado González:

IT Consultant

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter