Monografias.com > Computación
Descargar Imprimir Comentar Ver trabajos relacionados

Herramienta informática para la gestión de riesgos en tecnologías de la información

Partes: 1, 2, 3

  1. Resumen
  2. Introducción
  3. Marco
    teórico referencial de la
    investigación
  4. Análisis,
    diseño e implementación del software para la
    gestión de riesgos en Tecnologías de la
    Información
  5. Pruebas de
    validación y manual de usuario
  6. Conclusiones
    parciales del capítulo
  7. Referencias
    bibliográficas

Resumen

El trabajo presenta la implementación de la
herramienta informática RiesgosTI a través de
técnicas de programación e ingeniería de
software. En el mismo se describen los antecedentes,
características y dificultades de una herramienta similar
(DIÓGENES) y se realiza una propuesta de mejoras que
serán tomadas en consideración en esta nueva
versión sobre software libre.

RiesgosTI es una herramienta que permite la
evaluación y gestión de los riesgos en
Tecnologías de la Información, a partir de la
aplicación de la Resolución 127 del Ministerio de
la Informática y las Comunicaciones de Cuba. Está
implementada en el lenguaje de programación Java por su
potencia para desarrollar aplicaciones en cualquier
ámbito, su dinamismo y su propósito general,
además de incorporar una base de datos en
MySql.

Introducción

Los avances alcanzados en los últimos años
en la informatización de la sociedad con el incremento de
tecnologías de la información en todos los sectores
y en particular de las redes informáticas y sus servicios
asociados, y el impulso orientado por la dirección del
país al desarrollo acelerado de programas que multipliquen
dichos logros, requieren la adopción de medidas que
garanticen un adecuado nivel de seguridad para su
protección y ordenamiento.

La seguridad de las organizaciones, sistemas y redes de
información están constantemente amenazadas por
diversas fuentes que incluyen ataques de distintos tipos y
origen; la ocurrencia de catástrofes, errores de
operación y negligencias, aumentan los riesgos a que
están expuestos los servicios y protocolos utilizados,
así como el contenido de la información tratada en
dichos sistemas, todo lo cual puede afectar severamente la
confidencialidad, integridad y disponibilidad de la
información.

A partir de las vulnerabilidades y debilidades propias
de los sistemas informáticos y de las dificultades y
limitaciones que se presentan para detectar y neutralizar
oportunamente las posibles acciones del enemigo en esta esfera,
resulta necesario implementar un basamento legal que establezca
los requerimientos de seguridad en el empleo de las
tecnologías de la información a partir de criterios
de racionalidad y utilidad, que resulten susceptibles de
verificación y propendan a la disminución de los
riesgos en la seguridad informática. Así, desde el
año 2007 se puso en vigor el Reglamento de Seguridad para
las Tecnologías de la Información.

Este Reglamento tiene por objeto establecer los
requerimientos que rigen la seguridad de las tecnologías
de la información y garantizar un respaldo legal que
responda a las condiciones y necesidades del proceso de
informatización del país.

El término Seguridad de las Tecnologías de
la Información utilizado en ese Reglamento está
relacionado con la confidencialidad, integridad y disponibilidad
de la información tratada por los ordenadores y las redes
de datos. El empleo de otros términos, tales como
seguridad de la información, seguridad de los ordenadores,
seguridad de datos o seguridad informática, tienen a los
efectos de lo que ahí se establece, el mismo
significado.

El Reglamento está siendo aplicado en todos los
Órganos y Organismos de la Administración Central
del Estado y sus dependencias; otras entidades estatales;
empresas mixtas; sociedades y asociaciones económicas;
entidades privadas radicadas en el país; organizaciones
políticas, sociales y de masas y personas naturales que
posean o utilicen, en interés propio o de un tercero,
tecnologías de la información.

Tomando esta idea inicial como referencia y dado el
hecho de que el Ministerio de la Informática y las
Comunicaciones (MIC) tiene como atribución estatal la
ejecución de inspecciones en materia de Seguridad a las
Tecnologías de la Información, es que ha sido
concebido un sistema automatizado para la gestión de
riesgos en Tecnologías de la Información
(DIÓGENES), que implementa los contenidos esenciales que
aparecen en el Reglamento de Seguridad para las
Tecnologías de la Información y que facilita tanto
a la empresa (en términos de autoevaluación), como
a los inspectores estatales (al realizar una evaluación),
el conocimiento del grado de cumplimiento del mencionado
reglamento y el plan de acciones a tomar. Esta herramienta
informática se ejecuta sobre el sistema operativo
Windows.

A partir de los pasos que ha dado Cuba en materia de
software libre por las ventajas que ofrece sobre el software
propietario, desde una perspectiva del uso del software de forma
colectiva y cooperativa mostrando su carácter
público y sus objetivos de beneficiar a toda la comunidad,
es que ha surgido la idea de proponer una herramienta con
propósitos similares a DIÓGENES pero sobre una
plataforma libre que pueda ser utilizada por aquellas empresas u
organismos que ya han comenzado a migrar hacia estas
tecnologías. Es por eso que se plantea el objetivo general
del trabajo.

Objetivo General

Desarrollar una herramienta informática que
facilite la verificación del estado de conformidad entre
lo establecido oficialmente en el Reglamento de Seguridad para
las Tecnologías de la Información vigente en el
país y los controles y el análisis de riesgos en
las tecnologías de la información implementados en
una entidad, utilizando como base tecnológica el software
libre.

El cumplimento de tal objetivo dependerá de la
satisfacción de los siguientes objetivos
específicos.

Objetivos Específicos:

  • Investigar acerca de las reglamentaciones existentes
    en el país para la seguridad y la gestión de
    riesgos en tecnologías de la información que
    faciliten la concepción de una herramienta
    automatizada sobre software libre.

  • Realizar el análisis y diseño de la
    herramienta informática atendiendo a las
    características del software existente y proponiendo
    algunas mejoras que permitan optimizar su
    funcionamiento.

  • Implementar la herramienta informática para
    la evaluación y el reporte de la información
    sobre riesgos en una empresa, organización o entidad
    utilizando tecnologías basadas en software
    libre.

  • Realizar validaciones a la herramienta para
    distintas entidades en la UCLV.

La herramienta RiesgosTI que se pretende implementar es
un software libre que sigue la tendencia del país hacia la
migración a estas tecnologías. Incorpora
técnicas de Programación e Ingeniería de
Software con el fin de dar solución a problemas que se
presentan cotidianamente en las tecnologías de la
información de las diferentes entidades y organismos, lo
que le da un valor práctico y puede conducir a que la
misma sea generalizada a diversas entidades y organismos que
pretendan realizar sus propias evaluaciones acerca de los riesgos
en tecnologías de la información, además de
su factibilidad de uso por los auditores en estas
temáticas. También brinda un apoyo
metodológico a los que la utilicen debido a que pueden
estar actualizados acerca de cuáles son las
reglamentaciones existentes en el país para la
gestión de riesgos en tecnologías de la
información.

El presente Trabajo de Diploma consta de los siguientes
capítulos:

Capítulo I: Marco teórico referencial de
la investigación.

En este capítulo se realizará un
análisis exhaustivo de los fundamentos de la
gestión de riesgos en tecnologías de la
información, el cual permitirá conocer las
características y evolución de éstas,
además de los beneficios que aportan su uso en la
seguridad de diversos sistemas. Se exponen además algunos
elementos relacionados con el software libre y las herramientas
utilizadas para el desarrollo de RiesgosTI.

Capítulo II: Análisis, diseño e
implementación del software para la gestión de
riesgos en tecnologías de la
información.

El capítulo tiene como objetivo dar
solución al problema expuesto en la introducción de
esta investigación. Para esto se procede a elaborar una
herramienta automatizada utilizando como base tecnológica
el software libre. Se exponen los elementos más
importantes de la modelación del análisis y el
diseño, así como algunos detalles de la
implementación y la fundamentación del
procedimiento de cálculo de los resultados.

Capítulo III: Elementos de la validación
del software y Manual de usuarios.

En este capítulo se presentan tres casos de
pruebas de validación del software, realizadas en
diferentes locaciones de la Universidad, además se exponen
de forma general diferentes características del software,
los requerimientos necesarios para su funcionamiento y la
guía para su uso lo que facilitará el
trabajo.

Además de esta introducción y los
capítulos anteriormente mencionados, este informe incluye
conclusiones, recomendaciones y bibliografía.

DESARROLLO

CAPITULO I:

Marco
teórico referencial de la
investigación

En este capítulo se realiza un análisis de
los fundamentos de la gestión de riesgos en
tecnologías de la información, lo que permite
conocer las características y evolución de
éstas, además de los beneficios que aporta su uso
en la seguridad de diversos sistemas. Se exploran diversas
definiciones de riesgos en tecnologías de la
información y las etapas para la gestión de riesgos
y se puntualiza en algunas de las tecnologías sobre
software libre utilizadas en el desarrollo del
trabajo.

1.1 Tecnología de la
información

La Tecnología de Información se ha
convertido en el corazón de las operaciones de cualquier
organización, desde los sistemas transaccionales hasta las
aplicaciones enfocadas a la alta gerencia que ayudan tanto a las
operaciones diarias como a definir el rumbo que tiene que seguir
una organización.

Retener, manipular o distribuir información. La
tecnología de la información se encuentra
generalmente asociada con las computadoras y las
tecnologías afines aplicadas a la toma de
decisiones.

La tecnología de la información
está cambiando la forma tradicional de hacer las cosas.
Las personas que trabajan en gobierno, en empresas privadas, que
dirigen personal o que trabajan como profesional en cualquier
campo, utilizan la tecnología de la información
cotidianamente mediante el uso de Internet, las tarjetas de
crédito, el pago electrónico de la nómina,
entre otras funciones; es por eso que la función de la
tecnología de la información en los procesos de la
empresa, como manufactura y ventas, se han expandido
grandemente.

La primera generación de computadoras estaba
destinada a guardar los registros y monitorear el
desempeño operativo de la empresa, pero la
información no era oportuna ya que el análisis
obtenido en un día determinado en realidad
describía lo que había pasado una semana antes. Los
avances actuales hacen posible capturar y utilizar la
información en el momento que se genera, es decir, tener
procesos en línea. Este hecho no sólo ha cambiado
la forma de hacer el trabajo y el lugar de trabajo sino que
también ha tenido un gran impacto en la forma en la que
las empresas compiten (Alter 1999).

1.1.1 Definición

Según la Asociación de la
Tecnología de Información de América
(ITAA) es "el estudio, diseño, desarrollo,
implementación, soporte o dirección de los sistemas
de información computarizados, en particular de software
de aplicación y hardware de computadoras."

Se ocupa del uso de las computadoras y su software para
convertir, almacenar, proteger, procesar, transmitir y recuperar
la información. Hoy en día, el término
"tecnología de información" se suele mezclar con
muchos aspectos de la computación y la tecnología y
el término es más reconocible que antes. La
tecnología de la información puede ser bastante
amplia, cubriendo muchos campos. Los profesionales de
tecnología de la información realizan una variedad
de tareas que van desde instalar aplicaciones a diseñar
complejas redes de computación y bases de datos. Algunas
de las tareas de los profesionales de tecnología de la
información incluyen, administración de datos,
redes, ingeniería de hardware, diseño de programas
y bases de datos, así como la administración y
dirección de los sistemas completos. Cuando las
tecnologías de computación y comunicación se
combinan, el resultado es la tecnología de la
información o "infotech". La Tecnología de
la Información es un término general que describe
cualquier tecnología que ayuda a producir, manipular,
almacenar, comunicar, y/o esparcir información.

1.1.2 Importancia de la tecnología
de la información

En este mundo globalizado y de constantes cambios, las
empresas, las organizaciones, entidades, obligadamente requieren
ser cada vez más ágiles y se deben adaptar con
mayor facilidad a estos cambios.

Para (Maxitana 2005) las organizaciones dependen
en su totalidad de tener la información exacta en el
momento preciso. Las compañías que no son capaces
de alcanzar esto, están en peligro de extinción
porque con el paso de los años, la información se
ha convertido en el arma más potente para la toma
decisiones, y es aquí donde radica la prioridad de
desarrollar nuevas tecnologías que permitan tener la
información requerida y lista para ser utilizada. Sin
embargo, la mayoría de las organizaciones han fallado al
no aprovechar el ambiente existente e implementar ideas
innovadoras para mejorar el papel que juegan los sistemas de
información dentro de sus organizaciones. Algunos de estos
errores son: resistencia al cambio por parte de las personas,
deficiencias para reconocer amenazas competitivas
rápidamente, robustez de los sistemas de
información, escasez de recursos apropiados e
incertidumbre de cómo o porqué automatizar
procesos.

Existe una creciente necesidad entre los usuarios de los
servicios de tecnología de información, de estar
protegidos a través de la acreditación y la
auditoría de servicios de tecnología de
información proporcionados internamente o por terceras
partes, que aseguren la existencia de controles y seguridades
adecuadas. Actualmente, sin embargo, es confusa la
implementación de buenos controles de Tecnología de
Información en sistemas de negocios por parte de entidades
comerciales, entidades sin fines de lucro o entidades
gubernamentales.

Aunque muchas organizaciones dependen de las
tecnologías de información para conseguir su
trabajo hecho, las industrias siguientes son directamente
dependientes en tecnologías de información:
computadoras, software, consultaría de la
tecnología de la información, tecnología de
información con servicios, outsourcing de proceso
del negocio, intervención de la tecnología de
información, tecnología de la comunicación,
ciencias de la información, seguridad de la
información, biblioteca digital, gerencia de datos,
proceso de datos, almacenamiento de datos, criptografía,
biblioteca de la infraestructura de la tecnología de
información, telemática, gerencia de sistemas,
etc.

Utilizando eficientemente la tecnología de la
información se pueden obtener ventajas competitivas, pero
es preciso encontrar procedimientos acertados para mantener tales
ventajas como una constante, así como disponer de cursos y
recursos alternativos de acción para adaptarlas a las
necesidades del momento, pues las ventajas no siempre son
permanentes. El sistema de información tiene que
modificarse y actualizarse con regularidad si se desea percibir
ventajas competitivas continuas. El uso creativo de la
tecnología de la información puede proporcionar a
los administradores una nueva herramienta para diferenciar sus
recursos humanos, productos y/o servicios respecto de sus
competidores, (Alter 1999).

Este tipo de preeminencia competitiva puede traer
consigo otro grupo de estrategias, como es el caso de un sistema
flexible y las normas justo a tiempo, que permiten producir una
variedad más amplia de productos a un precio más
bajo y en menor tiempo que la competencia.

Las tecnologías de la información
representan una herramienta cada vez más importante en los
negocios, sin embargo el implementar un sistema de
información de una empresa no garantiza que ésta
obtenga resultados de manera inmediata o a largo plazo. En la
implementación de un sistema de información
intervienen muchos factores siendo uno de los principales el
factor humano.

1.1.3 Las tecnologías de la
información y la eficiencia organizacional

Generalmente se piensa que las tecnologías de
información sólo se usan en la etapa de
producción, y vienen a la mente los grandes sistemas de
manufactura, o los sistemas automatizados de producción
continua, sin embargo, actualmente las tecnologías de
información deberán de estar presentes en todas las
actividades de la empresa, en decir, en las etapas de entrada,
conversión y salida, (Rosseau 1999).

En la etapa de entrada, las tecnologías de
información deberán contener todas las habilidades,
procedimientos y técnicas que permitan a las
organizaciones manejar eficientemente las relaciones existentes
con los grupos de interés (clientes, proveedores,
gobierno, sindicatos y público en general) y el entorno en
el que se desenvuelven. En la función de recursos humanos,
por ejemplo, existen técnicas especializadas, como
entrevistas o test psicológicos que permiten reclutar al
personal con el mejor perfil para satisfacer las necesidades de
la empresa. Además de que actualmente, gracias a Internet
se puede tener acceso a bolsas de trabajo de cualquier parte del
mundo. En el manejo de recursos, existen técnicas de
entrega con los proveedores de entrada que permiten obtener
recursos de alta calidad y a un menor costo. El departamento de
finanzas, gracias a las tecnologías de información
como la banca electrónica o los modernos portales
bancarios en internet, puede obtener capitales a un costo
favorable para la compañía. En la etapa de
conversión, las tecnologías de información
en combinación con la maquinaria, técnicas y
procedimientos, transforman las entradas en salidas. Una mejor
tecnología permite a la organización añadir
valor a las entradas para disminuir el consumo así como el
desperdicio de recursos.

En la etapa de salida, las tecnologías de
información permiten a la empresa ofrecer y distribuir
servicios y productos terminados. Para ser efectiva, una
organización deberá poseer técnicas para
evaluar la calidad de sus productos terminados, así como
para el marketing, venta y distribución y para el manejo
de servicios de postventa a los clientes. Las tecnologías
de información en los procesos de entrada,
conversión y salida dan a la compañía una
importante ventaja competitiva. ¿Porqué Microsoft
es la más grande compañía de software?
¿Por qué Toyota es la manufacturera automotriz
más eficiente? ¿Porqué McDonald's es la
más eficiente compañía de comida
rápida? Cada una de estas organizaciones sobresale en el
desarrollo, administración y uso de tecnologías de
información para administrar el entorno organizacional y
crear valor para toda la compañía.

Las tecnologías de información pueden
ayudar a mejorar la productividad de todas las funciones de la
empresa, y además de mejorar el flujo de
información dentro y entre las unidades del negocio. Una
organización que pretenda ser efectiva deberá de
explotar y administrar todas éstas tecnologías para
dar un valor agregado a toda la organización.

1.1.4 Ventajas de la tecnología de
la información para una empresa

La revolución de las tecnologías de
información ha tenido un profundo efecto en la
administración de las organizaciones, mejorando la
habilidad de los administradores para coordinar y controlar las
actividades de la organización y ayudándolos a
tomar decisiones mucho más efectivas. Hoy en día el
uso de las tecnologías de información se ha
convertido en un componente central de toda empresa o negocio que
busque un crecimiento sostenido. Ya no lo es sólo para
procesos de producción o conversión, sino que
deberá estar implícito en todos los ámbitos
del negocio, incluyendo en el área administrativa, por ser
ésta la que controla toda la empresa.

Como resultado del uso de estas tecnologías la
empresa puede reducir el tamaño de su estructura
jerárquica e incrementar el flujo de información
horizontal. Esto es, a través de todos los departamentos
de la empresa, además de proveer de una ventaja
competitiva a la empresa se logra una reducción del
tamaño de la estructura jerárquica. Esto se logra
al proveer a los administradores y ejecutivos información
de alta calidad, oportuna y completa, lo cual reduce la necesidad
de varios niveles de burocracia y jerarquía
administrativa.

Los sistemas de información al reducir
éstos niveles jerárquicos, actúan como
dispositivos de control en las actividades de la empresa o
negocio. Cabe señalar que los sistemas de
información también reducen la necesidad de los
administradores de coordinar e integrar las actividades de las
subunidades de la empresa, además de que las
tecnologías de información actualmente pueden
coordinar completamente el flujo de producción de una
empresa.

Existe además un incremento del flujo de
información horizontal facilitado por el crecimiento de
los sistemas clienteservidor del tipo three-tier (que
permiten la conexión de computadoras personales a potentes
servidores o mini-computadoras y éstos a su vez conectados
a un mainframe). En los últimos años se ha
visto una rápida expansión de los sistemas de red
global en las empresas. Actualmente las redes de computadoras son
usadas como el canal primario de información interna de
una organización. Los sistemas de e-mail
así como el desarrollo de software de intranet para
compartir documentos electrónicos han acelerado
ésta tendencia tecnológica.

Otra ventaja es la competitiva. El implementar
apropiadas tecnologías de información puede
significar un incremento en el potencial competitivo de la
empresa o negocio. Actualmente, en la búsqueda de
competitividad, se han vuelto los ojos hacia el uso de
tecnologías de información, por ejemplo, al reducir
la necesidad de muchas jerarquías, los sistemas de
información ayudan a reducir los gastos
burocráticos, ya que los administradores se basan en las
tecnologías de información para coordinar y
controlar las actividades de la empresa. Un ejemplo de esto es
Intel, el cual, incrementando la sofisticación de sus
tecnologías de información, han podido recortar el
número de niveles jerárquicos de toda la
compañía de 10 a sólo 5 niveles.
Además de que gracias a los canales de comunicación
que proveen las tecnologías de información, se
puede obtener información clara y oportuna de todos los
movimientos del entorno industrial, como lo son precios,
clientes, impuestos, tipos de cambio, regulaciones,
estándares y movimientos de la competencia, lo cual ayuda
a los ejecutivos al momento de diseñar estrategias
competitivas. Aunado a esto los grandes corporativos pueden
mantener un flujo de información constante en todas sus
unidades de negocios sin importar la distancia física a la
que se encuentren distribuidos. Por último (Davidow,
Malone et al. 2002) han dicho cómo las
tecnologías de información pueden ser usadas para
mejorar la respuesta de una empresa o negocio hacia los
requerimientos de los clientes, lo cual es una fuente muy
importante de competitividad. La esencia de su argumento es que
las tecnologías de información permiten a las
compañías crear "productos virtuales", productos
que pueden ser personalizados de acuerdo con las necesidades
específicas de algún cliente en particular, sin
cargos adicionales. Un ejemplo de esto, es la
compañía Levi´s la cual en sus tiendas, por
medio de computadoras touch-screen se configuraban cada
una de las diferentes características del pantalón
que solicitaba el cliente, la solicitud se enviaba
electrónicamente a las fábricas en Tenesse y de
allí se enviaban por correo al cliente, el cual
sólo pagaba un costo adicional de $10 dólares por
todo este servicio.

1.2 Riesgo

Hoy día el tema del riesgo es un asunto tan
importante que las empresas crean áreas específicas
para su tratamiento y es en la actualidad un aspecto
básico a seguir investigando. Es por ello que este
término se encuentra muy difundido en la literatura,
encontrándose diferentes definiciones.

1.2.1 Definiciones

(Charette 2000) señala que el riesgo
afecta a los futuros acontecimientos, que el riesgo implica
cambio (que puede venir dado por cambios de opinión, de
acciones, de lugares) y que implica elección y la
incertidumbre que entraña la elección. Por tanto,
el riesgo, como la muerte, es una de las pocas cosas inevitables
de la vida.

Según (Maxitana 2005) el concepto de
riesgo de tecnologías de la información puede
definirse como el efecto de una causa multiplicado por la
frecuencia probable de ocurrencia dentro del entorno de
tecnologías de la información . Surge entonces, la
necesidad del control que actúe sobre la causa del riesgo
para minimizar sus efectos. Cuando se dice que los controles
minimizan los riesgos, lo que en verdad hacen es actuar sobre las
causas de los riesgos, para minimizar sus efectos.

Se puede decir entonces que un riesgo es un evento, el
cual es incierto y tiene un impacto negativo, es la probabilidad
de que una amenaza se convierta en un desastre. La vulnerabilidad
o las amenazas, por separado, no representan un peligro. Pero si
se juntan, se convierten en un riesgo, o sea, en la probabilidad
de que ocurra un desastre. Un riesgo tiene una causa y, si ocurre
una consecuencia. Habitualmente se gestionan los riesgos con
efecto negativo, es decir, aquellos que suponen una amenaza para
el éxito del proyecto.

También se puede decir que el riesgo es una
condición del mundo real en el cual hay una
exposición a la adversidad, conformada por una
combinación de circunstancias del entorno, donde hay
posibilidad de pérdidas.

El riesgo siempre implica dos características: la
incertidumbre, que no es más que el acontecimiento que
caracteriza que el riesgo puede o no puede ocurrir; por ejemplo,
no hay riesgos de un 100 por ciento de probabilidad y la
pérdida, que no es más que si el riesgo se
convierte en una realidad, ocurrirán consecuencias no
deseadas o pérdidas. Cuando se analizan los riesgos es
importante cuantificar el nivel de incertidumbre y el grado de
pérdidas asociado con cada riesgo.

1.2.2 Gestión de riesgos

Las empresas o entidades que adoptan un criterio
equilibrado ante la madurez de la gestión de riesgos de
tecnologías de la información, no sólo
tienen menos incidentes en este ámbito sino que obtienen
mayor rentabilidad del negocio y de tecnologías de la
información respecto de la competencia.

El criterio idóneo es el que equilibra las tres
disciplinas principales involucradas en la gestión de
riesgos de tecnologías de la información: los
procesos de gobierno de riesgos, un entorno sólido de
tecnologías de la información y una cultura
consciente de los riesgos. Todos aquellos que adopten este
criterio no sólo evitarán la interrupción de
sus operaciones, sino que además lograrán mayor
eficacia y agilidad en la empresa. Pueden aprovechar las
funciones de gestión de riesgos de tecnologías de
la información para mejorar la gestión de
tecnologías de la información en
general.

A partir de la investigación realizada por
(Westerman and Hunter 2007), una encuesta sobre
gestión de riesgos de tecnologías de la
información muestra que, por muy perfeccionado que
esté uno de los componentes de la gestión de
riesgos, sólo se rentabiliza una parte de ésta. Si
se adopta un criterio más efectivo, se equilibran las tres
disciplinas principales que intervienen en dicha
gestión.

Se han establecido conclusiones que señalan la
creciente importancia de la gestión de riesgos de
tecnologías de la información a partir de encuestas
realizadas. Más del 50% de los encargados de riesgos
encuestados declaró que en el último año
había aumentado en sus empresas la concienciación
sobre riesgos de tecnologías de la información,
mientras que sólo un 8% declaró que había
disminuido.

Los encuestados declararon que los mayores
obstáculos para lograr una eficaz gestión de
riesgos son la falta de concienciación de los usuarios, de
personal adecuadamente formado y de herramientas para procesar
las amenazas. Lo positivo es que las tres disciplinas principales
pueden resolver estos obstáculos. De hecho, las empresas o
entidades que han logrado un equilibrio de las tres disciplinas,
en cuanto a madurez de tecnologías de la
información, en lugar de dar prioridad a una de ellas
sobre las demás, son más eficaces a la hora de
gestionar los riesgos. Estas empresas o entidades declaran mayor
eficacia de tecnologías de la información en las
siguientes áreas:

  • Capacidad para evitar incidentes negativos, tales
    como averías y brechas del sistema de
    seguridad.

  • Eficiencia de la unidad de tecnologías de la
    información.

  • Ajuste de tecnologías de la
    información con el resto de la empresa o
    entidad.

  • Capacidad para asumir los cambios en la empresa o
    entidad.

Además, las empresas o entidades encuestadas que
adoptan un criterio de gestión de riesgos equilibrado
declaran tener mejor percepción de la gestión de
riesgos que las que no armonizan las tres disciplinas.
Sólo el 10% de las empresas que no ha logrado dicho
equilibrio declara que la gestión de riesgos de
tecnologías de la información es adecuada. No
obstante, el 72%, que sí logra equilibrar estas
iniciativas, declara tener mejor percepción de la
gestión de riesgos de tecnologías de la
información. Además, las que cuentan con programas
enfocados a una gestión de riesgos de tecnologías
de la información equilibrada cuentan con mayores niveles
de éxito en dicha gestión.

Lo más relevante de los resultados de la encuesta
es que la gestión de riesgos de tecnologías de la
información no se limita al costo de hacer negocio o a
influir en la agilidad y la flexibilidad de éste. El hecho
es que la gestión de riesgos de tecnologías de la
información no es una cuestión técnica, es
de gestión. La eficacia en este ámbito se consigue
mejorando el modo de gestionar tecnologías de la
información. La gestión de riesgos en
tecnologías de la información se puede utilizar
para abogar en favor de unas buenas prácticas de
gestión de tecnologías de la información que
no siempre pueden ofrecer una rentabilidad cuantificable. Si se
consigue una madurez equilibrada en las tres disciplinas clave,
las empresas pueden convertir los temas asociados a los riesgos
de tecnologías de la información en mejoras en todo
este departamento y en el entorno corporativo.

Utilizando el lenguaje adecuado para hablar de riesgos y
disponiendo de los instrumentos adecuados para gestionarlos, las
empresas pueden obtener un valor añadido, además de
evitar los riesgos. Pueden servirse de la gestión de
riesgos para introducir cambios que también generan mayor
eficacia de tecnologías de la información y
agilidad en el entorno corporativo en general.

Según (Gómez 2010) la disciplina de
gestión de riesgos de tecnologías de la
información se enmarca no sólo dentro de los
requerimientos regulatorios, sino también dentro de los de
negocio. Un profesional de la gestión del riesgo en
tecnologías de la información debe ser especialista
en tecnología y sistemas de gestión de seguridad de
la información, y también tener un amplio
conocimiento del negocio de la empresa en la que desarrolla su
actividad. El reto actual de gestión de riesgos de
tecnologías de la información se basa en definir un
programa continuo, objetivo, repetible y medible, en el que la
evaluación de costos, la valoración de activos y
las métricas de rendimiento convivan de manera integrada
con el resto de requerimientos corporativos. La creación
del programa debe realizarse desde una perspectiva de arriba
hacia abajo, totalmente enmarcada en la gestión global de
los riesgos y respondiendo a los diferentes requerimientos de las
distintas unidades de negocio, consiguiendo gestionar y definir
unos controles flexibles y adaptables a los distintos tipos de
riesgos y de requerimientos regulatorios que no obliguen a la
organización de tecnologías de la
información a reinventar las tareas, y los controles y las
evidencias de cumplimiento.

Se puede plantear de forma general que la gestión
de riesgos en tecnologías de la información se basa
en los siguientes pasos:

  • Estimación de Riesgos: La estimación
    de riesgos describe cómo estudiar los riesgos dentro
    de la planeación general del entorno
    informático y se divide en los siguientes
    pasos:

  • La identificación de riesgos.

  • El análisis de riesgos.

  • La asignación de prioridades a los
    riesgos.

  • Administración de riesgos: su objetivo, es
    desarrollar un plan que controle cada uno de los eventos
    perjudiciales a que se encuentran expuestos las actividades,
    categorías o ramas que presentan cada empresa,
    organización o entidad.

  • Monitorización de riesgos: la vida en el
    mundo informático sería más fácil
    si los riesgos apareciesen después de que hayamos
    desarrollado planes para tratarlos. Pero los riesgos aparecen
    y desaparecen dentro del entorno informático, por lo
    que se necesita una monitorización para comprobar
    cómo progresa el control de un riesgo e identificar
    como aparecen nuevos eventos perjudiciales en las actividades
    informáticas.

1.2.2.1 Identificación de riesgos

Según (Guadalupe Ramírez 2003) por
un lado, la identificación de riesgos es de gran
importancia para determinar el nivel de exposición de una
institución, organización o entidad al inadecuado
uso de los servicios que brindan las tecnologías de la
información; pero además permite gestionar los
riesgos, implementando controles que están orientados a
evitarlos, transferirlos, reducirlos o asumirlos
gerencialmente.

El objetivo de este paso es identificar el potencial de
las fuentes de amenaza y compilar un listado de las fuentes de
amenazas, que son aplicables al sistema de tecnología de
información que se está evaluando. Durante la fase
inicial, una evaluación del riesgo podría ser
utilizado para desarrollar el plan de sistema de
seguridad.

Una fuente de riesgo, se define como cualquier
circunstancia o hecho que pueda poner un sistema de
tecnología de la información en peligro. Las
fuentes de riesgo comunes pueden ser natural, humano o el medio
ambiente. En la identificación de riesgo, es importante
considerar todas las posibles fuentes de riegos que puedan causar
daño a un sistema de tecnología de la
información y su entorno de procesamiento. Los seres
humanos pueden ser fuentes de amenazas a través de actos
intencionales, como los ataques deliberados por parte de personas
maliciosas o empleados descontentos, o actos no intencionales,
tales como la negligencia y los errores. Un ataque intencionado
puede ser un intento malicioso para obtener acceso no autorizado
a un sistema informático (por ejemplo, a través de
adivinar la contraseña) con el fin de comprometer el
sistema y la integridad de los datos, disponibilidad o
confidencialidad, pero no obstante, con propósito, intento
de eludir la seguridad del sistema.

Hoy en día se presentan muchas amenazas humanas,
sus posibles motivaciones, y los métodos o acciones
riesgosas por las cuales se podría llevar a cabo un ataque
informático. Toda esta información será
útil para las organizaciones o entidades en su estudio del
entorno de los riesgos y para personalizar su listado de riesgos
humanos. Además, las revisiones de la historia de entrada
al sistema; informes de violación de seguridad; informes
de incidentes, y entrevistas con los administradores de sistemas,
asistencia personal, la comunidad de usuarios durante la
recopilación de información, ayudará a
identificar las fuentes de riesgos humanas que tienen el
potencial de daño a un sistema de tecnologías de la
información y sus datos que puede ser una
preocupación cuando existe una vulnerabilidad. Un estimado
de la motivación, recursos, capacidades que se requieren
para llevar a cabo con éxito un ataque debe ser
desarrollado después de la identificación de
fuentes de riesgos potenciales para que se pueda determinar la
probabilidad de que un riesgo pueda ocurrir.

La identificación de riesgos en
tecnologías de la información es de vital
importancia para la gestión de riesgos en
tecnologías de la información ya que ésta es
el proceso de comprender qué eventos potencialmente
podría dañar o mejorar una organización o
entidad.

1.2.2.2 Análisis de riesgos

Un punto importante en la gestión de riesgos en
tecnologías de la información es analizar cada
riesgo para determinar su impacto. El análisis de riesgo
es el proceso cuantitativo o cualitativo que permite evaluar los
riesgos. Esto involucra una estimación de incertidumbre
del riesgo y su impacto (Galway 2004).Es el proceso
mediante el cual se identifican las amenazas y las
vulnerabilidades en una organización o entidad, se valora
su impacto y la probabilidad de que ocurran, es decir, es un
proceso para asegurar que los controles de seguridad de un
sistema se adapten según la proporción de sus
riesgos.

Por lo visto hasta ahora, los objetivos del
análisis de riesgo son:

  • Tener la capacidad de:

  • Identificar, evaluar y manejar los riesgos de
    seguridad.

  • Estimar la exposición de un recurso a una
    amenaza determinada.

  • Determinar cuál combinación de medidas
    de seguridad proporcionará un nivel de seguridad
    razonable a un costo aceptable.

  • Tomar mejores decisiones en seguridad
    informática.

  • Enfocar recursos y esfuerzos en la protección
    de los activos

El análisis de riesgo está compuesto por
varias fases:

  • Fase 1: Construir perfiles de amenazas basados en
    activos.

  • Activos críticos.

  • Requerimientos de seguridad para los activos
    críticos.

  • Amenazas a los activos críticos.

  • Prácticas de seguridad actuales.

  • Vulnerabilidades actuales de la
    organización.

  • Fase 2: Identificar vulnerabilidades de
    infraestructura.

  • Componentes claves.

  • Vulnerabilidades claves de la
    tecnología.

  • Fase 3: Desarrollar planes y estrategias de
    seguridad.

  • Riesgos de los activos críticos.

  • Medidas de riesgo.

  • Estrategias de protección.

  • Planes de mitigación de riesgos.

1.2.2.2.1 Análisis cualitativo de Riesgo

Según (P.Kindinger and Darby 2000) , el
análisis cualitativo de riesgo involucra evaluar la
probabilidad y el impacto de la identificación de riesgos,
para determinar su magnitud y prioridad. Para poder evaluar
cualitativamente los riesgos se cuenta fundamentalmente con tres
herramientas: la matriz de probabilidad e impacto para calcular
los factores de riesgos, la técnica de seguimiento de los
diez factores de riesgo más importantes, y la
evaluación del juicio de expertos.

(Ferrer 2006) plantea que el análisis
cualitativo de riesgo permite agilidad en el proceso y facilidad
en la asignación de valores de impacto o
riesgo.

Partes: 1, 2, 3

Página siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter