GUIA PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES

Derechos Reservados

Autor: Mg. Luis Ricardo Roig del Alczar

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados

1. INTRODUCCION
Producto del proceso de globalizacin e internacionalizacin de las organizaciones, los gerentes de negocios, en todos los mbitos, observan la necesidad implementar medidas de seguridad a sus principales procesos empresariales y as, asegurar el cumplimiento de sus objetivos. Sin embargo, no lograban establecer con seguridad, los necesarios controles internos que les permita contar con sistemas de informacin ntegros, confiables y disponibles; ms an, cuando una adecuada seguridad permite a los gerentes de negocios la mejor toma de decisiones empresariales. Dentro de este contexto, desde la publicacin por parte de la Organizacin Internacional de Normas Tcnicas (ISO, International Organization for Standarization) en el ao 2000, la ISO 17799 surge como la norma tcnica de mayor seguridad de la informacin y gestin organizacional. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En el Per la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones pblicas desde agosto del 2004, estandarizando de esta forma los diversos proyectos y metodologas en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales; la supervisin de su cumplimiento est a cargo de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI (www.ongei.gob.pe). La versin de 2005 del estndar incluye las siguientes once secciones principales: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades. Por ello, esta Gua tiene como objetivo apoyar en la identificacin de los principales riesgos empresariales informticos en cualquier organizacin, a fin de asegurar una adecuada toma de decisiones en la gestin de la seguridad informtica.

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados 2. PLANEAMIENTO
Para hacer una adecuada planeacin de la seguridad informtica en cualquier organizacin, hay que partir necesariamente del anlisis que permita identificar y dimensionar el conjunto de riesgos informticos que atentan contra las reas crticas de la organizacin. Generalmente, las estrategias ms utilizadas para la identificacin de los riesgos informticos en una determinada organizacin o rea orgnica son las entrevistas basadas en cuestionarios y las visitas in-situ, a travs de los cuales se identifican los riesgos informticos ms crticos y se proponen los controles internos que permitan eliminarlos o minimizarlos, a un nivel que no afecte la confiabilidad y la continuidad del negocio. Sin embargo, es necesario recordar que por Controles Internos se entiende a toda actividad, accin, medida, proceso, procedimiento, norma, etc., formalmente establecidos, y que toda Jefatura o responsable tiene la necesidad de implementar, bajo responsabilidad, a fin de proteger los recursos y activos que estn bajo su disposicin.

3. ESTRATEGIA
Esta Gua permite apoyarlo en identificar los riesgos informticos en las reas orgnicas de su empresa, a travs de cuestionarios tcnicos a ser respondidos por los Jefes o Responsables de dichas reas. El conjunto de respuestas dadas a las preguntas del cuestionario mencionado, permitir identificar las ausencias de los principales controles internos informticos y sus niveles de criticidad que afectan a la organizacin. Y con base en estas ausencias de controles detectados, las Jefaturas o responsables podrn identificar con mayor precisin los riesgos informticos asociados y sus controles Internos necesarios que permitirn proteger todos los recursos y activos bajo su responsabilidad. Las actividades que se programarn para implantar formalmente los controles internos necesarios, debern establecer un Plan de Superacin de Riesgos para su organizacin, el cual deber de tener la mxima prioridad de cumplimiento organizacional.

4. CARACTERSTICAS DEL CUESTIONARIO

El Cuestionario adjunto a esta Gua, denominado Cuestionario de Anlisis de Riesgos (ver Anexo 1), que permite identificar riesgos y controles informticos, ha sido elaborado con base en la metodologa Computer Resource Management Review (CRMR - Evaluacin de la Gestin de Recursos Informticos), y en la ISO 17799. Tomando esta ltima norma, el Cuestionario ha sido clasificado con base en los procesos comprendidos en las once reas de control que posee la ISO 17799, las mismas que han sido clasificadas para un mejor control en los siguientes rubros: I. GESTION DE LA SEGURIDAD EMPRESARIAL Polticas de Seguridad Seguridad Organizacional Seguridad de Personal Seguridad Fsica y Ambiental Incidentes en la Seguridad de la Informacin 3

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados
II. CONTROL Y CLASIFICACIN DE ACTIVOS III. ADMINISTRACIN DE OPERACIONES Y COMUNICACIN IV. CONTROL DE ACCESOS IV. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DEL SISTEMA V. CUMPLIMIENTO VII. CONTINUIDAD DEL NEGOCIO Asimismo, el Cuestionario ha sido diseado con base en la tcnica del Checklist Binario, en Excell y con dos nicas posibilidades para cada pregunta ( Si o No), a fin de permitir una correcta descripcin de puntos dbiles y fuertes en cada rubro anteriormente citado. Adems, para facilidades de estudio, se le ha otorgado el mismo peso proporcional a cada pregunta, el cual puedes ser modificado segn las consideraciones de cada rgano de control. Cada pregunta del Cuestionario, est directamente relacionado con un determinado Control Interno que debe existir en el rea examinada. De ello, si se responde con SI a una pregunta, se deduce que en el rea si est formalmente establecido el control interno correspondiente. Por ello, cuando se responda con NO a una pregunta del Cuestionario, se deriva que se ha identificado una ausencia de control interno que permite descubrir la posibilidad de riesgos asociados que atentan contra la seguridad. Recuerde, que el control interno a implantar debe basarse fundamentalmente en la accin derivada de la pregunta correspondiente. En determinados casos, un adecuado control interno implantado puede minimizar (o eliminar) uno o varios riesgos identificados. La respuesta al cuestionario es responsabilidad del Jefe o responsable del rea observada y se requiere total veracidad en las respuestas. El Auditor Informtico, tiene la responsabilidad de verificar la veracidad de las respuestas, solicitndoles a los responsables informticos de la organizacin la informacin documentaria necesaria, y/o llevando a cabo el estudio de verificacin a travs de visitas in situ. El Auditor Informtico, con base en su experiencia y conocimiento de la organizacin, puede ampliar o minimizar el mbito, nmero y/o alcance de cada pregunta, a fin de obtener con mayor detalle una situacin inicial y bsica de la seguridad informtica de la organizacin. Es importante resaltar, con base en la tcnica del Checklist Binario, que automticamente al desarrollo y finalizacin del Cuestionario, el Auditor Informtico y dems Jefaturas involucradas podrn observar sus porcentajes de criticidad de la seguridad por cada rubro observado, con base en la Tabla de Niveles de Criticidad Informtico previamente establecido en la organizacin (que se observa al final del Cuestionario). Es importante que esta tabla sea consensuada por los auditores informticos y funcionarios del departamento de sistemas. 4

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados

5. COMPRENSIN DE LOS RIESGOS

En esta fase, se debe de llevar a cabo la comprensin de los riesgos a travs de las respuestas al Cuestionario, y verificadas por el Auditor Informtico. As, con base en la ISO 17799 y en el mbito Polticas de Seguridad, por ejemplo supongamos que observamos del Cuestionario las siguientes respuestas:
POLTICAS DE SEGURIDAD %Criticidad 40
Marque si la respuesta es SI

1 Existen Polticas de Seguridad Empresarial formalmente establecidas en la organizacin? 2 Las Polticas de Seguridad estn aprobadas por la mxima autoridad de la organizacin? 3 Las Polticas de Seguridad establecidas, estn orientadas a asegurar el logro de los objetivos estratgicos de la organizacin?

4 Existen formales sustentos que el personal de la organizacin conoce las Polticas de Seguridad establecidas? 5 Las Polticas de Seguridad establecidas son claras, sencillas y comprensibles para la organizacin? 6 En las Polticas de Seguridad se describen los objetivos y alcances de la seguridad de la empresa? 7 8 Las Polticas de Seguridad establecen las responsabilidades gerenciales en materia de gestin de la seguridad de la informacin y sus recursos humanos y logsticos involucrados? Existen en las Polticas de Seguridad disposiciones rectoras que aseguren el adecuado control de la gestin que realizan terceros para la organizacin?

9 Se han establecido en la organizacin procedimientos que permitan actualizar las Polticas de Seguridad? Las actualizaciones a la Polticas de Seguridad, incorporan todo cambio que afecte a las bases de la evaluacin 10 original de riesgo, incidencias de seguridad significativas, nuevas vulnerabilidades o cambios a la infraestructura organizacional o tcnica? 11 12 13 14 Existe una gerencia informtica formalmente responsable de supervisar el cumplimiento en la organizacin de las Polticas de Seguridad? La gerencia informtica responsable de supervisar el cumplimiento de las Polticas de Seguridad, emite peridicamente informes derivados de su supervisin? Los informes peridicos que emite la gerencia informtica que supervisa el cumplimiento de las Polticas de Seguridad, poseen recomendaciones especficas para asegurar la mejora en dicho cumplimiento? Las recomendaciones especficas para asegurar el cumplimiento de las Polticas de Seguridad, han sido acogidas por las respectivas jefaturas en sus planes de accin?

La gerencia informtica lleva a cabo acciones de supervisin y/o de monitoreo que permiten verificar u observar el 15 cumplimiento de los planes de accin de las jefaturas involucradas, relacionados con las recomendaciones sobre las Polticas de Seguridad?

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados Es decir, con base en este ejemplo, podemos derivar que con respecto al mbito de las Polticas de Seguridad en la organizacin, que:
a. Las Polticas de Seguridad no estn aprobadas por la mxima autoridad de la

organizacin.
b. Las Polticas de Seguridad no establecen las responsabilidades gerenciales en materia

de gestin de la seguridad de la informacin y sus recursos humanos y logsticos involucrados.

c. No existen en las Polticas de Seguridad disposiciones rectoras que aseguren el

adecuado control de la gestin que realizan terceros para la organizacin.

d. Los informes peridicos que emite la gerencia informtica que supervisa el

cumplimiento de las Polticas de Seguridad, no poseen recomendaciones especficas para asegurar la mejora en dicho cumplimiento.
e. Las recomendaciones especficas para asegurar el cumplimiento de las Polticas de

Seguridad, no han sido acogidas por las respectivas jefaturas en sus planes de accin.
f. La gerencia informtica no lleva a cabo acciones de supervisin y/o de monitoreo que

permiten verificar u observar el cumplimiento de los planes de accin de las jefaturas involucradas, relacionados con las recomendaciones sobre las Polticas de Seguridad. Ahora, para cada uno de los ausentes controles internos, identificamos sus riesgos asociados y los valoramos en funcin a su impacto y frecuencia (o probabilidad de ocurrencia). Es importante sealar, que los riesgos asociados varan en razn de la organizacin y de la criticidad que los responsables de identificarlos le puedan atribuir. As, por ejemplo, un determinado riesgo puede tener mayor o menor impacto y/o frecuencia en una organizacin que en otra. As, para este ejemplo, tenemos la siguiente Matriz de Valoracin de Riesgos (Anexo 2) confeccionada para este ejemplo:

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados
MATRIZ DE VALORACIN DE RIESGOS
Control Interno Ausente Riesgo Identificado a.Las Polticas de Seguridad no estn aprobadas por la mxima autoridad de la organizacin. RIESGOS a1. La alta direccin no est comprometida en el cumpliento de las Polticas de Seguridad lo cual afectara su efectividad a2. Las Polticas de Seguridad pueden no ser cumplidas por las gerencias de la organizacin al no estar aprobadas por la mxima direccin, lo cual imposibilita una accin corporativa IMPACTO Bajo Alto FRECUENCIA Bajo Alto

b.Las Polticas de Seguridad no establecen las responsabilidades gerenciales en materia de gestin de la seguridad de la informacin y sus recursos humanos y logsticos involucrados. RIESGOS b1.La gestin de las Gerencias de la organizacin no estn alineadas a la proteccin y seguridad de la informacin, lo cual pone en riesgo los recursos de informacin b2. La seguridad de la informacin puede verse mellada por la falta de apoyo de las gerencias de la organizacin X X

c.No existen en las Polticas de Seguridad disposiciones rectoras que aseguren el adecuado control de la gestin que realizan terceros para la organizacin? RIESGO c1.Los servicios prestados por terceros pueden poner en riesgo la seguridad de la informacin por carecer de normas rectoras de control que los alinien a los objetivos de la organizacin X X

d.Los informes peridicos que emite la gerencia informtica que supervisa el cumplimiento de las Polticas de Seguridad, no poseen recomendaciones especficas para asegurar la mejora en dicho cumplimiento. d1.Las Polticas de Seguridad pueden no ser cumplidas eficientemente por carecer de acciones puntuales por parte de la gerencia informtica d2.Las jefaturas de la organizacin desconocen las acciones especficas que deben realizar para proteger la informacin y sus recursos involucrados

RIESGOS

e.Las recomendaciones especficas para asegurar el cumplimiento de las Polticas de Seguridad, no han sido acogidas por las respectivas jefaturas en sus planes de accin. RIESGOS e1.Las jefaturas de la organizacin pueden desconocer las acciones especficas que deben realizar para proteger la informacin y sus recursos involucrados e2.La Seguridad de la Informacin no es una accin corporativa e integral de toda la organizacin X X

f.La gerencia informtica no lleva a cabo acciones de supervisin y/o de monitoreo que permiten verificar u observar el cumplimiento de los planes de accin de las jefaturas involucradas, relacionados con las recomendaciones sobre las Polticas de Seguridad. RIESGO f1.La direccin informtica pone en riesgo la seguridad de la informacin al no verificar ni observar el cumpliento de las Polticas de Seguridad en la organizacin X X

(Los riesgos aqu detectados varan dependiendo del tipo de organizacin, de su desarrollo, etc., as como
de los factores de criticidad que los responsables de identificarlos le puedan atribuir )

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados

Observe el cuadro anterior, y as podr inducir que todos los riesgos identificados para este ejemplo poseen un alto impacto (dao) en la organizacin debido fundamentalmente a su alcance estratgico y corporativo sobre la seguridad de la informacin y sus recursos asignados. Asimismo, la frecuencia (o probabilidad de ocurrencia), para estos ejemplos, se identifica como alto o bajo en funcin a su temporalidad de ocurrencia, p.e. estn o pueden estar, respectivamente. 6. ADMINISTRACIN DE RIESGOS Recuerde que la administracin del riesgo es el proceso que continua a la apreciacin (o comprensin) de riesgos. Implica tomar las acciones necesarias para manejar los riesgos una vez que los mismos han sido apreciados. Debemos de tener en cuenta que existen riesgos que no pueden ser eliminados o que su control es difcil para la organizacin; por ello, lo importante es que este proceso de administracin de riesgos sea un proceso consciente de anlisis sobre las diferentes acciones a realizar en relacin a los riesgos. Bsicamente en esta etapa es donde el Auditor Informtico identifica las recomendaciones que debe dictar a las Gerencias (especialmente a la Gerencia Informtica), para que las desarrollen e implementen dentro de la organizacin a efectos de alcanzar los objetivos empresariales, administrando adecuadamente los riesgos. Existen diferentes estrategias de administracin de riesgos, las cuales pueden clasificarse de la siguiente manera: Eliminar: En esta estrategia se intenta abandonar el proceso en cuestin, teniendo en cuenta que la organizacin no podra lograr sus objetivos bsicos con esos riesgos. Se tratar de prohibir la situacin actual y el proceso, pararlo, eliminarlo, etc., especialmente formalizando (normando) la organizacin. Retener: Por este mecanismo se tratar de mantener el proceso en cuestin, aceptando los riesgos involucrados en el mismo. En dichas estrategias se encuentran la aceptacin del nivel de riesgos, la propia asegurabilidad, el contrapeso con otros procesos, etc. Reducir: Mediante esta estrategia se intentar reducir los riesgos a niveles aceptables para retener los mismos. En este caso se buscar de diversificar los riesgos o controlar los mismos. Transferir: En este caso se intentar involucrar a un tercero en la administracin de los propios riesgos organizacionales. En estas estrategias se encuentran los seguros, reaseguros, acciones de cobertura y de indemnizacin, la securitizacin, el compartir riesgos, el outsourcing de determinados procesos, etc. Explotar: En esta ltima estrategia se intentar transformar el riesgo como efecto negativo en una oportunidad y desarrollo para la empresa. En este caso, podemos encontrar la expansin de operaciones, la creacin de otros procesos o productos, el rediseo de procesos o productos, la reorganizacin, la renegociacin, etc.

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados Cada una de estas estrategias ser aplicable en funcin de la probabilidad e impacto que el riesgo tenga en los objetivos y procesos de negocio, as como en el nivel de desarrollo de la organizacin; y para ello nos apoyamos en el siguiente grfico, actualizado a nuestro ejemplo:

Todas las estrategias aplican, pero los Con. Int. preferentemente deben orientar a: -Establecer Cultura de Seguridad, -Estrategias Transferir, Reducir, -Mas Preventivos y Correctivos.

MAPA DE RIESGOS
2 Extraordinarios o tcticos a2, b2, c1, d1, e1 4 No significativos 1 Estratgicos Imperativos a1, b1, d2, e2, f1 3 Operativos y de cumplimiento
Todas las estrategias aplican, pero los Con. Int. preferentemente deben orientar a: -Normar la Adm. de Riesgos, -Estrategias Eliminar, Explotar, -Mas Preventivos y Detectivos.

IMPACTO

Alto

Bajo

Todas las estrategias aplican, pero los Con. Int. preferentemente deben orientar a: -Normar Procedimientos Operativos, -Estrategias Reducir, Eliminar, -Mas Preventivos y Detectivos.

Todas las estrategias aplican, los Con. Int. preferentemente deben orientar a: -Monitoreo permanente, -Estrategias Retener, Reducir, -Mas Detectivos, Preventivos

Bajo

Alto

FRECUENCIA

As, obtenemos:
1. Riesgos de carcter Estratgicos o Imperativos:

a1. La alta direccin no est comprometida en el cumplimiento de las Polticas de Seguridad lo cual afectara su efectividad b1. La gestin de las Gerencias de la organizacin no est alineada a la proteccin y seguridad de la informacin, lo cual pone en riesgo los recursos de informacin d2. Las jefaturas de la organizacin desconocen las acciones especficas que deben realizar para proteger la informacin y sus recursos involucrados e2. La Seguridad de la Informacin no es una accin corporativa e integral de toda la organizacin f1. La direccin informtica pone en riesgo la seguridad de la informacin al no verificar ni observar el cumplimiento de las Polticas de Seguridad en la organizacin

GUIA PARA EL DESARROLLO DEL CUESTIONARIO PARA IDENTIFICAR RIESGOS INFORMTICOS EMPRESARIALES Estudio desarrollado por el Mg. Luis Ricardo Roig el Alczar Derechos Reservados
2. Riesgos de carcter Extraordinarios o Tcticos:

a2. Las Polticas de Seguridad pueden no ser cumplidas por las gerencias de la organizacin al no estar aprobadas por la mxima direccin, lo cual imposibilita una accin corporativa. b2. La seguridad de la informacin puede verse mellada por la falta de apoyo de las gerencias de la organizacin. c1. Los servicios prestados por terceros pueden poner en riesgo la seguridad de la informacin por carecer de normas rectoras de control que los alineen a los objetivos de la organizacin. d1. Las Polticas de Seguridad pueden no ser cumplidas eficientemente por carecer de acciones puntuales por parte de la gerencia informtica. e1. Las jefaturas de la organizacin pueden desconocer las acciones especficas que deben realizar para proteger la informacin y sus recursos involucrados. Antes estos riesgos, el auditor informtico puede recomendar:
1. Que la Gerencia Informtica debe actualizar el documento de Polticas de

Seguridad de la organizacin, incorporando consensuadamente: Los roles y responsabilidades, bajo responsabilidad, de cada una de las gerencias de la organizacin a fin de alinear y generar una gestin corporativa para la proteccin de la informacin y sus recursos asignados. El compromiso de cada gerencia de la organizacin de establecer, dentro de sus planes tcticos y/u operativos, las actividades derivadas de sus roles y responsabilidades establecidas en las Polticas de Seguridad. Asimismo, para la Gerencia Informtica debe tambin incorporarse el compromiso de esta direccin de verificar y/u observar de manera oportuna y continua el cumplimiento de las Polticas de Seguridad en la organizacin, con la responsabilidad de informar al Alta Direccin las acciones correctivas necesarias. Las normas rectoras que permitan controlar los servicios de terceros a travs de actividades de supervisin y de la obligacin de incorporar clusulas de confidencialidad, de penalidades, etc., a fin de proteger los recursos de informacin.
2. Que la Alta Direccin, con base en el proceso coordinado de actualizacin,

apruebe el documento de Polticas de Seguridad dictando las pautas corporativas para su cumplimiento, monitoreo y retroalimentacin. ---*---

10