I.

Gestin de Riesgo en Procesos de Negocios

La presencia de amenazas que comprometen el sistema deben ser

analizadas y a su vez evaluadas las probabilidades de que una
amenaza aproveche esas vulnerabilidades.
Como supo definir Gene Spafford, el nico sistema que est seguro
es el que se encuentra debidamente apagado y dentro de una caja
ignifuga.
Seguramente al leer esta introduccin surgen algunas dudas que
aclaramos a continuacin:
Activo: Como en los aspectos contables existe el activo y el pasivo,
la informacin ahora posee un valor importante y por eso se lo
considera un activo. Si un alumno posee el trabajo fi nal de grado y
no posee un backup o resguardo en otro dispositivo, ese activo corre
un serio riesgo de sufrir algn dao irrecuperable.
Amenaza: todo aquello que pueda provocar un dao a nuestro
activo. Por ejemplo, si un virus corrompe el ordenador en donde el
alumno tiene su trabajo final, no podr acceder al momento de
presentarlo y tal vez lo pierda.
Vulnerabilidad: Son las inseguridades que posee el activo tanto
por problemas tecnolgicos, como problemas de procedimientos. Est
demostrado que la gran mayora de prdidas de activos son por falta
de procedimientos o desconocimiento. El alumno no ha realizado
copias de su trabajo en otros medios.
Riesgo: es la probabilidad que una amenaza aproveche una
vulnerabilidad. Siguiendo el caso del ejemplo, supongamos que el
equipo no posee una descarga a tierra y en una noche tormentosa el
equipo sufra una descarga y se queme el disco.
La problemtica actual
Los anlisis de riesgo, test de vulnerabilidad o test de penetracin son
prcticas muy frecuentes como herramientas de evaluacin para
analizar el estado de seguridad de una infraestructura. Los
consultores que utilizan COBIT evalan las redes con un listado
conteniendo tems que deben ser verificados entendiendo que un
escenario tiene o no tiene polticas, normas, procedimientos e
implementaciones de seguridad, cumplen o no cumplen y de esa
manera surge el informe final. En la NORMA ISO/IEC 27001:2005 los
especialistas que encaran el proceso de anlisis, revelan todos los

recursos y servicios de la compaa haciendo un anlisis de las

vulnerabilidades de seguridad de la compaa y en base a esto
verifican cual es la brecha para lograr la normalizacin.
Debido a esto, podemos observar dos tipos de sondeos:
Tcnica pura: instalar herramientas de intrusin en la red y atacar
cuanto dispositivo se encuentra conectado a la misma. No hay una
metodologa clara, no se analiza el riesgo que puede llevar un ataque
desmedido y por ltimo se obtiene un informe con gran cantidad de
informacin que no se sabe como ordenar y por dnde empezar.
Poltica pura: se analiza si la compaa posee implementada
polticas, normas, procedimientos y a que estndar se alinea (ISO,
BS, ITIL, COBIT, etc). Si cumple o no con las leyes locales y en base a
eso, se genera un informe cuyo resultado final es la implementacin
de una cantidad de polticas y normas sin los pasos adecuados en
donde se termina acosando al usuario de la red para que las cumpla.
Anlisis versus gestin
La seguridad aun no ha sido un factor de maduracin en muchas
compaas y menos an en los usuarios hogareos. Para evaluar que
tan seguro es un escenario, se llevan a la prctica pruebas similares a
las que realiza un intruso (ms conocidos como hackers, pero
recuerde que debe denominrselos segn el tipo de intrusin o
ataque que realiza). En muchas compaas cuando sufren un
problema de seguridad o ante una auditora externa, la misma encara
el anlisis de seguridad de la infraestructura. Luego de este anlisis
se genera el informe correspondiente y un plan de implementacin de
medidas para subsanar las vulnerabilidades encontradas. Cmo
sabr el gerente de sistemas si las implementaciones fueron acordes
a lo estipulado?Cmo sabr el jefe de tecnologa si fueron adecuadas
las medidas para mitigar los riesgos? Es all en donde surgen una
gran cantidad de dudas.
La NORMA ISO/IEC 27001:2005 y ciertos niveles de maduracin
como ITIL, PMI, CMMI, hacen referencia a la gestin de un proceso de
madurez.Por qu no se implementan estos niveles de gestin en las
compaas? Muchas veces por una cuestin de que la seguridad no es
un asunto importante en la compaa y por ello,no se desea perder el
tiempo en la burocratizacin de los procesos de negocios.
La gestin permite en todos los procesos, evaluar si las decisiones

fueron las acertadas y a su vez indica donde hay que realizar ajustes
para lograr los objetivos deseados.
Un proceso de Gestin de Riesgo va a permitir a la compaa
entender cul es su situacin a nivel de seguridad actual, le va a
permitir una toma de decisiones adecuada para mitigar los riesgos,
podr evaluar qu medidas se implementan a largo y corto plazo y
luego podr evaluar si las decisiones fueron las correctas.
En base a este ltimo punto, se vuelve a empezar con el anlisis y
pasar por las etapas nuevamente permitiendo a la compaa madurar
en cuanto a seguridad de la informacin se refiere.
Proceso de Gestin de Riesgo clsico
Podemos definir entonces, que Gestin de Riesgo es un proceso que
involucra 4 estadios:
Situacin actual: Un anlisis de la situacin de seguridad de la
compaa para entender cmo se estn tratando los activos,que
niveles de seguridad existen, que leyes se estn cumpliendo y cules
no. Es lo que denominamos La FOTO.
En esta etapa, suele llevarse a la prctica los clsicos test de
vulnerabilidad o test de penetracin. Los mismos deben ser rigurosos
y muy bien planificados, ya que muchas veces, hay profesionales con
el afn de demostrar todos sus conocimientos de intrusin provocan
cadas de servicios que ponen en riesgo a la compaa a nivel
funcional.
Definir pasos a seguir: En base a un informe detallado de la
situacin actual, un comit formado por los responsables de
sistemas,RRHH, legales y la gerencia, debern definir cules son los
pasos a seguir para atacar el riesgo.
Implementacin: en base a las decisiones tomadas, se
implementan las normas, procedimientos,actualizaciones y ajustes
que sean requeridos y que fueron aprobados por el comit. La misma
debe ser rigurosamente planificada, ya que hay puntos que deben ser
tenidos en cuenta para no impactar en los procesos de negocios.
Monitorear: Analizar el xito de la implementaciones llevadas a
cabo, verificar qu desvos surgieron y planificar un nuevo anlisis en

un periodo acorde en la compaa.

Este proceso puede alinearse al ao calendario o fiscal y realizarse
una vez al ao. Obviamente que los responsables de seguridad de la
compaa debern recomendar qu implementaciones deben llevarse
a cabo de manera urgente, ya que no pueden esperar un ao fiscal
para implementarlos. Esto depender del negocio y del nivel de
madurez alcanzado por el mismo.
Defensa en profundidad
El concepto de Defensa en profundidad permite un diseo, anlisis e
implementacin de la seguridad atacando diferentes capas de la
infraestructura. As como tenemos las 7 capas del modelo OSI (Open
System Interconnection Sistema de interconexin abierto) sugerido
por ISO en el ao 1977 y que hoy es el estndar de comunicacin, el
modelo de Defensa en Profundidad provee capas para enfocar el
anlisis y la prevencin. Este modelo fue pensado originalmente por
National Security Agency cerca de 1977.
Podemos organizar la Infraestructura de la compaa en las siguientes
capas:
CAPA FISICA
CAPA DE RED
CAPA DE EQUIPOS
CAPA DE PLICACIN
CAPA DE DATOS
En base a la distribucin de las capas, se organizan los activos de las
compaas en cada una de las capas y se analizan los problemas de
seguridad.
Proceso de Gestin de Riesgo en Procesos de Negocio
Basados en el clsico Proceso de Gestin de Riesgo y en el modelo de
DoD (Defense of Depth - Defensa en Profundidad), tomamos lo mejor
de ambos y armamos un nuevo modelo, denominado Proceso de
Gestin de Riesgo en Procesos de Negocio.
Este proceso consta de un anlisis pormenorizado de los procesos
crticos de negocio de la compaa. Para ello se recomienda realizar

las siguientes tareas:

Reunirse con la gerencia de la compaa o un referente con el fin de
obtener cuales son los procesos crticos de negocio. Se recuerda que
son aquellos procesos que si son interrumpidos,pueden provocar
prdidas en todos los aspectos (confianza
ante terceros, productividad, negocios, dinero, etc.).
Reunirse con personas responsables de los procesos crticos de
negocio y obtener toda la mayor informacin posible del proceso.
Algunos de los datos relevantes son: hora reloj en el que el proceso
puede estar fuera de lnea, cantidad de minutos u horas de
interrupcin permitidas por el negocio, responsables del monitoreo
del proceso, relacin del proceso con otros dentro de la misma
compaa y externos, recursos tecnolgicos que participan en el
proceso, como para mencionar los ms relevantes.
Armar un esquema de anlisis de riesgo para los procesos,
ordenando los recursos tecnolgicos segn el modelo de DoD.
Confeccionar las planillas de anlisis de riesgo, ordenndolas por
proceso.
Encarar la Gestin de Riesgo como se refi ere en el punto 4, pero
slo haciendo foco en los activosque participan en el proceso de
negocio de la compaa.
Ordenar los resultados segn las capas del DoD.
Realizar un tablero de control,ordenado por proceso y por capa del
modelo de DoD.
En cada conexin del tablero pondremos el nivel de riesgo observado
en cada proceso de negocio. Se puede identificar los riesgos, como lo
hace el semforo: ROJO(riesgo alto), AMARILLO (riesgo medio) y
VERDE (riesgo bajo).
En base a estos resultados, tendremos los estados de riesgo de los
procesos crticos de negocio y en qu capa del modelo de DoD se
encuentra el riesgo. Es ms simple para corregir, prever o asumir los
riesgos, a diferencia del modelo de gestin de riesgo convencional.
A su vez, la gestin le permitir observar en las diferentes etapas,
cmo fueron cambiando los estados de riesgo en cada una de ellas y
de esa manera se tiene el estado real de riesgo y no una percepcin.

A diferencia del modelo clsico de gestin de riesgo, este enfoque

permite obtener un estado real de los activos que forman parte de los
procesos de negocio, llevar a cabo tareas correctivas y planificar a
futuro las mejoras. Si se tienen en cuenta estndares como ITIL,
estos resultados permiten mejorar la entrega de soporte (Service
Support)y la entrega de servicios (Service Delivery).
Factores crticos de xito
El modelo es simple, pero para lograr el xito en su implementacin,
requiere:
Apoyo explicito de la gerencia.
Conocer los procesos crticos de negocio de la compaa y qu
activos intervienen en los mismos.
Conocer el modelo de Gestin de Riesgo.
Entender el modelo de DoD, para colocar adecuadamente los
activos en cada capa.
Realizar el proceso completo de gestin y no la iniciativa de la Foto.
Implementar los cambios sugeridos que permitan mitigar los
riesgos.
Conclusiones
Este modelo que hemos llevado a la prctica hace ms de 4 aos, ha
permitido reducir los tiempos de mitigacin de riesgo, enfocando las
actividades en los procesos crticos de los negocios. No quiere decir
que el resto de los activos deban ser ignorados, simplemente permite
definir prioridades y atacarlas con el fin de mitigar los riesgos de la
compaa.
Como las buenas prcticas en su mayora sugieren, los resultados de
este modelo sern entornos ms seguros,disponibilidad de los
activos, y reduccin de costos.