riesgos por el uso de las tecnologías de información. Riesgos Riesgos Riesgo Riesgo es la probabilidad de que un amenaza se aproveche de una vulnerabilidad y que cause pérdidas financieras o daños patrimoniales a la Empresa, a su personal, activos o imagen en general. Riesgo El riesgo puede ser categorizado en muchos tipos diferentes:
– Riesgo de Procesos – Riesgo operativo – Riesgo ambiental – Riesgo Financiero – Riesgo de T.I. – Riesgo de Integridad – Riesgo comercial – etc. Universo de Riesgo Riesgo Para lidiar con el riesgo, las Empresas tienen cuatro opciones estratégicas:
– Cesar la actividad que da origen al riesgo. – Transferir el riesgo a un tercero. – Reducir el riesgo a través de mecanismos de control apropiados. – Aceptar el riesgo. Transferencia del riesgo El riesgo puede ser reducido a niveles aceptables transfiriéndolo a otra entidad.
– Los riesgos pueden ser transferidos mediante un contrato a un proveedor de servicio u otra entidad.
– Tambien, el riesgo es transferido a una Compañía de Seguros.
– El costo de mitigar el riesgo no debe exceeder el valor del activo protegido. • Apetito de Riesgo Es el nivel de riesgo máximo aceptable. Intuitivamente la cultura de la organización nos permite saber si es una organización en la cual sus ejecutivos son adversos al riesgo o tomadores de los mismos. Sin embargo este tema es lo suficientemente importante para que se explicite en una política y se eviten colisiones entre áreas con diverso “apetito” de riesgo. Tolerancia al Riesgo El nivel máximo de riesgo aceptable debe tener una tolerancia ya que en caso contrario limitaría las decisiones, o se eludiría el nivel máximo en forma arbitraria. La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los objetivos. Proceso de Gestión de Riesgo Gestión de Riesgo La Gestión del Riesgo (Risk Management) es el proceso para identificar, controlar y mitigar el impacto de eventos inciertos a un nivel aceptable. Gestión de Riesgo LaGestión del Riesgo es el proceso de asegurar que el impacto de las amenazas que pudieran explotar las vulnerabilidades estén dentro de los limites aceptables y a costos aceptables. En este nivel, esto se logra mediante un equilibrio entre la exposición al riesgo y los costos de mitigación, así como mediante la implementación de acciones preventivas y controles apropiados. Gestión del Riesgo El proceso de Administración del riesgo debe ser continuo, Analítico y sistemático
– La administración del riesgo debeser un proceso
continuo. – La administración del riesgo es crítico para cualquier programa de seguridad y debe ser implementado como un proceso formal. – Determinar el nivel correcto de nivel de seguridad depende de los riesgos potenciales. – Esto se convierte en reto debido a los cambios organizacionales, tecnológicos y comerciales. Gestión del Riesgo Para desarrollar un programa de administración de riesgos se requiere:
•Establecer el propósito del programa de administración del
riesgo.
•Asignar responsabilidades del plan de Administración del riesgo.
Análisis de Riesgos Se recomienda el uso y adaptación de algún modelo de referencia:
– National Institute of Standards and Technology Special Publication SP 800-30. – Australian/ New Zealand Standard sobre administración de riesgo AS/NZS 4360:2004.
– OCTAVE
– MAGERIT
– ISM3
Marco para el análisis de Riesgo
Overview of the Risk Management
Process Análisis de Riesgos Por que conducir una evaluación de riesgos ?
El propósito de una evaluación de riesgos es:
– Priorizar la planificación y la asignación de recursos.
– Identificar y mitigar las exposiciones.
– Identificar las amenazas, riesgos y vulnerabilidades. Objetivos de la Evaluación de Riesgos Entender las pérdidas potenciales
– Identificar amenazas con mayor probabilidad de ocurrencia
– Identificar vulnerabilidades
– Identificar los controles existentes y recomendar controles adicionales
– Evaluar las protecciones la efectividad de los controles y protecciones.
– Establecer el nível de vulnerabilidad
Beneficios de la Evaluación de Riesgos Los resultados sirven como base para el ahorro de costos a través de la prevención.
– Uso racional de recursos finitos para la mitigación de riesgos
– Puede disminuir los efectos ocasionados por eventos que impacten la productividad
Medios para la obtención de Datos Entrevistas, cuesionarios y sesiones de trabajo
• Revisión de la documentación / infraestructura
• Observación
• Documentos corporativos
• Información de la Cadena de Abastecimiento
Activos No es posible proteger lo que no se conoce.
– Inventario de Activos de T.I.
– Clasificación de Activos T.I.
– Identificación de propietarios de los Activos de T.I. Identificación de Activos Sistemas de Información • Base de Datos • Media • Licencias • Interfaces • Servidores • PCs / Laptops • Periféricos • Equipos de comunicación • Equipos de Protección eléctrica • Contratos • Documentación • Personal