Matriz de Riesgo
Transcripción
Matriz de Riesgo
APLICACIÓN DE LA SEGURIDAD INFORMATICA ASIN-02 MTRA. LUZ YUVINA CAMPOS GARCÍA Matriz de Riesgo Definición de Seguridad Informática La Seguridad Informática se refiere a las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad. ¨ Considerar aspectos de seguridad significa a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daños de la mejor manera posible. Esto significa que solamente cuando estamos conscientes de las potenciales amenazas, agresores y sus intenciones dañinas (directas o indirectas) en contra de nosotros, podemos tomar medidas de protección adecuadas, para que no se pierda o dañe nuestros recursos valiosos. Elementos De Gestión De Riesgos En Informática ¨ La función de la gestión de riesgos es identificar, estudiar y eliminar las fuentes de los eventos perjudiciales antes de que empiecen a amenazar los procesos informáticos. ¨ La gestión de riesgos se divide generalmente en: Estimación De Riesgos La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos: ¨ La identificación de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal del entorno informático. ¨ El análisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organización. ¨ Creación de la planificación, que incluye: Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo. ¨ La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es mas lento de lo esperado. ¨ El entorno de trabajo, que incluye: Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es mas larga de lo esperado. ¨ Las decisiones de los usuarios finales, que incluye: Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento de informática ¨ El personal contratado, que incluye: Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad. ¨ Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo. Análisis De Riesgos ¨ Una vez hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas de solución. La explicación de Análisis de riesgos se extenderá posteriormente. Exposición A Riesgos ¨ Estimación De La Probabilidad De Perdida Las principales formas de estimar la probabilidad de pérdida son las siguientes: ¨ Disponer de la persona que está más familiarizada con el entorno informático para que estime la probabilidad de ocurrencia de eventos perjudiciales. ¨ Usar técnicas Delphi o de consenso en grupo. El método Delphi consiste en reunir a un grupo de expertos para solucionar determinados problemas. Dicho grupo realiza la categorización individual de las amenazas y de los objetos del riesgo. ¨ Utilizar la calibración mediante adjetivos, en la cuál las personas involucradas eligen un nivel de riesgo entre (probable, muy probable) y después se convierten a estimaciones cuantitativas. Priorización De Riesgos ¨ En este paso de la estimación de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se realiza la priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no deben ser de gran preocupación, pues lo verdaderamente crítico se puede dejar en un segundo plano. Control De Riesgos ¨ Una vez que se hayan identificado los riesgos del entorno informático y analizado su probabilidad de ocurrencia, existen bases para controlarlos que son: ¨ Planificación ¨ Resolución de riesgos ¨ La asignación de prioridades a los riesgos. Identificación De Riesgos ¨ En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Los principales factores que se ven afectados son: ¨ Una vez hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas de solución. La explicación de Análisis de riesgos se extenderá posteriormente. Exposición A Riesgos ¨ Monitorización de riesgos Planificación De Riesgos ¨ Su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a que se encuentran expuestos las actividades informáticas. ¨ Llevar a cabo un minucioso análisis de los riesgos y debilidades. con acceso físico a la máquina en cuestión puede causar estragos. ¨ Identificar, definir y revisar los controles de seguridad. ¨ Error administrativo: Por ejemplo, Instalaciones y configuraciones sin contar con mecanismos de seguridad para su protección. Resolución De Riesgos ¨ La resolución de los riesgos está conformado por los métodos que controlan el problema de un diseño de controles inadecuado, los principales son: ¨ Evitar el Riesgo : No realizar actividades arriesgadas. ¨ Conseguir información acerca del riesgo. ¨ Planificar el entorno informático de forma que si ocurre un riesgo, las actividades informáticas sean cumplidas. ¨ Eliminar el origen del riesgo, si es posible desde su inicio. ¨ Determinar si es necesario incrementar las medidas de seguridad. ¨ Cuando se identifican los riesgos, los perímetros de seguridad y los sitios de mayor peligro, se pueden hacer el mantenimiento mas fácilmente. El análisis de riesgos utiliza el método matricial llamado MAPA DE RIESGOS, para identificar la vulnerabilidad de un servicio o negocio a riesgos típicos, El método contiene los siguientes pasos: Localización de los procesos en las dependencias que intervienen en la prestación del servicio Matriz de riesgos vs. vulnerabilidad ¨ Asumir y comunicar el riesgo. Métodos de control de riesgos más habituales RIESGO METODOS DE CONTROL Cambio de laUso de técnicas orientadas al prestación del servicio cliente. Diseño para nuevos cambios Recorte de la calidad Dejar tiempo a las actividades de control. Planificación demasiadoUtilización de técnicas y optimista herramientas de estimación. Problemas con elPedir referencias personales y personal contratado laborales. Contratar y planificar los miembros clave del equipo mucho antes de que comience el proyecto. Tener buenas relaciones con el personal contratado. RIESGO Decisiones equivocadas Fraude Hurto (%) Obtenido 59 55 54 ¨ Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas. ¨ Errores del sistema: Por ejemplo, daños en archivos del sistema operativo. ¨ Errores de comunicación: Por ejemplo, permitir la transmisión de información violando la confidencialidad de los datos. ¨ Deliberadas: Estas amenazas pueden ser: activas (accesos no autorizados, modificaciones no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho más técnica, como: emanaciones electromagnéticas y/o microondas de interferencia). Vulnerabilidad ¨ Localización de los riesgos críticos en las ALTA dependencias de la empresa y procesos que MEDIA intervienen enMEDIA el negocio Matriz de Procesos vs. riesgo ¨ Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así: ¨ Naturales: Incluyen principalmente los cambios naturales que pueden afectar de una manera u otra el normal desempeño del entorno informático; por ejemplo, la posibilidad de un incendio en el sitio donde se encuentran los concentradores de cableado dado que posiblemente están rodeados de paredes de madera es una amenaza natural. ¨ Accidentales: Son las más comunes que existen e incluyen: Análisis De Riesgos ¨ Errores de salida: Por ejemplo, Impresoras u otros dispositivos mal configurados. ¨ Errores de los usuarios finales: Por ejemplo, El usuario tiene permisos de administrador y posiblemente sin intención modifica información relevante. ¨ Errores de los operadores: Por ejemplo, si un operador tenía un sesión abierta y olvidó salir del sistema; alguien Proceso / Decisiones Riesgo equivocadas Gestión de centros transaccionales Administración de sistemas Atención al cliente Conciliación X de cuentas Fraude Hurto X X X X X X X X