Matriz de Riesgo

APLICACIÓN DE LA SEGURIDAD INFORMATICA
ASIN-02
MTRA. LUZ YUVINA CAMPOS GARCÍA
Matriz de Riesgo
Definición de Seguridad Informática
La Seguridad Informática se refiere a las características
y condiciones de sistemas de procesamiento de datos
y
su
almacenamiento,
para
garantizar
su
confidencialidad, integridad y disponibilidad.
¨ Considerar aspectos de seguridad significa a)
conocer el peligro, b) clasificarlo y c) protegerse de los
impactos o daños de la mejor manera posible. Esto
significa que solamente cuando estamos conscientes
de las potenciales amenazas, agresores y sus
intenciones dañinas (directas o indirectas) en contra
de nosotros, podemos tomar medidas de protección
adecuadas, para que no se pierda o dañe nuestros
recursos valiosos.
Elementos De Gestión De Riesgos En Informática
¨ La función de la gestión de riesgos es identificar,
estudiar y eliminar las fuentes de los eventos
perjudiciales antes de que empiecen a amenazar los
procesos informáticos.
¨ La gestión de riesgos se divide generalmente en:
Estimación
De
Riesgos
La estimación de riesgos describe cómo estudiar los
riesgos dentro de la planeación general del entorno
informático y se divide en los siguientes pasos:
¨ La identificación de riesgos genera una lista de
riesgos capaces de afectar el funcionamiento normal
del entorno informático.
¨ El análisis de riesgos mide su probabilidad de
ocurrencia y su impacto en la organización.
¨
Creación de la planificación, que incluye:
Planificación excesivamente optimista, planificación
con tareas innecesarias, y organización de un entorno
informático sin tener en cuenta áreas desconocidas y
la envergadura del mismo.
¨ La organización y gestión, que incluye: Presupuestos
bajos, El ciclo de revisión/decisión de las directivas es
mas lento de lo esperado.
¨
El entorno de trabajo, que incluye: Mal
funcionamiento de las herramientas de desarrollo,
espacios de trabajo inadecuados y la curva de
aprendizaje de las nuevas tecnologías es mas larga de
lo esperado.
¨ Las decisiones de los usuarios finales, que incluye:
Falta de participación de los usuarios finales y la falta
de comunicación entre los usuarios y el departamento
de informática
¨ El personal contratado, que incluye: Falta de
motivación, falta de trabajo en equipo y trabajos de
poca calidad.
¨ Los procesos, que incluye: La burocracia, falta de
control de calidad y la falta de entusiasmo.
Análisis De Riesgos
¨ Una vez hayan identificado los riesgos en la
planificación, el paso siguiente es analizarlos para
determinar su impacto, tomando así las posibles
alternativas de solución. La explicación de Análisis de
riesgos se extenderá posteriormente.
Exposición A Riesgos
¨ Estimación De La Probabilidad De Perdida
Las principales formas de estimar la probabilidad de
pérdida son las siguientes:
¨ Disponer de la persona que está más familiarizada
con el entorno informático para que estime la
probabilidad de ocurrencia de eventos perjudiciales.
¨ Usar técnicas Delphi o de consenso en grupo. El
método Delphi consiste en reunir a un grupo de
expertos para solucionar determinados problemas.
Dicho grupo realiza la categorización individual de las
amenazas y de los objetos del riesgo.
¨ Utilizar la calibración mediante adjetivos, en la cuál
las personas involucradas eligen un nivel de riesgo
entre (probable, muy probable) y después se
convierten a estimaciones cuantitativas.
Priorización De Riesgos
¨ En este paso de la estimación de riesgos, se estiman
su prioridad de forma que se tenga forma de centrar el
esfuerzo para desarrollar la gestión de riesgos. Cuando
se realiza la priorización (elementos de alto riesgo y
pequeños riesgos), estos últimos no deben ser de gran
preocupación, pues lo verdaderamente crítico se
puede dejar en un segundo plano.
Control De Riesgos
¨ Una vez que se hayan identificado los riesgos del
entorno informático y analizado su probabilidad de
ocurrencia, existen bases para controlarlos que son:
¨ Planificación
¨ Resolución de riesgos
¨ La asignación de prioridades a los riesgos.
Identificación De Riesgos
¨ En este paso se identifican los factores que
introducen una amenaza en la planificación del
entorno informático. Los principales factores que se
ven afectados son:
¨ Una vez hayan identificado los riesgos en la
planificación, el paso siguiente es analizarlos para
determinar su impacto, tomando así las posibles
alternativas de solución. La explicación de Análisis de
riesgos se extenderá posteriormente.
Exposición A Riesgos
¨ Monitorización de riesgos
Planificación De Riesgos
¨ Su objetivo, es desarrollar un plan que controle cada
uno de los eventos perjudiciales a que se encuentran
expuestos las actividades informáticas.
¨ Llevar a cabo un minucioso análisis de los riesgos y
debilidades.
con acceso físico a la máquina en cuestión puede
causar estragos.
¨ Identificar, definir y revisar los controles de seguridad.
¨ Error administrativo: Por ejemplo, Instalaciones y
configuraciones sin contar con mecanismos de
seguridad para su protección.
Resolución De Riesgos
¨ La resolución de los riesgos está conformado por los
métodos que controlan el problema de un diseño de
controles inadecuado, los principales son:
¨ Evitar el Riesgo : No realizar actividades arriesgadas.
¨ Conseguir información acerca del riesgo.
¨ Planificar el entorno informático de forma que si
ocurre un riesgo, las actividades informáticas sean
cumplidas.
¨ Eliminar el origen del riesgo, si es posible desde su
inicio.
¨ Determinar si es necesario incrementar las medidas
de seguridad.
¨ Cuando se identifican los riesgos, los perímetros de
seguridad y los sitios de mayor peligro, se pueden
hacer el mantenimiento mas fácilmente.
El análisis de riesgos utiliza el método matricial llamado
MAPA DE RIESGOS, para identificar la vulnerabilidad de
un servicio o negocio a riesgos típicos, El método
contiene los siguientes pasos:
Localización de los procesos en las dependencias que
intervienen en la prestación del servicio
Matriz de riesgos vs. vulnerabilidad
¨ Asumir y comunicar el riesgo.
Métodos de control de riesgos más habituales
RIESGO
METODOS DE CONTROL
Cambio
de
laUso de técnicas orientadas al
prestación del servicio cliente. Diseño
para
nuevos
cambios
Recorte de la calidad Dejar tiempo a las actividades
de control.
Planificación demasiadoUtilización
de
técnicas
y
optimista
herramientas de estimación.
Problemas
con
elPedir referencias personales y
personal contratado
laborales. Contratar y planificar
los miembros clave del equipo
mucho antes de que comience
el proyecto.
Tener buenas relaciones con el
personal contratado.
RIESGO
Decisiones equivocadas
Fraude
Hurto
(%) Obtenido
59
55
54
¨ Analizar el tiempo, esfuerzo y recursos disponibles y
necesarios para atacar los problemas.
¨ Errores del sistema: Por ejemplo, daños en archivos
del sistema operativo.
¨ Errores de comunicación: Por ejemplo, permitir la
transmisión
de
información
violando
la
confidencialidad de los datos.
¨ Deliberadas: Estas amenazas pueden ser: activas
(accesos
no
autorizados,
modificaciones
no
autorizadas, sabotaje) ó pasivas(son de naturaleza
mucho
más
técnica,
como:
emanaciones
electromagnéticas y/o microondas de interferencia).
Vulnerabilidad
¨
Localización de los riesgos críticos en las
ALTA
dependencias de la empresa y procesos que
MEDIA
intervienen enMEDIA
el negocio
Matriz de Procesos vs. riesgo
¨ Dentro del entorno informático las amenazas (causas
de riesgo) se pueden clasificar así:
¨ Naturales: Incluyen principalmente los cambios
naturales que pueden afectar de una manera u otra el
normal desempeño del entorno informático; por
ejemplo, la posibilidad de un incendio en el sitio donde
se encuentran los concentradores de cableado dado
que posiblemente están rodeados de paredes de
madera es una amenaza natural.
¨ Accidentales: Son las más comunes que existen e
incluyen:
Análisis De Riesgos
¨ Errores de salida: Por ejemplo, Impresoras u otros
dispositivos mal configurados.
¨ Errores de los usuarios finales: Por ejemplo, El usuario
tiene permisos de administrador y posiblemente sin
intención modifica información relevante.
¨ Errores de los operadores: Por ejemplo, si un operador
tenía un sesión abierta y olvidó salir del sistema; alguien
Proceso
/ Decisiones
Riesgo
equivocadas
Gestión
de
centros
transaccionales
Administración
de sistemas
Atención
al
cliente
Conciliación
X
de cuentas
Fraude
Hurto
X
X
X
X
X
X
X
X