martes, 29 de marzo de 2011

Analis de riesgo


El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir.
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.

Análisis de riesgo informático

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a
una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que
se encuentra expuesta mediante la aplicación de controles.
Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura
de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad
de los recursos objetos de riesgo

Introducción

Los riesgos de seguridad de información deben ser considerados en el contexto del
negocio, y las interrelaciones con otras funciones de negocios, tales como recursos
humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los
clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.
Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan
sistemas tecnológicos para automatizar sus procesos o información deben de estar
conscientes que la administración del riesgo informático juega un rol crítico.
La meta principal de la administración del riesgo informático debería ser “proteger a la
organización y su habilidad de manejar su misión” no solamente la protección de los
elementos informáticos. Además, el proceso no solo debe de ser tratado como una
función técnica generada por los expertos en tecnología que operan y administran los
sistemas, sino como una función esencial de administración por parte de toda la organización.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad,
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a
grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y
 toma de decisiones para reducir el riesgo a un nivel aceptable.
El análisis de riesgo informático es un elemento que forma parte del programa de gestión de
continuidad de negocio (Business Continuity Management)
En el análisis de riesgo informático es necesario identificar si existen controles que ayudan
a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir,
 la vulnerabilidad será de riesgo no controlado.
Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el
 impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el
riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de
 forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos)

Análisis de Riesgos Informáticos

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos
 informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así
como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
 controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce
como matriz de riesgo. En este documento se muestran los elementos identificados, la
 manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es
 indispensable para lograr una correcta administración del riesgo. La administración del riesgo
 hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos
de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo,
 evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo
total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta fórmula
 determinaremos su tratamiento y después de aplicar los controles podremos obtener el
 Riesgo Residual.
Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las
 siguientes acciones y actividades.
  • Identificación de los activos
  • Identificación de los requisitos legales y de negocios que son relevantes para la
  •  identificación de los activos
  • Valoración de los activos identificados
  • Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una
  •  pérdida de confidencialidad, integridad y disponibilidad.
  • Identificación de las amenazas y vulnerabilidades importantes para los activos
  •  identificados.
  • Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
  • Cálculo del riesgo.
  • Evaluación de los riesgos frente a una escala de riesgo preestablecidos '
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los
riesgos residuales que se identificaron. Las acciones pueden ser:
  • Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
  • Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
  • Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un
  •  tercero.
  • Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se
  •  acepta.

Consideraciones

No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,
 creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad
 lógica y en la seguridad de sistemas de información.
Es fundamental la creación de escenarios de conflicto en forma continua participando la
gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de seguridad.

Elementos relacionados

  • Activo. Es un objeto o recurso de valor empleado en una empresa u organización
  • Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u
  •  organización produciendo pérdidas o daños potenciales en sus activos.
  • Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o
  •  varias amenazas a un activo.
  • Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño 
  • potencial a servicios, recursos o sistemas de una empresa.
  • Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo 
  • forman a fin de terminar la relación entre sus principios y elementos.
  • Control. Es un mecanismo de seguridad de prevención y corrección empleado para 
  • disminuir las vulnerabilidades
Proceso de Administración de Riesgo
Este proceso administración de riesgo es un proceso continuo dado que es necesario
evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que
 hacer calculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor
 número de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar
 análisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de
riesgo de la organización.

Herramientas de apoyo

Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de
evaluar los riesgos, principalmente en el proceso de evaluación de los mismos. Una vez
 terminado este proceso se debe documentar toda la información recabada para su análisis
 posterior. La herramienta que debemos seleccionar debe contener al menos un módulo de
 recolección de datos, de análisis de los mismos y otro de reportes. La importancia de un buen
análisis y una buena presentación de los datos analizados nos llevará a una efectiva
 interpretación de la situación actual de los riesgos y por ende, la selección de los
 controles que debemos implementar será la más acertada en el proceso de selección,
 ahorrando costos en productos y costos de operación además del ahorro de tiempo.


Regulaciones y Normas que tratan el riesgo

Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de
 gestión, implementación y control de los riesgos relacionados con tecnología informática y
 sistemas de información.
ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y
 mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad
 de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna
 metodología específica para el análisis y la gestión del riesgo de la
 seguridad de la información.
Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios,
 con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección
 de las entidades frente a los riesgos financieros y operativos.
Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a
los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y
Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los
 controles internos sobre reportes financieros.


Metodologías de Análisis de Riesgos

Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de Seguridad
 de la Información; CRAMM: “CCTA Risk Assessment and Management Methodology” fue
 originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de
Siemens; ISO TR 13335: fue el precursor de la ISO/IEC 27005; MAGERIT “Metodología de
 Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible tanto en
 español como en inglés. OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability
 Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT; NIST
 SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectiva
 organizacional”; NIST SP 800-30:
 Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, es gratuito;
 Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la
 Sécurité de l'Information Français); AS/NZS: Norma de Gestión de Riesgos publicada
conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.