Seguridad en Computación e Informática

Gestión de Riesgos

Universidad Nacional Federico VillarrealFacultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas

Integrantes

CASACHAHUA MEDINA, JOSÉ

RODOLFO ALBERTO

FLORIAN ARTEAGA, EDUARDO MIGUEL

GONZALES BERNAL, JAIR

ANTONIO

GARCÍA MORAUSKY,

CESAR RICARDO

BENITEZ PEREYRA, PAUL FRANCISCO E.

La realidad empresarial nos dice que la mayoría de las compañías, administraciones autonómicas o locales y ciudadanos apenas conocen los riesgos que corren sus sistemas informáticos.

No explotan en su totalidad la amplia gama de herramientas que existen para gestionar dichas situaciones, y tampoco han comenzado a implementar los conocimientos y los procesos necesarios para gestionar este tipo de riesgos. 

Las corporaciones suelen tener un conocimiento muy limitado del impacto que puede tener la pérdida de los bienes informáticos o la imposibilidad para acceder a sus aplicaciones o información.

INTRODUCCIÓN

¿Qué es un riesgo?El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas por separado no representan un peligro pero si se juntan se convierten en un riesgo.

¿Qué es la Gestión de Riesgos?Es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que incluyen:

Evaluación de riesgo Estrategias de desarrollo para manejarlo Mitigación del riesgo utilizando recursos gerenciales.

CONTENIDO

1 CASO:Cuando el servidor de Base de datos de una empresa sufre:

Daños por desastres naturales Ataques de hackers Sabotajes

Por parte de empleados y los daños son incorregibles, la gestión de riesgos ha de haber elaborado un plan de prevención y recuperación, haciendo los back-ups de la BD en los periodos definidos según las políticas de back-ups de un plan de prevención de riesgos y posteriormente a este desastre ejecutar los procedimientos del plan de recuperación.

CASOS PRÁCTICOS DE GESTIÓN DE RIESGOS

Plan de prevención:

Políticas de back-ups.

Plan de recuperación: Asignación de personal y recursos. Instalaciones y hardware alternativos. Procedimientos de recuperación de datos. Contratos de colaboración con otras organizaciones.

PLANEAR LA EJECUCIÓN DE UN BACK-UP

ESQUEMA DE LA ARQUITECTURA

2 CASO: Gestión de Riesgos y Web 2.0

La Web 2.0 se refiere a una nueva generación de Webs basadas en la creación de páginas Web donde los contenidos son compartidos y producidos por los

propios usuarios del portal.

CASOS PRÁCTICOS DE GESTIÓN DE RIEGOS

Riesgo Evaluación Gestión

Pérdida de servicio

Consecuencias si el servicio no está disponible. Riesgo de no disponibilidad de servicio.

Tener alternativas disponibles. El uso de servicios de confianza.

La pérdida de datos Riesgo de pérdida de datos. La falta de capacidad de exportación.

Evaluación del servicio.

Prueba de la exportación.

Problemas de rendimiento Disminuir el rendimiento Pruebas.

La falta de interoperabilidad

Probabilidad de bloqueo de una aplicación. Pérdida de la integración y la reutilización de los datos.

Evaluación de las capacidades de integración y de exportación.

Cambios de formato Nuevos formatos no pueden ser estables.

Plan para la migración o el uso a pequeña escala.

Backup

Backup

3 CASO: Empresa distribuidora de gas PEMEX GAS

CASOS PRÁCTICOS DE GESTIÓN DE RIEGOS

Para la inclusión de PEMEX al programa general de ductos, se realizó un análisis de los riesgos que presentan; específicamente, analizando los daños que pueden tener los ductos de transporte de gas.

Gracias a estas evaluaciones, y a la implementación de IAP (Programa de evaluación de Integridad), PEMEX obtiene al programa general de ductos.

PROCESO En la evaluación de riesgos se obtuvo el ROF (Riesgo de Fallas). Se tomaron factores como: corrosión interna, daño de terceros,

movilidad del suelo así como el impacto que se puede tener sobre los suelos, el negocio y el medio).

Bandas de Riesgo Definición Descripción y acciones

ROF < 2.1 Riesgo TolerableZona de riesgo controlada que no requiere de acciones inmediatas para reducir el riesgo. Únicamente requiere aplicar acciones relacionadas con el monitoreo del riesgo

2.1 ≥ ROF < 21 Riesgo AdministrableZona de riesgo en la que se deben tomar acciones de disminución y/o control de niveles de riesgo, con el análisis y aplicación de proyectos evaluando su costo - beneficio

ROF ≥ 21 Riesgo Preventivo

Zona de riego en la que PEMEX GAS no está dispuesto a tener en sus sistemas de ductos y que requiere de acciones a corto y mediano plazo para reducir el riego. Estas acciones no implican una relación óptima de costo - beneficio

UN PROBLEMA

Un ducto de gas de 12’’ y 18 km de largo, el cual data de los años 1961 presentaba 3km en un riesgo preventivo, equivalente a un ROF de 23.

Se identificó que los mayores riesgos eran causados por valores altos de consecuencias de falla. En cambio, los valores de probabilidad de falla eran muy bajos, por lo que se entendía que la integridad mecánica era adecuada.

SOLUCIÓN APLICADA

Tras un programa de implementación de reforzamiento de las estructuras, eliminación de interferencias técnicas, y en conjunto con la rehabilitación y modernización de equipos, e incremento de las campañas de concientización, prevención y simulacros con los vecinos, al igual que al manejo de masas.

Con todos los cambios implementados, el ROF es reducido ahora a 11.5

4 CASO: Uso de la plataforma de gestión de riesgo SCACS

¿Cuál es el problema actual?En un entorno cada vez más competitivo para las entidades financieras, entre las empresas más conocidas mencionaré:

Banco Falabella BBVA BPN Mapfre Santander

Entonces se hace imprescindible contar con elementos que permitan minimizar los riesgos, optimizar los costes y maximizar los beneficios.

CASOS PRÁCTICOS DE GESTIÓN DE RIEGOS

El diseño definitivo de la plataforma de gestión de riesgos SCACS ha sido elaborado combinando la amplia experiencia de AIS en todos los aspectos vinculados con el riesgo de crédito y las posibilidades ofrecidas por las actuales tecnologías de la información.

SCACS integra en una única plataforma la gestión del riesgo de todos los segmentos de negocio de la entidad, desde particulares a grandes corporaciones, pasando por los segmentos intermedios como trabajadores autónomos o pequeñas y medianas empresas.

¿CUÁL ES LA SOLUCIÓN?

CARACTERISTICAS• centralizando y estandarizando la información, articulando las conexiones

con las diversas bases de datos, y facilitando la explotación de la información disponible mediante la generación automática de informes.

Integración de la información

• Mediante la utilización de metodologías específicas a las características de cada tipo de cliente: empresas, particulares, autónomos, microempresas, pymes, etc. Unificando los criterios de análisis y cuantificando el riesgo.

Homogeneización y

automatización

• Definiendo y controlando las facultades de resolución, generando automáticamente las actas correspondientes a los comités de crédito, registrando las condiciones y precios en las resoluciones, y garantizando el alta automática con los sistemas de administración y contabilidad..

Control en la resolución y

formalización

• Detección automática de alertas que controlen el empeoramiento en la calidad del riesgo, el control de las compensaciones comerciales de clientes, y un control exhaustivo de la documentación necesaria.

Sistematización y automatización

Control de procesos

Modularidad y

adaptabilidad 

• Utilizando un sistema de workflow que permite organizar la gestión mediante la definición explícita de los caminos a seguir por las solicitudes, controlando las facultades de los empleados y organizando la agenda de trabajo, de tal forma que las intervenciones sean coordinadas y eficaces.

• A entornos variados y situaciones cambiantes

5 CASOLa Comisión Nacional de Investigación y

Desarrollo Aeroespacial, CONIDA

DIRECTIVA Nº 013-2007 CONIDA/OGA

FINALIDAD

Establecer los procedimientos que permitan reducir el riesgo de siniestro de cualquier índole.

ALCANCELa presente Directiva es de observancia y estricto cumplimiento de todo el personal de CONIDA, sea cual fuere su

régimen laboral.

OBJETIVOReducir el riesgo sobre la posibilidad de ocurrencia de siniestro de hardware, software, información y de los

equipos periféricos.

ASPECTOS GENERALESEl Plan de Contingencia implica un análisis de los posibles riesgos a los cuales pueden estar expuestos los equipos

de cómputo y la información contenida en los diversos medios de almacenamiento.

Las actividades previas al desastre

Equipos de cómputo: Se cuenta con el inventario

actualizado de Hardware y Software, especificación

técnica, ubicación física y el área a la que está asignada.

Sistema de información: son los sistemas producidos en la entidad y que son vitales

para el adecuado funcionamiento de la

misma.

Formación de equipos de evaluación para realizar la

auditoría de los procedimientos de

seguridad; cuyas funciones serán: Revisar la aplicación

y cumplimiento de las normas.

Formación de equipos operativos, mediante la

designación del responsable de seguridad de la

información en cada órgano.

Obtención y almacenamiento de los

Respaldos de Información(BACKUPS)

LAS ACTIVIDADES DURANTE EL DESASTRE

Plan de emergencias: Señalización de los extintores. Cobertores contra

el agua.

Entrenamiento: Establecer un programa de prácticas periódicas

para el personal, en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le haya

asignado en los planes de evacuación de personal o equipos.

Formación de equipos: El personal de la Sub Dirección de Informática es el responsable del salvamento de equipos informáticos, de acuerdo a

la prioridad del equipo.

LAS ACTIVIDADES DESPUÉS DEL DESASTRE

Priorizar las actividades del plan de acción.: Si el plan de acción es general y contempla una pérdida

total

Ejecución de actividades:

Conformación de equipos de trabajo para realizar las actividades

previamente establecidas en el plan

de acción.

Evaluación de resultados: Concluida

la labor de recuperación del

sistema afectada por el siniestro, se debe

evaluar objetivamente, todas y cada una de las actividades realizadas.

Retroalimentación del plan de acción: Con la evaluación de

resultados, debe optimizarse el plan de

acción original.

Evaluación de los daños:

Inmediatamente después de concluido el siniestro, se deberá

evaluar la magnitud del daño producido.

CONCLUSIONES• Ante alguna debilidad sumada a una amenaza latente tenemos como

resultado un riesgo que puede causar consecuencias desagradables en toda organización ya que se pueden vulnerar barreras de seguridad, perdida de data o tener un mal manejo de decisiones que conlleven a una deficiente toma de decisiones, es por ello que se desarrolla y usa métodos y herramientas de gestión de riesgos que nos permiten poder prevenir dichos riesgos obteniendo resultados positivos a largo plazo.

1º Conclusión

• Los riegos siempre están presentes sea cual sea el enfoque con que se mire , la única forma que nos queda es gestionar estos riegos para mitigarlo y así evitar en el tiempo que los daños causados por estos sean graves para la organización o empresa.

2º Conclusión

• No hay espacio para la improvisación cuando se ejecuta un plan de recuperación, ya que cualquier decisión puede tener graves consecuencias tanto en el funcionamiento del negocio como en los costos asociados al proceso.

3º Conclusión

• La gestión de riesgos es aplicable en diversos tipo de rubros empresariales. Es de suma importancia para una empresa, puesto que pueden reducir la incidencia de fallas y amenazas contra la empresa.

4º Conclusión

RECOMENDACIONESEn nuestros tiempos ninguna empresa

no importando su tamaño ni importancia dentro de un mercado,

debe tener implementada la Gestión de Riesgos, ya que con ella podrá lograr

sus objetivos y metas planteadas de una manera eficiente y eficaz, además de

utilizar sus recursos más efectivamente..

Es importante realizar evaluaciones de riesgos cada cierto tiempo, puesto que las situaciones externas suelen cambiar en el tiempo y los planes que se tengan

ahora puede que no resulten para el mañana.Dar una correcta formación del

personal. Ya que este debe de cumplir su papel en momentos de crisis y

conocer perfectamente las tareas que se espera que desempeñe.Una buena identificación de los riegos

y una planeación efectiva son de mucha importancia en la actualidad con un

entorno tan cambiante donde cada día surgen nuevas amenazas para las

plataformas web 2.0..

MUCHAS GRACIAS