moduloiiix2.pdf

Haga clic para cambiar el estilo de ttulo

Haga clic para modificar el estilo de texto del patrn

Segundo nivel

Tercer nivel

Cuarto nivel

Quinto nivel

Curso de Seguridad de la InformacinEstructura y Organizacin de Gestin de Seguridad

1PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Agenda

Estructura y Organizacin de Gestin de Seguridad

El rea de Seguridad

Introduccin a la Administracin de Riesgos

Administracin de Riesgos de Seguridad de la Informacin



Segundo nivel

Tercer nivel

Cuarto nivel

Quinto nivelEl rea de Seguridad


Seguridad de la Informacin

La seguridad no es un conjunto de medidas que se toman por nica vez, sino un proceso dinmico en el que todos los actores juegan un rol permanente.

La seguridad debe abarcar las tres reas de incumbencia: GenteProcesosTecnologa

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad


La trada de la seguridad

La C-I-AConfidencialidad(Confidentiality)

Integridad(Integrity)

Disponibilidad(Availability)



Confidencialidad

Caractersticas:La informacin debe ser accedida solo por personal

autorizado.Prevenir el acceso no autorizado a informacin o datos.Se deber acompaar de algn tipo de cifrado de la

informacin

Amenazas:Hackers/ CrakersAccesos no autorizadosSniffing de redIngeniera Social



Integridad

Toda modificacin o destruccion de datos o informacin es realizada por personas autorizadas utilizando procedimientos autorizados.

Tenemos: Integridad de datos/ informacin Integridad del proceso de manipulacin de datos/ informacin

Se deber establecer a travs de tres principios bsicos: Need to know Access Separacin de responsabilidades Rotacin de roles



Disponibilidad

La informacin y datos se deben encontrar

disponibles cuando se necesiten.

Los usuarios requieren: La red de datos para trabajar. Contar con acceso a sus recursos de informacin en la red.

Amenazas: Ataques de Denegacin de Servicio Catstrofes humanas, naturales, tecnolgicas.



Seguridad de la Informacin

Se ocupa de proteger la informacin de la organizacin en cualquier forma en que se encuentre.

Debe velar por la transmisin, procesamiento y almacenamiento de la misma.



Seguridad de la InformacinSu lugar en la organizacin

Gerencia General

Sistemas / IT Gerencia 2 Gerencia 3

Auditoria

Seguridad de la

Informacin

Gerencia General


AuditoriaSeguridad

de la Informacin

Gerencia General


Auditoria

Seguridad de la

Informacin

10PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad 10Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Estructura Funcional del rea de Seguridad


Funciones del rea de Seguridad Modelo

Rol Principales Funciones

Operaciones de Seguridad -

Administracin de Accesos y Soporte

A/B/M de accesos y usuarios

Administracin de accesos remotos

Soporte de seguridad a plataformas (Unix, Windows, etc.)

Soporte al Proceso de Patch Management

Operaciones de Seguridad Revisin de LOGs y Gestin de Incidentes

Revisiones de logs de seguridad

Identificacin de potenciales incidentes

Soporte en la resolucin de problemas de seguridad


Funciones del rea de Seguridad Modelo (Cont.)


Cumplimiento y Gestin

Administracin de Matrices de Riesgo, mantenimiento de la clasificacin de activos de informacin

Monitoreo del cumplimiento regulatorio / de polticas y procedimientos

Mantenimiento de Mtricas de seguridad y Tablero de Comando

Desarrollo del Programa de Concientizacin y Capacitacin en seguridad

Desarrollo y Mantenimiento de polticas y procedimientos de seguridad

Mantenimiento de las matrices de Roles Funcionales de las Aplicaciones

Desarrollo y Mantenimiento del Plan de Contingencia / Plan de Continuidad de Negocio

Revisin trimestre/semestral/anual de los accesos a sistemas y recursos

Validacin de accesos para sistemas / recursos con administracin de seguridad delegada

Seguimiento de la Resolucin de Issues / Problemas de Seguridad identificados por Auditora



Ingeniera de Seguridad

Anlisis de Riesgo y Aspectos de Seguridad en Nuevos Proyectos (de Sistemas y/o de Negocio)

Desarrollo y Mantenimiento de estndares tcnicos de seguridad

Diseo de infraestructura de seguridad (redes, Internet, etc.)

Administracin matrices de flujos de informacin de Aplicaciones y Procesos crticos.

Investigaciones de seguridad sobre nuevos productos y/o sistemas implementados por la Gerencia de Sistemas

Investigacin sobre nuevos productos / sistemas que permitan mejorar la gestin de seguridad

Investigaciones de seguridad y respuesta ante incidentes

Soporte a Comunicaciones y a Desarrollo de Aplicaciones

Definicin de Estrategias de Resolucin de Vulnerabilidades

Mantenimiento y definicin de eventos de seguridad a registrar en LOGs

Funciones del rea de Seguridad Modelo (Cont.)


Roles y Responsabilidades

Gerencia General

Responsable final por la seguridad informtica de la compaa.ISSO (Information Systems Security Officer)

Responsable funcional por la seguridad informtica de la compaa.

Dueo de la informacin

Determina el nivel de clasificacin de la informacin.



Custodio

Preserva la Confidencialidad, Integridad y Disponibilidad (CIA) de la informacin.

Usuario/ Operador

Trabaja respetando las polticas, normas y procedimientos definidos.

Auditor

Evalua los controles de seguridad informtica y presenta recomendaciones a la alta gerencia.

Roles y Responsabilidades



Background checks

De que puede, potencialmente, prevenirnos un background check:?Juicios de parte de empleados despedidos.Juicios de 3ra partes o clientes por negligencia a la hora de

contratacin de personal.Empleados no calificados.Prdida de negocios y de ganancias.Prdida de tiempo de reclutamiento y entrenamiento.Robo, dao a propiedad de la compaa, fraude.Prdida de dinero (relacionada con la contratacin del empleado).Disminucin de la moral de los empleados.Juicios por violencia o acoso sexual.



Quin debe ser evaluado? Background checks deben ser realizados para toda posicin sensitiva en la compaa. Dentro del rea de seguridad informtica se incluyen:

Administradores de FirewallsAdministradores de e-commerceAdministradores de Kerberos/ SSOAdministradores de SecurID y operadores de cuentas de usuariosEtc.

Background checks



Contratos de Empleo

Debe contener una clusula de Non-compete.

Debe contener una clusula de Non-disclosure.

Deben existir restricciones a la distribucin de informacin corporativa en cualquiera de sus formas.



Contratacin y Despido

Polticas y Procedimientos definidos por RR.HH.Deben contemplar:

Cmo manejar la salida del empleadoDeshabilitacin/ borrado de cuentas de usuariosReenvo del e-mail y del voice-mailCambios en las cerraduras y cdigos de accesoModificacin de contraseas de sistemas relacionadas



Separacin de Tareas

El principio de separacin de tareas es aquel que determina que aquellas personas involucradas en la revisin/ anlisis de uso no autorizado de activos no debe estar en condicin de efectuar dicho uso no autorizado.

Quien controla no ejecuta. Nadie debe ser responsable de realizar una tarea que involucra

informacin sensitiva de principio a fin. Asimismo, un individuo no puede ser responsable de aprobar su propio trabajo.



Separar: Desarrollo de Produccin Seguridad de Auditora Cuentas a Cobrar de Cuentas a Pagar Administracin de Claves de Encripcin de Cambio de Claves

Conocimiento distribuido Claves de encripcin separadas en dos componentes, cada uno de los

cuales no permiten la obtencin del otro

Separacin de Tareas



Preguntas?Preguntas?



Segundo nivel

Tercer nivel

Cuarto nivel

Quinto nivelIntroduccin a la Administracin de Riesgos



Principales Trminos Utilizados

Las Organizaciones son cada vez ms dependientes de sus Sistemas y Servicios de Informacin, por lo tanto podemos afirmar que son cada vez ms vulnerables a las amenazas concernientes a su seguridad.

Por qu se incrementan en el tiempo? Crecimiento exponencial de las redes y usuarios interconectados Falta de madurez en las nuevas tecnologas utilizadas Existencia de numerosas herramientas automatizadas de ataques Etc.

Bsicamente:

Humanas

Ambientales

Naturales


Amenazas: Representan cualquier peligro potencial, los cuales pueden generar prdidas o daos a los activos de la Entidad.

Son materializadas por Agentes capaces de explotar las vulnerabilidades de seguridad existentes (puntos dbiles).



Principales Trminos Utilizados (Cont.)

Robo de informacin Hackers, Virus

Borrado de informacin crtica Ex-Empleados o empleados disconformes

Robo de activos del Banco Intrusos

Cules son las potenciales amenazas que podran afectar al banco? (Ejemplos)

Cules son los agentes que podran materializarlas?

Humanas

Ambientales

Naturales


Fuego Falla elctrica

Falta de electricidad Corte de suministro

Falla en los equipos Humedad, temperatura

Equipos arruinados Inundacin

Instalaciones arruinadas Terremoto

Personal interno no disponible Alerta meteorolgica




Vulnerabilidades: Representan debilidades o fallas en los controles, las cuales pueden facilitar que una amenaza sea materializada. Al ser explotadas, afectan la confidencialidad, disponibilidad e integridad de la informacin.

El objetivo de la seguridad de la informacin es impedir que las amenazas exploten las

vulnerabilidades existentes.

Qu vulnerabilidades podran identificar en su ambiente de

trabajo?

Ausencia de Antivirus Contagio de Virus

Falta de Guardias de Seguridad Robo de un activo de la Entidad

Ausencia de UPS Cadas de servicios ante cortes de energa




Riesgo: Es la probabilidad de que las amenazas se materialicen, a travs de la explotacin de las vulnerabilidades existentes, causando prdidas o daos a la Entidad, dado que ha sido comprometida la confidencialidad, integridad y/o disponibilidad de la informacin.

Qu factores determinan la probabilidad de ocurrencia de una amenaza?

Habilidad de la

amenaza

Motivacin

Controles Existentes



Ejemplos de los trminos utilizados

Robo de activos de la Entidad.Inexistencia de un guardia de seguridad, o falta de capacitacin de los mismos.

Intruso

Robo de informacin sensible del negocio.Fallas en los mecanismos de control de acceso.

Proveedor

Informacin sensible compartida a personas no autorizadas.

Modificacin no autorizada de los datos de entrada y/ o salida de las aplicaciones.

Falta de entrenamiento o de estandarizacin. Falta de auditora o monitoreo.

Empleado

Daos sobre las computadoras, personas o instalaciones causadas por un incendio.

Falta de extintores de incendio.Fuego

Funcionamiento inesperado del sistema.Errores en la parametrizacin del sistema operativo.

Administrador

Acceso no autorizado a informacin confidencial.

Servicio siendo ejecutado en un equipo con altos privilegios.

Hacker

Infeccin de virus.Falta de software antivirus.Virus

Lo cual resulta en la materializacin de esta amenaza:

Puede explotar esta vulnerabilidad:Agente

Hagamos un repaso de los trminos utilizados....



Resmen de trminos utilizados



Alternativas de Tratamiento de Riesgos

Una vez identificados los riesgos, existen las siguientes opciones de tratamiento:

Datos y activos de la Compaa

Controles Administrativos

Controles Tcnicos

Controles Fsicos

Tipos de Controles a implementar:

Asignarlos / Transferirlos -> Un tercero se hace cargo del control y/o los costos asociados al riesgo. Normalmente implica un costo a modo de cuota o pliza (por ej. Seguro, soporte 24x360).

Disminuirlos / Mitigarlos -> Se implementan controles para reducir la prdida y/o disminuir la probabilidad de ocurrencia.

Aceptarlos -> No se toman medidas.

Fsicos:

9Proteccin de las instalaciones,

9guardias de seguridad, 9candados, 9etc.

Tcnicos (Lgicos):

9acceso lgico, 9encriptacin, 9dispositivos de seguridad,

9etc

Administrativos:

9polticas, 9procedimientos, 9estndares, 9lineamientos, etc.



Controles de Seguridad

Controles de Seguridad: Son acciones llevadas a cabo o mecanismos implementados para reducir o eliminarvulnerabilidades.

Se pueden diferenciar los siguientes categoras de controles:

Preventivos: Utilizados para evitar la materializacin de una amenaza.

9Firewall9Candado

Detectivos: Utilizados para identificar la materializacin de una amenaza.

9Anlisis de LOGs9Intrusion Detection Systems

Recuperacin: Utilizados para recuperar un servicio o proceso.9Restauracin de una cinta de backup9Plan de Recuperacin ante Desastres Tecnolgicos (DRP)



Controles de Seguridad (Cont.)

Categoras de Controles (Cont.)

Correctivos: Utilizados para remediar un incidente y mitigar el dao prdida. Permite la restauracin de los controles.

9Limpieza de virus sobre un equipo infectado9Un guardia cerrando una puerta con llave que un empleado dejo abierta sin prestar atencin

Compensatorios: Representan una alternativa a otros controles. 9Monitoreo y supervisin9Procedimientos de manejo de personal

Disuasivos: Tienen como objetivo disuadir a las personas de violar una poltica de seguridad.

9Seal de prohibido el paso9Cmaras de seguridad


Diferentes niveles de control de

acceso al edificio

ReconstruccinExtinguidor de fuego

CCTV, alarmaCerca perimetralSeal de no traspasar

Fsico

Logging, CCTVCintas de backupsDesconexin de un

dispositivo, aislamiento

Logs, IDSLogin utilizando contraseas, IPS

Banner (mensaje) de advertencia

Tcnico

Rotacin de funciones, supervisin

DRPDespidoAnlisis de reportes de

violaciones de seguridad

Procedimiento de registracin de

usuarios

PolticasAdministrativo

CompensatorioRecuperacinCorrectivoDetectivoPreventivoDisuasivoCategoraTipo deControl


Relacin entre los Tipos y Categoras de Controles





Segundo nivel

Tercer nivel

Cuarto nivel

Quinto nivelAdministracin de Riesgos de Seguridad de la Informacin


Administracin de Riesgos de Seguridad

Aspectos Generales

No importa cuan seguro sea un sistema, siempre podr ser vulnerado si se utilizan suficientes:

Recursos - Tiempo - Motivacin

Entre los componentes de un sistema (personas, tecnologa, procesos), las personas son normalmente el componente ms fcil de vulnerar.

Los riesgos de seguridad existen desde el mismo momento en que un sistema es creado. La nica manera de tratarlo es a travs de la Administracin de Riesgos. No existe un ambiente 100% seguro, todos tienen un cierto nivel de vulnerabilidades y amenazas.

Los riesgos pueden ser reducidos, transferidos o aceptados, pero nunca eliminados. Los responsables de administrarlos deben ser capaces de reconocerlos, analizar su probabilidad de ocurrencia, su impacto, analizar las medidas de control posibles para mitigarlos y finalmente, priorizar la implementacin de dichas medidas, en base a las necesidades del negocio.



Proceso de Administracin de Riesgos

La Administracin de Riesgos de la Informacin es el proceso de identificar los riesgos existentes, reducirlos a un nivel aceptable e implementar los mecanismos adecuados para que el riesgo se mantenga en los niveles aceptados.

La administracin de riesgos de la informacin, es un subproceso dentro del proceso general de administracin de riesgos de la Entidad, el cual est directamente relacionado con la Poltica de Seguridad.

El proceso de Administracin de Riesgos estar regido por una Poltica de Administracin de Riesgos, la cual podra contemplar:

Nivel de riesgo que ser considerado aceptable para la Entidad. Los lineamientos bsicos para la identificacin de riesgos. Relacin existente entre la Poltica de Administracin de Riesgos y los

planes estratgicos de la Entidad. Relacin existente entre los riesgos identificados y los controles

internos. Relacin entre los riesgos e indicadores de rendimiento y

presupuestos.

Riesgo para la Organizacin, abarca mucho ms que aspectos de seguridad de la informacin



Flujo del Proceso de Administracin de Riesgos

El Proceso de Administracin de Riesgos de Seguridad estcompuesto por las siguientes etapas:

Anlisis de Riesgos: Identificar los activos y valuarlos Identificar vulnerabilidades y amenazas Determinar la probabilidad de ocurrencia y el impacto Identificar las contramedidas Evaluar costo beneficio de las contramedidas

Seleccin e Implementacin de Controles: Seleccionar contramedidas Priorizar la implementacin de las contramedidas Planificar la implementacin / Asignar Responsables Implementar Controles Determinar Riesgo Residual

Monitoreo y evaluacin de los Controles Implementados: Revisar / Monitorear la efectividad de los controles

Administracin de

Riesgos


Administracin de Riesgos

Anlisis de Riesgos:

Es una herramienta para la Administracin de Riesgos. Representa el mtodo utilizado para identificar las vulnerabilidades y las amenazas, derivar el posible dao o prdida y determinar donde implementar medidas de seguridad.

Principales Objetivos del Anlisis de Riesgos:

Identificar los activos de la Entidad y valuarlos. Identificar las vulnerabilidades y las amenazas. Cuantificar la probabilidad de ocurrencia y el impacto de dichas

amenazas. Documentar el anlisis comparativo entre el impacto de la

amenaza y el costo de las contramedidas (Costo-beneficio del control), el cual ser utilizado para seleccionar los controles ms convenientes.

En proyecto relevantes, esta actividad suele ser llevada a cabopor un equipo compuesto por personal de diferentes reas, de modo que se identifiquen mayor cantidad de riesgos. En caso que no sea posible la inclusin de las mismas, al menos deben ser tenidas en cuenta para las entrevistas.



Anlisis de Riesgos Enfoque:

Los pasos bsicos que se deben cumplir en una anlisis de riesgos contemplan:

Identificar y analizar las amenazas.

Identificar y valuar de los activos que se desean proteger.

Realizar un anlisis de vulnerabilidades.

Realizar la evaluacin de riesgos.

Establecer el criterio de aceptacin de riesgos.

Identificar controles que podran mitigar las vulnerabilidades identificadas.

Documentar un anlisis costo-beneficio de los mismos.



Anlisis de Riesgos Enfoque:

Al momento de realizar el anlisis de riesgos, se pueden utilizar dos enfoques, estos son:

Cuantitativo

Intenta asignar un valor real a todos los elementos involucrados en el anlisis de riesgos.

Se utilizan valores monetarios para evaluar el riesgo. No permite cuantificar todos los activos y todas las

amenazas posibles (Por ejemplo el impacto en la imagen de la Entidad).

Permite obtener una idea del riesgo y su correspondiente impacto monetario.

Cualitativo

Es ms subjetivo dado que se basa en categorizar las amenazas, los controles y su efectividad, de acuerdo a un sistema de puntuacin.

Con este enfoque se determina el riesgo relativo al entorno evaluado.

Permite determinar la severidad de los riesgos identificados, pero no asignarles valores monetarios en forma directa.

Es mucho ms sencillo de aplicar que el enfoque cuantitativo.


Principales pasos involucrados en el proceso:

1. Identificar y valuar los activos: Para cada activo que se desea proteger, las respuestas a las siguientes preguntas nos darn una nocin de su valor:

Cul es el valor de este activo para la Entidad? Cunto cuesta mantenerlo? Qu beneficio le brinda a la Entidad? Cunto vale para la competencia? Cunto costara recrearlo, reproducirlo, adquirirlo o desarrollarlo? Cules son las actividades operacionales y de produccin que se veran

afectadas si el activo no estuviese disponible?.

2. Estimar la prdida potencial por amenaza: Para estimar la prdida potencial ante una amenaza, responder las siguientes preguntas:

Qu dao fsico podra ocasionar y cuanto costara repararlo? Qu prdida de productividad podra ocasionar y cuanto costara? Cul es el valor de la prdida si se revela informacin confidencial? Cul es el costo de recuperarse del evento? Cul es el costo de falla de dispositivos o servicios crticos?


Anlisis de Riesgos Enfoque Cuantitativo (Cont.):

Calcular la Prdida Simple Estimada (SLE Simple Loss Expectancy) para cada activo y cada amenaza.




3. Analizar la probabilidad de ocurrencia de las amenazas:

Recabar informacin acerca de la probabilidad de ocurrencia de cada una de las amenazas en cada uno de los departamentos o reas de la Entidad, incluyendo registros histricos y fuentes oficiales que brindan este tipo de informacin.

4. Inferir la prdida total por amenaza y seleccionar las medidas de proteccin adecuadas:

Para inferir la prdida total asociada a una amenaza, combinar la prdida potencial (SLE) y la probabilidad de ocurrencia (ARO).

Seleccionar las medidas de proteccin adecuadas para cada amenaza.

Llevar adelante un anlisis costo-beneficio para las medidas seleccionadas.

Calcular la Tasa de Ocurrencia Anual (ARO Annualized rate ofocurrence), la cual representa la cantidad de veces que puede ocurrir cada amenaza en un perodo de 12 meses.

Calcular la Prdida Estimada Anual (ALE) por amenaza.




5. Reducir, Transferir o Aceptar el riesgo: Para cada riesgo, se deber optar por una de las 3 opciones:

Reduccin de Riesgos a travs de alguno de los siguientes mtodos:

Implementar controles y componentes de seguridad. Implementar/ mejorar procedimientos de seguridad. Proveer mtodos de deteccin temprana, para identificar las

amenazas al momento en que ocurren y reducir el posible dao que puedan ocasionar.

Desarrollar un plan de contingencia que detalle como seguir operando en caso que la amenaza ocurra, reduciendo el dao que la misma pueda ocasionar.

Llevar adelante un proceso de concientizacin de usuarios. Modificar el ambiente de procesamiento.

Aceptacin del riesgo: Vivir con el riesgo y no erogar dinero en protecciones adicionales.

Transferencia del Riesgo: Contratacin de seguros o soporte por parte de proveedores.



Anlisis de Riesgos Enfoque Cuantitativo:

Este enfoque utiliza dos elementos fundamentales:

El anlisis Cuantitativo utiliza un concepto que surge de la combinacinde ambos elementos, para calcular un valor denominado Expectativa de Prdida Anual (ALE Annual Loss Expectancy).

De esta manera, es posible tomar el valor del ALE para priorizar y poner atencin a determinados riesgos y su mitigacin.

La probabilidad de ocurrencia de un

evento

Dao o Prdidapotencial en caso de

ocurrencia.

X



Resumen de clculos necesarios... Factor de Exposicin (EF - Exposure Factor): Representa el el porcentaje de prdida sobre

un activo ante la ocurrencia de una amenaza.

Prdida Simple Estimada (SLE Simple Loss Expectancy): Es un monto ($) que representa la prdida ocasionada sobre un activo ante la ocurrencia de una amenaza.

Tasa de Ocurrencia Anual (ARO Annualized rate of ocurrence): Representa la tasa de ocurrencia de una amenaza en el transcurso de un ao.

Prdida Estimada Anual (ALE Annualized loss expectancy): Es un monto ($) que representa la prdida anual estimada por la ocurrencia de una amenaza determinada.

75.000325.00050%50.000RoboClave transaccional de cliente

5000,15.00025%20.000FuegoFile Server

Annual LossExpectancy

(ALE)

Annualized rate ofocurrence

(ARO)

Single LossExpectancy

(SLE)

Factor de Exposicin

(EF)

ValorAmenazaActivo


SLE = Valor del activo x EF

ALE = SLE x ARO



Principales desventajas del enfoque cuantitativo: Requiere la realizacin de clculos complejos. Podr la Alta Gerencia

comprender de donde fueron obtenidos los datos y cmo fueron calculados?

Sin la utilizacin de herramientas automatizadas, este proceso es extremadamente laborioso.

Necesidad de relevamiento de gran cantidad de informacin detallada acerca del ambiente de procesamiento: histrico de incidentes, costos, porcentajes, etc.

Falta de estandarizacin del proceso entre los diferentes proveedores del mercado. Cada uno tiene sus propias formas de interpretar los procesos involucrados y los resultados.

Difcil de inferir, ya que intenta asignar valores exactos a variables cualitativas.

Suele extenderse en el tiempo.




Anlisis de Riesgos Enfoque Cualitativo:

Este enfoque no asigna nmeros o montos ($) a los componentes y a las prdidas potenciales evaluadas.

En su lugar, este enfoque requiere el planteamiento y evaluacin de diferentes escenarios de riesgos posibles, para luego priorizar las amenazas segn el impacto y las diferentes contramedidas segn su efectividad y eficiencia.

Las tcnicas de anlisis cualitativo se basan en el criterio del evaluador, mejores prcticas, intuicin y experiencia.

Entre las tcnicas ms utilizadas para llevar adelante este enfoque se incluyen:

Brainstorming (Lluvia de ideas).

Storyboarding.

Focus Groups.

Cuestionarios.

Checklists.

Entrevistas.

Delphy

Etc.

El equipo de administracin de riesgo determinar las tcnicas apropiadas y el personal involucrado para la evaluacin de los diferentes escenarios.



Anlisis de Riesgos Enfoque Cualitativo (Cont.):

Principales pasos involucrados en el proceso:

1. Descripcin de los escenario y de las amenazas: Se describe en detalle cada uno de los escenarios para cada una de las amenazas. El o las personas ms familiarizadas con ese tipo de amenaza validan que se hayan tenido en cuenta todas las variables.

2. Anlisis de contramedidas: Se evalan las contramedidas que podran reducir el impacto de la amenaza, y se reproduce el escenario para cada una de las contramedidas.

3. Establecer la escala de prioridad: El factor de exposicin y la prdida posible pueden ser estimados utilizando escalas como Alto Medio Bajo o 1-2-3-4-5.

4. Asignacin de valores: El personal seleccionado debe establecer para cada amenaza: La probabilidad de ocurrencia, la prdida potencial, y las ventajas/ desventajas de cada contramedida.

5. Documentacin de las tareas de anlisis: El Equipo de Administracin de Riesgos documenta los escenarios y controles planteados y los resultados simulados de la evaluacin de los mismos.




Caso prctico: Situacin: Un rea de negocio ha planteado que:

Un socio comercial debe acceder a un servidor crtico de la Entidad para realizar consultas especficas y ha solicitado que se le brinde soporte para evaluar los riesgos y escoger la solucin costo-beneficio ms apropiada.

El acceso se realizar desde Internet.

Cmo respondera al requerimiento? (Utilizar un enfoque cualitativo y los indicadores que se presentan en la figura).

Cmo planteara el anlisis con un enfoque Cuantitativo?



Principales desventajas del enfoque cualitativo: Las inferencias y los resultados son subjetivos.

No contempla el poder asignar valores monetarios ($) que puedan ser utilizados para el anlisis de costo-beneficio objetivo. Provee indicadores generales de riesgo.

Falta de estandarizacin del proceso entre los diferentes proveedores del mercado. Cada uno tiene sus propias formas de interpretar los procesos involucrados y los resultados.




Anlisis de Riesgos Enfoque Cualitativo vs. Cuantitativo:

Principales Caractersticas:

XMuestra los costos en trminos exactos para un perodo de un ao.

XContempla la opinin de las personas que ms conocen el proceso.

XUtiliza mtricas objetivas y verificables.

XFacilita un anlisis costo-beneficio creble / sustentable.

XUsado para evaluar el rendimiento del proceso de administracin de riesgos.

XEs ms fcil de evaluar.

XProvee indicadores y reas generales de riesgos

XRequiere un alto grado de anlisis subjetivo o guesswork.

XRequiere clculos complejos.

XRequiere clculos simples.

Mtodo Cualitativo

Mtodo Cuantitativo

Atributo



Seleccin e Implementacin de Controles:

Una vez que se ha llevado a cabo el Anlisis de Riesgos y se ha documentado el anlisis Costo-Beneficio, se deber proceder a seleccionar e implementar los controles ms apropiados para la Entidad.

Principales Objetivos de la seleccin e implementacin de controles:

Identificar los controles ms convenientes a ser implementados,en funcin de la relacin costo-beneficio y del nivel de riesgo que se desee asumir.

Priorizar y planificar la implementacin de los controles. Identificar y asignar responsabilidades en la implementacin

para asegurar el xito de la tarea. Implementar los controles seleccionados.

Para lograr el xito y la alineacin estratgica de esta actividad crtica, se deber contar con el soporte de losmximos responsables de todas las reas involucradas en el proceso.



Evaluacin de las contramedidas: Se deben seleccionar las contramedidas en base al resultado del anlisis costo-beneficio de las mismas.

El costo de una contramedida es mucho ms que el valor de la orden de pago. Los siguientes elementos deben ser evaluado al momento de inferir el verdadero costo de una contramedida: Costo del producto.

Costo del diseo/ planificacin de la solucin.

Costo de implementacin.

Modificaciones necesarias en el ambiente para la implementacin.

Compatibilidad con otras contramedidas.

Requerimientos de mantenimiento.

Requerimientos de soporte, actualizacin o reparacin.

Costos de operacin.

Efectos sobre la productividad/ funcionalidades del negocio.

Seleccin e Implementacin de Controles (Cont.):



Monitoreo / Evaluacin Continua de los Controles:

Como etapa final del proceso de administracin de riesgos, se debe velar por el cumplimiento de los controles establecidos para reducir los riesgos a un nivel aceptable e implementar los mecanismos adecuados para que el riesgo se mantenga en los niveles aceptados.

Los principales objetivos del monitoreo y la evaluacin de controles son:

Asegurar que los controles definidos se encuentren implementados.

Que dichos controles estn operando en forma efectiva. Que se mantengan en el tiempo. Que no se hayan generado nuevas amenazas o

vulnerabilidades, a las identificadas en la evaluacin inicial.

Riesgo Residual vs Riesgo Total: La razn por la que se implementan las contramedidas es para reducir el Riesgo Total a un nivel aceptable. Sin embargo, ningn ambiente es 100% seguro, lo cual implica que siempre queda un margen de riesgo. Dicho margen es llamado Riesgo Residual.



El proceso de administracin de riesgos es crucial para todas las Organizaciones.

Debe aplicarse un enfoque de arriba hacia abajo.

Debe estar alineado a los objetivos del Negocio.

Deben utilizarse trminos entendibles para la Gerencia (costo-beneficio, etc.).

El proceso de anlisis de riesgos debe ser continuo. Es la nica manera de estar seguros que las medidas de proteccin continan siendo efectivas y eficientes.

Anlisis de Riesgos Conclusiones Finales:



moduloiiix2.pdf

Documents