proyecto entrega ii análisis de riesgos finagro

ENTREGA II

PROYECTO - ANALISIS DE RIESGOS DE LA INFORMACIN EMPRESA FINAGRO

ESPECIALIZACIN EN SEGURIDAD DE LA INFORMACIN

ANALISIS DE RIESGOS DE LA INFORMACION

Ing. Jhonny Oramas Gonzlez INGENIERO DE SISTEMAS

ESTUDIANTES: ADALBERT ESPAA

VICTOR MANUEL HURTADO PALACIO

POLITECNICO GRAN COLOMBIANO BOGOTA D.C., MARZO 02 DE 2015

Tabla de contenido INTRODUCCION3 1. CONTEXTO DE LA EMPRESA...4 1.1. MISION.4 1.2. VISION..4 1.3. VALORES Y PRINCIPIOS4 1.4. PRINCIPIOS CORPORATIVOS..4 1.5. PENSAMIENTO ORGANIZACIONAL.4 1.6. PRODUCTOS Y SERVICIOS5.6.7 1.7. ORGANIGRAMA FINAGRO.8 2. PLANTEAMIENTO DEL PROBLEMA.9 3. DESARROLLO DE METODOLOGIA10 3.1. ESTABLECER EL CONTEXTO...10.11 3.2. IDENTIFICACION DE ACTIVOS...12 3.3. DEFINICION DE CRITERIOS DE EVALUACON DE RIESGOS..........13.14.15 3.4. MATRIZ DERIESGO16

INTRODUCCION

El Fondo para el Financiamiento del Sector Agropecuario FINAGRO es un banco de segundo piso, es decir no financia directamente sino que lo hace a travs de los intermediarios financieros vigilados por la Superintendencia Bancaria. Fue fundado el 22 de enero de 1990 y naci de la necesidad del sector rural colombiano de tener una entidad autnoma y especializada que manejara los recursos de crdito para el sector rural, dispersos en varios organismos que los asignaban como una variante de la poltica macro econmica, en manos del Banco de la Repblica.1

De Acuerdo a lo anterior FINAGRO viene evolucionando desde su nacimiento tanto es sus productos y servicios como en el rea tecnolgica, convirtindose en una de las entidades estatales de mayor proyeccin en el pas, con un aumento en sus activos un valor de 8 billones de pesos en el Ao 2013, lo que nos impulsa a generar un anlisis de riesgos para dos reas importantes dentro de la Empresa. GERENCIA DE TECNOLOGIA VICEPRESIDENCIA FINANCIERA

1 http://www.encolombia.com/economia/economiacolombiana/emp-turisticos/fondoparaelfinanciamientodelsector/

4

1. CONTEXTO DE LA EMPRESA

1.1. MISIN Contribuir al desarrollo integral, competitivo y sostenible del sector rural, facilitando el acceso al financiamiento y a los dems instrumentos de apoyo establecidos en la poltica pblica.2

1.2. VISIN Ser la institucin financiera lder en la gestin del desarrollo rural colombiano con clase mundial.3

1.3. VALORES Y PRINCIPIOS Valores Corporativos: Respeto, Responsabilidad, Compromiso, Objetividad e Innovacin.4 1.4. PRINCIPIOS CORPORATIVOS Principios Corporativos: Lealtad, Transparencia y Honestidad.5

1.5. PENSAMIENTO ORGANIZACIONAL

Somos respetuosos de la constitucin, las leyes y dems normas que nos regulan.6

El centro de nuestra gestin es el ser humano, promovemos el desarrollo del potencial de nuestro equipo y procuraremos las mejores condiciones de vida para todos.7

2 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 3 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 4 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 5 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 6 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 7 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional

5

En las diferentes actividades generamos valor para asegurar la viabilidad y sostenibilidad financiera.8

Somos optimistas, proactivos y trabajamos con pasin, disciplina y compromiso para construir un mejor campo para Colombia.9

1.6. PRODUCTOS Y SERVICIOS

PRODUCTOS Y SERVICIOS10 DESCRIPCION

Recursos para Crdito

Crdito Agropecuario y Rural Lneas de Crdito Programas Especiales Exportadores 2008-2009

Incentivos

ICR - Incentivo a la Capitalizacin Rural ISA - Incentivo al Seguro Agropecuario CIF - Certificado de Incentivo Forestal IAT - Incentivo a la Asistencia Tcnica

FAG Respaldo con Garantas

Fondo cuyo objetivo es respaldar los crditos redescontados ante FINAGRO o concedidos en condiciones FINAGRO con recursos propios de los intermediarios financieros vigilados por la Superintendencia Financiera de Colombia.

PRAN y FONSA Carteras Administradas PRAN FONSA Legislacin

Programa de Asociatividad Cursos Virtuales.

Microcrdito Rural Es un producto de crdito administrado por Finagro cuyo objeto es

promover el acceso de la poblacin rural al sistema financiero como estrategia para combatir la pobreza en el sector.

8 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 9 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 10

https://www.finagro.com.co/productos-y-servicios/TDAs

6

PRODUCTOS Y SERVICIOS10 DESCRIPCION

Programas de Coberturas

El programa es manejado por FINAGRO mediante el Sistema Electrnico del Programa de Coberturas - SEPC, el cual es un aplicativo WEB que agiliza la inscripcin de los participantes, toma de coberturas, registro de facturas y compensacin de las coberturas.

Informacin Sectoral

Recursos Hdricos

Este incentivo apoya la Ejecucin de Proyectos Asociativos de Adecuacin de Tierras (IEPAT) as como para la Elaboracin de Estudios y Diseos de Proyectos Asociativos de Adecuacin de Tierras (EDAT).

Inversiones

Este incentivo apoya la Ejecucin de Proyectos Asociativos de Adecuacin de Tierras (IEPAT) as como para la Elaboracin de Estudios y Diseos de Proyectos Asociativos de Adecuacin de Tierras (EDAT).

Ttulos de Desarrollo Agropecuario

Esta seccin est dirigida a los intermediarios financieros, en la que podrn encontrar toda la informacin normativa y operativa necesaria para cumplir con el nivel requerido de inversin en Ttulos de Desarrollo Agropecuario TDAs, de acuerdo con la Carta Circular publicada trimestralmente por la Superintendencia Financiera de Colombia.

Cuadro 1

8

1.7. Organigrama FINAGRO

Figura 1

9

2. PLANTAMIENTO DEL PROBLEMA

La Estructura Organizacional de FINAGRO se compone de:

1 Junta Directiva

1 Oficina de Presidencia

1 Oficina de Secretaria General

1 Oficina de Control Interno

4 Oficinas de Carcter Gerencial: Gerencia Planeacin Gerencia de Tecnologa Gerencia Comercial Gerencia Administrativa

4 Oficinas de Vicepresidencias

22 Direcciones que componen las anteriores reas

Teniendo en cuenta la Misin y Visin de la entidad, es de suma importancia generar un anlisis de riesgos a la Gerencia de Tecnologa ya que esta es la responsable de garantizar la Disponibilidad, Integridad y Confidencialidad de la informacin. Ya que como principal activo y en caso de una prdida parcial o total de la misma, pondra en riesgo el normal funcionamiento de la entidad, al igual que un anlisis de riesgos a la Vicepresidencia Financiera.

3. DESARROLLO DE LA METODOLOGIA

De acuerdo a lo anterior proponemos que se emplee una metodologa basada en diferentes tcnicas y sugerencias que se encuentran en diferentes publicaciones: ISO/IEC27005 la cual nos ayuda a la identificacin los riesgos de la seguridad de la informacin, de igual manera la ISO/31000 la cual nos gua para la generacin de un Anlisis de Riesgos; buscando contrarrestar las amenazas y vulnerabilidades y de esta manera minimizar las posibles riesgos; esta utiliza una metodologa cuantitativa de 5 x 5 (5 Probabilidades X 5 Impactos), con el fin de evaluar el nivel de riesgo en que se encuentra un activo.

10

Dicho nivel de riesgo ser calificado de 1 a 4 siendo 1 el nivel ms bajo y 4 el nivel extremo; para dar la valoracin correspondiente al riesgo, tomaremos el valor de la probabilidad de que el riesgo se active segn criterio de los analistas contra el valor del impacto consolidado el cual ser el resultado mayor del estudio generado a dicho riesgo en cuanto el Impacto Financiero, Reputacional y Legal dentro de los 3 principios de la Seguridad de la Informacin, posterior a esto nos situamos en la matriz de calor y ubicamos segn los resultados de PROBABILIDAD e IMPACTO CONSOLIDADO el nivel de riesgo; posteriormente iniciamos la implementacin de los controles y seguido valoramos la efectividad de los mismos a travs del anlisis del riesgo residual.

3.1. ESTABLECIMIENTO EL CONTEXO

Caracterizacin de los escenarios seleccionados

Gerencia de Tecnologa: La Gerencia de Tecnologa se encuentra dividida en 4 direcciones

Direccin de Operaciones Tecnolgicas

Direccin de arquitectura empresarial

Direccin de ingeniera y software

Direccin de procesos

Procedimientos De Administracin De Inventarios

Definicin de un plan estratgico

Administracin de firewall y seguridad

Procedimientos de redes y conectividad

Gestin De Backups Centro De Datos

Creacin de polticas y normas

Servicios del sistema de informacin presupuestal

Procedimiento del centro de atencin al usuario mesa de ayuda

Gestin De Backups De Servidores

Establecimiento y asignacin de actividades

Bases de datos Procedimiento De Administracin Del Portal Institucional

Mantenimiento preventivo de hardware y software

Desarrollo y actualizacin de objetos de una base de datos

Procedimientos De Soporte Tcnico

11

Direccin de Operaciones Tecnolgicas

Direccin de arquitectura empresarial

Direccin de ingeniera y software

Direccin de procesos

Mantenimiento correctivo de hardware y software

Distribucin de puntos de conexin fsicos a la red

Procedimientos de administracin de inventarios

Procedimientos De Administracin De Inventarios

Administracin de firewall y seguridad

Procedimientos de redes y conectividad

Gestin De Backups Centro De Datos

Servicios del sistema de informacin presupuestal

Procedimiento del centro de atencin al usuario mesa de ayuda

Cuadro 2

Vicepresidencia Financiera: Esta rea se divide en tres direcciones

Direccin de tesorera Direccin de contabilidad Direccin de Cartera

Procedimientos de recaudo Crditos Agropecuarios Administracin de la informacin financiera

Manejo de los sistemas financieros Cobro de Carteras Establecimiento de normas y polticas

Cuadro 3

12

3.2. IDENTIFICACION Y VALORACION DE LOS ACTIVOS INFORMACION SELECCIONADOS

AREA CONFIDENCIALIDAD INTEGRIDAD DISONIBILIDAD

Descripcin del Activo de

Informacin

Responsable del Activo de Informacin

Contenedores Custodios Gerencia de Tecnologa

Copias de Seguridad de la Informacin

Financiero = 3 Financiero = 2 Financiero = 3 Tipo Activo: INFORMACION Este Activo Contiene el Respaldo de la Informacin Base de Empresa, ya sea Informacin Suministrada por Otras Organizaciones e Informacin Nueva que se genera en Cada una de las reas

Direccin de Ingeniera y Software

Servidor de Backup / Disco Duro Extrable /

Gerencia de Tecnologa - Empresa Tercerizada para la Custodia y Seguridad de los Backup

Reputacional = 4 Reputacional = 2 Reputacional = 4

Legal = 3 Legal = 2 Legal = 3

4 2 4

Centros de Datos

Financiero = 4 Financiero = 3 Financiero = 4

Tipo Activo: INFRAESTRUCURA Aloja toda la Infraestructura Tecnolgica de Primer Nivel de la Empresa

Direccin de Ingeniera y Software

Rack de Servidores Generadores de Backup / Servidores de Produccin de la Informacin / Servidores de Respaldo de los Backup

Gerencia de Tecnologa



4 4 4

13

AREA CONFIDENCIALIDAD INTEGRIDAD DISONIBILIDAD

Descripcin del Activo de Informacin

Responsable del Activo de Informacin

Contenedores Custodios

Vicepresidencia Financiera

Tipo Activo: INFORMACION Este Activo se Refiere a toda la Informacin que se Genera de todo el Proceso de Crdito Agropecuario y Rural


Servidor de Produccin del rea de Cartera / Equipos de Cmputo del rea


Informacin de Cartera

Financiero = 4 Financiero = 3 Financiero = 4



4 3 3

Crdito Agropecuario y Rural

Financiero = 3 Financiero = 3 Financiero = 4 Tipo Activo: INFORMACION Este Activo se Refiere a toda la Informacin que se Genera de todo el Proceso de Crdito Agropecuario y Rural


Servidor de Produccin del rea de Cartera / Equipos de Cmputo del rea




3 3 4

Cuadro 4

Los Activos de Informacin que se seleccionaron para llevar el presente anlisis de riesgos, se seleccionaron debido a la gran importancia que representa cada uno de ellos en sus reas respectivas; estos fueron valorados con el fin de brindarnos una visin de cual importante es dicho activo en trminos de seguridad.

Los Activos se valoran teniendo en cuenta las tablas de Impacto Financiero, Reputacional y Legal, las cuales se encuentran en el punto 3.4.

14

3.3. IDENTIFICACION DE AMENAZAS Y VULNERABILIDADES

Estas fueron las amenazas y vulnerabilidades que se identificaron en el proceso de anlisis de riesgos, para nuestros activos previamente seleccionados.

ACTIVO AMENAZAS VULNERABILIDADES


Falta de Electricidad en el Momento de Generar los Backup

Insuficiencia en Herramientas Auxiliares Generadoras de Corriente Elctrica- UPS, Planta Elctrica

Prdida Fsica de los Backup Malas Prcticas en la Cadena de Custodia por Parte de la Empresa Tercerizada para este Proceso

Fallo en los Discos Duros donde se Alojan los Backup

Falta de Mantenimiento Preventivo a los Servidores Utilizados para Alojar los Backup

Borrado Accidental de los Backup Acceso Lgico NO Restringido a los Servidores - Generadores de Backup

Centros de Datos

No Existe un Control de Acceso Fsico Adecuado

Fcil Acceso de Personal No Autorizado

No se Cuenta con un Adecuado Sistema de Climatizacin

Dao Constante del Sistema de Climatizacin

Dao a la Estructura Fsica por Causa de Catstrofes Naturales

No Contar con un Plan de Contingencia


Violacin a los Protocolos de Seguridad del Sistema de Informacin

Conexin de Dispositivos Desconocidos a Equipos de la Red - USB - Discos Duros - Telfonos Mviles


Disminucin de los Clientes Probables Alzas en las tasa de Inters No Autorizadas en el Sistema de Clculo de Crditos

Disminucin de los Clientes Personal No Capacitado

Cuadro 5

15

3.4. DEFINICION DE CRITERIOS DE EVALUACION DE RIESGOS

Probabilidad: Se determin la siguiente escala de valores como herramienta para determinar la probabilidad de que una amenaza se materialice.

Cuadro 6

Probabilidad Residual: Se determin la siguiente escala de valores como herramienta para determinar la probabilidad Residual de que una amenaza se materialice despus de haber puesto unos controles.

Cuadro 7

PROBABILIDAD

NIVEL DESCRIPTOR DESCRIPCION DETALLADA

1 Raro Puede ocurrir solamente en circunstancias excepcionales

2 Poco Probable Podra ocurrir en algunas veces

3 Posible Es posible que ocurra en algunas veces

4 Probable Puede probablemente ocurrir en la mayora de las circunstancias

5 Casi Cierto Se espera que ocurra en la mayora de las circunstancias

PROBABILIDAD - RESIDUAL


1 Improbable La Amenaza Nunca se ha Materializado, Pero No se Descarta su Ocurrencia

2 Remoto La Materializacin de la Amenaza Ocurre una vez Cada Semestre

3 Ocasional La Materializacin de la Amenaza Ocurre una vez Cada Trimestre

4 Frecuente La Materializacin de la Amenaza Ocurre una vez Cada 15 Das

5 Inminente La Materializacin de la Amenaza Ocurre Diariamente

16

Impactos: Se determin la siguiente escala de valores como herramienta para determinar la severidad en caso de que una Amenaza se materialice, estos valores fueron previamente analizados, conciliados y autorizados por la ala gerencia.

IMPACTO


1 Insignificante Sin Perjuicios

2 Menor Se Contuvo Inmediatamente, Perdida Financiera Media

3 Moderada Requiere Atencin Inmediata de los Directivos de rea, Requiere Tratamiento, Perdida Financiera Alta

4 Mayor Requiere Atencin Inmediata de los Altos Directivos, Perdida Financiera Mayor

5 Catastrfica Enorme Perdida Financiera, Sin Posibilidad Alguna de Recuperacin Financiera

Cuadro 8

IMPACTO FINANCIERO


1 Insignificante Perdidas Hasta $100.000.000.oo

2 Menor Perdidas Hasta $600.000.000.oo

3 Moderada Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo

4 Mayor Perdidas Entre $5.000.000.000.oo - $7.000.000.000.oo

5 Catastrfica Prdidas Superiores a $7.000.000.000.oo

Cuadro 9

17

IMPACTO REPUTACIONAL


1 Insignificante la causa es de conocimiento del personal del rea, no afecta en nada la imagen de la empresa a nivel de los clientes

2 Menor la causa es de conocimiento de la Direccin del rea, no afecta en nada la imagen de la empresa a nivel de los clientes

3 Moderada la causa es de conocimiento de la presidencia o de la junta directiva, no afecta la imagen de la empresa a nivel de los clientes

4 Mayor la causa es de conocimiento de los clientes, afectando la imagen de la empresa entre sus clientes

5 Catastrfica la causa es de conocimiento general en el sector y es publicado por los medios comunicacin Nacional e Internacionales, lo que afecta la imagen de la empresa a nivel del pas y el mundo en todos los mbitos

Cuadro 10

IMPACTO LEGAL


1 Insignificante Investigacin Laboral Disciplinaria para la Persona Directamente Implicada

2 Menor Sancin Laboral para la Persona Directamente Implicada

3 Moderada Sancin Disciplinaria para todo el Personal y Director del rea Directamente Responsable

4 Mayor Investigacin Disciplinaria y Penal para la Empresa por parte de los entes de Control

5 Catastrfica Sancin Disciplinaria, Penal e Intervencin y Cierre de la Empresa por Parte de los Entes de Control

Cuadro 11

18

Clasificacin de los Riesgos: La clasificacin del riesgo tiene como objetivo determinar el grado de criticidad que presenta el mismo y as determinar los controles necesarios para mitigar dicho riesgo.

CALIFICACION DE RIESGOS


1 B = BAJO La Ocurrencia del Evento Tendra Consecuencias Leves, Tolerables por la Empresa, se Puede Gestionar Mediante Procedimientos de Rutina, en Caso de Presentarse No Desestabiliza la Empresa

2 M = MEDIO En Caso de Presentarse Ocasionara Consecuencias que Superan el Nivel de Tolerancia de la Organizacin, Debe ser Gestionado con Controles para Disminuir su Impacto o la Frecuencia de Ocurrencia

3 A = ALTO En Caso de Presentarse Ocasionara Consecuencias Financieras y Operacionales de Impacto Severo o Significativo para la Organizacin , es Necesaria la Atencin Inmediata de los Altos Directivos o Gerencia

4 E = EXTREMO

Su Ocurrencia Ocasionara Consecuencias Financieras y Operacionales de Impacto Catastrfico para la Organizacin, Debe Gestionarse con Mecanismos para Evitar su Ocurrencia o Transferir el Riesgo a Terceros, Dispersar el Riesgo y Reducir su Impacto o Frecuencia de Ocurrencia

Cuadro 12

19

Mapa de Riesgos: La Matriz de Riesgo se presenta con las escalas de Probabilidad e Impacto definidas y valoradas previamente.

MATRIZ DE RIESGOS

IMP

AC

TO

5 M A E E E

4 M A A E E

3 B M A E E

2 B B M A E

1 B B M A A

1 2 3 4 5

PROBABILIDAD

Cuadro 13

o Color Verde: Indica Riesgos de valoracin Baja o Color Amarillo: Indica Riesgos de Valoracin Media o Color Naranja: Indica Riesgos de Valoracin Alta o Color Rojo: Indica Riegos de Valoracin Extrema

20

4. MATRIZ DE RIESGO

Observar la Matriz Completa Archivo de Excel

5. Matriz Riesgo Inherente: Nos muestra la escalabilidad o valoracin de los Riesgos respecto a la Amenaza

Cuadro 14

21

6. CONTROLES ESTABLECIDOS PARA MITIGAR EL RIESGO

Se establecieron controles para cada uno de los riesgos identificados, con el objetivo de mitigar o minimizar dichos riesgos, a medida que estos controles sean eficientes, el indicador del riesgo inherente tiende a disminuir.

DESCRIPCIN DEL RIESGO Nombre Control Tratamiento Descripcin Tratamiento Tipo de Control

Clase de Control

No Generacin del Backup Disponibilidad Contar con Polticas y Metodologa para la Asignacin de Recursos Econmicos

Reducir

Reducir el Riesgo Mediante la Adquisicin de Infraestructura (UPS - Plantas Elctricas)

Preventivo Automtico La No Generacin del Backup por Falta de Fluido Elctrico por Falta de Mantenimiento y Adquisicin de Herramientas Auxiliares Generadoras de Corriente Elctrica- UPS, Planta Elctrica

Prdida Fsica de los Backup de la Informacin

Disponibilidad

Desarrollar e Implementar Polticas de Seguridad

Compartir

Compartir el Riesgo Mediante Asignacin de Varias Personas para el Cumplimiento de las Polticas de Seguridad a Desarrollar

Preventivo Manual Prdida Fsica Total o Parcial de Backup por Falta de Polticas de Seguridad

Prdida Lgica de los Backup de la Informacin

Disponibilidad Generar Polticas de Mantenimientos Preventivos y Correctivos a los Servidores que Alojan los Backup

Reducir

Reducir el Riesgo Mediante el Cumplimiento Oportuno de las Polticas Creadas para la Realizacin de los Mantenimientos Preventivos y Correctivos

Preventivo Manual Prdida Lgica Total o Parcial de Backup por falta de Generar un Plan de Mantenimiento Preventivo a los Servidores que Alojan los Backup de Informacin

22


Clase de Control


Disponibilidad Definir y Verificar el Cumplimiento de las Polticas de Acceso Lgico a Servidores Generadores de Backup

Reducir

Reducir el Riesgo, Implementando y dando Cumplimiento a Dichas Polticas

Preventivo Manual Prdida Lgica Total o Parcial de Backup por falta de No tener un Adecuado Control de Acceso a los Servidores generadores de Backup de Informacin

Hurto o Prdida de los Equipos Tecnolgicos

Confidencialidad Implementar un Sistema Automtico de Control de Acceso - Cmaras y Sistemas de Circuito Cerrado, Sistema de Tarjetas RFID, Alarmas, Entre Otras

Reducir

Reducir el Riesgo Mediante la Adquisicin e Implementacin de un Sistema Automtico de Control de Acceso Fsico

Preventivo Automtico Hurto de Prdida de Equipos Tecnolgicos por No tener un Adecuado Control de Acceso Fsico al Centro de Datos

Daos en los Equipos Tecnolgicos de Primer Nivel

Integridad Implementacin de un Sistema de Ambiente Controlado en el Centro de Datos

Transferir

Se Transfiere el Riesgo a una Empresa Especializada en la Implementacin y Mantenimiento de Ambientes Controlados en Datacenter

Correctivo Automtico Daos en los Equipos Tecnolgicos de Primer Nivel por Mala Variacin de Temperatura y Humedad

Tiempo de Restauracin de los Sistemas de Informacin

Integridad - Disponibilidad Desarrollo e Implementacin de un Plan de Contingencias

Reducir

Reducir el Tiempo de Restauracin de los Sistemas de Informacin, con el Desarrollo e Implementacin del Plan de Contingencias

Preventivo Manual Demora en la Restauracin de los Sistemas de Informacin de la Empresa, debido a que NO se tiene un Plan de Contingencia

Hurto de Informacin Financiera

Confidencialidad Generar Polticas de Seguridad para la Prevencin de Hurto de Informacin a travs de Dispositivos de Almacenamiento Extrable

Reducir

Reducir el Hurto de Informacin a travs de la Implementacin de las Polticas Generadas para tal Fin

Preventivo Manual Hurto de Informacin Financiera de los Equipos de Cmputo del rea a travs de Dispositivos de Almacenamiento Extrable, No se tienen Controles de Seguridad en el rea

23


Clase de Control

Disminucin de Ingresos Eficiencia Generar Polticas para el Control de Roles a Usuarios del Sistema de Crdito

Reducir

Reducir el Riesgo en la Autorizacin de los Roles a Usuarios Mediante la Aplicacin de las Polticas

Preventivo Manual Disminucin de Ingresos Econmicos, Debido al Aumento de las Tasas de Inters Sin Previa Autorizacin en el Sistema de Clculo de Crditos

Desventaja Competitiva Integridad - Confiabilidad Generar Polticas para la Seleccin, Capacitacin y Autorizacin del Personal Apto

Reducir

Reducir el Riesgo Mediante el Cumplimiento de las Polticas para la Contratacin del Personal

Preventivo Manual Prdida y Modificacin de la Informacin por Personal No Apto ni Autorizado, afectando la Integridad de la Informacin de Crditos Agropecuarios y Rural

Cuadro 15

Los controles implementados para los riesgos descritos, se basan en Polticas de Seguridad, al igual que la adquisicin e implementacin de elementos tecnolgicos que nos ayudaran a minizar los riesgos mencionados para cada uno de los activos seleccionados; estos nos permitirn analizar la efectividad y el cumplimiento de las medidas tomadas mediante dichos controles, y as determinar los pasos a seguir segn el resultado de riesgo residual.

24

7. MATRIZ RIESGO RESIDUAL

Resultado del Grado de Efectividad que apliquen los controles establecidos a los Riesgos Inherentes, A partir de este resultado el grupo de trabajo de Seguridad de la Informacin podr determinar si se contina con el proceso, fortaleciendo los controles existentes o implementando nuevos controles; o por el contrario se abandona la actividad.

Cuadro 16

25

DESCRIPCIN DEL RIESGO

Riesgo Inherente Nivel del

Riesgo Inherente

Controles Riesgo

Residual

Nivel del Riesgo

Residual

No Generacin del Backup M = MEDIO 2 Contar con Polticas y Metodologa para la Asignacin de Recursos Econmicos

B = BAJO 1


E = EXTREMO 4 Desarrollar e Implementar Polticas de Seguridad M = MEDIO 2


M = MEDIO 2 Generar Polticas de Mantenimientos Preventivos y Correctivos a los Servidores que Alojan los Backup

B = BAJO 1


M = MEDIO 2 Definir y Verificar el Cumplimiento de las Polticas de Acceso Lgico a Servidores Generadores de Backup

B = BAJO 1


B = BAJO 1 Implementar un Sistema Automtico de Control de Acceso - Cmaras y Sistemas de Circuito Cerrado, Sistema de Tarjetas RFID, Alarmas, Entre Otras

B = BAJO 1


E = EXTREMO 4 Implementacin de un Sistema de Ambiente Controlado en el Centro de Datos

A = ALTO 3


M = MEDIO 2 Desarrollo e Implementacin de un Plan de Contingencias

B = BAJO 1

Hurto de Informacin Financiera E = EXTREMO 4 Generar Polticas de Seguridad para la Prevencin de Hurto de Informacin a travs de Dispositivos de Almacenamiento Extrable

A = ALTO 3

Disminucin de Ingresos M = MEDIO 2 Generar Polticas para el Control de Roles a Usuarios del Sistema de Crdito

B = BAJO 1

Desventaja Competitiva A = ALTO 3 Generar Polticas para la Seleccin, Capacitacin y Autorizacin del Personal Apto

B = BAJO 1

Cuadro 17

26

Figura 2

27

8. COSTO BENEFICIO

Cuadro 17

Teniendo en cuenta los riegos descritos el grupo de trabajo de seguridad de la informacin, implementa los controles que considera importantes para la mitigacin de estos; se observa en la Figura 2 Comparativo Matriz Inherente Vs Matriz Residual - un resultado positivo, puesto que los riesgos que se encuentran valorados como Nivel EXTREMO se han minimizado gracias a la efectividad de dichos controles, en este caso R2 = PERDIDA FISICA DE LOS BACKUP DE LA INFORMACIN, R6 = DAOS EN LOS EQUIPOS TECNOLOGICOS DE PRIMER NIVEL, R8 = HURTO DE INFORMACION FINANCIERA.

ANTES DE LA IMPLEMENTACION DE CONTROLES ----- DESPUES DE LA IMPLEMENTACION DE CONTROLES

28

Para los controles que se establecieron se tuvo una inversin econmica menor si se compara con el valor econmico que se asumira en caso de materializarse una amenaza.

ACTIVO DE INFORMACION

RIESGO CONTROL IMPLEMENTADO VALOR

CONTROL IMPLEMENTADO

VALOR DE PERDIDAD EN CASO DE MATERIALIZARCE

UNA AMENZA


No Generacin del Backup

Contar con Polticas y Metodologa para la Asignacin de Recursos Econmicos

$ 2.500.000.oo Perdidas Hasta $600.000.000.oo


Desarrollar e Implementar Polticas de Seguridad

$ 2.500.000.oo Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo


Generar Polticas de Mantenimientos Preventivos y Correctivos a los Servidores que Alojan los Backup



Definir y Verificar el Cumplimiento de las Polticas de Acceso Lgico a Servidores Generadores de Backup

$ 2.500.000.oo Perdidas Hasta $600.000.000.oo

Centros de Datos


Implementar un Sistema Automtico de Control de Acceso - Cmaras y Sistemas de Circuito Cerrado, Sistema de Tarjetas RFID, Alarmas, Entre Otras



Implementacin de un Sistema de Ambiente Controlado en el Centro de Datos

$15.000.000.oo Perdidas Entre $5.000.000.000.oo - $7.000.000.000.oo


Desarrollo e Implementacin de un Plan de Contingencias


29

ACTIVO DE INFORMACION

RIESGO CONTROL IMPLEMENTADO VALOR

CONTROL IMPLEMENTADO

VALOR DE PERDIDAD EN CASO DE MATERIALIZARCE

UNA AMENZA


Hurto de Informacin Financiera

Generar Polticas de Seguridad para la Prevencin de Hurto de Informacin a travs de Dispositivos de Almacenamiento Extrable



Disminucin de Ingresos Generar Polticas para el Control de Roles a Usuarios del Sistema de Crdito


Desventaja Competitiva Generar Polticas para la Seleccin, Capacitacin y Autorizacin del Personal Apto


Totales General $ 65.000.000.oo

Cuadro 18

Como se mencionaba anteriormente el valor total de la Implementacin de los controles es muy inferior frente a la prdida econmica que se cause por consecuencia de la materializacin de una Amenaza que nos abra la brecha de seguridad para que el riesgo detectado se ejecute.

proyecto entrega ii análisis de riesgos finagro

Documents