proyecto entrega ii análisis de riesgos finagro
DESCRIPTION
Analisis de riesgosTRANSCRIPT
-
ENTREGA II
PROYECTO - ANALISIS DE RIESGOS DE LA INFORMACIN EMPRESA FINAGRO
ESPECIALIZACIN EN SEGURIDAD DE LA INFORMACIN
ANALISIS DE RIESGOS DE LA INFORMACION
Ing. Jhonny Oramas Gonzlez INGENIERO DE SISTEMAS
ESTUDIANTES: ADALBERT ESPAA
VICTOR MANUEL HURTADO PALACIO
POLITECNICO GRAN COLOMBIANO BOGOTA D.C., MARZO 02 DE 2015
-
Tabla de contenido INTRODUCCION3 1. CONTEXTO DE LA EMPRESA...4 1.1. MISION.4 1.2. VISION..4 1.3. VALORES Y PRINCIPIOS4 1.4. PRINCIPIOS CORPORATIVOS..4 1.5. PENSAMIENTO ORGANIZACIONAL.4 1.6. PRODUCTOS Y SERVICIOS5.6.7 1.7. ORGANIGRAMA FINAGRO.8 2. PLANTEAMIENTO DEL PROBLEMA.9 3. DESARROLLO DE METODOLOGIA10 3.1. ESTABLECER EL CONTEXTO...10.11 3.2. IDENTIFICACION DE ACTIVOS...12 3.3. DEFINICION DE CRITERIOS DE EVALUACON DE RIESGOS..........13.14.15 3.4. MATRIZ DERIESGO16
-
INTRODUCCION
El Fondo para el Financiamiento del Sector Agropecuario FINAGRO es un banco de segundo piso, es decir no financia directamente sino que lo hace a travs de los intermediarios financieros vigilados por la Superintendencia Bancaria. Fue fundado el 22 de enero de 1990 y naci de la necesidad del sector rural colombiano de tener una entidad autnoma y especializada que manejara los recursos de crdito para el sector rural, dispersos en varios organismos que los asignaban como una variante de la poltica macro econmica, en manos del Banco de la Repblica.1
De Acuerdo a lo anterior FINAGRO viene evolucionando desde su nacimiento tanto es sus productos y servicios como en el rea tecnolgica, convirtindose en una de las entidades estatales de mayor proyeccin en el pas, con un aumento en sus activos un valor de 8 billones de pesos en el Ao 2013, lo que nos impulsa a generar un anlisis de riesgos para dos reas importantes dentro de la Empresa. GERENCIA DE TECNOLOGIA VICEPRESIDENCIA FINANCIERA
1 http://www.encolombia.com/economia/economiacolombiana/emp-turisticos/fondoparaelfinanciamientodelsector/
-
4
1. CONTEXTO DE LA EMPRESA
1.1. MISIN Contribuir al desarrollo integral, competitivo y sostenible del sector rural, facilitando el acceso al financiamiento y a los dems instrumentos de apoyo establecidos en la poltica pblica.2
1.2. VISIN Ser la institucin financiera lder en la gestin del desarrollo rural colombiano con clase mundial.3
1.3. VALORES Y PRINCIPIOS Valores Corporativos: Respeto, Responsabilidad, Compromiso, Objetividad e Innovacin.4 1.4. PRINCIPIOS CORPORATIVOS Principios Corporativos: Lealtad, Transparencia y Honestidad.5
1.5. PENSAMIENTO ORGANIZACIONAL
Somos respetuosos de la constitucin, las leyes y dems normas que nos regulan.6
El centro de nuestra gestin es el ser humano, promovemos el desarrollo del potencial de nuestro equipo y procuraremos las mejores condiciones de vida para todos.7
2 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 3 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 4 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 5 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 6 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 7 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional
-
5
En las diferentes actividades generamos valor para asegurar la viabilidad y sostenibilidad financiera.8
Somos optimistas, proactivos y trabajamos con pasin, disciplina y compromiso para construir un mejor campo para Colombia.9
1.6. PRODUCTOS Y SERVICIOS
PRODUCTOS Y SERVICIOS10 DESCRIPCION
Recursos para Crdito
Crdito Agropecuario y Rural Lneas de Crdito Programas Especiales Exportadores 2008-2009
Incentivos
ICR - Incentivo a la Capitalizacin Rural ISA - Incentivo al Seguro Agropecuario CIF - Certificado de Incentivo Forestal IAT - Incentivo a la Asistencia Tcnica
FAG Respaldo con Garantas
Fondo cuyo objetivo es respaldar los crditos redescontados ante FINAGRO o concedidos en condiciones FINAGRO con recursos propios de los intermediarios financieros vigilados por la Superintendencia Financiera de Colombia.
PRAN y FONSA Carteras Administradas PRAN FONSA Legislacin
Programa de Asociatividad Cursos Virtuales.
Microcrdito Rural Es un producto de crdito administrado por Finagro cuyo objeto es
promover el acceso de la poblacin rural al sistema financiero como estrategia para combatir la pobreza en el sector.
8 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 9 https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional 10
https://www.finagro.com.co/productos-y-servicios/TDAs
-
6
PRODUCTOS Y SERVICIOS10 DESCRIPCION
Programas de Coberturas
El programa es manejado por FINAGRO mediante el Sistema Electrnico del Programa de Coberturas - SEPC, el cual es un aplicativo WEB que agiliza la inscripcin de los participantes, toma de coberturas, registro de facturas y compensacin de las coberturas.
Informacin Sectoral
Recursos Hdricos
Este incentivo apoya la Ejecucin de Proyectos Asociativos de Adecuacin de Tierras (IEPAT) as como para la Elaboracin de Estudios y Diseos de Proyectos Asociativos de Adecuacin de Tierras (EDAT).
Inversiones
Este incentivo apoya la Ejecucin de Proyectos Asociativos de Adecuacin de Tierras (IEPAT) as como para la Elaboracin de Estudios y Diseos de Proyectos Asociativos de Adecuacin de Tierras (EDAT).
Ttulos de Desarrollo Agropecuario
Esta seccin est dirigida a los intermediarios financieros, en la que podrn encontrar toda la informacin normativa y operativa necesaria para cumplir con el nivel requerido de inversin en Ttulos de Desarrollo Agropecuario TDAs, de acuerdo con la Carta Circular publicada trimestralmente por la Superintendencia Financiera de Colombia.
Cuadro 1
-
8
1.7. Organigrama FINAGRO
Figura 1
-
9
2. PLANTAMIENTO DEL PROBLEMA
La Estructura Organizacional de FINAGRO se compone de:
1 Junta Directiva
1 Oficina de Presidencia
1 Oficina de Secretaria General
1 Oficina de Control Interno
4 Oficinas de Carcter Gerencial: Gerencia Planeacin Gerencia de Tecnologa Gerencia Comercial Gerencia Administrativa
4 Oficinas de Vicepresidencias
22 Direcciones que componen las anteriores reas
Teniendo en cuenta la Misin y Visin de la entidad, es de suma importancia generar un anlisis de riesgos a la Gerencia de Tecnologa ya que esta es la responsable de garantizar la Disponibilidad, Integridad y Confidencialidad de la informacin. Ya que como principal activo y en caso de una prdida parcial o total de la misma, pondra en riesgo el normal funcionamiento de la entidad, al igual que un anlisis de riesgos a la Vicepresidencia Financiera.
3. DESARROLLO DE LA METODOLOGIA
De acuerdo a lo anterior proponemos que se emplee una metodologa basada en diferentes tcnicas y sugerencias que se encuentran en diferentes publicaciones: ISO/IEC27005 la cual nos ayuda a la identificacin los riesgos de la seguridad de la informacin, de igual manera la ISO/31000 la cual nos gua para la generacin de un Anlisis de Riesgos; buscando contrarrestar las amenazas y vulnerabilidades y de esta manera minimizar las posibles riesgos; esta utiliza una metodologa cuantitativa de 5 x 5 (5 Probabilidades X 5 Impactos), con el fin de evaluar el nivel de riesgo en que se encuentra un activo.
-
10
Dicho nivel de riesgo ser calificado de 1 a 4 siendo 1 el nivel ms bajo y 4 el nivel extremo; para dar la valoracin correspondiente al riesgo, tomaremos el valor de la probabilidad de que el riesgo se active segn criterio de los analistas contra el valor del impacto consolidado el cual ser el resultado mayor del estudio generado a dicho riesgo en cuanto el Impacto Financiero, Reputacional y Legal dentro de los 3 principios de la Seguridad de la Informacin, posterior a esto nos situamos en la matriz de calor y ubicamos segn los resultados de PROBABILIDAD e IMPACTO CONSOLIDADO el nivel de riesgo; posteriormente iniciamos la implementacin de los controles y seguido valoramos la efectividad de los mismos a travs del anlisis del riesgo residual.
3.1. ESTABLECIMIENTO EL CONTEXO
Caracterizacin de los escenarios seleccionados
Gerencia de Tecnologa: La Gerencia de Tecnologa se encuentra dividida en 4 direcciones
Direccin de Operaciones Tecnolgicas
Direccin de arquitectura empresarial
Direccin de ingeniera y software
Direccin de procesos
Procedimientos De Administracin De Inventarios
Definicin de un plan estratgico
Administracin de firewall y seguridad
Procedimientos de redes y conectividad
Gestin De Backups Centro De Datos
Creacin de polticas y normas
Servicios del sistema de informacin presupuestal
Procedimiento del centro de atencin al usuario mesa de ayuda
Gestin De Backups De Servidores
Establecimiento y asignacin de actividades
Bases de datos Procedimiento De Administracin Del Portal Institucional
Mantenimiento preventivo de hardware y software
Desarrollo y actualizacin de objetos de una base de datos
Procedimientos De Soporte Tcnico
-
11
Direccin de Operaciones Tecnolgicas
Direccin de arquitectura empresarial
Direccin de ingeniera y software
Direccin de procesos
Mantenimiento correctivo de hardware y software
Distribucin de puntos de conexin fsicos a la red
Procedimientos de administracin de inventarios
Procedimientos De Administracin De Inventarios
Administracin de firewall y seguridad
Procedimientos de redes y conectividad
Gestin De Backups Centro De Datos
Servicios del sistema de informacin presupuestal
Procedimiento del centro de atencin al usuario mesa de ayuda
Cuadro 2
Vicepresidencia Financiera: Esta rea se divide en tres direcciones
Direccin de tesorera Direccin de contabilidad Direccin de Cartera
Procedimientos de recaudo Crditos Agropecuarios Administracin de la informacin financiera
Manejo de los sistemas financieros Cobro de Carteras Establecimiento de normas y polticas
Cuadro 3
-
12
3.2. IDENTIFICACION Y VALORACION DE LOS ACTIVOS INFORMACION SELECCIONADOS
AREA CONFIDENCIALIDAD INTEGRIDAD DISONIBILIDAD
Descripcin del Activo de
Informacin
Responsable del Activo de Informacin
Contenedores Custodios Gerencia de Tecnologa
Copias de Seguridad de la Informacin
Financiero = 3 Financiero = 2 Financiero = 3 Tipo Activo: INFORMACION Este Activo Contiene el Respaldo de la Informacin Base de Empresa, ya sea Informacin Suministrada por Otras Organizaciones e Informacin Nueva que se genera en Cada una de las reas
Direccin de Ingeniera y Software
Servidor de Backup / Disco Duro Extrable /
Gerencia de Tecnologa - Empresa Tercerizada para la Custodia y Seguridad de los Backup
Reputacional = 4 Reputacional = 2 Reputacional = 4
Legal = 3 Legal = 2 Legal = 3
4 2 4
Centros de Datos
Financiero = 4 Financiero = 3 Financiero = 4
Tipo Activo: INFRAESTRUCURA Aloja toda la Infraestructura Tecnolgica de Primer Nivel de la Empresa
Direccin de Ingeniera y Software
Rack de Servidores Generadores de Backup / Servidores de Produccin de la Informacin / Servidores de Respaldo de los Backup
Gerencia de Tecnologa
Reputacional = 4 Reputacional = 3 Reputacional = 4
Legal = 4 Legal = 4 Legal = 4
4 4 4
-
13
AREA CONFIDENCIALIDAD INTEGRIDAD DISONIBILIDAD
Descripcin del Activo de Informacin
Responsable del Activo de Informacin
Contenedores Custodios
Vicepresidencia Financiera
Tipo Activo: INFORMACION Este Activo se Refiere a toda la Informacin que se Genera de todo el Proceso de Crdito Agropecuario y Rural
Vicepresidencia Financiera
Servidor de Produccin del rea de Cartera / Equipos de Cmputo del rea
Vicepresidencia Financiera
Informacin de Cartera
Financiero = 4 Financiero = 3 Financiero = 4
Reputacional = 4 Reputacional = 3 Reputacional = 4
Legal = 3 Legal = 3 Legal = 3
4 3 3
Crdito Agropecuario y Rural
Financiero = 3 Financiero = 3 Financiero = 4 Tipo Activo: INFORMACION Este Activo se Refiere a toda la Informacin que se Genera de todo el Proceso de Crdito Agropecuario y Rural
Vicepresidencia Financiera
Servidor de Produccin del rea de Cartera / Equipos de Cmputo del rea
Vicepresidencia Financiera
Reputacional = 3 Reputacional = 3 Reputacional = 3
Legal = 3 Legal = 3 Legal = 3
3 3 4
Cuadro 4
Los Activos de Informacin que se seleccionaron para llevar el presente anlisis de riesgos, se seleccionaron debido a la gran importancia que representa cada uno de ellos en sus reas respectivas; estos fueron valorados con el fin de brindarnos una visin de cual importante es dicho activo en trminos de seguridad.
Los Activos se valoran teniendo en cuenta las tablas de Impacto Financiero, Reputacional y Legal, las cuales se encuentran en el punto 3.4.
-
14
3.3. IDENTIFICACION DE AMENAZAS Y VULNERABILIDADES
Estas fueron las amenazas y vulnerabilidades que se identificaron en el proceso de anlisis de riesgos, para nuestros activos previamente seleccionados.
ACTIVO AMENAZAS VULNERABILIDADES
Copias de Seguridad de la Informacin
Falta de Electricidad en el Momento de Generar los Backup
Insuficiencia en Herramientas Auxiliares Generadoras de Corriente Elctrica- UPS, Planta Elctrica
Prdida Fsica de los Backup Malas Prcticas en la Cadena de Custodia por Parte de la Empresa Tercerizada para este Proceso
Fallo en los Discos Duros donde se Alojan los Backup
Falta de Mantenimiento Preventivo a los Servidores Utilizados para Alojar los Backup
Borrado Accidental de los Backup Acceso Lgico NO Restringido a los Servidores - Generadores de Backup
Centros de Datos
No Existe un Control de Acceso Fsico Adecuado
Fcil Acceso de Personal No Autorizado
No se Cuenta con un Adecuado Sistema de Climatizacin
Dao Constante del Sistema de Climatizacin
Dao a la Estructura Fsica por Causa de Catstrofes Naturales
No Contar con un Plan de Contingencia
Informacin de Cartera
Violacin a los Protocolos de Seguridad del Sistema de Informacin
Conexin de Dispositivos Desconocidos a Equipos de la Red - USB - Discos Duros - Telfonos Mviles
Crdito Agropecuario y Rural
Disminucin de los Clientes Probables Alzas en las tasa de Inters No Autorizadas en el Sistema de Clculo de Crditos
Disminucin de los Clientes Personal No Capacitado
Cuadro 5
-
15
3.4. DEFINICION DE CRITERIOS DE EVALUACION DE RIESGOS
Probabilidad: Se determin la siguiente escala de valores como herramienta para determinar la probabilidad de que una amenaza se materialice.
Cuadro 6
Probabilidad Residual: Se determin la siguiente escala de valores como herramienta para determinar la probabilidad Residual de que una amenaza se materialice despus de haber puesto unos controles.
Cuadro 7
PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCION DETALLADA
1 Raro Puede ocurrir solamente en circunstancias excepcionales
2 Poco Probable Podra ocurrir en algunas veces
3 Posible Es posible que ocurra en algunas veces
4 Probable Puede probablemente ocurrir en la mayora de las circunstancias
5 Casi Cierto Se espera que ocurra en la mayora de las circunstancias
PROBABILIDAD - RESIDUAL
NIVEL DESCRIPTOR DESCRIPCION DETALLADA
1 Improbable La Amenaza Nunca se ha Materializado, Pero No se Descarta su Ocurrencia
2 Remoto La Materializacin de la Amenaza Ocurre una vez Cada Semestre
3 Ocasional La Materializacin de la Amenaza Ocurre una vez Cada Trimestre
4 Frecuente La Materializacin de la Amenaza Ocurre una vez Cada 15 Das
5 Inminente La Materializacin de la Amenaza Ocurre Diariamente
-
16
Impactos: Se determin la siguiente escala de valores como herramienta para determinar la severidad en caso de que una Amenaza se materialice, estos valores fueron previamente analizados, conciliados y autorizados por la ala gerencia.
IMPACTO
NIVEL DESCRIPTOR DESCRIPCION DETALLADA
1 Insignificante Sin Perjuicios
2 Menor Se Contuvo Inmediatamente, Perdida Financiera Media
3 Moderada Requiere Atencin Inmediata de los Directivos de rea, Requiere Tratamiento, Perdida Financiera Alta
4 Mayor Requiere Atencin Inmediata de los Altos Directivos, Perdida Financiera Mayor
5 Catastrfica Enorme Perdida Financiera, Sin Posibilidad Alguna de Recuperacin Financiera
Cuadro 8
IMPACTO FINANCIERO
NIVEL DESCRIPTOR DESCRIPCION DETALLADA
1 Insignificante Perdidas Hasta $100.000.000.oo
2 Menor Perdidas Hasta $600.000.000.oo
3 Moderada Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo
4 Mayor Perdidas Entre $5.000.000.000.oo - $7.000.000.000.oo
5 Catastrfica Prdidas Superiores a $7.000.000.000.oo
Cuadro 9
-
17
IMPACTO REPUTACIONAL
NIVEL DESCRIPTOR DESCRIPCION DETALLADA
1 Insignificante la causa es de conocimiento del personal del rea, no afecta en nada la imagen de la empresa a nivel de los clientes
2 Menor la causa es de conocimiento de la Direccin del rea, no afecta en nada la imagen de la empresa a nivel de los clientes
3 Moderada la causa es de conocimiento de la presidencia o de la junta directiva, no afecta la imagen de la empresa a nivel de los clientes
4 Mayor la causa es de conocimiento de los clientes, afectando la imagen de la empresa entre sus clientes
5 Catastrfica la causa es de conocimiento general en el sector y es publicado por los medios comunicacin Nacional e Internacionales, lo que afecta la imagen de la empresa a nivel del pas y el mundo en todos los mbitos
Cuadro 10
IMPACTO LEGAL
NIVEL DESCRIPTOR DESCRIPCION DETALLADA
1 Insignificante Investigacin Laboral Disciplinaria para la Persona Directamente Implicada
2 Menor Sancin Laboral para la Persona Directamente Implicada
3 Moderada Sancin Disciplinaria para todo el Personal y Director del rea Directamente Responsable
4 Mayor Investigacin Disciplinaria y Penal para la Empresa por parte de los entes de Control
5 Catastrfica Sancin Disciplinaria, Penal e Intervencin y Cierre de la Empresa por Parte de los Entes de Control
Cuadro 11
-
18
Clasificacin de los Riesgos: La clasificacin del riesgo tiene como objetivo determinar el grado de criticidad que presenta el mismo y as determinar los controles necesarios para mitigar dicho riesgo.
CALIFICACION DE RIESGOS
NIVEL DESCRIPTOR DESCRIPCION DETALLADA
1 B = BAJO La Ocurrencia del Evento Tendra Consecuencias Leves, Tolerables por la Empresa, se Puede Gestionar Mediante Procedimientos de Rutina, en Caso de Presentarse No Desestabiliza la Empresa
2 M = MEDIO En Caso de Presentarse Ocasionara Consecuencias que Superan el Nivel de Tolerancia de la Organizacin, Debe ser Gestionado con Controles para Disminuir su Impacto o la Frecuencia de Ocurrencia
3 A = ALTO En Caso de Presentarse Ocasionara Consecuencias Financieras y Operacionales de Impacto Severo o Significativo para la Organizacin , es Necesaria la Atencin Inmediata de los Altos Directivos o Gerencia
4 E = EXTREMO
Su Ocurrencia Ocasionara Consecuencias Financieras y Operacionales de Impacto Catastrfico para la Organizacin, Debe Gestionarse con Mecanismos para Evitar su Ocurrencia o Transferir el Riesgo a Terceros, Dispersar el Riesgo y Reducir su Impacto o Frecuencia de Ocurrencia
Cuadro 12
-
19
Mapa de Riesgos: La Matriz de Riesgo se presenta con las escalas de Probabilidad e Impacto definidas y valoradas previamente.
MATRIZ DE RIESGOS
IMP
AC
TO
5 M A E E E
4 M A A E E
3 B M A E E
2 B B M A E
1 B B M A A
1 2 3 4 5
PROBABILIDAD
Cuadro 13
o Color Verde: Indica Riesgos de valoracin Baja o Color Amarillo: Indica Riesgos de Valoracin Media o Color Naranja: Indica Riesgos de Valoracin Alta o Color Rojo: Indica Riegos de Valoracin Extrema
-
20
4. MATRIZ DE RIESGO
Observar la Matriz Completa Archivo de Excel
5. Matriz Riesgo Inherente: Nos muestra la escalabilidad o valoracin de los Riesgos respecto a la Amenaza
Cuadro 14
-
21
6. CONTROLES ESTABLECIDOS PARA MITIGAR EL RIESGO
Se establecieron controles para cada uno de los riesgos identificados, con el objetivo de mitigar o minimizar dichos riesgos, a medida que estos controles sean eficientes, el indicador del riesgo inherente tiende a disminuir.
DESCRIPCIN DEL RIESGO Nombre Control Tratamiento Descripcin Tratamiento Tipo de Control
Clase de Control
No Generacin del Backup Disponibilidad Contar con Polticas y Metodologa para la Asignacin de Recursos Econmicos
Reducir
Reducir el Riesgo Mediante la Adquisicin de Infraestructura (UPS - Plantas Elctricas)
Preventivo Automtico La No Generacin del Backup por Falta de Fluido Elctrico por Falta de Mantenimiento y Adquisicin de Herramientas Auxiliares Generadoras de Corriente Elctrica- UPS, Planta Elctrica
Prdida Fsica de los Backup de la Informacin
Disponibilidad
Desarrollar e Implementar Polticas de Seguridad
Compartir
Compartir el Riesgo Mediante Asignacin de Varias Personas para el Cumplimiento de las Polticas de Seguridad a Desarrollar
Preventivo Manual Prdida Fsica Total o Parcial de Backup por Falta de Polticas de Seguridad
Prdida Lgica de los Backup de la Informacin
Disponibilidad Generar Polticas de Mantenimientos Preventivos y Correctivos a los Servidores que Alojan los Backup
Reducir
Reducir el Riesgo Mediante el Cumplimiento Oportuno de las Polticas Creadas para la Realizacin de los Mantenimientos Preventivos y Correctivos
Preventivo Manual Prdida Lgica Total o Parcial de Backup por falta de Generar un Plan de Mantenimiento Preventivo a los Servidores que Alojan los Backup de Informacin
-
22
DESCRIPCIN DEL RIESGO Nombre Control Tratamiento Descripcin Tratamiento Tipo de Control
Clase de Control
Prdida Lgica de los Backup de la Informacin
Disponibilidad Definir y Verificar el Cumplimiento de las Polticas de Acceso Lgico a Servidores Generadores de Backup
Reducir
Reducir el Riesgo, Implementando y dando Cumplimiento a Dichas Polticas
Preventivo Manual Prdida Lgica Total o Parcial de Backup por falta de No tener un Adecuado Control de Acceso a los Servidores generadores de Backup de Informacin
Hurto o Prdida de los Equipos Tecnolgicos
Confidencialidad Implementar un Sistema Automtico de Control de Acceso - Cmaras y Sistemas de Circuito Cerrado, Sistema de Tarjetas RFID, Alarmas, Entre Otras
Reducir
Reducir el Riesgo Mediante la Adquisicin e Implementacin de un Sistema Automtico de Control de Acceso Fsico
Preventivo Automtico Hurto de Prdida de Equipos Tecnolgicos por No tener un Adecuado Control de Acceso Fsico al Centro de Datos
Daos en los Equipos Tecnolgicos de Primer Nivel
Integridad Implementacin de un Sistema de Ambiente Controlado en el Centro de Datos
Transferir
Se Transfiere el Riesgo a una Empresa Especializada en la Implementacin y Mantenimiento de Ambientes Controlados en Datacenter
Correctivo Automtico Daos en los Equipos Tecnolgicos de Primer Nivel por Mala Variacin de Temperatura y Humedad
Tiempo de Restauracin de los Sistemas de Informacin
Integridad - Disponibilidad Desarrollo e Implementacin de un Plan de Contingencias
Reducir
Reducir el Tiempo de Restauracin de los Sistemas de Informacin, con el Desarrollo e Implementacin del Plan de Contingencias
Preventivo Manual Demora en la Restauracin de los Sistemas de Informacin de la Empresa, debido a que NO se tiene un Plan de Contingencia
Hurto de Informacin Financiera
Confidencialidad Generar Polticas de Seguridad para la Prevencin de Hurto de Informacin a travs de Dispositivos de Almacenamiento Extrable
Reducir
Reducir el Hurto de Informacin a travs de la Implementacin de las Polticas Generadas para tal Fin
Preventivo Manual Hurto de Informacin Financiera de los Equipos de Cmputo del rea a travs de Dispositivos de Almacenamiento Extrable, No se tienen Controles de Seguridad en el rea
-
23
DESCRIPCIN DEL RIESGO Nombre Control Tratamiento Descripcin Tratamiento Tipo de Control
Clase de Control
Disminucin de Ingresos Eficiencia Generar Polticas para el Control de Roles a Usuarios del Sistema de Crdito
Reducir
Reducir el Riesgo en la Autorizacin de los Roles a Usuarios Mediante la Aplicacin de las Polticas
Preventivo Manual Disminucin de Ingresos Econmicos, Debido al Aumento de las Tasas de Inters Sin Previa Autorizacin en el Sistema de Clculo de Crditos
Desventaja Competitiva Integridad - Confiabilidad Generar Polticas para la Seleccin, Capacitacin y Autorizacin del Personal Apto
Reducir
Reducir el Riesgo Mediante el Cumplimiento de las Polticas para la Contratacin del Personal
Preventivo Manual Prdida y Modificacin de la Informacin por Personal No Apto ni Autorizado, afectando la Integridad de la Informacin de Crditos Agropecuarios y Rural
Cuadro 15
Los controles implementados para los riesgos descritos, se basan en Polticas de Seguridad, al igual que la adquisicin e implementacin de elementos tecnolgicos que nos ayudaran a minizar los riesgos mencionados para cada uno de los activos seleccionados; estos nos permitirn analizar la efectividad y el cumplimiento de las medidas tomadas mediante dichos controles, y as determinar los pasos a seguir segn el resultado de riesgo residual.
-
24
7. MATRIZ RIESGO RESIDUAL
Resultado del Grado de Efectividad que apliquen los controles establecidos a los Riesgos Inherentes, A partir de este resultado el grupo de trabajo de Seguridad de la Informacin podr determinar si se contina con el proceso, fortaleciendo los controles existentes o implementando nuevos controles; o por el contrario se abandona la actividad.
Cuadro 16
-
25
DESCRIPCIN DEL RIESGO
Riesgo Inherente Nivel del
Riesgo Inherente
Controles Riesgo
Residual
Nivel del Riesgo
Residual
No Generacin del Backup M = MEDIO 2 Contar con Polticas y Metodologa para la Asignacin de Recursos Econmicos
B = BAJO 1
Prdida Fsica de los Backup de la Informacin
E = EXTREMO 4 Desarrollar e Implementar Polticas de Seguridad M = MEDIO 2
Prdida Lgica de los Backup de la Informacin
M = MEDIO 2 Generar Polticas de Mantenimientos Preventivos y Correctivos a los Servidores que Alojan los Backup
B = BAJO 1
Prdida Lgica de los Backup de la Informacin
M = MEDIO 2 Definir y Verificar el Cumplimiento de las Polticas de Acceso Lgico a Servidores Generadores de Backup
B = BAJO 1
Hurto o Prdida de los Equipos Tecnolgicos
B = BAJO 1 Implementar un Sistema Automtico de Control de Acceso - Cmaras y Sistemas de Circuito Cerrado, Sistema de Tarjetas RFID, Alarmas, Entre Otras
B = BAJO 1
Daos en los Equipos Tecnolgicos de Primer Nivel
E = EXTREMO 4 Implementacin de un Sistema de Ambiente Controlado en el Centro de Datos
A = ALTO 3
Tiempo de Restauracin de los Sistemas de Informacin
M = MEDIO 2 Desarrollo e Implementacin de un Plan de Contingencias
B = BAJO 1
Hurto de Informacin Financiera E = EXTREMO 4 Generar Polticas de Seguridad para la Prevencin de Hurto de Informacin a travs de Dispositivos de Almacenamiento Extrable
A = ALTO 3
Disminucin de Ingresos M = MEDIO 2 Generar Polticas para el Control de Roles a Usuarios del Sistema de Crdito
B = BAJO 1
Desventaja Competitiva A = ALTO 3 Generar Polticas para la Seleccin, Capacitacin y Autorizacin del Personal Apto
B = BAJO 1
Cuadro 17
-
26
Figura 2
-
27
8. COSTO BENEFICIO
Cuadro 17
Teniendo en cuenta los riegos descritos el grupo de trabajo de seguridad de la informacin, implementa los controles que considera importantes para la mitigacin de estos; se observa en la Figura 2 Comparativo Matriz Inherente Vs Matriz Residual - un resultado positivo, puesto que los riesgos que se encuentran valorados como Nivel EXTREMO se han minimizado gracias a la efectividad de dichos controles, en este caso R2 = PERDIDA FISICA DE LOS BACKUP DE LA INFORMACIN, R6 = DAOS EN LOS EQUIPOS TECNOLOGICOS DE PRIMER NIVEL, R8 = HURTO DE INFORMACION FINANCIERA.
ANTES DE LA IMPLEMENTACION DE CONTROLES ----- DESPUES DE LA IMPLEMENTACION DE CONTROLES
-
28
Para los controles que se establecieron se tuvo una inversin econmica menor si se compara con el valor econmico que se asumira en caso de materializarse una amenaza.
ACTIVO DE INFORMACION
RIESGO CONTROL IMPLEMENTADO VALOR
CONTROL IMPLEMENTADO
VALOR DE PERDIDAD EN CASO DE MATERIALIZARCE
UNA AMENZA
Copias de Seguridad de la Informacin
No Generacin del Backup
Contar con Polticas y Metodologa para la Asignacin de Recursos Econmicos
$ 2.500.000.oo Perdidas Hasta $600.000.000.oo
Prdida Fsica de los Backup de la Informacin
Desarrollar e Implementar Polticas de Seguridad
$ 2.500.000.oo Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo
Prdida Lgica de los Backup de la Informacin
Generar Polticas de Mantenimientos Preventivos y Correctivos a los Servidores que Alojan los Backup
$ 2.500.000.oo Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo
Prdida Lgica de los Backup de la Informacin
Definir y Verificar el Cumplimiento de las Polticas de Acceso Lgico a Servidores Generadores de Backup
$ 2.500.000.oo Perdidas Hasta $600.000.000.oo
Centros de Datos
Hurto o Prdida de los Equipos Tecnolgicos
Implementar un Sistema Automtico de Control de Acceso - Cmaras y Sistemas de Circuito Cerrado, Sistema de Tarjetas RFID, Alarmas, Entre Otras
$ 30.000.000.oo Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo
Daos en los Equipos Tecnolgicos de Primer Nivel
Implementacin de un Sistema de Ambiente Controlado en el Centro de Datos
$15.000.000.oo Perdidas Entre $5.000.000.000.oo - $7.000.000.000.oo
Tiempo de Restauracin de los Sistemas de Informacin
Desarrollo e Implementacin de un Plan de Contingencias
$ 2.500.000.oo Perdidas Entre $5.000.000.000.oo - $7.000.000.000.oo
-
29
ACTIVO DE INFORMACION
RIESGO CONTROL IMPLEMENTADO VALOR
CONTROL IMPLEMENTADO
VALOR DE PERDIDAD EN CASO DE MATERIALIZARCE
UNA AMENZA
Informacin de Cartera
Hurto de Informacin Financiera
Generar Polticas de Seguridad para la Prevencin de Hurto de Informacin a travs de Dispositivos de Almacenamiento Extrable
$ 2.500.000.oo Perdidas Entre $5.000.000.000.oo - $7.000.000.000.oo
Crdito Agropecuario y Rural
Disminucin de Ingresos Generar Polticas para el Control de Roles a Usuarios del Sistema de Crdito
$ 2.500.000.oo Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo
Desventaja Competitiva Generar Polticas para la Seleccin, Capacitacin y Autorizacin del Personal Apto
$ 2.500.000.oo Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo
Totales General $ 65.000.000.oo
Cuadro 18
Como se mencionaba anteriormente el valor total de la Implementacin de los controles es muy inferior frente a la prdida econmica que se cause por consecuencia de la materializacin de una Amenaza que nos abra la brecha de seguridad para que el riesgo detectado se ejecute.