valoracion de riesgos final 2
TRANSCRIPT
Valoración de Riesgos
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
ASTO CÁCERES, Carlos 2007000734 CARRASCO SOSA, Martín 2001180885 PAPUICO LIMAYMANTA, Ingrid 2007280033 VILLANUEVA ARRASCO, Víctor 2007009404
INTRODUCCION
El presente trabajo tiene como fin definir el análisis y valoración de riesgos en proyectos de tecnología de información de una manera estructurada y modular (por fases o etapas) para que sirva como herramienta de apoyo en la gestión de estos proyectos en las Empresas y Organizaciones tanto públicas como privadas.
CONTROL DEL RIESGO GESTION DEL RIESGO
RIESGO CONTROLADOPROCESO SEGURO
EVALUACION DEL RIESGO
IDENTIFICACION DEL PELIGRO
VALORACION DEL RIESGO
ESTIMACION DEL RIESGO
ANALISIS DEL RIESGO
SI
NO
VALORACIÓN DEL RIESGO
Análisis de Riesgos
Identificar /Evaluar
ValorarProteger
los Activos CRÍTICOS
Establecer el mecanismo de trabajo que relacione el valor del impacto con el análisis de probabilidad de ocurrencia de los eventos negativos.
Priorizar los riesgos de acuerdo con su calificación, a fin de establecer aquellos que pueden causar mayor daño a la entidad al momento de materializarse.
OBJETIVOS
MATRIZ DE CALIFICACION DE RIESGOS
Procesos /Amenaza
A1 A2 An
P1 E1,1 = P1,A1
E2,2 = P2,A2
E1,n = P1,An
P2
Pn
P1= proceso 1, P2= proceso 2 …… Pn= proceso nA1= amenaza 1, A2= amenaza 2 …… …. An= amenaza n
P1,A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.
1.- Identificación de las principales funciones desde punto de vista de control.2.- Identificación de los principales Riesgos Globales.3.- Definición de las distintas categorías de riesgo y asignación a las diversas unidades (de negocios, operativas, funcionales, de soporte, etc.).4.- Ponderación de los riesgos según su importancia relativa(grado o nivel de riesgo cuantitativo)5.- Calificación de los Riesgos v/s funciones (nulo, bajo, medio, alto impacto) y Aplicación de Ponderaciones.6.- Ajuste de la Matriz de Riesgo. El proceso de ajuste será continuo.
VALOR PROBABILIDAD ALCANCE
1 Improbable
Se presenta bajo circunstancias externas de orden público en el país, catástrofe o bajo situaciones excepcionales fuera del alcance de la organización como: huelgas sabotajes amenazas de terrorismo etc.
2 Remoto
Se presenta por situaciones atribuibles a las personas , pueden ser causadas por hechos internos de la organización hacia el negocio, abandono, no apoyarlos, etc.
3 Ocasional
El evento se clasifica como no-rutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología, los procesos del negocio.
4 ModeradoSe presenta por situaciones atribuibles al descuido o error humano que afecta la ejecución del negocio.
5 Frecuente
Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del negocio(personas, presupuesto, tiempo , tecnología ) los cuales son necesarios para que se lleve a cabo el negocio
6 Constante
Se presenta en el día a día, su origen es atribuible a situaciones normales del negocio como interrupciones de procesos, servicios de la tecnología, deviación de los recursos, etc.
ESCALA DE PROBABILIDADPara poder hacer el análisis y la valoración del riesgo es necesario elaborar lasescalas de probabilidad y gravedad en que se pueden presentar las amenazas.
ESCALA DE GRAVEDAD
VALOR GRAVEDAD
1Insignificante: la duración de interrupción es menor a1 hora.
2Marginal: la duración de interrupción entre 1-4 horas.
5Grave: la duración de interrupción es esta
entre 4-8 horas.
10Critico: la duración de la interrupción está
entre 8-24 horas.
20Desastroso: la duración de las interrupción
está entre 24-36 horas.
50Catastrófico: la duración de interrupción es mayor a 50 horas
Una vez que se determina las escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad
Riesgo = Probabilidad X Gravedad (R = PxG)
CALIFICACION DE RIESGOS
ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO
Servidor de desarrollo con problemas de lectura en el disco duro Remoto 2 Critico 10 20
Servidor de correo con fallas en la tarjeta de red Moderado 4 Insignificante 1 4
Switche ATM fuera de servicio. Ocasional 3 Catastrófico 50 150
Centro de computo de sede administrativa con inundación de equipos. remoto 2 Catastrófico 50 100
INTERPRETACION DE LA MATRIZ
G 1 G 2 G 5 G 10
G 20 G 50 G 70
0
50
100
150
200
250
300
P - 1 (Improbable)P - 3 (Ocasional)
P - 5 (Frecuente)P - 7
P - 1 (Improbable)P - 2 (Remoto)P - 3 (Ocasional)P - 4 (Moderado)P - 5 (Frecuente)P - 6 (Constante)P - 7
CASO: ENTIDADES FINACIERAS
MATRIZ DE RIESGOS
ACTIVIDADES
PROCESOS
NIVEL DE RIESGO
AMENAZAS IMPACTO
HERRAMIENTA DE CONTROL
FLEXIBLE
DINÁMICO
MATRIZ DE EVENTOS CON RELACION A LAS ORGANIZACIONES FINACIERAS
DESVIACION DE LOS OBJETIVOS
POSITIVO
NEGATIVO
GravedadProbabilidad Evento
AMENAZAS
PROCESOS
FALLAS EN EL SISTEMA
OPERATIVOS
FALLAS EN LAS REDES DE COMUNICACIÓN
FALLAS EN LAS POLITICAS DE ATENCION DE LOS
SERVICIOS
ADMINISTRAR RECURSOS HUMANOS
Falta de funcionamiento de sistemas operativos
No disposición del switche ATM
Falta de capacitación a los usuarios
DESARROLLAR Y MANTENER
SISTEMAS/TECNOLOGIA
No disposición de un data center contingencia
Falla en el servidor web Uso inadecuado de los equipos de TI
ADMINISTRAR SERVICIOS LEGALES
Fallas en su sistemas de transacciones bancarios
Mal uso de la información de los usuarios externos
MATRIZ DE CALIFICACION DE RIESGOS (EJEMPLO) ENTIDADES FINANCIERAS
VALOR PROBABILIDAD ALCANCE
1 Improbable
Se presenta bajo circunstancias externas de orden público en el país, catástrofe o bajo situaciones excepcionales fuera del alcance de la organización como: terremoto, inundaciones, etc.
2 Remoto
Se presenta por situaciones atribuibles a las personas , pueden ser causadas por hechos internos de la organización hacia el negocio, abandono, no apoyarlos, etc.
3 Ocasional
El evento se clasifica como no-rutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología; ejem: incumplimiento de los controles de transacciones (proceso).
4 ModeradoSe presenta por situaciones atribuibles al descuido o error humano que afecta la ejecución del negocio; ejem: no cerrar los sistemas de operación, dejar su login de usuario grabado en la maquina, etc.
5 Frecuente
Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del negocio(personas, presupuesto, tiempo , tecnología ) los cuales son necesarios para que se lleve a cabo el negocio; ejem: corte de energía eléctrica, etc.
6 Constante
Se presenta en el día a día, su origen es atribuible a situaciones normales del negocio como interrupciones de procesos, servicios de la tecnología, desviación de los recursos, etc.
ESCALA DE PROBABILIDADPara poder hacer el análisis y la valoración del riesgo es necesario elaborar lasescalas de probabilidad y gravedad en que se pueden presentar las amenazas.
ESCALA DE GRAVEDAD
VALOR GRAVEDAD
1Insignificante: la duración de interrupción es menor a1 hora. Ej. Se va el internet
2Marginal: la duración de interrupción entre 1-4 horas. Ejm: Se cayó el Servidor de correo
5Grave: la duración de interrupción es esta
entre 4-8 horas. Ej. Se malogra de disco duro del servidor
10Critico: la duración de la interrupción está
entre 8-24 horas.
20Desastroso: la duración de las interrupción
está entre 24-36 horas. Ejm. incendio de data center
50Catastrófico: la duración de interrupción es mayor a 50 horas
Una vez que se determina las escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad
Riesgo = Probabilidad X Gravedad (R = PxG)
CALIFICACION DE RIESGOS
ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO
Falla en el funcionamiento de SO. Frecuente 5 Critico 10 50No disposición de switches ATM. Remoto 2 Insignificante 1 2Falta de capacitación a los usuarios. Ocasional 3 Catastrófico 50 150No disposición de un data center contingencia. improbable 1 Catastrófico 50 50
Uso inadecuado de los equipos de TI. Remoto 2 Insignificante
1 2
Mal uso de la información de los usuarios externos Constante 6 Insignificante 1 6
CASO: EMPRESA DE SERVICIOS DE CONSULTORIA EN TECNOLOGIA DE LA
INFORMACION
PEQUEÑAS Y MEDIANAS EMPRESAS
VALOR PROBABILIDAD ALCANCE
100 Alta
Se puede presentar a diario o con cierta regularidad, se origina en situaciones normales de negocio, es atribuible a los recursos mínimo de negocio(persona, presupuesto, tiempo, tecnología)
50 Media
Se presenta por situaciones atribuibles al descuido o error humano que afecta la ejecución del negocio, El evento se clasifica como no-rutinario, pueden ser causadas por hechos internos de la organización
1 Baja
Se presenta bajo circunstancias externas de orden público en el país, catástrofe o bajo situaciones excepcionales fuera del alcance de la organización
ESCALA DE PROBABILIDAD
VALOR GRAVEDAD EJEMPLO
5
Insignificante:
la duración de interrupción es menor a 1 hora.
Se interrumpio el internet, no prende una PC, cable de red desconectado, des configuración de correo, etc.
10Dañino:
la duración de interrupción entre 1-10 horas.
Se malogre la teclado , mouse, monitor , disco duro se dañe, Se cayó el servidor de correos.
20Extremadamente Dañino: la duración de interrupción puede durar días, semanas, meses.
Control de Calidad Deficiente, servidor de aplicaciones se caiga, el proyecto informático no llegue a cumplirse en el tiempo establecido
ESCALA DE GRAVEDAD
ENTORNO PROBABILIDAD P GRAVEDAD G RIESGO
Desconfiguración Correo electrónico.Baja 1 Insignificante 5 5
Se cayó el servidor de correos, Equipos de computo malogrados. Media 50 Dañino 10 500
El proyecto informático no llegue a cumplirse en el tiempo establecido por diferentes motivos. Alta 100
Extremadamente Dañino
20 2000
G 5 G 10 G 20
0200400600800
100012001400160018002000
1 (Insignificante)
1 (Insignificante)
50 (Dañino)
100 (Extremadamente Dañino)
INTERPRETACION DE LA MATRIZ
CALIFICACION DE RIESGOS
Riesgo = Probabilidad X Gravedad (R = P x G)
CALIFICACION DE RIESGOS
PROBABILIDAD VALOR
Alta 100 Riesgo moderado Riesgo importante Riesgo inaceptable
Media 50 Riesgo tolerable Riesgo moderado Riesgo importante
Baja 1 Riesgo tolerable Riesgo tolerable Riesgo moderado
Impacto Insignificante Dañino
Extremadamente Dañino
Valor 5 10 20
500
250
5 10
500
1000 2000
1000
20
CASO: HELP DESK (OUSOURCING)
PEQUEÑAS Y MEDIANAS EMPRESAS
Empresa: GRUPORPP
VALOR PROBABILIDAD ALCANCE
1 Poco FrecuentePosibilidad de ocurrencia muy baja, esmuy difícil que ocurra
2 Frecuente
Atribuibles al descuido o error humano afecta el negocio. Sucede en forma esporádica, su causa son: personas, presupuesto, tiempo , tecnología. Significativa posibilidad de ocurrencia
3 Muy FrecuenteEs el día a día, su origen es a situaciones normales tiene alta posibilidad de ocurrencia
ESCALA DE PROBABILIDAD
ESCALA DE GRAVEDAD
VALOR GRAVEDAD EJEMPLO
5Insignificante: la duración de interrupción es menor a1 hora.
Se interrumpio el internet, no prende una PC, cable de red desconectado, etc
10Normal: la duración de interrupción entre 1-4 horas.
Se cayo el servidor de correos, se restauro una cuenta de usuario a otra PC, caída de las cabinas de las radios
20
Grave: la duración de interrupción es esta entre 4-24 horas.
Capacidad de almacenamiento del servidor de correos al máximo, del servidor de archivos, Se dano disco duro de servidor de base de datos, migración de servidor de impresion.
CALIFICACION DE RIESGOS
Riesgo = Probabilidad X Gravedad (R = P x G)
ENTORNO DE SERVICIO PROBABILIDAD P GRAVEDAD G RIESGOServicio de internet interrumpido Frecuente 2 Insignificante 5 10Servidor de correo con fallas en la tarjeta de red
Poco Frecuente 1 Grave 20 20
Servicio de Mesa de Ayuda a nivel usuario interno. Muy Frecuente 3 Normal 10 30
G 5G 10
G 20
Catego
ría 4
0102030405060
1 (Frecuente)3 (Muy Frecuente)
1 (Frecuente)2 (Poco Frecuente)3 (Muy Frecuente)
INTERPRETACION DE LA MATRIZ
CALIFICACION DE RIESGOS
Finalmente el cuadro siguiente permite estimar los Niveles de Riesgo de acuerdo con su Probabilidad estimada y sus Consecuencias esperadas.
• La Gestión de Incidentes tiene como objetivo resolver cualquier incidente que cause una interrupción en el servicio de la manera más rápida y eficaz posible.
• SOFTWARE: SERVICE DESK PLUS – WORK FLOW
Gestión de Incidentes: GRUPORPP
Gestión de Incidentes online
LA T.I SOPORTE EL PROCESO:
METODOLOGÍAS
A continuación se enumeran las metodologías más conocidas de análisis ygestión de riesgo:
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) EEUU. MAGERIT(España) carácter público elaborada por el Ministerio de Administraciones
Públicas, siendo probablemente la metodología más utilizada en España. CRAMM( Risk Analysis and Method Management ) utilizada por la OTAN, el Ejército
de Holanda, y numerosas empresas de todo el mundo. Meharit(Francia). METRICA3 específica para desarrollo de software (Software Life Cycle Processes). EAR y Pilar ambas en español. The Security Risk Management Guide de Microsoft. COBRA. Callio.
CONCLUSIONES
La seguridad es uno de los aspectos que más preocupan a las organizaciones. Sin embargo, pensamos el verdadero problema se trasladará, con el tiempo, desde aspectos tecnológicos a factores estratégicos.
La competencia basada en tecnología de información se está volviendo cada día más fuerte y agresiva, y el contar con la metodología de análisis y valoración de riesgos como una herramienta clave de gestión, ayuda a que la organización enfrente este nuevo reto que se plantea en el siglo XXI, el siglo de era de la información, el nuevo poder.
La monitorización de estos riesgos implica adoptar una posición proactiva que se concrete en campañas de difusión y sensibilización para adiestrar al cliente, elaboración de planes de contingencia y establecimiento de medidas de seguridad, formación de personal cualificado, actualización constante de las tecnologías.
RECOMENDACIONES
Es importante que la alta gerencia tenga una formación sólida en todo estos conceptos, para que no caigan en el error de delegar este tipo de decisiones a personas que no estén comprometidos con el negocios, provocando con ello una desarticulación entre la estrategia del negocio y la tecnología de información.
Los usuarios internos de las empresas tienen que estar comprometidos con la misión , visión y respetar el organigrama y respetar los aspectos éticos que permitan un desarrollo integral en los resultados y objetivos de la empresa
Cuando las empresas implementen tecnología de información debe entonces estar no sólo encaminado a procurar el hardware y el software necesario para resolver las necesidades del proceso de negocio sino que también debe buscar los medios materiales, económicos y humanos para que en el caso de la materialización de un riesgo las pérdidas sean mínimas o incluso se pueda evitar la inviabilidad de un proyecto