INFORME DE LECTURA

DATOS GENERALES:

Nombre del alumno: Mora Hernndez Yazmin Nmero de cuenta: 07051409 Materia: Auditoria de la Informacin Grupo: SC09S Profesor: Fecha de la actividad: 25 de Junio de 2011 Ttulo de la actividad: Anlisis de riesgo y Continuidad del Negocio

Objetivo: Al finalizar la lectura el alumno ser capaz de entender el Anlisis de riesgos y Continuidad del negocio, identificando e implementando as sus generalidades, evolucin, enfoques ventajas, desventajas, herramientas y procesos. Argumentacin: Antes de empezar a desglosar todo lo antes indicado con el tema de Anlisis de Riesgo deberamos saber Qu es?

I.

Anlisis de riesgos

Proceso por el cual se identifican las amenazas y vulnerabilidades de una organizacin con el fin de generar controles que minimicen los efectos de los riesgos.

INFORME DE LECTURA

II.

Generalidades y definiciones

Para proceder de forma lgica y realizar un anlisis del riesgo, es necesario llevar a cabo de antemano algunas tareas bsicas: Identificar los activos de la organizacin Identificar las amenazas a los activos Conocer las prcticas actuales de seguridad Identificar las vulnerabilidades organizacionales (Recursos humanos, recursos tcnicos, etc.) Identificar los requerimientos de seguridad de la Organizacin. Identificar las vulnerabilidades de la infraestructura Detectar componentes claves. Tambin dentro del anlisis existen amenazas las cuales se deben tomar en cuenta para no correr riesgo dentro de una organizacin por mencionar algunas son: Ambientales (Desastres naturales (terremotos, tormentas, fallas del suministro elctrico, contaminacin, etc.). Deliberadas (sabotaje, cdigo malicioso, fraudes, etc.) Accidentales (Errores de usuarios, errores de programacin, fallas en los servicios de comunicacin, etc.)

III.

Enfoque Cuantitativo

El enfoque cuantitativo de anlisis de riesgos consiste en la obtencin de un valor a partir del producto de estos elementos. La forma de calcularlo, para un evento dado, es realizando la multiplicacin del valor de la prdida potencial por el valor de la probabilidad de ocurrencia. De esta manera es prcticamente concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las decisiones correspondientes. La mayora de las metodologas de anlisis de riesgo cualitativo hace uso de una serie de elementos tales como: Amenazas Se trata del conjunto de cosas que pueden salir mal o las acciones que pueden atacar la informacin de la entidad. Algunas amenazas comunes a muchos sectores suelen ser el fuego, el

INFORME DE LECTURA

Robo, el fraude interno o el fallo de componentes, entre otras muchas. La cuestin es que las amenazas estn cada vez ms presentes en nuestros procesos de negocio. Vulnerabilidades Son todos aquellos elementos que hacen a un sistema ms propenso al ataque de una amenaza o aquellas situaciones en las que es ms probable que un ataque tenga cierto xito impacto en los procesos de negocio de la organizacin. Controles Cuando en anlisis de riesgos aparece la palabra controles se refiere nos estamos al conjunto de contramedidas necesarias para paliar las vulnerabilidades. Por lo general, existen cuatro tipos de controles:

Los Disuasorios son controles destinados a reducir la probabilidad de un ataque deliberado. Los Preventivos son controles que nos protegen de una vulnerabilidad intentando que los ataques sean fallidos o que produzcan el menor impacto posible. Los Correctivos son controles destinados a reducir el efecto de un ataque. Los Detectivos son controles programados para descubrir y desencadenar ataques preventivos o correctivos.

IV.

Ventajas y Desventajas de cada enfoque

Los enfoques cualitativo y cuantitativo de la administracin de riesgos de seguridad tienen sus ventajas e inconvenientes. Determinadas situaciones pueden demandar que las organizaciones adopten el enfoque cuantitativo. Por el contrario, las organizaciones de pequeo tamao o con recursos limitados normalmente encontrarn ms adecuado el enfoque cualitativo. En la siguiente tabla se resumen las ventajas y los inconvenientes de cada enfoque: Ventajas e inconvenientes de cada enfoque de administracin de riesgos Cuantitativo Ventajas Se asignan prioridades a los riesgos segn las repercusiones financieras; se asignan prioridades de los activos segn los valores financieros. Los resultados facilitan la Cualitativo Permite la visibilidad y la comprensin de la clasificacin de riesgos. Resulta ms fcil lograr el consenso. No es necesario cuantificar la frecuencia de las amenazas. No es necesario determinar los valores

INFORME DE LECTURA Cuantitativo administracin del riesgo por el rendimiento de la inversin en seguridad. Los resultados se pueden expresar en terminologa especfica de administracin (por ejemplo, los valores monetarios y la probabilidad expresada como un porcentaje especfico). La precisin tiende a ser mayor con el tiempo a medida que la organizacin crea un registro de historial de los datos mientras gana experiencia. Inconvenientes Los valores de repercusin asignados a los riesgos se basan en las opiniones subjetivas de los participantes. El proceso para lograr resultados crebles y el consenso es muy lento. Los clculos pueden ser complejos y lentos. Los resultados slo se presentan en trminos monetarios y pueden ser difciles de interpretar por parte de personas sin conocimientos tcnicos. El proceso requiere experiencia, por lo que los participantes no pueden recibir cursos fcilmente durante el mismo. Cualitativo financieros de los activos. Resulta ms fcil involucrar a personas que no sean expertas en seguridad o en informtica.

No hay una distincin suficiente entre los riesgos importantes. Resulta difcil invertir en la implementacin de controles porque no existe una base para un anlisis de costo-beneficio. Los resultados dependen de la calidad del equipo de administracin de riesgos que los hayan creado.

Los enfoques cuantitativos parecan dominar la administracin de riesgos de seguridad; sin embargo, esto ha cambiado recientemente a medida que cada vez ms especialistas admiten que el seguimiento estricto de los procesos de administracin de riesgos cuantitativa da lugar a proyectos difciles y de larga duracin que muestran pocas ventajas tangibles.

V.

INFORME DE LECTURA Evaluacin de herramientas de diagnostico

El anlisis de la evaluacin del riesgo es una tcnica racional y ordenada y una solucin comprehensiva a la identificacin del problema y a la determinacin de la probabilidad. Tambin es un mtodo para estimar las prdidas anticipadas o esperadas como resultado de la ocurrencia de un suceso adverso. La palabra clave aqu es estimacin debido a que el anlisis del riesgo no ser nunca una ciencia exacta. No obstante, Anlisis funcional de las metodologas Magerit, Octave y Mehari. Del anlisis de cada una de ellas se identific como elementos funcionales importantes a incorporar en la metodologa bsica los siguientes: Principales elementos de Magerit Escalas de valores cualitativos, cuantitativos y de indisponibilidad del servicio. Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia. Escala alternativa de estimacin del riesgo. Catlogos de amenazas Catlogos de medidas de control Principales elementos de Octave Medidas de probabilidad considerando un rango de frecuencias. Anlisis del lmite entre niveles de probabilidad. Principales elementos de Mehari Niveles de categoras de controles Niveles de calidad de los servicios de seguridad Evaluacin de la calidad del servicio por medio de cuestionarios Tabla modelo de impactos

CONTINUIDAD DEL NEGOCIO Antes de iniciar el proceso de evaluacin de riesgos, anlisis e identificacin y procesos de una empresa o negocio, es necesario definir de forma clara las funciones que tiene la administracin de riesgos de seguridad. Debido a que el mbito de la administracin de riesgos incluye a toda la empresa, tanto a personas que no sean del grupo de seguridad de informacin y que pueden solicitar y formar parte del equipo. En este caso cada miembro tiene funciones y responsabilidades

INFORME DE LECTURA Definidas en el programa de administracin de riesgos. Todos los miembros del equipo deben comprender que el grupo de seguridad de informacin se encarga del proceso global. Es importante definir la responsabilidad porque el grupo de seguridad es el nico que es un participante clave en todas las etapas del proceso, incluida la elaboracin de informes ejecutivos. Es por eso que se deben identificar los siguientes procesos: Identificar los bienes que necesitan proteccin (dinero, productos manufacturados y procesos industriales por nombrar unos pocos) Identificar los tipos de riesgos que pueden afectar los bienes involucrados (robo interno, robo externo, incendio, o terremoto). Determinar la probabilidad de incidencia del riesgo. Hay que tener en cuenta aqu que dicha determinacin no es una ciencia sino un arte - el arte de proyectar la probabilidad. Determinar el impacto o el efecto si ocurriera una prdida determinada, en dlares a ser posible. Tambin se debe tomar en cuenta lo siguiente: Tener una orientacin estratgica, de conduccin o Gestin a fines de la auditora de sistemas en aquellas actividades referidas a la planificacin de los procesos y actividades dentro del rea de Sistemas y TI y la organizacin y administracin de riesgos y as realizar el cumplimiento de los objetivos definidos. Para ello se deben manejar objetivos de control como: Existencia de Plan Estratgico, con listado de proyectos con un horizonte de planeamiento de 4/5 aos. El mismo debe estar en consonancia con el Plan Estratgico Organizacional. Debe estar actualizado. Debe contemplar el presupuesto. Existencia de un Plan Operativo Anual, mismo que debe estar a la par con el Plan Estratgico de Sistemas y TI. Debe contemplar proyectos, responsabilidades, plazos de cumplimiento, revisin y costos. Planificacin y Organizacin de los servicios, procesos y procedimientos del rea de Sistema y su estructuracin (delimitacin precisa de posiciones y funciones, separacin de funciones por oposicin de intereses, contemplar que no se sobre asignen funciones en un mismo puesto). Para lograr los servicios y procesos se necesita realizar aplicaciones que pueden ser: Sistemas Integrados (de todos los mdulos) y desarrollados por la organizacin auditada. Las interfaces son entre mdulos del mismo sistema. El mantenimiento puede ser realizado internamente o por proveedor externo.

INFORME DE LECTURA Sistemas Integrados (de todos los mdulos) y desarrollados externamente (personal ajeno a la organizacin auditada). Las interfaces son tambin entre mdulos del mismo sistema. El mantenimiento puede ser realizado internamente o por proveedor externo. Varios Sistemas desarrollados con fines determinados, con o sin interrelacin entre s. En el caso de que exista interrelacin cobra relevancia la interfaz entre los mismos (por ejemplo el intercambio de datos a travs de web services). Pueden ser mantenidos internamente o por proveedor externo. Con seguridad administrada desde cada aplicacin o integrada. Sistemas Enlatados o Paquetes, para la organizacin auditada. Puede ser considerado software de terceros por ser la propiedad de las fuentes de una organizacin distinta a la auditada. Porque motivo realizar un anlisis de riesgo dentro de una empresa u organizacin tal es el caso de la resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony han ubicado al tema de la fuga de informacin entre los ms discutidos y controversiales de la agenda de medios. Si bien no se trata de una problemtica nueva, su creciente difusin ha permitido a las empresas tomar mayor conciencia sobre el valor de su informacin y la importancia de la privacidad y confidencialidad de la misma. Por ello hay que tomar en cuenta al menos estos pasos de seguridad y a si evitar riesgo dentro de nuestra propia empresa. Definir polticas de seguridad Utilizar tecnologas de seguridad Capacitar a los usuarios tcnicos o del departamento de IT. Controlar el acceso fsico de la informacin. Actualizacin del software para estar fuera de vulnerabilidades.

Si bien tengamos en cuenta que al menos todas o casi todas las empresas pueden estar preparadas para afrontar el desafo de proteger y realizar un anlisis de riesgo. Para ello, consideremos en conocer e implementar estos principios ya que es el primer paso que ayudar con la implementacin de correctas metodologas para cuidar informacin de la empresa. Es fundamental entender que cuidar la informacin es, sencillamente, cuidar el negocio, agreg Sebastin Bortnik, Coordinador de Awareness & Research de ESET Latinoamrica.

INFORME DE LECTURA Conclusin: Solo queda resumir que ya sea la empresa que sea tiene que tomar en cuenta que siempre puede existir un anlisis de riesgo y el cual se debe tener en el momento que aparezca o se presente esta situacin es ver el anlisis, el proceso e identificacin de por qu haya ocurrido dentro de la empresa, analizar el enfoque cuantitativo de la empresa tanto en los recursos e implementaciones que se vayan haciendo tomando en cuenta las ventajas y desventajas pero de los enfoques a donde se dirija o tenga como objetivo la empresa ya sea particular o incluso la propia misma.

BIBLIOGRAFA: Emagister (13 de diciembre de 19999), http://grupos.emagister.com/documento/libro_analisis_de_riesgos_y_estudio_de_seguridad/1140176319 Marcela Velsquez B, http://www.mundoenlinea.cl/noticia.php?noticia_id=754&categoria_id=4 . Grupo de Seguridad de RedCUDI (Internet-2 Mxico), http://seguridad.cudi.edu.mx/congresos/2003/esime/ariesgo.pdf CyTA (Buenos Aires, 15-01-2011), http://www.cyta.com.ar/ta1001/v10n1a3.htm https://www.microsoft.com/spain/technet/recursos/articulos/srsgch03.mspx