UNIDAD 3. PLANIFICACION DEL PROYECTO DE SOFTWARE 3.3 ANALISIS Y GESTION DEL RIESGO.

El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los clculos realizados. Este anlisis de riesgo es indispensable para lograr una correcta administracin del riesgo. La administracin del riesgo hace referencia a la gestin de los recursos de la organizacin. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total as como tambin el tratamiento del riesgo, evaluacin del riesgo y gestin del riesgo entre otras. La frmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta frmula determinaremos su tratamiento y despus de aplicar los controles podremos obtener el Riesgo Residual. Como se describe en el BS ISO / IEC 27001:2005, la evaluacin del riesgo incluye las siguientes acciones y actividades. Identificacin de los activos Identificacin de los requisitos legales y de negocios que son relevantes para la identificacin de los activos Valoracin de los activos identificados Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una prdida de confidencialidad, integridad y disponibilidad. Identificacin de las amenazas y vulnerabilidades importantes para los activos identificados. Evaluacin del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Clculo del riesgo. Evaluacin de los riesgos frente a una escala de riesgo preestablecidos. Elementos relacionados Activo. Es un objeto o recurso de valor empleado en una empresa u organizacin Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organizacin produciendo prdidas o daos potenciales en sus activos. Vulnerabilidad. Es una debilidad que puede ser explotada con la materializacin de una o varias amenazas a un activo. Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un dao potencial a servicios, recursos o sistemas de una empresa. Anlisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relacin entre sus principios y elementos. Control. Es un mecanismo de seguridad de prevencin y correccin empleado para disminuir las vulnerabilidades Proceso de Administracin de Riesgo Este proceso administracin de riesgo es un proceso continuo dado que es necesario evaluar peridicamente si los riesgos encontrados y si estos tienen una afectacin, hay que hacer calculo en las diferentes etapas del riesgo. La mecnica que se ve inversa el mayor nmero de las organizaciones hoy en da es en el esfuerzo del da a da. Es por eso realizar anlisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la organizacin

UNIDAD 3. PLANIFICACION DEL PROYECTO DE SOFTWARE 3.3 ANALISIS Y GESTION DEL RIESGO. Herramientas de apoyo Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de evaluar los riesgos, principalmente en el proceso de evaluacin de los mismos. Una vez terminado este proceso se debe documentar toda la informacin recabada para su anlisis posterior. La herramienta que debemos seleccionar debe contener al menos un mdulo de recoleccin de datos, de anlisis de los mismos y otro de reportes. La importancia de un buen anlisis y una buena presentacin de los datos analizados nos llevar a una efectiva interpretacin de la situacin actual de los riesgos y por ende, la seleccin de los controles que debemos implementar ser la ms acertada en el proceso de seleccin, ahorrando costos en productos y costos de operacin adems del ahorro de tiempo. Regulaciones y Normas que tratan el riesgo Comunicacin A 4609 del BCRA para entidades Financieras Requisitos mnimos de gestin, implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de informacin. ISO/IEC 27001 Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) ISO/IEC 27005 Esta Norma proporciona directrices para la Gestin del riesgo de Seguridad de la Informacin en una Organizacin. Sin embargo, esta Norma no proporciona ninguna metodologa especfica para el anlisis y la gestin del riesgo de la seguridad de la informacin. Basilea II Estndar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la proteccin de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX) Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros. Metodologas de Anlisis de Riesgos Citicus One: software comercial de Citicus, implementa el mtodo FIRM del Foro de Seguridad de la Informacin; CRAMM: CCTA Risk Assessment and Management Methodology fue originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de Siemens; ISO TR 13335: fue el precursor de la ISO/IEC 27005; MAGERIT Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin est disponible tanto en espaol como en ingls. OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation Metodologa de Anlisis y Gestin de Riesgos desarrollada por el CERT; NIST SP 800-39 Gestin de Riesgos de los Sistemas de Informacin, una perspectiva organizacional; NIST SP 800-30: Gua de Gestin de Riesgos de los Sistemas de Tecnologa de la Informacin, es gratuito; Mehari: Mtodo de Gestin y Anlisis de Riesgos desarrollado por CLUSIF (Club de la Scurit de

UNIDAD 3. PLANIFICACION DEL PROYECTO DE SOFTWARE 3.3 ANALISIS Y GESTION DEL RIESGO. l'Information Franais); AS/NZS: Norma de Gestin de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.