APLICACIN DEL ESTNDAR AUSTRALIANO DE ADMINISTRACIN DEL RIESGO AS/NZS 4360:1999 EN LA EMPRESA UGEL SAN MARTIN

27

Resumen
Este estudio aborda el proceso de administracin del riesgo empresarial, y se enfoca particularmente en la implementacin del Estndar Australiano de Administracin del Riesgo AS/NZS 4360:1999, realizando la identificacin, medicin y control de los riesgos financieros, estratgicos y del entorno de la empresa UGEL SAN MARTIN. Su desarrollo estuvo basado en fuentes primarias y secundarias proveniente de UGEL SAN MARTIN e informacin histrica proveniente del sector elctrico. Se espera que este estudio se convierta en un marco de referencia para UGEL SAN MARTIN como parmetro inicial en la medicin de los riesgos asociados al negocio y se estima que la empresa contine la implementacin de la administracin del riesgo con el fin de identificar los riesgos que se puedan presentar, medir su magnitud y definir la forma de responder ante ellos, de manera que no se afecten los intereses, el patrimonio y la responsabilidad de la organizacin. Palabras claves: Administracin del Riesgo, Estndar Australiano de Administracin del Riesgo AS/NZS 4360:1999, clasificacin de riesgos, proceso de gestin del riesgo, anlisis semicuantitativo, anlisis cuantitativo, Valor en Riesgo (VaR).

28

INTRODUCCIN
El concepto de riesgo est presente en la totalidad de las actividades que realiza el ser humano, por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware, poltica, etc.) en las Tecnologas de la Informacin, es necesario conocer la prioridad de aplicacin y que tipi de medida puedo aplicar. El anlisis de riesgos es el primer paso de la seguridad informtica.

Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Anlisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Las metodologas de anlisis de riesgos existentes describen sus etapas en forma terica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una metodologa cualitativa prctica para realizar un anlisis de riesgos a la reas de TI, estableciendo el cmo puede ejecutarse el anlisis.
1. MARCO TERICO La palabra riesgo proviene del italiano risicare, que signica desaar, retar, enfrentar, atreverse. En el Nuevo Diccionario Espaol - latino etimolgico se dene como: Peligro, prueba, tentativa, exponerse a un peligro, poner en peligro a uno, suscitarle algn peligro, lanzarse, arrojarse al peligro (De Miguel y el Marqus de Morante, 1887, p. 211). Segn Philippe Jorion, el riesgo puede ser denido como la volatilidad de los ujos nancieros no esperados, generalmente derivada del valor de los activos o pasivos. Todas las deniciones de riesgo llevan a pensar que en una situacin riesgosa existen muchos elementos que es necesario analizar para poder llegar a controlarlo (objetivos, probabilidad, incertidumbre, efectos), y si bien los riesgos pueden traer consecuencias negativas, no tomarlos en algunas ocasiones puede ser un riesgo en s mismo, pues se pueden perder oportunidades que podran traer mayores benecios. Es importante diferenciar entre riesgo e incertidumbre. La incertidumbre existe siempre que no se sabe con seguridad qu ocurrir en el futuro; el riesgo es la incertidumbre que afecta negativamente el bienestar de la gente. La administracin de riesgos debe estar incorporada dentro de la organizacin a travs de los procesos de estrategia y presupuesto. Una buena Administracin de Riesgos se centra en la identicacin y el tratamiento de esos riesgos para aumentar la probabilidad de xito y reducir tanto la probabilidad de

29

fracaso como la incertidumbre de lograr los objetivos y metas generales de la organizacin. La figura 1 presenta las etapas que siguen al proceso de gestin de riesgos de cualquier naturaleza, el cual utiliza como marco el Proyecto de Norma Tcnica NTC 5254 sobre gestin de riesgos del Instituto Colombiano de Normas Tcnicas (ICONTEC), que a su vez es una adaptacin del Estndar Australiano de Administracin del Riesgo AS/NZS 4360:1999.

30

2. METODOLOGA La investigacin desarrollada se enmarca dentro del rea del conocimiento de la Administracin en el rea de la Gestin Estratgica orientada hacia el mejoramiento de la gestin empresarial integral para lograr una mayor productividad y competitividad. Esta investigacin utiliz la construccin terica de tipo explicativa, la cual establece la interpretacin de los investigadores con relacin a los diferentes eventos de riesgos encontrados de tipo nanciero, estratgico y de entorno. Se llevaron a la prctica conocimientos tericos de un modelo para la administracin del riesgo y se estableci la implementacin del proceso de gestin del riesgo. Se utiliz un diseo de investigacin analtico - descriptivo. Como instrumentos de recoleccin de los datos utilizados en la investigacin se consultaron fuentes primarias y secundarias. La tcnica utilizada para la recoleccin de la informacin fue la entrevista no estructurada, teniendo en cuenta los antecedentes de la empresa, y fue aplicada al personal directivo, gerentes y/o jefes de rea. La entrevista no estructurada se efectu por medio de un cuestionario con preguntas abiertas que se constituy en gua bsica para el desarrollo de la misma. Por otra parte, se utiliz la observacin de escenarios apoyada en listas de chequeo, diagramas de ujo, entre otros. Dentro de las fuente secundarias consultadas se tuvo en cuenta la metodologa propuesta en la Norma Britnica (A Risk Management Standard-AIRMIC), el Estndar Australiano de Administracin del Riesgo AS/NZS 4360:1999, la Norma Britnica de Administracin del Riesgo, Gua 73 de ISO/IEC, informes peridicos empresarial a nivel nanciero, comercial, de vigilancia y control, aspectos legales y normativos del sector elctrico, informacin emitida por el Ministerio de Minas y Energa MME, Unidad de Planeacin Minero Energtica UPME y la Comisin de Regulacin de energa y Gas CREG, la Superintendencia de Servicios Pblicos Domiciliarios SSPD, entre otros. 3. PRINCIPALES HALLAZGOS El Estndar Australiano AS/NZS 4360:1999, por ser una gua genrica para la implementacin del proceso de administracin del riesgo, permiti involucrar el contexto, la identicacin, el anlisis, la evaluacin, el tratamiento, la comunicacin y el monitoreo en curso de los riesgos. 3.1. Contexto El proceso de administracin de riesgos ocurre dentro de la estructura del contexto estratgico, organizacional y de administracin de riesgos de una organizacin. El contexto incluye los aspectos nancieros, operativos, competitivos, polticos, sociales, de clientes, culturales, legales, etc. En este caso, ste estuvo enfocado hacia la identicacin, medicin y control de los riesgos nancieros, estratgicos y de entorno de UGEL San Martin. De acuerdo con la metodologa planteada por el Estndar Australiano AS/NZS 4360:1999 y la Gua 73 de ISO/IEC se realiz el anlisis interno, externo, de entorno y

31

el anlisis de las 5 fuerzas de Porter para la revisin del contexto estratgico en el que se desenvuelve la empresa. 3.2. Identicacin de los riesgos 3.2.1. Identicacin preliminar identicada en UGEL San Martin. Con el fin de realizar la identicacin preliminar de los riesgos ms signicativos para el flujo de negocio de generacin de la UGEL San Martin, se cont con informacin preliminar tomada de la empresa, la cual sirvi de base para la descripcin de los algunos riesgos preliminares propios del funcionamiento en que se desenvuelve la empresa. Estos riesgos son:

Saturacin de procesos y transacciones debido a la necesidad de equipamiento para la empresa. Fuga o robo de informacin mediante dispositivos de almacenamiento como USB, disquete ya que estos estn habilitados y no se controla su uso para cualquier usuario. La configuracin de los equipos de cmputo pueden ser modificados por cualquier persona, como la configuracin del BIOS de las PCs u otros. Cualquier persona que labora dentro de las instalaciones de las oficinas, podra casualmente u ocasionalmente mover los cables o pisarlos hasta perder energa elctrica en dicha rea o malograr los cables para el acceso a la red, esto por falta de control y orden en la estructura del cableado, tanto para internet, suministro de energa, etc. Grandes posibilidades de fraude e incursin en delitos, y errores en el manejo del sistema, provocando errores inesperados, debido al desconocimiento de las normas de buen uso del sistema. Las tareas de mantenimiento en el sistema se tornan ms difciles, esto ocasionado por falta de informacin y documentacin relacionada a los cambios contractuales realizados en la base de datos. No existen procedimientos programados para la generacin de backups y al no contar con backups de los datos, la organizacin est expuesta a poner en riesgo la continuidad del negocio, debido a que ante cualquier desastre no se podra continuar con la actividad diaria. Carencia de un buen soporte de documentacin en el centro de cmputo e Informtica, lo que genera malas decisiones en la empresa.

32

Inexistencia de planes de seguridad y falta de documentacin de manuales o documentos para el soporte de la seguridad informtica. Los sistemas (SIAF, Abastecimiento, Planilla, Escalafn u otros), no tiene implementado alarmas de seguridad que anuncie riesgo en un momento determinado cuando se realizan transacciones con la informacin. baje la performance del sistema debido a cuellos de botella o restricciones en los recursos No existe un plan de monitorizacin general de la red que puede generar que No existen reportes donde indique la actividad de un usuario con respecto al uso de algunos datos. No se realiza documentacin de las modificaciones realizadas en el sistema que puede generar confusin en la utilizacin del sistema por desconocer la variacin de los datos realizados por algn factor causante. Falta de validacin al acceso de informacin en el sistema. La falta de clasificacin de la informacin impide llevar un control adecuado en la confidencialidad de la informacin. Falta de existencia de documentacin respecto a instalacin y en la configuracin de las PCs. No existe polticas formales para contratar personal externo para el desarrollo de sistemas

3.2.2. Clasicacin de Riesgos de UGEL San Martin.

Evaluacin de la seguridad en las comunicaciones Evaluacin de la seguridad de las aplicaciones Evaluacin de la seguridad fsica Evaluacin de la administracin del centro de cmputo Evaluacin de las auditoras y revisiones
4.2 IDENTIFICACIN DE RIESGOS

4.2.1 Identificacin Preliminar Con el fin de realizar la identificacin preliminar de los riesgos ms significativos para la UGEL SAN Martn, se cont con informacin preliminar tomada de la institucin, la cual sirvi de base para la descripcin de los algunos riesgos preliminares propios de los procesos de la institucin.

EVALUACIN DE LA SEGURIDAD LGICA: 8.1.1. Identificacin de usuarios:

33

Las contraseas de los usuarios del sistema no cuentan con una fecha de expiracin definida en el sistema y tampoco tienen asignado un tiempo determinado para cambiar los mismos. El sistema no tiene implementado un contador de intentos fallidos, y por lo tanto est expuesto a ataques externos con tcnicas de ingeniera social. No existen periodos de revisin en el funcionamiento de las cuentas de los usuarios, ni sobre sus permisos que tienen asignados. El sistema no cuenta con restricciones horarias para ingresar al sistema al momento de logueo. El sistema no valida el tiempo de actividad de las cuentas de los usuarios, es decir pueden estar activas durante mucho tiempo dejando en riesgo la informacin que se maneja. 8.1.2. Autenticacin de usuarios Las transmisin de datos no son encriptados para ser enviados y almacenados por la red.

EVALUACIN DE LA SEGURIDAD EN LAS COMUNICACIONES: 8.1.3. Topologa de red: Acceso a la red LAN compleja y los servidores no estn conectados a un UPS para la continuidad de las operaciones. 8.1.4. Comunicaciones externas: No existe seguridad en comunicaciones externas y tiene riesgos con factores como Spoofing y sniffing la cual hace vulnerable a la informacin que maneja la empresa. 8.1.5. Configuracin lgica de red: Los datos de los usuarios en la red no estn protegidos debido a que no existen medidas de seguridad tomadas. Existencia de archivos compartidos en las terminales de trabajo 8.1.6. Antivirus: La responsabilidad de actualizar el antivirus recae en los usuarios. 8.1.7. Ataques de red:

34

La empresa no cuenta con mtodos ni instrumentos destinados especialmente para la deteccin de intrusos en la red.

EVALUACIN DE LA SEGURIDAD DE LAS APLICACIONES: 8.1.8. Software: Falta de validacin al acceso de informacin en el sistema. 8.1.9. Seguridad de bases de datos: La empresa no tiene clasificados adecuadamente sus datos segn la importancia que tienen dentro de la misma. 8.1.10. Control de aplicaciones en PCs:

Falta de existencia de documentacin respecto a instalacin y en la configuracin de las PCs. 8.1.11. Ciclo de vida del desarrollo del software:

No existe polticas formales para contratar personal externo para el desarrollo de sistemas. EVALUACIN DE LA SEGURIDAD FSICA: 8.1.12. Equipamiento:

Necesidad de equipamiento para la empresa. Impactos: Saturacin de procesos y transacciones. Sugerencias: Debe realizarse un anlisis de los procesos para ver los requerimientos inmediatos indispensables en el momento de

servicios, transacciones y otros. 8.1.13. Control de acceso a equipos:

Los equipos de cmputo disponen puertos USB, disquetera, siendo de baja importancia para el personal que lo utiliza, estn habilitados y no se controla su uso. Falta de control para la configuracin del BIOS de las PCs. 8.1.14. Cableado estructurado:

Falta de control y orden en la estructura del cableado, tanto para internet, suministro de energa, etc.

EVALUACIN DE LA ADMINISTRACIN DEL CENTRO DE CMPUTO:

35

8.1.15.

Capacitacin de usuarios:

Los usuarios son reacios a acciones que se lleven a cabo con el fin de auditar sus actividades en el sistema, y tienen desconocimiento de las normas de buen uso del sistema. 8.1.16. Backup:

Carecen de procesos en los cuales se documenten los cambios realizados en la base de datos. No existen procedimientos programados para la generacin de backups y para su posterior restauracin con los datos de la empresa. 8.1.17. Documentacin:

Carecen de un buen soporte de documentacin en el centro de cmputo e Informtica. Inexistencia de planes de seguridad y falta de documentacin de manuales o documentos para el soporte de la seguridad informtica.

EVALUACIN DE LAS AUDITORAS Y REVISIONES 8.1.18. Chequeos del sistema

Los sistemas (SIAF, Abastecimiento, Planilla, Escalafn, Ingresos u otros), no tiene implementado alarmas de seguridad que anuncie riesgo en un momento determinado cuando se realizan transacciones con la informacin. No se realiza documentacin de las modificaciones realizadas en el sistema. 8.1.19. Auditorias de control de acceso

Los usuarios que acceden a los datos del sistema no son identificados y reconocidos correctamente. No existen reportes donde indique la actividad de un usuario con respecto al uso de algunos datos. 8.1.20. Auditoras de redes

No existe un plan de monitorizacin general de la red.

4.2.2 Clasificacin de los Riesgos Utilizando el esquema de clasicacin de riesgos planteado por Bravo y Snchez es posible clasicar los riesgos existentes en UGEL en cinco grandes grupos:

36

Evaluacin de la seguridad lgica Evaluacin de la seguridad en las comunicaciones Evaluacin de la seguridad de las aplicaciones Evaluacin de la seguridad fsica Evaluacin de la administracin del centro de cmputo Evaluacin de las auditoras y revisiones

Para realizar el anlisis semicuantitativo se le asignaron valores a las escalas cualitativas denidas de la matriz de UGEL, con el n de realizar un ordenamiento de prioridades ms detallado que se hubiese logrado con el anlisis cualitativo. En esta etapa se realiz la identicacin de los riesgos de acuerdo con su probabilidad de ocurrencia y con el impacto que pudieran obtener sobre el cumplimiento de los objetivos de la empresa. En muchos casos es necesario identicar el riesgo puro, es decir, aquel que no ha tenido ningn tipo de intervencin, y el riesgo actual, dada la gestin que la empresa est realizando para su control. Para la valoracin de los riesgos de UGEL se realiz una medicin semicuantitativa, en la cual se valora la probabilidad de ocurrencia y el impacto de cada riesgo de acuerdo con una escala descriptiva. La calicacin para la probabilidad y para el impacto de UGEL se estableci en cinco niveles de acuerdo con la probabilidad de ocurrencia: Remoto: ocasionalmente puede presentarse una vez cada diez o ms aos Improbable: ocasionalmente puede presentarse una vez entre siete y diez aos Moderado: puede presentarse una vez entre uno y tres aos Probable: puede presentarse una vez entre tres y siete aos Casi cierto: es probable que ocurra entre una o varias veces por ao

En cuanto a la magnitud del impacto, si ste es Bajo: el impacto no afecta de manera signicativa y puede ser asumido por el giro normal de las operaciones, ya que no afecta la prestacin del servicio, viabilidad empresarial o la relacin con el cliente.

37

 Moderado: el impacto afecta de manera signicativa pero puede ser asumido por el giro normal de las operaciones, ya que no afecta la prestacin del servicio, viabilidad empresarial o la relacin con el cliente. Intermedio: se puede ver afectada la eciencia, lo cual disminuye la calidad del servicio, y esto genera insatisfaccin en el cliente y retrasos en la operacin. Alto: el impacto afecta de manera importante y se generan importantes prdidas, en la medida de tiempo y servicio as como nancieras. Crtico: Se afectan los estndares de los indicadores, se genera incumplimiento regulatorio, se puede poner en riesgo la prestacin del servicio, viabilidad de la empresa y se afecta la relacin con el cliente.

El resultado de la multiplicacin de probabilidad de ocurrencia por impacto fue la siguiente

CASI CIERTO 10 PROBABLE 7 MODERADO 5 IMPROBABLE 3 REMOTO 1 BAJO 1 MODERADO 3 INTERMEDIO 5 ALTO 7 CRTICO 10

Nivel tolerancia

Como puede verse, la multiplicacin de probabilidad de ocurrencia por magnitud del impacto para cada uno de los riesgos identicados permite establecer la matriz mencionada para los riesgos de entorno, nancieros y estratgicos, donde se encuentran ilustradas las calicaciones que pueden obtener los riesgos por cada clasicacin. Riesgos ms crticos: 70 y 100
38

 Riesgos importantes: 30, 35, 49, 50 Riesgos de importancia media: 7, 9, 0, 15, 21 Riesgos de importancia baja: 1, 3, 5

Los riesgos ms crticos y los riesgos importantes son aquellos en los que la empresa debe enfocar sus esfuerzos para buscando minimizar su impacto en el ujo de caja. Los riesgos de importancia media y baja deben ser tratados por la empresa, pero su grado de importancia en el largo plazo, y su mayor esfuerzo debe estar enfocado hacia los riesgos ms crticos e importantes.

El nivel de tolerancia para UGEL fue establecido de acuerdo con lo sealado internacionalmente. Todos los riesgos ubicados por encima del nivel de tolerancia sern considerados como riesgos crticos e importantes, por cual la empresa debe realizar seguimiento y tratamiento estricto para minimizar el impacto de los mismos en el ujo de caja en caso de su ocurrencia.

4.2.3 Valoracin de Riesgos

39

RIESGO DE LA SEGURIDAD FSICA y LA ADMINISTRACIN DEL CENTRO DE CMPUTO T 1 Saturacin de procesos y transacciones debido a la necesidad de equipamiento para la empresa. Fuga o robo de informacin mediante dispositivos de almacenamiento como USB, disquete ya que estos estn habilitados y no se controla su uso para cualquier usuario. La configuracin de los equipos de cmputo pueden ser modificados por cualquier persona, como la configuracin del BIOS de las PCs u otros. Cualquier persona que labora dentro de las instalaciones de las oficinas, podra casualmente u ocasionalmente mover los cables o pisarlos hasta perder energa elctrica en dicha rea o malograr los cables para el acceso a la red, esto por falta de control y orden en la estructura del cableado, tanto para internet, suministro de energa, etc. Grandes posibilidades de fraude e incursin en delitos, y errores en el manejo del sistema, provocando errores inesperados, debido al desconocimiento de las normas de buen uso del sistema. Las tareas de mantenimiento en el sistema se tornan ms difciles, esto ocasionado por falta de informacin y documentacin relacionada a los cambios contractuales realizados en la base de datos. No existen procedimientos programados para la generacin de backups y al no contar con backups de los datos, la organizacin est expuesta a poner en riesgo la continuidad del negocio, debido a que ante cualquier

PROBABILIDAD MAGNITUD OCURRENCIA DE IMPACTO 10 1

TOTALIZACION DEL RIESGO 10

10

10

100

10

30

10

30

10

70

10

30

10

10

100

27

desastre no se podra continuar con la actividad diaria. T 8 Carencia de un buen soporte de documentacin en el centro de cmputo e Informtica, lo que genera malas decisiones en la empresa. Inexistencia de planes de seguridad y falta de documentacin de manuales o documentos para el soporte de la seguridad informtica. 7 3 21

49

10 Los sistemas (SIAF, Abastecimiento, Planilla, Escalafn u otros), no tiene 7 implementado alarmas de seguridad que anuncie riesgo en un momento determinado cuando se realizan transacciones con la informacin. 11 No existe un plan de monitorizacin general de la red que puede generar que baje la performance del sistema debido a cuellos de botella o restricciones en los recursos 12 No existen reportes donde indique la actividad de un usuario con respecto al uso de algunos datos. 13 No se realiza documentacin de las modificaciones realizadas en el sistema que puede generar confusin en la utilizacin del sistema por desconocer la variacin de los datos realizados por algn factor causante. 10

35

30

10

70

10

30

RIESGO DE LA SEGURIDAD DE LAS APLICACIONES

PROBABILIDAD MAGNITUD OCURRENCIA DE IMPACTO 10 10

TOTALIZACION DEL RIESGO 100

Falta de validacin al acceso de informacin en el sistema.

28

La falta de clasificacin de la informacin impide llevar un control adecuado en la confidencialidad de la informacin. Falta de existencia de documentacin respecto a instalacin y en la configuracin de las PCs. No existe polticas formales para contratar personal externo para el desarrollo de sistemas

10

70

35

35

29

27

I.

CONCLUSIONES

El Anlisis de Riesgos de identificados de la UGELSM - T. dar paso al desarrollo del Plan de Seguridad de los Sistemas de Informacin, en el cual se establecen las normas a cumplir para mantener seguros los Sistemas de Informacin con los que se cuenta.

Es de suma importancia considerar las vulnerabilidades que puedan permitir la ocurrencia de las amenazas, generando riesgos para poder administrarlos e intentar mitigarlos de manera que se pueda mantener seguros los Sistemas de Informacin.

76

II.

RECOMENDACIONES:

Las recomendaciones para mejorar la gestin de la informacin son las siguientes:

1. Mejorar y documentar las polticas de Copias de Seguridad de la Informacin, haciendo hincapi en la necesidad de generar las mismas slo al finalizar todas las operaciones del da.

2. Automatizar en lo posible el proceso de copias de seguridad, sobre todo las que se generan a fin de mes.

3. Solicitar al personal encargado del software la capacitacin al personal en el funcionamiento de las diferentes opciones del mismo, de acuerdo a la funcin que desempea.

4. Solicitar al personal encargado del software que se proporcionen los manuales lneas, sean actualizaciones o nuevos.

5. Debido a la importancia de la conservacin y cuidado de la base de datos que almacena la informacin de la operativa diaria de la entidada, la falta de medidas de control en la misma, puede repercutir drsticamente en la continuidad del negocio, pudiendo inclusive dejar de atender o lo que es peor llegar a perder informacin valiosa.

77