CAPITULO 2

CONCEPTUALIZACIN PARA EL ANLISIS DE RIESGOS

40

2.1 RIESGO En esta seccin se analizarn algunos trminos, conceptos y metodologas que nos ayudarn a entender el uso y la importancia de un riesgo.

2.1.1 Qu es un Riesgo?

Se define como riesgo a la probabilidad de que cualquier eventualidad se aproveche de las vulnerabilidades de un sistema, de forma que imposibilite el cumplimento de un objetivo o ponga en peligro a los bienes de la organizacin, ocasionndole perdidas o daos.

2.1.2 Clasificacin de Riesgos

Tomando en cuenta el ambiente en el que se desenvuelve la empresa hemos definido los siguientes tipos de riesgo:

Riesgo Estratgico: Este tipo de riesgo es muy delicado de tratar, se produce a niveles altos de la empresa ya que se asocia con la forma en la que esta se administra.

Riesgos Operativos: Comprende los riesgos relacionados con deficiencias en los sistemas de informacin o controles internos, cubre dos aspectos claves: la integridad de los procesos de negocios y la habilidad de mantener la entrega de productos en forma consistente y oportuna.

Riesgos Financieros: Como su nombre lo dice, dicho riesgo se relaciona con el manejo de los recursos de la empresa.

Riesgos de Cumplimiento: Se asocian con la capacidad de la empresa para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la comunidad.

41

Riesgos de Tecnologa: Dicho riesgo se relaciona con la capacidad tecnolgica disponible por la empresa para satisfacer sus necesidades actuales, futuras y de soporte al cumplimiento de su misin.

2.2 IDENTIFICACIN DE RIESGOS

La identificacin de riesgos es un proceso, mediante el cual se pretende reconocer todos los riesgos potenciales que estn o no bajo el control de la empresa, as como la determinacin de sus causas, agentes generadores y principales efectos.

Antes de enfrentar los riesgos, estos deben ser identificados, este proceso debe ser constante, pues nuevas amenazas estn surgiendo diariamente.

Un factor importante dentro de la identificacin de riesgos es la comunicacin dentro de la empresa, el propsito es generar un flujo constante de informacin acerca de las actividades que desarrolla la organizacin.

2.2.1 Mtodos de Identificacin de riesgo

Disponemos de algunos mtodos que nos ayudan a identificar los riesgos de una empresa, entre estos tenemos:

Mtodos comparativos Se basan en el uso de tcnicas obtenidas de la experiencia adquirida en equipos e instalaciones similares existentes, as como en el anlisis de sucesos que hayan ocurrido en establecimientos parecidos al que se analiza. Principalmente son cuatro mtodos los existentes:

Manuales tcnicos o cdigos y normas de diseo. Listas de comprobacin. Anlisis histrico de accidentes. Anlisis preliminar de riesgos. 42

Mtodos generalizados Estos mtodos estudian las instalaciones y procesos de la empresa mucho ms estructuradamente. Normalmente siguen un procedimiento lgico de deduccin de fallos, errores, desviaciones en equipos, instalaciones, procesos, operaciones, etc. Existen algunos mtodos de este tipo como:

Anlisis Qu pasara si? Anlisis funcional de operabilidad. Anlisis de rbol de fallos. Anlisis de rbol de sucesos. Anlisis de modo y efecto de los fallos.

2.3 ANLISIS DE RIESGOS En esta seccin se detallar algunos trminos que servirn para entender la importancia del anlisis de riesgos

2.3.1 Qu es el Anlisis de Riesgos?

El anlisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificndolos y evalundolos con el fin de obtener informacin para establecer el nivel de riesgo y las acciones que se van a implementar7.

Dentro del anlisis de riesgos se debe decidir que hacer con estos, obviamente no todos son iguales ni tampoco sus impactos, por ello cada riesgo se debe tratar independientemente.

A continuacin se muestran las posibles acciones que se pueden tomar frente a los riesgos analizados.

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Gua de administracin del riesgo, 2006, http://www.dafp.gov.co

43

Evitar el riesgo: Significa poner en practica las acciones orientadas a prevenir su materializacin.

Reducir el riesgo: Implica tomar las medidas encaminadas a disminuir tanto la probabilidad de que ocurra (medidas de prevencin), como el impacto que produzca (medidas de proteccin).

Compartir o Transferir el riesgo: Reduce su efecto a travs del traspaso de las prdidas a otras organizaciones, como en el caso de los contratos de seguros o a travs de otros medios que permiten distribuir una porcin del riesgo con otra empresa, como en los contratos a riesgo compartido.

Asumir un riesgo: Quiere decir que el riesgo con su respectivo impacto sern tolerados por la empresa, estos riegos pueden existir luego de que han sido reducidos o transferidos, es decir son riesgos mnimos que la empresa prefiere sobrellevarlos en lugar de enfrentarlos.

Es importante mencionar que el anlisis de riesgos depender directamente de la informacin obtenida.

Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos:

- Calificacin del Riesgo: Se logra a travs de la estimacin de la probabilidad de su ocurrencia y el impacto que puede causar la materializacin del riesgo. La primera representa el nmero de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la magnitud de sus efectos8.

- Evaluacin del Riesgo: Permite comparar los resultados de su calificacin, con los criterios definidos para establecer el grado de exposicin de la entidad al riesgo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados,

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Gua de administracin del riesgo, 2006, http://www.dafp.gov.co

44

importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento9.

2.3.2 Objetivos

Gracias al anlisis de riesgos podremos: x

Identificar, medir y prevenir los riesgos que representa una instalacin industrial para los bienes de la empresa.

x x

Deducir los posibles accidentes graves que pudieran producirse.

Determinar las consecuencias en el espacio y el tiempo de los accidentes, aplicando determinados criterios de vulnerabilidad.

x x

Analizar las causas de dichos accidentes y proponer soluciones.

Discernir sobre la aceptabilidad o no de las propias instalaciones y operaciones realizadas en la empresa.

Definir medidas y procedimientos de prevencin y proteccin para evitar la ocurrencia y/o limitar las consecuencias de los accidentes.

2.3.3 Metodologas de Anlisis de Riesgos

La metodologa ISO 27001 que estamos siguiendo nos da la libertad de elegir la metodologa para anlisis de riesgos que ms nos convenga, a continuacin revisaremos algunas de las metodologas ms usadas:

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Gua de administracin del riesgo, 2006, http://www.dafp.gov.co

45

2.3.3.1 MAGERIT

MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin fue desarrollada por el ministerio de administraciones pblicas de Madrid, esta enfocada a la informacin mecanizada y a los sistemas informticos que la tratan, dicha metodologa nos permitir saber cuanto de los activos de la empresa estn en juego y como protegerlos.

MAGERIT persigue los siguientes objetivos:

1. Concientizar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de tratarlos a tiempo. 2. Ofrecer un mtodo sistemtico para analizar tales riesgos. 3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control10.

Esta metodologa propone las siguientes tareas a realizar:

1. Anlisis de Riesgos El anlisis de riesgos es una tcnica utilizada para determinar el riesgo siguiendo los siguientes pasos establecidos:

a. Determinar los activos relevantes para la Organizacin, su interrelacin y su valor, en el sentido de qu perjuicio (coste) supondra su degradacin. b. Determinar a qu amenazas estn expuestos aquellos activos. c. Determinar qu salvaguardas hay dispuestas y cun eficaces son frente al riesgo. d. Estimar el impacto, definido como el dao sobre el activo derivado de la materializacin de la amenaza. e. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materializacin) de la amenaza11.

10

MINISTERIO DE ADMINISTRACIONES PBLICAS DE MADRID, MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, 20 de junio de 2006, http://publicaciones.administracion.es

46

2. Gestin del Riesgo En esta tarea se resuelve que hacer con los riesgos e impactos determinados, incluye los siguientes pasos:

a. Interpretacin de los valores de impacto y riesgo residual. b. Seleccin de salvaguardas. c. Anlisis de prdidas y ganancias. d. Colaboracin de la direccin de la empresa. e. Revisin de los activos de la empresa12.

2.3.3.2 MECI

MECI, Modelo Estndar de Control Interno para el Estado Colombiano, proporciona la estructura bsica para evaluar la estrategia, la gestin y los propios mecanismos de evaluacin del proceso administrativo, y aunque promueve una estructura uniforme, se adapta a las necesidades especficas de cada empresa, a sus objetivos, estructura, tamao, procesos y servicios que suministran13.

El propsito esencial de MECI es encaminar a las empresas hacia el cumplimiento de sus objetivos, para lo cual se estructura en tres grandes subsistemas, que a su vez se subdividen en componentes y elementos de control:

1. Subsistema de control estratgico. Organiza los parmetros de control que encaminaran a la empresa al cumplimiento de sus objetivos.

1.1 Ambiente de control

11

MINISTERIO DE ADMINISTRACIONES PBLICAS DE MADRID, MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, 20 de junio de 2006, http://publicaciones.administracion.es 12 Idem. 13 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Manual de Implementacin de la metodologa MECI, marzo del 2006, http://www.dafp.gov.co

47

Tiene que ver con la planificacin, la gestin de operacin y en los procesos de mejoramiento institucional, basndose en el marco control son: Acuerdos compromisos o protocolos ticos Desarrollo del talento humano Estilo de direccin legal, sus componentes de

1.2 Direccionamiento estratgico Este componente se encarga de orientar a la empresa al cumplimiento de su misin, su visin y sus objetivos, sus componentes de control son: Planes y programas Modelo de operacin por procesos Estructura organizacional

1.3 Administracin de riesgos Este componente permite a las empresas evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales, los componentes de control que intervienen son: Contexto estratgico Identificacin de riesgos Anlisis de riesgos Valoracin de riesgos Polticas de administracin de riesgos

2. Subsistema de control de gestin. Orienta a la empresa al desarrollo de planes, programas, procesos, actividades, procedimientos, recursos informacin y medios de comunicacin.

2.1 Actividades de control Conjunto de actividades que garantizan el control de las acciones para el manejo de riesgos y consecucin de resultados. Sus componentes de control son:

Polticas de operacin Procedimientos 48

Controles Indicadores Manual de procedimientos

2.2 Informacin El componente Informacin vincula a la empresa con su entorno y facilita la ejecucin de sus operaciones internas. Informacin primaria Informacin secundaria Sistemas de informacin

2.3 Comunicacin pblica Conjunto de Elementos de Control, que apoyan el perfeccionamiento de las relaciones humanas de la empresa. Comunicacin organizacional Comunicacin informativa Medios de comunicacin

3. Subsistema de control de evaluacin. Se enfoca a la valoracin permanente de los resultados obtenidos por la empresa a travs de sus diferentes mecanismos de verificacin y evaluacin.

3.1 Autoevaluacin Permite a la empresa medir la efectividad de los controles en los procesos y los resultados de la gestin en tiempo real. Autoevaluacin de control Autoevaluacin de gestin

3.2 Evaluacin independiente Es la encargada de la evaluacin independiente del Sistema de Control Interno y de proponer las recomendaciones y sugerencias que contribuyan a su mejoramiento y optimizacin. Evaluacin independiente al sistema de control interno Auditoria interna 49

3.3 Planes de mejoramiento Conjunto de Elementos de Control, que consolidan las acciones de mejoramiento necesarias para corregir las desviaciones encontradas en el Sistema de Control Interno y en la gestin de operaciones. Plan de mejoramiento institucional Plan de mejoramiento por procesos Plan de mejoramiento individual

Como se observo, MECI no slo es una metodologa para el anlisis de riesgos sino para un control interno total, sin embargo la parte de esta metodologa que nos interesa es el componente de Administracin de riesgos (Cfr. Supra), por esta razn extraemos este tem para desarrollarlo mejor.

Administracin de riesgos Es un componente de la metodologa MECI que nos ayuda con el anlisis de riesgos, a continuacin se muestran los pasos propuestos para ello.

Contexto estratgico Da soporte a las decisiones que la empresa tomara frente a los riesgos que puedan afectarla, la idea primordial de este paso es que permite a la empresa conocer las situaciones generadoras de riesgo, adems de facilitar la identificacin de riesgos para su posterior anlisis y valoracin; tres aspectos a tomar en cuenta son:

a. Identificar factores externos: Factores externos que puedan ocasionar la presencia de riesgos, se los puede detectar a travs de un anlisis de la informacin externa, de los planes y programas de la empresa.

b. Identificar factores internos: Factores que pueden ocasionar la presencia de riesgos, para ello es importante el anlisis de los componentes: ambiente de control, direccionamiento estratgico y dems estudios sobre la cultura organizacional y el clima laboral de la empresa.

50

c. Aportar informacin: Informacin que facilite y enriquezca las dems etapas de la administracin del riesgo.

Identificacin de riesgos La parte terica de este punto ya se lo trato anteriormente en la seccin 2.2, sin embargo para su implementacin nos basaremos en la siguiente tabla, la cual nos ayuda a organizar y presentar la informacin identificada.

Servicio Objetivo del Servicio Causas Riesgo Descripcin Impactos

Tabla 1 Formato de tabla para la identificacin de riesgos

Detalle de la tabla de identificacin de riesgos.

Servicio: Actividad, proceso o servicio de la empresa en la que se tratan de identificar posibles riesgos. Objetivos del Servicio: En esta parte se anotaran los objetivos que se pretender alcanzar con la actividad, proceso o servicio elegido. Causas: Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos para la empresa. Riesgo: Listado de los riesgos identificados. Descripcin: Caractersticas mas importantes de los riesgos anotados. Impactos: Precisar los efectos que los riesgos puedan ocasionarle a la empresa.

Se realizara una tabla por cada proceso o servicio del que se deseen identificar sus riesgos.

Anlisis de riesgos El desarrollo terico sobre el anlisis de riesgos se lo trata en el punto 2.3 del presente documento, por ello, aqu solo se describir la forma de elaborarlo. 51

Una vez identificados los riesgos se procede a calificarlos estimando la probabilidad de su ocurrencia y el impacto que puede causar su materializacin, luego se realiza una evaluacin de los riesgos, la cual permite comparar los resultados de su calificacin con el estado actual de la empresa frente a tales riesgos.

Con el fin de facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta una matriz que contempla un anlisis cualitativo, que hace referencia a la utilizacin de formas descriptivas para presentar la magnitud de los impactos y la posibilidad de ocurrencia. Tomando las siguientes categoras: leve, moderada y catastrfica en relacin con el impacto y alta, media y baja respecto a la probabilidad14.

As mismo, presenta un anlisis cuantitativo, que contempla valores numricos que contribuyen a la calidad en la exactitud de la calificacin y evaluacin de los riesgos, se pueden tomar tres valores de probabilidad: alta, media y baja; y tres valores para los impactos: leve, moderado y catastrfico, la forma en la cual la probabilidad y el impacto son expresados y combinados en la matriz provee la evaluacin del riesgo.15

La matriz de calificacin, evaluacin y respuesta a los riesgos en la que nos basaremos para el anlisis se ilustra en la siguiente figura.

14

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Gua de administracin del riesgo, 2006, http://www.dafp.gov.co 15 Idem.

52

Tabla 2 Matriz de calificacin, evaluacin y respuesta a los riesgos Fuente: DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Gua de administracin del riesgo, 2006, http://www.dafp.gov.co

Como elaborar la tabla:

Calificacin del riesgo Se debe calificar cada uno de los riesgos de acuerdo a las siguientes especificaciones: probabilidad alta se califica con 3, probabilidad media con 2 y probabilidad baja con 1, de acuerdo al nmero de veces que se presenta o puede presentarse el riesgo. Y el impacto si es leve con 5, si es moderado con 10 y si es catastrfico con 20.

Evaluacin del riesgo Para realizar la evaluacin del riesgo se debe tener en cuenta la posicin del riesgo en la matriz, segn la celda que ocupa, aplicando los siguientes criterios:

Si el riesgo se ubica en la zona de riesgo aceptable, significa que su probabilidad es baja y su impacto es leve, lo cual permite a la empresa asumirlo, es decir, el riesgo se encuentra en un nivel que puede

53

aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

Si el riesgo se ubica en la zona de riesgo inaceptable, su probabilidad es alta y su impacto catastrfico, por tanto es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario se deben implementar controles de prevencin para evitar la probabilidad del riesgo, de proteccin para disminuir el impacto o compartir o transferir el riesgo si es posible a travs de plizas de seguros u otras opciones que estn disponibles.

Si el riesgo se sita en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar medidas para llevar los riesgos a la zona aceptable o tolerable, en lo posible. Las medidas dependen de la celda en la cual se ubica el riesgo, as: los riesgos de impacto leve y probabilidad alta se previenen; los riesgos con impacto moderado y probabilidad leve, se reduce o se comparte el riesgo, si es posible; tambin es viable combinar estas medidas con evitar el riesgo cuando ste presente una probabilidad alta y media, y el impacto sea moderado o catastrfico.

Cuando la probabilidad del riesgo sea media y su impacto leve, se debe realizar un anlisis del costo beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo.

Cuando el riesgo tenga una probabilidad baja e impacto catastrfico se debe tratar de compartir el riesgo y evitar la entidad en caso de que ste se presente.

Siempre que el riesgo sea calificado con impacto catastrfico la empresa debe disear planes de contingencia, para protegerse en caso de su ocurrencia. 16
16

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Gua de administracin del riesgo, 2006, http://www.dafp.gov.co

54

Valoracin de riesgos

Este punto no ser contemplado dentro del alcance de nuestra tesina, debido a que no tenemos acceso a la informacin que nos permitiera desarrollarlo, sin embargo lo explicamos a manera de referencia para un anlisis futuro ms profundo.

La valoracin del riesgo es el producto de confrontar los resultados de la evaluacin del riesgo con los controles identificados, con el objetivo de establecer prioridades para su manejo y fijacin de polticas.

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener informacin para efectos de tomar decisiones.

Para realizar la valoracin de los controles existentes es necesario recordar que stos se clasifican en:

Preventivos: Son aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin.

Correctivos: Son aquellos que permiten el restablecimiento de la actividad despus de ser detectado un evento no deseable

Para adelantar la evaluacin de los controles existentes es necesario describirlos estableciendo si son preventivos o correctivos y responder a las siguientes preguntas:

1. Los controles estn documentados? 2. Se esta aplicando en la actualidad? 3. Es efectivo para minimizar el riesgo?

Una vez respondidas todas las preguntas proceda a realizar la valoracin, as:

Calificados y evaluados los riesgos analcelos frente a los controles existentes en cada riesgo. 55

Pondrelos segn la tabla establecida, teniendo en cuenta las respuestas a las preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican y son efectivos).

Ubique en la Matriz de Calificacin, Evaluacin y Respuesta a los riesgos, el estado final de riesgo, de acuerdo a los resultados obtenidos en la valoracin del mismo.

Podemos armar una tabla de la siguiente manera:

Tabla 3 Tabla para la valoracin de riesgos Fuente: DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Gua de administracin del riesgo, 2006, http://www.dafp.gov.co

Polticas de administracin de riesgos

Las polticas identifican las opciones para tratar y manejar los riesgos basadas en la valoracin de estos, permiten tomar decisiones adecuadas y fijar los lineamientos de la administracin del riesgo, a su vez transmiten la posicin de la direccin y establecen las guas de accin necesarias a todos los procesos y servicios de la empresa.

Con la realizacin de esta etapa se busca encauzar el accionar de la entidad hacia el uso eficiente de los recursos, la continuidad en la prestacin de los servicios,

56

la proteccin de los bienes utilizados para servir a la comunidad. Igualmente, se busca que la entidad de la empresa.17 tenga claridad sobre las polticas de administracin del riesgo,

las acciones de manejo de riesgo y el compromiso de la direccin y de los servidores

2.3.3.3 OCTAVE

OCTAVE es una tcnica efectiva de evaluacin de riesgos creado por la oficina de patentes y negocios de los Estados Unidos.

OCTAVE es una tcnica de planificacin y consultora estratgica en seguridad basada en el riesgo, esta tcnica esta en contra de la consultora enfocada en el campo tecnolgico, que tiene como objetivo los riesgos tecnolgicos y en los temas tcticos, OCTAVE se enfoca en el riesgo organizacional y su objetivo principal son los temas relativos a la estrategia y a la prctica.

OCTAVE equilibra los siguientes aspectos: x x x Riesgos operativos Practicas de seguridad Tecnologa.

Lo cual permite a las compaas tomar decisiones de proteccin de informacin basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la informacin crtica.

Caractersticas: x x x

Es diferente de los anlisis tradicionales enfocados a la tecnologa Es Autodirigido Flexible

OCTAVE percibe los siguientes objetivos:

17

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PBLICA DE LA REPUBLICA DE COLOMBIA, Gua de administracin del riesgo, 2006, http://www.dafp.gov.co

57

x x x

Permitir la comprensin del manejo de los recursos Identificacin y evaluacin de los riesgos que afectan la seguridad dentro de una organizacin. Exige llevar la evaluacin de la organizacin y del personal de la tecnologa de informacin.

El mtodo OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y tecnolgicos:

Fase 1 Durante esta fase se identifica la informacin de la organizacin. Los procesos que se realizan en esta fase son: x x x x Fase 2 En esta fase se examina la infraestructura tecnolgica y se realizan los siguientes procesos: x x Examinar rutas de acceso Analizar procesos tecnolgicos Establecer criterios de evaluacin de impacto Identificar sus criterios de seguridad Identificar sus amenazas Analizar los procesos tecnolgicos relacionados

Fase 3 Durante esta fase se realiza la identificacin de los riesgos, as como tambin se realizan estrategias de mitigacin y planes de proteccin. Los procesos que intervienen en esta fase son: x x x x Evaluar el impacto de las amenazas Evaluar la probabilidad de ocurrencia de amenazas Seleccionar formas de mitigacin de riesgos Desarrollar planes de mitigacin de riesgos

58

2.3.3.4 EBIOS

El mtodo EBIOS es una herramienta de gestin de riesgos para los sistemas de seguridad informtica, fue creada por la Direccin Central de Seguridad de los Sistemas de Informacin de Francia DCSSI.

El mtodo EBIOS permite tratar los riesgos relativos a la seguridad de los sistemas de informacin (SSI), facilita la comunicacin dentro y fuera del organismo para contribuir al proceso de la gestin de los riesgos SSI y ayuda a la toma de decisiones.

Este mtodo toma en cuenta todas las entidades tcnicas (software, hardware, redes) y no tcnicas (organizacin, aspectos humanos, seguridad fsica).

Las caractersticas de EBIOS son: x x x

Es compatible con normalizaciones internacionales, Es utilizado para estudiar tanto sistemas por disear como sistemas ya existentes. Presenta y describe los tipos de entidades, mtodos de ataque, vulnerabilidades, objetivos de seguridad y requerimientos de seguridad.

Los pasos del mtodo EBIOS:

1. Estudio del contexto Durante este proceso se realiza un anlisis de los activos de la organizacin, estos pueden ser de distintos tipos como: hardware, software, redes, personal, etc.

2. Expresin de las necesidades de seguridad En este proceso se realiza un estudio de las necesidades de seguridad para los activos determinados en el paso anterior.

59

3. Estudio de las amenazas Al considerar que cada organismo se encuentra expuesto a diversos peligros, es importante realizar un estudio de las amenazas y vulnerabilidades a las que se encuentra expuesta la organizacin.

4. Expresin de los objetivos de seguridad Este proceso consiste principalmente en cubrir las vulnerabilidades a las que la entidad se encuentra expuesta, es decir disminuir los riesgos.

5. Determinar los requerimientos de seguridad Durante este proceso el equipo encargado del desarrollo del sistema de seguridad informtica ser el responsable de determinar las funcionalidades de seguridad esperadas, as como tambin el cumplimiento de los objetivos de seguridad.

2.3.4 Eleccin de la metodologa a seguir

Las metodologas estudiadas son muy parecidas, pues todas tienen el mismo objetivo que es encaminar a la empresa al cumplimiento de sus objetivos mediante un anlisis de riesgos eficiente, todas incluyen los mismos pasos a seguir, desde la perspectiva de sus respectivos autores.

Sin embargo la ms sencilla de entender y de implementar es el Modelo Estndar de Control Interno MECI, adems es la metodologa con la que mas nos familiarizamos, ya que fue un tema tratado en el modulo de seguridad en redes estudiado, un factor importante es la forma en la que se presentan los resultados, es decir, podemos armar una matriz en la que se visualizaran fcilmente los riesgos con sus respectivas ponderaciones la misma que nos ayudara al momento de combatirlos, pues sabremos la prioridad de cada uno de ellos y de acuerdo a esto podremos disear las polticas de seguridad con las cuales disminuiremos los riesgo.

60