Gestin del Riesgo en Sistemas de Informacin

Profesor: Rodrigo Gutirrez Z. Asignatura: Planificacin y evaluacin de sistemas de informacin

Historia
G1 Tecnologa Sistemas Objetivo tcnico Calidad Objetivo de Negocio Informacin Amenazas Gestin de Riesgos Host manejable Eficiencia Funciona Manejar volumen Herramienta Naturales Auditoria del estado de Seguridad G2 Cliente/Servidor Complejo Eficacia del Sistema Predecible Organizar Estratgica accidentales Anlisis y acciones de mitigacin Costo - Beneficio G3 Nube incierto Eficacia de los usuarios Control Mejores productos Recurso Deliberadas Priorizacin Seguridad Razonable SGSI

Objetivos de la Seguridad
Disponibilidad Integridad Confidencialidad Autenticidad Trazabilidad

Asegurar todos los niveles

La informacin Los procesos Las aplicaciones El sistema operativo El Hardware Las Comunicaciones Los Soportes de Informacin Las Instalaciones El personal

Madurez
Mejora continua

Control cuantitativo , mtricas Bien definida, normas, procesos y practicas

Planificado y gestionado

Tratamiento Informal, buenas practicas

tiempo
84482809

Common Criteria ISO 15408

reas de experiencia que necesita el equipo de direccin de proyectos

reas de Conocimiento y Procesos de la Direccin de Proyectos

Procesos de Direccin de Proyectos

Los grupos de procesos interactan en un Proyecto

Triangulo de Grupos de Procesos de Direccin de Proyectos

Correspondencia de los procesos de Direccin de Proyectos a los Grupos de Procesos de Direccin de proyectos y a las reas de Conocimiento

Correspondencia de los procesos de Direccin de Proyectos a los Grupos de Procesos de Direccin de proyectos y a las reas de Conocimiento

Definiciones
Concepto de Riesgo Evento o condicin incierta que, en caso de ocurrir, tiene un efecto positivo o negativo sobre los objetivos de un proyecto. Un riesgo tiene una causa y, si ocurre (evento de riesgo), una consecuencia (efecto). Riesgos conocidos: aquellos que han sido identificados y analizados durante la planificacin del proyecto. Habitualmente se gestionan los riesgos con efecto negativo, es decir, aquellos que suponen una amenaza para el xito del proyecto.

Definiciones
Seguridad de las redes y de la Informacin Las capacidad de las redes y de los sistemas de informacin de resistir con cierto nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados o transmitidos y servicios de dichas redes y sistemas ofrecidos

Definiciones
Gestin de Riesgo segn ISO 27001 La organizacin demostrar que ha definido e identificado un mtodo de anlisis de riesgo adecuado, y que ha llevado a cabo un anlisis de riesgo cubriendo todos los activos de la informacin, tal como indica la clausula 4.2.1 de ISO 27001

Gestin de Riesgos
El objetivo es describir la secuencia de pasos necesarios sobre un sistema de informacin que nos permita estudiar los riesgos que soporta un sistema de informacin y el entorno asociable al mismo, entendiendo por riesgo la posibilidad de que suceda un dao o perjuicio. Conocer las medidas apropiadas que deberan adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos investigados.

Introduccin
Conceptos y tcnicas que vamos a ver, lugar que ocupan en el marco PMI de Gestin de Proyectos

Gestin de Riesgos en PMBOK

Planificacin: Planificacin de la Gestin de Riesgos: decidir cmo abordar y planificar las actividades de gestin de riesgos en el proyecto. Identificacin de Riesgos: determinar cuales son los riesgos que pueden afectar al proyecto y documentar sus caractersticas. Anlisis Cualitativo de Riesgos: realizar un anlisis cualitativo de los riesgos y sus condiciones para priorizar sus efectos sobre los objetivos del proyecto. Anlisis Cuantitativo de Riesgos: estimar la probabilidad y consecuencias de los riesgos y sus implicaciones sobre los objetivos del proyecto. Planificacin de Respuestas a los Riesgos: elaborar procedimientos y tcnicas para oportunidades de mejora y reducir las amenazas a los objetivos del proyecto.

Gestin de Riesgos en PMBOK

Control: Supervisin y Control de Riesgos: supervisar los riesgos residuales, identificar nuevos riesgos, ejecutar planes de reduccin de riesgos, y evaluar su efectividad a lo largo del ciclo de vida del proyecto.

Procesos y Actividades de la Gestin de Riesgos (SI)

De Planificacin Identificacin Estimacin (los dos procesos de anlisis en PMBOK)
Anlisis Priorizacin

Planificacin de Respuestas De Control Supervisin y Control de Riesgos

Supervisin (monitorizacin) Tratamiento, resolucin o control

Gestin de Riesgos
Determinar el Contexto Estudio de los Riesgos Concientizacin y Comunicacin Identificacin Monitorizacin y Revisin

Anlisis

Evaluacin No Requieren Atencin los Riesgos Si Tratamiento de los Riesgos

Gestin de Riesgos

Gestin de Riesgos

Identificacin de Riesgos
Identificar los riesgos potenciales que pueden ocurrir en el proyecto. Riesgos ms habituales en Proyectos Software:
Cambio de requisitos Meticulosidad en requerimientos o de los desarrolladores Escatimar en la calidad Planificaciones demasiado optimistas Diseo inadecuado Sndrome de la panacea (esta herramienta ahorrar la mitad del trabajo) Desarrollo orientado a la investigacin (proyectos muy novedosos, ms propios de investigacin que de desarrollo) Personal mediocre Errores en la contratacin Diferencias con los clientes

Identificacin de riesgos Lista de Comprobacin

Se construyen a partir de informacin histrica. Ventaja: permiten una identificacin de riesgos rpida y relativamente sencilla. Desventaja: es prcticamente imposible tener una lista que incluye todos los posibles riesgos en un proyecto software. Se resuelve utilizando la lista como punto de partida, pero permitiendo despus incluir nuevos riesgos especficos del proyecto.

Identificacin de riesgos Lista de Comprobacin

Grupos de Riesgos potenciales: A. Elaboracin de la planificacin B. Organizacin y gestin C. Ambiente/Infraestructura de desarrollo D. Usuarios Finales E. Cliente F. Personal contratado G. Requisitos H. Producto I. Fuerzas mayores J. Personal K. Diseo e implementacin L. Proceso

Anlisis de los riesgos

Exposicin a riesgos: la probabilidad de ocurrencia del riesgo multiplicada por la magnitud de prdida del riesgo (impacto). Por ejemplo: si existe un 25% de probabilidad de que ocurra un riesgo que retrasara el proyecto en 4 semanas, entonces la exposicin a este riesgo es de 0,25x4=1 semana. Tcnicas para ayudar a acotar la subjetividad: Solicitar la estimacin de la persona ms familiarizada con el sistema, o con ms experiencia en proyectos parecidos. Utilizar el mtodo Delphi: varios miembros de un grupo identifican riesgos y les asignan una probabilidad de ocurrencia y una magnitud de prdida. Estas estimaciones son discutidas por el grupo y refinadas. Usar adjetivos (muy improbable, bastante improbable, improbable, probable, bastante probable, muy probable) y asignar un valor numrico a cada uno.

Anlisis de los riesgos

Probabilidad: de que ocurra un riesgo. Impacto: Efecto sobre los objetivos del proyecto en caso de ocurrir. En unidades de tiempo (retraso), unidades monetarias (incremento de costos), alcance (tamao del producto en lneas de cdigo, puntos funcin, etc.), Matrices bidimensionales: indican el impacto del riesgo en cada dimensin de los objetivos de un proyecto (costo, tiempo, alcance, calidad, ).

Anlisis de los riesgos

Activos

Amenazas

Valor

degradacin Impacto

probabilidad Riesgo

Anlisis de los riesgos

Priorizacin de los riesgos

Asignar una prioridad a cada riesgo de manera que se sepa dnde centrar el esfuerzo de la gestin de riesgos. No es preciso realizar una ordenacin numrica estricta de la lista de riesgos ya que, tal vez, prefiramos priorizar algunos riesgos que produciran alguna prdida muy grande, independientemente del lugar que ocupen en la tabla.

Priorizacin de los riesgos (tabla de estimacin de riesgos priorizada)

Planificacin de respuestas
En esta actividad se construye un plan de contingencia para cada uno de los riesgos identificados en las actividades anteriores. Plan de Respuestas a Riesgos. Incluye Riesgos identificados, sus descripciones, aspectos del proyecto afectados (elementos del alcance), sus causas, efectos en los objetivos del proyecto. Responsabilidades asignadas en cuanto a cada riesgo. Resultados del anlisis de riesgos (probabilidad, impacto, exposicin), incluyendo su priorizacin. Planes de contingencia, respuestas previstas para aquellos riesgos que se han considerado prioritarios y que sern planificados. Nivel de riesgo residual esperado despus de que aplique la respuesta prevista. Acciones especficas para implementar la estrategia de respuesta a cambios. Presupuesto y tiempos para las respuestas.

Anlisis Residual
Activos Amenazas Valor

Degradacin residual

Impacto residual

Probabilidad residual

Riesgo residual

Salvaguardas

Supervisin de Riesgos
Realizar un seguimiento de los riesgos durante la ejecucin del proyecto. Finalidad: determinar si
Las respuestas son implementadas segn se planific. Las acciones de respuesta son tan efectivas como se esperaba o si nuevas respuestas deberan ser elaboradas. Las asunciones del proyecto son todava vlidas. La exposicin a los riesgos ha cambiado y, en caso afirmativo, cual es la tendencia futura. Un disparador (evento) de riesgo ha ocurrido. Se han seguido las polticas y procedimientos adecuados. Han ocurrido riesgos nuevos que no estaban previamente identificados.

Tratamiento, resolucin o control de Riesgos

Mecanismos de respuesta Evitar el riesgo: es decir, no realizar actividades arriesgadas cambiando el plan del proyecto. Trasladar el riesgo a un tercero (habitual en riesgos econmicos) o a otra parte menos crtica del sistema. Conseguir informacin acerca del riesgo cuando ste no es muy conocido. Eliminar el origen del riesgo. Mitigar el riesgo. No se elimina el origen pero su cambia el plan para que su exposicin sea menor. Comunicar el riesgo al resto del equipo, al cliente y a la direccin, para que estn prevenidos. Controlar/Aceptar el riesgo. Aceptar que puede ocurrir y hacer un plan de contingencias para minimizar su exposicin. Recordar el riesgo para planes futuros.

Regulaciones y Normas que tratan el riesgo

Comunicacin A 4609 del BCRA para entidades Financieras Requisitos mnimos de gestin, implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de informacin. ISO/IEC 27001 Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) ISO/IEC 27005 Esta Norma proporciona directrices para la Gestin del riesgo de Seguridad de la Informacin en una Organizacin. Sin embargo, esta Norma no proporciona ninguna metodologa especfica para el anlisis y la gestin del riesgo de la seguridad de la informacin. Basilea II Estndar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la proteccin de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX) Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.

Herramientas
Comerciales COBRA (Consultative, Objetive and Bi-functional Risk Anlysis) CRAMM (CCTA Risk Analysis and Management Method) PRINCE2 (PRojects IN Controlled Environments ), en espaol: proyectos en entornos controlados, es un mtodo de gestin de proyectos que cubre la administracin, control y organizacin de un proyecto Gratuitas OCTAVE EBIOS PILAR

SGSI
Sistema de Gestin de la seguridad de la Informacin (SGSI) El concepto clave de un SGSI es el diseo, implantacin y mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la informacin, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de informacin minimizando a la vez los riesgos de seguridad de la informacin.

SGSI
La ISO/IEC 27001 por lo tanto incorpora el tpico "Plan-Do-Check-Act" (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua: Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de riesgos de seguridad de la informacin y la seleccin de controles adecuados. Do (hacer): es una fase que envuelve la implantacin y operacin de los controles. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeo (eficiencia y eficacia) del SGSI. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a mximo rendimiento.

SGSI
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir. Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente.