Академический Документы
Профессиональный Документы
Культура Документы
Experiencia de Aprendizaje 2:
Gestion del Riesgo y Cumplimiento
Gestin de Riesgo y Cumplimiento
Gestin de Riesgo y Cumplimiento
Introduccin:
El principal objetivo de la Gestion de Riesgos es alcanzar el
equilibrio optimo entre la minimizacin de vulnerabilidades y
perdidas y las ganancias y oportunidades de la organizacin.
En otras palabras llevar el riesgo a niveles que sean aceptables
por la organizacin
La Gestin de Riesgos debe vigilar que ste no tenga impacto
significativo en los procesos crticos de negocio.
Como es sabido, el riesgo es inherente a toda actividad, por lo
tanto se debe realizar una gestin para garantizar la preservacin
de la compaa.
Gestin de Riesgo y Cumplimiento
Grfico del Riesgo en funcin de los costos
Gestin de Riesgo y Cumplimiento
Herramientas de la Gestin de Riesgos:
La principal herramienta con la que opera la Gestion de Riesgos
son los controles de seguridad, dado que, cada vez que se
aplica un control, ya sea una poltica, un procedimiento o un
control tecnolgico, se disminuye el riesgo.
Dado que la puesta en marcha de cada control de seguridad
tiene un costo de implementacin y costo de mantencin, es
muy importante analizar el retorno de inversin (ROI) en cada
caso.
Adems la evaluacin de riesgos puede ser cualitativa o
cuantitativa.
Gestin de Riesgo y Cumplimiento
Introduccin:
Gestion de Riesgos Cuantitativa: es aquella que se puede
medir en forma numrica, que a su vez indica la magnitud del
impacto asociado. Generalmente se traduce en la perdida
financiera asociada si el riesgo se materializa.
Gestion de Riesgos Cualitativa: es aquella que no se puede
medir en forma numrica, slo conceptualmente, es decir
basado en la experiencia o sensibilidad de los activos de
informacin. Generalmente se utiliza una escala de:
Alto
Medio
Bajo
Gestin de Riesgo y Cumplimiento
Activo de informacin: son todos recursos considerados
valiosos por la compaa y debe ser protegidos. Un activo
puede ser un archivo, un servidor, una base de datos,
documentos, etc.
Amenaza: es una accin posible que podra causar dao y
puede ocurrir con una determinada probabilidad. Un ejemplo
de amenaza son los huracanes, terremotos y en el mundo
informtico, virus o ataques.
Vulnerabilidad: es una falla de un sistema informtico que al
ser explotada, puede causar dao a la informacin.
Gestin de Riesgo y Cumplimiento
Medicin del Riesgo:
La formula mas utilizada para la medicin del riesgo es:
Riesgo = Amenaza x Vulnerabilidad x Impacto
Donde:
Amenaza:
Nos da una idea de la probabilidad de ocurrencia.
Vulnerabilidad:
Nos da una idea del valor de la falla y de su grado de exposicin.
Impacto:
Nos da una idea del valor del dao que se podra causar.
Gestin de Riesgo y Cumplimiento
Impacto: es una medida del dao que puede causar una amenaza y es
expresada en valor monetario. As como un huracn, no causa el mismo
dao, en general, a dos pueblos cercanos, se comprobara mas adelante,
el impacto no depende de la amenaza solamente, sino del activo de
informacin que se debe proteger.
Ejemplo:
Un terremoto afecta a dos edificios contiguos, en uno de ellos se
alcanza a realizar la evacuacin de los empleados y en el otro no,
claramente el impacto en perdida de vidas humanas ser distinto
en ambos casos.
Esto adems nos deja en claro la importancia de la prevencin en
la Gestion de Riesgos.
Gestin de Riesgo y Cumplimiento
Matriz de Riesgo:
Es un modelo grafico para representar los riesgos de una
compaa y su magnitud.
Su principal aporte es que presenta en una sola vista todos los
riesgos que han sido detectados, su magnitud respectiva y
permite realizar un plan de mitigacin de riesgos, partiendo
por aquellos que son de mayor valor.
Es importante que todos los riesgos estn graficados en la matriz,
de esta forma se tendr una muy buena aproximacin del
riesgo de la compaa y un gerente de alto nivel podr tomar
mejores decisiones de cmo enfrentar el riesgo con una mirada
global.
Gestin de Riesgo y Cumplimiento
Ejemplo de Matriz de Riesgo
Gestin de Riesgo y Cumplimiento
Calculo del riesgo:
Una vez realizado el anlisis, se debe calcular el riesgo para
obtener una medicin numrica del mismo.
Para esto se utiliza la formula de:
ARO (Annual Rate of Occurrence): es el numero de veces
que ocurre un incidente en el plazo de un ao
SLE (Single Loss Expentancy): es el costo en el que incurre la
organizacin cuando se materializa el incidente.
ALE (Annual Loss Expentancy): es el costo anual del riesgo y
se obtiene de la siguiente formula
ALE = ARO * SLE
SLE = Valor del Activo * Factor de Exposicin
Gestin de Riesgo y Cumplimiento
Factor de exposicin: corresponde al porcentaje de tiempo
que esta expuesto el activo a ser vctima de un incidente.
Un ejemplo de esto es el caso de notebooks, que no tienen
exposicin de ser robados, mientras estn en las
dependencias de la organizacin, pero si, una vez que los
usuarios los sacan y los llevan a sus casas.
En este caso, si el notebook esta 9 horas dentro de las
dependencias y 15 horas fueras, el factor de exposicin ser
15/24, es decir:
FE = 62,5%
Gestin de Riesgo y Cumplimiento
Ejemplo del calculo de riesgo:
En una organizacin se producen 11 robos por ao de
computadores porttiles, el costo de cada computador es de
USD 2.500 y la perdida por impacto, dado que cada notebook
maneja informacin confidencial, se estima en USD 25.000
dado que la informacin no esta cifrada.
Para este caso considerar factor de exposicin 100%
ARO: 11
SLE: 2.500 + 25.000 = USD 27.500
ALE = ARO x SLE = USD 302.500
Gestin de Riesgo y Cumplimiento
Cuando se evala una perdida por riesgo, debe ser considerado
el costo total de propiedad o TCO (Total Cost Ownership)
El TCO incluye todos los costos que forman parte de un activo,
esto es:
Costo de adquisicin
Costo de mantenimiento
Costo de utilizacin (mano de obra)
Costo de evaluacin
Costo de monitoreo
Costo de capacitacin
Costo de desactivacin
Gestin de Riesgo y Cumplimiento
Ejemplo de calculo de TCO:
Una compaa adquiere un software para cifrar los discos duros de la
compaa, con el objeto de proteger la informacin almacenada en
ellos para 1.000 ejecutivos de la empresa. Cada licencia tiene un costo
de USD 100 mas una mantencin anual del 20%. La instalacin de
cada maquina demora 4 horas y el costo de cada hora de este servicio
es de USD 50. Requiere adems una mantencion de 3 horas al ao.
Calcular el TCO a 3 aos
Costo de las licencias: 100.000 + 20.000 x 3 = USD 160.000
Costo de instalacin: 1.000 x 4 x 50 = USD 200.000
Costo de mantencion: 3 x 50 x 3 x 1.000 = USD 450.000
TCO = USD 810.000/3 = USD 270.000 anual.
Gestin de Riesgo y Cumplimiento
Retorno de Inversin (ROI):
El ROI se calcula de la diferencia entre TCO y ALE, dado que es
el dinero que se recupera tras implementar el control que
mitiga el riesgo.
En nuestro ejemplo:
ALE = USD 302.500
TCO = USD 270.000
ROI = USD 32.500
Si da el caso que ALE es menor que TCO, claramente no
conviene realizar la inversin y es mejor aceptar el riesgo.
Gestin de Riesgo y Cumplimiento
Ciclo de Gestion de Riesgo:
Gestin de Riesgo y Cumplimiento
Etapas del ciclo de Gestion de Riesgo:
Establecimiento y alcance de limites: consiste en la
determinacin de los parmetros globales del rendimiento de
la gestin de riesgo.
Evaluacin del riesgo: identificar, analizar y evaluar los riesgos
de los procesos.
Tratamiento del riesgo: seleccin de estrategia para el manejo
de los riesgos identificados
Aceptacin del riesgo residual: la aprobacin de no aplicar
controles al riesgo aceptado por la organizacin
Monitoreo del riesgo: medicin de las variables definidas del
riesgo para tomar acciones.
Gestin de Riesgo y Cumplimiento
Opciones de la Gestin de Riesgo:
Aceptar el riesgo: esta opcin se considera cuando el costo de mitigar el
riesgo es demasiado alto en proporcin al valor del activo que se desea
proteger.
Mitigar el riesgo: corresponde a la implementacin o mejora de un
control, de tal forma que reduzca el riesgo una vez aplicado. El control
puede mitigar el riesgo directamente o el impacto asociado a este.
Transferir el riesgo: corresponde al pago a un tercero para que acepte el
riesgo o parte de este, el ejemplo mas clsico es la contratacin de un
seguro o un contrato con un tercero con un SLA comprometido, al cual
se le asigna una multa de no cumplimiento.
Eliminar el riesgo: si bien el riesgo no es posible de eliminar, se utiliza
esta opcin cuando se elimina el activo asociado.
Gestin de Riesgo y Cumplimiento
Impacto:
Es la medida ms importante del riesgo y corresponde a la
perdida monetaria de la cual seria victima la compaa si el
riesgo se materializa.
El Impacto se puede representar de las siguientes maneras:
Prdida directa en dinero
Responsabilidad legal
Perdida de reputacin
Disminucin del valor de la accin
Prdida de negocios
Prdida de participacin de mercado.
Gestin de Riesgo y Cumplimiento
Metodologa evaluacin de riesgo NIST:
Caracterizacin del sistema
Identificacin de las amenazas
Identificacin de las vulnerabilidades
Anlisis de controles existentes
Determinacin de la probabilidad de ocurrencia de la
amenaza
Anlisis del Impacto
Determinacin de los riesgos
Recomendacin de controles nuevos
Documentacin de los resultados
Gestin de Riesgo y Cumplimiento
Gestin de Riesgo y Cumplimiento
Identificacin del Riesgo:
A continuacin se describen los tems mas importantes a
considerar para la fase de Identificacin de riesgos.
Su origen: agentes, amenazas, empleados no capacitados
Actividad o incidente: difusin no autorizada
Consecuencias: no disponibilidad de servicio, perdida de
imagen
Razn: intervencin humana, falta de competencia
Controles: polticas o control de acceso
Tiempo: en que plazos o situacin temporal, propenso los
lunes por la maana
Lugar: sala de equipos, oficina administrativa
Gestin de Riesgo y Cumplimiento
Evaluacin de activos de informacin:
Para determinar el valor de un activo, se utiliza
principalmente el costo de su reemplazo, en caso de no contar
con este dato, se considera el costo resultante de las
sanciones derivadas de la exposicin de la informacin.
Otra forma importante es considerar el dao a la imagen o
perdidas producidas por el dao a la informacin.
En general, el valor de los activos de informacin debe
basarse en el rango total de perdidas e impactos potenciales.
Gestin de Riesgo y Cumplimiento
Clasificacin de activos de Informacin:
El principal objetivo de realizar esta actividad es poder
determinar la criticidad de dichos activos.
El programa de Gestion de Riesgos debe brindar una
proteccin adecuada a los activos en funcin de valor o
criticidad para la organizacin.
El proceso de identificacin de los activos debe considerar:
Su ubicacin
Su propietario
Sus usuarios
Su custodio
Gestin de Riesgo y Cumplimiento
Valoracin y anlisis de impacto:
Un enfoque muy utilizado, es evaluar el impacto en los
procesos de negocio que tiene la prdida de los atributos de
informacin de dicho activo, esto es:
Confidencialidad
Integridad
Disponibilidad
Este ejercicio se realiza en el marco del anlisis de impacto al
negocio (BIA)
Gestin de Riesgo y Cumplimiento
Ejemplo de anlisis de impacto basado en CDI
Activo: base de datos de clientes
Escala: Alto, medio y bajo
Atributo de la Informacin