Modulo Riesgos y Control Informatico V5 2012 DEFINITIVO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA

PROGRAMA: ESPECIALIZACIN EN SEGURIDAD INFORMTICA

MDULO RIESGOS Y CONTROL INFORMTICO

Mirian del Carmen Benavides Ruano

Francisco Nicols Javier Solarte Solarte

PASTO

Febrero de 2012

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

2

ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO

El presente mdulo ha sido compilado y diseado en el ao 2012 por los Ingenieros de Sistemas Mirian del Carmen Benavides y Francisco Nicols Javier Solarte Solarte, docentes de la UNAD, quien a la fecha laboran en el CEAD de Pasto, dentro de su currculo formativo cuenta con los siguientes estudios:

Mirian del Carmen Benavides: Ingeniera de Sistemas de la Universidad Antonio Nario, Especialista en Docencia Universitaria de la Universidad de Nario, Especialista en Informtica y Telemtica de la Fundacin Universitaria del rea Andina; con experiencia en docencia universitaria desde el ao 2001.

Francisco Nicols Javier Solarte Solarte: Ingeniero de Sistemas de la Universidad INCCA de Colombia, Especialista en Multimedia educativa, y Especialista en Auditoria de Sistemas de la Universidad antonio Nario y Magister en Docencia de la Universidad de La Salle. Adems cuenta con experiencia en Docencia Universitaria desde 1995 en las diferentes universidades de la ciudad de san Juan de Pasto y actualmente se desempea como docente auxiliar de la UNAD.

Esta es la primera versin del curso y en el proceso de revisin participa la Escuela ECBTI con respecto a los contenidos, y la VIMMEP en la revisin del CORE, ellos brindarn apoyo el proceso de revisin del estilo del mdulo y darn recomendaciones disciplinares, didcticas y pedaggicas para acreditar y mejorar el curso.

El mdulo fue iniciado en el mes de julio de 2011, y se termin su compilacin en el mes de diciembre del mismo ao, a peticin de la Directora Nacional del Programa de Sistemas, Ingeniera Alexandra Aparicio Rodriguez.


3

INTRODUCCIN

En la actualidad el uso de recursos informticos y nuevas tecnologas para los procesos de procesamiento de informacin, hacen que el campo de la seguridad en la informacin cobre ms vigencia y es por eso que las organizaciones han venido implementando planes de seguridad informtica y Sistemas de Gestin de la Informacin (SGSI) que permitan brindar un sistema de control acorde a las nuevas circunstancias.

En este sentido uno de los procesos ms importantes para la deteccin de vulnerabilidades, riesgos, amenazas y fallas es el anlisis de riesgos, que no solo busca sus causas, sino tambin trata de encontrar las posibles soluciones que minimicen al mximo las causas que la originan. Para realizar este proceso se hace necesario conocer los estndares internacionales ms usados, dentro de los cuales se tratar el estndar COSO que es usado para el anlisis de riesgos en los procesos, el MAGERIT que es usado para el anlisis de riesgos informticos y el COBIT que es el ms completo para determinar riesgos y objetivos de control para el manejo de tecnologa de la informacin (TI).

Posteriormente se conocer ms internamente como esta dividido el estndar COBIT y cmo se seleccionan los diferentes dominios, procesos y objetivos de control, para evaluar los riesgos dentro del proceso de auditoria informtica y de sistemas.

Finalmente se buscar conocer algunos de los procedimientos para cada uno de los objetivos de control, tanto para centros de cmputo como para el proceso de desarrollo de software y el producto software. Los procedimientos contribuyen al entendimiento de los activos que se deben proteger, adems de establecer a que apuntan cada uno de los objetivos de control.


4

JUSTIFICACIN

La importancia del curso de Riesgos y Control Informtico radica en el conocimiento y comprensin de los procesos que se llevan a cabo para llegar a establecer planes, polticas, estrategias, y procedimientos que permitan construir mejores condiciones de seguridad para los activos informticos, llmense estos redes, equipos de cmputo, personal, instalaciones e infraestructura tecnolgica o la informacin misma.

El curso esta dirigido principalmente a los ingenieros de sistemas, industriales y administradores interesados en conocer ms profundamente los sistemas de control interno informtico y que trabajen como desarrolladores de productos software, como administradores de centros de cmputo o reas de informtica, o simplemente que quieran profundizar un poco ms en los temas de seguridad informtica.

El curso proporciona los conocimientos tericos para llevar a cabo procesos de anlisis y evaluacin de riesgos informticos en las organizaciones que les ayude a establecer planes de contingencia, planes de seguridad fsica y lgica, polticas de seguridad, estrategias y procedimientos que permitan establecer mejores condiciones para el manejo y administracin de recursos informticos, dentro de una organizacin.


5

INTENCIONALIDADES FORMATIVAS

PROPSITO

Fundamentalmente, el curso pretende desarrollar las capacidades, habilidades y destrezas de los estudiantes para conocer, comprender y aplicar procesos de anlisis y evaluacin de riesgos informticos y establecer polticas, estrategias, planes y procedimientos para asegurar los activos informticos

Adems el curso permite conocer los estndares de anlisis de riesgos que le permitan establecer las vulnerabilidades, riesgos y amenazas de acuerdo a los nuevos avances tecnolgicos y establecer los controles que permitan mitigar las causas que los ocasionan en una organizacin.

OBJETIVOS

- Identificar las vulnerabilidades, riesgos y amenazas ms frecuentes en entornos informticos y que pueden afectar el buen funcionamiento de los procesos de manejo de la informacin

- Conocer los estndares internacionales ms aplicados para procesos de anlisis de riesgos para procesos de manejo de informacin, de tecnologa e informticos.

- Conocer ms profundamente el estndar COBIT que sirve como base para realizar procesos de anlisis de riesgos informticos, de tecnologa de informacin y de sistemas, aplicndolo a casos especficos que permitan definir controles adecuados para proteccin de activos informticos e informacin.

- Conocer algunos de los procedimientos y objetivos de control para auditoria informtica y de sistemas, que permitan establecer planes de seguridad.

METAS

El estudiante estar capacitado para:

- Identificar los conceptos de Vulnerabilidad, Riesgo y Amenaza - Conocer los estndares de anlisis de riesgos usados a nivel internacional. - Conocer los mtodos de evaluacin de riesgos informticos. - Identificar los dominios, procesos y objetivos de control COBIT - Conocer sistema de control informtico y los procedimientos de auditoria que permitan evidenciarlos.


6

COMPETENCIAS

- El estudiante identifica, aprende, y comprende los diferentes conceptos sobre riesgos y control informticos que le permitan establecer mejores condiciones de seguridad en entornos informticos.

- El estudiante est en capacidad de identificar los diferentes tipos de riesgos informticos, y realizar el proceso de anlisis y evaluacin de los mismos para establecer los controles que permitan minimizar la causa que los originan.

- El estudiantes est en la capacidad de realizar los procesos de anlisis y evaluacin de riesgos para llegar a establecer los mapas y matrices de riesgos a que se ve abocada la organizacin.

- El estudiante est en capacidad de definir controles efectivos frente a posibles escenarios de riesgo a que se ve expuesta la organizacin y establecer los procedimientos para identifiacr la causa origen de los mismos.

- El estudiante est en capacidad de establecer planes de seguridad que permitan mejorar la seguridad informtica en las organizaciones.


7

NDICE DE CONTENIDO

TEMA PAG. ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO 2 INTRODUCCIN 3 JUSTIFICACION 4 INTENCIONALIDADES FORMATIVAS 5 PROPOSITOS 5 OBJETIVOS 5 METAS 5 COMPETENCIAS 6

UNIDAD 1. RIESGOS INFORMTICOS 12

CAPITULO 1: ASPECTOS GENERALES Y CONCEPTOS DE RIESGOS 14 Leccin 1: Conceptos de Vulnerabilidad, Riesgo y Amenaza 15 Leccin 2: Clasificacin de Riesgos 19 Leccin 3: Anlisis de Riesgos 20 Leccin 4: Administracin de Riesgos 24 Leccin 5: Matrices y Mapas de Riesgo 25

CAPTULO 2: ESTNDARES DE ANLISIS DE RIESGOS Y CONTROL INTERNO

30

Leccin 6: Generalidades de los Estndares de Anlisis de Riesgos 30 Leccin 7: Estndar COSO para Anlisis de Riesgos 32 Leccin 8: Estndar MAGERIT para Anlisis de Riesgos Informticos 35 Leccin 9: Estndar COBIT para Anlisis y Evaluacin de Riesgos de Tecnologa de Informacin

38

Leccin 10 Mtodos de Anlisis y evaluacin de Riesgos 45

CAPTULO 3 RIESGOS INFORMTICOS 61 Leccin 11: Riesgos Informticos 62 Leccin 12: Delitos Informticos 65 Leccin 13: Tipos de Delito Informticos 66 Leccin 14: Actores del Delito Informtico 70 Leccin 15: Riesgos Informticos en Sistemas 75

UNIDAD 2. CONTROL INFORMTICO 81

CAPTULO 4: CONCEPTOS Y GENERALIDADES DE CONTROL INTERNO

83

Leccin 16 Control Interno 84 Leccin 17 Clasificacin de Controles 89 Leccin 18 Control Interno Informtico 90 Leccin 19 Herramientas de Software para Control Informtico 91


8

Leccin 20 Polticas y Planes de Seguridad Informtica 93

CAPTULO 5: ESTNDAR COBIT Y OBJETIVOS DE CONTROL DE TI 97 Leccin 21: Generalidades del Estndar COBIT 98 Leccin 22: Dominio, Procesos y Objetivos de Control Planeacin y Organizacin PO

105

Leccin 23: Dominio, Procesos y Objetivos de Control Adquisicin e Implementacin AI

117

Leccin 24: Dominio, Procesos y Objetivos de Control Entrega y Soporte DS

122

Leccin 25: Dominio, Procesos y Objetivos de Control Monitoreo M 133

CAPTULO 6: PROCEDIMIENTOS DE AUDITORIA INFORMTICA Y DE SISTEMAS

138

Leccin 26: Tcnicas de Auditora para Recoleccin de Informacin 139 Leccin 27: Fases de Auditora Informtica y de Sistemas 142 Leccin 28: Aspectos de Auditora para un centro de Cmputo o rea de Informtica

145

Leccin 29: Procedimientos de Control para Auditora al rea de Informtica

147

Leccin 30: Procedimientos de Control para Seguridad y Planes de Contingencia

172

GLOSARIO DE TRMINOS 183 BIBLIOGRAFA 188


9

LISTADO DE TABLAS

TEMA PAG. Tabla 1. Escala de valoracin control 28 Tabla 2. Clculo de riesgos residuales 28 Tabla 3. Marco general de referencia COBIT 44 Tabla 4. Plantilla de anlisis DOFA 1 48 Tabla 5. Plantilla de anlisis DOFA 2 49 Tabla 6. Impacto y Reacciones 60 Tabla 7. Distribucin de los dominios y procesos de COBIT 99 Tabla 8. PO1 - Objetivos de control de alto nivel 108 Tabla 9. PO1 Tipos de recursos 108 Tabla 10. PO2 Objetivos de Control de alto nivel 108 Tabla 11. PO2 Recursos que afecta 109 Tabla 12. PO3 Objetivos de control de alto nivel 109 Tabla 13. PO3 Recursos que afecta 110 Tabla 14. PO4 Objetivos de control de alto nivel 110 Tabla 15. PO4 Recursos que afecta 111 Tabla 16. PO5 Objetivos de control de alto nivel 111 Tabla 17. PO5 Recursos que afecta 112 Tabla 18. PO6 Objetivos de control de alto nivel 112 Tabla 19. PO6 Recursos que afecta 112 Tabla 20. PO7 Objetivos de control de alto nivel 113 Tabla 21. PO7 Recursos que afecta 113 Tabla 22. PO8 Objetivos de control de alto nivel 114 Tabla 23. PO8 Recursos que afecta 114 Tabla 24. PO9 Objetivos de control de alto nivel 115 Tabla 25. PO9 Recursos que afecta 115 Tabla 26. PO10 Objetivos de control de alto nivel 115 Tabla 27. PO10 Recursos que afecta 116 Tabla 28. PO11 Objetivos de control de alto nivel 116 Tabla 29. PO11 Recursos que afecta 117 Tabla 30. AI1 Objetivos de control de alto nivel 117 Tabla 31. AI1 Recursos que afecta 118 Tabla 32. AI2 Objetivos de control de alto nivel 118 Tabla 33. AI2 Recursos que afecta 119 Tabla 34. AI3 Objetivos de control de alto nivel 119 Tabla 35. AI3 Recursos que afecta 120 Tabla 36. AI4 Objetivos de control de alto nivel 120 Tabla 37. AI4 Recursos que afecta 120 Tabla 38. AI5 Objetivos de control de alto nivel 121 Tabla 39. AI5 Recursos que afecta 121 Tabla 40. AI6 Objetivos de control de alto nivel 121 Tabla 41. AI6 Recursos que afecta 122 Tabla 42. DS1 Objetivos de control de alto nivel 122


10

Tabla 43. DS1 Recursos que afecta 123 Tabla 44. DS2 Objetivos de control de alto nivel 123 Tabla 45. DS2 Recursos que afecta 124 Tabla 46. DS3 Objetivos de control de alto nivel 124 Tabla 47. DS3 Recursos que afecta 125 Tabla 48. DS4 Objetivos de control de alto nivel 125 Tabla 49. DS4 Recursos que afecta 126 Tabla 50. DS5 Objetivos de control de alto nivel 126 Tabla 51. DS5 Recursos que afecta 127 Tabla 52. DS6 Objetivos de control de alto nivel 127 Tabla 53. DS6 Recursos que afecta 127 Tabla 54. DS7 Objetivos de control de alto nivel 128 Tabla 55. DS7 Recursos que afecta 128 Tabla 56. DS8 Objetivos de control de alto nivel 128 Tabla 57. DS8 Recursos que afecta 129 Tabla 58. DS9 Objetivos de control de alto nivel 129 Tabla 59. DS9 Recursos que afecta 130 Tabla 60. DS10 Objetivos de control de alto nivel 130 Tabla 61. DS10 Recursos que afecta 131 Tabla 62. DS11 Objetivos de control de alto nivel 131 Tabla 63. DS11 Recursos que afecta 132 Tabla 64. DS12 Objetivos de control de alto nivel 132 Tabla 65. DS12 Recursos que afecta 132 Tabla 66. DS13 Objetivos de control de alto nivel 133 Tabla 67. DS13 Recursos que afecta 133 Tabla 68. M1 Objetivos de control de alto nivel 134 Tabla 69. M1 Recursos que afecta 134 Tabla 70. M2 Objetivos de control de alto nivel 135 Tabla 71. M2 Recursos que afecta 135 Tabla 72. M3 Objetivos de control de alto nivel 135 Tabla 73. M3 Recursos que afecta 136 Tabla 74. M4 Objetivos de control de alto nivel 136 Tabla 75. M4 Recursos que afecta 137 Tabla 76. Proceso de Auditora 145 Tabla 77. Planeacin rea de Informtica 148 Tabla 78. Polticas, Estndares y Procedimientos 151 Tabla 79. Responsabilidades organizativas y gestin de personal 153 Tabla 80. Gestin de calidad 157 Tabla 81. Gestin de recursos 160 Tabla 82. Explotacin de recursos 162 Tabla 83. Software de sistema operativo 169 Tabla 84. Seguridad lgica y fsica 172 Tabla 85. Planeacin de contingencias 178


11

LISTADO DE GRFICOS Y FIGURAS

TEMA PAG. Figura 1. Matriz de riesgos 27 Figura 2. Procesos para gestin de riesgos 37 Figura 3. Escenarios 51 Figura 4. Elaboracin de escenarios 53 Figura 5. Elaboracin de informes 57 Figura 6. Tipo de Controles 90


12

UNIDAD 1

Nombre de la Unidad RIESGOS INFORMTICOS Introduccin Esta unidad esta dedicada principalmente a la

conceptualizacin de vulnerabilidades, riesgos y amenazas, asi como, los procesos de anlisis, evaluacin y gestin de los mismos. Especficamente se abordar los temas anteriores, aplicados a la seguridad informtica y de los sistemas de informacin. Adems se trata de que los estudiantes conozcan, aprendan y comprendan los estndares y mtodos para el anlisis y la evaluacin de los riesgos informticos y cmo aplicarlos a situaciones dentro de una organizacin.

Justificacin La aplicacin de los estndares y mtodos permitir que el estudiante adquiera suficiencia terica para realizar procesos de anlisis, evaluacin y gestin de riesgos. Estos procesos permiten establecer un sistema de control efectivo para cada uno de los procesos informticos y de sistemas que se trabajan en una organizacin.

Intencionalidades Formativas

- El estudiante conoce, aprende y comprende los conceptos relacionados con los riesgos y control interno informtico - El estudiante conoce los estndares ms importantes que se trabajan para el anlisis de riesgos - El estudiante conoce algunos de los procesos y los objetivos de control del estndar COBIT de la ISACA para realizar auditorias basadas en Riesgos y Objetivos de Control. - Finalmente Se hace un reconocimiento general de las etapas y procedimientos de las auditorias informticas y de Sistemas

Denominacin de captulo

CAPITULO 1: ASPECTOS GENERALES Y CONCEPTOS DE RIESGOS

Denominacin de Lecciones

Leccin 1. Conceptos de Vulnerabilidad, Riesgo y Amenaza Leccin 2. Clasificacin de los Riesgos Leccin 3. Anlisis de Riesgos Leccin 4. Gestin de Riesgos Leccin 5. Riesgos y Control Interno


CAPITULO 2: ESTNDARES Y MTODOS DE ANLISIS Y EVALUACIN DE RIESGOS


13


Leccin 6. Generalidades de los Estndares de Anlisis de Riesgos Leccin 7. Estndar COSO para Anlisis de Riesgos Leccin 8. Estndar MAGERIT para Analisis de Riesgo Informtico Leccin 9. Mtodos de Anlisis y Evaluacin de Riesgos Cuantitativos y Cualitativos Leccin 10. Matriz de Riesgos y Mapa de Riesgos


CAPITULO 3: RIESGOS INFORMTICOS


Leccin 11. Riesgos Informticos Leccin 12. Delitos Informticos Leccin 13: Tipos de Delito Informticos Leccin 14: Sujetos del Delito Informtico Leccin 15. Riesgos Informticos en Sistemas Software


14

UNIDAD 1: RIESGOS INFORMTICOS

CAPITULO 1: ASPECTOS GENERALES Y CONCEPTOS DE RIESGOS

Introduccin

En cada una de nuestras actividades cotidianas siempre estamos expuestos a riesgos y amenazas ocasionados por factores que pueden ser de tipo interno y externo. En estas circunstancias hay que propender por hacer la identificacin de la vulnerabilidad frente a dichos factores, para poder combatirlos.

Las organizaciones, como sistemas dinmicos, tambin se ven expuestas a estos factores que pueden ocasionar daos con impacto catastrfico o leve para la organizacin, de acuerdo a que daos se causen por su presencia o concrecin.

De la misma manera, otros riesgos pueden o no presentarse, pero siempre hay que estar preparados para mitigarlos. La probabilidad de ocurrencia puede ser baja o alta dependiendo del nmero de veces que se pueda identificar en un periodo de tiempo determinado.

Lo importante es identificar, no slo, la ocurrencia de la falla sino la identificacin de la causa que las origina, adems de dar una valoracin cuantitativa o cualitativa para medir su probabilidad de ocurrencia y el impacto que causara de llegar a presentarse.


15

Leccin 1: Conceptos de Vulnerabilidad, Riesgo y Amenaza

El proceso de desarrollo del hombre lo ha llevado a conceptualizar elementos de su medio ambiente y las posibilidades de interaccin entre ellos. En principio se tuvo una percepcin confusa acerca del trmino Vulnerabilidad, esta acepcin ha contribudo a dar claridad a los conceptos de Riesgo y Desastre.

El marco conceptual de la vulnerabilidad surgi de la experiencia humana, en situaciones en que la vida cotidiana era difcil de distinguir de un desastre. Las condiciones extremas, hacan realmente frgil el desempeo de algunos grupos sociales que dependan del nivel de desarrollo alcanzado y de la planificacin de ese desarrollo.

En este contexto se empez a identificar en los grupos sociales la vulnerabilidad, como la reducida capacidad para ajustarse o adaptarse a determinadas circunstancias, y de all nace el concepto de lo que hoy se conoce como vulnerabilidad aplicada a diversos campos.

Luego de los aportes conceptuales de diferentes escuelas, la UNDRO y la UNESCO promovieron una reunin de expertos para proponer la unificacin de definiciones, dentro de ellas las siguientes:

Amenaza: es la probabilidad de ocurrencia de un suceso potencialmente desastroso durante cierto periodo de tiempo, en un sitio dado.

En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo, de un sistema o de un sujeto expuesto, expresada matemticamente como la probabilidad de exceder un nivel de ocurrencia de un suceso con una cierta intensidad, en un sitio especfico y durante un tiempo de exposicin determinado.

Una amenaza informtica es un posible peligro del sistema. Puede ser una persona (cracker), un programa (virus, caballo de Troya, etc.), o un suceso natural o de otra ndole (fuego, inundacin, etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del sistema.

Vulnerabilidad: es el grado de prdida de un elemento o grupo de elementos bajo riesgo, resultado de la probable ocurrencia de un suceso desastroso expresada en una escala.

La vulnerabilidad se entiende como un factor de riesgo interno, expresado como la factibilidad de que el sujeto o sistema expuesto sea afectado por el fenmeno que caracteriza la amenaza.


16

En el campo de la informtica, la vulnerabilidad es el punto o aspecto del sistema que es susceptible de ser atacado o de daar la seguridad del mismo. Representan las debilidades o aspectos falibles o atacables en el sistema informtico.

Riesgo especfico: es el grado de prdidas esperadas, debido a la ocurrencia de un suceso particular y como una funcin de la amenaza y la vulnerabilidad.

Elementos del Riesgo: son la poblacin, los edificios y obras civiles, las actividades econmicas, los servicios pblicos, las utilidades y la infraestructura expuesta en un rea determinada.

Riesgo Total: se define como el nmero de prdidas humanas, daos a propiedades, efectos sobre la actividad econmica debido a la ocurrencia de un desastre.

El riesgo corresponde al potencial de prdidas que pueden ocurrirle al sujeto o sistema expuesto, resultado de la relacin de la amenaza y la vulnerabilidad, este concepto puede expresarse como la probabilidad de exceder un nivel de consecuencias econmicas, sociales o ambientales en un cierto sitio y durante un cierto periodo de tiempo.

En otras palabras, no se puede ser vulnerable sino se est amenazado y no existe una condicin de amenaza para un elemento, sujeto o sistema, si no est expuesto y es vulnerable a la accin potencial que representa dicha amenaza. Es decir, no existe amenaza o vulnerabilidad independiente, pues son situaciones mutuamente condicionantes que se definen en forma conceptual de manera independiente para efectos metodolgicos y para una mejor comprensin del riesgo.

En la literatura tcnica se hace nfasis en el estudio de la vulnerabilidad y en la necesidad de reducirla mediante contramedidas o controles que permitan mitigarlos y la intencin es la reduccin del riesgo.

La seguridad informtica, se encarga de la identificacin de las vulnerabilidades del sistema y del establecimiento de contramedidas que eviten que las distintas amenazas posibles exploten dichas vulnerabilidades. Una mxima de la seguridad informtica es que: "No existe ningn sistema completamente seguro". Existen sistemas ms o menos seguros, y ms o menos vulnerables, pero la seguridad nunca es absoluta.

TIPOS DE VULNERABILIDAD EN INFORMTICA

No se puede hablar de un sistema informtico totalmente seguro, sino ms bien de uno en el que no se conocen tipos de ataques que puedan vulnerarlo, debido a


17

que no se han establecido medidas contra ellos. Algunos tipos de vulnerabilidad de un sistema son los siguientes:

Vulnerabilidad Fsica: est a nivel del entorno fsico del sistema, se relaciona con la posibilidad de entrar o acceder fsicamente al sistema para robar, modificar o destruirlo. .

Vulnerabilidad Natural: se refiere al grado en que el sistema puede verse afectado por desastres naturales o ambientales, que pueden daar el sistema, tales como el fuego, inundaciones, rayos, terremotos, o quizs ms comnmente, fallos elctricos o picos de potencia. Tambin el polvo, la humedad o la temperatura excesiva son aspectos a tener en cuenta.

Vulnerabilidad del Hardware y del software: desde el punto de vista del hardware, ciertos tipos de dispositivos pueden ser ms vulnerables que otros, ya que depende del material que est construido. Tambin hay sistemas que requieren la posesin de algn tipo de herramienta o tarjeta para poder acceder a los mismos. Ciertos fallos o debilidades del software del sistema hacen ms fcil acceder al mismo y lo hacen menos fiable. Las vulnerabilidades en el software son conocidos como Bugs del sistema.

Vulnerabilidad de los Medios o Dispositivos: se refiere a la posibilidad de robar o daar los discos, cintas, listados de impresora, etc.

Vulnerabilidad por Emanacin: todos los dispositivos elctricos y electrnicos emiten radiaciones electromagnticas. Existen dispositivos y medios de interceptar estas emanaciones y descifrar o reconstruir la informacin almacenada o transmitida.

Vulnerabilidad de las Comunicaciones: la conexin de los computadores a redes supone, sin duda, un enorme incremento de la vulnerabilidad del sistema ya que aumenta enormemente la escala del riesgo a que est sometido, al aumentar la cantidad de gente que puede tener acceso al mismo o intentar tenerlo. Tambin est el riesgo de intercepcin de las comunicaciones, como la penetracin del sistema a travs de la red y la interceptacin de informacin que es transmitida desde o hacia el sistema.

Vulnerabilidad Humana: la gente que administra y utiliza el sistema representa la mayor vulnerabilidad del sistema. Toda la seguridad del sistema descansa sobre la persona que cumple la funcin de administrador del mismo que tiene acceso al mximo nivel y sin restricciones al mismo. Los usuarios del sistema tambin suponen un gran riesgo al mismo. Ellos son los que pueden acceder al mismo, tanto fsicamente como mediante conexin; por eso es que se debe hacer una clara diferenciacin en los niveles de los distintos tipos de vulnerabilidad y en las medidas a adoptar para protegerse de ellas.


18

TIPOS DE AMENAZAS EN INFORMTICA

Hay diversas clasificaciones de las amenazas al sistema informtico, todo depende del punto de vista como se las mire. Una primera clasificacin es segn el efecto causado en el sistema, las amenazas pueden clasificarse en cuatro tipos: intercepcin, modificacin, interrupcin y generacin.

Intercepcin: cuando una persona, programa o proceso logra el acceso a una parte del sistema a la que no est autorizada. Por ejemplo, la escucha de una lnea de datos, o las copias de programas o archivos de datos no autorizados. Estas son ms difciles de detectar ya que en la mayora de los casos no alteran la informacin o el sistema.

Modificacin: este tipo de amenaza se trata no slo de acceder a una parte del sistema a la que no se tiene autorizacin, sino tambin de cambiar su contenido o modo de funcionamiento. Por ejemplo, el cambiar el contenido de una base de datos, o cambiar lneas de cdigo en un programa.

Interrupcin: se trata de la interrupcin mediante el uso de algn mtodo el funcionamiento del sistema. Por ejemplo, la saturacin de la memoria o el mximo de procesos en el sistema operativo o la destruccin de algn dispositivo hardware de manera malintencionada o accidental.

Generacin: generalmente se refiere a la posibilidad de aadir informacin a programas no autorizados en el sistema. Por ejemplo, el anadir campos y registros en una base de datos, o adicionar cdigo en un programa (virus), o la introduccin de mensajes no autorizados en una lnea de datos.

La vulnerabilidad de los sistemas informticos es muy grande, debido a la variedad de los medios de ataque o amenazas. Fundamentalmente hay tres aspectos que se ven amenazados: el hardware (el sistema), el software (programas de usuarios, aplicaciones, bases de datos, sistemas operativos, etc.), y los datos.

Desde el punto de vista del origen de las amenazas, estas pueden clasificarse en: naturales, involuntarias e intencionadas.

Amenazas Naturales o Fsicas: las amenazas que ponen en peligro los componentes fsicos del sistema son llamadas naturales, dentro de ellas se puede distinguir los desastres naturales, como las inundaciones, rayos o terremotos, y las condiciones medioambientales, tales como la temperatura, humedad, presencia de polvo, entre otros.

Amenazas Involuntarias: Estn relacionadas con el uso no apropiado del equipo por falta de entrenamiento o de concienciacin sobre la seguridad, algunas de las ms comunes son borrar sin querer parte de la informacin, o dejar sin proteccin


19

determinados archivos bsicos del sistema, o escribir en un papel o un post-it con el password o dejar activo el sistema, cuando no estamos usndolo.

Amenazas Intencionadas: las amenazas intencionadas son aquellas que proceden de personas que quieren acceder al sistema para borrar, modificar o robar la informacin o sencillamente para bloquearlo o por simple diversin. Los causantes del dao pueden ser de dos tipos: los externos pueden penetrar al sistema de mltiples formas, ya sea entrando al edificio o accediendo fsicamente al computador, o entrando al sistema a travs de la red o porque el software es vulnerable, o con el acceso a perfiles y operaciones no autorizados. Los internos pueden ser de empleados que han sido despedidos o descontentos, empleados coaccionados, y empleados que quieren obtener beneficios personales.

Leccin 2: Clasificacion de los Riesgos

El riesgo es una condicin del mundo real, en el cual hay una exposicin a la adversidad, conformada por una combinacin de circunstancias del entorno, donde hay posibilidad de perdidas. De acuerdo a esta definicin las organizaciones pueden fallar o sufrir prdidas como un resultado de una variedad de causas. Por eso las diferencias en esas causas y sus efectos constituyen la base para diferenciar los riesgos, los cuales se pueden clasificar de la siguiente forma:

Riesgos Finanacieros: los riesgos financieros incluyen la relacin entre una organizacin y una ventaja que puede ser prdida o perjudicada. De este modo el riesgo financiero contiene tres elementos que son la organizacin que esta expuesta a prdidas, los elementos que conforman las causas de perdidas financieras y el peligro que puede causar la perdida (amenaza a riesgo).

Riesgos Dinmicos: generalmente son el resultado de cambios en la economa que surgen de dos conjuntos de factores externos como la economa, la industria, competidores y clientes, adems de otros factores que pueden producir las prdidas que constituyen las base del riesgo especulativo y estn relacionadas con las decisiones de la administracin de la organizacin.

Riesgos Estticos: las causas de de estos riesgos son distintas a las de la economa y generalmente se deben a la deshonestidad o fallas humanas.

Riesgo Especulativo: Describe una situacin que espera una posibilidad de prdida o ganancia.

Riesgo Puro: son aquellas situaciones que solamente generan prdida o ganancia, un ejemplo es la posibilidad de prdida en la compra de un bien (automviles, casas, etc.). dentro de los riesgos puros estn los siguientes:

Riesgo personal, relacionado con la posibilidad de prdida por muerte


20

prematura, enfermedad e incapacidades Riesgos de las posesiones, donde la prdida puede ser directa por destruccin

de bienes, e indirectas causados por las consecuencias de las prdidas directas o gastos adicionales.

Riesgos de Responsabilidad, relacionadas con el perjuicio de otras personas o dao de una propiedad por negligencia o descuido.

Riesgos fsicos, por ejemplo el exceso de ruido, iluminacin inadecuada, exposicin a radiaciones, instalaciones elctricas inadecuadas.

Riesgos qumicos, por ejemplo la exposicin a vapores de los solventes, humo de combustin y gases.

Riesgos biolgicos, como hongos y bacterias. Riesgos psicosociales como bajos ingresos econmicos, la falta de incentivos y

motivacin. Riesgos ergonmicos tales como puesto de trabajo incomodo, posicin corporal

forzada, movimiento repetitivo al operar mquinas, hacinamiento.

Riesgo Fundamental: incluye las prdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenmenos econmicos, sociales que pueden afectar a parte de una organizacin.

Riesgo Particular: generalmente son prdidas que surgen de eventos individuales, antes que surjan de un grupo completo tales como desempleo, el incendio de una casa, el robo a una persona, son todos riesgos fundamentales ya que son particulares.

Leccin 3: Anlisis de Riesgos

En lo relacionado con la tecnologa, generalmente el riesgo es planteado solamente como amenaza, determinando el grado de exposicin a la ocurrencia de una prdida. Segn la Organizacin Internacional (ISO) define riesgo tecnolgico como La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generndole prdidas o daos. En esta definicin se identifican varios elementos que deben ser comprendidos adecuadamente para percibir integralmente el concepto de riesgo y los procesos aplicacados sobre l. Dentro de estos elementos estn la probabilidad, amenazas, vulnerabilidades, activos e impactos.

Probabilidad: para establecer la probabilidad de ocurrencia se puede hacerlo cualitativa o cuantitativamente, considerando lgicamente, que la medida no debe contemplar la existencia de ninguna accin de control, o sea, que debe considerarse en cada caso que las posibilidades existen, que la amenaza se presenta independienmente del hecho que sea o no contrarestada.

Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en las operaciones de la organizacin,


21

comnmente se referencia como amenazas a las fallas, a los ingresos no autorizados, a los virus, a los desastres ocasionados por fenmenos fsicos o ambientales, entre otros. Las amenazas pueden ser de carter fsico como una inundacin, o lgico como un acceso no autorizado a la base de datos.

Vulnerabilidades: Son ciertas condiciones inherentes a los activos, o presentes en su entorno, que facilitan que las amenazas se materialicen y los llevan a la condicin de vulnerabilidad.Las vulnerabilidades son de diversos tipos como por ejemplo: la falta de conocimiento de un usuario, la transmisin a travs de redes pblicas, entre otros.

Activos: Los activos a nivel tecnolgico, son todos los relacionados con los sistemas de informacin, las redes y comunicaciones y la informacin en si misma. Por ejemplo los datos, el hardware, el software, los servicios que se presta, las instalaciones, entre otros.

Impactos: Son las consecuencias de la ocurrencia de las distintas amenazas y los daos por prdidas que stas puedan causar. La prdidas generadas pueden ser financiaras, econmicas, tecnolgicas, fsicas, entre otras.

Anlisis de Riesgos

Es una herramienta de diagnstico que permite establecer la exposicin real a los riesgos por parate de una organizacin. Este anlisis tiene como objetivos la identificacin de los riesgos (mediante la identificacin de sus elementos), lograr establecer el riesgo total y posteriormente el riesgo residual luego de aplicadas las contramedidas en trminos cuantitativos o cualitativos.

El riesgo total es la combinacin de los elementos que lo conforman, calculando el valor del impacto por la probabilidad de ocurrencia de la amenaza y cul es el activo que ha sido impactado. Presentado en una ecuasin matemtica para la combinacin vlida de activos y amenazas:

RT (riesgo total) = probabilidad x impacto

El proceso de anlisis descrito genera habitualmente un documento que se conoce como matriz de riesgo, donde se ilustran todos los elementos identificados, sus relaciones y los clculos realizados. La sumatoria de los riesgos residuales calculados, es la exposicin total de la organizacin a los riesgos. Realizar el anlisis de riesgos es fundamental para lograr posteriormente administrar los mismos.

El objetivo general del anlisis de riesgos, es identificar sus causas potenciales de los principales riesgos que amenazan el entorno informtico. Esta identificacin se realiza en una determinada rea para que se pueda tener informacin suficiente al respecto, optando as por un adecuado diseo e implantacin de mecanismos de


22

control con el fin de minimizar los efectos de eventos no deseados, en los diferentes puntos de anlisis.

Otros objetivos especficos del proceso de anlisis de riesgos son: analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas; llevar a cabo un minucioso anlisis de los riesgos y debilidades; identificar, definir y revisar los controles de seguridad; determinar si es necesario incrementar las medidas de seguridad; y la identificacin de los riesgos, los permetros de seguridad y los sitios de mayor peligro, se pueden hacer el mantenimiento mas fcilmente.

Algunos aspectos que se debe tener en cuenta antes de realizar el anlisis de riesgos son los siguientes: las polticas y las necesidades de la organizacin, los nuevos avances tecnolgicos y la astucia de intrusos expertos, los costos vs la efectividad del programa de mecanismos de control a desarrollar, la junta directiva de la organizacin debe incluir presupuesto, los gastos necesarios para el desarrollo de programas de seguridad. Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan tener sobre el entorno informtico, sin olvidar los costos adicionales que se generan por su implementacin.

El anlisis de riesgos utiliza el mtodo matricial llamado MAPA DE RIESGOS, para identificar la vulnerabilidad de un servicio o negocio a riesgos tpicos. El mtodo contiene los siguientes pasos: la localizacin de los procesos en las dependencias que intervienen en la prestacin del servicio y la localizacin de los riesgos crticos y su efecto en los procesos del Negocio.

Anlisis de Riesgo Informtico

Segn Harold F. Tipton y Micki Krause1. la seguridad informtica puede ser definida, bsicamente, como la preservacin de la confidencialidad, la integridad y la disponibilidad de los sistemas de informacin. Dependiendo del entorno de la organizacin, se pueden tener diferentes amenazas que comprometan a los objetivos previamente mencionados. Ante un riesgo concreto, la organizacin tiene tres alternativas: aceptar el riesgo, hacer algo para disminuir la posibilidad de ocurrencia del riesgo o transferir el riesgo, por ejemplo, mediante un contrato de seguro.

A las medidas o salvaguardas que se toman para disminuir un riesgo se les denomina controles de seguridad. Los controles de seguridad informtica usualmente se clasifican en tres categoras: controles fsicos, controles lgicos o tcnicos y controles administrativos. Para que los controles sean efectivos, stos

1 Harold F. Tipton, Micki Krause (eds.), Information Security Management Handbook, 5th Ed., CRC Press, 2006


23

deben estar integrados, determinado por Jean Killmeyer Tudor2 en lo que se denomina una arquitectura de seguridad informtica, la cual debe ser congruente con los objetivos de la organizacin y las prioridades de las posibles amenazas de acuerdo al impacto que stas tengan en la organizacin. Por lo tanto, una fase fundamental en el diseo de la arquitectura de seguridad informtica determinada por Thomas Peltier3, es la etapa de anlisis de riesgos.

Sin importar cual sea el proceso que se siga, el anlisis de riesgos comprende los siguientes pasos:

1. Definir los activos informticos a analizar. 2. Identificar las amenazas que pueden comprometer la seguridad de los activos. 3. Determinar la probabilidad de ocurrencia de las amenazas. 4. Determinar el impacto de las amenazas, con el objeto de establecer una

priorizacin de las mismas. 5. Recomendar controles que disminuyan la probabilidad de los riesgos. 6. Documentar el proceso.

Las metodologas de anlisis de riesgo difieren esencialmente en la manera de estimar la probabilidad de ocurrencia de una amenaza y en la forma de determinar el impacto en la organizacin. Las metodologas ms utilizadas son cualitativas, en el sentido de que dan una caracterizacin de alta/media/baja a la posibilidad de contingencia ms que una probabilidad especfica.

El estndar ISO/IEC 27001 adopta una metodologa dada por Alan Calder y Steve Watkins4 que es la del anlisis de riesgos cualitativa.

El ISO/IEC 27001 es un estndar internacional para los sistemas de gestin de la seguridad informtica, que est estrechamente relacionado al estndar de controles recomendados de seguridad informtica ISO/IEC 17799.

Limitantes del anlisis de riesgo: Una de las debilidades de las metodologas de anlisis de riesgo, es que parten de una visin esttica de las amenazas, as como de los controles requeridos para disminuir los riesgos. El ciclo de vida establecido para las arquitecturas de seguridad informtica suele ser demasiado extenso ante un entorno en cambio constante.

Los cambios en los riesgos que debe considerar una organizacin tienen dos orgenes:

1. El surgimiento de nuevas amenazas.

2Jean Killmeyer Tudor (ed.), Information Security Architecture: An Integrated Approach to Security in the Organization, CRC Press, 2006. 3 Thomas R. Peltier, Information Security Risk Analysis, CRC Press, 2005.

4 Alan Calder, Steve Watkins, IT Governance: A Managers Guide to Data Security& BS 7799/ISO 17799, 2nd Ed., Kogan

Page Ltd., London, 2003.


24

2. La adopcin de nuevas tecnologas que da origen a riesgos no previstos.

Todo sistema de informacin evoluciona, debido a la integracin de hardware y software con caractersticas nuevas y ms atractivas para los usuarios, as como al desarrollo de nuevas funcionalidades. Estos cambios abren la posibilidad de riesgos imprevistos y tambin pueden crear vulnerabilidades donde antes no existan.

Algunos estudios realizados por Loch, Carr y Warkentin5, han demostrado que existe una brecha entre el uso de tecnologa moderna y el entendimiento de las implicaciones para la seguridad, inherentes a su utilizacin en su momento. Los administradores de sistemas de informacin que migraron sus organizaciones a entornos altamente interconectados seguan visualizando las amenazas desde un punto de vista pre-conectividad; como consecuencia, expusieron a sus organizaciones a riesgos de los cuales no eran conscientes, se negaban a aceptar o frecuentemente estaban poco preparados para manejar.

Leccin 4: Administracin de Riesgos

La administracin de riesgos se refiere a la gestin de los recursos de la organizacin para lograr un nivel de exposicin aceptable. Los niveles de exposicin se establecen por activo, permitiendo menor exposcin cuanto ms crtico sea el activo. El ciclo de la administracin de riesgos se cierra con la determinacin de las acciones a seguir en cada caso con respecto a los riesgos que han sido identificados.

La administracin de riesgos es una aproximacin cientfica del comportamiento de los riesgos, anticipando posibles prdidas accidentales con el diseo e implementacin de procedimientos que minimicen la ocurrencia de prdidas o el impacto financiero de las prdidas que puedan ocurrir.

El proceso de la Administracin de Riesgos consta de los siguientes pasos: primero se determina los objetivos, luego se identifican los riesgos, posteriormente se hace la evaluacin de los mismos, en seguida se selecciona alternativas y mecanismos de tratamiento de riesgos y por ltimo se implementa la decisin de los controles tomados, se evalan y se hace revisiones de su implementacin.

Determinar los Objetivos, es el primer paso en la administracin de riesgos denominado el programa de administracin de riesgos, en l se elabora un plan para obtener el mximo beneficio de gastos asociados con la administracin de riesgos. El principal objetivo de la administracin de riesgos es garantizar la supervivencia de la organizacin, minimizando los costos asociados con los

5 Karen D. Loch, Houston H. Carr, Merrill E. Warkentin, Threats to InformationSystems: Todays Reality, Yesterdays

Understanding,vol. 16, no. 2, 1992, pp. 173-186.


25

riesgos. Los objetivos de la administracin de riesgos estn formalizados en una poltica corporativa de administracin de riesgos, la cual describe las polticas y medidas tomadas para su consecucin. Los objetivos y las polticas de administracin de riesgos deben ser producto de las decisiones de la Junta Directiva de la compaa.

Identificacin de los Riesgos: es difcil generalizar, acerca de los riesgos de una organizacin, porque las condiciones y operaciones son distintas, pero existen formas de identificarlos entre las cuales estn: los registros internos de la organizacin, las listas de chequeo para polticas de seguros, cuestionarios de anlisis de riesgos, diagramas de flujo de procesos, el anlisis financiero, la inspeccin de operaciones y las entrevistas.

Evaluacin de Riesgos: Este proceso incluye la medicin del potencial de las prdidas y la probabilidad de la prdida, categorizando el orden de las prioridades. Un conjunto de criterios puede ser usado para establecer una prioridad, enfocada en el impacto financiero potencial de las prdidas, por ejemplo: riesgos crticos, que son todas las exposiciones a prdida en las cuales la magnitud alcanza la bancarrota, riesgos importantes donde las exposiciones a prdidas que no alcanzan la bancarrota, pero requieren una accin de la organizacin para continuar las operaciones, riesgos no importantes que son las exposiciones a prdidas que no causan un gran impacto financiero.

Consideracin de Alternativas y Seleccin de Mecanismos de Tratamiento de Riesgos: en este paso se consideran las tcnicas que puedan ser usadas para tratar con riesgos, estas tcnicas incluyen evitar los riesgos, retencin, transparencia y reduccin.

Implementacin de la Desicin, Evaluacin y Revisiones: en este paso se puede incluir dos razones, una de ellas es que el proceso de administracin de riesgos no es la panacea definitiva, las cosas pueden cambiar, nuevos riesgos surgen y riesgos viejos desaparecen, la otra es que el programa de administracin de riesgos permite al administrador de riesgos revisar decisiones y descubrir errores.

Leccin 5: Matrices y Mapas de Riesgo

Una matriz de riesgo es una herramienta utilizada para indicar los riesgos, los controles y su valoracin por probabilidad e impacto. Normalmente es utilizada para identificar las actividades, los procesos y productos ms importantes de una organizacin, el tipo y nivel de riesgos inherentes a estas actividades y los factores exgenos y endgenos relacionados con estos riesgos denominados factores de riesgo.


26

De la misma forma, una matriz de riesgo permite evaluar la efectividad de una adecuada gestin y administracin de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organizacin. La matriz debe documentar los procesos y evaluar, de manera integral, el riesgo de la empresa a partir de las cuales se realiza un diagnstico objetivo de la situacin global de riesgo de una entidad.

La matriz de riesgo efectiva permitir hacer comparaciones objetivas entre proyectos, reas, productos, procesos o actividades que constituye un soporte conceptual y funcional de un efectivo Sistema Integral de Gestin de Riesgo.

Los elementos que deben considerarse para el diseo de una matriz de riesgo debe partir inicialmente de los objetivos estratgicos y plan de negocios, la administracin de riesgos deber desarrollar un proceso para identificar las actividades principales y los riesgos a los cuales estn expuestas.

Una vez establecidas todas las actividades, se deben identificar las fuentes o factores que intervienen en su manifestacin y severidad, es decir los llamados factores de riesgo o riesgos inherentes. El riesgo inherente es intrnseco a toda actividad, surge de la exposicin y la incertidumbre de probables eventos o cambios en las condiciones del negocio o de la economa que puedan impactar una actividad. Los factores o riesgos inherentes pueden no tener el mismo impacto sobre el riesgo agregado, siendo algunos ms relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los riesgos primarios.

El siguiente paso consiste en determinar la probabilidad de ocurrencia del riesgo y el impacto, es decir, un clculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La valorizacin del riesgo implica un anlisis conjunto de la probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse en trminos cualitativos o cuantitativos, dependiendo de la importancia o disponibilidad de informacin; en general, se usa la evaluacin cualitativa por ser la ms sencilla y econmica en trminos de costo, la valoracin se da mediante el uso de escalas descriptivas para evaluar la probabilidad de ocurrencia de cada evento.

La evaluacin cualitativa se utiliza cuando el riesgo percibido no justifica el tiempo y esfuerzo que requiera un anlisis ms profundo o cuando no existe informacin suficiente para la cuantificacin de los parmetros. En el caso de riesgos que podran afectar significativamente los resultados, la valorizacin cualitativa se utiliza como una evaluacin inicial para identificar situaciones que ameriten un estudio ms profundo.

La evaluacin cuantitativa utiliza valores numricos o datos estadsticos, en vez de escalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que definitivamente podra brindar una base ms slida para la toma de decisiones, sto dependiendo de la calidad de informacin que se utilice.


27

Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el proceso del trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse que si bien la valoracin de riesgo contenida en una matriz de riesgo es mayormente de tipo cualitativo, tambin se utiliza un soporte cuantitativo basado en una estimacin de eventos ocurridos en el pasado, con lo cual se obtiene una mejor aproximacin a la probabilidad de ocurrencia del evento.

La valorizacin consiste en asignar a los riesgos calificaciones dentro de un rango, que podra ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5), dependiendo de la combinacin entre impacto y probabilidad. En la siguiente figura se puede observar un ejemplo de esquema de valorizacin de riesgo en funcin de la probabilidad e impacto con escala de valoracin:

Figura 1: Matriz de Riesgos

Fuente: http://www.google.com.co/imgres?q=matriz+de+riesgos+informaticos&hl=es&biw=1280&bih=699&gbv=2&tbm=isch&tbnid=_qmfSbEv7Po9NM:&imgrefurl=http://redindustria.blogspot.com/2010/05/matriz-de-riesgos.html/

Una vez valorados los riesgos, se procede a evaluar la geston de los mismos, aplicando una escala de valoracin definida por un estndar o definida dentro de la organizacin para medicin de controles, con el fin de determinar la efieciencia, eficacia y efectividad de los controles establecidos para mitigar los riesgos identificados. En la medida que los controles sean ms eficientes y la gestin de


28

riesgos pro-activa, el indicador de riesgo inherente neto tiende a disminuir. La escala de valoracin de efectividad de los controles podra ajustarse a un rango similar al siguiente:

Tabla 1. Escala de valoracin control

Control Efectividad Ninguno 1 Bajo 2 Medio 3 Alto 4 ptimo 5

Fuente: Esta Investigacin

Finalmente, se calcula el riesgo residual, que se obtiene de la relacin entre el grado de exposicin a los riesgos inherentes y la gestin de mitigacin de los mismos establecida por la administracin. A partir del anlisis y determinacin del riesgo residual los administradores pueden tomar decisiones como la de continuar o abandonar la actividad dependiendo del nivel de riesgos; fortalecer controles o implantar nuevos controles.

Tabla 2. Clculo de Riesgos Residuales

(*) Promedio de los Datos de Efectividad (**) Resultado de la divisin entre nivel de Riesgo / Promedio de Efectividad

Actividad 1 Nivel de Riesgo

Calidad de Gestin Riesgo Residual (**)

Tipo de Medidas de Control

Efectividad Promedio (*)

Riesgo Inherente 1

5 Control 1 3 3,6 1,38 Control 2 4 Control 3 4

Riesgo Inherente 2


Riesgo Inherente 3


Riesgo Inherente 4

3 Control 1 5 3,5 0,85 Control 2 2

Perfil de Riesgo (Riesgo Residual Total) (***) 1,07


29

(***) Promedio: se considera el mismo peso de ponderacin a los Riesgos Inherentes

Fuente: http://www.sigweb.cl/

El cuadro anterior muestra en forma consolidada, los riesgos inherentes a una actividad o lnea de negocio, el nivel o grado de riesgo ordenado de mayor a menor nivel de riesgo (priorizacin); las medidas de control ejecutadas con su categorizacin promedio y finalmente, se expone el valor del riesgo residual para cada riesgo y un promedio total que muestra el perfil global de riesgo de la lnea de negocio.

Como se habr podido observar la matriz de riesgo tiene un enfoque principalmente cualitativo, para lo cual es preciso que quienes la construyan tengan experiencia, conocimiento profundo del negocio y su entorno y un buen juicio de valor, pero adems es requisito indispensable la participacin activa de todas las reas de la entidad.


30

UNIDAD 1: RIESGOS INFORMTICOS

CAPITULO 2: ESTNDARES Y MTODOS DE ANLISIS Y EVALUACIN DE RIESGOS

Introduccin

En este captulo se hace referencia a los estndares para el anlisis de riesgos ms importantes en el mbito global, Uno de ellos es el Informe COSO ERM que es un estndar aplicado en las organizaciones para realizar procesos de anlisis de riesgo en los procesos que se llevan a cabo dentro de ellas. Otro de los estndares aplicado a los procesos y recursos informticos es el estndar MAGERIT usado en Europa para el anlisis y evaluacin de riesgos tanto en los elementos informticos como en la informacin y comunicaciones. Por ltimo el estndar ms completo para el anlisis de riesgos basado en objetivos de control denominado COBIT resultado de la federacin internacional ISACA donde se recopila todos los objetivos de control que debera tener una organizacin a nivel interno para proteccin de sus activos e informacin.

Adems se menciona los mtodos de anlisis de riesgos cuantitativos y cualitativos, el primero que hace referencia al impacto que causara una amenaza de llegar a concretarse, cuya escala de valores es nmerica y puede ser cuantificada y medida. El segundo est fundamentado en la posibilidad de ocurrencia de una falla tambin denominada la probabilidad de ocurrencia que es una escala de tipo cualitativo.

Leccin 6: Generalidades de los Estndares de Anlisis de Riesgos

Anlisis de riesgos

Inventario de metodologas y herramientas de anlisis y gestin de riesgos de ENISA (European Network and Information Security Agency), incluye sistema de comparativas en la direccin electrnica www.enisa.europa.eu/rmra/rm_home.html

Gua de evaluacin y gestin del riesgo para Pymes. www.enisa.europa.eu

MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin), promovida por el Ministerio de Administraciones Pblicas de Espaa. www.csi.map.es/csi/pg5m20.htm

EAR/Pilar (Entorno de anlisis de riesgos). Herramienta en espaol, basada en Magerit, no gratuita. Existe una versin Basic para Pymes. www.ar-tools.com

GxSGSI. Software de anlisis de riesgos, en espaol, de la empresa SIGEA. www.sigea.es


31

ISO/IEC 27005 es el estndar ISO de la serie 27000 dedicado a la gestin de riesgos de seguridad de la informacin. www.iso.org/iso/iso_catalogue/

BS 7799-3:2006 es el estndar britnico de gestin del riesgo de la seguridad de la informacin de British Standards Institution. www.bsigroup.com/en/Shop/

Risk management guide for information technology systems. Publicada por NIST (National Institute of Standards and Technology) de EEUU. csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

AS/NZS 4360:2004 es el estndar australiano de gestin de riesgos de la seguridad de la informacin. www.saiglobal.com/shop/script/

EBIOS (Expression des Besoins et Identification des Objectifs de Scurit). Metodologa de gestin de los riesgos de seguridad de sistemas de informacin desarrollada por la Direction Central de la Scurit des Systmes dInformation francesa. Disponible en espaol. Est acompaada por un software multilinge -francs, ingls, alemn, espaol- gratuito para varias plataformas -Windows, Linux, Solaris-. www.ssi.gouv.fr/site_article173.html

Estndar de anlisis de riesgos del Bundesamt fr Sicherheit in der Informationstechnik de Alemania. GSTOOL es la correspondiente herramienta. www.bsi.de/english/

MEHARI (Mthode Harmonise dAnalyse de Risques). Mtodo de anlisis y gestin del riesgo desarrollado por el Clusif ( Club de la Scurit des Systmes dInformation Franais). www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Metodologa de evaluacin de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versin para pequeas empresas (menos de 100 empleados). www.cert.org/octave

CRAMM (CCTA Risk Analysis and Management Method ). Metodologa y herramienta de anlisis y gestin de riesgos desarrollada por la Central Computer and Telecommunications Agency del Reino Unido y gestionada por Insight Consulting Limited (Grupo Siemens). Existe en versin Expert y Express, incluye software y no es gratuita. www.cramm.com

RiskWatch es un software no gratuito de realizacin de anlisis de riesgos. www.riskwatch.com

IRAM (Information Risk Analysis Methodologies) es una metodologa de anlisis de riesgos del Information Security Forum slo disponible para sus miembros. www.securityforum.org

FIRM (Fundamental Information Risk Management) es una metodologa de gestin de riesgos del Information Security Forum.


32

www.securityforum.org Citicus ONE es un software comercial (disponible en varios idiomas, pero no en

espaol) de gestin de riesgos de seguridad de la informacin, basado en la metodologa FIRM. www.citicus.com/oursoftware_softwarecapabilities.asp

Gua en ingls de evaluacin de riesgos de la Polica de Canad. Tambin versin en francs. www.rcmp-grc.gc.ca/ts-st/pubs/tra-emr/index-eng.htm

Introduccin a la metodologa FAIR (Factor Analysis of Information Risk). www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf

Estndar de gestin del riesgo de IRM, AIRMIC y ALARM (en espaol). www.theirm.org/

Security Risk Management Guide de Microsoft. technet.microsoft.com/en-us/library/cc163143.aspx

@RISK, de Palisade, es un software general de anlisis de riesgos basado en la simulacin de Monte Carlo. Existe versin en espaol y tiene coste. www.palisade-lta.com/risk

COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software -no gratuito- de evaluacin del riesgo de C&A Systems Security Ltd.. www.riskworld.net

RA2 Art of Risk. Software de anlisis de riesgos y soporte de SGSI. No es gratuito. www.aexis.de

Ejemplo de anlisis de impacto en el negocio realizado por Gartner. www.njcu.edu/assoc/njcuitma/documents/addendums/

Whitepaper de SANS de alineacin de gestin de riesgos con BS7799-3. www.sans.org/reading_room/whitepapers/auditing/1664.php

Whitepaper de SANS sobre gestin del riesgo. www.sans.org/reading_room/whitepapers/auditing/1204.php

Introduccin al anlisis y modelado de amenazas. metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf

Gua de evaluacin de riesgos de seguridad de ASIS. www.asisonline.org/guidelines/guidelinesgsra.pdf

Directrices para la gestin del riesgo por uso de aplicaciones de software libre. www.fdic.gov/news/news/financial/2004/FIL11404a.html

CERO es una aplicacin web que le permite tener una visin global de los riesgos a los que se expone su compaa, Operativos y de LA/FT.

Leccin 7: Estndar Coso para Anlisis de Riesgos

Estandar Coso

Es un estndar de control interno para la gestin del riesgo, que hace recomendaciones sobre la evaluacin, reporte y mejoramiento de los sistemas de


33

control. Fue emitido en 1991 por el Comit de Organizaciones Sponsor (Integrated Framework del Committe of Sponsoring Organizations of the Treadway Commission) y ampliado posteriormente en 2004.

El informe COSO, tiene dos objetivos fundamentales:

La definicin de control interno Brindar un estndar para que las organizaciones evalen sus sistemas de

control y la forma de mejorarlos.

Control interno: proceso efectuado por el directorio, la gerencia y otro personal de la entidad, con el fin de proveer un aseguramiento razonable en relacin al logro de los objetivos, teniendo en cuenta las siguientes categoras:

Efectividad y eficiencia de las operaciones Confiabilidad de la informacin financiera Cumplimiento con las leyes y regulaciones aplicables

Respecto al control interno, es importante resaltar: Al definirse como proceso, se convierte en un medio para alcanzar un fin,

no constituye un fin en si mismo. Involucra a personas de diferentes niveles de la organizacin, para su

accionar no es suficiente con tener manuales de procedimientos, es indispensable crear y ejecutar mecanismos y estrategias de aplicacin, control y evaluacin.

No garantiza la seguridad total, sino un grado razonable de la misma. Se utiliza para hacer ms fcil y seguro la consecucin de los objetivos

empresariales.

Componentes: establece cinco componentes que estn ntimamente relacionados:

1. Ambiente de control: incluye la filosofa, estilo operativo de la gerencia, polticas, prcticas de recursos humanos, integridad y valores ticos de los empleados, estructura organizacional, documentacin de polticas y decisiones, desarrollo de programas que incluyan metas, objetivos e indicadores de rendimiento, reglamentos y manuales de procedimientos, mecanismos de asignacin y administracin de responsabilidades, es decir, todos los aspectos que conforman la cultura organizacional y la actitud que asume la alta gerencia y los dems niveles de la organizacin respecto a la importancia y trascendencia del control interno en todas las actividades y resultados que se obtienen en la empresa.

De acuerdo a las caractersticas de la organizacin, puede ser necesario que se implementen consejos de administracin y comits de auditora con personal calificado y un grado adecuado de independencia.


34

2. Evaluacin de riesgos: el control interno pretende limitar los riesgos que afectan el desarrollo de las actividades propias de la organizacin, para ello se requiere: tener un conocimiento prctico de la organizacin y sus componentes, con el fin de identificar y analizar los riesgos examinando factores externos (desarrollo tecnolgico, competencia, modificaciones econmicas) y factores internos (calidad del personal, naturaleza de las actividades de la empresa, caractersticas de los sistemas de informacin). Un paso previo a la evaluacin de riesgos es el establecimiento de los objetivos relacionados con las operaciones, la informacin financiera y el cumplimiento. Dependiendo de su formulacin y cobertura se puede identificar los factores de xito y los criterios para evaluar el rendimiento. Al evaluar el riesgo, se debe:

Estimar su significacin (importancia y trscedencia) Identificar la probabilidad de que ocurra y su frecuencia Establecer cmo manejarlo.

Cabe tener en cuenta que se presentan riesgos cuando se plantean situaciones de cambio y muchas veces estos no se perciben, por estar inmersos en los nuevos procesos. Existen circunstancias que pueden merecer una atencin especial en funcin del impacto potencial que plantean:

Cambios en el entorno Redefinicin de la poltica institucional Reorganizaciones o reestructuraciones internas Ingreso de empleados nuevos, o rotacin de los existentes Nuevos sistemas, procedimientos y tecnologas Aceleracin del crecimiento Nuevos productos, actividades o funciones 6

En casos como los mencionados, deben existir mecanismos establecidos para encarar sin traumatismos los cambios.

3. Actividades de control: se realizan en todos los niveles de la organizacin y en cada etapa de la gestin; estn conformadas por los procedimientos generados para prevenir y contrarrestar los riesgos; se logra mediante el establecimiento de polticas y procedimientos que garanticen que los empleados sigan las directrices de la gerencia. En estas actividades se incluyen:

Revisar los mecanismos de control Controles fsicos Adicin de tareas Controles de los sistemas de informacin, dentro de los cuales se tiene:

o Controles generales (acceso, desarrollo de software y sistemas) o Controles de las aplicaciones (detectan, previenen y corrigen

errores del sistema actual)

6 Ladino Enrique. Control interno: informe Coso. Biblioteca virtual Elibro - UNAD


35

De acuerdo al objetivo de la organizacin, los controles se pueden agrupar en: Las operaciones La confiabilidad de la informacin financiera El cumplimiento de leyes y reglamentos

Otra categorizacin de los controles es: Preventivo / correctivo Manuales / automatizados o informticos Gerenciales o directivos

4. Informacin y comunicacin: los sistemas de informacin que se manejen influyen de manera decisiva en la toma de decisiones en toda organizacin, por lo tanto es indispensable que sea oportuna, exacta, actualizada y accesible para evitar riesgos. En razn de lo anterior, es necesario establecer canales de comunicacin estratgicos que permita identificar, capturar y reportar la informacin financiera y operativa necesaria para controlar las actividades de la organizacin. Los canales de comunicacin deben ser eficientes para lograr que el personal, de acuerdo al rol que desempea, reciba la informacin adecuada, la procese de acuerdo a las responsabilidades impartidas por control interno y si encuentra problemas, comunicarlos a los niveles que corresponden en la organizacin. Las entidades y personal ajeno a la organizacin, pero que tiene vnculos con ella deben conocer que la empresa no tolerar acciones inapropiadas.

5. Monitoreo o Supervisin: busca asegurar que el control interno funcione correctamente, para lo cual la gerencia examina los sistemas de control en: Actividades regulares: tiene que ver con el control de las actividades

cotidiana, propias a la gestin de la organizacin, como ejemplos se pueden mencionar el comparar activos fsicos con informacin registrada, seminarios de entrenamiento y exmenes que realizan auditores internos y externos. Las anomalas que se encuentren se reportan al supervisor encargado.

Evaluaciones especiales: se programan y realizan atendiendo las necesidades que se presenten, puede variar su frecuencia y cobertura. Si los resultados arrojan deficiencias, generalmente se informa a los altos niveles de la gerencia.

Leccin 8: Estndar Magerit para Anlisis de Riesgos Informticos

Descripcin del estndar MAGERIT

Finalidad: el anlisis y gestin de los riesgos es uno de los aspectos claves por medio del cual se regula el Esquema Nacional de Seguridad en el mbito de la administracin de la Administracin Electrnica en Espaa que tiene la finalidad


36

de satisfacer el principio de proporcionalidad en el cumplimiento de los principios bsicos y requisitos mnimos para la proteccin adecuada de la informacin.

MAGERIT es un instrumento para facilitar la implantacin y aplicacin del esquema de seguridad proporcionando los principios bsicos y requisitos mnimos para proteccin de la informacin. El estndar MAGERIT es uno de los mtodos de anlisis y gestin de riesgos de ENISA elaborada por el Consejo Superior de Administracin Electrnica en Espaa, que tiene como objetivos los siguientes: concientizar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de detenerlos a tiempo, el ofrecer un mtodo sistemtico para realizar el anlisis de los riesgos, adems de ayudar a descubrir y planear las medidas oportunas para mantener los riesgos bajo control, y preparar a la organizacin para procesos de evaluacin, auditora, acreditacin o certificacin, segn corresponda cada caso.

MAGERIT permite hacer el estudio de los riesgos que soporta un sistema de informacin y el entorno asociado a l, para ello propone realizar la evaluacin del impacto que una violacin de la seguridad tiene en la organizacin; seala los riesgos existentes, identificando las amenazas que acechan al sistema de informacin, y determina la vulnerabilidad del sistema de prevencin de dichas amenazas, obteniendo unos resultados. Los resultados del proceso de anlisis de riesgos permiten a la gestin de riesgos recomendar las medidas apropiadas que deberan adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios.

Organizacin de las guas

El estndar MAGERIT versin 2 se ha estructurado en tres guas: el Mtodo, el Catlogo de Elementos, y la Gua de Tcnicas, a continuacin se hablar en ms detalle sobre el contenido de las mismas.

El mtodo, que describe los pasos y las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos, y proporciona una serie de aspectos prcticos. La metodologa se describe desde tres ngulos y est dividido en captulos donde cada uno de ellos contiene:

El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo y para gestionar su mitigacin. Es una presentacin netamente conceptual.

El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente reglamentar roles, actividades, hitos y documentacin para que la realizacin del proyecto de anlisis y gestin de riesgos, est bajo control en todo momento.

El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de informacin, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a


37

que estn expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.

En el captulo 5 desagrega una serie de aspectos prcticos, derivados de la experiencia acumulada en el tiempo para la realizacin de un anlisis y una gestin realmente efectivos.

Figura 2: Procesos para gestin de riesgos

En los apndices recogen material de consulta tales como: el Glosario, las Referencias bibliogrficas consideradas para el desarrollo de esta metodologa, las Referencias al marco legal que encuadra las tareas de anlisis y gestin, el marco normativo de evaluacin y certificacin, las caractersticas que se requieren de las herramientas, presentes o futuras, para soportar el proceso de anlisis y gestin de riesgos, y una gua comparativa de cmo MAGERIT versin 1 ha evolucionado en esta versin 2 donde se desarrolla un ejemplo prctico.

El Catlogo de Elementos, que ofrece unas pautas y elementos estndar en cuanto a: tipos de activos, dimensiones de valoracin de los activos, criterios de


38

valoracin de los activos, amenazas tpicas sobre los sistemas de informacin y salvaguardas a considerar para proteger sistemas de informacin. El catlogo persigue dos objetivos esenciales: el facilitar la labor de las personas que inician el proyecto, en el sentido de ofrecerles elementos estndar a los que puedan adscribirse rpidamente, centrndose en lo especfico del sistema objeto del anlisis y homogeneizar los resultados de los anlisis, promoviendo una terminologa y unos criterios uniformes que permitan comparar e incluso integrar anlisis realizados por diferentes equipos.

La Gua de Tcnicas, que es una gua de consulta que proporciona algunas tcnicas que se emplean habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos, dentro de ellas se encuentran: tcnicas especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis algortmico, rboles de ataque, tcnicas generales, anlisis coste-beneficio, diagramas de flujo de datos, diagramas de procesos, tcnicas grficas, planificacin de proyectos, sesiones de trabajo (entrevistas, reuniones y presentaciones) y valoracin Delphi.

Es una gua de consulta que permite el avance por las tareas del proyecto, se le recomendar el uso de ciertas tcnicas especficas, de las que esta gua busca ser una introduccin, as como proporcionar referencias para que el lector profundice en las tcnicas presentadas.

MAGERIT es utilizado por aquellas personas que trabajan con informacin digital y sistemas informticos para tratarla. Si dicha informacin, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitir saber cunto valor est en juego y les ayudar a protegerlo. Conocer el riesgo al que estn sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximacin metdica que no deje lugar a la improvisacin, ni dependa de la arbitrariedad del analista.

Leccin 9: Estndar Cobit para Anlisis y Evaluacin de Riesgos de Ti

Objetivos de Control para la Informacin y Tecnologas Relacionadas (CobIT)

En esta sociedad globalizada y con el uso cada vez ms frecuente de nuevas tecnologas para el manejo de informacin y datos, se hace necesario el manejo ms crtico de los medios para la gestin de datos e informacin que se transmiten de un sitio a otro, de esta situacin emergen situaciones y problemas como la creciente vulnerabilidad y un amplio espectro de amenazas, denominadas ciber amenazas, la guerra de informacin, otras como las inversiones actuales y futuras en informacin y en tecnologa de informacin, el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.


39

En muchos casos, para muchas organizaciones la informacin y la tecnologa que la soporta, representan los activos ms valiosos de la empresa, por lo cual la gerencia de las organizaciones ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Es por eso que la administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar, pero tambin deben comprender y administrar los riesgos asociados con la Implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener un entendimiento claro sobre los riesgos y limitantes del empleo de la tecnologa para proporcionar una direccin efectiva y controles adecuados para su uso. Las organizaciones deben cumplir con requerimientos de calidad y seguridad tanto para su informacin como para sus activos, por eso la administracin debe obtener el balance adecuado en el empleo de sus recursos disponibles dentro de los cuales estn el personal, instalaciones, tecnologa, sistemas de informacin y datos. Para cumplir con esta responsabilidad, se deber establecer un sistema adecuado de control interno que proporcione soporte a los procesos de negocio y sea efectivo en satisfacer los requerimientos de informacin y puede impactar a los recursos de TI. El impacto en los recursos de TI es enfatizado en el Marco Referencial de CObIT conjuntamente a los requerimientos de informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El control, incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. CObIT esta diseado no solo para ser utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de verificacin o check list para los propietarios de los procesos de negocio. CObIT es con un conjunto de treinta y cuatro (34) objetivos de control de alto nivel, uno para cada uno de los procesos de TI, agrupados en cuatro dominios: planeacin & organizacin, adquisicin & implementacin, entrega (de servicio) y monitoreo. Con la direccin de estos 34 Objetivos de Control de alto nivel, el propietario de procesos podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. A cada uno de los 34 objetivos de control de alto nivel, se asocia una gua de auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 302 objetivos detallados de control recomendados por CObIT para proporcionar la certeza de su cumplimiento y/o una recomendacin para su mejora. CObIT contiene un conjunto de herramientas de implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron CObIT en sus ambientes de trabajo. La gua de implementacin cuenta con dos herramientas: un diagnstico de sensibilizacin gerencial y un diagnstico de


40

control en TI para proporcionar asistencia en el anlisis del ambiente de control en una organizacin. CObIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de CObIT es proporcionar objetivos de control, dentro del marco referencial definido, y obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. El CObIT ha sido desarrollado como un estndar para las buenas prcticas de seguridad y control en Tecnologa de Informacin (TI), se fundamenta en los Objetivos de Control existentes de la Fundacin de Control y Auditoria de Sistemas de Informacin (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria. El desarrollo de CObIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le siguen actividades educativas. Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin CObIT. Se determin que las mejoras a los objetivos de control originales debera consistir en: el desarrollo de un marco referencial para control en TI como fundamento para los objetivos de control en TI y como una gua para la auditoria y control de TI; una alineacin del marco referencial general y de los objetivos de control individuales, con estndares y regulaciones internacionales existentes de hecho y de derecho; una revisin de las actividades y tareas que conforman los dominios de control en TI, la especificacin de indicadores de desempeo relevantes (normas, reglas, etc.) y la actualizacin de las guas actuales para desarrollo de auditorias de sistemas de informacin. El desarrollo de CObIT ha resultado en la publicacin de un resumen ejecutivo que consiste una sntesis que proporciona el entendimiento y conciencia sobre los conceptos y principios del CObIT y el marco de referencia que identifica los cuatro (4) dominios de CObIT y los correspondientes procesos de TI. El marco referencial describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos del negocio para la informacin y los recursos de TI que son impactados por cada objetivo de control. Los objetivos de control que contienen los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de TI. Las guas de auditoria contienen los pasos que deben seguir los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia la certeza unas recomendaciones de mejoramiento; y un conjunto de herramientas de implementacin que proporciona lecciones aprendidas por las organizaciones que han aplicado CObIT rpida y exitosamente en sus ambientes de trabajo. El concepto fundamental del marco referencial CObIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI CURSO DE RIESGOS Y CONTROL I

Modulo Riesgos y Control Informatico V5 2012 DEFINITIVO

Documents

Transcript of Modulo Riesgos y Control Informatico V5 2012 DEFINITIVO