II.EL RIESGO.

UNIVERSIDAD LATINA.

Concepto de riesgo.

Contingencia o proximidad de un daño. La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la seguridad de TI/TEC TR 13335-1, 1996) como: "La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generándole pérdidas o daños".

Por ejemplo: Riesgo: Cuando no se tiene un Antivirus para proteger el equipo.

Tipos de riesgo.

En el ámbito de la seguridad informática podemos mencionar diferentes tipos de riesgos, entre los más importantes tenemos:

a).- Los de Integridad. Este tipo de riesgo se refiere a la autorización, complenitud, exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares y en diversos momentos en todas las partes de las aplicaciones.

b).- De relación. Se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones, Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas.

Tipos de riesgo.

c).- De acceso. Estos son muy comunes y se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos comprenden: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información.

d).- En la infraestructura. Se refieren a que en las organizaciones no existe una estructura de información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.)

e).- De seguridad en general. Hacen referencia a los estándares IEC 950 que proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo: Riesgos de choque eléctrico que comprenden los niveles altos de voltaje. Riesgos de incendio que comprenden la Inflamabilidad de materiales. Riesgos de niveles inadecuados de energía eléctrica. Riesgos de radiaciones que pueden ser de ondas de ruido, de láser y ultrasónicas. Riesgos mecánicos, etc.

El riesgo dentro de las organizaciones: ¿cómo minimizarlo?

La minimización del riesgo dentro de las organizaciones implica aplicar técnicas efectivas de lo que se conoce como la "Administración de riesgos". Estas técnicas realizan un proceso de identificación, evaluación y toma de decisiones para reducir el riesgo en las organizaciones a un nivel aceptable.

Administración de riesgos

•Es el conjunto de actividades que tiene como fin anticiparse a la ocurrencia de eventos adversos.

•Esto se logra con el diseño e implantación de estrategias, procesos y estructuras que minimicen el impacto de las pérdidas.

•Estrategias: Son los compromisos que establecen las personas para crear una política de riesgos.

•Procesos: Se refieren al enfoque sistemático para evaluar los distintos tipos de riesgo que se enfrentan de forma integral.

•Estructuras: Es la forma en que se organiza una entidad y cómo aplica sus recursos y técnicas para cumplir con las estrategias.

Puntos para el análisis y la administración del riesgo

•la investigación e identificación de las fuentes de riesgo.

•la estimación de su probabilidad y evaluación de sus efectos.

•la planificación de estrategias y procedimientos de control de riesgos.

•la aplicación optimizadora de esas estrategias en presencia de incertidumbre

Manejo de riesgos dentro de la seguridad en la información

•Los puntos a considerar en cuanto al manejo de riesgos son: •Situación actual.- Análisis de la situación de seguridad (test de vulnerabilidad o test de penetración)

•Definir pasos a seguir.- En base a un informe detallado de la situación actual, un comité formado por los responsables de sistemas,RRHH, legales y la gerencia, deberán definir cuáles son los pasos a seguir para atacar el riesgo.

•Implementación.- en base a las decisiones tomadas, se implementan las normas, procedimientos, actualizaciones y ajustes que sean requeridos y que fueron aprobados por el comité.

•Monitoreo.- Analizar el éxito de la implementaciones llevadas a cabo, verificar qué desvíos surgieron y planificar un nuevo análisis en un periodo acorde en la compañía.

Determinación de probabilidad de riesgo

• La probabilidad mide la frecuencia con la que se obtiene un resultado (o conjunto de resultados) al llevar a cabo un experimento aleatorio, del que se conocen todos los resultados posibles, bajo condiciones suficientemente estables. •Por ejemplo.- Que probabilidad tengo de que me afecte un virus

•el cálculo de probabilidades suministra las reglas apropiadas para cuantificar esa incertidumbre y constituye la base para la estadística inductiva o inferencial.

Que es evaluación de riesgos ?

• Dentro de la administración de riesgos, un punto importante es su evaluación

•La evaluación de riesgos es la ciencia que estudia la comprensión y la medida de los peligros así como la exposición y los riesgos asociados.

Niveles de riesgo Para mejor comprensión deberá hacer una lista de riesgos los riesgos se clasifican por su nivel de importancia y por la severidad de su pérdida:• Estimación del riesgo de pérdida del recurso (R i ) • Estimación de la importancia del recurso (I i )

Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor numérico de 0 a 10, tanto a la importancia del recurso (10 es el recurso de mayor importancia) como al riesgo de perderlo (10 es el riesgo más alto).El riesgo de un recurso será el producto de su importancia por el riesgo de perderlo :

Formula del riesgo de un recurso :

con la siguiente fórmula es posible calcular el riesgo general de los recursos de una red:

CON LAS FORMULAS ANTERIORES RESOLVER EL SIGUIENTE PROBLEMA:El Administrador de una red ha estimado los siguientes riesgos y su importancia para los elementos de la red que administra

Identificación de Amenaza

• Una vez conocidos los riesgos, los recursos que se deben proteger y como su daño puede influir en la organización es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos.

•Existe una relación directa entre amenaza y vulnerabilidad

•Se debe hacer una lista de amenazas (actualizadas) para ayudar a los administradores de seguridad a identificar los distintos métodos, herramientas y técnicas de ataque que se pueden utilizar.

Evaluación de Costos

•La evaluación de costos consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades.

Herramientas y técnicas de evaluación de riesgos

•El análisis de riesgos usa una serie de técnicas que se aplican cuando las respuestas no son obvias y la información es ambigua e incierta. •Se utilizan las herramientas de la ciencia, la ingeniería y la estadística para analizar la información relacionada con los riesgos y en base a estas se estima la magnitud

del riesgo.

Metodología de evaluación de riesgos

Se pueden considerar los siguientes puntos metodológicos para la evaluación de riesgos:

1.- Análisis Inicial o Preliminar del riesgo

2. Valoración de Riesgos y su impacto local

3. Realizar una Auditoria de Riesgos

4. Evaluación y clasificación de la magnitud de los riesgos.

5. Identificar los equipos expuestos a un tipo de riesgo determinado

6. Identificación de los riesgos que pueden construir causas de impactos (robo de claves, incendios, etc)

7. Elaboración de un programa de monitoreo y Vigilancia.

Perdidas de ocurrencia única

• Dentro de la evaluación de riesgos encontraremos casos excepcionales como son las perdidas de ocurrencia única que tambien deberán tomarse en cuenta.

•En el análisis de riesgos las perdidas de ocurrencia única son aquellas que se presentan por una situación esporádica o de excepción, como fue el caso ataque terrorista del 11 de Septiembre en las torres gemelas en Estados Unidos.

•Son riesgos impredecibles

Medidas de contención de riesgos

Son las medidas para evitar riesgos como:

1.- Solamente se permitirá el acceso al personal designado.

2.- No fumar en el área de cómputo.

3.- No ingerir alimentos en el área

4.- No introducir memorias USBs a los equipos de computo

5.- No introducir diskettes a los equipos de computo

Reducción de riesgos

•Se realiza un Plan de Operaciones tanto para reducir la posibilidad de ocurrencia como para reconstruir el Sistema de Información y/o Sistema de Red de Computadoras en caso de desastres.

Plan de Reducción de riesgos

El Plan de Reducción de Riesgos es equivalente a un Plan de Seguridad, en la que se considera todos los riesgos conocidos.

El Plan incluye:

• La formación de equipos de trabajo.

• Acciones a tomar, tanto para la etapa preventiva, correctiva y de recuperación.

Estrategia de administración de riesgos Se proponen los siguientes puntos estrategicos:

1.- Evitar un riesgo (reorganizar el proyecto para que el riesgo no pueda afectar al proyecto.)

2.- Transferencia del riesgo (reorganizar el proyecto de forma tal que alguien o algo más afronte el riesgo. (clientes, vendedor, banco, otros).

3.- Aceptación del riesgo ( decidir vivir con el riesgo como una contingencia)

4.- Monitorear los síntomas del riesgo y decidir en un plan de contingencia que hacer si el riesgo se da. Se deben hacer dos cosas:Mitigación del riesgo: consiste en tomar medidas inmediatamente la probabilidad o el impacto del riesgo.

Definir un Plan de Contingencia: curso de acción que se tomará si el riesgo se vuelve un problema.

GRACIAS POR TU ATENCIÓN ..!.