1 analisis de riesgos
DESCRIPTION
Análisis de riesgos en la auditoría informáticaTRANSCRIPT
ANÁLIS DE RIESGOS
Mgs. Ciro D. Radicelli G.
QUÉ ES UN RIESGO?RAE: contingencia o proximidad de un daño; Cada una de las contingencias que pueden ser objeto de un contrato de seguro.
Contexto Empresarial:Los factores, acontecimientos, tanto internos como externos, a los que está expuesta la empresa y, que ponen en peligro la consecución de los objetivos.
Dentro del ámbito informático:Amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (el riesgo de perder la información de un disco duro por un virus, por ejemplo).
QUÉ ES UN RIESGO? Dentro de todas las definiciones existentes se pueden
identificar varios elementos comunes como: Activo, Amenaza, Impacto, Probabilidad, Vulnerabilidad
RELACIÓN DE CONCEPTOS DE RIESGO
EL ANÁLISIS DE RIESGOSMagerit:Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.
NORMA ISO 27002Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una organización, se valora su impacto y la probabilidad de que ocurran.
OBJETIVOS DEL ANÁLISIS DE RIESGOS Identificar, evaluar y manejar los riesgos de seguridad. Estimar la exposición de un activo a una amenaza
determinada. Determinar cuál combinación de medidas de seguridad
proporcionará un nivel de seguridad razonable a un costo aceptable.
Tomar mejores decisiones en seguridad informática. Enfocar recursos y esfuerzos en la protección de los
activos.
FASES DEL ANÁLISIS DE RIESGOSAunque existen muchas metodologías para el análisis de riesgos, se han considerado las siguientes más importantes.
Determinar los activos relevantes para la Organización. Valorar los activos identificados.Determinar las amenazas a las que están expuestos los activos. Estimar el impacto de la amenaza.Calcular el nivel de riesgo. Estimar el riesgo.
Cabe destacar que el análisis de riesgos clasifica los riesgos identificados y proporciona datos para la evaluación y el tratamiento de los mismos.
MARCO DEL ANÁLISIS DE RIESGOS
GESTIÓN DE RIESGOSDefinición básica:Proceso que permite tratar los riesgos identificados y mitigar su impacto.
Definición más amplia:Selección e implantación de las medidas de seguridad o ‘salvaguardas’ adecuadas para conocer, prevenir, impedir, o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios. La gestión de riesgos se basa en los resultados obtenidos en el análisis de los riesgos.
FASES DE LA GESTIÓN DE RIESGOSDe forma general la gestión de riesgos tiene las siguientes fases:
Determinación de los criterios de aceptación del riesgo.Determinación de las medidas de seguridad necesarias (establecimiento de salvaguardas). Estimación del impacto residual. Estimación del nivel de riesgo residual .
Cabe destacar que la gestión de riesgos permite tomar las decisiones necesarias para el tratamiento de los riesgos, definiendo las salvaguardas necesarias para mitigar o impedir los riesgos identificados.
MARCO DE LA GESTIÓN DE RIESGOS
CUÁNDO PROCEDE ANALIZAR Y GESTIONAR LOS RIESGOS? Realizar un análisis de riesgos es laborioso y costoso.
Levantar un mapa de activos y valorarlos requiere la colaboración de muchos perfiles dentro de la Organización, desde los niveles de gerencia hasta los técnicos.
La única forma de afrontar la complejidad es centrarse en lo más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o incluso despreciable.
METODOLOGÍAS Y ESTÁNDARES PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS Existen estándares y/o metodologías orientadas a la
gestión de riesgos de carácter general, es decir que son aplicables a cualquier área o sector como es el caso del estándar AS/NZS ISO 31000:2009 y otras que son aplicables a sectores específicos, siendo nuestro objetivo aquellas que tienen que ver en concreto con las TICs (sistemas de información, sistemas informáticos).
NORMA AS/NZS ISO 31000:2009 Surge como remplazo a la norma AS/NZS 4360:2004,
estándar australiano para la gestión de riesgos ampliamente conocido y utilizado a nivel mundial.
Ha sido elaborada con participación conjunta entre la Organización Internacional para la Estandarización - ISO y el Comité de Normas de Australia / Nueva Zelanda.
Dentro de las novedades de esta versión se han incorporado algunos conceptos como: Define el riesgo como un efecto de incertidumbre en el logro de los
objetivos. Los principios que recomienda seguir por las organizaciones son
más explícitos que su antecesor AS/NZS 4360:2004. Aconseja integrar en forma explícita el mejoramiento continuo de la estructura de administración de riesgo.
NORMA AS/NZS ISO 31000:2009
EL ANÁLISIS DE RIESGOS DENTRO DE UNA AUDITORÍA INFORMÁTICA Como sabemos las organizaciones tienden a tener una
mayor dependencia de las TICs y los sistemas informáticos, lo cual hace que se hagan inversiones importantes en infraestructura tecnológica para soportar sus procesos de negocio, que a su vez también requiere de una adecuada gestión.
Es así que la auditoría informática y el análisis de riesgos han sido los métodos usados comúnmente de forma independiente para evaluar los sistemas de información, cada una con un enfoque diferente.
De un lado la auditoría informática es un proceso de revisión y verificación y el análisis de riesgos un proceso de diagnóstico y revisión.
EL ANÁLISIS DE RIESGOS DENTRO DE UNA AUDITORÍA INFORMÁTICA Como sabemos las organizaciones tienden a tener una
mayor dependencia de las TICs y los sistemas informáticos, lo cual hace que se hagan inversiones importantes en infraestructura tecnológica para soportar sus procesos de negocio, que a su vez también requiere de una adecuada gestión.
Es así que la auditoría informática y el análisis de riesgos han sido los métodos usados comúnmente de forma independiente para evaluar los sistemas de información, cada una con un enfoque diferente.
De un lado la auditoría informática es un proceso de revisión y verificación y el análisis de riesgos un proceso de diagnóstico y revisión.
EL ANÁLISIS DE RIESGOS DENTRO DE UNA AUDITORÍA INFORMÁTICA La auditoría informática sólo identifica el nivel de
“exposición” por la falta de controles, mientras que el análisis de riesgos facilita la “evaluación” de los riesgos y recomienda acciones en base al coste/beneficio de las mismas.
AUDITORÍA INFORMÁTICA CON UN ENFOQUE DE ANÁLISIS DE RIESGOS
METODOLOGÍAS Y ESTÁNDARES PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS
ACTIVIDAD EN CLASE
Consultar sobre las siguientes metodologías y estándares para el análisis y la gestión de riesgos.
Norma UNE 71504:2008.- Metodología de análisis y gestión de riesgos para los sistemas de información.
Magerit.- Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
OCTAVE ISO/IEC 27005:2011.- Tecnologías de la información -
Técnicas de seguridad- Gestión del riesgo de seguridad de la información.
MEHARI.- Método Armonizado de Análisis de Riesgos. CRAMM-CCTA.- Risk Analysis and Management Methodology-
Metodología para el análisis y la gestión de riesgos.