El objetivo general del análisis de riesgos es identificar
sus causas potenciales, en la figura No. 4 se aprecia por ejemplo, los
principales riesgos que amenazan el entorno informático. Esta identificación se
realiza en una determinada área para que se pueda tener información suficiente
al respecto, optando así por un adecuado diseño e implantación de mecanismos de
control; a fin de minimizar los efectos de eventos no deseados, en los
diferentes puntos de análisis.
Además el análisis de riesgos cumple los siguientes objetivos:
- Analizar
el tiempo, esfuerzo y recursos disponibles
y necesarios para atacar los problemas.
- Llevar
a cabo un minucioso análisis de los riesgos y debilidades.
- Identificar,
definir y revisar los controles de seguridad.
- Determinar
si es necesario incrementar las medidas de seguridad.
- Cuando
se identifican los riesgos, los perímetros de seguridad y los sitios de
mayor peligro, se pueden hacer el mantenimiento mas
fácilmente.
Antes de realizar el análisis de riesgos hay que tener en
cuenta los siguientes aspectos:
- Se
debe tener en cuenta las políticas y
las necesidades de la organización así como la colaboración con todas las
partes que la conforman y que intervienen en los procesos básicos.
- Debe
tenerse en cuenta los nuevos avances tecnológicos y la astucia de intrusos
expertos.
- Tener
en cuenta los costos vs.
la efectividad del programa que
se va a desarrollar de mecanismos de control.
- El
comité o la junta directiva de toda organización debe incluir en sus
planes y presupuesto los gastos necesarios
para el desarrollo de programas de
seguridad, así como tener en cuenta que esta parte es fundamental de
todo proceso de
desarrollo de la empresa,
especificar los niveles de seguridad y las responsabilidades de las
personas relacionadas, las cuales son complemento crucial para el buen
funcionamiento de todo programa de seguridad.
- Otro
aspecto que se debe tener en cuenta es la sobrecarga adicional que los
mecanismos y contramedidas puedan tener sobre el entorno informático, sin
olvidar los costos adicionales que se generan por su implementación.
El análisis de riesgos utiliza el método matricial llamado
MAPA DE RIESGOS, para identificar la vulnerabilidad de un servicio
o
negocio a riesgos típicos, El método contiene los siguientes pasos:- Localización de los procesos en las dependencias que intervienen en la prestación del servicio
- Localización
de los riesgos críticos y su efecto en los procesos del Negocio. En este
paso se determina la vulnerabilidad de una actividad a una amenaza. Para
asignar un peso a cada riesgo ; se consideran tres categorías de
vulnerabilidad (1 baja, 2 media, 3 alta) que se asignarán a cada actividad
de acuerdo a su debilidad a una amenaza (causa de riesgo). Por ejemplo, si
afirmamos que el riesgo a una Decisión equivocada tiene alto riesgo de
vulnerabilidad, entonces tendría alta prioridad dentro de nuestras
políticas de seguridad.
- Naturales:
Incluyen principalmente los cambios naturales que pueden afectar de una
manera u otra el normal desempeño del
entorno informático; por ejemplo, la posibilidad de un incendio en el
sitio donde se encuentran los concentradores de cableado dado que
posiblemente están rodeados de paredes de madera es
una amenaza natural.
- Accidentales:
Son las más comunes que existen e incluyen:
- Errores
de los usuarios finales: Por ejemplo, El usuario tiene permisos de administrador y
posiblemente sin intención modifica información relevante.
- Errores
de los operadores: Por ejemplo, si un operador tenía un sesión abierta y
olvidó salir del sistema;
alguien con acceso físico a la máquina en cuestión puede causar estragos.
- Error
administrativo: Por ejemplo, Instalaciones y configuraciones sin contar
con mecanismos de seguridad para su protección.
- Errores
de salida: Por ejemplo, Impresoras u
otros dispositivos mal configurados.
- Errores
del sistema: Por ejemplo, daños en archivos del
sistema operativo.
- Errores
de comunicación: Por ejemplo, permitir la transmisión de información
violando la confidencialidad de los datos.
- Deliberadas:
Estas amenazas pueden ser: activas (accesos no autorizados, modificaciones
no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho
más técnica, como: emanaciones electromagnéticas y/o microondas de
interferencia).
- Localización
de los riesgos críticos en las dependencias de la empresa y
procesos que intervienen en el negocio.
RIESGO
|
(%) Obtenido
|
Vulnerabilidad
|
Decisiones equivocadas
|
59
|
ALTA
|
Fraude
|
55
|
MEDIA
|
Hurto
|
54
|
MEDIA
|
Dentro del entorno informático las amenazas (causas de
riesgo) se pueden clasificar así:
Proceso / Riesgo
|
Decisiones equivocadas
|
Fraude
|
Hurto
|
Gestión de centros transaccionales
|
X
|
X
|
|
Administración de sistemas
|
X
|
X
|
|
Atención al cliente
|
X
|
X
|
|
Conciliación de cuentas
|
X
|
X
|
X
|
Riesgos Vs. Dependencias.
|
División Financiera
|
Sistemas
|
Cartera
|
Contabilidad
|
Decisiones equivocadas
|
X
|
X
|
||
Fraude
|
X
|
X
|
X
|
X
|
Hurto
|
X
|
X
|
X
|
X
|
- Identificar los controles necesarios: En este paso se precisan los controles, los cuales son mecanismos que ayudan a disminuir el riesgo a niveles mínimos o en algunos casos eliminarlos por completo. Se debe tener en cuenta que dichas medidas tienen tres diferentes capacidades que incluyen: mecanismos de prevención, mecanismos de detección y mecanismos de corrección; y que dentro de un proceso ó negocio funcionan como se describe en la figura No. 9. En este paso se incluye la funcionalidad y utilidad del control, y se identifican las personas responsables de la implantación de los controles.
- Diseñar
los controles definitivos: En este paso se tienen los productos necesarios
para iniciar el proceso de implantación de los controles utilizados o bien
para empezar la construcción de
dichos mecanismos.
- Confidencialidad:
Se refiere a la protección de la información principalmente de accesos no
autorizados. Información del personal, investigaciones y
reportes de desarrollo son algunos de los ejemplos de información que
necesita confidencialidad.
- Integridad:
Es el servicio ofrecido por el departamento de informática.
Debe ser adecuado, completo y auténtico en el momento de ser procesada,
presentada, guardada o transmitida la información.
- Disponibilidad:
Indica la disponibilidad que pueden tener en un determinado momento las
actividades informáticas. Esta disponibilidad debe ser inmediata.
- Resultados
del análisis de riesgos: Los resultados del análisis de riesgos, deben
dados a conocer oportunamente para que sean incorporados, desde las
primeras fases del proceso.
- Verificar
por parte de la auditoría
informática, la incorporación oportuna de los controles: La auditoría informática
debe conocer el resultado del análisis de riesgos y verificar su
implantación oportuna, para asegurar los mejores niveles de calidad,
seguridad y efectividad de los procesos informáticos.
Los siguientes criterios permiten evaluar en un monto
simbólico los mecanismos de control:
No hay comentarios:
Publicar un comentario