Seguridad informática en la empresa

 

El siguiente diagrama ilustra una idea de cómo debería estar organizada el área de seguridad informática en la empresa.

A continuación explicaremos las áreas con mayor relevancia en la organización.

Líder de área se conoce también como CISO (Chief Information Security Officer – Oficial de Seguridad informática). Entre sus responsabilidades se encuentran:
* Administración del presupuesto de seguridad informática
* Administración del personal
* Definición de la estrategia de seguridad informática (hacia dónde hay que ir y qué hay que hacer) y objetivos
* Administración de proyectos
* Detección de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solución

La normatividad es el área responsable de la documentación de políticas, procedimientos y estándares de seguridad así como del cumplimiento con estándares internacionales y regulaciones que apliquen a la organización. Dado que debe interactuar de forma directa con otras áreas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las áreas pero todas reportan al CISO.

Desarrollo responsable del diseño, desarrollo y adecuación de controles de seguridad informática. Entre sus responsabilidades se encuentran:
* Diseño y programación de controles de seguridad (control de acceso, funciones criptográficas, filtros, bitácoras de seguridad de aplicativos, etc.)
* Preparación de librerías con funciones de seguridad para su uso por parte del área.

http://seguinfo.wordpress.com/2007/10/18/la-funcion-de-seguridad-informatica-en-la-empresa/

GRC Solución para Gobierno, gestión de riesgos y conformidad normativa.

Las soluciones de Informática para el gobierno, la gestión de riesgos y el cumplimiento de normativas (GRC) permiten que la organización de TI ayude al negocio a mejorar la visibilidad y transparencia de las actividades de gobierno, gestión de riesgos y cumplimiento de normativas, reduciendo los riesgos de la organización ya que puede contar con datos seguros, oportunos y fiables.

La información corporativa que está sujeta a políticas de gobierno, gestión de riesgos y conformidad normativa y que reside en bases de datos de aplicaciones y datawarehouses, requieren que dichas políticas tengan un procedimiento de conservación legal y eliminación de todos los datos, incluidos los de aplicaciones heredadas, al tiempo que se mantiene el contexto de la aplicación, todo esto teniendo en cuenta la protección de la información.Las mejores prácticas de gestión del ciclo de vida de la información (ILM) ofrecen un marco para abordar los desafíos de gobierno, gestión de riesgos y cumplimiento de normativas (GRC) al manejar contenidos estructurados.

Las soluciones ILM para GRC de Informática están especialmente diseñadas para cumplir estos requisitos, y además proporcionan un mayor ahorro de costes y una reducción de riesgos.

Beneficios de esta solución:

• Identificar con precisión los problemas relacionados con la calidad de datos antes de que afecten a las actividades de gobierno, gestión de riesgos y cumplimiento de normativas (GRC)
• Establecer procesos a escala empresarial que eviten la propagación de los problemas relacionados con la calidad de datos
• Basar las decisiones en datos fiables y de alta calidad
• Obtener una única versión de la realidad de sus datos
• Obtener una visión integral del negocio
• Mantener un acceso continuo a datos archivados
• Reducir la exposición a los riesgos
• Aumentar la confianza en las decisiones

Etapas en el desarrollo de una politica

En la última publicación hablamos sobre lo que se debe tener en cuenta al momento de crear una política de seguridad, pero ¿Por qué es importante tener una política por escrito? Bueno pues unas de las razones es que permite unificar la forma de trabajo de personas en las diferentes áreas, asignando responsabilidades y permite recoger comentarios para atender situaciones anormales, por estas y más razones es esencial dejar un registro escrito de las políticas, para esto se deben seguir unas etapas para su desarrollo.

Fase de desarrollo: durante esta fase la política es creada, revisada y aprobada.
Fase de implementación: en esta fase la política es comunicada y acatada.
Fase de mantenimiento: los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se debe actualizar.
Fase de eliminación: la política se retira si deja de ser útil para la organización.

Politicas de seguridad

El objetivo de implantar políticas informáticas en la organización es proporcionarle directrices para el soporte y orientación en el proceso de seguridad de la empresa, es decir deben expresar el enfoque de la organización para manejar y controlar la seguridad de la información existente.

Al momento de crear una política de seguridad se debe tener en cuenta:

• Reglas, normas procedimientos que describan la forma en que la organización previene, protege y maneja los riesgos teniendo en cuenta:
o La infraestructura.
o Software y la información que almacenan.
o Usuarios del sistema.

• Planes para satisfacer las expectativas de disponibilidad de los recursos del sistema.
• Directrices para adquirir tecnología de seguridad con las características deseadas.
• Sanciones para quienes infrinjan la política.
• Nombre y cargo del que la aprueba y del que la propone.
• Quien debe acatar la política, es decir a quien esta dirigida.
• Indicadores para determinar si se esta cumpliendo.
• Describir pasos para solicitar cambios en la política.
• Información suficiente de las personas que se pueden contactar en caso de preguntas.


Políticas de seguridad, ultima consulta 11 de abril del 2011, disponible en: http://eslared.org.ve/walc2004/apc-aa/archivos-aa/1e60354f4717edb9fb793dbc5219499d/politica2004.pdf

Guía para la elaboración de políticas de seguridad, ultima consulta 11 de abril del 2011, disponible en: http://www.uniquindio.edu.co/uniquindio/meci/informacion/guia_para_elaborar_politicas_v1_0.pdf

Ley para delitos Informáticos en Colombia

La Ley 1273 de 2009 denominada “De la Protección de la información y de los datos” contiene tipos penales relacionados con delitos informáticos y la protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes. Esta ley tipifica como delitos conductas relacionadas con el manejo de datos personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evitar incurrir en alguno de estos tipos penales.

No olvidemos que los avances tecnológicos y el empleo de los mismos para apropiarse ilícitamente del patrimonio de terceros a través de clonación de tarjetas bancarias, vulneración y alteración de los sistemas de cómputo para recibir servicios y transferencias electrónicas de fondos mediante manipulación de programas y afectación de los cajeros automáticos, entre otras, son conductas cada vez más usuales en todas partes del mundo. por ello es importante tener una buena gestión de todo tipo de riesgos que  pueda afectar nuestra integridad, en Colombia ha aumentado el tráfico de bases de datos y en el mercado negro se puede conseguir, por ejemplo, información sobre los ciudadanos como todo un directorio telefónico o datos sobre las personas.

De ahí la importancia de esta ley divida en dos capítulos: “De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos” y de los sistemas informáticos” y “De los atentados informáticos y otras infracciones”.

En esta ley de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos podemos encontrar los siguientes:

• Acceso abusivo a un sistema informático.
• Obstaculización ilegítima de sistema informático o red de telecomunicación.
• Interceptación de datos informáticos.
• Daño Informático.
• Uso de software malicioso.
• Violación de datos personales.
• Suplantación de sitios web para capturar datos personales.

Y en el capítulo  de los atentados informáticos y otras infracciones podemos encontrar:

• Hurto por medios informáticos y semejantes.
• Transferencia no consentida de activos.

En cada una de ellas podemos encontrar la penalización por incurrir en alguno de ellos.

Auditoria Informática

Una auditoria informática consiste en recoger, clasificar y evaluar evidencias para determinar si un sistema esta en la capacidad de guardar los activos de la compañía de manera segura (mantener la integridad de los datos, utilización eficiente de los recursos y cumplimiento de las regulaciones establecidas).

La auditoria responde a la pregunta ¿qué información es crítica para el cumplimiento de su misión y objetivos? Esto se logra  identificando necesidades, duplicidades, costos, valor y barreras, que obstaculizan flujos de información eficientes.

Los objetivos de la auditoría Informatica son:

• El control de la función informática
• El análisis de la eficiencia de los sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.

Las pruebas que se realizan por parte del auditor son de dos tipos:

• Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
• Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

ISO / IEC 31010

ISO / IEC 31010 fue publicada en el año 2009, esta norma trata de las técnicas de evaluación de riesgos ampliando lo que se había publicado en la norma ISO 31000 siendo esta la familia de normas relativas a las Gestión de riesgos.

La norma ISO 31000 incluye:

• ISO 31000: Principios y directrices para la implantación.
• ISO/IEC 31010: Gestión de riesgos –Técnicas y evaluación de riesgos.
• ISO/IEC 73: Gestión de riesgos – Vocabulario.

Esta semana vamos a hablar de ISO/IEC 31010, esta norma en general habla sobre la evaluación de riesgos y tiene como finalidad que las organizaciones comprendan los riesgos que podrían afectar el logro de los objetivos y la adecuación y eficacia de los controles ya existentes, proporcionando una base para el tratamiento de los riesgos y saber seleccionar las mejores decisiones a través de las buenas prácticas que ofrece.

Esta norma contiene las respuestas a las siguientes preguntas:

• ¿Qué puede suceder y por qué?
• ¿Cuáles son las consecuencias?
• ¿Cuál es la probabilidad de que ocurran en el futuro?
• ¿Hay factores que mitigan las consecuencias del riesgo o que reducen la probabilidad del riesgo?

La evaluación de riesgos no es una actividad independiente y debería integrarse en los otros componentes en el proceso de gestión de riesgos, afirma la ISO, esta norma puede ayudar en la organización en los siguientes enfoques:

• Conceptos de evaluación de riesgos.
• Proceso de evaluación de riesgos.
• Selección de las técnicas de evaluación de riesgos .

Esta norma no se ocupa específicamente de la seguridad, es un estándar de gestión de riesgos genéricos y cualquier referencia a la seguridad es de carácter informativo.

ISO/IEC 27001

Esta semana hablaremos de la ISO/IEC 27001 ya que al momento de certificar un SGSI (Sistemas de Gestión de la Seguridad de la Información) una entidad externa audita y acredita el sistema después de determinar la conformidad con la ISO/IEC 27001, si su grado de implantación es real y eficaz la organización es certificada, por ello es importante que sepamos de que se trata esta norma.

La serie 27000 dentro de los estándares ISO/IEC, tiene asignada la seguridad de la información, contiene todas las normas relacionadas con seguridad informática, sus sistemas de gestión de mediciones y certificaciones entre otras, dentro de ella encontramos la ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) aprobado en octubre de 2005 tiene su origen en la BS7799-2:2002 y es el estándar aceptado mundialmente para la definición y gestión de seguridad informática.

La ISO/IEC 27001 contiene la especificación de los requisitos necesarios que se deben establecer para implantar, mantener y mejorar el sistema de gestión de la seguridad de la información, apoyándose en el ciclo de Deming PDCA (Plan, Do, Check, Act).

PLAN: En esta etapa se establece el ISMS que son los requerimientos, políticas, objetivos, procesos y procedimientos.
DO: En esta etapa se realiza el proceso de implantación y puesta en operación del ISMS.
CHECK: En esta etapa se tratan los procesos y procedimientos previamente establecidos informando a quien corresponda sobre su funcionamiento.
ACT: En esta etapa se hace referencia a los temas de mantenimiento y mejora del ISMS.

La duración de la implantación de la ISO/IEC 27001 es de 6 y 12 meses dependiendo de la madurez en la que se encuentre la seguridad de la información en la organización y el ámbito de la organización que va a estar sometido al SGSI elegido. Para el proceso de implantación siempre es recomendable la asesoría de un consultor externo a la organización.

Riesgos de Integridad

Entre los riesgos que se ve expuesta una organización, están los que amenazan la integridad los riesgos asociados con la autorización. Este tipo de riesgos están presentes en muchos momento en las aplicaciones, principalmente en los siguientes componentes:

v     Interface del usuario: los riesgos en este componente se relacionan con la autorización para ejecutar funciones en la organización. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema.

v     Procesamiento: los riesgos en este componente se relacionan con el balance de los controles detectivos y preventivos que son responsables del asegurarse que el procesamiento de información se ha completado satisfactoriamente. Otros riesgos presentes en este componente son los que tienen que ver con la exactitud de los informes generados y que abarcan temas importantes sobre la situación de la organización.

v     Procesamiento de errores: se asegura que los errores es decir,  las excepciones que se presenten en el sistema sean capturadas, corregidos y reprocesados correctamente.

v     Información: estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos.

v     Interface: estos riesgos se relacionan con los controles de seguridad que permiten que la información sea procesada y transferida a otras aplicaciones de manera optima.

v     Administración de cambios: estos riesgo se relacionan con la falta de compromiso y la inducción a los usuarios para que conozcan los cambios y su manera de implementarlos.

Riesgos en la infraestructura

El termino riesgos informáticos encierra una gran cantidad de activos de información que se encuentran vulnerables en una compañía, entre los que podemos encontrar la infraestructura que se ve amenazada cuando no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios. Estos riesgos están relacionados con los siguientes procesos de la información:

v      Planeación organizacional: verifica que exista una adecuada organización entre procesos y personas.

v     Operaciones de red y computacionales: aseguran que los sistemas de información y entorno de red estén funcionamiento en un esquema protegido y estén disponibles para los usuarios en un nivel satisfactorio de ejecución.

v     Administración de sistemas de bases de datos: aseguran que las bases de datos de datos que soportan aplicaciones criticas sean consistentes y se minimice el nivel de redundancia.

v     Definición de las aplicaciones: aseguran que las aplicaciones satisfagan las necesidades del usuario y soporten el contexto de los procesos de negocio.

v     Administración de seguridad: asegura que la organización esta adecuadamente direccionado a establecer mantener y monitorizar un sistema interno de seguridad que establezca políticas con respecto a la integridad y confidencialidad de la información de la empresa.

“Riesgos informáticos”, en línea, ultima consulta: 27-febrero/2011  Disponible en: http://www.basc-costarica.com/documentos/riesgosinformatica.pdf

Clasificación de Riesgo

 

Como ya habíamos mencionado la gestión de riesgos tiene cuatro fases, esta semana hablaremos de la segunda fase que es la clasificación.

En esta fase se pretende determinar el grado de factibilidad hasta donde debemos hacer frente a los riesgos que encontramos en la fase de análisis, este grado de factibilidad depende tanto de los recursos de la organización como del entorno donde está ubicado el riesgo; así que cuando la organización decide implementar medidas para la reducción del riesgo se debe encontrar un equilibrio entre su funcionalidad y su costo, pues implantar medidas significa realizar inversiones que debemos aprovechar, por lo tanto es importante tener en cuenta que las inversiones no deben superar el valor del recurso que estamos protegiendo.
Los procesos operativos para mantener las medidas de protección deben ser suficientes, ajustados y optimizados para que puedan responder de la manera adecuada a la amenaza y/o vulnerabilidad.

Cuando hacemos nuestra clasificación se debe tener en cuenta que siempre existe un riesgo restante que se puede dar por dos situaciones, la primera es que aunque tengamos implementadas medidas para el riesgo siempre cabe la posibilidad de que el ataque ocurrido tenga una magnitud superior a lo esperado, y la segunda es que la organización haya decidido conscientemente aceptar los posibles impactos y sus consecuencias, ya sea por razones económicas o imposibilidad de manejar el entorno.

Soluciones para la Gestión de Riesgo

Como vimos la semana pasada es necesario hacer un análisis de riesgo como primera medida, la siguiente fase es la clasificación que como ya mencionamos determina si los riesgos encontrados son aceptables, posteriormente llegamos a la fase de reducción y es allí donde debemos implantar medidas de protección de los riesgos encontrados, en esta fase podemos encontrar soluciones de software que están diseñadas especialmente para la gestión de riesgos y algunas incluso en la normatividad, entre ellas encontramos:

• Oracle GRC: Este software permite modelar, analizar, tratar y tomar decisiones entre empresas sobre la base de riesgo permite a las organizaciones incluir claramente las responsabilidades por la gestión y control de riesgos en toda la empresa, además permite abordar los diferentes requisitos de gestión de riesgo que debe enfrentar la empresa.
• SAP BusinessObjects GRC: Este software está diseñado para ayudar de forma proactiva a hacer frente a los riesgos y vulnerabilidades de la cadena de suministro, ayudando a los usuarios de negocio ya que ofrece toda la información necesaria para ayudar a desarrollar un plan inmediato de acción y dar respuesta a una crisis potencial a través de sus operaciones de comercio internacional.
• SAP BusinessObjects Risk Management: Este software le permite de manera automática alertar al depto. de gestión cuando los riesgos de gran impacto o de alta probabilidad exceden los topes definidos por la empresa, permitiéndole así analizar el riesgo en términos de gravedad y probabilidad de impacto. También supervisa las actividades de gestión de riesgo y las respuestas de mitigación mediante cuadros de mando personalizados.
• ORCA software GRC suit: Es una plataforma de software configurable diseñada para optimizar la operación de los procesos de administración del riesgo, cumplimiento normativo, seguridad y gobierno de TI cuenta con gestión de riesgo, ayuda a identificar los riesgos del negocio, a través de evaluaciones y métricas en línea y responde a actividades de seguimiento y planes de remediación. En el modulo de gestión de seguridad se pueden rastrear amenazas a través de un sistema centralizado que ayuda a prevenir ataques antes de que estos sucedan en la organización, documentando amenazas, consolidando vulnerabilidades, código malicioso e información proveniente de proovedores de servicios y dando soluciones de seguridad.

En el mercado podemos encontrar muchas más soluciones lo importante es que tengamos en cuenta que los riesgos a los que esta expuesta la organización no los debemos ignorar, pues si las empresas no estan preparadas para afrontar un incidente podrían enfrentarse a considerables pérdidas.

Análisis de Riesgos

Las amenazas empiezan a existir cuando están presentes las vulnerabilidades y en consecuencia a ellas da pie a los incidentes son los hechos que se desea que sean evitados puesto que genera resultados negativos conocidos como impactos.

Retomando lo dicho la semana pasada, la gestión de riesgos tiene cuatro fases, en esta semana profundizaremos un poco la primera que es el análisis.

El análisis de riesgo es la fase en la que se identifican las vulnerabilidades y las amenazas de los activos de la organización con la finalidad de conocer la probabilidad de que un riesgo se materialice.

Al realizar el proceso de análisis se siguen los siguientes pasos:

1. Definir los activos informáticos a analizar

En este primer paso se deben clasificar con el objetivo de proteger los datos, para ello se debe definir los niveles de autorización del acceso a la información que le brinda valor a la compañía. Los datos pueden ser clasificada en:

a.      Confidencial (accedido solo por el personal interno autorizado  de la organización)

b.      Privado (accedido solo por el personal interno  de la organización)

c.      Sensitivo (acceso controlado personal interno y publico con privilegios)

d.      Publico

Clasificar los datos y los flujos de la información son esenciales en el resultado del análisis de riesgos y las medidas de protección a implementarse.

Porque solo si sabemos quienes tienen acceso a que datos y su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado.

2. Identificar las amenazas y determinar la probabilidad de ocurrencia de las amenazas

Las amenazas se hacen presentes cuando existen vulnerabilidades, y el poder conocer las vulnerabilidades nos permite eliminar esa amenaza, una forma de identificarlas es basándonos en supuestos es decir, imaginar como si un desastre hubiese ocurrido y pensar en los diferentes componentes en este caso de un sistema informático q hallan sido el camino mas fácil para que el incidente ocurriera.

Para obtener resultados efectivos debemos preguntarnos:

                                                              i.      ¿Cuál es el interés por parte de individuos externos, de atacarnos?

Un motivo puede ser el valor de la información, como por ejemplo la información de interés para nuestra competencia.

                                                             ii.      ¿Cuáles son nuestras vulnerabilidades?

Para identificarlas se recomienda escoger los grupos de personas encargadas de manejar los diferentes sistemas de la empresa, para tener una visión general de las amenazas que estamos expuestos.

                                                           iii.      ¿Cuántas veces ya han tratado de atacarnos?

Nos sirve para identificar una amenazas y la frecuencia en que ocurre nos puede dar una visión de cuando volverá a ocurrir. En el caso de que ya tenemos implementadas medidas de protección es importante llevar un registro, que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si todavía existe la amenaza y segundo, cuál es su riesgo actual.

La probabilidad de la amenaza se puede catalogar en:

·         Baja: existen condiciones que hacen muy lejana la posibilidad del ataque.

·         Media: existen condiciones para que el ataque no ocurra en corto plazo pero si a largo.

·         Alta: no existen condiciones que impidan que ocurra el ataque.

3. Determinar el impacto de la amenazas

Cuando nos referimos a un impacto que es causado por un incidente tal y como se muestra en la figura que se muestra al inicio de este tema, entre los impactos encontramos:

·        Perdida de la información

·        Personas ajenas tienen acceso a la información

·        La información ha sido manipulada o esta incompleta

Estimar la Magnitud de Daño generalmente es una tarea muy compleja. La manera más fácil es expresar el daño de manera cualitativa, lo que significa que aparte del daño económico, también se considera otros valores como daños materiales, imagen, emocionales, entre otros. Expresarlo de manera cuantitativa, es decir calcular todos los componentes en un solo daño económico, resulta en un ejercicio aun más complejo y extenso.

Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden ser múltiples, a veces son imprevisibles y dependen mucho del contexto donde manejamos la información, sea en una ONG (derechos humanos, centro de información etc.), en una empresa privada (banco, clínica, producción etc.), en una institución Estatal o en el ámbito privado. Otro factor decisivo, respecto a las consecuencias, es también el entorno donde nos ubicamos, es decir cuales son las Leyes y prácticas comunes, culturales que se aplica para sancionar el incumplimiento de las normas.

4. Recomendar controles que disminuyan la probabilidad de los riesgos

Como ultimo paso es sugerir herramientas o soluciones para controlar o en el mejor de los casos eliminar la probabilidad de que ocurra el riesgo, para que puedan ser consideradas en las siguientes fases como una opción a implementar como solución.

matriz del análisis de riesgos

·                                 Bajo Riesgo = 1 – 6 (verde)

·                                 Medio Riesgo = 8 – 9 (amarillo)

·                                 Alto Riesgo = 12 – 16 (rojo)

El análisis de riesgos puede ocurrir antes o después de la definición de una política

de seguridad. Según la norma internacional ISO 17799, esta actividad puede

ser hecha después de la definición de la política.

El propósito de tomar en cuenta una política de seguridad en el análisis se debe a

varias razones:

• La política de seguridad delimita el alcance del análisis.
• Permite ser selectivo en la verificación de activos que la política establece como vulnerables.
• El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla.

Bibliografía

“Matriz para el Análisis de Riesgos”, en línea, ultima consulta: 06-febrero/2011  Disponible en: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/

“Análisis de Riesgos”, en línea, ultima consulta: 06-febrero/2011  Disponible en:  http://protejete.wordpress.com/gdr_principal/analisis_riesgo/

“Análisis y control de riesgos de seguridad informática: control adaptativo”, en línea, ultima consulta: 06-febrero/2011  Disponible en:  

http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf

Gestión de riesgos informáticos

La gestión de riesgo es un enfoque estructurado para manejar la incertidumbre, es decir la posibilidad de que ocurra o no un riesgo, para evitar que ocurran consecuencias no deseadas dado el caso que el riesgo se haga realidad, para ello se pueden llevar a cabo una secuencia de actividades para evaluar el riesgo, mitigar el riesgo y estrategias para manejar el riesgo que incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular de tal forma que las posibles perdidas y la posibilidad que se haga presente el riesgo se minimicen, en resumen la Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo..

La gestión de riesgo en el campo de la información busca sensibilizar en las empresas el tema de la seguridad informática y la gestión de los riesgo relacionados con el manejo de datos e información.

Como se menciono anteriormente la gestión de riesgos tiene cuatro fases:

1. Análisis: en esta fase lo que se busca es conocer el sistema que se desea proteger conociendo sus vulnerabilidades y las amenazas a las que esta expuesto con el objetivo de revelar el grado de riesgo del sistema.
2. Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
3. Reducción: establece e implementa las medidas de protección para la reducción de los riesgo encontrados en la fase del análisis, además  capacita los usuarios conforme a las medidas.
4. Control: analiza y evalúa el funcionamiento y efectividad de las medidas de protección implementadas en la fase de reducción, con el fin de mejorar las medidas que son ineficientes.

Estas fases están basadas en políticas de seguridad, normas y reglas institucionales y tiene la finalidad de potencializar las capacidades de una empresa disminuyendo las vulnerabilidades y limitando las amenazas con el resultado de reducir el riesgo.

 Los sistemas de información son vulnerables a una diversidad de amenazas y atentados por parte de personas que pueden o no pertenecer a la institución, por desastres naturales, por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las actividades de cómputos.

Por tanto los miembros de la organización se deben preocupar por establecer normas de seguridad al interior de la empresa para proteger la información, establecer una planificación formalizada para la seguridad informática y gestionar los medios necesarios para administrar correctamente la función de la seguridad informática.

Bibliografía

Basc, “Riesgos informáticos” , en línea, ultima consulta: 30-enero/2011 Disponible en: http://www.basc-costarica.com/documentos/riesgosinformatica.pdf

“Gestión de riesgos en la seguridad informática”, en línea, ultima consulta: 30-enero/2011  Disponible en: http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/

Wikipedia La enciclopedia libre, “Gestión de riesgos”, en línea, modificado: 1- febrero/ 2011 ultima consulta: 1-febrero/2011  Disponible en:

http://www.youtube.com/watch?v=jt5EsW8wHfY

Introducción

El tema que trataremos en este blog es la gestión de riesgo y las normatividad manejada en el campo de la informática. Este tema es de vital importancia para las organizaciones ya que deben saber como manejar la situación antes y después de un suceso desfavorable, en un antes se debe prevenir es decir, evitar que el incidente ocurra en esta etapa se identifican los riesgos y sí el incidente se ha materializado se deben tener implementadas medidas defensivas es decir, un plan de continuidad. El objetivo de gestionar los riesgos es el de controlar, disminuir o en el mejor de los casos eliminar los riesgos que afectan a los activos de información de la organización.

En cuanto a la normatividad podemos hablar de la serie mas conocida la ISO 27000 la cual esta orientada al ámbito de la información estas guías son muy útiles para saber como gestionar los riesgos y estructurar la seguridad informática en la organización de forma  efectiva.