lunes, 28 de febrero de 2011

Riesgos en la infraestructura



El termino riesgos informáticos encierra una gran cantidad de activos de información que se encuentran vulnerables en una compañía, entre los que podemos encontrar la infraestructura que se ve amenazada cuando no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios. Estos riesgos están relacionados con los siguientes procesos de la información:

v      Planeación organizacional: verifica que exista una adecuada organización entre procesos y personas.
v     Operaciones de red y computacionales: aseguran que los sistemas de información y entorno de red estén funcionamiento en un esquema protegido y estén disponibles para los usuarios en un nivel satisfactorio de ejecución.
v     Administración de sistemas de bases de datos: aseguran que las bases de datos de datos que soportan aplicaciones criticas sean consistentes y se minimice el nivel de redundancia.
v     Definición de las aplicaciones: aseguran que las aplicaciones satisfagan las necesidades del usuario y soporten el contexto de los procesos de negocio.
v     Administración de seguridad: asegura que la organización esta adecuadamente direccionado a establecer mantener y monitorizar un sistema interno de seguridad que establezca políticas con respecto a la integridad y confidencialidad de la información de la empresa.


“Riesgos informáticos”, en línea, ultima consulta: 27-febrero/2011  Disponible en: http://www.basc-costarica.com/documentos/riesgosinformatica.pdf

lunes, 21 de febrero de 2011

Clasificación de Riesgo


 
Como ya habíamos mencionado la gestión de riesgos tiene cuatro fases, esta semana hablaremos de la segunda fase que es la clasificación.

En esta fase se pretende determinar el grado de factibilidad hasta donde debemos hacer frente a los riesgos que encontramos en la fase de análisis, este grado de factibilidad depende tanto de los recursos de la organización como del entorno donde está ubicado el riesgo; así que cuando la organización decide implementar medidas para la reducción del riesgo se debe encontrar un equilibrio entre su funcionalidad y su costo, pues implantar medidas significa realizar inversiones que debemos aprovechar, por lo tanto es importante tener en cuenta que las inversiones no deben superar el valor del recurso que estamos protegiendo.
Los procesos operativos para mantener las medidas de protección deben ser suficientes, ajustados y optimizados para que puedan responder de la manera adecuada a la amenaza y/o vulnerabilidad.

Cuando hacemos nuestra clasificación se debe tener en cuenta que siempre existe un riesgo restante que se puede dar por dos situaciones, la primera es que aunque tengamos implementadas medidas para el riesgo siempre cabe la posibilidad de que el ataque ocurrido tenga una magnitud superior a lo esperado, y la segunda es que la organización haya decidido conscientemente aceptar los posibles impactos y sus consecuencias, ya sea por razones económicas o imposibilidad de manejar el entorno.

lunes, 14 de febrero de 2011

Soluciones para la Gestión de Riesgo


Como vimos la semana pasada es necesario hacer un análisis de riesgo como primera medida, la siguiente fase es la clasificación que como ya mencionamos determina si los riesgos encontrados son aceptables, posteriormente llegamos a la fase de reducción y es allí donde debemos implantar medidas de protección de los riesgos encontrados, en esta fase podemos encontrar soluciones de software que están diseñadas especialmente para la gestión de riesgos y algunas incluso en la normatividad, entre ellas encontramos:
  • Oracle GRC: Este software permite modelar, analizar, tratar y tomar decisiones entre empresas sobre la base de riesgo permite a las organizaciones incluir claramente las responsabilidades por la gestión y control de riesgos en toda la empresa, además permite abordar los diferentes requisitos de gestión de riesgo que debe enfrentar la empresa.
  • SAP BusinessObjects GRC: Este software está diseñado para ayudar de forma proactiva a hacer frente a los riesgos y vulnerabilidades de la cadena de suministro, ayudando a los usuarios de negocio ya que ofrece toda la información necesaria para ayudar a desarrollar un plan inmediato de acción y dar respuesta a una crisis potencial a través de sus operaciones de comercio internacional.
  • SAP BusinessObjects Risk Management: Este software le permite de manera automática alertar al depto. de gestión cuando los riesgos de gran impacto o de alta probabilidad exceden los topes definidos por la empresa, permitiéndole así analizar el riesgo en términos de gravedad y probabilidad de impacto. También supervisa las actividades de gestión de riesgo y las respuestas de mitigación mediante cuadros de mando personalizados.
  • ORCA software GRC suit: Es una plataforma de software configurable diseñada para optimizar la operación de los procesos de administración del riesgo, cumplimiento normativo, seguridad y gobierno de TI cuenta con gestión de riesgo, ayuda a identificar los riesgos del negocio, a través de evaluaciones y métricas en línea y responde a actividades de seguimiento y planes de remediación. En el modulo de gestión de seguridad se pueden rastrear amenazas a través de un sistema centralizado que ayuda a prevenir ataques antes de que estos sucedan en la organización, documentando amenazas, consolidando vulnerabilidades, código malicioso e información proveniente de proovedores de servicios y dando soluciones de seguridad.
En el mercado podemos encontrar muchas más soluciones lo importante es que tengamos en cuenta que los riesgos a los que esta expuesta la organización no los debemos ignorar, pues si las empresas no estan preparadas para afrontar un incidente podrían enfrentarse a considerables pérdidas.

lunes, 7 de febrero de 2011

Análisis de Riesgos


Las amenazas empiezan a existir cuando están presentes las vulnerabilidades y en consecuencia a ellas da pie a los incidentes son los hechos que se desea que sean evitados puesto que genera resultados negativos conocidos como impactos.


Retomando lo dicho la semana pasada, la gestión de riesgos tiene cuatro fases, en esta semana profundizaremos un poco la primera que es el análisis.

El análisis de riesgo es la fase en la que se identifican las vulnerabilidades y las amenazas de los activos de la organización con la finalidad de conocer la probabilidad de que un riesgo se materialice.

Al realizar el proceso de análisis se siguen los siguientes pasos:

  1. Definir los activos informáticos a analizar

En este primer paso se deben clasificar con el objetivo de proteger los datos, para ello se debe definir los niveles de autorización del acceso a la información que le brinda valor a la compañía. Los datos pueden ser clasificada en:
a.      Confidencial (accedido solo por el personal interno autorizado  de la organización)
b.      Privado (accedido solo por el personal interno  de la organización)
c.      Sensitivo (acceso controlado personal interno y publico con privilegios)
d.      Publico

Clasificar los datos y los flujos de la información son esenciales en el resultado del análisis de riesgos y las medidas de protección a implementarse.
Porque solo si sabemos quienes tienen acceso a que datos y su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado.


  1. Identificar las amenazas y determinar la probabilidad de ocurrencia de las amenazas

Las amenazas se hacen presentes cuando existen vulnerabilidades, y el poder conocer las vulnerabilidades nos permite eliminar esa amenaza, una forma de identificarlas es basándonos en supuestos es decir, imaginar como si un desastre hubiese ocurrido y pensar en los diferentes componentes en este caso de un sistema informático q hallan sido el camino mas fácil para que el incidente ocurriera.
Para obtener resultados efectivos debemos preguntarnos:
                                                              i.      ¿Cuál es el interés por parte de individuos externos, de atacarnos?
Un motivo puede ser el valor de la información, como por ejemplo la información de interés para nuestra competencia.
                                                             ii.      ¿Cuáles son nuestras vulnerabilidades?
Para identificarlas se recomienda escoger los grupos de personas encargadas de manejar los diferentes sistemas de la empresa, para tener una visión general de las amenazas que estamos expuestos.
                                                           iii.      ¿Cuántas veces ya han tratado de atacarnos?
Nos sirve para identificar una amenazas y la frecuencia en que ocurre nos puede dar una visión de cuando volverá a ocurrir. En el caso de que ya tenemos implementadas medidas de protección es importante llevar un registro, que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si todavía existe la amenaza y segundo, cuál es su riesgo actual.

La probabilidad de la amenaza se puede catalogar en:
·         Baja: existen condiciones que hacen muy lejana la posibilidad del ataque.
·         Media: existen condiciones para que el ataque no ocurra en corto plazo pero si a largo.
·         Alta: no existen condiciones que impidan que ocurra el ataque.


  1. Determinar el impacto de la amenazas
Cuando nos referimos a un impacto que es causado por un incidente tal y como se muestra en la figura que se muestra al inicio de este tema, entre los impactos encontramos:
·        Perdida de la información
·        Personas ajenas tienen acceso a la información
·        La información ha sido manipulada o esta incompleta

Estimar la Magnitud de Daño generalmente es una tarea muy compleja. La manera más fácil es expresar el daño de manera cualitativa, lo que significa que aparte del daño económico, también se considera otros valores como daños materiales, imagen, emocionales, entre otros. Expresarlo de manera cuantitativa, es decir calcular todos los componentes en un solo daño económico, resulta en un ejercicio aun más complejo y extenso.
Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden ser múltiples, a veces son imprevisibles y dependen mucho del contexto donde manejamos la información, sea en una ONG (derechos humanos, centro de información etc.), en una empresa privada (banco, clínica, producción etc.), en una institución Estatal o en el ámbito privado. Otro factor decisivo, respecto a las consecuencias, es también el entorno donde nos ubicamos, es decir cuales son las Leyes y prácticas comunes, culturales que se aplica para sancionar el incumplimiento de las normas.


  1. Recomendar controles que disminuyan la probabilidad de los riesgos

Como ultimo paso es sugerir herramientas o soluciones para controlar o en el mejor de los casos eliminar la probabilidad de que ocurra el riesgo, para que puedan ser consideradas en las siguientes fases como una opción a implementar como solución.






matriz del análisis de riesgos

·                                 Bajo Riesgo = 1 – 6 (verde)
·                                 Medio Riesgo = 8 – 9 (amarillo)
·                                 Alto Riesgo = 12 – 16 (rojo)


El análisis de riesgos puede ocurrir antes o después de la definición de una política
de seguridad. Según la norma internacional ISO 17799, esta actividad puede
ser hecha después de la definición de la política.
El propósito de tomar en cuenta una política de seguridad en el análisis se debe a
varias razones:

  • La política de seguridad delimita el alcance del análisis.
  • Permite ser selectivo en la verificación de activos que la política establece como vulnerables.
  • El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla.


Bibliografía

“Matriz para el Análisis de Riesgos”, en línea, ultima consulta: 06-febrero/2011  Disponible en: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/

“Análisis de Riesgos”, en línea, ultima consulta: 06-febrero/2011  Disponible en:  http://protejete.wordpress.com/gdr_principal/analisis_riesgo/

Análisis y control de riesgos de seguridad informática: control adaptativo”, en línea, ultima consulta: 06-febrero/2011  Disponible en:  



miércoles, 2 de febrero de 2011

Gestión de riesgos informáticos

La gestión de riesgo es un enfoque estructurado para manejar la incertidumbre, es decir la posibilidad de que ocurra o no un riesgo, para evitar que ocurran consecuencias no deseadas dado el caso que el riesgo se haga realidad, para ello se pueden llevar a cabo una secuencia de actividades para evaluar el riesgo, mitigar el riesgo y estrategias para manejar el riesgo que incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular de tal forma que las posibles perdidas y la posibilidad que se haga presente el riesgo se minimicen, en resumen la Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo..

La gestión de riesgo en el campo de la información busca sensibilizar en las empresas el tema de la seguridad informática y la gestión de los riesgo relacionados con el manejo de datos e información.

Como se menciono anteriormente la gestión de riesgos tiene cuatro fases:

  1. Análisis: en esta fase lo que se busca es conocer el sistema que se desea proteger conociendo sus vulnerabilidades y las amenazas a las que esta expuesto con el objetivo de revelar el grado de riesgo del sistema.
  2. Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
  3. Reducción: establece e implementa las medidas de protección para la reducción de los riesgo encontrados en la fase del análisis, además  capacita los usuarios conforme a las medidas.
  4. Control: analiza y evalúa el funcionamiento y efectividad de las medidas de protección implementadas en la fase de reducción, con el fin de mejorar las medidas que son ineficientes.

Estas fases están basadas en políticas de seguridad, normas y reglas institucionales y tiene la finalidad de potencializar las capacidades de una empresa disminuyendo las vulnerabilidades y limitando las amenazas con el resultado de reducir el riesgo.

 Los sistemas de información son vulnerables a una diversidad de amenazas y atentados por parte de personas que pueden o no pertenecer a la institución, por desastres naturales, por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las actividades de cómputos.

Por tanto los miembros de la organización se deben preocupar por establecer normas de seguridad al interior de la empresa para proteger la información, establecer una planificación formalizada para la seguridad informática y gestionar los medios necesarios para administrar correctamente la función de la seguridad informática.



Bibliografía

Basc, “Riesgos informáticos” , en línea, ultima consulta: 30-enero/2011 Disponible en: http://www.basc-costarica.com/documentos/riesgosinformatica.pdf

“Gestión de riesgos en la seguridad informática”, en línea, ultima consulta: 30-enero/2011  Disponible en: http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/

Wikipedia La enciclopedia libre, “Gestión de riesgos”, en línea, modificado: 1- febrero/ 2011 ultima consulta: 1-febrero/2011  Disponible en: