Explicación del tema 7 Tema 7. Administración de riesgos 1era. Parte

7.1 Análisis de Riesgos

Primero definamos los siguientes términos que estaremos utilizando en el transcurso del curso:  Vulnerabilidad: Es la debilidad de un sistema o proceso.  Amenaza: Aquello que provoca el riesgo y está relacionado con frecuencia. Por ejemplo: la amenaza de ser alcanzado por un rayo es de 1 en 600,000. En un día soleado no tienes de que preocuparte, pero en un día lluvioso con tormenta eléctrica y un paraguas te haces más vulnerable a este riesgo, y se ha incrementado el riesgo de que la amenaza se cumpla. Existen muchas definiciones de riesgo pero aquí emplearemos la de ISO : riesgo es “El potencial de que una amenaza determinada explota las vulnerabilidades de un activo o grupo de activos ocasionando pérdida o daño a la organización”. Las amenazas pueden ser operacionales, financieras, del entorno, etcétera. pero independientemente de su naturaleza, el objetivo será proteger la confidencialidad, integridad y disponibilidad de la información y de nuestros recursos. En la identificación de activos se debe incluir:  Hardware.  Software.  Empleados.  Servicios.  ImagenReputación.  Documentos en papel y digitales. 7.2 Evaluación y tratamiento de riesgos El proceso de administración de riesgos se compone básicamente de 3 fases. La primera es el análisis de los riesgos en donde se inicia identificando los activos del negocio, sus objetivos y los recursos necesarios para el logro de estos objetivos. El análisis de riesgos se enfoca a detectar cuáles son los activos críticos para lograr los objetivos. Una vez identificados los activos críticos, se procede a realizar una evaluación de esos riesgos identificando primeramente las amenazas potenciales para cada uno de los activos. Adicionalmente, se evalúa la probabilidad de que el evento ocurra y en caso de ocurrir, estimar cuál sería el impacto en nuestra empresa. Los riesgos más comunes provienen de:  Amenazas físicas y robos.  Errores humanos.  Errores en las aplicaciones.  Fallas en los equipos.  Problemas del medio ambiente fallas de corriente eléctrica por ejemplo.  Software malicioso virus, spywares, etcétera. Identificado lo anterior, se procede a definir controles que permitan mitigar los riesgos a un nivel aceptable por la alta dirección. Estos controles tienen como propósito reducir la probabilidad de ocurrencia de una amenaza y así detectarla de manera oportuna. La evaluación de riesgos debe identificar y cuantificar los mismos contra los niveles de éstos aceptados por la empresa. Con lo anterior se puede determinar la acción apropiada para cada uno de ellos.  Aceptar el riesgo. Cuando la administración decide que el beneficio es mayor que el riesgo. Por ejemplo, al decidir instalar un sitio de comercio electrónico; una estrategia de este tipo implica riesgos, pero estos son superados por los beneficios económicos que la estrategia generará.  Reducirlo. Por ejemplo, instalar un firewall que minimice la probabilidad de intrusos.  Transferirlo. Adquiriendo un seguro para proteger los activos.  Rechazarlo. Significa simplemente no hacer nada ni tomar medidas preventivas esperando que el riesgo no se presente. La implementación de estos controles conlleva un costo. Por tal motivo, será necesario realizar un análisis costo beneficio para mitigar los riesgos. La inversión en estos controles se basa en el costo del control comparado con el beneficio y de la cantidad de tolerancia a riesgos que establezca la alta gerencia. Algunas de las consecuencias de los riesgos que se deberán evaluar incluyen:  Pérdidas financieras.  Pérdidas de imagen.  Lesiones a clientes yo trabajadores.  Pérdida de oportunidades de negocio.  Incumplimiento de leyes. Se recomienda formar un equipo de análisis de riesgos formado por personal de diferentes niveles de la organización y de departamentos para realizar el análisis. La evaluación de riesgos se debe realizar de una forma periódica para poder enfrentar el entorno, requerimientos de seguridad y situaciones de riesgo cuando se presenten cambios significativos. El alcance de una evaluación de riesgos puede comprender sólo algunos sistemas hasta toda la organización. Se debe tener en cuenta que ningún tipo de control podrá proveer una seguridad total; sin embargo, pueden reducir en gran medida los efectos en nuestra empresa. 7.3 Técnicas de evaluación de riesgos Existen muchas técnicas y metodologías para la evaluación de riesgos. Desde procedimientos manuales hasta aplicaciones computacionales complejas y eficientes. En estas metodologías podemos utilizar diferentes tipos de clasificaciones. Algunas clasificaciones pueden ser muy sencillas, como por ejemplo, tomar cada riesgo y clasificarlo como alto, medio o bajo basándose en el simple juicio; pero también pueden realizarse cálculos complejos y científicos para dar una clasificación numérica al riesgo. El análisis de riesgos se basa principalmente en 2 técnicas o métodos:  Cuantitativo: Este método trata básicamente con números. Principalmente monetarios. Se trata de asignar un costo a los elementos del análisis de riesgos. activos y riesgos.  Cualitativo: Asigna un rango de valores no monetarios a los riesgos. Se basa en la intuición y experiencia. Análisis cuantitativo Para realizar un análisis cuantitativo, se requiere cuantificar todos los elementos incluyendo el valor del activo, el impacto, la frecuencia y probabilidad de ocurrencia y el costo de la solución. Los pasos para elaborar un análisis cuantitativo utilizando el método de expectativa de pérdida anual, ALE se presentan en la siguiente figura: Más adelante se mostrará un ejemplo para que lo comprendas mejor. Análisis cualitativo En el análisis cualitativo, no se pretende asignar valores monetarios a los componentes del análisis de riesgos. En este tipo de análisis se da un rango al riesgo de acuerdo a la sensibilidad del activo del mismo. Generalmente se utiliza una escala como la siguiente:  Bajo: Se asigna a inconvenientes menores que pueden ser tolerados en un período de tiempo corto y que no provocarán ninguna pérdida económica.  Medio: Ocasiona algún daño a la empresa, puede resultar en publicidad negativa y ocasionas pérdidas económicas moderadas.  Alto: Provoca una fuerte pérdida de confianza en clientes, empleados y accionistas. Puede llegar a causar acciones legales y multas para la empresa que representen una pérdida económica significativa. A continuación verás un ejemplo en donde se presentan diversos activos así como su análisis, y la comparación con la pérdida de confidencialidad, integridad y disponibilidad. Activo Pérdida de Confidencialidad Pérdida de Integridad Pérdida de Disponibilidad Información de las tarjetas de crédito de los clientes Alto Alto Medio Documentación de productos Medio Medio Bajo Literatura de publicidad Bajo Bajo Bajo Registros de los empleados Alto Alto Medio Se puede utilizar una combinación de técnicas. La decisión final de qué metodología o metodologías se utilizarán depende del responsable del análisis. Ejemplo Tomemos la siguiente información para realizar un análisis cuantitativo y definir si es conveniente o no adquirir un software de antivirus con un valor de 2,000 pesos para un nuevo servidor de correo electrónico, el cual incluye medidas antispam y filtrado de contenidos. El nuevo servidor tiene un precio estimado de 30,000 pesos. La empresa cuenta con 80 empleados que utilizarán este servicio para agilizar la comunicación interna y externa sus clientes. Los estudios indican que existe un 95 de probabilidad de que el servidor se infecte si no se le instala el software de antivirus. En caso de que se infecte el equipo, se estima que se podrán perder trescuartas partes de la información. De acuerdo a los pasos vistos en la sesión para elaborar un análisis cuantitativo, y utilizando el método de expectativa de pérdida anual ALE: 1. Determina AV el valor del activo = 30,000 2. Determina EF el valor de exposición. Representa la cantidad del activo que se perdería y de acuerdo a los datos es el 75 trescuartas partes. 3. Calcula el SLE el valor de la perdida en un evento. SLE=AV x AF = 30,000 x .75 = 22,500 4. Determinar ARO la taza de ocurrencia anualizada. De acuerdo a la información existe un 95.

5. Calcula ALE expectativa de pérdida anual ALE = SLE x ARO = 22,500 x .95 = 21,375

La decisión de si comprar el antivirus o no la justificamos mediante la siguiente fórmula: Ahorro = ALE – de antivirus = 21,375 – 2,000 = 19,375 Por lo tanto la decisión es: SI adquirirlo.