Diseño de la Matriz de Riesgos en Auditoria Informática

 



¿Qué elementos deben considerarse en el diseño de una matriz de riesgo?


A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos debe desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas; entendiéndose como:

Riesgo: al evento, el cual es incierto y tiene un impacto negativo. También se puede definir como la posibilidad de sufrir un daño por la exposición a un peligro.

Peligro: es la fuente del riesgo y se refiere a una substancia o a una acción que puede causar daño. 

Las metodologías de análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis de riesgos a las áreas de TI, estableciendo cómo puede ejecutarse el análisis.Un ejemplo de esto, puede ser el siguiente:

Análisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los riesgos.

El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.

La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.

Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.


ANALISIS DE RIESGO

Dentro del tema de análisis de riesgo se ven reflejados cinco elementos muy importantes dentro del concepto estos son los siguientes: probabilidad, amenazas, vulnerabilidades, activos e impactos; donde:


Probabilidad se refiere a establecer el número de ocurrencias, puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada. 

Las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer caso, o un acceso no autorizado a una base de datos en el segundo caso. 

Vulnerabilidades son son ciertas condiciones inherentes a los activos que facilitan que las amenazas se materialicen. Mediante el uso de las debilidades existentes es que las amenazas logran materializarse.

Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien potencialmente seguiría existiendo no podría materializarse. 

Los Activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos. 

Los Impactos son las consecuencias de la ocurrencia de las distintas amenazas, y  son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. 

Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan comunes, son la pérdida de vidas humanas, afectación del medio ambiente, etc. 

Fig. 2 Visto desde el punto de vista del impacto y probabilidad del riesgo, tenemos lo siguiente:



Fig. 3 Visto desde los planes de actuación que se requieren para su control, tenemos lo siguiente:

Fig. 4 Visto desde la respuesta requerida de acuerdo a la clasificación del riesgo, tenemos lo siguiente: (imagen  recovered from Institucion Universitaria de Envigado, Oct 2016)

Limitantes del análisis de riesgo

Posiblemente una de las principales razones por las cuales los problemas de seguridad informática no han sido resueltos es la aparición frecuente de nuevas amenazas. Como un ejemplo de esto es la evolución del malware: los virus altamente nocivos y de amplia difusión han dado lugar a botnets furtivos, de difícil detección y
dirigidos a objetivos específicos.

Precisamente una de las debilidades de las metodologías de análisis de riesgo es que parten de una visión estática de las amenazas así como de los controles requeridos para disminuir los riesgos. El ciclo de vida establecido para las arquitecturas de seguridad informático suele ser demasiado extenso ante un entorno en cambio constante.

Los cambios en los riesgos que debe considerar una organización tienen dos orígenes:
  • El surgimiento de nuevas amenazas.
  • La adopción de nuevas tecnologías que da origen a riesgos no previstos.

Todo sistema de información evoluciona, debido a la integración de hardware y software con características nuevas y más atractivas para los usuarios, así como al desarrollo de nuevas funcionalidades. Estos cambios abren la posibilidad de riesgos imprevistos y también pueden crear vulnerabilidades donde antes no existían.

No hay comentarios.:

Publicar un comentario

Nota: sólo los miembros de este blog pueden publicar comentarios.

Computadora

¿Qué es una computadora? U n computador, computadora u ordenador es una máquina digital programable, de funcionamiento electrónico , capaz ...