Gestion Riesgo Ti Unidad 1
Gestión de Riesgo de TI| Unidad 1 Introducción: Esta unidad pretende profundizar sobre la noción de riesgo, aclarando c
Views 104 Downloads 0 File size 2MB
Recommend stories
- Author / Uploaded
- Yulian Basto
Citation preview
Gestión de Riesgo de TI| Unidad 1
Introducción: Esta unidad pretende profundizar sobre la noción de riesgo, aclarando conceptos relacionados tales como: vulnerabilidad, amenaza, activo crítico, entre otros. Así mismo, se describirá el proceso de identificación de riesgos organizacionales relacionados con las tecnologías de la información y las clasificaciones que pueden tener, planteando la importancia de un adecuado contexto organizacional orientado a una cultura de riesgo. Por último, se describirán algunos esquemas de clasificación de los riesgos según su naturaleza, la probabilidad de ocurrencia y el impacto que tengan en los activos de la organización. Esta unidad tiene como fin formar la competencia en el establecimiento de riesgos y controles inherentes a las tecnologías de la información, para lo cual se espera que el estudiante pueda ser capaz de caracterizar visiones complementarias sobre gobierno, riesgo y cumplimiento y explicar el impacto de los riesgos de TI en las organizaciones. Bienvenido a esta experiencia de aprendizaje, en la que a través del análisis de las diferentes lecturas y el desarrollo de las actividades de autoaprendizaje y de evaluación, mediadas por las tecnologías de la información y la comunicación, podrá adquirir los saberes y competencias necesarias para apoyar a las organizaciones en torno a una visión de gobierno, riesgo y cumplimiento.
Universidad Cooperativa de Colombia
1
Gestión de Riesgo de TI| Unidad 1
1. Nociones sobre el Riesgo 1.1 Conceptos
básicos
sobre
el
riesgo
de
Tecnologías de Información La incorporación acelerada de las tecnologías de la información en las organizaciones, y en general en casi todos los aspectos de la vida humana, ha posibilitado un crecimiento de las amenazas relacionadas con la falta de políticas y medidas de seguridad y la falta de concienciación sobre el impacto que ello pueda tener en la información y en los bienes organizacionales. Una de las funciones más importantes de la dirección de tecnologías de la información (DTI) en las organizaciones tiene que ver con la gestión de riesgos y el establecimiento de controles para mitigarlos. No obstante, la gestión de riesgos no es sólo responsabilidad de la DTI, sino de toda la organización, lo cual la convierte en una política que debe estar alineada con los objetivos estratégicos organizacionales. Un riesgo puede ser definido como la probabilidad de que una amenaza se materialice a causa de una vulnerabilidad, lo cual afecta los activos críticos de Figura 1. Amenazas en la incorporación de TI Fuente: elaboración propia una organización. Como se puede observar, hay varios elementos involucrados en la definición del riesgo, elementos que en diversas ocasiones pueden ser confundidos de manera indiscriminada. Por ello es necesario prestar especial atención a sus diferencias. Amenaza: “Condición del entorno organizacional relacionado con las tecnologías de información, que ante determinada circunstancia podría ser una fuente de desastre informático y afectar a los activos de la compañía” (Guerrero y Gómez, 2012). Vulnerabilidad: “Situación generada por la falta de controles que permite concretar una amenaza, y el riesgo es la posibilidad que una amenaza se materialice y produzca un impacto en la organización” (Guerrero y Gómez, 2012). En este sentido, podemos entender la amenaza como un factor externo a las tecnologías de la información, mientras que la vulnerabilidad es un factor inherente a estas, relacionada con la falta de control. Universidad Cooperativa de Colombia
2
Gestión de Riesgo de TI| Unidad 1
Así mismo, se ha detectado la necesidad de establecer controles orientados a mitigar los riesgos; aquí se entiende el control como toda salvaguarda establecida por la organización para evitar que una amenaza afecte un activo crítico.
1.2 Definiciones de riesgo Aunque existen diversas definiciones para riesgo de tecnología de la información, no existe una clasificación definitiva o estándar para ellos. No obstante, la Information Systems Audit and Control Association (ISACA) provee una guía de definiciones que pueden ser utilizadas como un punto de partida (tabla 1). Riesgo
Definición
Riesgo de inversión o gasto Riesgo de acceso o seguridad Riesgo de integridad Riesgo de relevancia
Es el riesgo de que la inversión que se realiza en TI no proporciona valor; es excesiva o se desperdicia. Es el riesgo de que la información confidencial o sensible pueda ser divulgada o expuesta a personas que no tienen el acceso permitido. Este riesgo también está relacionado con la privacidad y la protección de los datos personales. Es el riesgo de que los datos no sean confiables porque son no autorizados, incompletos o inexactos. Es el riesgo ocasionado porque no se pueden tomar las acciones pertinentes, debido a que no se consigue la información correcta de forma oportuna de las personas, procesos o sistemas dispuestos para ello. Es el riesgo ocasionado por la pérdida del servicio.
Riesgo de disponibilidad Riesgo de Es el riesgo de que la infraestructura tecnológica definida para la organización no soporte de infraestructura manera eficiente las necesidades actuales y futuras del negocio. Incluye hardware, redes, software, personas y procesos. Riesgos de Es el riesgo asociado a que los proyectos de TI no cumplan con los objetivos propuestos debido a proyectos la falta de compromiso y responsabilidad de los actores involucrados. propios Tabla 1. Definiciones de riesgos asociados a las TI Fuente: adaptado de ITGI (2013)
Universidad Cooperativa de Colombia
3
Gestión de Riesgo de TI| Unidad 1
1.2.1 Reto creciente de las organizaciones Como se ha podido observar hasta el momento, los riesgos permean en todos los procesos organizacionales y afectan no solamente al personal interno y a los bienes materiales e inmateriales de la organización, sino también a los clientes, proveedores, procesos y servicios. En la medida en que se presentan nuevos modelos de negocio y nuevas incorporaciones de tecnologías de información para su apoyo, también surgen más riesgos potenciales. En la figura 2 se pueden observar algunos ejemplos relacionados con lo expuesto anteriormente y la necesidad creciente de reglamentaciones asociadas a ello. Se puede apreciar entonces que las organizaciones tienen un reto creciente en la incorporación de políticas y procedimientos orientados a la gestión del riesgo de TI. Los Figura 2. Nuevos modelos de negocio y amenazas emergentes modelos de negocio siguen Fuente: Ernst y Young (2012) innovándose y las TI seguirán cambiando en torno a ellos y de manera inherente propiciando espacios de riesgo que deben ser mitigados y controlados para garantizar la continuidad del servicio y la protección de los activos.
1.2.2
Delito informático
Los delitos informáticos (o ciber-terrorismo) se han convertido en una de las amenazas más crecientes de las tecnologías de la información, en la medida en que su principal objetivo es obtener información para su uso, daño, modificación o eliminación. Ahora bien, teniendo en cuenta que la información es uno de los activos más importantes de las organizaciones en el entorno actual, los delitos informáticos deben ser evitados a toda costa. Un delito informático puede ser definido como toda acción u omisión que conlleve a un perjuicio de una persona u organización o a un beneficio propio a través del uso de sistemas informáticos. Los delitos informáticos están tipificados por la ley y son punibles (deben ser castigados).
En Colombia, la Ley 1273 tipifica los delitos informáticos y establece la protección de la información y de los datos como un bien jurídico tutelado. Dicha ley se puede consultar en los objetos de información del curso. Establecer una clasificación de los delitos informáticos presenta una complejidad en la medida en que un caso puede atentar contra varias de ellas. No obstante, una clasificación general de delitos informáticos de acuerdo con bien jurídico afectado se presenta en la tabla 2.
Universidad Cooperativa de Colombia
4
Gestión de Riesgo de TI| Unidad 1
Delito
Descripción
Aquellos que atentan contra la confidencialidad de los datos Aquellos que atentan contra la integridad de los datos Aquellos que atentan contra la disponibilidad de los datos Aquellos que atentan contra los sistemas informáticos
Pertenecen a esta clasificación los delitos relacionados con el acceso abusivo a los sistemas informáticos, interceptación de datos, violación de datos personales y suplantación de sitios web para capturar datos personales. Se refieren a los delitos relacionados con la interceptación de datos y la violación de datos personales. Se alude a los delitos relacionados con la obstaculización ilegítima de sistemas informáticos o redes. Pertenecen a esta clasificación los delitos relacionados con el daño informático y el uso de software malicioso.
Tabla 2. Clasificación general de delitos informáticos Fuente: Elaboración propia.
Como se puede observar, se han introducido varios conceptos relevantes que deben ser estudiados con detenimiento, a saber: Confidencialidad de la información: es aquella que permite garantizar que la información que se encuentra en los sistemas informáticos sólo puede ser accedida por personal autorizado. Integridad de la información: es aquella que permite garantizar que la información que se encuentra en los sistemas informáticos se corresponde con la real. Disponibilidad de la información: es aquella que permite garantizar que la información que se encuentra en los sistemas informáticos esté a disposición de quienes tienen acceso y están autorizadas para su uso. Los delitos informáticos pueden ocasionarse por diversas fuentes como son: hacking, virus informáticos y sabotaje.
1.2.3
Fraude informático
Anteriormente se definió que el delito informático no necesariamente traía un beneficio para la persona que incurría en él. Ahora bien, cuando el delito informático permite obtener beneficios ilegítimos, bien sea de tipo económico o informacional, se denomina fraude. Para que exista perpetración de un fraude deben encontrarse dos factores: la motivación hacia el fraude y la disponibilidad (figura 3). La motivación se refiere al conjunto de necesidades (económicas, psicológicas, etc.) que pueda tener quien lo comete. Por su parte, la disponibilidad hace referencia a las vulnerabilidades que posee la tecnología de información y que propicia la ocurrencia del fraude. La perpetración de los fraudes se realiza utilizando diversas técnicas o Figura 3. Motivación y disponibilidad para el fraude Fuente: elaboración propia
Universidad Cooperativa de Colombia
5
Gestión de Riesgo de TI| Unidad 1
procedimientos. En la tabla 3 se describen los más utilizados.
Técnica o Descripción procedimiento Caballo de Troya Data diddling o Temporing Salami o Rounding down Scavenging Data leakage Eavesdropping Phishing Keylogger Spyware Trap doors Denial of service attack
Consiste en introducir segmentos de programación en programas, fotografías, videos, documentos para que realicen actividades indeseadas en los sistemas informáticos. Los caballos de Troya pueden ser utilizados también como virus, gusanos o bombas lógicas. Consiste en la modificación de forma no autorizada de los datos para que los sistemas informáticos produzcan información falsa o errónea. Consiste en el redondeo de cifras para obtener ganancias de pequeñas cantidades de dinero por cada cuenta. Consiste en la recopilación de información residual de los sistemas informáticos para espionaje industrial o comercial. Consiste en el robo de información de los ficheros de una organización con fines de espionaje industrial o comercial. Consiste en la intersección de líneas, bien sean de datos o telefónicas, con el fin de capturar, modificar o eliminar datos de los sistemas informáticos. Este fraude está catalogado dentro de la Ingeniería Social y consiste en suplantar a una persona u organización para obtener información no autorizada. Consiste en el uso de malware para capturar información confidencial y enviarla a personas no autorizadas, a través de dispositivos de captura de pulsaciones del teclado. Consiste en el uso de malware que captura y recopila información de los archivos de una organización para ser entregados a personal no autorizado. Consiste en la utilización de las puertas traseras de los sistemas operativos o sistemas informáticos, para acceder a información no autorizada o ejecutar transacciones indeseadas. Consiste en generar ataques a los servidores de los sistemas informáticos para que se interrumpan o suspendan temporal o indefinidamente los servicios prestados a los usuarios.
Tabla 3. Técnicas o procedimientos utilizados para fraudes Fuente: Elaboración propia.
Aunque es común pensar que los delitos informáticos y los fraudes son perpetrados por personal externo a la organización, en muchas ocasiones el personal interno es responsable de la mayor parte de ellos.
1.3 Gobierno, riesgo y cumplimiento La relación entre gobierno, riesgo y cumplimiento es sumamente importante para las organizaciones. Aunque el término gobierno es usualmente utilizado por la alta gerencia, este no necesariamente es aplicable sólo a ella, ya que el gobierno hace referencia a la relación existente entre los diferentes niveles organizacionales para el logro de los objetivos estratégicos del negocio. La cultura organizacional es extremadamente importante para que exista una adecuada relación entre gobierno, riesgo y cumplimiento (GRC), especialmente porque todo el personal debe estar sintonizado con la política de integridad y de ética de la organización. Lo anterior cobra relevancia toda vez que la gestión de riesgos no se
Universidad Cooperativa de Colombia
6
Gestión de Riesgo de TI| Unidad 1
basa únicamente en la teoría del “problema”, sino que se soporta en la integridad y la ética de las personas que trabajan para la organización. Mientras el gobierno se encarga de la definición de estrategias, políticas y procedimientos para lo relacionado con los riesgos, la gestión de riesgos identifica las áreas que se encuentran expuestas a riesgos potenciales y el cumplimiento ejecuta las acciones de control necesarias para mitigar los riesgos (figura 4).
Figura 4. La GRC Fuente: elaboración propia
La GRC apoya la toma de decisiones organizacionales en la medida en que ayuda a definir las responsabilidades y los roles de los stakeholders y del personal clave; formaliza los canales de comunicación; dispone a la organización de una perspectiva del riesgo, e implementa programas de cumplimiento basados en las leyes y regulaciones. La GRC beneficia a la organización en diferentes niveles, pero, específicamente, al área financiera, a la dirección de tecnologías de la información y al departamento de auditoría interna. El área financiera se beneficia reduciendo los tiempos y los costos relacionados con el ejercicio de la auditoría; reduce riesgos e incrementa la confianza en los reportes financieros y los diagnósticos que apoyan la toma de decisiones financieras. Con respecto a la dirección de tecnologías de información, la GRC ayuda a reducir los tiempos y costos relacionados con el cumplimiento, ya que disminuye el esfuerzo necesario para la realización de auditorías internas y genera mejores respuestas de los procesos que sirven a los usuarios. Por su parte, el departamento de auditoría se beneficia con un flujo coordinado de procesos que ayudan a identificar rápidamente los riesgos potenciales, disminuyendo la ejecución de auditorías y mejorando los procesos de gestión de riesgos. La GRC busca, entonces, generar organizaciones inteligentes ante la gestión de riesgos, que permitan lograr un balance coordinado entre el riesgo y la recuperación, mediante la garantía de niveles adecuados de continuidad del servicio. La definición de un proceso de GRC puede incluir diversos frameworks tales como: OCEG (Open Compliance & Ethics Group), GRC Model (Red Book), COSO, CoBIT, etc., una guía para el desarrollo de las actividades, los diferentes estados en los que se pueden encontrar y un grupo de trabajo que lo desarrolle pero que también ayude a validarlo. Teniendo esto presente, cada organización es libre de elegir y diseñar su propio proceso de GRC, pero no se debe olvidar que la GRC requiere de un cambio cultural y de un proceso de adopción claramente establecido. Universidad Cooperativa de Colombia
7
Gestión de Riesgo de TI| Unidad 1
1.3.1
Herramientas comunes para la GRC
Existen varias herramientas orientadas a la GRC. En la tabla 4 se realiza un comparativo de los procesos que cada una de ellas implementa para el desarrollo de la GRC en las organizaciones. Herramienta SAP GRC
Oracle GRC
Accelus
Open Pages
Procesos Control de acceso Control de procesos Gestión de riesgos Servicios comerciales globales Medio ambiente, salud y seguridad Inteligencia GRC Administración GRC Gobierno del control de acceso a aplicaciones Gobierno del control de transacciones Gobierno del control preventivo Gobierno del control de la configuración Administración del riesgo GRC empresarial para auditoría interna GRC empresarial para control interno Administración del cumplimiento. Políticas y administración del cumplimiento Plataforma GRC Administración del riesgo operacional Administración del control financiero Gobierno de TI
Universidad Cooperativa de Colombia
Beneficios Monitoreo constante de usuarios, accesos y segregación de funciones. Mejora del rendimiento gracias priorización y apoyo de los procesos. Mayor comprensión de los factores de riesgo, lo que garantiza una adecuada respuesta y control. Proporciona un repositorio de procesos, riesgos y controles que ayudan a disminuir los costos de cumplimiento. Apoya la segregación de funciones, ayudando a identificar y remediar los riesgos asociados con el control de acceso. Apoya el desarrollo de las auditorías y a la generación de políticas de restricción de accesos no autorizados y a la mejora de las relaciones de confianza con los clientes.
Supervisa constantemente los cambios en las reglamentaciones hacia la gestión de riesgos. Mitiga riesgos a través de diferentes procesos de auditoría y control interno. Proporciona transparencia en los procesos relacionados con la GRC.
Ayuda a reducir las pérdidas y mejora los procesos de negocio debido al manejo de reportes de riesgos estandarizados. Habilita el control interno para desarrollar procesos de auditoría que conduzcan a la administración de riesgos y al control.
8
Gestión de Riesgo de TI| Unidad 1
Administración de la auditoría interna. RSA Archer Administración de eGRC políticas Administración de riesgos Administración del cumplimiento Administración empresarial Administración de incidentes Administración de ventas Administración de amenazas Administración de la continuidad del negocio Administración de la auditoría.
Apoya la gestión y automatización de procesos para agilizar el flujo de trabajo de los usuarios y generar informes en tiempo real. Apoya la unificación de criterios para la administración de riesgos en todos los niveles de la organización, lo cual facilita la colaboración entre los diferentes departamentos ya que utilizan datos y procesos comunes.
Tabla 3. Técnicas o procedimientos utilizados para fraudes Fuente: Elaboración propia.
Resumen 1: La gestión de riesgos es una de las actividades más importantes de la dirección de TI y en general de todos los niveles organizacionales. Diversas amenazas pueden atacar las vulnerabilidades de las tecnologías de la información y generar espacios de riesgo que deben ser mitigados a través del uso de controles y salvaguardas. Este aspecto constituye un reto creciente para las organizaciones, las cuales deben innovar constantemente debido al surgimiento creciente de modelos de negocio que traen consigo tecnologías más avanzadas y con ello amenazas más avanzadas.
Universidad Cooperativa de Colombia
9
Gestión de Riesgo de TI| Unidad 1
Resumen 2: El delito informático o ciber-terrorismo es una de las amenazas que ha venido creciendo y adaptándose a los nuevos esquemas de control de las organizaciones. Cada día surgen nuevas y diferentes figuras de fraude para cometer los delitos informáticos, lo cual hace que las organizaciones deban preocuparse por regulaciones cada vez más estrictas no sólo para controlarlos sino también para que sean penalizados.
Universidad Cooperativa de Colombia
10
Gestión de Riesgo de TI| Unidad 1
2. Identificación del riesgo 2.1 Comprendiendo el entorno organizacional hacia la gestión de riesgo La definición del contexto organizacional permite conocer en detalle los objetivos estratégicos y su alineación con la gestión de riesgos para orientar decisiones relacionadas con estudios y análisis detallados de políticas, procesos y procedimientos necesarios para la mitigación de los riesgos. Así mismo, la definición del contexto organizacional proveerá una comprensión de las políticas, estándares y regulaciones diseñadas por la organización en materia de gestión de riesgos, las cuales, según Ross (2008), deberían incluir: El establecimiento de un ejecutivo de riesgo con funciones claramente definidas El establecimiento de una estrategia organizacional hacia la gestión de riesgos que incluya la descripción de la tolerancia hacia el riesgo El diseño y puesta en marcha de estrategias destinadas a la inversión de recursos de información y de seguridad de la información. La comprensión del entorno organizacional, además de la identificación de la estrategia, implica la especificación de las tecnologías de información que apoyan los procesos de negocio y el nivel de madurez de la organización en su incorporación. Con ello permite la clarificación de la dependencia que tiene la continuidad del servicio de dichas tecnologías, así como las responsabilidades de los actores involucrados (figura 5).
Figura 5. Comprensión del contexto organizacional Fuente: elaboración propia
Universidad Cooperativa de Colombia
11
Gestión de Riesgo de TI| Unidad 1
2.2 Identificación de la política y gobierno de riesgos de TI La estrategia organizacional en materia de riesgos es clave para identificar cómo responde la organización a los procesos de aseguramiento y monitoreo de riesgos y, de forma especial, para detectar la tolerancia de la organización a ello. Las organizaciones comúnmente tienden a plantear esquemas de seguridad que respondan a las amenazas de los atacantes externos. No obstante, muchas de las amenazas que padece la organización tienen que ver con sabotajes perpetrados por el personal interno y debido a la utilización de diferentes medios tecnológicos como son la telefonía móvil, las redes sociales y la computación en la nube. Una organización inteligente debe empezar definiendo una función orientada a la gestión de riesgos que garantice la construcción de medidas y estrategias de actuación ante los riesgos y que genere consistentemente con los objetivos estratégicos evaluaciones e informes que faciliten la comprensión y concienciación del personal sobre el impacto de los riesgos en los activos, los procesos y los servicios. La gestión de riesgos debe ser predictiva y no debe verse solamente como un ejercicio para cumplir con un estándar o una normatividad. La gestión de riesgos debe basarse en la confianza y no en la coacción, dado que la prohibición no es el camino más adecuado para generar una verdadera transformación organizacional. La gestión de riesgos debe impulsar por sí misma el cumplimiento y debe detectar los problemas pequeños antes de que se conviertan en grandes amenazas. Un primer paso de la organización debe ser identificar las amenazas reales a las que está expuesta de acuerdo con su propia naturaleza, de manera que se pueda sustentar y consolidar una política adecuada y pertinente para el gobierno de los riesgos relacionados con las tecnologías de la información, con indicadores claros y con estudios de casos que permitan una realimentación. Una parte importante de la gestión de riesgos en la organización es la definición de la tolerancia al riesgo, la cual se entiende como el grado de aceptación que la organización pueda tener sobre la ocurrencia del riesgo. Si el grado de tolerancia es mayor, entonces la organización sólo se preocupará por aquellas amenazas que se han presentado, mientras que si el grado de tolerancia es menor, la organización tendrá un listado de las posibles amenazas que pudieran afectar sus activos, sin importar si se han presentado o no. La tolerancia ante el riesgo es comúnmente un indicador de la cultura organizacional hacia el riesgo, ya que permite evidenciar el grado de importancia que tiene la gestión de riesgos para la organización y para la toma de decisiones.
Universidad Cooperativa de Colombia
12
Gestión de Riesgo de TI| Unidad 1
No existe una organización 100% segura; lo que sí existe es una organización que ha definido estrategias para actuar ante la ocurrencia de los riesgos. En una encuesta realizada por Ernst y Young (2010), en la que se encuestó a más de 1.600 participantes de 56 países diferentes, se demuestra que uno de los principales controles que las empresas están aplicando para enfrentarse a los riesgos es el ajuste en las políticas (64%). Así mismo, relacionado con el contexto organizacional, otro de los controles de mayor aplicación es la concientización del personal sobre los aspectos de Figura 6. El ajuste en la política seguridad, aspecto que es fundamental Fuente: Ernst y Young (2010, p. 6) si se pretende contar con una capacidad de respuesta ante las amenazas.
como control principal para mitigar riesgos crecientes
La organización debe estar en constante actualización de la especificación de las amenazas reales, ya que se deben analizar con detalle las amenazas que emergen cada día y que traen consigo nuevas necesidades de control y estrategias de seguridad. La generación de una adecuada política para la gestión de riesgos de tecnología de información debe basarse en la cultura organizacional y en la incorporación de herramientas tecnológicas claves para mitigar los riesgos, teniendo cuidado de priorizar adecuadamente la inversión para que no haya fuga de dinero en aplicaciones que posteriormente no se utilizan o que quedan obsoletas con facilidad. Una adecuada inversión en tecnología para garantizar la seguridad de la organización en cuanto a riesgos de tecnología de información debe conservar una mesurada relación entre el costo/beneficio, es decir, que la inversión en tecnología se balancee con la disminución de los costos vinculados a los incidentes.
2.3 Especificación de las TI que apoyan los procesos de negocio Los nuevos modelos de negocio han posibilitado una mayor incorporación y dependencia de las tecnologías de la información para apoyar los procesos de negocio en las organizaciones, para adquirir y vender servicios y para relacionarse con clientes y proveedores. No obstante, esta dependencia también ha posibilitado que las amenazas consigan un mayor impacto cuando penetran en las vulnerabilidades de los sistemas informáticos. Universidad Cooperativa de Colombia
13
Gestión de Riesgo de TI| Unidad 1
Es así como las organizaciones deben asegurar que existan procedimientos para la gestión de riesgos en cada una de las etapas del ciclo de vida de la incorporación de tecnologías de la información (figura 7). La especificación de las TI que apoyan los procesos de negocio requiere de un conocimiento amplio de los elementos que conforman su entorno de procesamiento de información, a saber: hardware, software, redes, datos, procesos y personas. Así mismo, se deben tener en cuenta aspectos relacionados con el uso, la capacidad y el desempeño de las tecnologías de información frente a condiciones adversas o simplemente frente a condiciones de alta demanda de servicios. Las organizaciones deben garantizar la confianza que clientes y proveedores tengan sobre la confiabilidad de las tecnologías de la información. Figura 7. Procedimientos de gestión de riesgos en el ciclo de vida de las TI
Por último, la revisión y actualización Fuente: elaboración propia constante de la documentación del sistema permitirá mitigar riesgos relacionados con el uso, el mantenimiento, la configuración y la puesta en marcha de los sistemas informáticos.
2.4 Responsabilidades de los actores Las personas son sumamente importantes en la gestión de riesgos, ya que en definitiva son ellas quienes aplican las medidas de seguridad diseñadas por la organización. Es por ello que se debe identificar la cultura organizacional frente a los riesgos, de forma que se puedan detectar posibles causas o creencias y actuaciones conducentes a la ocurrencia de incidentes. Una de las principales fuentes de amenazas en lo que concierne a la fuga de información confidencial tiene que ver con el desconocimiento de las personas, no sólo en lo que respecta a los controles que deberían aplicar para evitar los riesgos, sino también en relación con su propia responsabilidad sobre el manejo de la información. Universidad Cooperativa de Colombia
Figura 8. Responsabilidades del ejecutivo de riesgos Fuente: elaboración propia
14
Gestión de Riesgo de TI| Unidad 1
Las estrategias en las que se involucra a personal concienciado sobre la importancia de la gestión de riesgos son más efectivas y requieren menores esfuerzos para su adopción. No obstante, cuando existen interrelaciones entre diferentes organizaciones para el logro de los objetivos, las diferencias entre la cultura ante riesgos de una y otra organización pueden representar obstáculos que deben ser canalizados y para los cuales se deben definir estrategias de intercambio de información y servicios. Esta es una responsabilidad directa de la dirección de tecnologías de la información y el ejecutivo de riesgos. Otras funciones que son responsabilidad del ejecutivo de riesgos se presentan en la figura 8. La creación de una cultura de riesgo debe iniciar desde la alta dirección y debe llegar hasta el nivel operacional de la empresa. No obstante, las decisiones sobre las acciones que se deben implementar ante los riesgos sólo pueden ser tomadas por el personal autorizado y capacitado para ello. En el marco de riesgos de TI desarrollado por ISACA (2014), se definen tres elementos fundamentales de la cultura de riesgo (figura 9). El primero de ellos tiene que ver con el comportamiento (actitud) que pueden asumir los empleados hacia los riesgos. Una posición adecuada ante ello implica que los empleados asumen una actitud que aunque conservadora refleja una aversión hacia los riesgos. Por su parte, una postura inadecuada se ve reflejada en una actitud agresiva y de asunción de los riesgos. El segundo elemento de la cultura de riesgos según ISACA (2014) tiene que ver con el comportamiento hacia los resultados negativos. Este Figura 9. Elementos de la cultura elemento se puede ver reflejado en una cultura de cumplimiento o de Fuente: adaptado de ISACA (2014) incumplimiento. Por supuesto, el cumplimiento debe propiciarse a través de estrategias de concienciación y de comprensión de las responsabilidades ante los riesgos.
de riesgo
El último elemento tiene que ver con el comportamiento hacia la política, es decir, la cultura que se genere en cuanto a la aceptación o repulsión sobre las políticas de riesgos. El comportamiento esperado es que en la organización se propicie una cultura de aprendizaje y no una de culpabilidad. La comunicación con los actores del proceso de gestión de riesgos de tecnología de información es sumamente importante para la generación de un compromiso institucional y una adecuada concienciación. Por ello la alta dirección debe garantizar procesos de rendición de cuentas con los diferentes niveles organizacionales, en la búsqueda de generar espacios de presentación de informes de rendimiento y de reconocimiento de la política. Una adecuada comunicación permitirá generar expectativas claras sobre la pertinencia de la inversión y sobre la necesidad de una cultura de prevención de riesgos. Por su parte, una inadecuada comunicación propiciará que las personas generen aversión a la política y que por ende no participen activamente en el proceso.
Universidad Cooperativa de Colombia
15
Gestión de Riesgo de TI| Unidad 1
2.5 Identificación de activos críticos Esta actividad, enmarcada en la gestión de riesgos, busca identificar los activos que pueden estar expuestos a amenazas y cuyo deterioro, modificación, pérdida o exposición pueden afectar los criterios de seguridad de la información relacionados con la disponibilidad, la autenticidad, la integridad y la confidencialidad. La información y los servicios como activos esenciales para proteger dependen de otros activos que también deben ser protegidos, a saber: las instalaciones, los equipos de cómputo, las redes, los sistemas informáticos, los soportes de información y las personas. De acuerdo con el Ministerio de Administraciones Públicas (España) (2012), los activos se pueden clasificar en capas, en las cuales los activos inferiores son el pilar sobre el que la seguridad de los activos superiores se apoya (figura 10). Así, por ejemplo, una organización puede contar con todos los procesos que permitan Figura 10. Clasificación por capas de los activos críticos prestar sus servicios con la mejor Fuente: elaboración propia calidad, pero si tiene subcontratado el servicio de hosting donde aloja la página web mediante la cual presta dichos servicios y esta queda fuera de servicio, el cliente lo asumirá como culpa de la organización y como un servicio de mala calidad. El costo relacionado con los activos críticos tiene que ver con la medida del costo de reposición en caso de que un incidente perjudicara dicho activo. En este sentido, para valorar dicho costos hay que tener en cuenta los siguientes factores: costo de reposición, costo de mano de obra invertida en la recuperación del activo, la pérdida de los ingresos generada por la falta del activo, la pérdida de la confianza de los clientes y proveedores en la calidad del servicio, el costo de las sanciones por incumplimiento de la ley u obligaciones contractuales, el daño a otros activos, propios o ajenos, el daño a personas o los daños medioambientales.
2.6 Identificación de las amenazas El siguiente ejercicio, luego de comprender el contexto organizacional e identificar los activos críticos, es la identificación de las amenazas y vulnerabilidades. Como se ha descrito en la unidad anterior, las amenazas
Universidad Cooperativa de Colombia
16
Gestión de Riesgo de TI| Unidad 1
pueden ser internas o externas, mientras que las vulnerabilidades son todas aquellas condiciones generadas por la falta de controles internos que pueden ser explotadas de forma accidental o intencionada. La principal meta de la identificación de riesgos es establecer el conjunto de amenazas y vulnerabilidades de las tecnologías de la información que apoyan los procesos de negocio en la organización. Las amenazas pueden clasificarse según se presenta en la tabla 5.
Causa que origina la amenaza Amenazas de origen natural Amenazas de origen humano Amenazas originadas en el entorno
Descripción Amenazas causadas por terremotos, inundaciones, tormentas y que perjudiquen el funcionamiento de las tecnologías de la información. Por ejemplo: daño de las líneas de comunicación por una tormenta. Amenazas que son causadas por personas autorizadas o no a las tecnologías de la información, de manera involuntaria o intencional. Por ejemplo: el uso de spyware para espionaje industrial. Amenazas causadas por condiciones ambientales o industriales (contaminación, fallas energéticas, etc.). Por ejemplo: corto circuito de la red eléctrica de los servidores.
Tabla 2. Clasificación general de delitos informáticos Fuente: Elaboración propia.
La naturaleza cambiante de las organizaciones ocasiona que también exista una dinámica en la identificación de las amenazas, por lo cual este proceso debe realizarse periódicamente. Es necesario entonces que la organización defina una base de datos con los escenarios de riesgos y que los mantenga actualizados.
2.7 Identificación de vulnerabilidades Las vulnerabilidades son debilidades en los controles internos asociados con el sistema de seguridad de las tecnologías de la información. Estas vulnerabilidades pueden ser aprovechadas de forma intencional o accidental por otros sistemas o personas, lo cual ocasiona una violación al sistema de seguridad de dicha tecnología. La identificación de vulnerabilidades en las tecnologías de la información se puede abordar desde diferentes ángulos, teniendo en cuenta la naturaleza y la etapa de incorporación en la que se encuentra. En la tabla 6 podemos apreciar los procedimientos que se pueden aplicar.
Universidad Cooperativa de Colombia
17
Gestión de Riesgo de TI| Unidad 1
Etapa de incorporación de la TI
Procedimiento
Aún no se ha diseñado Se encuentra en implementación Se encuentra operativo
Previsión de políticas y procedimientos de seguridad. Definición y análisis de requisitos de seguridad. Diseño de los criterios de seguridad. Pruebas de certificación y evaluación del sistema. Análisis de características y procedimientos técnicos y operativos relacionados con los controles de seguridad. Listas de verificación de auditoría.
Tabla 6. Procedimientos para la identificación de vulnerabilidades Fuente: Elaboración propia.
La identificación de vulnerabilidades requiere de un proceso claramente establecido de auditoría sobre los controles de seguridad definidos para las tecnologías de la información. En la mayoría de los casos, no es suficiente con aplicar pruebas de integridad y de sistemas y se requieren procedimientos de control mucho más exigentes. Algunos ejemplos de vulnerabilidades del sistema se presentan en la tabla 7. Vulnerabilidad
Amenaza
El sistema de información no posee una adecuada segregación de funciones para el control de acceso y todos los usuarios acceden con la misma cuenta. El sistema no controla las transacciones que son ejecutadas durante la pérdida de conexión con el servidor. La estructura organizativa de la dirección de TI no tiene control de versiones de los aplicativos desarrollados.
Los operarios pueden obtener, modificar o eliminar información sensible para su propio beneficio o el de terceros. Los datos capturados en la ejecución de la transacción pueden perderse o duplicarse. Los sistemas puestos en marcha pueden bloquearse o generar errores de procesamiento de información.
Tabla 7. Ejemplos de vulnerabilidades Fuente: Elaboración propia.
Resumen 1: La comprensión del contexto organizacional permite determinar no sólo la cultura organizacional hacia los riesgos, sino también la dependencia de los procesos de negocio sobre la tecnología de información y las responsabilidades que cada uno de los actores involucrados tiene frente a la gestión de riesgos.
Universidad Cooperativa de Colombia
18
Gestión de Riesgo de TI| Unidad 1
Resumen 2: La identificación de los activos críticos permite un entendimiento del costo relacionado con la reposición, la mano de obra invertida, la pérdida de los ingresos, la pérdida de la confianza, las sanciones por incumplimiento, el daño a otros activos, personas o entorno.
Resumen 3: La identificación de amenazas y vulnerabilidades es una de las tareas primordiales en la gestión de riesgos, ya que permite identificar los eventos y circunstancias que podrían generar la pérdida de los activos esenciales para la organización.
Universidad Cooperativa de Colombia
19
Gestión de Riesgo de TI| Unidad 1
3. Clasificación de los riesgos Existen varias clasificaciones de los riesgos, todas ellas orientadas a la identificación de nuevos riesgos. Los riesgos se pueden clasificar según su naturaleza, según la causa que lo origina, según la consecuencia o impacto, según la probabilidad de ocurrencia, etc. La razón principal por la que una organización debe clasificar sus riesgos es porque no necesariamente todos requieren la misma atención y es necesario priorizar la inversión. No obstante, la gestión de los riesgos se basa en la incertidumbre de la ocurrencia. Cuando un riesgo ya ha tenido un incidente en la organización, la planificación de las medidas de aseguramiento es menos compleja, mientras que cuando las organizaciones se enfrentan a riesgos desconocidos, la incertidumbre sobre lo adecuado de las medidas de seguridad y el impacto en los activos sensibles es mucho más alta. Es necesario recalcar que aunque la organización haya dispuesto medidas de control para riesgos que ya se han presentado, los riesgos son situacionales y no necesariamente una nueva ocurrencia impactará de la misma manera a la organización; incluso un riesgo puede ocasionar la ocurrencia de otros riesgos que anteriormente no se habían presentado. Ahora bien, el nivel de tolerancia sobre un riesgo varía de una organización a otra, ya que el impacto es también diferente. En la figura 11 se presenta un esquema general de las clasificaciones que se estudiarán en este tema.
Figura 11. Clasificaciones de los riesgos Fuente: elaboración propia
Universidad Cooperativa de Colombia
20
Gestión de Riesgo de TI| Unidad 1
3.1 Clasificación
de
los
riesgos
según
su
naturaleza Según la naturaleza de los riesgos se pueden clasificar en inherentes y residuales. Un riesgo inherente es aquel que se propicia por la naturaleza misma de la tecnología de información. Por ejemplo: las redes por su naturaleza intrínseca tienen un riesgo de ser interceptadas para que un perpetrador pueda obtener, modificar o eliminar información de una compañía. Por su parte, un riesgo residual es aquel que permanece después de que se han implementado medidas adecuadas de seguridad para proteger los activos involucrados. Por ejemplo, un antivirus es un control implementado por las organizaciones para evitar la presencia de virus en los sistemas informáticos. No obstante, los antivirus muchas veces son logran detectar malware o sus bases de datos no han sido actualizadas para detectarlos. El riesgo latente que surge de esta limitación es lo que se denomina riesgo residual. Como se había expresado anteriormente, las organizaciones deben tener definidos niveles de tolerancia ante los riesgos residuales. Lo anterior conlleva a generar una discusión en torno a la erradicación de los riesgos. Tal y como se ha planteado en esta unidad, los riesgos no pueden ser erradicados en su totalidad, pueden ser mitigados y reducidos a una escala de improbabilidad que genere un alto grado de confianza entre clientes, proveedores y organización. Comúnmente, los riesgos residuales son salvaguardados con pólizas de seguridad provenientes de compañías aseguradoras que exigen a las organizaciones compromisos efectivos en el diseño de controles para mitigar los riesgos. No obstante, hay que tener en cuenta que si las medidas de seguridad diseñadas para mitigar el riesgo inherente no funcionan, el riesgo residual será igual al riesgo inherente y su impacto será el mismo. Riesgo inherente
Control
Riesgo residual
Pérdida de comunicación de los equipos cliente con el servidor.
Activación de servidores espejo
Robo de información de las papeleras de reciclaje Pérdida de flujo eléctrico en las conexiones de los equipos.
Anti-Spyware
Eliminación de archivos sensibles.
Backups – Copias de seguridad
Lentitud en la entrega de servicios por demoras en la comunicación con los servidores espejo. Robo de información por desactualización de la BD de virus. Apagado de equipos por cálculos inadecuados del retorno del flujo eléctrico. Pérdida de información remanente por desactualización de los backups.
UPS – Fuentes alternas de suministro eléctrico
Tabla 2. Clasificación general de delitos informáticos Fuente: Elaboración propia.
Universidad Cooperativa de Colombia
21
Gestión de Riesgo de TI| Unidad 1
3.2 Clasificación de los riesgos según la causa que los origina Según la causa que los originan, los riesgos se pueden clasificar en internos y externos. Los riesgos internos son aquellos que se originan dentro de la organización. Por ejemplo: la probabilidad de que un sistema de información no pueda ser colocado en producción por un error en la catalogación de las versiones del aplicativo. Las fuentes internas de riesgos pueden ser tecnológicas, financieras, contractuales o legales, entre otras. Por ejemplo: cambios en las tecnologías, personal capacitado y actualizado, disponibilidad de las herramientas y recursos tecnológicos, administración de la información, fondos y presupuestos, políticas de gobierno, contratación y subcontratación, políticas de propiedad intelectual y derecho patrimonial, planificación de actividades, etc. Los riesgos externos son aquellos que se originan fuera de la organización. Por ejemplo: la probabilidad de que la aplicación web de venta de servicios de una organización no pueda ser accedida por los clientes por una falla en el hosting subcontratado. Las fuentes externas de riesgo varían de acuerdo con su probabilidad de ocurrencia. Por ejemplo: desastres naturales y ambientales, situaciones laborales (huelgas), cambios en las políticas reguladoras del mercado, de la contratación y de la subcontratación, intereses de los clientes y proveedores, etc.
Riesgos ocasionados por fuentes internas
Riesgos ocasionados por fuentes externas
Retraso en los tiempos de entrega de los proyectos de TI por ejecución de presupuestos. Fallas en los equipos de cómputo por falta de control preventivo. Ingreso de datos erróneos por falta de capacitación del personal. Ingreso de personal no autorizado a la instalaciones por falta de políticas en el control de acceso.
Pérdida de la conexión de las páginas web de la empresa por desconexión de hosting subcontratado. Pérdida de la continuidad en la prestación de servicios por sanciones regulatorias. Robo de información por el uso de spyware. Retraso en los tiempos de entrega de los aplicativos subcontratados.
Tabla 9. Ejemplos de riesgos según la causa que lo origina Fuente: Elaboración propia.
Universidad Cooperativa de Colombia
22
Gestión de Riesgo de TI| Unidad 1
3.3 Clasificación
de
los
riesgos
según
la
consecuencia e impacto Según la consecuencia o impacto, el riesgo puede clasificarse en bajo, medio y alto. Para poder clasificar los riesgos en esta categoría, la organización debe plantearse la pregunta ¿qué tan malo sería si ocurriera?, por cada riesgo analizado. Un riesgo se considera bajo cuando la consecuencia no perjudica los activos sensibles o tiene una baja pérdida financiera. Cuando el impacto de un riesgo es bajo, la organización puede decidir si actuar o aceptar el riesgo. Por su parte, un riesgo se clasifica como alto, cuando se requieren acciones correctivas inmediatas. En la tabla 10 se describen cada uno de ellos y se proveen ejemplificaciones.
Tipos de riesgo
Descripción
Ejemplo
Insignificante
La consecuencia no perjudica los activos sensibles o tiene una baja pérdida financiera Aunque se requieren acciones correctivas, estas pueden tomarse en un tiempo prudencial. Cuando se requieren acciones correctivas inmediatas
Falla en los equipos de respaldo sin contingencia.
Moderado Alto
Desactualización de las copias de respaldo. Falta de planes de contingencia para la continuidad del servicio.
Tabla 10. Clasificación de los riesgos según la consecuencia e impacto Fuente: Elaboración propia.
Es importante destacar que las clasificaciones que se realizan sobre el impacto o la consecuencia de un riesgo, es particular para cada organización y depende de sus intereses y necesidades de seguridad específicas.
Universidad Cooperativa de Colombia
23
Gestión de Riesgo de TI| Unidad 1
3.4 Clasificación
de
los
riesgos
según
la
probabilidad de ocurrencia Según la probabilidad de ocurrencia, los riesgos se pueden clasificar como probables e improbables. Un riesgo se considera probable cuando se espera que ocurra en la mayoría de las circunstancias y se considera improbable cuando puede ocurrir bajo circunstancias excepcionales Como se puede observar, en esta clasificación el riesgo siempre tendrá un espacio de ocurrencia que dependerá de las circunstancias detonadoras del mismo. En la tabla 11 se presentan algunos ejemplos de ambos tipos.
Riesgo
Ejemplo
Probable
Para una empresa de transporte de gases, el riesgo de explosión. Para un banco perder la conexión de los cajeros electrónicos.
Improbable Tabla 11. Ejemplos de riesgos según su probabilidad Fuente: elaboración propia
Una adecuada clasificación de los riesgos permitirá que la organización tome decisiones acertadas y en tiempo real sobre las medidas de seguridad que deben implementarse. Así mismo, permitirá reconocer el impacto de la ocurrencia de un riesgo y de acuerdo con su probabilidad, aprender sobre las medidas implementadas o sobre la necesidad de nuevos controles. Cuando la ocurrencia de un espacio de riesgo es probable y el impacto es alto, se deben planificar acciones concretas de mitigación, las cuales deben ser prioridad de la dirección de tecnologías de la información y en general de la estrategia organizacional. Nuevamente se debe tener en cuenta que la clasificación de probabilidad o improbabilidad depende de las amenazas a las que se encuentra expuesta cada organización.
Universidad Cooperativa de Colombia
Figura 12 - La intencionalidad formativa con el estudiante Fuente: Elaboración propia
24
Gestión de Riesgo de TI| Unidad 1
3.5 Clasificación de los riesgos según su espacio de ocurrencia Una última clasificación de los riesgos que se abordará en esta unidad es la planteada por Guerrero y Gomez (2010), en la cual se propone una subdivisión de los riesgos en los sistemas de información teniendo en cuenta el espacio en el que ocurre el riesgo. Es así como Guerrero y Gómez (2010) proponen los seis niveles de riesgos en los sistemas de información presentados en la tabla 12 y esquematizados en la figura 13. Nivel de riesgo
Definición
Acceso
“Este nivel de riesgo surge cuando personas autorizadas o no, tienen acceso a la información o a las funciones de procesamiento de los Sistemas de Información, con el fin de leer, modificar o eliminar la información o los segmentos de programación o con el fin de ingresar transacciones no autorizadas para que sean procesadas por los SI”. “Este nivel de riesgo surge cuando la información es ingresada a los SI de manera imprecisa, incompleta o más de una vez, ocasionando que las transacciones no puedan ser ejecutadas y/o que la información no sea correcta”. “Este nivel de riesgo surge cuando no se detectan, analizan y corrigen las transacciones rechazadas y/o pendientes, ocasionando que la información no se actualice correctamente o se pierda o que las transacciones no se ejecuten”. “Este nivel de riesgo surge cuando los procesos de los SI no garantizan el adecuado procesamiento de la información, ocasionando que las salidas esperadas no sean correctas, la información se pierda y los procesos subsecuentes fallen o se retarden”. “Este nivel de riesgo surge cuando la estructura organizativa no garantiza un adecuado ambiente para el procesamiento de la información y/o no define apropiados planes de continuidad del negocio, ocasionando que no existan procedimientos definidos y optimizados para el manejo de la información y de los SI, no se actualicen los SI y no se reaccione adecuadamente ante contingencias”. “Este nivel de riesgo surge cuando los programadores efectúan cambios incorrectos, no autorizados y/o no documentados en el software de aplicación, ocasionando pérdida de información, repetición de esfuerzo, inconsistencias en los procesos e inconformidad en los clientes y usuarios”.
Ingreso de información
Ítems rechazados o en suspenso
Procesamiento
Estructura organizativa
Cambio a los programas
Universidad Cooperativa de Colombia
25
Gestión de Riesgo de TI| Unidad 1 Tabla 12. Propuesta de niveles de riesgo en sistemas de información Fuente: tomado de Guerrero y Gómez (2010)
En esta clasificación se pueden observar riesgos relacionados con personal interno, personal externo y con el sistema de información y la infraestructura tecnológica que los soportan. En la tabla 13 se presenta una descripción de las posibles amenazas y vulnerabilidades asociadas con la propuesta de niveles de riesgo de Guerrero y Gómez (2010).
Figura 13. Propuesta de niveles Fuente: Guerrero y Gómez (2010)
de
riesgo
en
sistemas
de
información
Amenaza
Nivel de riesgo
Vulnerabilidad
Recurso asociado con la amenaza
Recurso asociado con la vulnerabilidad
Acceso de personal interno o externo a información sensible
Acceso
Falta de segregación de funciones en el sistema de información. Falta de controles en los campos que permiten el ingreso de información al sistema. Dispositivos de ingreso de datos desconfigurados. Falta de control en los equipos cliente y en el
Personal interno Personal externo
Sistema cliente Servidor Redes y telecomunicaciones. Sistema cliente Dispositivos automatizados de ingreso de datos.
Introducir información Ingreso de errónea en los información sistemas informáticos
Pérdida de información
Ítems rechazados o en suspenso
Universidad Cooperativa de Colombia
Personal interno Personal externo
Personal interno Personal externo
Sistema cliente Servidor
26
Gestión de Riesgo de TI| Unidad 1
servidor. Procesamiento inadecuado de la información
Procesamiento
Pérdida de la continuidad del servicio.
Estructura organizativa
Desconfiguración de los sistemas.
Cambio a los Programas
Falta de control en las funciones y procedimientos de los sistemas informáticos y las bases de datos. Falta de procedimientos y controles ante contingencias. Falta de procedimientos y controles relacionados con los cambios en los sistemas informáticos.
Sistema informático
Bases de datos Redes y telecomunicaciones. Sistema cliente Servidor Bases de datos
Personal interno
Personal interno
Personal interno
Personal interno
Tabla 13. Relación de los niveles de riesgos de Guerrero y Gómez (2010) con las amenazas y vulnerabilidades del sistema de información Fuente: elaboración propia
Así mismo, relacionando los niveles de riesgo propuestos con los criterios de la seguridad de la información (disponibilidad, integridad, confidencialidad y autenticidad), Guerrero y Gómez (2010), plantean la propuesta presentada en la figura 14. Recordemos los términos de disponibilidad, confidencialidad e integridad e introduzcamos el término autenticidad. Confidencialidad de la información: es aquella que permite garantizar que la información que se encuentra en los sistemas informáticos solo puede ser accedida por personal autorizado. Integridad de la información: es aquella que permite garantizar que la información que se encuentra en los sistemas informáticos se corresponde con la real. Disponibilidad de la información: es aquella que permite garantizar que la información que se encuentra en los sistemas informáticos esté a disposición de quienes tienen acceso y están autorizados para su uso. Autenticidad de la información: “Es la propiedad que permite que no haya duda de quién se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores” (Ministerio de Administraciones Públicas, 2012).
Universidad Cooperativa de Colombia
27
Gestión de Riesgo de TI| Unidad 1
Figura 14. Relación de los niveles de riesgo de Guerrero y Gómez (2010) con los criterios de seguridad de la información Fuente: elaboración propia
Resumen 1: Las clasificaciones de los riesgos ayudan a las organizaciones a la toma de decisiones, en la medida en que permiten detectar cuáles son los de mayor impacto y probabilidad para poder implementar las medidas de seguridad necesarias.
Resumen 2: La organización debe tomar la decisión de aceptar los riesgos residuales que quedan remanentes después de la aplicación de controles sobre los riesgos inherentes. No obstante, se debe tener precaución en la definición de dichos controles, ya que si no son adecuados, el impacto del riesgo residual será igual al del riesgo inherente.
Resumen 3: Las causas que originan los espacios de riesgo son diferentes y pueden ser clasificadas como internas o externas. En todos los casos, una adecuada clasificación de la probabilidad de ocurrencia y del impacto es necesaria para la implementación de salvaguardas adecuadas.
Universidad Cooperativa de Colombia
28
Gestión de Riesgo de TI| Unidad 1
Glosario Activos críticos: Son todos aquellos bienes materiales e inmateriales que al ser deteriorados, perdidos, divulgados sin autorización, etc., perjudican el patrimonio organizacional. Amenaza: “Condición del entorno organizacional relacionado con las tecnologías de información, que ante determinada circunstancia podría ser una fuente de desastre informático y afectar a los activos de la compañía” (Guerrero y Gómez, 2012). Caballo de Troya: Segmentos de programación en programas, fotografías, videos, documentos para que realicen actividades indeseadas en los sistemas informáticos. Los caballos de Troya pueden ser utilizados también como virus, gusanos o bombas lógicas. Cumplimiento: Conjunto de controles establecidos para garantizar una adecuada relación entre confianza y confiabilidad. Data diddling: Modificación de forma no autorizada de los datos para que los sistemas informáticos produzcan información falsa o errónea. Data Leakage: Consiste en el robo de información de los ficheros de una organización con fines de espionaje industrial o comercial. Delito informático: Figura delictiva, tipificada por la ley en la que haciendo uso de sistemas informáticos se atenta contra la integridad, la disponibilidad y la confidencialidad de los datos y contra los sistemas informáticos.
Universidad Cooperativa de Colombia
29
Gestión de Riesgo de TI| Unidad 1
Denial of service attack: Consiste en generar ataques a los servidores de los sistemas informáticos para que se interrumpan o suspendan temporal o indefinidamente los servicios prestados a los usuarios. Eavesdropping: Consiste en la intersección de líneas, bien sean de datos o telefónicas con el fin de capturar, modificar o eliminar datos de los sistemas informáticos. Fraude informático: Delito informático que se perpetra para obtener un beneficio de tipo económico o informacional. Keylogger: Consiste en el uso de malware para capturar información confidencial y enviarla a personas no autorizadas, a través de dispositivos de captura de pulsaciones del teclado. Malware: Código maligno o software malicioso utilizado para cometer un delito informático. Phishing: Este fraude está catalogado dentro de la Ingeniería Social y consiste en suplantar a una persona u organización para obtener información no autorizada. Riesgo: Es la probabilidad de que una amenaza se materialice a causa de una vulnerabilidad afectando los activos críticos de una organización. Riesgo inherente: Riesgo que se propicia por la naturaleza misma del sistema informático o de la organización. Riesgo residual: Es el riesgo remanente que resulta de la aplicación de medidas adecuadas de seguridad para los riesgos inherentes.
Salami:
Universidad Cooperativa de Colombia
30
Gestión de Riesgo de TI| Unidad 1
Redondeo de cifras para obtener ganancias de pequeñas cantidades de dinero por cada cuenta. Scavenging: Consiste en la recopilación de información residual de los sistemas informáticos para espionaje industrial o comercial. Spyware: Malware que captura y recopila información de los archivos de una organización para ser entregados a personal no autorizado. Trap doors: Consiste en la utilización de las puertas traseras de los sistemas operativos o sistemas informáticos, para acceder a información no autorizada o ejecutar transacciones indeseadas. Vulnerabilidad: “Situación generada por la falta de controles que permite concretar una amenaza, y el riesgo es la posibilidad que una amenaza se materialice y produzca un impacto en la organización” (Guerrero y Gómez, 2012).
Universidad Cooperativa de Colombia
31
Gestión de Riesgo de TI| Unidad 1
Bibliografía y Webgrafía AS/NZS 4360 (2004). Estándar australiano de administración de riesgos. Australia: Standards. Ernst y Young (2010). Seguridad de la información en un mundo sin fronteras. Recuperado de http://www.ey.com/Publication/vwLUAssets/Seguridad_de_la_informacion_en_un_mundo_sin_fronteras/$FILE /Seguridad_de_la_ informacion_en_un_mundo_sin_fronteras.pdf Ernst y Young (2012). Cambios en el panorama de los riesgos de TI. Recuperado de http://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectiv as_riesgos_TI.pdf Guerrero, M. y Gómez, L. (2010). Gestión de riesgos y controles en sistemas de información (Tesis de maestría). Bucaramanga: Universidad Industrial de Santander. Guerrero, M. y Gómez, L. (2012). Risk management and controls in information systems: from the learning to organizational transformation. Estudios Gerenciales, 28(125). Recuperado de http://zl.elsevier.es/es/revista/estudios-gerenciales-354/articulo/gestion-riesgos-controles-sistemasinformacion-90199780 Guerrero, M. y Gómez, L. (2011). Revisión de estándares y literatura de gestión de riesgos y controles en sistemas de información. Estudios Gerenciales, 27(121). http://www.icesi.edu.co/estudios_gerenciales/es/Consulta_de_ejemplares.php ISACA (2014). Marco de riesgos de TI. http://www.isaca.org/Knowledge-Center/Research/Documents/Risk-ITFramework_fmk_Spa_0610.pdf ITGI (2013). Information Risks: Whose Business Center/Research/Documents/info-risks-whose-business.pdf
Are
They?
http://www.isaca.org/Knowledge-
Ministerio de Administraciones Públicas (2012). MAGERIT. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid: Ministerio de Administraciones Públicas. Ross, R. (2008). Managing Risk from Information Systems. Recommendations of the National Institute of Standards and Technology. Gaithersburg: NIST Special Publication 800-39.
Universidad Cooperativa de Colombia
32
Gestión de Riesgo de TI| Unidad 1
Steinberg, R. (2001).Governance, Risk Management, and Compliance: It Can't Happen to Us--Avoiding Corporate Disaster While Driving Succes. Editorial Wiley. Westerman, G. (2007). Hunter, R. IT Risk: Turning Business Threats into Competitive. Editorial Harvard Business School Press.
Universidad Cooperativa de Colombia
33
Gestión de Riesgo de TI| Unidad 1
Créditos El curso Gestión de Riesgo de TI es propiedad de la Universidad Cooperativa de Colombia y hace parte de la Especialización en Docencia Universitaria. Algunas imágenes se relacionan con su respectiva fuente y otras fueron creadas por el autor de los contenidos, con el diseño posterior del equipo de producción. El contenido del curso está protegido por las leyes de derechos de autor que rigen al país. Este material tiene fines educativos.
Autor Marlene Lucila Guerrero Julio Decana de la Facultad de Ingenierías de la Universidad Cooperativa de Colombia, sede Bucaramanga, a cargo de los programa de Ingeniería de Sistemas, Ingeniería de Mercados, Maestría en Tecnologías de la información y las Comunicaciones y Maestría en Gestión de Tecnologías de la Información (modalidad virtual). Experiencia en procesos de acreditación de programas y registro calificado de programas nuevos y en renovación.
Marlene Lucila Guerrero Julio Autora del Curso
Experiencia en planeación académica, planeación estratégica, planeación y ejecución presupuestal y administración de personal.
Docente investigadora en las áreas de Informática Educativa, Gestión de riesgos y controles en sistemas de información, Gestión de tecnologías de la información y auditoría de sistemas. Miembro del grupo de investigación GITI de la Universidad Cooperativa de Colombia. Experiencia en la aplicación de pruebas de auditoría que permitan reconocer y evidenciar riesgos y en el establecimiento de controles pertinentes a los sistemas y tecnologías de la información a través de la experiencia adquirida en la utilización del estándar COBIT (Control Objectives for Information and realted Technology) y de la membresía honoraria de ISACA (Information System Audit and Control Association) así como de los lineamientos de la Organización Internacional del Trabajo OIT.
Universidad Cooperativa de Colombia
34
Gestión de Riesgo de TI| Unidad 1
Responsable Académico Marlene Lucia Guerrero Julio Decana – Facultad de Ingenierías Sede Bucaramanga
Ing. Lina María Torres Barreto Coordinadora Maestrías Ingenierías – Facultad de ingenierías
Universidad Cooperativa de Colombia
35
Gestión de Riesgo de TI| Unidad 1
Dirección General Dirección Nacional de Innovación y Tecnologías Educativas
Producción y Montaje Subdirección E-learning Angelica Ricaurte Avendaño Subdirectora Nacional E-Learning
Enry Doria Doria Especialista en Diseño Instruccional
Mauricio Escudero Restrepo Especialista en Producción
Carlos Gulfo Cabrales Programador
Daniel Morales Rojas Administrador de Plataforma
Mario Fernando Castaño Diseñador
Estefanía Peláez Muñoz Practicante E-Learning
Universidad Cooperativa de Colombia
36
Gestión de Riesgo de TI| Unidad 1
Primera versión. Septiembre de 2014. Derechos Reservados Esta obra es publicada bajo la licencia CreativeCommons. Reconocimiento-No Comercial-Compartir Igual 2.5 Colombia.
Universidad Cooperativa de Colombia
37