Identificación de Riesgos

Evaluación de Riesgos

volver

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.

• Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
• Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
• Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.

La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de lo anteriormente expuesto (1):

• "¿Qué puede ir mal?"
• "¿Con qué frecuencia puede ocurrir?"
• "¿Cuáles serían sus consecuencias?"
• "¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
• "¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?"
• "¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
• "¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"
• "¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
• "¿Se tiene control sobre las operaciones de los distintos sistemas?"
• "¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
• "¿A que se llama información confidencial y/o sensitiva?"
• "¿La información confidencial y sensitiva permanece así en los sistemas?"
• "¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"
• "¿A quien se le permite usar que recurso?"
• "¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
• "¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
• "¿Cómo se actuará si la seguridad es violada?"

Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:

Tipo de Riesgo	Factor
Robo de hardware	Alto
Robo de información	Alto
Vandalismo	Medio
Fallas en los equipos	Medio
Virus Informáticos	Medio
Equivocaciones	Medio
Accesos no autorizados	Medio
Fraude	Bajo
Fuego	Muy Bajo
Terremotos	Muy Bajo

Tabla 9.1 - Tipo de Riesgo-Factor

Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado.

Identificación de Amenazas

volver

Una vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta pueden influir en la organización es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco.

Se suele dividir las amenazas existentes según su ámbito de acción:

• Desastre del entorno (Seguridad Física).
• Amenazas del sistema (Seguridad Lógica).
• Amenazas en la red (Comunicaciones).
• Amenazas de personas (Insiders-Outsiders).

Se debería disponer de una lista de amenazas (actualizadas) para ayudar a los administradores de seguridad a identificar los distintos métodos, herramientas y técnicas de ataque que se pueden utilizar. Es importante que los Administradores actualicen constantemente sus conocimientos en esta área, ya que los nuevos métodos, herramientas y técnicas para sortear las medidas de seguridad evolucionan de forma continua.

En la siguiente sección se explica una metodología para definir una estrategia de seguridad informática que se puede utilizar para implementar directivas y controles de seguridad con el objeto de aminorar los posibles ataques y amenazas. Los métodos se pueden utilizar en todos los tipos de ataques a sistemas, independientemente de que sean intencionados, no intencionados o desastres naturales.

La metodología se basa en los distintos ejemplos (uno para cada tipo de amenaza) y contempla como hubiera ayudado una política de seguridad en caso de haber existido.

modelo de gestión de riesgp

Read More

PLAN DE MITIGACION

PLAN DE MITIGACION DE RIESGOS


Desarrollar un plan de administración de riesgos eficaz es una parte importante de cualquier proyecto, pero por desgracia a menudo es visto como algo que puede hacerse más adelante. Los problemas aparecen a menudo, y sin un plan bien desarrollado, incluso los pequeños problemas pueden convertirse en situaciones de emergencia. Existen diferentes tipos de administración de riesgos y diferentes usos que incluyen el cálculo del crédito, la determinación de cuánto debe durar la garantía en un producto y el cálculo de tarifas de un seguro. En este documento vamos a ver la administración de riesgos desde la perspectiva de la planificación de los eventos adversos.

PASOS

1
Entiende cómo funciona la administración de riesgos. El riesgo es el efecto (positivo o negativo) de un evento o serie de eventos que puede ocurrir en uno o varios lugares. Se calcula a partir de la probabilidad del evento convirtiéndolo en un problema y el impacto que tendría (Ver riesgo = Probabilidad X Impacto). Hay varios factores que deben ser identificados con el fin de analizar el riesgo, incluyendo:
Evento: ¿Qué podría pasar?

1. • 
   • Probabilidad: ¿Qué tan probable es que suceda?
     
     
   
   Impacto: ¿Qué tan malo será si pasa?
   Mitigación: ¿Cómo se puede reducir la probabilidad (y en qué medida)?
   Contingencia: ¿Cómo se puede reducir el impacto (y en qué medida)?
   Reducción = Mitigación X Contingencia
   Exposición = Riesgo–Reducción
   
   
2. 
   2
   Define tu proyecto. En este artículo, vamos a suponer que eres responsable de un sistema informático que proporciona información importante (pero no crítico para la vida) en alguna gran población. El ordenador principal de ese sistema es viejo y necesita ser reemplazado. Tu tarea es desarrollar un plan de administración de riesgos para la migración. Este será un modelo simplificado en el que el Riesgo y el Impacto se enlistan como alto, medio o bajo (que es muy común sobre todo en la administración de proyectos).
3. 
   

   
   

   
   
   3
   Busca la ayuda de los demás. Hagan una lluvia de ideas sobre los riesgos. Consigue varias personas juntas que estén familiarizadas con el proyecto y pídeles información sobre lo que podría suceder, cómo ayudar a prevenirlo y qué hacer si sucede. ¡Toma muchas notas! Necesitarás la ayuda de este importante período de sesiones varias veces durante los siguientes pasos. Trata de mantener una mente abierta acerca de las ideas. Pensar "Fuera de la caja" es bueno, pero mantén el control durante la sesión. Debes mantenerte concentrado y en el objetivo.
4. 
   4
   Identifica las consecuencias de cada riesgo. Desde la sesión de lluvia de ideas que reunió información acerca de lo que sucedería si los riesgos se materializan. Asocia cada riesgo con las consecuencias a las que llegaron durante esa sesión. Sé lo más específico posible con cada una. "El proyecto se atrasó" no es tan aceptable como "el proyecto se retrasará 13 días." Si hay un valor en dólares, enlístalo. Que simplemente diga "sobre el presupuesto" es muy general.
5. 

5
Elimina los problemas irrelevantes. Si te estás moviendo, por ejemplo, estás moviendo el sistema informático de una concesionaria de automóviles, pensar en amenazas como la guerra nuclear, una plaga pandémica o asteroides asesinos, son más o menos las cosas que interrumpirán el proyecto. No hay nada que puedas hacer para hacer un plan contra esas cosas o para disminuir el impacto. Es posible que quieras tenerlos en cuenta, pero no pongas ese tipo de cosas en tu plan de riesgos.
1. 
   6
   Enlista todos los elementos de riesgo identificados. No es necesario ponerlos en orden por el momento. Sólo tienes que enumerarlos uno por uno.
2. 
   7
   Asígnale probabilidades. Para cada elemento de riesgo en tu lista, determina si la probabilidad de que en realidad se materialice es Alta, Media o Baja. Si es absolutamente necesario usar números, entonces calcula la probabilidad en una escala de 0.00 a 1.00. 0.01 a 0.33 = Baja, 0.34 a 0.66 = Media, 0.67 a 1.00 = Alta.
   Nota: Si la probabilidad de que ocurra un evento es cero, entonces se eliminará de la consideración. No hay razón para considerar cosas que simplemente no puede suceder (un enfurecido T-Rex se come el equipo).
   
   
3. 
   8
   Asigna el impacto. En general, asigna el impacto como Alto, Medio o Bajo en base a unas pautas preestablecidas. Si es absolutamente necesario usar números, entonces averigua el impacto en una escala de 0.00 a 1.00 de la siguiente manera: 0.01 a 0.33 = Baja, 0.34 – 066 = Meda, 0.67 – 1.00 = Alta.
   Nota: Si el impacto de un evento es cero, no debe ser enlistado. No hay razón para considerar cosas que son irrelevantes, con independencia de la probabilidad (mi perro se comió la cena).
4. 
   9
   Determina el riesgo para el elemento. A menudo, se utiliza una tabla para esto. Si has usado los valores bajo, medio y alto de probabilidad e impacto, la tabla de arriba es más útil. Si has usado los valores numéricos, será necesario considerar un sistema de clasificación más compleja poco similar a la segunda tabla. Es importante tener en cuenta que no hay una fórmula universal para la combinación de probabilidad e impacto, puede variar entre las personas y proyectos. Esto es sólo un ejemplo (aunque de la vida real):Sé flexible en el análisis. A veces puede ser conveniente alternar entre las denominaciones BMA y las designaciones numéricas. Puedes usar una tabla similar a la de abajo.
   
5. 
   10
   Clasifica los riesgos: Lista todos los elementos que se han identificado en el riesgo más alto al más bajo.
6. 
   11
   Calcula el riesgo total: Aquí es donde los números te ayudará. En la tabla 6, que tiene 7 riesgos asignados como A, A, M, M, M, B, and B. Esto puede traducirse en 0.8, 0.8, 0.5, 0.5, 0.5, 0.2 y 0.2, de la tabla 5. El promedio del riesgo total es entonces 0.5 y esto se traduce en medio.
7. 
   12
   Desarrolla estrategias de mitigación. La mitigación está diseñada para reducir la probabilidad de que un riesgo se materialice. Normalmente sólo se hará por elementos de riesgo alto y medio. Es posible que desees mitigar los elementos de bajo riesgo, pero sin duda hacerle frente a los otros primero. Por ejemplo, si uno de los elementos de riesgo es que podría haber un retraso en la entrega de las zonas críticas, es posible mitigar el riesgo ordenándolas al principio del proyecto.
8. 
   13
   Desarrolla planes de contingencia. La contingencia está diseñada para reducir el impacto si el riesgo se materializa. Una vez más, lo normal es que sólo se desarrolle la contingencia para los elementos de riesgo alto y medio. Por ejemplo, si las partes fundamentales que necesitas no llegan a tiempo, es posible que tengas que usar las piezas viejas existentes mientras esperas las nuevas.
9. 
   14
   Analiza la efectividad de las estrategias. ¿Cuánto has reducido la probabilidad y el impacto? Evalúa tu contingencia y las estrategias de mitigación y reasigna las valoraciones eficaces a tus riesgos.
10. 
    15
    Calcula el riesgo eficaz. Ahora tus 7 riesgos son M, M, M, B, B, B and B, que se traduce en 0.5, 0.5, 0.5, 0.2, 0.2, 0.2 y 0.2. Esto te da un riesgo promedio de 0.329. En cuanto a la tabla 5, se observa que el riesgo general es ahora clasificado como bajo. Originalmente, el riesgo fue medio (0.5). Después de añadir las estrategias de gestión, tu exposición es baja (0.329). Eso significa que has logrado una reducción del 34.2% en el riesgo por medio de mitigación y contingencia. ¡No está mal!
11. 16
    Monitorea tus riesgos. Ahora que sabes cuáles son tus riesgos, es necesario determinar cómo sabrás si se materializan para saber cuándo y si debes poner tus contingencias en su lugar. Esto se realiza mediante la identificación de pistas de riesgo. Haz esto para cada uno de los elementos de riesgo alto y medio. Entonces, conforme el proyecto avanza, podrás determinar si un elemento de riesgo se ha convertido en un problema. Si no sabes estas señales, es muy posible que el riesgo pueda materializarse en silencio y afectar el proyecto, incluso si tienes buenas contingencias en su lugar.
    
    

Video

Consejos
El plan de cambio. La gestión de riesgos es un proceso fluido ya que los riesgos siempre están cambiando. Hoy en día, es posible asignar un cierto riesgo con una alta probabilidad y alto impacto. Mañana, la probabilidad o el impacto podrían cambiar. Además, algunos riesgos pueden perderse por completo fuera de la tabla, mientras que otros pueden entrar en juego.
Siempre investiga. ¿Qué has echado de menos? ¿Qué cosas podrían suceder que no has considerado? Esta es una de las cosas más difíciles de hacer, y uno de las más críticas. Haz una lista y revísala continuamente.
Usa una hoja de cálculo para realizar un seguimiento del plan de riesgos de forma permanente. Los riesgos cambian, los riesgos viejos pueden desaparecer y entrar nuevos riesgos en los debas enfocarte.
Parte de un buen plan de contingencia es una señal de alerta temprana. Si hay un resultado de alguna prueba que te dirá si necesitas adoptar tu plan de contingencia, asegúrate de agilizar los resultados de la misma. Si no hay una buena señal de advertencia, trata de diseñar una.
Puedes usar la exposición para ayudar a determinar si quieres hacer realidad el proyecto. Si la estimación total del proyecto es de $1,000,000 y tu exposición es de 0.329, la regla general es que hay un potencial de 329.000 dólares en el presupuesto. ¿Puedes presupuestar el dinero extra por si acaso? Si no es así, es posible que quieras volver a reconsiderar el alcance del proyecto.
Reducción = Riesgo – Exposición. En este ejemplo (y suponiendo una estimación de $1,000,000 del proyecto) el riesgo es 0.5 X $1,000,000 ($500,000) y tu exposición es 0.329 X $1,000,000 ($329.000), lo que significa que el valor de tu reducción es = $171,000. Usa esto como una indicación de cuánto puedes gastar razonablemente sobre la gestión de los riesgos, que debe ser parte de la estimación revisada del proyecto (como un seguro).
En situaciones en las que el director del proyecto puede llegar a sobrecargase con la función de gestión de riesgos, el análisis podría limitarse al camino crítico del proyecto. En ese caso, es conveniente calcular varios caminos críticos con el tiempo de atraso adicional para identificar de manera más proactiva las tareas que pueden aterrizar en el camino crítica. Esto es especialmente apropiado cuando un solo director está controlando múltiples proyectos. La gestión de riesgos debe ser considerada como una parte del proyecto, pero sin opacar el resto de las funciones de planificación y control (mira las advertencias).
Si eres un gerente de proyectos sin experiencia, o el proyecto es pequeño, considera ahorrarte tiempo saltándote los pasos que no aplican o que tienen poco impacto en el proyecto; pasa por alto la probabilidad oficial y la evaluación de impactos, haz el "cálculo mental" y sáltate inmediatamente a mirar la gravedad. Por ejemplo, si tienes que hacer el mantenimiento de un circuito eléctrico y la actividad derribará el servidor, es "más arriesgado" mover el servidor a un nuevo circuito antes del mantenimiento o esperar a que el mantenimiento se termine para poner la máquina en línea de nuevo. En cualquier caso, el servidor se caerá, pero puedes simplemente identificar qué actividad representa el menor riesgo para el proyecto

PLAN DE MITIGACION DE RIESGOS

Read More