RIESGO

 

 

Riesgo tecnológico

Definiciones y origen.

Definición:

El Riesgo Tecnológico es la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de Información que el Instituto dispone para prestar sus servicios.

También se puede decir que es la contingencia de que la interrupción, alteración, o falla de la infraestructura de TI (tecnológica de la información), sistemas de información, bases de datos y procesos de TI, provoque pérdidas financieras a la institución.

 

Origen del riesgo tecnológico ¿Cómo nos afecta?

El riesgo tecnológico tiene su origen en el continuo incremento de herramientas y aplicaciones tecnológicas que no cuentan con una gestión adecuada de seguridad. Su incursión en las organizaciones se debe a que la tecnología está siendo fin y medio de ataques debido a vulnerabilidades existentes por medidas de protección inapropiadas y por su constante cambio, factores que hacen cada vez más difícil mantener actualizadas esas medidas de seguridad.

Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnología, que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se exponen las organizaciones.

El riesgo tecnológico puede verse desde tres aspectos,

1.    a nivel de la infraestructura tecnológica (hardware o nivel físico),

2.    a nivel lógico (riesgos asociados a software, sistemas de información e información)

3.     y por último los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor humano.

Si se revisan las definiciones de las metas, objetivos, visión o misión de las organizaciones, estás no se fundamentan en términos técnicos o con relación a la tecnología. Sin embargo, al analizar de forma profunda y minuciosa este tipo de planteamientos gerenciales, se encuentra que su aplicación trae como base el desempeño de una infraestructura tecnológica que permita darle consecución a dichas cualidades. Por ello, el cumplimiento correspondiente con la prestación de los servicios y desarrollo de los productos ofrecidos por la empresa, el mantenimiento de la actividad operativa e incluso la continuidad del negocio, dependen del cuidado y conservación que se tenga de la base tecnológica y por supuesto, del personal que la opera.

Medidas de aseguramiento ante el riesgo tecnológico

Hablar de controles y medidas que permitan a las organizaciones contrarrestar este tipo de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su mitigación. El aseguramiento puede realizarse desde los tres niveles antes mencionados.

En el nivel físico, las medidas a tomar son de carácter técnico o de seguridad informática, referidas a la aplicación de procedimientos de control y barreras físicas ante amenazas para prevenir daño o acceso no autorizado a recursos e información confidencial que sea guardada en la infraestructura física. Dentro de éstas se encuentran:

• Controles de acceso físico, que pueden incluir el uso de sistemas biométricos y vigilantes para acceso en áreas específicas.
• Manejo de tokens o tarjetas de identificación.
• Controles a nivel de equipos, tales como ubicación y protección, seguridad en cableado o mantenimiento periódico de equipos.
• Servicios básicos (energía, agua y alcantarillado, entre otros) de soporte para continuidad.
• Gestión de medios de almacenamiento removible.
• Controles de vulnerabilidades técnicas, entre otros.

En el nivel lógico, las medidas a tomar se dan con respecto al uso de software y sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la información por parte de los usuarios a través de los procedimientos correctos. Como parte de estas medidas se pueden tomar:

• Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para acceso a aplicaciones y gestión de contraseñas.
• Controles de acceso a la red interna y externa, segregación en redes y controles para asegurar servicios de la red.
• Controles a nivel de teletrabajo y equipos móviles.
• Soluciones de protección contra malware.
• Respaldos de bases de datos e información crítica.
• Protocolos para intercambio de información y cifrado de información.
• Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
• Limitación en tiempos de conexión a aplicativos y cierres de sesión por inactividad.
• Gestión de control de cambios, entre otros.

El tercer nivel y el más crítico dentro de las organizaciones, dada su naturaleza impredecible, es el personal o recurso humano. Las medidas a este nivel deberían ser más procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden incluir:

• Definición de políticas de seguridad que presenten las correspondientes violaciones con el fin de dar cumplimiento.
• Controles relacionados a acuerdos con terceros, prestación de servicios que se puedan dar con éstos y segregación de funciones.
• Controles a nivel contratación de personal.
• Gestión antes, durante y después de la terminación de los contratos.
• Educación y capacitación continua en aspectos de seguridad.
• Procedimientos e instructivos para manejo de información.
• Políticas de escritorio y pantalla limpia.
• Cumplimiento de legislación aplicable, entre otros.

Organización para la administración del riesgo tecnológico

Políticas y procedimientos.

Las instituciones deberán establecer e implementar políticas procedimientos que les permitan realizar permanentemente una adecuada administración del riesgo tecnológico; entre ellas están:

 

a)    Infraestructura de TI, sistemas de información, bases de datos y servicios de TI;

     

      b)    Seguridad de tecnología de la información;

 

      c)    Continuidad de operaciones de tecnología de la información; y,

      d)    Procesamiento de información y tercerización.

 

Responsabilidad del Consejo de Administración

Es responsable de velar porque se implemente un adecuado funcionamiento y ejecución de la administración del riesgo tecnológico.  Para cumplir con lo indicado el Consejo como mínimo deberá:

a)    Aprobar las políticas y procedimientos a que se refiere el artículo anterior, el plan estratégico de TI, el plan de continuidad de operaciones de TI, así como conocer y resolver sobre las propuestas de actualización y autorizar las modificaciones respectivas;

 

b)    Conocer los reportes que le remita el Comité de Gestión de Riesgos sobre la exposición al riesgo tecnológico, los cambios sustanciales de tal exposición y su evolución en el tiempo, así como las medidas correctivas adoptadas; y,

 

c)    Conocer los reportes sobre el nivel de cumplimiento de las políticas y procedimientos aprobados, así como las propuestas sobre acciones a adoptar con relación a los incumplimientos. Asimismo, en caso de incumplimiento el Consejo deberá adoptar las medidas que correspondan, sin perjuicio de las sanciones legales que el caso amerite.

 

Comité de Gestión de Riesgos.

El Comité estará a cargo de la dirección de la administración del riesgo tecnológico, entre otros riesgos, para lo cual deberá encargarse de la implementación, adecuado funcionamiento y ejecución de las políticas y procedimientos aprobados para dicho propósito y tendrá las funciones siguientes:

 

a)    Proponer al Consejo, para su aprobación, las políticas y procedimientos para la administración del riesgo tecnológico, así como el plan estratégico de TI y el plan de continuidad de operaciones de TI;

 

b)    Proponer al Consejo el manual de administración del riesgo tecnológico y sus actualizaciones;

 

c)    Analizar las propuestas sobre actualización de las políticas, procedimientos, plan estratégico de TI, plan de continuidad de operaciones de TI y su plan de pruebas, y proponer al Consejo las actualizaciones que procedan;

 

d)    Definir la estrategia para la implementación de las políticas y procedimientos aprobados para la administración del riesgo tecnológico y su adecuado cumplimiento.

 

Unidad de Administración de Riesgos.

Apoyará al Comité en la administración del riesgo tecnológico, para lo cual tendrá las funciones siguientes:

 

a)    Proponer al Comité políticas y procedimientos para la administración del riesgo tecnológico, así como el plan estratégico de TI, el plan de continuidad de operaciones de TI y su plan de pruebas;

 

b)    Revisar, al menos anualmente y cuando la situación lo amerite, las políticas, los procedimientos, el plan estratégico de TI, y para los procesos críticos, el plan de continuidad de operaciones de TI y su plan de pruebas, y proponer su actualización al Comité, atendiendo los cambios en la estrategia o situación de la institución o cuando lo requiera la normativa;

 

c)    Monitorear la exposición al riesgo tecnológico y mantener registros históricos sobre dicho monitoreo, así como medir el riesgo tecnológico .

 

 

 

 

 

Modelo de Riesgo tecnológico.

Las entidades deben de tener una metodología de identificación y evaluación del riesgo tecnológico para determinar el grado en las amenazas potenciales que pueden materializarse tomando en cuenta el conjunto de activos.

Como una metodología, el manual recomienda el COBIT ;

 

COBIT (Control Objectives for Information and Related Technology)

 

El uso del marco de trabajo COBIT para el riesgo tecnológico, se basa en el principio de proporcionar la información que el Instituto requiere para lograr sus objetivos, su necesidad de administrar y controlar los recursos de TI y sus riesgos relacionados, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de Información.

 

 

 

 

El modelo de referencia COBIT se encuentra estructurado en:

 

1.     Requerimientos de Información

·         Efectividad. Se refiere a que la Información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.

 

·          Eficiencia. Se refiere a la provisión de Información a través de la utilización óptima (más productiva y económica) de recursos.

 

·          Confidencialidad. Se refiere a la protección de Información sensible contra divulgación no autorizada.

 

 

·         Integridad. Se refiere a la precisión y suficiencia de la Información, así como a su validez de acuerdo con los valores y expectativas de la organización.

 

·          Disponibilidad. Se refiere a la disponibilidad de la Información cuando ésta

es requerida. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

 

·         Cumplimiento. Se refiere al ejercicio de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocio está sujeto.

 

·         Confiabilidad. Se refiere a la provisión de Información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y cumplimiento.

 

2.    Recursos de TI

·          Aplicaciones. Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan Información.

 

·          Información. Son los datos en todas sus formas de entrada, procesados y generados por los sistemas de Información, en cualquier forma en que son

utilizados por el negocio.

 

·          Infraestructura. Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

 

·         Gente. Es el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas .

 

 

·         Servicios de Información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

 

 

3.    Procesos de TI

·         Dominios

·          Procesos

 

 

Criterios de evaluación, impacto y aceptación de riesgos

 

Identificación de riesgos

 

El levantamiento de riesgos se basa en la aplicación de cuestionarios y entrevistas, revisión de documentos del Instituto, reportes de auditoría o análisis previos.

 

Identificar dentro de la gestión de Riesgo Tecnológico, consiste en ubicar los activos a evaluar y determinar sus amenazas y vulnerabilidades. Así al tener identificados los activos, amenazas y vulnerabilidades llegamos a lo que es un riesgo tecnológico el cual se define como el potencial de que dada una amenaza, explote una vulnerabilidad en un activo o grupo de activos para causar pérdidas o daños a esos activos.

 

Riesgo = Activo * Amenaza * Vulnerabilidad

 

 

 

1.    Identificación de Activos

Se denominan activos, a los recursos de Tecnología de Información necesarios para que el Instituto funcione correctamente.

 

El activo esencial es la Información que maneja el sistema, y alrededor de estos datos se pueden identificar otros activos relevantes como:

 

·         Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.

·         Las aplicaciones informáticas (Software) que permiten manejar los datos.

·         Los equipos informáticos (Hardware) y que permiten hospedar datos, aplicaciones y servicios.

·         Interfases entre los sistemas.

·         Dispositivos de almacenamiento de datos.

·         Las redes de comunicaciones que permiten intercambiar datos.

·         Las instalaciones donde residen los equipos informáticos y de comunicaciones.

·         Las personas que explotan u operan todos los elementos .

 

 

2.    Identificación de Amenazas

 

Una amenaza, es un agente o circunstancia capaz de explotar accidentalmente o intencionalmente una vulnerabilidad. No todas las amenazas afectan a todos los activos, sin embargo existe cierta relación entre el tipo de activo y lo que le podría ocurrir.

 

Es importante considerar todas aquellas fuentes de amenaza que pueden causar daño tecnológico, como pueden ser:

 

·         Naturales: Inundación, terremotos, tornados, huracanes, derrumbes, tormentas eléctricas, etc.

·         Humanas: Acontecimientos causados por seres humanos sin intención (entrada incorrecta de datos) o acciones deliberadas (ataques contra la seguridad, infección de virus, acceso no autorizado a Información confidencial)

·         Ambientales: Contaminación, apagones, entre otros.

 

3.    Identificación de vulnerabilidades

 

Consiste en determinar las vulnerabilidades que pueden ser explotadas por las amenazas y recopilar la Información necesaria que permita la identificación de las vulnerabilidades que son aplicables para la tecnología que estamos evaluando.

 

Una vulnerabilidad es un defecto o una debilidad en procedimientos de seguridad, deficiencia en diseño o implementación de controles internos que podrían ser explotados y que resulte en una apertura de la seguridad.

 

La identificación de vulnerabilidades puede ser principalmente:

·         Desarrollar una lista de requerimientos de seguridad

·         Realizar pruebas de seguridad de los sistemas

·         Preguntarse qué puede pasar si el evento ocurre

 

Evaluación de riesgos

 

La evaluación de riesgos se basa en la medición del impacto y la frecuencia que se determinan en función de escenarios o criterios de categorización; es decir, clasificar el riesgo según su grado de afectación y estimación de la periodicidad de ocurrencia dentro de un proceso para un área. Es una medición subjetiva dado a que se especifica con base a la experiencia y sensibilidad que tenga el responsable del proceso en su área por lo que no es un método totalmente acertado.

 

Para trabajar bajo este enfoque cualitativo, se toma como herramienta de autoevaluación que consiste en identificar los riesgos a través del mapa de procesos, evaluación de control existente, determinación de puntos de mejora que se debe realizar y definición de Indicadores.

 

La finalidad del enfoque cualitativo, permite detectar fortalezas y debilidades del ambiente tecnológico y sus potenciales riesgos a los que el Instituto está expuesto.

 

 

 

 

 

 

Determinación de frecuencia

Para determinar la probabilidad de que una vulnerabilidad potencial que puede ser ejercida, se tienen que tomar en cuenta los factores como la motivación o la capacidad de la fuente de la amenaza, así como, la naturaleza de la vulnerabilidad.

 

Determinación de Impacto

 

Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza.

 

Para determinar el impacto se toman en cuenta diferentes factores, en los cuales la tecnología de Información puede ser afectada como:

 

·         Pérdida de confidencialidad: se refiere a la falta de aseguramiento de que la Información es accesible sólo para aquellos autorizados a tener acceso.

·         Pérdida de integridad: se refiere a la falta mantenimiento de la exactitud y completitud de la Información y sus métodos de proceso.

·         Pérdida de disponibilidad: se refiere a la falta de acceso y utilización de la Información y los sistemas cuando se requieran.

Mapa de riesgos tecnológicos

 

De acuerdo a la categorización del riesgo por su impacto y frecuencia, se pueden graficar los riesgos para identificar aquellos que son inherentes del Instituto al usar tecnología.

 

El mapa de riesgos es uno de los medios que permiten identificar factores de riesgos y cuantificación de frecuencias e impactos (cualitativamente) a través de un consenso de grupos de trabajo, entrevistas, cuestionarios y evaluaciones independientes, aprovechando la estadística disponible por incidencias o de lo contrario la experiencia

 

de los responsables de cada área sustantiva o de apoyo y soporte, se jerarquizan los riesgos del Instituto, determinando un punto de partida para desarrollar un marco completo para la administración del riesgo tecnológico. Cada cuadrante localizado en la gráfica permite visualizar el nivel de exposición que se tiene por cada una de los riesgos.

Análisis de controles

 

Los controles son las medidas utilizadas para prevenir o reducir el impacto de eventos no deseados, los métodos de control pueden ser técnicos (hardware, software) o no técnicos (políticas de seguridad, procedimientos administrativos y operacionales, seguridad física).

Los controles por su naturaleza pueden ser clasificados en:

 

·         Preventivo: son los que actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia, y constituyen la primera línea de defensa. También actúan para reducir la acción de los agentes generadores de riesgos.

·         Defectivo: son los que se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas.

·         Correctivo: son los que permiten el restablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia.

·         Manual: son los ejecutados por personas.

·         Automatizado: son los ejecutados por sistemas de Información.

 

 

Determinación del riesgo residual y niveles de tolerancia.

 

Para determinar el riesgo residual se hace la ponderación de riesgos y controles en base a los criterios establecidos anteriormente. El riesgo residual es el resultado de la operación:

Riesgo residual = Riesgo Absoluto – Controles.

En base al resultado del riesgo residual se establecen los niveles de tolerancia de los riesgos, clasificándolos como:

– “Aceptable” cuando el riesgo residual es menor o igual a 1.

– “Tolerable” cuando el riesgo residual es mayor a 1 y menor a 3.

– “Por arriba de la tolerancia” cuando el resultado es mayor o igual a 3.

 

 

 

 

FUENTE:

 

 

Manual normativo de riesgo tecnológico.

Reglamento de la administración de riesgo tecnológico.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

---

 

 

 

 

---