La importancia de la gestión del riesgo tecnológico, Lic. Jesús Carranza Hernández

Antecedente El riesgo de origen tecnológico puede incidir sobre las metas y objetivos organizacionales y ser causa de otro tipo de riesgos al ser intrínseco al uso de tecnología. Por ello el daño, interrupción, alteración o falla derivada del uso de TI puede implicar pérdidas significativas en las organizaciones, pérdidas financieras, multas o acciones legales, afectación de la imagen de una organización y causar inconvenientes a nivel operativo y estratégico

Seguridad de la información Gestión de riesgos Gestión de riesgos: “El riesgo puede definirse como la incertidumbre del resultado, ya sea una oportunidad positiva o una amenaza negativa… requiere la identificación y control de la exposición a los riesgos que pueden tener un impacto en el logro de los objetivos de negocio de una organización”. (TSO, 2011, p. 363) “la posibilidad de un evento que ocurrirá, que tendrá un impacto en el logro de los objetivos. El riesgo se mide en términos de impacto y probabilidad Seguridad de la información “Preservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como autenticidad, responsabilidad, no repudio y confiabilidad también pueden estar involucrados”. (ISO, 2005, p. 2).

Metodologías y buenas prácticas La metodología se desarrolla para riesgo tecnológico dado que el aumento en el uso de tecnologías de la información puede posibilitar puntos de quiebre o fisuras en aspectos de seguridad con respecto a su utilización, por ello se presenta una forma de aseguramiento y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas organizacionales (factor humano) desde la perspectiva tecnológica. Como segunda parte se presenta una forma de integración de la metodología a la gestión de continuidad de negocios, como sustento al análisis de impacto sobre negocios y el desarrollo de estrategias en lo que respecta a procesos de base tecnológica.

Identificación y clasificación de riesgos Agenda Identificación y clasificación de riesgos Administracion de riesgos (Acercamiento) Pasos para minimizar el riesgo tecnológico en seguridad

Identificación y clasificación de riesgos Para determinar el grado de riesgo tecnológico del negocio, es necesario clasificar de acuerdo al nivel de afectación, los activos involucrados en la operación; y estimar la probabilidad de que dicho riesgo ocurra; para ello se hace una evaluación de los servicios, procesos y recursos críticos afectados tras cada evento de perdida ocurridos con anterioridad. A este proceso se le conoce como administración del riesgo. RIESGO ALTO VALOR DEL ACTIVO 3 2 RIESGO BAJO 1 REMOTO POSIBLE SEGURO PROBABILIDAD DE OCURRENCIA

Identificación y clasificación de riesgos Tomando como ejemplo la siguiente imagen, el numero 3 representara el activo de mayor valor y una probabilidad de ocurrencia alta o segura (de menos de 6 meses); se puede calificar el siguiente escenario con un grado de riesgo alto. Si por el contrario, el valor del activo es menor (Valor 1) y la probabilidad de ocurrencia es baja o muy baja (mas de 5 años), este escenario, es considerado como de riesgo BAJO. MEDIO ALTO ALTO 3 VALOR DEL ACTIVO MEDIO MEDIO ALTO 2 BAJO MEDIO MEDIO 1 REMOTO POSIBLE SEGURO PROBABILIDAD DE OCURRENCIA El impacto al valor de un activo, es directamente proporcional a la probabilidad de ocurrencia de un evento de perdida sobre dicho activo.

Activos manejados en la metodología

Identificación y clasificación de riesgos Consideraciones de acuerdo al tipo de riesgo. Bajo: Hay casos aislados o esporádicos que afectan la continuidad del negocio y a la atención de clientes, no hay indicios de que involucre fraudes, difícilmente un cliente revocaría su contrato y no implica multas o sanciones Medio: Hay afectación parcial a la continuidad del negocio, da oportunidad a casos aislados de fraude menor, impide el servicio de algún requerimiento de cliente que involucre casos aislados del fin de contrato y no es común que implique una multa o sanción. Alto: Existe incumplimiento regulatorio e implica impactos económicos y/o a la reputación de la empresa, que pueden derivar en fraudes, perdidas de un grupo significativo de clientes, multas o sanciones.

Identificación y clasificación de riesgos Salidas (informes) de la evaluación de riesgos: La principal salida del proceso de evaluación de riesgos, son dos graficas: Una tabla con el listado de componentes del negocio (servicios, procesos, sistemas) y su calificación de riesgo Un mapa del riesgo (Heat map); que es la representación grafica de los componentes del servicio, clasificados por su nivel de riesgo. De igual manera, se requiere definir el procedimiento y formato para la emisión y notificación de reportes de salida que muestren el estado actual y resultados del ejercicio de evaluación de riesgos a las partes interesadas.

Identificación y clasificación de riesgos Es necesario también que cada área de negocio defina y gestione una base de datos de eventos de perdida, con la finalidad de contar con registros históricos que sirvan para la elaboración de procedimientos de contingencia y la retroalimentación de los identificadores de riesgo.

Administracion de riesgos (Acercamiento) Las tareas comunes son: Establecer alcance y contexto del riesgo Diseñar estrategias de mitigación de riesgos Implementar estrategias Monitorear y medir resultados Alcance y contexto del riesgo: Entender los objetivos de la organización, estrategias y los llamados SWOTS (Fortaleza, debilidad, oportunidad y amenazas) para entender el riesgo y potencial

Administracion de riesgos (Acercamiento) Diseñar estrategias de mitigación de riesgos: Cuestionarios Comparativos de Industria Análisis de escenarios Rastreo de Resultados de eventos y análisis Es practico medir el impacto numéricamente del 1 al 3 Identificación de raíces Es el proceso de determinar la probabilidad y consecuencias de un evento. El proceso debe ser estructurado para asegurar que todas las actividades en la organización están consideradas y sus riesgos asociados

Administracion de riesgos (Acercamiento) La evaluación debe incluir factores cuantitativos como: Dólares, porcentajes, tiempo y numero de transacciones Así como factores cualitativos: Perdida de clientes, acciones reputación, confianza Uso de un Excel Definición de acciones El riesgo debe de llegar a un nivel que el beneficio potencial supera el costo de mitigación

Administracion de riesgos (Acercamiento) Implementación de estrategias: Administracion de riesgos es un proceso continuo que requiere liderazgo. Factores de éxito son: Determinar roles y responsabilidades para el comité (administración, auditoria, unidades de negocio) Definición de políticas y procedimientos Construcción de una cultura consiente de riesgos Definir políticas y procedimientos de respuesta a incidentes Diseñar métricas de desempeño y estructura de reportes

Administracion de riesgos (Acercamiento) Monitoreo Una efectiva administración de riesgos reportes y revisión de estructura para asegurar que los controles están operando efectivamente Puede ser apoyado por diversas áreas: Auditorias Internas Programas de gobierno y administración de riesgos Validaciones y verificaciones independientes Retroalimentación de terceros o clientes La junta directiva

Pasos para minimizar el riesgo tecnológico en seguridad 1. Identificar el riesgo, medir las probabilidades e impacto Una vez colectada la información las organizaciones deben identificar las áreas de preocupación y medir la probabilidad de ocurrencia e impacto en el negocio. Esto servirá para definir un plan de mitigación-. 2. Analizar las amenazas de seguridad Se deben identificar vulnerabilidades de seguridad. Esto incluye amenazas externas como ciber crimen y ciber terrorismo así como amenazas internas como la distribución de información restringida Las organizaciones

Pasos para minimizar el riesgo tecnológico en seguridad Las organizaciones deben checar la seguridad relacionada a las siguientes áreas: Acceso a sistemas y control Autenticación Autorización de transacciones Integridad de datos Seguimiento de auditorias Track o seguimiento de eventos de seguridad Manejo de excepciones Logs o bitácoras de actividad en sistemas

Pasos para minimizar el riesgo tecnológico en seguridad 3. Análisis de riesgos de hardware y software Se debe de considerar los riesgos de hardware y software. Que tan estable es? Cuales son las consecuencias potenciales de una falla? 4. Análisis de riesgos de Externos (outsourcing) Es muy común el apoyo de terceros, para temas de desarrollo, mantenimiento, red, DRP, hosting y Cloud . Es importante escoger proveedores cuidadosamente con el propósito de asegurar viabilidad, capacidad, confiabilidad y rastreo

Pasos para minimizar el riesgo tecnológico en seguridad 5. Identificación controlada de tecnología La adquisición y venta de tecnología debe de ser controlada, tanto por temas de seguridad como de control 6. medición de impacto Una vez medido el riesgo, el impacto potencial debe de ser medido Se debe de analizar el riesgo potencial 7.Rangos de posibles riesgos: Las decisiones no pueden ser tomadas exclusivamente basadas solamente en la tecnología, una vez que los riesgos han sido analizados la organización debe escoger la opción de administración que desea: Evitar el riesgo Transferir el riesgo Reducir el riesgo Retener el riesgo

Alineación de estándares ISO 31000 e ISO 27005 con modelo del ciclo de Demming

Proceso de gestión (ISO 27005)

Relación de principios y marcos de referencia ITIL v3 COBIT 5 ISO 27001 ISO 22301