Analisis De Riesgo

2. Revisar el plan de continuidad de la empresa.

Su plan de continuidad consiste en hacer copias diarias de la información en un sitio de Internet que está alojado en una computadora de la empresa.

1. Iniciación. Se establece la autoridad, los límites de la aplicación y los recursos financieros para el proyecto. Su objetivo es asegurar lo siguiente:

a. Patrocinador del proyecto.

b. Carta para asegurar responsabilidades y autoridad.

c. Alcance definido (geográfico, sitios, divisiones, departamentos, productos o clientes).

d. Objetivos de negocio específicos (factores críticos de éxito, directriz de la gerencia).

A su vez también se identifican las amenazas, las cuales se dividen en las siguientes categorías:

a. Estratégicas (planeación). Pobre estrategia de mercadeo, cambio en leyes, actitudes del consumidor.

b. Financieras (controles). Fraudes, mala administración de efectivo y crédito, etc.

c. Operacionales (error humano). Errores humanos, apatía, procedimientos equivocados, conflictos de comunicación, políticas, etc.

d. Comerciales (asociaciones). Pérdida de clientes o proveedores clave, fallas en la cadena de suministro, etc.

e. Técnicas (activos). Fallas de equipo, desastres naturales, destrucción, pérdida de uso, etc.

Como auditor de TI, te enfocarás en todas las funciones de TI de la organización y serás capaz de apoyar a los objetivos de la organización, ya que la planeación para la continuidad y la recuperación de desastres solamente será exitosa si está apoyada desde los niveles más altos a los más bajos.

2. Análisis del riesgo. Se documentan y se ponen prioridades de los riesgos actuales, incluyendo los desastres naturales y los errores provocados por la mano del hombre.

Como auditor de TI, debes de enfocarte en que el análisis de riesgo incluya los apartados necesarios donde se calculen los riesgos de algún suceso y que dañen toda la infraestructura informática.

3. Análisis del impacto en la organización (BIA). Se desarrolla un anteproyecto con los procesos de bajo nivel más representativos de la empresa, en donde se determina qué es necesario para sostener la operación de la organización.

Sin un BIA no existe el plan de continuidad, ya que tendrías solamente un plan de recuperación de desastres; recuerda que este análisis descubre la forma de trabajar y las vulnerabilidades de la organización.

Como auditor de TI, debes de asegurarte que toda la información recolectada con este análisis sea protegida y archivada con el nivel de seguridad más alto en la organización.

4. Creación de la estrategia. Se utiliza el análisis del riesgo y el análisis del impacto en la organización para formular una estrategia basada en los hechos y las evidencias encontradas; los procesos se clasifican en las siguientes categorías:

a. Procesos centrales. Son requeridos específicamente en la ruta crítica para la producción de ingresos.

b. Procesos de soporte. Están dirigidos para realizar acciones específicas.

c. Procesos discrecionales. Son todos los demás procesos que no son de soporte o centrales.

Como auditor de TI, debes de enfocarte en verificar que todos los procesos de la empresa estén reflejados en la estrategia, y que toda la información resultante de estos procesos sea almacenada adecuadamente dentro de la infraestructura de las TI.

5. Respuesta en la emergencia. Se integra la estrategia planeada con el encargado de la primera respuesta utilizando el sistema de comando de incidentes.

Debes de verificar que el plan de respuesta a los incidentes o emergencias refleje las acciones necesarias, para que toda la información de la empresa sea respaldada adecuadamente y que no se pierda información en caso de algún evento.

6. Creación del plan. Se crea y organiza un plan, incluyendo las asignaciones personales y procedimientos detallados.

En esta área verificarás que todos los departamentos de TI tengan asignados sus roles, y que los procesos estén detallados lo más específicamente posible para que no pueda haber confusiones al ejecutar el plan.

7. Entrenamiento y conciencia. Se le enseña a cada individuo los roles y las habilidades necesarias para aplicar todas las funciones de los planes de recuperación de desastres y de continuidad; a su vez se educa a la organización acerca de la existencia de los planes y las áreas de cobertura anticipada.

Se verificará que el entrenamiento sea el adecuado para el personal de TI y que toda la organización esté enterada de la planeación.

8. Mantenimiento y pruebas. Todos los individuos en la organización deben de practicar sus roles y acciones para ganar eficiencia, en caso de que sea necesario un cambio de control en el sistema se deberá actualizar toda la documentación.

Debes confirmar que el mantenimiento y las pruebas diseñadas cumplan con su objetivo, y de esta forma evalúen correctamente a los individuos que están a cargo de los procesos de la empresa.

9. Comunicación. La información de los procesos deben de fluir de manera eficaz y se debe de hacer llegar los datos necesarios a los individuos adecuados.

Como auditor de TI, debes revisar que todos los datos e información lleguen al destinatario final y que no haya ningún dato que sea corrompido en el proceso de flujo de la información.

Integración con otras organizaciones. Se integrará con los planes de negocios de socios, proveedores, clientes e incluso agencias gubernamentales.

Identificar los riesgos de la información.

13.1 Análisis de riesgos

La definición de riesgo según ISO es “potencial de que una amenaza determinada explota las vulnerabilidades de un activo o grupo de activos ocasionando pérdida o daño a la organización”.

El análisis de estos riesgos se basa en la detección de las amenazas, las cuales pueden ser operacionales, financieras, del entorno, etcétera. Pero independientemente de su naturaleza, el objetivo será proteger la confidencialidad, integridad y disponibilidad de la información y de la infraestructura de la organización.

En la identificación de activos se debe incluir:

• Hardware.

• Software.

• Empleados.

• Servicios.

• Imagen/Reputación.

• Documentos (en papel y digitales).

13.2 Estimación y tratamiento de riesgos

El proceso de administración de riesgos se compone básicamente de 3 fases. La primera es el análisis de los riesgos en la que se inicia identificando los activos del negocio, sus objetivos y los recursos necesarios para el logro de estos objetivos. El análisis de riesgos se enfoca a detectar cuáles son los activos críticos para lograr los objetivos.

Una vez identificados los activos críticos, la siguiente fase es realizar una evaluación de estos riesgos identificando las amenazas potenciales para cada uno de los activos. Adicionalmente, se evalúa la probabilidad de que el evento ocurra y en caso de ocurrir, cuál sería el impacto en la empresa.

Los riesgos más comunes provienen de:

• Amenazas físicas y robos.

• Errores humanos.

• Errores en las aplicaciones.

• Fallas en los equipos.

• Problemas del medio ambiente (fallas de corriente eléctrica por ejemplo).

• Software malicioso (virus, spywares, etcétera).

Una vez identificados los riesgos, la siguiente fase es definir los controles que puedan mitigar los riesgos a un nivel aceptable establecido por la alta dirección. Recuerda que los controles tienen como propósito reducir la probabilidad de ocurrencia de una amenaza y detectarla de manera oportuna.

A su vez, la evaluación de riesgos identificará y cuantificará esta probabilidad en comparación con los niveles que fueron establecidos por la organización, y de esta forma determinar la acción apropiada para cada uno de ellos.

Las probables alternativas son las siguientes:

• Aceptar el riesgo. Cuando la administración decide que el beneficio es mayor que el riesgo.

• Reducirlo. Aplicar acciones y métodos para minimizar la ocurrencia de las amenazas.

• Transferirlo. Adquiriendo un seguro para proteger los activos.

• Rechazarlo. No hacer nada ni tomar medidas preventivas esperando que el riesgo no se presente.

La inversión en estos controles se basa en el costo del control comparado con el beneficio y de la cantidad de tolerancia a riesgos que establezca la alta gerencia.

Algunas de las consecuencias de los riesgos que se deberán evaluar incluyen:

• Pérdidas financieras.

• Pérdidas de imagen.

• Lesiones a clientes y/o trabajadores.

• Pérdida de oportunidades de negocio.

• Incumplimiento de leyes.

Como auditor de sistemas de información debes de verificar que el análisis de riesgos contemple la infraestructura de tecnologías de información y que los procesos de administración de información estén a su vez contemplados. Recuerda que ningún tipo de control podrá proveer una seguridad total. Sin embargo, pueden reducir en gran medida los efectos en la organización.

13.3 Técnicas de evaluación de riesgos

Aunque existen muchas técnicas y métodos para realizar un análisis y que incluye desde procedimientos manuales hasta aplicaciones computacionales, el análisis de riesgos se basa principalmente en 2 técnicas o métodos:

• Cuantitativo: Este método trata básicamente con números. Principalmente monetarios. Se trata de asignar un costo a los elementos del análisis de riesgos. (Activos y riesgos).

• Cualitativo: Asigna un rango de valores no monetarios a los riesgos. Se basa en la intuición y experiencia.

Análisis cuantitativo

En este análisis se cuantifican todos los elementos incluyendo el valor del activo, el impacto, la frecuencia, la probabilidad de ocurrencia y el costo de la solución.

Análisis cualitativo

En el análisis cualitativo, no se pretende asignar valores monetarios a los componentes del análisis de riesgos. En este tipo de análisis se da un rango al riesgo de acuerdo a la sensibilidad del activo del mismo.

Generalmente se utiliza una escala como la siguiente:

• Bajo: se asigna a inconvenientes menores que pueden ser tolerados en un período de tiempo corto y que no provocarán ninguna pérdida económica.

• Medio: ocasiona algún daño a la empresa, puede resultar en publicidad negativa y ocasionar pérdidas económicas moderadas.

• Alto: provoca una fuerte pérdida de confianza en clientes, empleados y accionistas. Puede llegar a causar acciones legales y multas para la empresa que representen una pérdida económica significativa.

Se puede utilizar una combinación de técnicas, la decisión final de qué metodología o metodologías utilizar depende del responsable del análisis. Tu responsabilidad como auditor de sistemas de información es verificar que estos análisis estén realizados adecuadamente en toda la infraestructura de tecnologías de información y que representen los procesos de la organización.

13.4 Proceso de administración de riesgos

La administración de riesgos es el proceso de identificar debilidades y amenazas para los recursos o activos de la empresa utilizados para el logro de objetivos. En este proceso además, se establecerán qué medidas se tomarán para reducir hasta un nivel aceptable los riesgos.

La administración efectiva de riesgos inicia con un entendimiento claro del nivel de riesgos de la empresa, en este punto se impulsan los esfuerzos para administrar el riesgo. La administración de riesgos implica identificar, analizar, evaluar, tratar, monitorear y comunicar el impacto del riesgo sobre los activos de la empresa.

Una vez identificado el nivel aceptable de riesgo por la empresa y la exposición al mismo, se pueden establecer las estrategias para administrarlo y definir responsabilidades.

Las estrategias a seguir en el tratamiento de riesgos pueden ser:

• Transferirlo

• Rechazarlo

• Reducirlo

• Evitarlo

En este diagrama puedes ver el proceso de administración de riesgos:

13.5 Métodos de análisis de riesgos

Como ya se mencionó, todos los métodos de análisis de riesgos siguen el proceso de administración de riesgos y se clasifican en cuantitativos y cualitativos, dependiendo de la técnica de evaluación de riesgos utilizada.

Los métodos cualitativos utilizan categorías descriptivas para definir impactos o la probabilidad de ocurrencia, por lo que son los más utilizados y los más sencillos; se basan en listas de verificación y en clasificaciones subjetivas de riesgo.

Su desventaja es que no se trabaja con valores monetarios y carecen del rigor requerido para ser aceptados por contabilidad y administración.

Los métodos cuantitativos a diferencia de los cualitativos, utilizan valores numéricos para describir la probabilidad y los impactos de los riesgos, tomando la decisión de qué valores se asignan con base en registros históricos, experiencias pasadas, prácticas de la industria, pruebas o experimentos.

...