¿Por qué riesgos a nivel de TI?
TI soporta las operaciones de la empresa en tu totalidad.
Es una fuente de muchos posibles eventos inesperados o indeseados.
La gestión de riesgos de TI ayuda a identificar y mitigar la ocurrencia de dichos eventos a nivel de TI.
¿Quienes necesitan identificar riesgos en TI?
Seguridad de la Información
Confidencialidad
Se refiere al hecho de que sólo tienen acceso a la información de la red o que circulan por ella las personas autorizadas.
Nadie puede acceder a la información sin haber sido autorizado.
La identificación de los usuarios exige autenticación. Para mantener la información protegida de las personas ajenas a ella, es necesaria la encriptación, que se lleva a cabo con medios técnicos.
Integridad
Se refiere al hecho de que los métodos que gestionan la información garantizan un tratamiento sin errores de la misma.
La información no debe cambiar mientras se está transfiriendo o almacenando.
Nadie puede modificar el contenido de la información o los archivos y aún menos eliminarlos.
La combinación de autenticación e integridad garantiza que la información enviada llega a su destinatario exactamente en la misma forma en que se envió.
Disponibilidad
Se refiere al hecho de que los usuarios que necesitan la información y a quienes va dirigida dicha información siempre tienen acceso a ella.
Los métodos para garantizar la disponibilidad incluyen un control físico y técnico de las funciones de los sistemas de datos, así como la protección de los archivos, su correcto almacenamiento y la realización de copias de seguridad.
Control de acceso
Se refiere al hecho de que se restringe y se controla el acceso de los usuarios a la información de un computador.
El control del acceso verifica si el usuario tiene derecho a acceder al servicio y la información, lo que significa que sólo las personas autenticadas pueden obtener acceso.
Parte del control del acceso consiste en hacer un seguimiento de los usuarios. El sistema anota en un registro las acciones realizadas por los usuarios en el sistema.
El administrador del sistema tiene acceso a los registros y, en su caso, puede utilizarlos para encontrar incumplimientos intencionados o no intencionados de la seguridad de la información.
Autenticación
Se utiliza para asegurarse de que las partes involucradas son quienes dicen se.
Por ejemplo, en el comercio electrónico, al hacer trámites con las autoridades o en la comunicación entre personas, es especialmente importante saber quién es la otra parte.
Es necesario autenticar tanto el origen de las partes como la fuente de información.
Irrefutabilidad
Se refiere al hecho de que el remitente de la información no puede negar que la ha enviado y que forma parte de algún tipo de
acción.
Es una forma estricta de autenticación y se lleva a cabo mediante una firma electrónica.
Es un requisito previo indispensable para la realización de muchas acciones y servicios, como compras electrónicas a través de redes de datos.
Riesgos operacionales en TI
¿Qué es un riesgo?
Proviene del latín "risicare" que significa "atreverse"
Está relacionado con la posibilidad de que ocurra un evento que se traduzca en pérdidas.
El riesgo es producto de la incertidumbre que existe de algo a futuro que puede o no ocurrir ante lo cual debo estar protegido.
Evento de Riesgo
Ocasionado por una amenaza que ocasione una posible afectación.
Es un evento futuro, no ha ocurrido aún.
Ejemplo: Falla del centro de cómputo debido a un apagón.
- Amenaza: Apagón
- Evento: Falla en los equipos del CC
Probabilidad
Mide el nivel de certeza de que a futuro ocurra o vuelva a ocurrir el evento
Puede ser una percepción
- Alta / Media / Baja
Puede tener base histórica
- Estadística de casos ocurridos / Proyecciones
Puede considerar la posibilidad de que ocurra
- Estudios científicos
- Ciclos de ocurrencia del evento
Impacto
Mide el nivel de afectación en el bien / servicio / proceso en caso el evento ocurra.
Puede ser una percepción
- Alta / Media / Baja
Puede tener base histórica
- Registro de casos pasados
Riesgo
Es el nivel de exposición que existe en el momento de la evaluación
Combina la probabilidad y el impacto
Puede ser medido cualitativamente
- Percepción
Puede ser medido cuantitativamente
- Valores históricos
Control
Es una medida que existe o se planea implementar
Minimiza el nivel de riesgo
- Orientado a minimizar la probabilidad
- Orientado a minimizar el impacto
Pueden ser
- Procedimientos
- Dispositivos
Estadíos de medición del riesgo
Riesgo puro o inherente
- Sin controles existentes
Riesgo residual o controlado
- Con controles existentes
Riesgo residual deseado
- Con controles existentes
- Considerando también los controles sugeridos a implementar
Tratamiento del riesgo
Evitar
- Tratar de eliminar la causa raíz
Compartir
- Transferir el riesgo con un tercero
Reducir
- Implementar controles o mejorarlos
Aceptar
- No hacer nada
Tipos de controles
Por su nivel de automatización
- Manuales
- Automáticos
Por su tiempo de utilización
- Preventivos
- Detectivos
