Tema 7 Recuperacion Desastres Tecmilenio

.1 Análisis de Riesgos

Primero definamos los siguientes términos que estaremos utilizando en el transcurso del curso:

• Vulnerabilidad: Es la debilidad de un sistema o proceso.

• Amenaza: Aquello que provoca el riesgo y está relacionado con frecuencia.

Por ejemplo: la amenaza de ser alcanzado por un rayo es de 1 en 600,000. En un día soleado no tienes de que preocuparte, pero en un día lluvioso con tormenta eléctrica y un paraguas te haces más vulnerable a este riesgo, y se ha incrementado el riesgo de que la amenaza se cumpla.

Existen muchas definiciones de riesgo pero aquí emplearemos la de ISO: riesgo es “El potencial de que una amenaza determinada explota las vulnerabilidades de un activo o grupo de activos ocasionando pérdida o daño a la organización”.

Las amenazas pueden ser operacionales, financieras, del entorno, etcétera. pero independientemente de su naturaleza, el objetivo será proteger la confidencialidad, integridad y disponibilidad de la información y de nuestros recursos.

En la identificación de activos se debe incluir:

• Hardware.

• Software.

• Empleados.

• Servicios.

• Imagen/Reputación.

• Documentos (en papel y digitales).

7.2 Evaluación y tratamiento de riesgos

El proceso de administración de riesgos se compone básicamente de 3 fases. La primera es el análisis de los riesgos en donde se inicia identificando los activos del negocio, sus objetivos y los recursos necesarios para el logro de estos objetivos. El análisis de riesgos se enfoca a detectar cuáles son los activos críticos para lograr los objetivos.

Una vez identificados los activos críticos, se procede a realizar una evaluación de esos riesgos identificando primeramente las amenazas potenciales para cada uno de los activos. Adicionalmente, se evalúa la probabilidad de que el evento ocurra y en caso de ocurrir, estimar cuál sería el impacto en nuestra empresa.

Los riesgos más comunes provienen de:

• Amenazas físicas y robos.

• Errores humanos.

• Errores en las aplicaciones.

• Fallas en los equipos.

• Problemas del medio ambiente (fallas de corriente eléctrica por ejemplo).

• Software malicioso (virus, spywares, etcétera).

Identificado lo anterior, se procede a definir controles que permitan mitigar los riesgos a un nivel aceptable por la alta dirección. Estos controles tienen como propósito reducir la probabilidad de ocurrencia de una amenaza y así detectarla de manera oportuna.

La evaluación de riesgos debe identificar y cuantificar los mismos contra los niveles de éstos aceptados por la empresa. Con lo anterior se puede determinar la acción apropiada para cada uno de ellos.

Las probables alternativas son:

• Aceptar el riesgo. Cuando la administración decide que el beneficio es mayor que el riesgo. Por ejemplo, al decidir instalar un sitio de comercio electrónico; una estrategia de este tipo implica riesgos, pero estos son superados por los beneficios económicos que la estrategia generará.

• Reducirlo. Por ejemplo, instalar un firewall que minimice la probabilidad de intrusos.

• Transferirlo. Adquiriendo un seguro para proteger los activos.

• Rechazarlo. Significa simplemente no hacer nada ni tomar medidas preventivas esperando que el riesgo no se presente.

La implementación de estos controles conlleva un costo. Por tal motivo, será necesario realizar un análisis costo beneficio para mitigar los riesgos. La inversión en estos controles se basa en el costo del control comparado con el beneficio y de la cantidad de tolerancia a riesgos que establezca la alta gerencia.

Algunas de las consecuencias de los riesgos que se deberán evaluar incluyen:

• Pérdidas financieras.

• Pérdidas de imagen.

• Lesiones a clientes y/o trabajadores.

• Pérdida de oportunidades de negocio.

• Incumplimiento de leyes.

Se recomienda formar un equipo de análisis de riesgos formado por personal de diferentes niveles de la organización y de departamentos para realizar el análisis.

La evaluación de riesgos se debe realizar de una forma periódica para poder enfrentar el entorno, requerimientos de seguridad y situaciones de riesgo cuando se presenten cambios significativos.

El alcance de una evaluación de riesgos puede comprender sólo algunos sistemas hasta toda la organización.

Se debe tener en cuenta que ningún tipo de control podrá proveer una seguridad total; sin embargo, pueden reducir en gran medida los efectos en nuestra empresa.

7.3 Técnicas de evaluación de riesgos

Existen muchas técnicas y metodologías para la evaluación de riesgos. Desde procedimientos manuales hasta aplicaciones computacionales complejas y eficientes. En estas metodologías podemos utilizar diferentes tipos de clasificaciones. Algunas clasificaciones pueden ser muy sencillas, como por ejemplo, tomar cada riesgo y clasificarlo como alto, medio o bajo basándose en el simple juicio; pero también pueden realizarse cálculos complejos y científicos para dar una clasificación numérica al riesgo.

El análisis de riesgos se basa principalmente en 2 técnicas o métodos:

• Cuantitativo: Este método trata básicamente con números. Principalmente monetarios. Se trata de asignar un costo a los elementos del análisis de riesgos. (activos y riesgos).

• Cualitativo: Asigna un rango de valores no monetarios a los riesgos. Se basa en la intuición y experiencia.

Análisis cuantitativo

Para realizar un análisis cuantitativo, se requiere cuantificar todos los elementos incluyendo el valor del activo, el impacto, la frecuencia y probabilidad de ocurrencia y el costo de la solución.

Los

...