Gestin de riesgos

Proyecto: Servicio de control de

inventarios

Contenido
1. INTRODUCCIN...............................................................................................
2. OBJETIVOS.......................................................................................................
3. DESARROLLO..................................................................................................
3.1 GENERALIDADES DEL SERVICIO.................................................................
3.2. IDENTIFICACIN DE ACTIVOS....................................................................
3.2. MATRIZ DE IDENTIFICACIN Y EVALUACIN RIESGOS...............................
3.3. USO DE LA HERRAMIENTA RIS2K.............................................................
3.3.1 Relacin de activos hijos con el activo padre.....................................
3.3.2 Funciones y mecanismos de salvaguarda.........................................
3.3.2 Relacin de activos, amenazas y funciones de salvaguarda.............
3.3.2 Reporte de niveles generales de riesgo.............................................
4. CONCLUSIONES.............................................................................................

1. INTRODUCCIN
Una adecuada administracin de TI, est directamente relacionada con una
adecuada gestin del riesgo, esto es identificar los riesgos, evaluarlos, disear e
implantar controles efectivos que permitan minimizar los riesgos. El objetivo
principal de toda rea de TI es entregar servicios con un alto valor agregado,
aumentar la eficiencia y minimizar los errores con un enfoque administrativo
consistente.
La administracin de los riesgos es un tema que compete a toda la organizacin,
iniciando por los altos ejecutivos quienes deben desarrollar un claro entendimiento
del nivel de riesgo que puede tolerar la organizacin, comprender la importancia del
cumplimiento de los controles y determinar las responsabilidades en su
administracin.
El presente trabajo tiene por objetivo realizar las actividades que requiere la gestin
de riesgos, para el caso de aplicacin Entrega de servicios de control de
inventarios con un sistema computacional. Desde el punto de vista metodolgico
se han seguido los lineamientos de la metodologa MAGERIT (Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin del Ministerio de las
Administraciones Pblicas de Espaa) y se ha utilizado el software Risk2K.

2. OBJETIVOS

Identificar las amenazas, vulnerabilidades y riesgos del sistema de control de

inventarios
Evaluar las vulnerabilidades e impactos
Disear los controles, en base a la identificacin de funciones y mecanismos
de salvaguarda

3. DESARROLLO
3.1 GENERALIDADES DEL SERVICIO

El servicio tiene por objetivo realizar el control de inventarios

mediante el uso de un sistema computacional.
El software fue adquirido a un proveedor local.
El software fue diseado para ejecutarse en la intranet de la
empresa, para atender los requerimientos de aproximadamente
40 usuario

3.2. IDENTIFICACIN DE ACTIVOS

El siguiente diagrama de dependencias representa los activos identificados

3
APLICATIVO
APLICATIVO

INFRAESTRUCTUR
BASE
INFRAESTRUCTUR
SERVIDOR
BASE
DE
SERVIDOR
DE
DATOS
DATOS
A FSICA
A FSICA

REDRED

PROVEER EL
SERVICIO DE
CONTROL DE

INVENTARIOS

APLICATIVO

BASE DE DATOS

RED

SERVIDOR

3.2. MATRIZ DE IDENTIFICACIN Y EVALUACIN RIESGOS

INFRAESTRUCTUR
A FSICA las amenazas que podran afectar a
Para el desarrollo de la matriz se identificaron
los activos del sistema, luego se identificaron las vulnerabilidades, entendindose
por vulnerabilidad a posibilidad de ocurrencia de la materializacin de una
amenaza sobre un activo, posteriormente se analiz el impacto; de este anlisis se
obtuvo una medida o valoracin del riesgo.
Para la cuantificacin de las vulnerabilidades e impactos se han considerado los
siguientes rangos:

Categora
Muy Alto
Alto
Medio
Bajo
Muy Bajo

Desde
81%
61%
41%
21%
1%

Hasta
100%
80%
60%
40%
20%

Activ
o

Amenazas

Bas
e

En la matriz se presentan las funciones y mecanismos de salvaguarda, nicamente

para los riesgos cuya cuantificacin es Muy alta y Alta.

Hackeo

Vulnerabilidades
Uso de versiones
vulnerables

Riesg
o

Funcin

Mec

MEDI
O

de Datos

Falta de control de
actualizaciones de la
BDD
Bugs desconocidos
Falta de control de
acceso
Falta de IDS (Detectan
posibles fallos, causas y
vulnerabilidades)
Falta de IPS (Igual que
IDS y adems detienen la
falla)
Falta de Firewall local
Falta de antivirus
Virus

ALTO
Virus
Fuga de
Informacin

Virus
Fuga de
Informacin
Fuga de
Informacin
Prdida de
Informacin
Fuga de
Informacin
Prdida de
Informacin
Prdida de
Informacin
Alteracin no
autorizada de
Datos

Antivirus no actualizado

Licencia de antivirus
expirados
Sistemas Operativos sin
actualizaciones
BAJO
Falta de acuerdos de
confidencialidad
Falta de polticas para el
manejo de informacin
Falta de polticas de
ALTO
obtencin y recuperacin
de respaldos de
informacin

1. La informacin de la 1. Clasific
Fundacin se
informaci
encuentra
organizac
adecuadamente
determina
organizada
confidenc
$1000)
2. Elabora
confidenc
$60)
3. Determ
que tiene
informaci
5

(1h, $30)

Falta de sincronismo con

la BDD de respaldo

Falta de polticas del uso

Prdida de
Informacin de claves
Alteracin no
autorizada de
Datos
Mala definicin de
perfiles de usuario

1. Desarro
document
manejo de
($500)
2. Capacit
responsab
utilizacin
($70)
1. Desarro
document
procedimi
obtencin
Contar con respaldos
($500)
de informacin que
2. Capacit
permitan recuperarnos responsab
MUY en caso de un siniestro obtencin
en base a
ALTO
procedimi
3. Contrat
de respald
La organizacin tiene
polticas claramente
definidas que
garantizan la
seguridad de la
informacin

Contar con bases de

datos sincronizadas

Errores no administrados

Alteracin no
autorizada de
Datos
Cadas del
Sistema
Operaciones que atenten
Cadas del
a la integridad de la BDD
Sistema
Rendimiento
Inadecuado
Manejo inadecuado de la
concurrencia

Contar con una base

de datos segura

ALTO Los responsables

administran sus claves
de acuerdo a la
polticas de la
institucin

1. Instalac
configurac
1. Contrat
externa pa
configurac
de datos (
2. Verifica
configurac
los niveles
requerido
Fundacin

Determina
y difundir
el uso de
$400)

1. Redefin
Los usuarios tienen
usuario (2
acceso, nicamente, a
2. Parame
las opciones que les
sistema co
corresponden
perfiles (2
6

Aplicativo
Servidores

Cadas del
Sistema
Rendimiento
Inadecuado
Caracterstica
s de
Hardware
insuficientes
para soportar
el sistema

Manejo inadecuado de
los recursos del sistema
Mala implementacin de
iteraciones
Mala implementacin de
funciones - bsquedas

BAJO

Hardware obsoleto
Recursos que son
demandados por los
usuarios
Dao de fbrica

Caracterstica
s de
Hardware
insuficientes
para soportar
el sistema
Dao Fsico
de los
Componentes

Caracterstica Tiempo de vida

s de
Falta de fuentes de poder
Hardware
redundantes
insuficientes
para soportar
el sistema
Dao Fsico
de los
Componentes
Dao Fsico
de los
Componentes
Robo
Carencia de un sistema
de seguridad
Dao Fsico
Incumplimiento de
de los
ordenanzas municipales
Componentes
(Cableado, Extintores,
Robo
tomas bomberos, etc.)
Desastres
Falta de protecciones de
Naturales
conexin a tierra y
pararrayos

MEDI
O

MEDI
O

1. Anlisis
infraestru
determina
ALTO
de misin
Contar con un stock
2. Compra
de repuestos, tanto de partes y e
partes como de
equipos.

Infraestructura

Desastres
Naturales
Suspensin o
Mal
Funcionamien
to de los
Servicios
Pblicos

Desastres
Naturales
Suspensin o
Mal
Funcionamien
to de los
Servicios
Pblicos

Sitio inadecuada del

centro de cmputo

Inexistencia de Unidades
de respaldo energtico
emergente
Falta de sistemas de
filtrado y regulacin de
energa
Falta de enlaces
emergentes

1. Disear
integral de
2. Contrat
Contar con un sistema instalacin
de seguridad que
configurac
ALTO garantice la integridad de segurid
de los activos
3. Compro
actividad
instalado
4. Capacit
comprome
Contar con las
instalaciones de
1. Disear
acuerdo a los
instalacion
estndares
de cmpu
Contar con un sistema los estnd
ALTO de suministro de
2. Pactar l
energa elctrica
instalacion
segn estndares
de datos
3. Reubica
El centro de cmputo
se encuentra ubicado cmputo
en un lugar seguro

3.3. USO DE LA HERRAMIENTA RIS2K

3.3.1 Relacin de activos hijos con el activo padre

3.3.2 Funciones y mecanismos de salvaguarda

3.3.2 Relacin de activos, amenazas y funciones de salvaguarda

3.3.2 Reporte de niveles generales de riesgo

10

4. CONCLUSIONES

La administracin del riesgo en un ambiente de tecnologas de

informacin es de vital importancia para determinar el grado de
madurez del servicio informtico que se puede brindar.

Para el caso prctico se aplicaron los lineamientos de la metodologa MAGERIT,

lo cual brind un marco de trabajo lgico y til para cumplir el objetivo
propuestos.
Una vez identificados los potenciales riesgos y diseados los mecanismos de
salvaguarda, se realizaron varias simulaciones que permitieron identificar el
riesgo residual.
En la vida empresarial la implantacin de mecanismos de salvaguarda se ve
limitada por los costos que stos implican, constituyndose una responsabilidad
de la alta direccin su adecuada priorizacin.
Es objetivo de la direccin de tecnologas de informacin incrementar el grado
de madurez de sus procesos, esto se logra reduce el riesgo y mejora la
eficiencia, generando menos errores, ms procesos predecibles y un uso
rentable de los recursos.
El uso de una herramienta computacional para la gestin de riesgos permite
generar varios escenarios y simular ambientes dependiendo del grado de
implantacin de los controles, constituyndose en una herramienta efectiva
para la toma de decisiones.

11