MATRIZ PARA EL ANÁLISIS DE RIESGO

El análisis de riesgo es una tarea extensa y desgastante en función del tiempo que emplea su ejecución, porque requiere comprobación de la totalidad posible de daños de los recursos de una institución contra todas las posibles amenazas. 

 

El enfoque de la Matriz es hallar y observar los recursos de una organización, que están en peligro de sufrir un daño por algún impacto negativo, para posteriormente tener las herramientas y los criterios certeros para tomar las decisiones y medidas adecuadas para la superación de las vulnerabilidades y la reducción de las amenazas.

La matriz de riesgo es una herramienta de control y de gestión normalmente utilizada para identificar las actividades como procesos y productos más importantes de una institución, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos que engendran estos riesgos o factores de riesgo. También permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros, operativos y estratégicos que impactan la misión de la organización. Esta además debe ser una herramienta flexible que documente los procesos y evalúe de manera global el riesgo de una institución. Permite una participación más activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la entidad.

La matriz de riesgo efectiva permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Finalmente esta al estar adecuadamente diseñada y efectivamente implementada se transforma en el soporte conceptual y funcional del Sistema Integral de Gestión de Riesgo.

Análisis de riesgo informático: 

Es un proceso que abarca la identificación de activos informáticos, las vulnerabilidades y amenazas a los que se encuentran expuestos y su probabilidad de ocurrencia, además del impacto de las mismas, a fin de encontrar los controles para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

La meta principal es la de proteger a la organización y su habilidad de manejar su misión. También, el proceso no solamente debe ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino que también como una función esencial de administración de toda la organización.

Proceso de análisis de riesgos informáticos:

El proceso de análisis de riesgo proporciona un documento llamado matriz de riesgo, en el cual se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es vital para lograr una correcta administración del riesgo, que hace referencia a la gestión de los recursos de la organización.

Existen varias clases o tipos de riesgos tales como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otros. La ecuación que determina el riesgo total es:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

La evaluación del riesgo incluye las siguientes actividades y acciones:

• ·         Identificación de los activos.
• ·         Identificación de los requisitos legales y de negocio para la identificación de los activos.
• ·         Valoración de los activos identificados.
• ·         Identificación de las amenazas y vulnerabilidades para los activos identificados.
• ·         Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
• ·         Cálculo del riesgo.
• ·         Evaluación de los riesgos frente a una escala de riesgo preestablecido.

Al efectuar el análisis se deben determinar las acciones respecto a los riesgos residuales que se identificaron:

• ·         Controlar el riesgo.
• ·         Eliminar el riesgo.
• ·         Compartir el riesgo.
• ·         Aceptar el riesgo.

Elementos de la Matriz:

1. Activo: Objeto o recurso de valor empleado en una empresa u organización. 
2. Amenaza: Evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos. 
3. Vulnerabilidad: Debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo. 
4. Riesgo: Incidente o situación, que ocurre en un sitio concreto en un intervalo de tiempo determinado, con consecuencia negativo o positivo que pueden afectar el cumplimiento de los objetivos 
5. Análisis: Validar o dividir el todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
6. Control: Mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades.     

                                                                                                                   

ISO 31000

Esta es una familia de normas sobre Gestión del riesgo en normas codificadas por la organización International Organization for Standardization o comúnmente llamada ISO. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de riesgos y el proceso implementado en el nivel estratégico y operativo.

Actualmente este compendio de normas incluye:

·         ISO 31000:2009 - gestión de riesgos - principios y directrices1

·         ISO/IEC 31010 - gestión de riesgos - evaluación del riesgo2 evaluación técnicas del riesgo

·         ISO Guide 73:2009 - gestión de riesgos--vocabulario3 Gestión

Alcance o Propósito:

Está enfocada en aplicar y adaptar al público, cualquier empresa pública o privada, comunidad, asociación, grupo o individuo. Esta norma no tiene un propósito de certificación, pues aporta directrices para la implementación de una cultura organizacional y es de utilidad para un sistema de gestión ISO 9001 2015.

Que es el Riesgo:

"'El riesgo es el efecto de la incertidumbre sobre los objetivos".

TEMA PROYECTO AUDITORIA

-Software de Auditoria:

BELARC

http://www.belarc.com/es/free_download.html

Integrantes:

Jose Alejandro Rodriguez Martinez
Estudiante Ingenieria de Sistemas - CUN

Es una empresa dedicada al desarrollo y diseño de productos basados en arquitectura WAN que ayudan al control de inventario y monitoreo de equipos de cómputo.

El portafolio de productos es usado para la administración de licencias de software, planificación de actualizaciones de hardware, estado de la seguridad cibernética, auditorías de aseguramiento de información, administración de activos TI, administración de configuraciones, entre otras.

La arquitectura en formato portal WEB permite a los usuarios simplificar y automatizar la administración de equipos de escritorio, servidores y equipo portátil en cualquier lugar del mundo, utilizando una sola base de datos y un servidor de Intranet. Estos productos de software crean automáticamente una base de datos centralizada (CMDB), precisa y actualizada que contiene información detallada de software, hardware y configuraciones en seguridad.

La firma está radicada en Maynard, Massachusetts y se dedica al desarrollo de soluciones para la administración, seguridad, auditoria y gestión de activos de cómputo a través de redes Intranet e Internet.

Algunos clientes corporativos que poseen soluciones de esta compañía son: AIG, Banco Ecuatoriano, Dana Corp, Instituto Mexicano del Petróleo, KYWI, Pepsi-Cola, Xertix, Kindred Healthcare, NASA, U.S. Air Force, U.S. Army, U.S. Census Bureau, U.S. Coast Guard, U.S. Marine Corps, U.S. Navy, Usiminas, AGA Gas, Unilever, TATA Motors, WebMD/Emdeon, Soldexa, EXSA, y muchos más.

PRODUCTOS DE BELARC

Los productos son utilizados para verificar políticas de cumplimiento en licencias de software, planear actualizaciones de hardware, verificar estatus de seguridad informática, garantizar niveles en seguridad para auditorías, administración de activos en TI y administración de configuraciones, entre otras funciones.

1. -BelManage es una solución de que permite a los usuarios llevar el control de licencias de software, actualizaciones de Sistemas Operativos, parches de seguridad y la administración e inventario de los activos informáticos, todo en un esquema de Servidor WEB. Es una solución confiable para grandes y pequeñas redes, intranet o Internet. 
2. -Data Analytics de Belarc es un add-on para BelManage que proporciona la optimización de licencias y los costos de software por medio de un flexible análisis de la base de datos de BelManage. Para la optimización de licencias de software el Data Analytics Module permite a los clientes vincular automáticamente sus datos de software descubiertos en BelManage con registros de compra.
3. -BelSecure está diseñado para ayudar a los administradores de IT a establecer políticas y métricas de seguridad para redes distribuidas de activos informáticos, esta función es lograda proporcionando a los administradores un portal que identifica y establece categorías a los equipos de cómputo, se seleccionan puntos de referencia de seguridad y se establecen controles que se monitorean continuamente. Todo esto se realiza en forma automática e integrada con el proceso completo de seguridad de la empresa.
4. -Belarc Advisor es un producto que elabora un perfil detallado del hardware y software instalado en la computadora y muestra el resultado en el explorador WEB.
5. -Belarc Security Advisor revisa en forma automática más de 300 vulnerabilidades tanto en el sistema operativo Android como en las aplicaciones de tabletas o teléfonos celulares y reporta en segundos cuales vulnerabilidades existen y deben ser actualizadas.

 

LEYES SOBRE SOFTWARE

¿Quien determina las leyes de software en Colombia?

-CRC: Comision de Regulacion de las Telecomunicaciones

-FEDESOFT: Federacion Colombiana de la Industria del Software

-MINTICS: Ministerio de las Tecnologias de la Informacion y las Comunicaciones

-ANE: Agencia Nacional del Espectro

-CO INTERNET

-SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

-SUPERINTENDENCIA FINANCIERA

-MINISTERIO DE INSDUSTRIA Y COMERCIO

-DIAN: Direccion de Impuestos y Aduanas Nacionales

-IBM COLOMBIA

-MICROSOFT COLOMBIA

LEYES REGULADORAS

-Ley 527/99: 

Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

-Ley 1341/09: 

Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones.

-Ley 1273/09:

Por medio de la cual se modifica el código penal, se crea un nuevo bien jurídico tutelado denominado de la protección de la información y de los datos y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

-Ley 1266/08:

Por el cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en la base de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.

 

-Ley 1221/08:

Por la cual se establecen normas para promover y regular el Teletrabajo y se dictan otras disposiciones.

 

-Ley 1286/09:

Transforma a Colciencias en Departamento Administrativo, se fortalece el Sistema Nacional de Ciencia, Tecnología e Innovación en Colombia y se dictan otras disposiciones.

-Ley 633/00 art 91:

Todas las páginas web y los sitios de internet de origen colombiano que operan en el internet y cuya actividad económica sea de carácter comercial, financiera o de prestación de servicios, deberán inscribirse en el registro mercantil y suministrar a la Dirección de Impuestos y Aduanas Nacionales, DIAN, la información de transacciones económicas en los términos que esta entidad lo requiera.

-Ley 679/01:

Por medio del cual se adiciona y robustece a ley 679 de 01, de lucha contra la explotación, pornografía y turismo sexual con niños, niñas y adolescentes.

-Ley 1336/09:

Por medio de la cual se adiciona y robustece la Ley 679 de 2001, de lucha contra la explotación, la pornografía y el turismo sexual con niños, niñas y adolescentes

-Decreto 1151/08:

Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en Línea de la República de Colombia, se reglamenta parcialmente la Ley 962 de 2005, y se dictan otras disposiciones.

-Decreto 1929/07:

Por el cual se reglamenta el artículo 616-1 del Estatuto Tributario. Facturas Electronicas.

-Resolucion CRT 1732/07:

Por la cual se expide el Régimen de Protección de los Derechos de los Suscriptores y/o Usuarios de los Servicios de Telecomunicaciones.

-Acuerdo N PSAA06-3334/06

Por el cual reglamentó la utilización de medios electrónicos e informáticos en el cumplimiento de las funciones de administración de justicia.

ORGANISMOS INTERNACIONALES

-ICANN: Corporacion para la asignacion de nombre y numeros

-OMPI: Organizacion mundial de propiedad intelectual

-UNCITRAL: Comision de las naciones unidas para el derecho mercantil internacional

-OCDE: Organizacion para el desarrollo economico

-CCI: Camara de comercio internacional

POLITICAS PUBLICAS NACIONALES

-Plan Nacional de Desarrollo 2010-2014: 

Crecimiento sostenible y competitividad.

-PLAN VIVE DIGITAL:

Es el plan de tecnología para los próximos cuatro años en Colombia, que busca que el país dé un gran salto tecnológico mediante la masificación de Internet y el desarrollo del ecosistema digital nacional.

 

-COMPES 3701:

Lineamientos de politica para ciberseguridad y ciberdefensa.

-COMPES 3533:

Bases de un plan de accion para la adecuacion del sistema a la propiedad intelectual, a la competitividad y productividad.

-COMPES 3620:

Lineamientos de politica  para el desarrollo e impulso del comercio electronico en Colombia.

-Politica de promocion de la industria de contenidos digitales.

PROYECTOS DE LEY EN CURSO

-Proyecto  de Ley 184/10:

Proteccion de datos personales.

-Proyecto de Ley 246/11:

Neutralidad en el internet.

-Proyecto de Ley 241/11:

Regulacion de la responsabilidad de derechos de autor y derechos de propiedad intelectual.