miércoles, mayo 12, 2010

Gestión de Riesgos


Teniendo entendido que para la gran mayoría de Organizaciones actualmente la Gestión u Administración de Riesgos se constituye como parte fundamental de la Gerencia de la Organización que pretende respaldar eficientemente a la identificación, análisis, tratamiento, comunicación y monitoreo de los riesgos del negocio; este análisis se convierte en tema de obligatorio cumplimiento cuando se habla de un Sistema de Gestión de Seguridad de la Información.

Por años este tema estuvo regido por la Norma Australiana AS/NZS 4360, la cual sirvió de guiá a muchísimos profesionales que querían hacer un análisis de riesgos en sus labores cotidianas; y si hablamos específicamente en Colombia dicha norma fue adaptada bajo el nombre de NTC 5254 en el año 2006 la cual se convirtio en texto obligado al momento de hacer evaluaciones de riesgos para las diferentes Organizaciones en Colombia. Que incluye dicha norma? Básicamente orienta al lector en la necesidad de identificar riesgos que impacten su Organización, Como analizarlos midiendo consecuencia y probabilidad, Evaluar el impacto que tiene la materialización de cada uno de los riesgos identificados, Identificar opciones de manejo de los riesgos (Plan de tratamiento de riesgos); y por ultimo la Medición y análisis de los riesgos.
Actualizacion 2013: La norma actual de gestión de riesgos es la ISO 31000, estandar que realiza un manejo identico de la gestion de riesgos al presentado en esta entrada.

Pero que es todo este tema del Análisis de Riesgos, Mapas de Riesgos y demás? Veamos paso a paso como se hace esta evaluación.


IDENTIFICACIÓN DE RIESGOS.

En la identificación de riesgos se debe determinar la posibilidad de ocurrencia de riesgos potenciales, lo cual pueda entorpecer el normal desarrollo de las funciones de la Organización.

Para esto podemos elaborar un listado de los riesgos inherentes a las actividades o procedimientos que se llevan a cabo en cada proceso, priorizándolos según el grado en que estos afecten los objetivos misionales del mismo.


ES MUY IMPORTANTE TENER EN CUENTA QUE PARA REALIZAR LA IDENTIFICACIÓN DEL RIESGO ESTE NO SE HAYA MATERIALIZADO.


ANÁLISIS DE FACTORES DE RIESGO.


En el análisis de factores de riesgo es necesario tener en cuenta aquellos que pueden incrementar la probabilidad de que un riesgo ocurra. Inclusive, es posible generar riesgos nuevos como por ejemplo la integridad, la ética de las personas involucradas, el tamaño y la complejidad de las transacciones involucradas en el proceso, así como, los cambios en los sistemas o en el personal clave; adicionalmente se debe tener en cuenta los factores de carácter externo que pudieran llegar a afectar la Organización como son los económicos, sociales, legales o de cambio tecnológico.


CLASIFICACIÓN DEL RIESGO.

La clasificación del riesgo permite realizar una mejor identificación de los riesgos inherentes a los procesos de la Organización, ya que delimita los parámetros a seguir por el responsable. Esta seria una posible clasificación:

  • Riesgo estratégico
  • Riesgo operativo
  • Riesgo de control
  • Riesgo financiero
  • Riesgo de tecnología
  • Riesgo de incumplimiento
  • Riesgo de fraude
  • Riesgo de ambiente laboral
Que riesgos analizar? Esta imagen es de gran ayuda para visualizar los "anillos del riesgo" a los cuales se expone una Organización:



PONDERACIÓN DEL RIESGO
La ponderación del riesgo consiste en establecer los niveles adecuados de calificación, tanto de la probabilidad como del impacto, para determinar realmente el nivel de vulnerabilidad en la Organización ante situaciones previsibles. También se debe tener en cuenta los factores de riesgo enunciados durante el proceso de identificación.

  • Probabilidad de ocurrencia: para determinar este ítem se debe considerar los controles utilizados hasta el momento y la efectividad de los mismos, así como, la frecuencia en la que ocurren los riesgos y en la que se van a analizar.
  • Impacto: en este ítem se evalúan las consecuencias en caso que el hecho que originó el riesgo se materialice. También analiza el grado en que afecta los objetivos de los procesos involucrados o, inclusive de manera general a la Organización.
MANEJO DEL RIESGO.

Después de realizar la ponderación de los riesgos se debe elaborar un plan de manejo de los mismos. En la elaboración de dicho plan se debe tener en cuenta la relación costo/beneficio del riesgo que se desea tratar, así como, las consecuencias y las posibles acciones que se van a implementar. Se debe tener claro que existen varias posibilidades en cuanto a manejo del riesgo, las cuales se describen a continuación:

  • Evitar el riesgo: es realizar modificaciones a los procesos o a las actividades generadoras del riesgo, para generar los controles pertinentes, adecuados y efectivos para el tipo de riesgo que está revisando.
  • Reducir el riesgo: es aplicar controles directamente para reducir la probabilidad o el impacto del riesgo. Este manejo se da cuando dicho riesgo no puede ser evitado, por lo que se trata de utilizar medidas correctivas en los procesos que ayuden a minimizar el riesgo inherente de las actividades involucradas.
  • Transferir el riesgo: es trasladar el riesgo a otra área de la Entidad o adquiriendo seguros que cubran estos riesgos, de esta manera se logra que el tercero los asuma.
  • Compartir o diversificar el riesgo: es distribuir el riesgo, por ejemplo, guardar varias copias de un documento en lugares diferentes para que de esta manera se evite que la pérdida de un documento origine la nulidad del proceso que respalda.
  • Retener, asumir o aceptar el riesgo: es una decisión que el área de donde proviene el riesgo debe tomar, y para hacerlo debe necesariamente haber llegado a la conclusión que la relación costo/beneficio no es viable, es decir, que el costo de implementar los controles es mayor al costo que puede originar la materialización del riesgo. Esta situación puede ocurrir además cuando el riesgo no es reconocido o cuando al reducir el riesgo queda una parte residual, originando consecuencias que son asumidas por cada área.
Teniendo claro los posibles manejos que se le da a cada riesgo se deben formular acciones para su realización, estableciendo responsables de estas y fijando fechas para su desarrollo. Los responsables también deben velar por el cumplimiento en el desarrollo e implementación de los puntos de control.

DESCRIPCIÓN DE LA MATRIZ DE RIESGOS.

Básicamente una matriz de riesgos puede ser como la siguiente:




Pero la información que se debe manejar al administrar riesgos seria idealmente la siguiente:
  • Riesgo: es la posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la Organización y le impidan el logro de sus objetivos.
  • Impacto: son las consecuencias que puede ocasionar a la Organización la materialización del riesgo.
  • Probabilidad: es la posibilidad de ocurrencia del riesgo.
  • Control existente: en este ítem se debe especificar cual es el control que la Entidad tiene implementado para combatir, minimizar o prevenir el riesgo.
  • Nivel De Riesgo: es el resultado de la aplicación de la escala escogida para determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo en cuenta los controles existentes.
  • Causas: son los medios, circunstancias y agentes que generan los riesgos.
  • Acciones: es la aplicación concreta de las opciones del manejo del riesgo que entraran a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.
  • Responsables: son las dependencias o áreas encargadas de adelantar las acciones propuestas, también se debe determinar en cabeza de quien va a quedar el compromiso del cumplimiento del cronograma.
  • Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo.
  • Indicadores: se deben usar para evaluar el desarrollo de las acciones implementadas y pueden ser de tipo cuantitativo o cualitativo, pero deben permitir emitir un juicio mediante su utilización.
ESCALAS PARA LA DETERMINACIÓN DE PROBABILIDAD E IMPACTO DE CADA RIESGO.

Tomando los criterios establecidos para la evaluación de los riesgos en la Norma NTC 5254: Norma Técnica Colombiana de Gestión de Riesgos, se construye una tabla donde se describen los riesgos; se muestra el resultado del cruce de las variables de impacto o consecuencia versus probabilidad de ocurrencia del riesgo, y mediante colores se representa la severidad del riesgo.

PLAN DE MANEJO DEL RIESGO

Tal como se menciono previamente se encuentran las diferentes alternativas del manejo del riesgo, las cuales seran tenidas en cuenta para el Monitoreo de los Riesgos y son las siguientes:
  • Evitar el riesgo: es realizar modificaciones a los procesos o a las actividades generadoras del riesgo, para generar los controles pertinentes, adecuados y efectivos para el tipo de riesgo que está revisando.
  • Reducir el riesgo: es aplicar controles directamente para reducir la probabilidad o el impacto del riesgo. Este manejo se da cuando dicho riesgo no puede ser evitado, por lo que se trata de utilizar medidas correctivas en los procesos que ayuden a minimizar el riesgo inherente de las actividades involucradas.
  • Transferir el riesgo: es trasladar el riesgo a otra área de la Entidad o adquiriendo seguros que cubran estos riesgos, de esta manera se logra que el tercero los asuma.
  • Compartir o diversificar el riesgo: es distribuir el riesgo, por ejemplo, guardar varias copias de un documento en lugares diferentes para que de esta manera se evite que la pérdida de un documento origine la nulidad del proceso que respalda.
  • Retener, asumir o aceptar el riesgo: es una decisión que el área de donde proviene el riesgo debe tomar, y para hacerlo debe necesariamente haber llegado a la conclusión que la relación costo/beneficio no es viable, es decir, que el costo de implementar los controles es mayor al costo que puede originar la materialización del riesgo. Esta situación puede ocurrir además cuando el riesgo no es reconocido o cuando al reducir el riesgo queda una parte residual, originando consecuencias que son asumidas por cada área.
Teniendo claro los posibles manejos que se le da a cada riesgo se deben formular acciones para su realización, estableciendo responsables de estas y fijando fechas para su desarrollo. Los responsables también deben velar por el cumplimiento en el desarrollo e implementación de los puntos de control.

EJECUCIÓN DEL PLAN DE MANEJO DE RIESGOS

Dentro de esta secuencia de actividades ya se cumplió con la identificación, análisis y evaluación de riesgos, quedando por ejecutarse el Monitoreo de los riesgos identificados inicialmente. Se realizará un monitoreo de las matrices de riesgos de las diferentes áreas en reuniones periódicas; en donde cada uno de los responsables de los procesos de la Organización estará encargado de complementar y actualizar sus matrices a medida que surgen nuevos riesgos o si los controles aplicados logran reducir o incluso eliminar los riesgos existentes.

Las modificaciones a las matrices después de su oficialización deben ser debidamente aprobadas. Pasos a seguir por proceso para realización del monitoreo:
  1. Revisar cuidadosamente la última matiz de riesgos aprobada.
  2. Listar las medidas existentes o planeadas para reducir la ponderación del riesgo. Se listaran medidas para reducir la probabilidad y para reducir el impacto.
  3. Evaluar si los riesgos y las causas que los originaron persisten, de ser así confirme que los controles de estos riesgos no se hayan modificado o tergiversado con el tiempo.
  4. Proponer nuevos controles para los que son obsoletos.
  5. Considerar el (los) riesgo(s) que han desaparecido y con base en esto elaborar un informe explicando su apreciación para que éste sea retirado del mapa oficial del área.

A continuación se enumeran las metodologías más conocidas de análisis y gestión de riesgo. La mayoría de ellas constan de documentos que desarrollan los conceptos necesarios y luego se especifican los pasos a ser llevados a cabo para realizar el relevamiento completo. Algunas de ellas también disponen de planillas, matrices, tableros y reportes de ejemplos que pueden utilizarse como base.

Herramienta OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización.
Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.
Herramienta MAGERIT
MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España.

El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT”, y es un método formal orientado a activos, cuya misión es descubrir los riesgos a los que se encuentran expuestos nuestros sistemas de información y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

La metodología MAGERIT ha sido elaborada por un equipo interdisciplinario del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales, SSITAD, del Consejo Superior de Informática.

MAGERIT persigue los siguientes objetivos generales:

  • Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
  • Ofrecer un método sistemático para analizar tales riesgos.
  • Ayudar a descubrir y planificar las salvaguardas oportunas para mantener los riesgos bajo control.
  • Apoyar a la Organización en la preparación de procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
MAGERIT está estructurado en tres partes diferenciadas:
  • Libro I: Método.
  • Libro II: Catálogo de Elementos.
  • Libro III: Guía de Técnicas.
Puede descargarse la metodología desde la web del Ministerio de Administraciones Públicas de España.
Herramienta EAR/PILAR
Como herramienta informática para el análisis de riesgos, basado en MAGERIT, disponemos de PILAR. Este software puede descargarse gratuitamente, en su versión de prueba, desde el enlace www.ar-tools.com/pilar.

PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:
  • ISO/IEC 27002:2005 - Código de buenas prácticas para la Gestión de la Seguridad de la Información.
  • SP800-53:2006 - Recommended Security Controls for Federal Information Systems.
  • Criterios de Seguridad, Normalización y Conservación del Consejo Superior de Informática y para el Impulso de la Administración Electrónica.
Herramienta CRAMM
CCTA Risk Analysis and Method Management (CRAMM) es una metodologia creada en 1987 por la Central Agency of Data Processing and Telecommunications del Gobierno del Reino Unido.

Esta metodología comprende tres fases:
  • Fase 1: Establecimiento de objetivos de seguridad
  • Fase 2: Análisis de riesgos
  • Fase 3: Identificación y selección de salvaguardas
CRAMM es actualmente la metodología de Análisis de Riesgos utilizada por la OTAN, el Ejército de Holanda, y numerosas empresas de todo el mundo.

En la dirección www.cramm.com podemos encontrar la más completa información sobre esta prestigiosa metodología.
Otras metodologías conocidas son:
  • Mehari, desarrollada por CLUSIF (Club de la Sécurité de l’Information Français). Es gratuita y se encuentra disponible en varios idiomas
  • METRICA3 específica para desarrollo de software (Software Life Cycle Processes)
  • Desarrollada en español y gratuita
  • The Security Risk Management Guide de Microsoft, en inglés y gratuita
  • COBRA, con costo y en inglés
  • Callio, con costo y en inglés
  • MARION, Méthodologie d'Analyse des Risques Informatiques et d'Optimisation par Niveau, desarrollada en Francia por el Club de la Sécurité Informatique Français (CLUSIF).
  • ISAMM, Information Security Assessment & Monitoring Method, desarrollada en Bélgica por Telindus N.V.
  • IT-Grundschutz, desarrollada por la Bundesamt für Sicherheit in der Informationstechnik (Oficina Federal para la Seguridad de la Información) de Alemania.
Todas estas metodologías pueden ser implementadas en cualquier organización, pero cada una deberá realizar un análisis pormenorizado para adaptar el modelo a la organización que se trate.

A futuro: Tendremos la Norma ISO 31000, la cual ya esta disponible en idioma Ingles, pero que saldra obviamente en nuestro idioma.

Para terminar, los dejo con el ciclo del análisis de riesgo:

1 comentario:

lesanchezs dijo...

Buen Articulo
Para los interesados pueden tambien verificar la ISO 31000, vigente desde el año pasado, en la actualidad al interior del comite de Riesgos de Icontec, se viene haciendo el estudio y actualización de la norma.