SLIDES 5
-2-
30/04/2013
RIESGO
RIESGO
El riesgo es un potencial de problemas Se debe evitar que una amenaza explote una vulnerabilidad existente Conocidos los riesgos, se deben mitigar
Los requerimientos de seguridad se identifican mediante una evaluacin metdica de los riesgos de seguridad. El proceso de evaluacin de riesgo debe identificar, cuantificar y priorizar los riesgos en comparacin con el nivel de riesgo aceptable y los objetivos relevantes para la organizacin. El gasto en controles debiera ser equilibrado con el dao probable. Los resultados de la evaluacin del riesgo ayudarn a:
Guiar y determinar las prioridades de las acciones para manejar los riesgos, Implementar los controles seleccionados para protegerse contra esos riesgos.
Aversin al riesgo
30/04/2013
Conceptos Bsicos
Incertidumbre de ocurrencia del evento. se conoce la probabilidad Riesgo de ocurrencia del evento.
Impacto del Riesgo Se busca establecer el impacto que el evento riesgoso ocasionar sobre el proyecto =>
NO se conoce la probabilidad
Valor Esperado
Se calcula el valor esperado en funcin de los distintos escenarios posibles de un riesgo. Valor esperado = Prob. de ocurrencia x Impacto
No existe ambigedad en el anlisis (clculos aritmticos). El modelo ser confiable dado la fiabilidad de las variables de entrada del modelo.
ST CO OS
CALIDAD
ALCANCE
El individuo aceptar juegos justos y otros en los que las chances de ganar sean menores a las de un juego justo.
Preferencia por jugar seguro, Se elige un proyecto seguro ante otro ms inseguro.
30/04/2013
Marco Referencial
Nacional
CAIGG NCh-ISO27005.Of2009
Internacional
ISO 31000:2009
Principles and Guidelines on Implementation Risk Management - Risk Assessment Techniques Risk Management - Vocabulary
ISO/IEC 31010:2009
Proactivas
Mtodo Evaluacin previa y sistemtica de riesgos. Evaluacin de consecuencias. Plan de evitacin y minimizacin de consecuencias. Plan de contingencias. Consecuencias Evasin del riesgo. Menor tiempo de reaccin.
Incertidumbre.
30/04/2013
Categoras
Relacionados con el tamao del producto. Con el impacto en la organizacin. Con el tiempo del cliente. Con la estrategia de produccin. Con el entorno de desarrollo. Con la tecnologa. Con la experiencia del equipo.
Genricos. Comunes en todos los proyectos. Especficos. Implican un conocimiento profundo del proyecto.
Rol
Comprar producto final
Riesgo
Consecuencia
Entregar bs. intermedios No entregar en tiempo y forma Financiar el proyecto Financiar el proyecto Coordinacin general Implementacin Evitar daos ecolgicos Fijar las reglas de juego No desembolsar los recursos Quiebra el Banco Falta de liderazgo Falta de comunicacin Demandar a la empresa Cambiar las normativas legales
Falta de Especializacin
Mayor Tiempo, costos adicionales (duplicacin). No cumple la mnima calidad aceptable. Deficiente labor de los trabajadores al no ser controlados, esto significa mayor costo, tiempo y problemas de calidad.
Se evaluarn los riesgos del proyecto Riesgos del proyecto pueden ser oportunidades para otros
30/04/2013
Pedir fondos adicionales, para finalizar las tareas pendientes. Problemas al propietario. Conocimiento externo de la informacin privada de la empresa.
Tamao estimado del proyecto. Confianza en la estimacin. Nmero de programas, archivos y transacciones. Tamao relativo al resto del proyecto. Tamao de la base de datos. Nmero de usuarios. Nmero de cambios en los requerimientos. Cantidad de software reutilizado.
Impacto en la organizacin
Efecto del producto en la cifra de ventas. Fecha lmite de entrega razonable. Nmero de clientes que usarn el producto. Nmero de productos con los que deber interaccionar. Sofisticacin del usuario final. Cantidad y calidad de la documentacin a entregar al cliente. Lmites legales y gubernamentales. Costes asociados al retraso en la entrega. Costes asociados
Tiene una idea clara de lo que precisa. Est dispuesto a dedicar tiempo en la especificacin formal de requerimientos. Est dispuesto a participar en las revisiones. Es un usuario experto. Dejar trabajar al equipo de desarrollo sin dar consejos de experto informtico. Entiende el ciclo de vida de una aplicacin.
30/04/2013
Hay una poltica clara de normalizacin y seguimiento de una metodologa. Existe una metodologa escrita para el proyecto. Se ha utilizado en otros proyectos. Estn los gestores y desarrolladores formados. Todos conocen los estndares. Existen plantillas y modelos para todos los documentos resultado del proceso. Se aplican revisiones tcnicas de la especificacin de requerimientos, diseo y codificacin. Se aplican revisiones tcnicas de los procedimientos de revisin y prueba. Se documenta suficientemente cada subcontrato.
Se dispone de tcnicas de especificacin de aplicaciones para facilitar la comunicacin con el cliente. Se usan mtodos especficos para anlisis de software. Se utiliza un mtodo especfico para el diseo arquitectnico y de datos. Se disponen mtricas de calidad para todos los proyectos de software. Se disponen de mtricas de productividad.
Riesgos tecnolgicos
Identificacin de riesgos
Respecto al entorno de desarrollo: Hay herramientas de gestor de proyectos Hay herramientas de gestin del proceso de desarrollo Hay herramientas de anlisis y diseo Hay generadores de cdigo apropiados para la aplicacin Hay herramientas de pruebas apropiadas Hay herramientas de gestin de configuracin apropiadas Se hace uso de una base de datos o repositorio centralizado Estn todas las herramientas de desarrollo integradas Se ha proporcionado formacin a todos los miembros del equipo de desarrollo Hay expertos a los cuales solicitar ayuda acerca de las herramientas Hay ayuda en lnea y documentacin disponible
Se trata de una tecnologa nueva en la organizacin. Se requieren nueva tecnologa de E/S. Se debe interactuar con software que no ha sido probado. Es requerida una interface de usuario especializada. Se necesitan componentes de programa radicalmente diferentes a los hasta ahora desarrollados. Se aplican requisitos de rendimiento especialmente estrictos. Existen dudas de que el proyecto des realizable.
30/04/2013
Identificacin de riesgos
Asociados al equipo y la experiencia: Es el mejor personal disponible Tienen los miembros las tcnicas apropiadas Hay suficiente gente disponible Est el personal comprometido con toda la duracin del proyecto Habr parte del personal dedicado solamente a parte del proyecto Tiene el personal las expectativas correctas del trabajo Tiene el personal la necesaria formacin Puede la rotacin del personal perjudicar el proceso de desarrollo
Estimacin de la Probabilidad
Porcentual
Cualitativa
RIESGO
Probabilidad
Impacto
CAIGG
30/04/2013
Cualitativa
CAIGG
RIESGO
Amenaza
Vulnerabilidad
Impacto
Modelo ICSA.net
SI
Amenaza Alta, Media, Baja 3,2,1 Vulnerabilidad Alta, Media, Baja 3,2,1 Impacto Alto, Medio, Bajo 3,2,1 Riesgo (3x3x3) ... (1x1x1) 27 ... 1
La probabilidad de ocurrencia del impacto est dado por la contemporaneidad entre una determinada amenaza y la existencia de una vulnerabilidad explotable.
ENTONCES
30/04/2013
Riesgo Aceptable
Impacto
Impacto Secundario
Vulnerabilidad
Impacto Primario
Capacidad de la Amenaza
Segn Activo
Segn Amenaza
Segn Organizacin
Factores Externos
Competencia
No Programada Programada
Sensitividad
Recuperacin
Remediacin
Uso indebido
Modificacin
Divulgacin
Contencin
nica vez
Peridica
General
Acceso
DoS
Accionistas
Deteccin
Criticidad
Beneficio
Costo
Medio
Documentar las estrategias consensuadas Documentar un nivel de riesgos TI comn y acordado, estrategias de mitigacin as como riesgos residuales. Identificar, analizar y evaluar cualquier impacto potencial sobre las metas de la organizacin, causado por un acontecimiento imprevisto. Estrategias de mitigacin de riesgos para reducir el riesgo residual a un nivel aceptable. El resultado de la evaluacin debe ser comprensible para las partes interesadas y se expresa en trminos financieros, para permitirles alinear el riesgo a un nivel aceptable de tolerancia.
Amenaza
Interviene directamente Evidencia
Vulnerabilidad RIESGO
Puede ser contrarrestado
Proteccin
Activo Exposicin
Representa una
Puede Daar
10
30/04/2013
Gestin de Riesgos
http://www.iso27000.es/sgsi.html#section2d
Objetivo de Evaluacin de Riesgo Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organizacin.
Control
Normativa, proceso o tecnologa que permite contrarrestar el riesgo de la organizacin mejorando la prevencin, deteccin o respuesta frente a determinada amenaza, vulnerabilidad o impacto.
11
30/04/2013
Objetivo: Marcar las estrategias y formas de actuar del equipo de trabajo frente a los riesgos:
Definir las estrategias necesarias para evitar que el riesgo Tomar las medidas encaminadas para que, an cuando se produzca, se minimicen sus efectos
Definir los indicadores que influyen en la probabilidad de que el riesgo se produzca Monitorizar peridicamente dichos factores Monitorizar la efectividad real de las acciones encaminadas a evitar el riesgo
Se asume la prevencin y monitorizacin han fallado Se definen las estrategias y acciones a tomar para evitar que los efectos se minimicen Nunca ser posible reducir a cero el coste del plan de contingencia
12
30/04/2013
Plan de Mitigacin
Plan RMMM
Conjunto jerarquizado de controles de mitigacin, indexado a los procesos de negocio y al riesgo que mitigan y agrupados como Productos o Proyectos Especficos. Muchas veces es el principal aporte al Plan de Seguridad. Conforma la P, del ciclo PDCA de Mejora continua.
Plan Plan
Introduccin
Do Do Act Act
Check Check
RMMM
Riesgo X
Evitacin
Fuentes:
Monitorizacin
1. Gestin de Riesgo. Unidad de Modernizacin y Gobierno Electrnico Ministerio Secretara General de la Presidencia. Gobierno de Chile
Gestin
Planificacin
13
30/04/2013
53
54
55
14