Posteado por: FrancoIT_GRC | 05/08/2015

Construyendo un Catálogo de Riesgos de TI en 8 pasos

Todas las organizaciones están expuestas a Riesgos para el Negocio que deben gestionar de acuerdo al nivel óptimo aceptable de exposición al riesgo establecido por la Dirección. En ese sentido, es sumamente importante definir adecuadamente, en la etapa de Planificación, el alcance que se le brindará a dicha gestión respecto a 2 dimensiones:

  • Activos/Recursos de TI expuestos a potenciales amenazas (aplicaciones, software de base, hardware, instalaciones, etc)
  • Amenazas a analizar y gestionar

Alcance Riesgos de TI

En la práctica, suelen presentarse limitaciones a alcanzar una cobertura optimizada de esas 2 dimensiones, debido a diversos factores como: restricciones de recursos para la Gestión de Riesgos, falta de involucramiento de los roles claves, ausencia de un inventario de activos de TI y falta de un Catálogo de amenazas a analizar y gestionar.

Este Catálogo de amenazas resulta un elemento fundamental dentro de la Gestión de Riesgos, dado que:

  • brinda mayor independencia de criterios individuales susceptibles de limitaciones,
  • establece una línea base de todos las amenazas a analizar,
  • funciona como un repositorio de conocimiento, sujeto a mejora continua,
  • favorece la codificación y automatización de la gestión de riesgos,
  • colabora para la realización de reportes consolidados para distintos niveles de toma de decisión
  • permite trazabilidad sobre el alcance utilizado para el análisis de riesgos,
  • ayuda a la organización a comparar la evolución de los niveles de las mismas amenazas de distintos períodos.
  • nivela “hacia arriba” el conocimiento y la concientización entre los involucrados sobre las diversas amenazas que podrían ocurrir

A continuación se detallan los 8 pasos claves para construir un Catálogo de Amenazas a analizar y gestionar:

  1. Considerar los siguientes inputs a partir de Estándares Internacionales reconocidos, por ejemplo:
    • COBIT 5 for Risk, aporta numerosos escenarios de riesgos agrupados en 20 categorías.
    • MAGERIT incluye distintas amenazas, con sus correspondientes salvaguardas/mitigantes, agrupadas por tipo de Activo.
    • Documentos adicionales de ISACA sobre diversos temas: Big Data, Cloud Computing, Vendor Management, Social Media, etc
  2. Analizar los Objetivos de Negocio de la organización para identificar riesgos relacionados con TI que podrían comprometer su éxito
  3. Recopilar el Know-How de los expertos al alcance de la organización (ej. Responsable de Seguridad de la Informrmación, Administradores de Bases de Datos, Jefe de Tecnología, etc), como una forma de involucrarlos en el proceso de Gestión de Riesgos
  4. Evaluar noticias sobre nuevas vulnerabilidades de los Activos de TI adoptados por la organización
  5. Aplicar “ingeniería inversa” sobre los controles exigidos por las regulaciones aplicables a la organización, para deducir las amenazas a partir del propósito de los controles normativos.
  6. Analizar la Base de Eventos de Pérdidas de Riesgo Operacional y los Registros de Incidentes, para detectar amenazas que se haya materializado sobre Activos de TI.
  7. Una vez recopilado un universo considerable de amenazas, se debe definir formalmente el alcance factible de análisis para la organización para el período planificado a inicar, haciéndolo aprobar por las instancias formales correspondientes (ej. Comité de Riesgos)
  8. El Catálogo aprobado debería ser enriquecido periódicamente en función de lo materializado en la realidad, las actualizaciones de los estándares, la evolución tecnológica y el mayor nivel de madurez de la organización respecto a la Gestión de Riesgos

Catalogo

De esta manera, con el Catálogo de Amenazas formalmente aprobado, se puede definir el universo de activos de TI a analizar, priorizando aquellos de mayor criticidad en función de los Procesos de Negocio que soportan y comenzar la etapa de ejecución del Análisis de Riesgos de TI en la organización.

Anuncios

Dejar un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: