análisis de as/nz 4360, nist sp800-34 y ntc 5254

UNIVERSIDAD NACIONAL DE COLOMBIA
SEDE MANIZALES
ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS
AUDITORIA DE SISTEMAS II
TRABAJO:
COMPILACIÓN BIBLIOGRÁFICA ESTÁNDARES Y DIRECTRICES DE
AUDITORIA
PRESENTADO POR:
CHRISTIAN FELIPE MARTÍNEZ LÓPEZ
CÓD. 0907035
MANIZALES, 23 DE MARZO DE 2010
1
ÍNDICE
INTRODUCCIÓN
3
HISTORIA Y EVOLUCIÓN
4
MARCO TEÓRICO
5
ANÁLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254
6
AS/NZ 4360 (PRINCIPAL)
6
NIST SP 800-34
11
NTC 5254
12
CONCLUSIONES Y OBSERVACIONES
13
COMPARATIVO CON COBIT
14
BIBLIOGRAFÍA
15
2
INTRODUCCIÓN
En toda organización existen posibles daños que pueden alterar el funcionamiento
normal de sus operaciones, la factibilidad de estos daños se mide a través del riesgo.
Para contextualizar la temática a desarrollar, primero se va a dar una breve introducción
al tema de gestión del riesgo y algunos términos importantes.
Cuando se usa la expresión riesgo, se quiere tratar sobre la vulnerabilidad de un bien
ante un potencial perjuicio o daño, este bien puede ser físico o intangible, tomando
como ejemplo de un bien físico, a un edificio o equipos de cómputo y como bien
intangible, la información importante, tal como cifras financieras. Es importante
diferenciar el riesgo del peligro, el riesgo es la probabilidad de que ocurra un daño, en
cambio, el peligro, es la probabilidad de que ocurra un suceso que conlleve a un daño.
Continuando con el riesgo, existen varios tipos: Riesgo laboral, geológico, financiero, y
biológico. Ahora, teniendo claros estos conceptos, es necesario saber que han existido
distintas organizaciones y trabajos encargados de promover normas y estándares para el
manejo del riesgo (tales como INCONTEC, ANSI, ISO, COBIT, ITIL, entre otras), que
permiten las empresas adaptar estos modelos para su funcionamiento y mejorar de
procesos. A continuación se mostrara un análisis de algunos de estos estándares y
normas. Tomando el contexto internacional y nacional.
3
HISTORIA Y EVOLUCIÓN
Como parte de los trabajos iniciales y más importantes sobre gestión del riesgo, se crea
a finales de los 90’s, el estándar australiano as/nz 4360, el cual permitía el
establecimiento e implementación del proceso de administración de riesgos
involucrando el establecimiento del contexto y la identificación, análisis, evaluación,
tratamiento, comunicación y el monitoreo en curso de los riesgos. En un contexto más
cercano, en el 2002 surge las norma NIST sp 800-34, como producto del trabajo entre el
laboratorio de tecnologías de información y el instituto nacional de estándares y
tecnología, ambos de Estados Unidos, esta norma proporciona instrucciones,
recomendaciones y consideraciones para el gobierno de TI, permitiendo implementar
medidas cautelares para recuperar los servicios de TI, después de una emergencia o
interrupción del funcionamiento de los sistemas. En el 2004 y adaptándose en nuestro
contexto nacional surge la Norma Técnica Colombiana 5264, la cual acoge la gran
mayoría de términos enmarcados en la as/nz 4360 y acentuándolos en el contexto
Colombiano.
4
MARCO TEÓRICO
Riesgo
Es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o
las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten
en un riesgo, o sea, en la probabilidad de que ocurra un desastre. Sin embargo los
riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relación con el
ambiente, y si estamos conscientes de nuestras debilidades y vulnerabilidades frente a
las amenazas existentes, podemos tomar medidas para asegurarnos de que las amenazas
no se conviertan en desastres.
Gestión del Riesgo
La gestión del riesgo no solo nos permite prevenir desastres. También nos ayuda a
practicar lo que se conoce como desarrollo sostenible. El desarrollo es sostenible
cuando la gente puede vivir bien, con salud y felicidad, sin dañar el ambiente o a otras
personas a largo plazo. Por ejemplo, se puede ganar la vida por un tiempo cortando
árboles y vendiendo la madera, pero si no se siembran más árboles de los que se corta,
pronto ya no habrá árboles y el sustento se habrá acabado. Entonces no es sostenible.
Cuando no se implementa un plan de riesgos, la organización carece de un soporte para
el contexto estratégico de la organización, para sus metas, objetivos y la naturaleza de
su negocio, no se aseguraría el correcto funcionamiento en todos los niveles de la
organización.
5
ANÁLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254
AS/NZ 4360 (PRINCIPAL)
Sin duda es el elemento inicializador y uno de los más completos que trata sobre la
gestión del riesgo, en su operación utiliza términos importantes los cuales son también
utilizados en sus derivadas que se explicaran después.
árbol de eventos: una técnica que describe el rango y secuencia posibles de los
productos que podrían surgir de un evento iniciado.
árbol de fallas: un método de ingeniería de sistemas para representar las
combinaciones lógicas de varios estados del sistema y causas posibles que pueden
contribuir a un evento especificado (denominado evento superior o “top event”).
Análisis de riesgo: un uso sistemático de la información disponible para determinar
cuan frecuentemente pueden ocurrir eventos especificados y la magnitud de sus
consecuencias.
Análisis de sensibilidad: examina cómo varían los resultados de un cálculo o modelo a
medida que se cambian los supuestos o hipótesis individuales.
Consecuencia: el producto de un evento expresado cualitativa o cuantitativamente, sea
este una pérdida, perjuicio, desventaja o ganancia. Podría haber un rango de productos
posibles asociados a un evento.
Control de riesgos: la parte de administración de riesgos que involucra la
implementación de políticas, estándares, procedimientos y cambios físicos para eliminar
o minimizar los riesgos adversos.
Costo: de las actividades, tanto directas como indirectas, involucrando cualquier
impacto negativo, incluyendo pérdidas de dinero, de tiempo, de mano de obra,
interrupciones, problemas de relaciones, políticas e intangibles.
Evaluación de riesgo: el proceso global de análisis de riesgo y evaluación de riesgo, es
utilizado para determinar las prioridades de administración de riesgos comparando el
nivel de riesgo respecto de estándares predeterminados, niveles de riesgo objetivos u
otro criterio.
Evento: un incidente o situación, que ocurre en un lugar particular durante un intervalo
de tiempo particular.
Frecuencia: una medida del coeficiente de ocurrencia de un evento expresado como la
cantidad de ocurrencias de un evento en un tiempo dado.
6
Monitoreo: comprobar, supervisar, observar críticamente, o registrar el progreso de una
actividad, acción o sistema en forma sistemática para identificar cambios.
Pérdida: cualquier consecuencia negativa, financiera o de otro tipo.
Probabilidad: la probabilidad de un evento específico o resultado, medido por el
coeficiente de eventos o resultados específicos en relación a la cantidad total de posibles
eventos o resultados. La probabilidad se expresa como un número entre 0 y 1, donde 0
indica un evento o resultado imposible y 1 indica un evento o resultado cierto.
Riesgo residual: el nivel restante de riesgo luego de tomar medidas de tratamiento del
riesgo.
Riesgo: la posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se
lo mide en términos de consecuencias y probabilidades.
Tratamiento de riesgos: selección e implementación de opciones apropiadas para tratar
el riesgo.
La operación de la gestión de riesgos en esta norma se basa en las actividades de:
establecimiento de propósitos, políticas de administración de riesgos, planeamiento y
recursos, programa de implementación, revisión general.
Los elementos principales de la administración de riesgos son:
1.
2.
3.
4.
5.
6.
7.
Establecer el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratar riesgos
Monitorear y revisar
Comunicar y consultar
Ejemplo de calificación de riesgos según impacto:
7
Medidas de calificación de la probabilidad de ocurrencia de un riesgo
Matriz de análisis de riesgo
IMPACTO
R1
R2
3
R4
2
1
R3
R6
1
R5
2
3
PROBABILIDAD
Se puede evaluar el riesgo a través de una matriz como la anterior, en este caso entre el
rojo significa el color donde se encuentran los riesgos que pueden causar más daño a la
organización y el verde los riesgos que presentan menos daños.
8
Acciones para el control de riesgos
Se pueden enfocar para controlar la probabilidad o el impacto, algunas pueden incluir
procesos así:
Reducción de probabilidad
 Programas de auditoria y cumplimiento
 condiciones contractuales
 revisiones formales de requerimientos, especificaciones, diseño, ingeniería y
operaciones
 inspecciones y controles de procesos
 administración de inversiones y cartera
 administración de proyectos
 mantenimiento preventivo
 aseguramiento de calidad, administración y estándares
 investigación y desarrollo, desarrollo tecnológico
 capacitación estructurada y otros programas
 supervisión
 comprobaciones
 acuerdos organizacionales
 controles técnicos
Reducción de impacto












planeamiento de contingencia
arreglos contractuales
condiciones contractuales
características de diseño
planes de recupero de desastres
barreras de ingeniería y estructurales
planeamiento de control de fraudes
minimizar la exposición a fuentes de riesgo
planeamiento de cartera
política y controles de precios
separación o reubicación de una actividad y recursos
relaciones públicas
9
Ejemplo de formato de registro de riesgos
Ejemplo de formato de tratamiento de riesgos
Formato plan de acción de riesgos
10
NIST SP 800-34
Identifica principios fundamentales de planificación basándose en el ámbito del
gobierno de TI:





Ordenadores
Sitios web
Redes Locales y Amplias
Sistemas distribuidos
Sistemas mainfraime
Este tipo de contingencia no aplica para todo lo relacionado con supercomputadoras,
pero se pueden aplicar allí muchos de estos conceptos.
Esta labor puede se ejecutada por categorías de personal como:





Directivos
Administradores de sistemas
Ingenieros de sistemas y arquitectos
Usuarios
Resto de personal
Esta norma utilizar varios de los parámetros y actividades mencionados(as) en la as/nz
4360, por lo cual no se mencionaran acá. Además maneja los siguientes procesos:
Manejo de antecedentes, plan de contingencia, gestión del riesgo, tipo de plan
(continuidad, recuperación, soporte, comunicación y recuperación de desastres).
Además incorpora fases así:




inicial (requerimientos y objetivos)
desarrollo (conceptos y diseño)
implementación (pruebas iniciales)
mantenimiento (usado por las dependencias)
11
NTC 5254
Fundamentada en la as/nz 4360 (gran parte de su contenido es el mismo), agrega el
concepto de establecimientos de contextos (interno y externo), desarrollo y
comunicación de las políticas establecidas, establecimientos de responsabilidades y
autoridades, adaptación del proceso de adaptación del riesgo y aseguramiento de los
recursos adecuados.
12
CONCLUSIONES Y OBSERVACIONES
 El correcto manejo de las posibles situaciones de peligro dentro de una
organización, significa estar preparado para posibles problemas y así evitar la
una posible extinción de la organización.
 La organización no es un ente cerrado, por el contrario en el entorno hay
muchos factores que podrían determinar un posible cambio en las formas de
operar de la organización, los cuales tienen propiedades de probabilidad e
impacto.
 En la organización deben existir procesos de formación que permitan a los
integrantes poder afrontar situaciones de riesgo y aplicar medidas de control.
 La organización debe considerar mecanismos que permitan periódicamente
evaluar las distintas dependencias de la organización y determinar posibles
situaciones posibles de riesgo.
 Deben existir reglas que permitan la operación para la solución de problemas
(plan de contingencia).
13
COMPARATIVO CON COBIT
Al igual que la normativa y estándares expuestos anteriormente COBIT implementa
unos objetivos de control, los que permiten darle al departamento de TI un valor
importante, COBIT determina, con el respaldo de las principales normas técnicas
internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la
eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio,
identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño,
el cumplimiento de metas y el nivel de madurez de los procesos de la organización.
Para obtener más información acerca de Cobit, se puede consultar el link
correspondiente en la bibliografía.
14
BIBLIOGRAFÍA
 http://www.softexpert.es/norma-asnzs.php
Estándar Australiano as/nz 4360
 http://csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf
NIST sp800-34 - Guía para planes de contingencia en el departamento de TI.
(ingles).
 http://es.wikipedia.org/wiki/Riesgo
Riesgo y sus propiedades
 http://es.wikipedia.org/wiki/Instituto_Nacional_de_Est%C3%A1ndares_y_Tecn
olog%C3%ADa
NIST
 http://www.isaca.org/cobit
Sitio web COBIT
15