Control de riesgos en la gestión de sistemas

Introducción al control de riesgos.

Todas las organizaciones se enfrentan a una serie de riesgos a la hora de desarrollar su actividad y, por tanto, a la hora de utilizar sus servicios. El regulador y las agencias de valoración están empezando a tener en cuenta el análisis de los procesos de gestión del riesgo de las empresas a la hora de evaluar la salud de las mismas.

Hoy, es indudable que una correcta gestión del riesgo supone una ventaja competitiva respecto a la competencia, especialmente en la coyuntura económica actual donde la confianza es uno de los aspectos más valorados entre los clientes de una entidad. Contar con procesos para mitigar riesgos no hace sino aumentar esta confianza.

En el campo de la gestión de los servicios de TI, los riesgos han de ser gestionados para asegurar la disponibilidad de los sistemas y evitar la pérdida de datos confidenciales entre otros contratiempos. Contar con una estrategia para la gestión de los riesgos se vuelve esencial en el desarrollo de la estrategia de gestión de servicios. De hecho, ITIL lo incluye como parte del diseño del servicio, ya que, desde el momento que se concibe éste, es necesario plantear los diferentes riesgos a los que se enfrentará el servicio y las alternativas para minimizar el efecto negativo de los mismos. Por tanto, es durante la definición de nuevo servicio donde han de considerarse los procesos necesarios para gestionar el riesgo.

En la actualidad, la gestión del riesgo se lleva a cabo bajo un enfoque más holístico y continuista, adoptando lo que se ha llamado Enterprise Risk Management (ERM), gestión del riesgo integral. El concepto de ERM aparece en 2003, cuando la Casualty Actuarial Society (CAS) lo define como una disciplina a través de la cual las organizaciones de cualquier industria monitorizan, controlan, explotan y financian los riesgos provenientes de cualquier fuente con el propósito de aumentar, en el corto y largo plazo, el valor ofrecido a los stakeholders. Este enfoque incluye metodologías y procesos utilizados por las organizaciones de todas las industrias para gestionar los riesgos y optimizar las oportunidades que les permita alcanzar sus objetivos.

La gestión del riesgo comprende las fases de identificación, seguimiento y priorización, según se define en la norma ISO 31000. Para contrarrestarlo, es necesario monitorizar y controlar la probabilidad y el impacto de que se dé la causa desencadenante del riesgo.

La norma ISO 31000.

Aunque los riesgos son de muy diversa índole, dependiendo del ámbito empresarial de la organización que los enfrenta, la norma ISO 31000 propone unas pautas estandarizadas para intentar gestionarlo. Fue publicada como estándar el 13 de noviembre de 2009, pretendiendo ser aplicable y adaptable para cualquier tipo de empresa pública o privada, asociación o incluso para la actividad laboral de empresas constituidas por autónomos. Además de esta norma, se publicó la llamada guía 73, que busca unificar el vocabulario utilizado en los procesos de gestión de riesgos.

Esta norma se divide en tres grandes bloques:

1. Principios para la gestión del riesgo:
   1. Crear valor para contribuir a la consecución de los objetivos de la empresa.
   2. Integración con los procesos de la organización.
   3. Ayudar a la toma de decisiones al aportar información sobre los posibles escenarios.
   4. Minimizar la incertidumbre.
   5. Función sistemática, estructurada y adecuada para contribuir a la obtención de resultados fiables.
   6. Basada en la mejor información disponible en cada momento.
   7. Alineada con el contexto interno y externo de la propia empresa.
   8. Debe contar con los factores humanos y culturales de la organización.
   9. Transparente a la hora de mostrar la información y participación de todos los interesados en la gestión del mismo.
   10. Dinámica, iterativa y sensible al cambio.
   11. Contribuir a la mejora continua de la empresa.
2. Estructura de soporte: la gestión del riesgo debe contar con el apoyo de la alta dirección. Se desarrolla iterativamente en ciclos que pretenden diseñar la mejor estructura de soporte, implantar esta estructura de la manera más eficiente para gestionar el riesgo y monitorizar las actividades de gestión para mejorar continuamente la estructura propuesta.
3. Proceso de gestión de riesgos: la gestión de riesgos incluye las etapas de identificar, analizar, evaluar y tratar riesgos. Constantemente, debe existir una comunicación y consulta continua con las diferentes áreas de la organización, así como un seguimiento y revisión.

Sin embargo, esta norma sólo pretende marcar unas directrices, pero no pretende implementar un modelo de gestión del riesgo uniforme entre las diferentes empresas. El diseño e implementación de un plan para la gestión de riesgos y un marco de trabajo para su ejecución necesita considerar las variaciones específicas de cada industria, particularmente sus objetivos, contexto, estructura, operaciones, procesos, proyectos, productos, servicios o activos.

Gestión de riesgos en servicios de TI.

ITIL define el proceso de gestión de riesgos orientándolo a la gestión de los servicios de TI, formando parte del plan de continuidad del servicio (ITSCM). Su objetivo es determinar la probabilidad de un fallo con la configuración actual del servicio, así como la capacidad de soporte necesaria en la organización.

El análisis de los riesgos debe llevarse a cabo durante la fase de diseño del servicio, para identificar los riesgos en los que se puede incurrir debido a la indisponibilidad de los componentes de la infraestructura, y los riesgos, debidos a la pérdida de confidencialidad e integridad por errores en el servicio.

El objetivo de la gestión de los riesgos en un servicio de IT debe ser identificar los activos, las amenazas y las vulnerabilidades que conforman el riesgo, y establecer las contramedidas necesarias.

El riesgo también está definido por el nivel de aceptación de la organización, que puede ser más o menos propensa a mitigar o asumir un determinado nivel de riesgo.

El seguimiento del riesgo se basa generalmente en la probabilidad e impacto de un evento, y las contramedidas son implementadas, si su coste puede ser justificado, para reducir el impacto del evento o para disminuir las probabilidades de que suceda.

Previo a la identificación de los riesgos se debe estudiar el impacto que un mal funcionamiento del servicio puede producir en la organización.

El análisis del impacto (Business Impact Analysis, BIA) identifica:

1. Los servicios más importantes para la organización y el modo en que pueden afectar al negocio, como una pérdida de ingresos, un aumento de los costes o un daño reputacional.
2. Cómo el impacto puede elevarse tras la interrupción del servicio y los momentos del día o del año durante los cuales el impacto es mayor.
3. El personal y las habilidades necesarias para mantener el negocio de manera aceptable.
4. El tiempo asumible para la recuperación del servicio.
5. La prioridad a la hora de recuperar diferentes servicios afectados.

El análisis de los riesgos y el impacto de los mismos suele representarse gráficamente enfrentando el impacto y el tiempo de interrupción del servicio.

La gestión de los riesgos debe realizarse siguiendo metodologías estándar, como la metodología M_o_R (Management of Risk) explicada en los volúmenes de ITIL. Los procesos incluidos en esta gestión del riesgo incluyen:

1. Identificación: de las amenazas y oportunidades de una actividad que puede impactar en la consecución de sus objetivos.
2. Evaluación: entender los efectos de red de las amenazas y oportunidades identificadas para una actividad.
3. Planear: preparar una respuesta específica que reduzca las amenazas y maximice las oportunidades.
4. Implementar: acciones para la gestión de los riesgos, monitorizar su efectividad y tomar acciones correctivas cuando las respuestas no cumplen con las expectativas.

Uno de los entregables que debe aportar un plan para la gestión de riesgos debe ser un perfil de riesgos que permita entender fácilmente el impacto de cada una de las posibles situaciones a las que se enfrenta un servicio.

Para este perfil, se puede construir una matriz donde enfrentar la posibilidad de que se dé un evento con el impacto del mismo sobre el negocio. De este modo, es posible priorizar las medidas que puedan paliar aquellos riesgos con alta probabilidad de suceder y con un alto impacto sobre el negocio.

Ejemplos típicos de medidas que pueden ser adoptadas para reducir el riesgo son:

1. Aumento de la resiliencia del sistema.
2. Subcontratar la prestación de servicios a más de un proveedor.
3. Equipos en redes aisladas para ser utilizados en caso de fallo en las redes principales.

En la gestión de riesgos, es necesario establecer, de común acuerdo con el Service Owner, ya sea para un servicio, software, hardware, tanto RTO como el RPO (Recovery Time Objective y Recovery Point Objective).

1. El RTO es el tiempo que pasará una infraestructura antes de estar disponible nuevamente. Para reducir el RTO, se requiere que la infraestructura (tecnológica, logística, física) esté disponible en el menor tiempo posible pasado el evento de interrupción.
2. El RPO marca cuando la infraestructura, ya operativa nuevamente, comenzará a hacerse evidente. Básicamente, RPO indica lo que la organización está dispuesta a perder en cantidad de datos. Para reducir un RPO es necesario aumentar el sincronismo de réplica de datos.

Metodología Magerit.

Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica. Su objetivo es estudiar los riesgos propios de un sistema de información y su entorno, concienciando a los responsables de las organizaciones de la existencia de los mismos y la necesidad de gestionarlos, y ayudando a descubrir y planificar las respuestas necesarias para controlar estos riesgos.

Para ello, evalúa el impacto que una violación en la seguridad tiene para la organización, señala los riesgos existentes, las amenazas y la vulnerabilidad del sistema frente a las mismas. El resultado son recomendaciones sobre las medidas adecuadas para conocer, prevenir, impedir, reducir o controlar estos riesgos que han sido identificados.

Magerit identifica dos actividades principales:

1. Análisis de riesgos: permite determinar cuáles son los activos de la organización, cuáles son las amenazas y, finalmente, las contramedidas para mitigarlas. Con ello, se obtiene el impacto (lo que podría pasar) y el riesgo (lo que probablemente pase).

Dentro de este esquema, los activos son los recursos del sistema de información o asociados al mismo, como servicios, aplicaciones informáticas, equipos informáticos, soportes de información, equipamiento auxiliar, redes de comunicaciones, instalaciones y personas.

Los activos han de valorarse. No hay que confundir valor y coste. El activo tendrá valor si es utilizado para algo, si no puede prescindirse de él sin más. En general, se habla de un valor propio, intrínseco del activo, y de un valor acumulado que tiene en cuenta el valor de los activos que dependen de otro.

Para valorar un activo, cabe analizar diferentes dimensiones del mismo: autenticidad (daño ocasionado por no conocer quién accede al activo), confidencialidad (daño provocado si se desvela información gestionada por el activo), integridad (daño producido por contar con datos corruptos) y disponibilidad (daño causado por no poder utilizar un activo).

En este modelo, las amenazas representan todo aquello que puede ocurrir y afectar a un activo. Para valorarlas, es necesario determinar la degradación, la intensidad con la se perjudica el activo, y la frecuencia, cada cuánto cabe esperar que se dé la amenaza. La degradación suele expresarse como una fracción del valor del activo y la frecuencia se establece como una tasa anual.

La degradación se relaciona directamente con el impacto y la frecuencia con el riesgo. El impacto refleja el daño posible, mientras que el riesgo refleja el daño probable. Las medidas que se tomen para atenuar el riesgo deben ir encaminadas a disminuir la degradación o a disminuir la frecuencia.

2. Gestión de riesgos: permite organizar las medidas defensivas para reducir los riesgos a los que se enfrenta la organización. El riesgo se debe reducir hasta el nivel asumido por la dirección de la empresa. Se ha de llegar a unos niveles de impacto y riesgo residual o despreciable. El hecho de que exista un nivel residual indica que, ciertamente, existe un riesgo, pero el coste de las medidas necesarias para mitigarlo no compensa el valor del activo al que afecta ese riesgo.

Las medidas que se toman como respuesta a los riesgos pueden ser:

3. Técnicas (aplicaciones, equipos y comunicaciones)
4. Físicas (entorno de trabajo)
5. Organizacionales (prevención de incidencias)
6. Políticas de personal (formación permanente)

Es lógico pensar que el coste de estas medidas no debe ser superior al coste de los activos que protegen. EL riesgo cae precipitadamente con pequeñas inversiones, para poco a poco reducirse esta relación entre disminución del riesgo y aumento de la inversión. A partir de un determinado punto, seguir reduciendo mínimamente el riesgo supone un gasto muy alto en medidas. Finalmente, es importante destacar que la decisión sobre los valores residuales no es una decisión técnica sino una decisión de la dirección de la empresa.

Pilar, software de gestión de riesgos.

La gestión de riesgos debe entenderse como una serie de procesos adicionales que forman parte de una organización. Las metodologías permiten estandarizar estos procesos y definir los flujos de información necesarios. Contar con las herramientas tecnológicas que soporten estos procesos de gestión de riesgos y sean capaces de gestionar toda la información necesaria es fundamental para poder implementar con éxito un plan de gestión de riesgos.

La metodología Magerit viene acompañada de la herramienta PILAR, acrónimo de “Procedimiento Informático-Lógico para el Análisis de Riesgos”. PILAR ha sido desarrollado por el Centro Nacional de Inteligencia siguiendo los pasos establecidos por la metodología Magerit.

Incluye los siguientes procesos:

1. Caracterización de los activos: identificación, clasificación, dependencias y valoración.
2. Caracterización de las amenazas.
3. Evaluación de las medidas de mitigación.

Asimismo, incluye catálogos de elementos que permiten homogeneidad en el análisis de los tipos de activo, las diferentes dimensiones de la valoración, los criterios utilizados para la valoración y un catálogo de amenazas.

Cuenta con un motor de cálculo de riesgos y una biblioteca de elementos. La herramienta se encarga de estimar el impacto y el riesgo de los activos presentándolo de manera muy visual para poder realizar análisis sobre el mismo. Los resultados se pueden mostrar como informes RTF, gráficos y tablas. Además, calcula calificaciones de seguridad según estándares de la industria, como la norma UNE-ISO/IEC 17799:2002, de sistemas de gestión de la seguridad. Con todo ello, PILAR es capaz de analizar los riesgos, calcular los riesgos residuales y establecer un plan de mejora para cumplir con la normativa existente.