metodologias de gestion de riesgos (octave, magerit, dafp)

Historia y Evolución . ..... propia infraestructura informática, junto con la capacidad interna para ejecutar herramientas de evaluación de la vulnerabilidad e ...
636KB Größe 20 Downloads 143 vistas
METODOLOGIAS DE GESTION DE RIESGOS (OCTAVE, MAGERIT, DAFP)

BLANCA RUBIELA DUQUE OCHOA CÓDIGO 1700210274

AUDITORÍA CARLOS HERNÁN GÓMEZ

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA

CONTENIDO 1. Introducción ................................................................................................................................................ 2 2. Metodologías de Gestión de Riesgo ....................................................................................................... 2 2.1. El análisis y gestión de riesgos en su contexto ................................................................................. 2 2.2. Incidencias y recuperación .................................................................................................................... 3 3. Octave ......................................................................................................................................................... 4 3.1. Historia y Evolución ............................................................................................................................... 4 3.2. Descripción General de Octave .......................................................................................................... 5 3.3. Métodos .................................................................................................................................................. 6 3.3.1. Características y Ventajas de los Métodos .................................................................................... 8 3.3.2. Fases ................................................................................................................................................... 8 4. Magerit ....................................................................................................................................................... 9 4.1. Historia y Evolución .............................................................................................................................. 9 4.2. Descripción General de Magerit ..................................................................................................…… 10 4.3. Organización de las Guías ................................................................................................................ 10 4.4. Evaluación, Certificación, Auditoría y Acreditación ....................................................................... 12 5. Comparativo con Cobit ......................................................................................................................... 13 6. Dafp ......................................................................................................................................................... 13 6.1. Historia y Evolución ........................................................................................................................... 14 6.2. Descripción General de Dafp ........................................................................................................... 15 6.3. Objetivos de DAFP ............................................................................................................................ 15 6.4 Marco Conceptual ............................................................................................................................... 15 6.5. Metodología ........................................................................................................................................ 17 6.6. Contexto Estratégico ......................................................................................................................... 19 7. Conclusiones y Observaciones ........................................................................................................... 21 8. Referentes .............................................................................................................................................. 22

1. Introducción

Hoy en día la gestión de riesgos, en el ámbito económico financiero, se inserta dentro de un proceso conocido como Control Interno. El control interno es un concepto universalmente conocido que ha carecido por mucho tiempo de un marco referencial común. Antiguamente los sistemas de control interno se limitaban a las actividades de las áreas de contabilidad y finanzas sin vínculo ni relaciones establecidas, no se consideraba el control interno como un instrumento de gestión capaz de lograr la eficiencia y eficacia de sus operaciones. Gestionar los riesgos eficientemente constituye hoy en día una preocupación de la alta gerencia, según afirma Bernens (1997):" la grieta pequeña más grande en la armadura corporativa es la dirección de riesgos". La gestión de riesgos se facilita cuando las entidades desarrollan sus actividades sobre la base de sistemas de control interno acorde con las exigencias actuales. En el presente documento se presenta una descripción de tres de las más grandes metodologías de gestión de riesgos usadas actualmente, estas son: Octave, Magerit y Dafp.

2. Metodologías de Gestión de Riesgos

Definición de Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida estas características están en peligro, es decir, analizar el sistema. Análisis de riesgos: Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización. Gestión de riesgos: Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.

2.1 EL Análisis y gestión de riesgos en su contexto Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que se encajan en la actividad continua de gestión de la seguridad. El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegidos se encuentran los activos. En coordinación con los objetivos, estrategia y política de la Organización, las actividades de gestión de riesgos permiten elaborar un plan de seguridad

que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se acepta la Dirección. La implantación de los controles de seguridad requiere una organización gestionada y la participación informada de todo el personal que trabaja con el sistema de información. Es este personal el responsable de la operación diaria, de la reacción ante incidencias y de la monitorización en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos. Este esquema de trabajo debe ser repetitivo pues los sistemas de información rara vez son inmutables; más bien se encuentran sometidos a evolución continua tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica en la que se aprende de la experiencia y se adapta al nuevo contexto. El análisis de riesgos proporciona un modelo del sistema en términos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La gestión de riesgos es la estructuración de las acciones de seguridad para satisfacer las necesidades detectadas por el análisis.

2.2 INCIDENCIAS Y RECUPERACIÓN Simétricamente, las personas involucradas deben ser conscientes de su papel y relevancia continua para prevenir problemas y reaccionar cuando se produzcan. Es importante crear una cultura de responsabilidad donde los potenciales problemas, detectados por los que están cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisión. De esta forma el sistema de salvaguardas responderá a la realidad. Cuando se produce una incidencia, el tiempo empieza a correr en contra del sistema: su supervivencia depende de la presteza y corrección de las actividades de reporte y reacción. Cualquier error, imprecisión o ambigüedad en estos momentos críticos, se ve amplificado convirtiendo lo que podía ser un mero incidente en un desastre.

Tanto de los éxitos como de los fracasos conviene aprender continuamente e incorporarlos al proceso de análisis y gestión de riesgos. La madurez de una organización se refleja en la pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde medidas técnicas hasta una óptima organización.

3. OCTAVE Una evaluación efectiva de riesgos en la seguridad de la información considera tanto los temas organizacionales como los técnicos, examina cómo la gente emplea la infraestructura en forma diaria. La evaluación es de vital importancia para cualquier iniciativa de mejora en seguridad, porque genera una visión a lo ancho de la organización de los riesgos de seguridad de la información, proveyéndonos de una base para mejorar a partir de allí. Para que una empresa comprenda cuáles son las necesidades de seguridad de la información, OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo. En contra de la típica consultoría focalizada en tecnología, que tiene como objetivo los riesgos tecnológicos y el foco en los temas tácticos, el objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la práctica. Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos, Prácticas de seguridad Y Tecnología. 3.1 HISTORIA Y EVOLUCIÓN OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prácticas de seguridad. La tecnología es examinada en relación a las prácticas de seguridad, permitiendo a las compañías tomar decisiones de protección de información basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la información crítica. El método OCTAVE permite la comprensión del manejo de los recursos, identificación y evaluación de riesgos que afectan la seguridad dentro de una organización. Exige llevar la evaluación de la organización y del personal de la tecnología de la información por parte del equipo de análisis mediante el apoyo de un patrocinador interesado en la seguridad. El método OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y tecnológicos: 

Identificación de la información a nivel gerencial.



Identificación de la información a nivel operacional.



Identificación de la información a nivel de usuario final.

Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta OCTAVE:



Consolidación de la información y creación de perfiles de amenazas.



Identificación de componentes claves.



Evaluación de componentes seleccionados.



Análisis de riesgos de los recursos críticos.



Desarrollo de estrategias de protección.

3.2 DESCRIPCIÓN GENERAL DE OCTAVE Hay tres métodos OCTAVE: Los métodos de OCTAVE se basan en los criterios del estándar con un enfoque en la práctica y evaluación de la seguridad basada en la información de riesgo. Estos criterios establecen los principios fundamentales y los atributos de gestión de riesgos que son utilizados por los métodos de OCTAVE. 3.3 Método OCTAVE: El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó más empleados, pero el tamaño no fue la única consideración. Por ejemplo, las grandes organizaciones suelen tener una jerarquía de múltiples capas y es probable que mantengan su propia infraestructura informática, junto con la capacidad interna para ejecutar herramientas de evaluación de la vulnerabilidad e interpretar los resultados en relación a los activos críticos. El método utiliza una ejecución en tres fases que examina las cuestiones organizacionales y tecnológicas, monta una visión clara de la organización y sus necesidades de información y seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a cabo por un equipo de análisis interdisciplinario de tres a cinco personas de la propia organización. El método aprovecha el conocimiento de múltiples niveles de la organización, centrándose en: 

Identificar los elementos críticos y las amenazas a esos activos.



La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a las amenazas, creando un riesgo a la organización.



El desarrollo de una estrategia basada en la protección de prácticas y planes de mitigación de riesgos para apoyar la misión de la organización y las prioridades.

Estas actividades son apoyadas por un catálogo de buenas prácticas, así como encuestas y hojas de cálculo que se puede utilizar para obtener y captar información durante los debates y la solución de sesiones-problema.

GUÍA PARA LA IMPLEMENTACIÓN: Proporciona todo lo que un equipo de análisis de necesidades debe utilizar para llevar a cabo una evaluación de su organización. Incluye un conjunto completo de procesos detallados, hojas de trabajo, y las instrucciones para cada paso en el método, así como material de apoyo y orientación para la ejecución.

Material Introductorio

Material del Método

Materiales Adicionales

Preparación de la dirección.

Para cada fase y proceso:

Libro perfil de Activos. Catálogo de prácticas.

Adaptación de la dirección. Administración superior de información.

Resumen. Directrices detalladas. Hojas de trabajo. Diapositivas y apuntes.

OCTAVE de flujo de datos. Completos ejemplos de resultados. Y más …

Participantes de información

Método OCTAVE-S: Fue desarrollado en respuesta a las necesidades de organizaciones más pequeñas alrededor de 100 personas o menos. Cumple con los mismos criterios que el método Octave pero está adaptado a los limitados medios y restricciones únicas de las pequeñas organizaciones. Octave-S utiliza un proceso simplificado y más hojas de trabajo diferentes, pero produce el mismo tipo de resultados. Las dos principales diferencias en esta versión de Octave son: 1. Octave-S requiere un pequeño equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa. Esta versión no comienza con el conocimiento formal sino con la obtención de talleres para recopilar información sobre los elementos importantes, los requisitos de seguridad, las amenazas y las prácticas de seguridad. El supuesto es que el equipo de análisis de esta información ya se conoce. 2. Octave-S incluye sólo una exploración limitada de la infraestructura informática. Las pequeñas empresas con frecuencia externalizan sus procesos de TI por completo y no tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de vulnerabilidad.

GUÍA DE IMPLEMENTACIÓN: Proporciona la mayor parte de lo que necesita un equipo de análisis para llevar a cabo una evaluación. Incluye hojas de trabajo y orientaciones para cada actividad, así como una introducción, la guía de preparación, y un ejemplo completo. No se incluye aún la adaptación de orientación a reuniones o de información.

Material Introductorio

Material del Método

Materiales Adicionales

Introducción.

Para cada fase y proceso:

Los ejemplos de resultados completos.

Preparación de Orientación.

Directrices. Hojas de Trabajo.

Método OCTAVE ALLEGRO: Es una variante simplificada del método de Octave que se centra en los activos de la información. Igual que los anteriores métodos de Octave, Allegro se puede realizar de entrada en un taller de entorno colaborativo, pero también es muy apropiado para las personas que desean realizar la evaluación de riesgo sin una amplia participación de la organización o experiencia. Debido a que el enfoque principal de Octave Allegro es el activo de la información, la organización de otros importantes activos se identifican y evalúan en función de los activos de información a la que están conectados. Este proceso elimina la posible confusión sobre el alcance y reduce la posibilidad de que la recolección de datos y de análisis se realice para los activos que no estén claramente definidos, fuera del alcance de la evaluación, o que necesitan más de la descomposición. Consta de ocho pasos organizados en cuatro fases: Fase 1 - Evaluación de los participantes desarrollando criterios de medición del riesgo con las directrices de la organización: la misión de la organización, los objetivos y los factores críticos de éxito. Fase 2 – Cada uno de los participantes crean un perfil de los activos críticos de información, que establece límites claros para el activo, identifica sus necesidades de seguridad, e identifica todos sus contenedores. Fase 3 - Los participantes identifican las amenazas a la información de cada activo en el contexto de sus contenedores.

Fase 4 - Los participantes identifican y analizan los riesgos para los activos de información y empiezan a desarrollar planes de mitigación.

GUÍA DE IMPLEMENTACIÓN: Contiene todos los recursos necesarios para llevar a cabo una evaluación de seguridad de la información. Incluye paso a paso las instrucciones detalladas para realizar la evaluación, hojas de trabajo que acompaña al documento de la evaluación, materiales de apoyo para la identificación y análisis de riesgos, y un ejemplo de una evaluación efectuada.

Material Introductorio

Material del Método

Materiales Adicionales

Introducción y Objetivo.

Actividades detalladas, método para cada paso. Incluyendo:

Información de guía del contenedor del activo. Arboles de amenazas.

Antecedentes y definiciones. Notas generales y conceptos.

Cuestionarios de riesgo para cada tipo de riesgo. Ejemplo completo de hojas de actividades.

Pasos de la Actividad. Ejemplos. Notas especiales Hojas de actividades. 3.3.1

CARACTERÍSTICAS Y VENTAJAS DE LOS MÉTODOS

Es dirigido a equipos pequeños de trabajo a través de las unidades de negocio y de TI de la organización con el fin de trabajar juntos para abordar las necesidades de seguridad de la organización. Cada método se puede adaptar a una organización en un único entorno de riesgo, la seguridad, resistencia a los objetivos y el nivel de habilidad. Octave trasladó a la organización hacia una visión basada en el riesgo operativo de la seguridad y las direcciones de la tecnología en un contexto de negocios.

3.3.2 FASES:     

VSAN: Valoración de Seguridad de Alto Nivel. VSA: Valoración de Seguridad de Aplicaciones. VSR: Valoración de Seguridad de Redes. VSS: Valoración de Seguridad de Servidores. VST: Valoración de Seguridad de Telecomunicaciones

4. MAGERIT Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión. La razón de ser de Magerit está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza. Interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. 4.1 HISTORIA Y EVOLUCIÓN Actualmente se encuentra en la versión 2.0, el periodo transcurrido desde la publicación de la primera versión de Magerit (1997), el análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad. En Magerit v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta evolución. En particular se reconocerá lo que se denominaba submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las fases fundamentales de análisis y gestión. Se ha corregido y ampliado lo que se denominaba “subestados de seguridad” dándole el nuevo nombre de “dimensiones” e introduciendo nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo el epígrafe de “estructuración del proyecto de análisis y gestión de riesgos”.

Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo mismo de los detalles técnicos de los sistemas de información con los que se trabaja. Se intenta una puesta al día; pero ante todo se intenta diferenciar lo que es esencial (y permanente) de lo que es coyuntural y cambiará con el tiempo. Esto se traduce en parametrizar el método de trabajo, referenciándolo a catálogos externos de amenazas y salvaguardas que se podrán actualizar, adaptándose al paso del tiempo, tanto por progreso tecnológico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto más éxito tengan los sistemas, más usuarios tendrán y simultáneamente, más sujetos habrá interesados en abusar de ellos o, simplemente, destruirlos. Así pues, quede el método, abierto de forma que estando claro qué se hace y cómo, se puedan adaptar los detalles a cada momento. Por otro lado el paso de Métrica v2.1 a Métrica v3.0 ha supuesto una completa revisión de este punto. En la v2.0 de Magerit aparece en el capítulo de “Desarrollo de Sistemas Informáticos”, enfatizando primero el desarrollo de aplicaciones aisladas y luego el proceso de desarrollo de sistemas de información completos. 4.2 DESCRIPCIÓN GENERAL DE MAGERIT Magerit persigue los siguientes objetivos: 

Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.



Ofrecer un método sistemático para analizar tales riesgos.



Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.



Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

4.3 ORGANIZACIÓN DE LAS GUÍAS: La versión 2 de Magerit se ha estructurado en tres libros: “El Método”, un "Catálogo de Elementos" y una "Guía de Técnicas". EL MÉTODO Describe los pasos y las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, y proporciona una serie de aspectos prácticos. El capítulo 2 describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación. Es una presentación netamente conceptual. El capítulo 3 describe las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente

pautar roles, actividades, hitos y documentación para que la realización del proyecto de análisis y gestión de riesgos esté bajo control en todo momento. El capítulo 4 aplica la metodología al caso del desarrollo de sistemas de información, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que están expuestos, como los riesgos que las propias aplicaciones introducen en el sistema. Como complemento, el capítulo 5 desgrana una serie de aspectos prácticos, derivados de la experiencia acumulada en el tiempo para la realización de un análisis y una gestión realmente efectivos. Los apéndices recogen material de consulta: 

Glosario



Referencias bibliográficas consideradas para el desarrollo de esta metodología



Referencias al marco legal que encuadra las tareas de análisis y gestión



El marco normativo de evaluación y certificación



Las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos



Una guía comparativa de cómo Magerit versión 1 ha evolucionado en esta versión 2.



Se desarrolla un caso práctico como ejemplo.

CATÁLOGO DE ELEMENTOS Ofrece unas pautas y elementos estándar en cuanto a: tipos de activos, dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas a considerar para proteger sistemas de información. Se persiguen dos objetivos: 1.

Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.

2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos. Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión.

Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de partida para avanzar rápidamente sin distracciones ni olvidos.

GUÍA DE TÉCNICAS Se trata de una guía de consulta que proporciona algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos: técnicas específicas para el análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles de ataque, técnicas generales, análisis coste-beneficio, diagramas de flujo de datos, diagramas de procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo (entrevistas, reuniones y presentaciones) y valoración Delphi. Es una guía de consulta. Según el lector avance por las tareas del proyecto, se le recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias para que el lector profundice en las técnicas presentadas.

4.4 EVALUACIÓN, CERTIFICACIÓN, AUDITORÍA Y ACREDITACIÓN El análisis de riesgos es una piedra angular de los procesos de evaluación, certificación, auditoría y acreditación que formalizan la confianza que merece un sistema de información. Dado que no hay dos sistemas de información iguales, la evaluación de cada sistema concreto requiere amoldarse a los componentes que lo constituyen. En análisis de riesgos proporciona una visión singular de cómo es cada sistema, qué valor posee, a qué amenazas está expuesto y de qué salvaguardas se ha dotado. Es pues el análisis de riesgos paso obligado para poder llevar a cabo todas las tareas mencionadas, que se relacionan según el siguiente esquema:

DERECHOS DE UTILIZACIÓN Magerit es una metodología de carácter público, perteneciente al Ministerio de la Presidencia de España; su utilización no requiere autorización previa del mismo.

5

COMPARATIVO CON COBIT

COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT", recomienda "Crear y dar mantenimiento a un marco de trabajo de administración de riesgos", alertándonos de esta forma de la necesidad de realizar un Análisis de Riesgos, con el fin de poder desarrollar una estrategia de mitigación de Riesgos minimizando el Riesgo Residual hasta un nivel aceptable por la organización. COBIT no especifica ninguna metodología ni herramienta de Análisis de Riesgos en particular, por lo que deja a nuestra elección la metodología más conveniente según nuestras necesidades. Aquí es donde se presenta una relación entre COBIT y Magerit ya que esta última según la definición es una metodología de administración de riesgos que proporciona políticas para asegurar la información relevante de una organización. A continuación se presenta una definición de esta metodología: MAGERIT es una metodología desarrollada en España por el Ministerio de Administraciones Públicas, que estudia los riesgos soportados por los Sistemas de Información para recomendar aquellas medidas más encaminadas a controlar su impacto. Sus objetivos básicos son, en primer lugar, concienciar a los responsables de los sistemas de información de la existencia de

riesgos y de la necesidad de que éstos sean controlados antes de que se materialicen; en segundo lugar, ofrecer un método sistemático para el análisis de dichos riesgos; en tercer lugar, ayudar a descubrir y planificar medidas oportunas para mantener los riesgos bajo control; y en cuarto lugar, ayudar a la Organización para que ésta se encuentre preparada para procesos de evaluación, auditoría, certificación y acreditación.

6 DAFP El tema de la Administración de Riesgos ya no es un tema nuevo para las entidades públicas, en virtud de que el Estado colombiano mediante el Decreto 1537 de 2001 estableció que todas las entidades de la Administración Pública deben contar con una política de Administración de Riesgos tendiente a darles un manejo adecuado a los riesgos, con el fin de lograr de la manera más eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar. En este sentido, las entidades de la Administración Pública no pueden ser ajenas al tema de los riesgos y deben buscar cómo manejarlos y controlarlos, partiendo de la base de su razón de ser y de su compromiso con la sociedad; por esto se debe tener en cuenta que los riesgos no solo son de carácter económico y están directamente relacionados con entidades financieras o con lo que se ha denominado riesgos profesionales, sino que hacen parte de cualquier gestión que se realice. 6.1 HISTORIA Y EVOLUCIÓN A través del Decreto 1599 del 20 de mayo del 2005 se adoptó el Modelo Estándar de Control Interno para todas las entidades del Estado de las que habla el artículo 5º de la Ley 87 de 1993; este modelo presenta tres Subsistemas de Control: el Estratégico, el de Gestión y el de Evaluación. La Administración del Riesgo ha sido contemplada como uno de los componentes del Subsistema de Control Estratégico y ha sido definida en el Anexo Técnico “como el conjunto de Elementos de Control que al interrelacionarse, permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pública auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos”. Al ser un componente del Subsistema de Control Estratégico, la Administración del Riesgo se sirve de la planeación estratégica (misión, visión, establecimiento de objetivos, metas, factores críticos de éxito), del campo de aplicación (procesos, proyectos, unidades de negocio, sistemas de información), del componente ambiente de control y todos sus elementos (acuerdos, compromisos y protocolos éticos, las políticas de desarrollo del talento humano y el estilo de dirección), de la identificación de eventos (internos y externos) y de los resultados generados por el componente direccionamiento estratégico y sus elementos de control (planes y programas, modelo de operación y estructura organizacional). Así mismo, debe tener en cuenta el elemento de control “controles” del Subsistema de Gestión al momento de realizar la valoración de los riesgos (identificación, medición y priorización) y la formulación de

la política (o respuesta al riesgo: evitar, aceptar, reducir, transferir). Esta mirada sistémica contribuye a que la entidad no solo garantice la gestión institucional y el logro de los objetivos, sino que fortalece el ejercicio del control interno en las entidades de la Administración Pública. La actualización de la cartilla Guía Administración del Riesgo obedece a la adopción del Modelo Estándar de Control Interno y a la armonización de la metodología planteada por la Dirección de Control Interno y Racionalización de Trámites del Departamento Administrativo de la Función Pública con el MECI 1000:2005, con el fin de facilitarles a las entidades el ejercicio de la Administración del Riesgo. Además, esta metodología apunta a fortalecer los principios de la función administrativa, enunciados en el artículo 209 de la Constitución Política de Colombia, el artículo 3º de la Ley 489 de 1998 y el Decreto 1537 de 2001, así como a dar cumplimiento a los principios constitucionales de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad, los cuales se ejercen mediante la descentralización, la delegación y la desconcentración de funciones, recordando que una de las finalidades sociales del Estado es el bienestar general y el mejoramiento de la calidad de vida de la población, acorde con los enunciados contenidos en el artículo 366 de la Carta Magna y el artículo 4º de la Ley 489 de 1998.

6.2 DESCRIPCIÓN GENERAL DE DAFP 6.3 OBJETIVOS DE DAFP GENERAL Fortalecer la implementación y desarrollo de la política de la administración del riesgo a través del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misión y objetivos institucionales de las entidades de la Administración Pública.

ESPECÍFICOS 

Generar una visión sistémica acerca de la administración y evaluación de riesgos, consolidada en un Ambiente de Control adecuado a la entidad y un Direccionamiento Estratégico que fije la orientación clara y planeada de la gestión dando las bases para el adecuado desarrollo de las Actividades de Control.



Proteger los recursos del Estado, resguardándolos contra la materialización de los riesgos.



Introducir dentro de los procesos y procedimientos las acciones de mitigación resultado de la administración del riesgo.



Involucrar y comprometer a todos los servidores de las entidades de la Administración Pública en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.



Propender a que cada entidad interactúe con otras para fortalecer su desarrollo y mantener la buena imagen y las buenas relaciones.



Asegurar el cumplimiento de normas, leyes y regulaciones.

6.4 MARCO CONCEPTUAL La Administración Pública, al ocuparse de los fenómenos de organización y gestión, no puede ser ajena a las herramientas disponibles y a las nuevas tendencias en administración, para lo cual requiere estar en constante actualización y abierta al cambio y a la aplicación de diferentes instrumentos que les permitan a las entidades ser cada vez más eficientes, por lo que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar en un momento determinado el cumplimiento de los objetivos institucionales. Por lo anterior, se hace necesario introducir el concepto de la Administración del Riesgo en las entidades, teniendo en cuenta que todas las organizaciones, independientemente de su naturaleza, tamaño y razón de ser, están permanentemente expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia. Desde la perspectiva del control, el modelo COSO interpreta que la eficiencia del control es la reducción de los riesgos, es decir, el propósito principal del control es la eliminación o reducción de los riegos propendiendo a que el proceso y sus controles garanticen de manera razonable que los riesgos están minimizados o se están reduciendo y por lo tanto que los objetivos de la organización van a ser alcanzados. Para el caso de las organizaciones públicas, dada la diversidad y particularidad de las entidades en cuanto a funciones, estructura, manejo presupuestal, contacto con la ciudadanía y el carácter del compromiso social, entre otros, es preciso identificar o precisar las áreas, los procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e incurrirse en riesgos que atentan contra la buena gestión y la obtención de resultados para tener un adecuado manejo del riesgo. Igualmente, es importante tener en cuenta que los riesgos están determinados por factores de carácter externo, también denominados del entorno, y factores de carácter interno. Entre los factores externos se destacan: la normatividad (a manera de ejemplo se pueden mencionar cambios constitucionales como el de 1991, que propuso un Estado Social de Derecho); jurisprudenciales, como los que se expresan en sentencias que declaran sin efecto normas que venían aplicándose y que en un momento determinado pueden afectar las funciones específicas de una entidad pública y por lo tanto sus objetivos. También pueden mencionarse las reformas a la Administración y los constantes recortes presupuestales que afectan la capacidad de gestión de las entidades públicas, lo cual, sumado a la reducción o eliminación total del presupuesto de inversión, obliga a considerar en todo momento el riesgo en que incurren las entidades al no poder cumplir con su objeto social.

Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los controles existentes, los procesos y procedimientos, la disponibilidad presupuestal, la forma como se vinculan las personas a las entidades, los intereses de los directivos, el nivel del talento humano, la motivación y los niveles salariales, entre otros.

El Componente de la Administración del Riesgo en el Subsistema de Control Estratégico del Modelo Estándar de Control Interno habilita a las entidades para emprender las acciones necesarias que les permitan el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos institucionales. Para ello se integran cinco Elementos de Control: el Contexto Estratégico, que permite establecer los factores internos y externos que generan posibles situaciones de riesgo; la Identificación de Riesgos, que define las causas (factores internos o externos) y efectos de las situaciones de riesgo; el Análisis de Riesgos, que aporta probabilidad de ocurrencia; la Valoración de Riesgos, para medir la exposición de la entidad a los impactos del riesgo. Todos estos elementos conducen a la definición de criterios base a la formulación del estándar de control que se consolida en las Políticas de Administración de Riesgos. Para la implementación de este componente se toman como base los Planes y programas, el Modelo de Operación y sus diferentes niveles de despliegue, a fin de establecer los posibles riesgos de los procesos y las actividades. Este componente toma como base la identificación de los factores internos o externos y de operación que puedan afectar el desarrollo de la función administrativa de la entidad; una vez identificados se asocian a los procesos, analizándolos, valorándolos y calificándolos en términos de su impacto en la gestión. Finalmente, este resultado permitirá definir las directrices para la Administración del Riesgo. Al terminar la implementación del Componente de Administración de Riesgo se espera obtener los siguientes productos:



Análisis de los factores externos e internos que implican exposición al riesgo.



Reconocimiento de situaciones de riesgo o los riesgos que afectan el cumplimiento de los objetivos de la entidad.



Medidas de respuesta ante los riesgos identificados.



Políticas de Administración de Riesgos identificados.

6.5 METODOLOGÍA Las entidades de la Administración Pública deben darle cumplimiento a su misión constitucional y legal a través de los objetivos institucionales, los cuales desarrollan programas y proyectos a partir del diseño y ejecución de los diferentes planes. El cumplimiento de dichos objetivos se puede ver afectado por la presencia de riesgos, ocasionados por factores tanto internos como externos, razón por la cual se hace necesario contar con acciones tendientes a administrarlos dentro de la entidad. El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad. Con el fin de asegurar dicho manejo, es importante que se establezca el entorno de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos: 

Contexto estratégico



Identificación de riesgos



Análisis de riesgos



Valoración de riesgos



Políticas de Administración de Riesgos

DIRECTRICES GENERALES Las etapas sugeridas para una adecuada Administración del Riesgo son las siguientes:

Compromiso de la alta y media dirección: Para el éxito en la implementación de una adecuada Administración del Riesgo, es indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de estimular la cultura de la identificación y prevención del riesgo y, en segunda instancia, de definir las políticas. Para lograrlo es importante la definición de canales directos de comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. Así mismo, debe designar a un directivo de

primer nivel para que asesore y apoye todo el proceso de diseño e implementación del Componente de Administración del Riesgo. Conformación de un Equipo MECI: Es importante conformar un equipo que se encargue de liderar el proceso de administración del riesgo dentro de la entidad y cuente con un canal directo de comunicación con el designado de la dirección y las personas designadas para trabajar el tema en las diferentes dependencias. Dicho equipo lo deben integrar personas de diferentes áreas que conozcan muy bien la entidad y el funcionamiento de los diferentes procesos, para que se facilite la administración del riesgo y la construcción de los mapas de riesgos institucionales. Capacitación en la metodología: Definido el Equipo MECI, debe capacitarse a sus integrantes en la metodología de la Administración del Riesgo y su relación con los demás Subsistemas y Elementos de Control del MECI 1000:2005, para lo cual se podrá contar con el apoyo del Departamento Administrativo de la Función Pública. Así mismo, los gerentes públicos en el proceso de actualización de sus asuntos misionales deben integrar a partir de las problemáticas de su entorno los factores de riesgo inherentes al desarrollo institucional y administrativo. ILUSTRACIÓN: PROCESO DE ADMINISTRACIÓN DEL RIESGO

6.6 CONTEXTO ESTRATÉGICO Para la formulación y operacionalización de la política de administración del riesgo es fundamental tener claridad de la misión institucional, sus objetivos y tener una visión sistémica de la gestión, de manera que no se perciba esta herramienta gerencial como algo aislado del mismo accionar administrativo. Por ende, el diseño se establece a partir de la identificación de los factores internos o externos a la entidad que pueden general riesgos que afecten el cumplimiento de sus objetivos. Así, el anexo técnico del Decreto 1599 de 2005 se define como “Elemento de Control, que permite establecer el lineamiento estratégico que orienta las decisiones de la entidad pública, frente a los riesgos que pueden afectar el cumplimiento de sus objetivos producto de la observación, distinción y análisis del conjunto de circunstancias internas y externas que puedan generar eventos que originen oportunidades o afecten el cumplimiento de su función, misión y objetivos institucionales”. Este contexto estratégico es la base para la identificación de los riesgos en los procesos y actividades. El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, entre otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados de los componentes de ambiente de control, estructura organizacional, modelo de operación, cumplimiento de los planes y programas, sistemas de información, procesos y procedimientos y los recursos económicos, entre otros. Se recomienda la aplicación de varias herramientas y técnicas; por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de flujo, análisis de escenarios y hacer revisiones periódicas de factores económicos y tecnológicos que puedan afectar a la organización, entre otros. Igualmente, pueden utilizarse diferentes fuentes de información de la entidad, tales como registros históricos, experiencias significativas registradas, opiniones de especialistas y expertos, informes de años anteriores, los cuales pueden proporcionar información importante. La técnica utilizada dependerá de las necesidades y naturaleza de la entidad. Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados: 

Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la entidad.



Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Ambiente de Control, Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad.



Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo.



El Contexto Estratégico debe tener en cuenta el contexto organizacional en el cual se verifican los objetivos de la entidad y de los procesos para comprender hacia dónde va la entidad y cuál es su misión. De esta manera se logra centrar desde su inicio el proceso de Administración de Riesgos en la consecución de los objetivos que se ha planteado la entidad.

Así mismo, es necesario que en este punto la entidad se plantee cuál es el contexto en que se desarrolla la Administración del Riesgo, estableciendo las metas, los objetivos, estrategias, alcance y parámetros para llevarla a cabo, teniendo en cuenta que esta no es un fin en sí misma, sino un medio para lograr el cumplimiento de los objetivos propuestos.

EJEMPLO DE FACTORES INTERNOS Y EXTERNOS DE RIESGO

Factores Externos

Factores Internos

Económicos: Disponibilidad de capital, emisión de deuda o no pago de esta, liquidez, mercados financieros, desempleo, competencia.

Infraestructura: Disponibilidad de activos, capacidad de los activos, acceso al capital.

Medioambientales: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

Procesos: Capacidad, diseño, ejecución, proveedores, entradas, salidas, conocimiento.

Políticos: Cambios de Gobierno. Legislación, políticas públicas, regulación.

Sociales: Demografía, responsabilidad social, terrorismo. Tecnológicos: Interrupciones, comercio electrónico, datos externos, tecnología emergente.

Personal: Capacidad del personal, salud, seguridad.

Tecnología: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento.

7

CONCLUSIONES Y OBSERVACIONES

El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración activa de las personas involucradas en el sistema de información, especialmente si la actitud es negativa, contraria o de “luchar contra las medidas de seguridad”. Es por ello que se requiere la creación de una “cultura de seguridad” que, emanando de la alta dirección, conciencie a todos los involucrados de su necesidad y pertinencia. Son dos los pilares fundamentales para la creación de esta cultura: 

Una política de seguridad corporativa que se entienda (escrita para los que no son expertos en la materia), que se difunda y que se mantenga al día.



Una formación continua a todos los niveles, recordando las cautelas rutinarias y las actividades especializadas, según la responsabilidad adscrita a cada puesto de trabajo.

A fin de que estas actividades cuajen en la organización, es imprescindible que la seguridad sea : Mínimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos. Sea “natural”: que no dé pie a errores gratuitos, que facilite el cumplimiento de las buenas prácticas propuestas. Practicada por la Dirección: que dé ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias. Los activos de información y los equipos informáticos son recursos importantes y vitales, sin ellos las organizaciones quedarían paralizadas en sus actividades y por tal razón es necesario preservarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la información y los sistemas informáticos estén apropiadamente protegidos de muchas clases de amenazas y riesgos. Para tal acción deben emplearse medidas y políticas de seguridad las cuales tienen como finalidad proporcionar instrucciones específicas sobre qué y cómo mantener seguras las tecnologías de información. En conclusión, por tanto, podemos afirmar que cualquier metodología de análisis de riesgos conlleva de forma implícita una identificación / inventario de activos, una reflexión sobre el posible catálogo de amenazas que pueden afectar a los mismos, la medición de su impacto y probabilidad de ocurrencia, así como una recomendación final sobre las salvaguardas más apropiadas para minimizar el riesgo.

8 REFERENTES 

Consejo Superior de Administración Electrónica. MAGERIT-versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Disponible en: http://www.csi.map.es/csi/pg5m20.htm



CERT – Software Engineering en:http://www.cert.org/octave/



Ministerio de Administraciones Públicas. Madrid (2006). MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información IMétodo. Disponible en: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf



Tutorial de Seguridad Informática. Disponible p.unam.mx/proyectos/tsi/capi/Cap1.html



Fluidsignal Group (2003). Arquitectura de Seguridad Informática. Disponible en: http://www.slideshare.net/fluidsignal/arquitectura-de-seguridad-de-la-informacindelima



Escuela Superior de Administración Pública –ESAP- (2009). Guía de Administración del Riesgo. Departamento administrativo de la función pública. Disponible en: http://www.dafp.gov.co/dmdocuments/GUIAADMINISTRACIONRIESGO.pdf

Institute

(2008).

en:

OCTAVE.

Disponible

http://redyseguridad.fi-