METODOLOGIAS DE GESTION DE RIESGOS (OCTAVE, MAGERIT, DAFP)

BLANCA RUBIELA DUQUE OCHOA CDIGO 1700210274

AUDITORA CARLOS HERNN GMEZ

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERA

CONTENIDO
1. Introduccin ................................................................................................................................................ 2 2. Metodologas de Gestin de Riesgo ....................................................................................................... 2 2.1. El anlisis y gestin de riesgos en su contexto ................................................................................. 2 2.2. Incidencias y recuperacin .................................................................................................................... 3 3. Octave ......................................................................................................................................................... 4 3.1. Historia y Evolucin ............................................................................................................................... 4 3.2. Descripcin General de Octave .......................................................................................................... 5 3.3. Mtodos .................................................................................................................................................. 6 3.3.1. Caractersticas y Ventajas de los Mtodos .................................................................................... 8 3.3.2. Fases ................................................................................................................................................... 8 4. Magerit ....................................................................................................................................................... 9 4.1. Historia y Evolucin .............................................................................................................................. 9 4.2. Descripcin General de Magerit .................................................................................................. 10 4.3. Organizacin de las Guas ................................................................................................................ 10 4.4. Evaluacin, Certificacin, Auditora y Acreditacin ....................................................................... 12 5. Comparativo con Cobit ......................................................................................................................... 13 6. Dafp ......................................................................................................................................................... 13 6.1. Historia y Evolucin ........................................................................................................................... 14 6.2. Descripcin General de Dafp ........................................................................................................... 15 6.3. Objetivos de DAFP ............................................................................................................................ 15 6.4 Marco Conceptual ............................................................................................................................... 15 6.5. Metodologa ........................................................................................................................................ 17 6.6. Contexto Estratgico ......................................................................................................................... 19 7. Conclusiones y Observaciones ........................................................................................................... 21 8. Referentes .............................................................................................................................................. 22

1. Introduccin

Hoy en da la gestin de riesgos, en el mbito econmico financiero, se inserta dentro de un proceso conocido como Control Interno. El control interno es un concepto universalmente conocido que ha carecido por mucho tiempo de un marco referencial comn. Antiguamente los sistemas de control interno se limitaban a las actividades de las reas de contabilidad y finanzas sin vnculo ni relaciones establecidas, no se consideraba el control interno como un instrumento de gestin capaz de lograr la eficiencia y eficacia de sus operaciones. Gestionar los riesgos eficientemente constituye hoy en da una preocupacin de la alta gerencia, segn afirma Bernens (1997):" la grieta pequea ms grande en la armadura corporativa es la direccin de riesgos". La gestin de riesgos se facilita cuando las entidades desarrollan sus actividades sobre la base de sistemas de control interno acorde con las exigencias actuales. En el presente documento se presenta una descripcin de tres de las ms grandes metodologas de gestin de riesgos usadas actualmente, estas son: Octave, Magerit y Dafp.

2. Metodologas de Gestin de Riesgos

Definicin de Riesgo: Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente. Es importante saber qu caractersticas son de inters en cada activo, as como saber en qu medida estas caractersticas estn en peligro, es decir, analizar el sistema.
Anlisis de riesgos: Proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin. Gestin de riesgos: Seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.

2.1 EL Anlisis y gestin de riesgos en su contexto Las tareas de anlisis y gestin de riesgos no son un fin en s mismas sino que se encajan en la actividad continua de gestin de la seguridad. El anlisis de riesgos permite determinar cmo es, cunto vale y cmo de protegidos se encuentran los activos. En coordinacin con los objetivos, estrategia y poltica de la Organizacin, las actividades de gestin de riesgos permiten elaborar un plan de seguridad

que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se acepta la Direccin. La implantacin de los controles de seguridad requiere una organizacin gestionada y la participacin informada de todo el personal que trabaja con el sistema de informacin. Es este personal el responsable de la operacin diaria, de la reaccin ante incidencias y de la monitorizacin en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos. Este esquema de trabajo debe ser repetitivo pues los sistemas de informacin rara vez son inmutables; ms bien se encuentran sometidos a evolucin continua tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisin peridica en la que se aprende de la experiencia y se adapta al nuevo contexto. El anlisis de riesgos proporciona un modelo del sistema en trminos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La gestin de riesgos es la estructuracin de las acciones de seguridad para satisfacer las necesidades detectadas por el anlisis.

2.2 INCIDENCIAS Y RECUPERACIN Simtricamente, las personas involucradas deben ser conscientes de su papel y relevancia continua para prevenir problemas y reaccionar cuando se produzcan. Es importante crear una cultura de responsabilidad donde los potenciales problemas, detectados por los que estn cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisin. De esta forma el sistema de salvaguardas responder a la realidad. Cuando se produce una incidencia, el tiempo empieza a correr en contra del sistema: su supervivencia depende de la presteza y correccin de las actividades de reporte y reaccin. Cualquier error, imprecisin o ambigedad en estos momentos crticos, se ve amplificado convirtiendo lo que poda ser un mero incidente en un desastre.

Tanto de los xitos como de los fracasos conviene aprender continuamente e incorporarlos al proceso de anlisis y gestin de riesgos. La madurez de una organizacin se refleja en la pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde medidas tcnicas hasta una ptima organizacin.

3. OCTAVE
Una evaluacin efectiva de riesgos en la seguridad de la informacin considera tanto los temas organizacionales como los tcnicos, examina cmo la gente emplea la infraestructura en forma diaria. La evaluacin es de vital importancia para cualquier iniciativa de mejora en seguridad, porque genera una visin a lo ancho de la organizacin de los riesgos de seguridad de la informacin, proveyndonos de una base para mejorar a partir de all. Para que una empresa comprenda cules son las necesidades de seguridad de la informacin, OCTAVE es una tcnica de planificacin y consultora estratgica en seguridad basada en el riesgo. En contra de la tpica consultora focalizada en tecnologa, que tiene como objetivo los riesgos tecnolgicos y el foco en los temas tcticos, el objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la prctica. Cuando se aplica OCTAVE, un pequeo equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnologa de la informacin (IT) trabajan juntos dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos, Prcticas de seguridad Y Tecnologa. 3.1 HISTORIA Y EVOLUCIN OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prcticas de seguridad. La tecnologa es examinada en relacin a las prcticas de seguridad, permitiendo a las compaas tomar decisiones de proteccin de informacin basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la informacin crtica. El mtodo OCTAVE permite la comprensin del manejo de los recursos, identificacin y evaluacin de riesgos que afectan la seguridad dentro de una organizacin. Exige llevar la evaluacin de la organizacin y del personal de la tecnologa de la informacin por parte del equipo de anlisis mediante el apoyo de un patrocinador interesado en la seguridad. El mtodo OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y tecnolgicos: Identificacin de la informacin a nivel gerencial. Identificacin de la informacin a nivel operacional. Identificacin de la informacin a nivel de usuario final.

Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta OCTAVE:

Consolidacin de la informacin y creacin de perfiles de amenazas. Identificacin de componentes claves. Evaluacin de componentes seleccionados. Anlisis de riesgos de los recursos crticos. Desarrollo de estrategias de proteccin.

3.2 DESCRIPCIN GENERAL DE OCTAVE Hay tres mtodos OCTAVE: Los mtodos de OCTAVE se basan en los criterios del estndar con un enfoque en la prctica y evaluacin de la seguridad basada en la informacin de riesgo. Estos criterios establecen los principios fundamentales y los atributos de gestin de riesgos que son utilizados por los mtodos de OCTAVE. 3.3 Mtodo OCTAVE: El mtodo fue desarrollado teniendo en cuenta grandes organizaciones de 300 ms empleados, pero el tamao no fue la nica consideracin. Por ejemplo, las grandes organizaciones suelen tener una jerarqua de mltiples capas y es probable que mantengan su propia infraestructura informtica, junto con la capacidad interna para ejecutar herramientas de evaluacin de la vulnerabilidad e interpretar los resultados en relacin a los activos crticos. El mtodo utiliza una ejecucin en tres fases que examina las cuestiones organizacionales y tecnolgicas, monta una visin clara de la organizacin y sus necesidades de informacin y seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a cabo por un equipo de anlisis interdisciplinario de tres a cinco personas de la propia organizacin. El mtodo aprovecha el conocimiento de mltiples niveles de la organizacin, centrndose en: Identificar los elementos crticos y las amenazas a esos activos. La identificacin de las vulnerabilidades, tanto organizativas y tecnolgicas, que exponen a las amenazas, creando un riesgo a la organizacin. El desarrollo de una estrategia basada en la proteccin de prcticas y planes de mitigacin de riesgos para apoyar la misin de la organizacin y las prioridades.

Estas actividades son apoyadas por un catlogo de buenas prcticas, as como encuestas y hojas de clculo que se puede utilizar para obtener y captar informacin durante los debates y la solucin de sesiones-problema.

GUA PARA LA IMPLEMENTACIN: Proporciona todo lo que un equipo de anlisis de necesidades debe utilizar para llevar a cabo una evaluacin de su organizacin. Incluye un conjunto completo de procesos detallados, hojas de trabajo, y las instrucciones para cada paso en el mtodo, as como material de apoyo y orientacin para la ejecucin.

Material Introductorio Preparacin de la direccin. Adaptacin de la direccin. Administracin superior de informacin. Participantes de informacin

Material del Mtodo Para cada fase y proceso: Resumen. Directrices detalladas. Hojas de trabajo. Diapositivas y apuntes.

Materiales Adicionales Libro perfil de Activos. Catlogo de prcticas. OCTAVE de flujo de datos. Completos ejemplos de resultados. Y ms

Mtodo OCTAVE-S: Fue desarrollado en respuesta a las necesidades de organizaciones ms pequeas alrededor de 100 personas o menos. Cumple con los mismos criterios que el mtodo Octave pero est adaptado a los limitados medios y restricciones nicas de las pequeas organizaciones. Octave-S utiliza un proceso simplificado y ms hojas de trabajo diferentes, pero produce el mismo tipo de resultados. Las dos principales diferencias en esta versin de Octave son: 1. Octave-S requiere un pequeo equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa. Esta versin no comienza con el conocimiento formal sino con la obtencin de talleres para recopilar informacin sobre los elementos importantes, los requisitos de seguridad, las amenazas y las prcticas de seguridad. El supuesto es que el equipo de anlisis de esta informacin ya se conoce. 2. Octave-S incluye slo una exploracin limitada de la infraestructura informtica. Las pequeas empresas con frecuencia externalizan sus procesos de TI por completo y no tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de vulnerabilidad.

GUA DE IMPLEMENTACIN: Proporciona la mayor parte de lo que necesita un equipo de anlisis para llevar a cabo una evaluacin. Incluye hojas de trabajo y orientaciones para cada actividad, as como una introduccin, la gua de preparacin, y un ejemplo completo. No se incluye an la adaptacin de orientacin a reuniones o de informacin.

Material Introductorio Introduccin. Preparacin de Orientacin.

Material del Mtodo Para cada fase y proceso: Directrices. Hojas de Trabajo.

Materiales Adicionales Los ejemplos de resultados completos.

Mtodo OCTAVE ALLEGRO: Es una variante simplificada del mtodo de Octave que se centra en los activos de la informacin. Igual que los anteriores mtodos de Octave, Allegro se puede realizar de entrada en un taller de entorno colaborativo, pero tambin es muy apropiado para las personas que desean realizar la evaluacin de riesgo sin una amplia participacin de la organizacin o experiencia. Debido a que el enfoque principal de Octave Allegro es el activo de la informacin, la organizacin de otros importantes activos se identifican y evalan en funcin de los activos de informacin a la que estn conectados. Este proceso elimina la posible confusin sobre el alcance y reduce la posibilidad de que la recoleccin de datos y de anlisis se realice para los activos que no estn claramente definidos, fuera del alcance de la evaluacin, o que necesitan ms de la descomposicin. Consta de ocho pasos organizados en cuatro fases: Fase 1 - Evaluacin de los participantes desarrollando criterios de medicin del riesgo con las directrices de la organizacin: la misin de la organizacin, los objetivos y los factores crticos de xito. Fase 2 Cada uno de los participantes crean un perfil de los activos crticos de informacin, que establece lmites claros para el activo, identifica sus necesidades de seguridad, e identifica todos sus contenedores. Fase 3 - Los participantes identifican las amenazas a la informacin de cada activo en el contexto de sus contenedores.

Fase 4 - Los participantes identifican y analizan los riesgos para los activos de informacin y empiezan a desarrollar planes de mitigacin.

GUA DE IMPLEMENTACIN: Contiene todos los recursos necesarios para llevar a cabo una evaluacin de seguridad de la informacin. Incluye paso a paso las instrucciones detalladas para realizar la evaluacin, hojas de trabajo que acompaa al documento de la evaluacin, materiales de apoyo para la identificacin y anlisis de riesgos, y un ejemplo de una evaluacin efectuada.

Material Introductorio Introduccin y Objetivo.

Material del Mtodo Actividades detalladas, mtodo para cada paso. Incluyendo: Antecedentes y definiciones. Notas generales y conceptos. Pasos de la Actividad. Ejemplos. Notas especiales Hojas de actividades.

Materiales Adicionales Informacin de gua del contenedor del activo. Arboles de amenazas. Cuestionarios de riesgo para cada tipo de riesgo. Ejemplo completo de hojas de actividades.

3.3.1

CARACTERSTICAS Y VENTAJAS DE LOS MTODOS

Es dirigido a equipos pequeos de trabajo a travs de las unidades de negocio y de TI de la organizacin con el fin de trabajar juntos para abordar las necesidades de seguridad de la organizacin. Cada mtodo se puede adaptar a una organizacin en un nico entorno de riesgo, la seguridad, resistencia a los objetivos y el nivel de habilidad. Octave traslad a la organizacin hacia una visin basada en el riesgo operativo de la seguridad y las direcciones de la tecnologa en un contexto de negocios.

3.3.2 FASES:
VSAN: Valoracin de Seguridad de Alto Nivel. VSA: Valoracin de Seguridad de Aplicaciones. VSR: Valoracin de Seguridad de Redes. VSS: Valoracin de Seguridad de Servidores. VST: Valoracin de Seguridad de Telecomunicaciones

4. MAGERIT
Magerit es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica, como respuesta a la percepcin de que la Administracin, y, en general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin para el cumplimiento de su misin. La razn de ser de Magerit est directamente relacionada con la generalizacin del uso de las tecnologas de la informacin, que supone unos beneficios evidentes para los usuarios; pero tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza. Interesa a todos aquellos que trabajan con informacin digital y sistemas informticos para tratarla. Si dicha informacin, o los servicios que se prestan gracias a ella, son valiosos, Magerit les permitir saber cunto valor est en juego y les ayudar a protegerlo. Conocer el riesgo al que estn sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con Magerit se persigue una aproximacin metdica que no deje lugar a la improvisacin, ni dependa de la arbitrariedad del analista. 4.1 HISTORIA Y EVOLUCIN Actualmente se encuentra en la versin 2.0, el periodo transcurrido desde la publicacin de la primera versin de Magerit (1997), el anlisis de riesgos se ha venido consolidando como paso necesario para la gestin de la seguridad. En Magerit v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta evolucin. En particular se reconocer lo que se denominaba submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las fases fundamentales de anlisis y gestin. Se ha corregido y ampliado lo que se denominaba subestados de seguridad dndole el nuevo nombre de dimensiones e introduciendo nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo el epgrafe de estructuracin del proyecto de anlisis y gestin de riesgos.

Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo mismo de los detalles tcnicos de los sistemas de informacin con los que se trabaja. Se intenta una puesta al da; pero ante todo se intenta diferenciar lo que es esencial (y permanente) de lo que es coyuntural y cambiar con el tiempo. Esto se traduce en parametrizar el mtodo de trabajo, referencindolo a catlogos externos de amenazas y salvaguardas que se podrn actualizar, adaptndose al paso del tiempo, tanto por progreso tecnolgico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto ms xito tengan los sistemas, ms usuarios tendrn y simultneamente, ms sujetos habr interesados en abusar de ellos o, simplemente, destruirlos. As pues, quede el mtodo, abierto de forma que estando claro qu se hace y cmo, se puedan adaptar los detalles a cada momento. Por otro lado el paso de Mtrica v2.1 a Mtrica v3.0 ha supuesto una completa revisin de este punto. En la v2.0 de Magerit aparece en el captulo de Desarrollo de Sistemas Informticos, enfatizando primero el desarrollo de aplicaciones aisladas y luego el proceso de desarrollo de sistemas de informacin completos. 4.2 DESCRIPCIN GENERAL DE MAGERIT Magerit persigue los siguientes objetivos: Concientizar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un mtodo sistemtico para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso.

4.3 ORGANIZACIN DE LAS GUAS: La versin 2 de Magerit se ha estructurado en tres libros: El Mtodo, un "Catlogo de Elementos" y una "Gua de Tcnicas". EL MTODO Describe los pasos y las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos, y proporciona una serie de aspectos prcticos. El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo y para gestionar su mitigacin. Es una presentacin netamente conceptual. El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente

pautar roles, actividades, hitos y documentacin para que la realizacin del proyecto de anlisis y gestin de riesgos est bajo control en todo momento. El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de informacin, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que estn expuestos, como los riesgos que las propias aplicaciones introducen en el sistema. Como complemento, el captulo 5 desgrana una serie de aspectos prcticos, derivados de la experiencia acumulada en el tiempo para la realizacin de un anlisis y una gestin realmente efectivos. Los apndices recogen material de consulta: Glosario Referencias bibliogrficas consideradas para el desarrollo de esta metodologa Referencias al marco legal que encuadra las tareas de anlisis y gestin El marco normativo de evaluacin y certificacin Las caractersticas que se requieren de las herramientas, presentes o futuras, para soportar el proceso de anlisis y gestin de riesgos Una gua comparativa de cmo Magerit versin 1 ha evolucionado en esta versin 2. Se desarrolla un caso prctico como ejemplo.

CATLOGO DE ELEMENTOS Ofrece unas pautas y elementos estndar en cuanto a: tipos de activos, dimensiones de valoracin de los activos, criterios de valoracin de los activos, amenazas tpicas sobre los sistemas de informacin y salvaguardas a considerar para proteger sistemas de informacin. Se persiguen dos objetivos: 1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estndar a los que puedan adscribirse rpidamente, centrndose en lo especfico del sistema objeto del anlisis.

2. Por otra, homogeneizar los resultados de los anlisis, promoviendo una terminologa y unos criterios uniformes que permitan comparar e incluso integrar anlisis realizados por diferentes equipos. Cada seccin incluye una notacin XML que se emplear para publicar regularmente los elementos en un formato estndar capaz de ser procesado automticamente por herramientas de anlisis y gestin.

Si el lector usa una herramienta de anlisis y gestin de riesgos, este catlogo ser parte de la misma; si el anlisis se realiza manualmente, este catlogo proporciona una amplia base de partida para avanzar rpidamente sin distracciones ni olvidos.

GUA DE TCNICAS Se trata de una gua de consulta que proporciona algunas tcnicas que se emplean habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos: tcnicas especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis algortmico, rboles de ataque, tcnicas generales, anlisis coste-beneficio, diagramas de flujo de datos, diagramas de procesos, tcnicas grficas, planificacin de proyectos, sesiones de trabajo (entrevistas, reuniones y presentaciones) y valoracin Delphi. Es una gua de consulta. Segn el lector avance por las tareas del proyecto, se le recomendar el uso de ciertas tcnicas especficas, de las que esta gua busca ser una introduccin, as como proporcionar referencias para que el lector profundice en las tcnicas presentadas.

4.4 EVALUACIN, CERTIFICACIN, AUDITORA Y ACREDITACIN El anlisis de riesgos es una piedra angular de los procesos de evaluacin, certificacin, auditora y acreditacin que formalizan la confianza que merece un sistema de informacin. Dado que no hay dos sistemas de informacin iguales, la evaluacin de cada sistema concreto requiere amoldarse a los componentes que lo constituyen. En anlisis de riesgos proporciona una visin singular de cmo es cada sistema, qu valor posee, a qu amenazas est expuesto y de qu salvaguardas se ha dotado. Es pues el anlisis de riesgos paso obligado para poder llevar a cabo todas las tareas mencionadas, que se relacionan segn el siguiente esquema:

DERECHOS DE UTILIZACIN Magerit es una metodologa de carcter pblico, perteneciente al Ministerio de la Presidencia de Espaa; su utilizacin no requiere autorizacin previa del mismo.

COMPARATIVO CON COBIT

COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT", recomienda "Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos", alertndonos de esta forma de la necesidad de realizar un Anlisis de Riesgos, con el fin de poder desarrollar una estrategia de mitigacin de Riesgos minimizando el Riesgo Residual hasta un nivel aceptable por la organizacin. COBIT no especifica ninguna metodologa ni herramienta de Anlisis de Riesgos en particular, por lo que deja a nuestra eleccin la metodologa ms conveniente segn nuestras necesidades. Aqu es donde se presenta una relacin entre COBIT y Magerit ya que esta ltima segn la definicin es una metodologa de administracin de riesgos que proporciona polticas para asegurar la informacin relevante de una organizacin. A continuacin se presenta una definicin de esta metodologa: MAGERIT es una metodologa desarrollada en Espaa por el Ministerio de Administraciones Pblicas, que estudia los riesgos soportados por los Sistemas de Informacin para recomendar aquellas medidas ms encaminadas a controlar su impacto. Sus objetivos bsicos son, en primer lugar, concienciar a los responsables de los sistemas de informacin de la existencia de

riesgos y de la necesidad de que stos sean controlados antes de que se materialicen; en segundo lugar, ofrecer un mtodo sistemtico para el anlisis de dichos riesgos; en tercer lugar, ayudar a descubrir y planificar medidas oportunas para mantener los riesgos bajo control; y en cuarto lugar, ayudar a la Organizacin para que sta se encuentre preparada para procesos de evaluacin, auditora, certificacin y acreditacin.

6 DAFP
El tema de la Administracin de Riesgos ya no es un tema nuevo para las entidades pblicas, en virtud de que el Estado colombiano mediante el Decreto 1537 de 2001 estableci que todas las entidades de la Administracin Pblica deben contar con una poltica de Administracin de Riesgos tendiente a darles un manejo adecuado a los riesgos, con el fin de lograr de la manera ms eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar. En este sentido, las entidades de la Administracin Pblica no pueden ser ajenas al tema de los riesgos y deben buscar cmo manejarlos y controlarlos, partiendo de la base de su razn de ser y de su compromiso con la sociedad; por esto se debe tener en cuenta que los riesgos no solo son de carcter econmico y estn directamente relacionados con entidades financieras o con lo que se ha denominado riesgos profesionales, sino que hacen parte de cualquier gestin que se realice. 6.1 HISTORIA Y EVOLUCIN A travs del Decreto 1599 del 20 de mayo del 2005 se adopt el Modelo Estndar de Control Interno para todas las entidades del Estado de las que habla el artculo 5 de la Ley 87 de 1993; este modelo presenta tres Subsistemas de Control: el Estratgico, el de Gestin y el de Evaluacin. La Administracin del Riesgo ha sido contemplada como uno de los componentes del Subsistema de Control Estratgico y ha sido definida en el Anexo Tcnico com o el conjunto de Elementos de Control que al interrelacionarse, permiten a la entidad pblica evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su funcin. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pblica auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos. Al ser un componente del Subsistema de Control Estratgico, la Administracin del Riesgo se sirve de la planeacin estratgica (misin, visin, establecimiento de objetivos, metas, factores crticos de xito), del campo de aplicacin (procesos, proyectos, unidades de negocio, sistemas de informacin), del componente ambiente de control y todos sus elementos (acuerdos, compromisos y protocolos ticos, las polticas de desarrollo del talento humano y el estilo de direccin), de la identificacin de eventos (internos y externos) y de los resultados generados por el componente direccionamiento estratgico y sus elementos de control (planes y programas, modelo de operacin y estructura organizacional). As mismo, debe tener en cuenta el elemento de control controles del Subsistema de Gestin al momento de realizar la valoracin de los riesgos (identificacin, medicin y priorizacin) y la formulacin de

la poltica (o respuesta al riesgo: evitar, aceptar, reducir, transferir). Esta mirada sistmica contribuye a que la entidad no solo garantice la gestin institucional y el logro de los objetivos, sino que fortalece el ejercicio del control interno en las entidades de la Administracin Pblica. La actualizacin de la cartilla Gua Administracin del Riesgo obedece a la adopcin del Modelo Estndar de Control Interno y a la armonizacin de la metodologa planteada por la Direccin de Control Interno y Racionalizacin de Trmites del Departamento Administrativo de la Funcin Pblica con el MECI 1000:2005, con el fin de facilitarles a las entidades el ejercicio de la Administracin del Riesgo. Adems, esta metodologa apunta a fortalecer los principios de la funcin administrativa, enunciados en el artculo 209 de la Constitucin Poltica de Colombia, el artculo 3 de la Ley 489 de 1998 y el Decreto 1537 de 2001, as como a dar cumplimiento a los principios constitucionales de igualdad, moralidad, eficacia, economa, celeridad, imparcialidad y publicidad, los cuales se ejercen mediante la descentralizacin, la delegacin y la desconcentracin de funciones, recordando que una de las finalidades sociales del Estado es el bienestar general y el mejoramiento de la calidad de vida de la poblacin, acorde con los enunciados contenidos en el artculo 366 de la Carta Magna y el artculo 4 de la Ley 489 de 1998.

6.2 DESCRIPCIN GENERAL DE DAFP 6.3 OBJETIVOS DE DAFP GENERAL Fortalecer la implementacin y desarrollo de la poltica de la administracin del riesgo a travs del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misin y objetivos institucionales de las entidades de la Administracin Pblica.

ESPECFICOS Generar una visin sistmica acerca de la administracin y evaluacin de riesgos, consolidada en un Ambiente de Control adecuado a la entidad y un Direccionamiento Estratgico que fije la orientacin clara y planeada de la gestin dando las bases para el adecuado desarrollo de las Actividades de Control. Proteger los recursos del Estado, resguardndolos contra la materializacin de los riesgos.

Introducir dentro de los procesos y procedimientos las acciones de mitigacin resultado de la administracin del riesgo.

Involucrar y comprometer a todos los servidores de las entidades de la Administracin Pblica en la bsqueda de acciones encaminadas a prevenir y administrar los riesgos. Propender a que cada entidad interacte con otras para fortalecer su desarrollo y mantener la buena imagen y las buenas relaciones. Asegurar el cumplimiento de normas, leyes y regulaciones.

6.4 MARCO CONCEPTUAL La Administracin Pblica, al ocuparse de los fenmenos de organizacin y gestin, no puede ser ajena a las herramientas disponibles y a las nuevas tendencias en administracin, para lo cual requiere estar en constante actualizacin y abierta al cambio y a la aplicacin de diferentes instrumentos que les permitan a las entidades ser cada vez ms eficientes, por lo que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar en un momento determinado el cumplimiento de los objetivos institucionales. Por lo anterior, se hace necesario introducir el concepto de la Administracin del Riesgo en las entidades, teniendo en cuenta que todas las organizaciones, independientemente de su naturaleza, tamao y razn de ser, estn permanentemente expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia. Desde la perspectiva del control, el modelo COSO interpreta que la eficiencia del control es la reduccin de los riesgos, es decir, el propsito principal del control es la eliminacin o reduccin de los riegos propendiendo a que el proceso y sus controles garanticen de manera razonable que los riesgos estn minimizados o se estn reduciendo y por lo tanto que los objetivos de la organizacin van a ser alcanzados. Para el caso de las organizaciones pblicas, dada la diversidad y particularidad de las entidades en cuanto a funciones, estructura, manejo presupuestal, contacto con la ciudadana y el carcter del compromiso social, entre otros, es preciso identificar o precisar las reas, los procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e incurrirse en riesgos que atentan contra la buena gestin y la obtencin de resultados para tener un adecuado manejo del riesgo. Igualmente, es importante tener en cuenta que los riesgos estn determinados por factores de carcter externo, tambin denominados del entorno, y factores de carcter interno. Entre los factores externos se destacan: la normatividad (a manera de ejemplo se pueden mencionar cambios constitucionales como el de 1991, que propuso un Estado Social de Derecho); jurisprudenciales, como los que se expresan en sentencias que declaran sin efecto normas que venan aplicndose y que en un momento determinado pueden afectar las funciones especficas de una entidad pblica y por lo tanto sus objetivos. Tambin pueden mencionarse las reformas a la Administracin y los constantes recortes presupuestales que afectan la capacidad de gestin de las entidades pblicas, lo cual, sumado a la reduccin o eliminacin total del presupuesto de inversin, obliga a considerar en todo momento el riesgo en que incurren las entidades al no poder cumplir con su objeto social.

Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los controles existentes, los procesos y procedimientos, la disponibilidad presupuestal, la forma como se vinculan las personas a las entidades, los intereses de los directivos, el nivel del talento humano, la motivacin y los niveles salariales, entre otros.

El Componente de la Administracin del Riesgo en el Subsistema de Control Estratgico del Modelo Estndar de Control Interno habilita a las entidades para emprender las acciones necesarias que les permitan el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos institucionales. Para ello se integran cinco Elementos de Control: el Contexto Estratgico, que permite establecer los factores internos y externos que generan posibles situaciones de riesgo; la Identificacin de Riesgos, que define las causas (factores internos o externos) y efectos de las situaciones de riesgo; el Anlisis de Riesgos, que aporta probabilidad de ocurrencia; la Valoracin de Riesgos, para medir la exposicin de la entidad a los impactos del riesgo. Todos estos elementos conducen a la definicin de criterios base a la formulacin del estndar de control que se consolida en las Polticas de Administracin de Riesgos. Para la implementacin de este componente se toman como base los Planes y programas, el Modelo de Operacin y sus diferentes niveles de despliegue, a fin de establecer los posibles riesgos de los procesos y las actividades. Este componente toma como base la identificacin de los factores internos o externos y de operacin que puedan afectar el desarrollo de la funcin administrativa de la entidad; una vez identificados se asocian a los procesos, analizndolos, valorndolos y calificndolos en trminos de su impacto en la gestin. Finalmente, este resultado permitir definir las directrices para la Administracin del Riesgo. Al terminar la implementacin del Componente de Administracin de Riesgo se espera obtener los siguientes productos:

Anlisis de los factores externos e internos que implican exposicin al riesgo.

Reconocimiento de situaciones de riesgo o los riesgos que afectan el cumplimiento de los objetivos de la entidad. Medidas de respuesta ante los riesgos identificados. Polticas de Administracin de Riesgos identificados.

6.5 METODOLOGA Las entidades de la Administracin Pblica deben darle cumplimiento a su misin constitucional y legal a travs de los objetivos institucionales, los cuales desarrollan programas y proyectos a partir del diseo y ejecucin de los diferentes planes. El cumplimiento de dichos objetivos se puede ver afectado por la presencia de riesgos, ocasionados por factores tanto internos como externos, razn por la cual se hace necesario contar con acciones tendientes a administrarlos dentro de la entidad. El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad. Con el fin de asegurar dicho manejo, es importante que se establezca el entorno de la entidad, la identificacin, anlisis, valoracin y definicin de las alternativas de acciones de mitigacin de los riesgos: Contexto estratgico Identificacin de riesgos Anlisis de riesgos Valoracin de riesgos Polticas de Administracin de Riesgos

DIRECTRICES GENERALES Las etapas sugeridas para una adecuada Administracin del Riesgo son las siguientes:

Compromiso de la alta y media direccin: Para el xito en la implementacin de una adecuada Administracin del Riesgo, es indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de estimular la cultura de la identificacin y prevencin del riesgo y, en segunda instancia, de definir las polticas. Para lograrlo es importante la definicin de canales directos de comunicacin y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. As mismo, debe designar a un directivo de

primer nivel para que asesore y apoye todo el proceso de diseo e implementacin del Componente de Administracin del Riesgo. Conformacin de un Equipo MECI: Es importante conformar un equipo que se encargue de liderar el proceso de administracin del riesgo dentro de la entidad y cuente con un canal directo de comunicacin con el designado de la direccin y las personas designadas para trabajar el tema en las diferentes dependencias. Dicho equipo lo deben integrar personas de diferentes reas que conozcan muy bien la entidad y el funcionamiento de los diferentes procesos, para que se facilite la administracin del riesgo y la construccin de los mapas de riesgos institucionales. Capacitacin en la metodologa: Definido el Equipo MECI, debe capacitarse a sus integrantes en la metodologa de la Administracin del Riesgo y su relacin con los dems Subsistemas y Elementos de Control del MECI 1000:2005, para lo cual se podr contar con el apoyo del Departamento Administrativo de la Funcin Pblica. As mismo, los gerentes pblicos en el proceso de actualizacin de sus asuntos misionales deben integrar a partir de las problemticas de su entorno los factores de riesgo inherentes al desarrollo institucional y administrativo. ILUSTRACIN: PROCESO DE ADMINISTRACIN DEL RIESGO

6.6 CONTEXTO ESTRATGICO Para la formulacin y operacionalizacin de la poltica de administracin del riesgo es fundamental tener claridad de la misin institucional, sus objetivos y tener una visin sistmica de la gestin, de manera que no se perciba esta herramienta gerencial como algo aislado del mismo accionar administrativo. Por ende, el diseo se establece a partir de la identificacin de los factores internos o externos a la entidad que pueden general riesgos que afecten el cumplimiento de sus objetivos. As, el anexo tcnico del Decreto 1599 de 2005 se define como Elemento de Control, que permite establecer el lineamiento estratgico que orienta las decisiones de la entidad pblica, frente a los riesgos que pueden afectar el cumplimiento de sus objetivos producto de la observacin, distincin y anlisis del conjunto de circunstancias internas y externas que puedan generar eventos que originen oportunidades o afecten el cumplimiento de su funcin, misin y objetivos institucionales. Este contexto estratgico es la base para la identificacin de los riesgos en los procesos y actividades. El anlisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de carcter social, econmico, cultural, de orden pblico, poltico, legal y/o cambios tecnolgicos, entre otros; se alimenta tambin con el anlisis de la situacin actual de la entidad, basado en los resultados de los componentes de ambiente de control, estructura organizacional, modelo de operacin, cumplimiento de los planes y programas, sistemas de informacin, procesos y procedimientos y los recursos econmicos, entre otros. Se recomienda la aplicacin de varias herramientas y tcnicas; por ejemplo: entrevistas estructuradas con expertos en el rea de inters, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de flujo, anlisis de escenarios y hacer revisiones peridicas de factores econmicos y tecnolgicos que puedan afectar a la organizacin, entre otros. Igualmente, pueden utilizarse diferentes fuentes de informacin de la entidad, tales como registros histricos, experiencias significativas registradas, opiniones de especialistas y expertos, informes de aos anteriores, los cuales pueden proporcionar informacin importante. La tcnica utilizada depender de las necesidades y naturaleza de la entidad. Con la realizacin de esta etapa se busca que la entidad obtenga los siguientes resultados: Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el anlisis de la informacin externa y los planes y programas de la entidad. Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el anlisis de los componentes Ambiente de Control, Direccionamiento Estratgico y dems estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad. Aportar informacin que facilite y enriquezca las dems etapas de la Administracin del Riesgo.

El Contexto Estratgico debe tener en cuenta el contexto organizacional en el cual se verifican los objetivos de la entidad y de los procesos para comprender hacia dnde va la entidad y cul es su misin. De esta manera se logra centrar desde su inicio el proceso de Administracin de Riesgos en la consecucin de los objetivos que se ha planteado la entidad.

As mismo, es necesario que en este punto la entidad se plantee cul es el contexto en que se desarrolla la Administracin del Riesgo, estableciendo las metas, los objetivos, estrategias, alcance y parmetros para llevarla a cabo, teniendo en cuenta que esta no es un fin en s misma, sino un medio para lograr el cumplimiento de los objetivos propuestos.

EJEMPLO DE FACTORES INTERNOS Y EXTERNOS DE RIESGO

Factores Externos Econmicos: Disponibilidad de capital, emisin de deuda o no pago de esta, liquidez, mercados financieros, desempleo, competencia.

Factores Internos Infraestructura: Disponibilidad de activos, capacidad de los activos, acceso al capital. Personal: Capacidad del personal, salud, seguridad. Procesos: Capacidad, diseo, ejecucin, proveedores, entradas, salidas, conocimiento.

Medioambientales: Emisiones y residuos, energa, catstrofes naturales, desarrollo sostenible.

Polticos: Cambios de Gobierno. Legislacin, polticas pblicas, regulacin.

Tecnologa: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, produccin, mantenimiento.

Sociales: Demografa, responsabilidad social, terrorismo. Tecnolgicos: Interrupciones, comercio electrnico, datos externos, tecnologa emergente.

CONCLUSIONES Y OBSERVACIONES

El mejor plan de seguridad se vera seriamente hipotecado sin una colaboracin activa de las personas involucradas en el sistema de informacin, especialmente si la actitud es negativa, contraria o de luchar contra las medidas de seguridad. Es por ello que se requiere la creacin de una cultura de seguridad que, emanando de la alta direccin, conciencie a todos los involucrados de su necesidad y pertinencia. Son dos los pilares fundamentales para la creacin de esta cultura: Una poltica de seguridad corporativa que se entienda (escrita para los que no son expertos en la materia), que se difunda y que se mantenga al da. Una formacin continua a todos los niveles, recordando las cautelas rutinarias y las actividades especializadas, segn la responsabilidad adscrita a cada puesto de trabajo.

A fin de que estas actividades cuajen en la organizacin, es imprescindible que la seguridad sea : Mnimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos. Sea natural: que no d pie a errores gratuitos, que facilite el cumplimiento de las buenas prcticas propuestas. Practicada por la Direccin: que d ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias. Los activos de informacin y los equipos informticos son recursos importantes y vitales, sin ellos las organizaciones quedaran paralizadas en sus actividades y por tal razn es necesario preservarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la informacin y los sistemas informticos estn apropiadamente protegidos de muchas clases de amenazas y riesgos. Para tal accin deben emplearse medidas y polticas de seguridad las cuales tienen como finalidad proporcionar instrucciones especficas sobre qu y cmo mantener seguras las tecnologas de informacin. En conclusin, por tanto, podemos afirmar que cualquier metodologa de anlisis de riesgos conlleva de forma implcita una identificacin / inventario de activos, una reflexin sobre el posible catlogo de amenazas que pueden afectar a los mismos, la medicin de su impacto y probabilidad de ocurrencia, as como una recomendacin final sobre las salvaguardas ms apropiadas para minimizar el riesgo.

8 REFERENTES

Consejo Superior de Administracin Electrnica. MAGERIT-versin 2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Disponible en: http://www.csi.map.es/csi/pg5m20.htm

CERT Software Engineering en:http://www.cert.org/octave/

Institute

(2008).

OCTAVE.

Disponible

Ministerio de Administraciones Pblicas. Madrid (2006). MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin IMtodo. Disponible en: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf

Tutorial de Seguridad Informtica. Disponible p.unam.mx/proyectos/tsi/capi/Cap1.html

en:

http://redyseguridad.fi-

Fluidsignal Group (2003). Arquitectura de Seguridad Informtica. Disponible en: http://www.slideshare.net/fluidsignal/arquitectura-de-seguridad-de-la-informacindelima

Escuela Superior de Administracin Pblica ESAP- (2009). Gua de Administracin del Riesgo. Departamento administrativo de la funcin pblica. Disponible en: http://www.dafp.gov.co/dmdocuments/GUIAADMINISTRACIONRIESGO.pdf