You are on page 1of 7

Universidad Nacional de Lujn

Departamento de Seguridad Informtica

Material adicional del Seminario Taller

Riesgo vs. Seguridad de la Informacin


Gestin del riesgo
Desde hace varias dcadas la informacin ha pasado de ser un producto del desarrollo de las
actividades de las organizaciones a ser un insumo de alto valor, fundamental para el cumplimiento de los
objetivos y subsistencia de las mismas. En muchas de estas organizaciones, y con el objeto de brindar
eficiencia y agilizar la administracin, los procesos incorporan la utilizacin de sistemas automatizados de
procesamiento de informacin.
El auge en el rol que ha tomado la informacin, sin embargo, no exime a las organizaciones de una serie de
peligros, que se han visto incrementados por las nuevas amenazas surgidas del uso de tecnologas de la
informacin y las comunicaciones. De esta manera, toda organizacin se encuentra constantemente
expuesta a una serie de riesgos mientras que resulta imposible establecer un entorno totalmente seguro.
La gestin de riesgos se presenta entonces como una actividad clave para el resguardo de los activos de
informacin de una organizacin y en consecuencia protege la capacidad de cumplir sus principales
objetivos. Es un proceso constante que permite a la administracin balancear los costos operacionales y
econmicos causados por la interrupcin de las actividades y la prdida de activos, con los costos de las
medidas de proteccin a aplicar sobre los sistemas de informacin y los datos que dan soporte al
funcionamiento de la organizacin, reduciendo los riegos que presentan los activos de informacin a niveles
aceptables para la misma.
El proceso de gestin de riesgos involucra cuatro actividades cclicas:
la identificacin de activos y los riesgos a los que estn expuestos
el anlisis de los riesgos identificados para cada activo
la seleccin e implantacin de controles que reduzcan los riesgos
el seguimiento, medicin y mejora de las medidas implementadas

IDENTIFICACIN
DE RIESGOS

EVALUACIN
DE RIESGOS

TRATAMIENTO
DE RIESGOS

ANLISIS
DE RIESGOS
SELECCIN E
IMPLANTACIN
SEGUIMIENTO
Y MEDICIN

Esta breve gua se centrar en las primeras dos actividades del proceso de gestin de riesgos, llegando
hasta la definicin de recomendaciones de controles a implementar que permitan reducir el riesgo al que el
sistema en estudio est expuesto.
Pgina 1 de 7

Universidad Nacional de Lujn


Departamento de Seguridad Informtica

Antes de continuar definiremos al riesgo como funcin de la probabilidad de que una amenaza aproveche o
explote una potencial vulnerabilidad en un activo de informacin, y de la magnitud del dao resultante de tal
evento adverso en la organizacin.

I. Identificacin de activos de informacin


El primer paso en la gestin de los riesgos es la definicin del alcance que tendr el estudio. En este
paso se definen los lmites del sistema en estudio a la vez que se detallan los recursos y la informacin que
constituyen el sistema, que se denominarn activos de informacin, algo esencial para posteriormente
definir el riesgo. Desde ya, es necesario un amplio conocimiento del ambiente en cuestin.
El primer concepto a contemplar es el de activo de informacin. Se denominan Activos de Informacin a
todos aquellos recursos de valor para una organizacin que generan, procesan, almacenan o transmiten
informacin.
Esto comprende:
funciones de la organizacin,
informacin y datos,
recursos fsicos (equipamiento, edificios),
recursos humanos,
recursos de software,
servicios, etc.
Asociado al concepto de activo est el rol de Propietario de Informacin, quin es responsable de
clasificar al activo de informacin de acuerdo con su grado de criticidad y de definir qu usuarios podrn
acceder al mismo.

II. Clasificacin de activos de informacin


Se define la criticidad de un activo en funcin de cun necesario resulta para las actividades de un
rea o la misin de la organizacin. Dado que en una organizacin no todos los activos de informacin
poseen el mismo valor, a la vez que un mismo activo puede poseer un valor diferente para distintas reas,
se establece una valoracin estandarizada donde el propietario de la informacin clasifica cada activo segn
las tres caractersticas bsicas de la seguridad de la informacin: la confidencialidad, la integridad, y la
disponibilidad a la que debe estar sometido.
Una posible escala para la clasificacin es la siguiente:
CONFIDENCIALIDAD

VALOR

Informacin que puede ser conocida y utilizada sin autorizacin por cualquier
persona, dentro o fuera de la Universidad.

Informacin que puede ser conocida y utilizada por todos los agentes de la
Universidad.

Informacin que slo puede ser conocida y utilizada por un grupo de agentes,
que la necesiten para realizar su trabajo.

Informacin que slo puede ser conocida y utilizada por un grupo muy reducido
de agentes, cuya divulgacin podra ocasionar un perjuicio a la Univ. o terceros.

Pgina 2 de 7

Universidad Nacional de Lujn


Departamento de Seguridad Informtica
INTEGRIDAD

VALOR

Informacin cuya modificacin no autorizada puede repararse fcilmente, o que


no afecta a las actividades de la Universidad.

Informacin cuya modificacin no autorizada puede repararse aunque podra


ocasionar un perjuicio para la Universidad o terceros.

Informacin cuya modificacin no autorizada es de difcil reparacin y podra


ocasionar un perjuicio significativo para la Universidad o terceros.

Informacin cuya modificacin no autorizada no podra repararse, impidiendo la


realizacin de las actividades.

DISPONIBILIDAD

VALOR

Informacin cuya inaccesibilidad no afecta la actividad normal de la


Universidad.

Informacin cuya inaccesibilidad permanente durante una semana podra


ocasionar un perjuicio significativo para la Universidad.

Informacin cuya inaccesibilidad permanente durante la jornada laboral podra


impedir la ejecucin de las actividades de la Universidad.

Informacin cuya inaccesibilidad permanente durante una hora podra impedir


la ejecucin de las actividades de la Universidad.

El valor mximo de las tres caractersticas determinar la criticidad del activo de informacin analizado.

Si todos son 0
Si el mximo es 1
Si el mximo es 2
Si el mximo es 3

==>
==>
==>
==>

Criticidad 0-Nula
Criticidad 1-Baja
Criticidad 2-Media
Criticidad 3-Alta

Ejemplo: Identificacin de activos


CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD

CRITICIDAD

Alta de movimientos mensuales

Base de Datos de Haberes

Red de Telefona

Destructoras de papel

...

ACTIVO

III. Identificacin de vulnerabilidades y amenazas


El objetivo de este paso es identificar las vulnerabilidades en los activos y compilar un listado de
amenazas potenciales que son aplicables al sistema que est siendo evaluado.
Una vulnerabilidad es toda debilidad en un activo de informacin, dada comnmente por la inexistencia o
ineficacia de un control. Una amenaza es todo elemento que, haciendo uso o aprovechando una
vulnerabilidad, atenta o puede atentar contra la seguridad de un activo de informacin. Las amenazas
surgen a partir de la existencia de vulnerabilidades, e independientemente de que se comprometa o no la
seguridad de un sistema.
Pgina 3 de 7

Universidad Nacional de Lujn


Departamento de Seguridad Informtica

Son ejemplos de vulnerabilidades, entre muchas otras:

la falta de mantenimiento en las instalaciones.


la falta de capacitacin al personal.
la falta de manuales de procedimientos.
la inexistencia de respaldos de informacin y equipamiento redundante.
la falta de polticas de acceso a los sistemas informticos.
la divulgacin o utilizacin de contraseas inseguras.
la transmisin de informacin por medios inseguros.
los errores de programacin en las aplicaciones.
la falta de mobiliario de oficina con llave.
el acceso irrestricto al lugar de trabajo.
la eliminacin insegura de la informacin.

Son ejemplos de amenazas:

de origen natural: eventos tales como inundaciones, terremotos, tornados, incendios, tormentas
elctricas y otros desastres naturales.
de origen humano: eventos que son permitidos o causados por seres humanos, sean estos actos
involuntarios tales como errores en la operatoria, errores de programacin, ausencia de personal
tcnico responsable; o bien acciones intencionales tales como la comisin de robo o fraude, el
acceso no autorizado a la informacin, la suplantacin de identidad, etc.
del entorno: tales como interrupciones prolongadas de servicios elctricos o de comunicaciones,
fallas por obsolescencia o mal funcionamiento de equipamiento, etc.

Ejemplo: Identificacin de vulnerabilidades


ACTIVO

CRITICIDAD

VULNERABILIDAD

Inexistencia de copias de respaldo


Alta de movimientos
mensuales

Eliminacin insegura de la informacin


Errores de programacin en el sistema

Ejemplo: Identificacin de amenazas


ACTIVO

Alta de
movimientos
mensuales

CRITICIDAD

VULNERABILIDAD

AMENAZA

Inexistencia de copias de
respaldo

Fallo en el disco rgido


Borrado accidental de la
informacin

Eliminacin insegura de la
informacin

Divulgacin no autorizada de
la informacin

Errores de programacin en el Robo de informacin


sistema
Fraude electrnico

...

...

Pgina 4 de 7

Universidad Nacional de Lujn


Departamento de Seguridad Informtica

IV. Valoracin de amenazas y determinacin del impacto


El paso siguiente para la medicin del nivel de riesgo es la determinacin del impacto adverso como
resultado de la ejecucin de una amenaza. Este impacto se puede describir en trminos de prdida o
degradacin de alguna de las tres caractersticas bsicas: confidencialidad, integridad y disponibilidad.
Para cada activo y amenaza debe estimarse la degradacin, es decir el porcentaje en que la amenaza
daa al activo en estudio estableciendo un valor entre 0 % (no lo daa) y 100 % (lo daa absolutamente)
para cada una de las caractersticas de confidencialidad, integridad y disponibilidad.

Prdida de Integridad: Se refiere al requerimiento de que el activo o la informacin sea protegido


contra la modificacin no autorizada. Se pierde integridad si se realizan cambios no autorizados en
los sistemas o se pierde parte de los datos almacenados sea por un evento accidental o
intencionado.

Prdida de Disponibilidad: El hecho de que la informacin o un sistema no est disponible para


sus usuarios, ya sea por la prdida de datos o la destruccin de elementos necesarios, puede
afectar a la efectividad operacional y consecuentemente al cumplimiento de la misin de una
organizacin.

Prdida de Confidencialidad: La confidencialidad hace referencia a la proteccin de la informacin


contra la divulgacin no autorizada. El impacto producido por un evento de estas caractersticas,
sea en forma no autorizada, intencional o inadvertida, puede variar entre la prdida de confianza en
la institucin hasta la posibilidad de acciones legales contra la misma.

Por ejemplo, podra estimarse que tras un incendio controlado, un archivo de legajos se vera afectado un
50 % en su integridad. En el caso de un sistema informtico, una falla elctrica podra afectar en un 100 %
la disponibilidad del mismo, sin afectar (0 %) su confidencialidad.
El impacto se calcula en base al mximo valor de degradacin que la amenaza produce sobre un activo, y
la criticidad del activo definida en los pasos anteriores, por ejemplo, mediante la multiplicacin de tales
valores.
Ejemplo: Valoracin de amenazas
DEGRADACIN
CONFID.

INTEG.

DISP.

IMPACTO
(TOTAL)

Fallo en el disco rgido de la PC

0,00%

40,00%

50,00%

2 x 50% = 1

Borrado accidental de informacin

0,00%

100,00%

70,00%

2 x 100% = 2

...

AMENAZA

V. Determinacin del riesgo


El propsito de este paso es establecer el nivel de riesgo que cada amenaza conlleva al sistema. La
determinacin del riesgo que cada par activo/amenaza resulta como funcin de:

la probabilidad de que ocurra el evento, es decir, que la amenaza explote la vulnerabilidad, y


la magnitud del impacto que el evento produce sobre el activo en estudio.

Pgina 5 de 7

Universidad Nacional de Lujn


Departamento de Seguridad Informtica

El cmputo de la probabilidad suele basarse en los valores histricos de frecuencia con la que ocurre (o
podra ocurrir) un evento en forma anual. Por ejemplo, si ocurren fallas elctricas al menos una vez al mes,
la frecuencia de dicha amenaza ser 12; si ocurre una inundacin cada cuatro aos, la frecuencia de dicha
amenaza ser 1/4. El riesgo al que est expuesto un activo surge de la multiplicacin de la frecuencia anual
por el impacto estimado en el paso anterior.
Ejemplo: Determinacin del riesgo
FREC.
(ANUAL)

IMPACTO
(TOTAL)

RIESGO

Fallo en el disco rgido de


la PC

1x1=1

Borrado accidental de la
informacin

3x2=6

...

ACTIVO

Alta de
movimientos
mensuales

AMENAZA

VI. Recomendacin de controles


La salida del paso anterior constituye un detalle de los riesgos a los cuales el sistema est
expuesto, a la vez que brinda un orden de prioridades de los riesgos a tratar: aquellos activos con un alto
nivel de riesgo son los que probablemente debern ser tratados en el corto plazo, buscando la forma de
contrarrestar las vulnerabilidades y amenazas; los riesgos de nivel medio tambin son relevantes pero
suelen tratarse a ms largo plazo; finalmente los riesgos de bajo nivel suelen aceptarse directamente en los
casos donde la implementacin de controles implica un mayor coste que el costo de la prdida producida
por el evento adverso.
La recomendacin de controles comprende la identificacin de medidas adecuadas que mitiguen o eliminen
los riesgos encontrados previamente. Un control o salvaguarda contribuye reduciendo el impacto que
produce una amenaza o bien la frecuencia con la que sta sucede. El objetivo es reducir el nivel de riesgo al
que el sistema en estudio est expuesto, llevndolo a un nivel aceptable, y constituye la base inicial para la
actividad siguiente de seleccin e implantacin de controles.
A la hora de determinar las recomendaciones de controles y alternativas de solucin deben de tenerse en
cuenta ciertos factores tales como:

la efectividad de las opciones recomendadas


la adecuacin a leyes y normas existentes
el impacto operacional de las modificaciones
la confiabilidad de tales controles

Por ejemplo, la incorporacin de energa a bateras permitira reducir la frecuencia de los cortes de energa
elctrica a slo 3 por ao; la incorporacin de alarmas contra incendios permitira detectar tal evento en
forma temprana reduciendo la degradacin que se produzca sobre los activos afectados.

Pgina 6 de 7

Universidad Nacional de Lujn


Departamento de Seguridad Informtica
Ejemplo: Recomendacin de controles
ACTIVO

Alta de
movimientos
mensuales

VULNERABILIDAD

AMENAZA

Borrado accidental de la
informacin
Inexistencia de
copia de respaldo
Fallo en el disco rgido de
la PC

SALVAGUARDAS

-Copias de seguridad
-Capacitacin al usuario
-Restriccin de permisos
-Copias de seguridad
-Mantenimiento preventivo
...

Finalmente, la documentacin elaborada en el transcurso de esta serie de pasos constituir un reporte de


suma utilidad para la toma de decisiones en lo que respecta a cambios operacionales y administrativos en
polticas, procedimientos, presupuestos y de utilizacin de sistemas informticos.

Pgina 7 de 7

You might also like