You are on page 1of 5

Universidad Nacional Mayor de San Marcos - UNMSM

Facultad de Ingeniería de Sistemas e Informática - FISI
Document1 Página 1 de 5


Un Proceso de Gestión de Riesgos de Seguridad de la Información

1. Introducción

El documento presenta un proceso de gestión de riesgos de seguridad en los activos de
información, definido siguiendo los lineamientos del estándar Australiano / Neozelandés
AS/NZS 4360:2004
1
y del español MAGERIT
2
– “Metodología de análisis y gestión de
riesgos de los sistemas de información”. El mismo que permite cumplir con la exigencia del
estándar ISO/IEC 27001:2005, en sus cláusulas 4.2.1.c - g.

Como se ilustra en la Figura 1, el proceso comprende el establecimiento del contexto y la
identificación, análisis y evaluación (denominados en conjunto valuación o assessment), y
tratamiento de los riesgos; complementándose con la comunicación y el seguimiento de
riesgos.


Figura 1. Proceso de Gestión de Riesgos de Activos de Información.

El proceso es conducido por el gestor de seguridad, con excepción del tratamiento de
riesgos (implementación, uso y monitoreo de los controles), donde la labor mayoritaria está
a cargo del equipo de ingeniería en seguridad. Luego de establecer el contexto, la valuación
comprende:
 Valorar los activos en función del costo que supondría para la organización
recuperarse de un fallo en alguna de sus dimensiones de seguridad,
 Determinar a qué amenazas están expuestos los activos,
 Identificar las vulnerabilidades de los activos ante las amenazas potenciales,
 Identificar los controles para cerrar las vulnerabilidades,
 Estimar la probabilidad de que una amenaza se materialice
 Estimar el impacto derivado de la materialización de la amenaza (en este caso se
realiza en el BIA),
 Estimar el riesgo, resultante de la probabilidad por el impacto.





1
Modelo de proceso de gestión de riesgos (Australiano / Neozelandés)
2
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (Española)
Universidad Nacional Mayor de San Marcos - UNMSM
Facultad de Ingeniería de Sistemas e Informática - FISI
Document1 Página 2 de 5

2. Establecimiento del contexto

En este caso la gestión de riesgos se realiza en el marco de un Sistema de Gestión de
Seguridad de la Información (SGSI), de manera que su alcance está delimitado por su
conjunto de activos de información, donde los Servicios TI constituyen un subconjunto
relevante, debido a que cada vez más los procesos empresariales dependen de estos. En
este documento, la mayoría de ejemplos están relacionados con servicios / activos TI,
considerados de mayor complejidad que los activos de información no tecnológicos.
3. Identificación de riesgos

Una de las entradas importantes para la valuación de riesgos es el inventario de activos
actualizado, donde se debe mantener la relación entre procesos y activos de información.

3.1 Inventario de Activos

Tomando como ejemplos de activos de información a los servicios TI, el inventario de
activos de información puede ser visto como una matriz, donde las filas representan los
servicios (S
i
) y las columnas los activos (A
j
), y la pertenencia o no del activo A
j
, en el
servicio S
i
, se indica con el valor 1 ó 0, en la intersección o celda correspondiente. Para
fines prácticos se utiliza la notación S
i
= (A
i1
, A
i2
, …, A
ij
, …, A
im
) para denotar que el servicio
S
i
está constituido por m activos. La Tabla presenta un formato ejemplo de inventario de
activos.
Tabla 2. Inventario de activos de información


Un incidente de seguridad en un activo tiende a comprometer al servicio, y a su vez al
proceso, que finalmente impacta en el desempeño de la organización. El Impacto de un
proceso k, I(P
k
), en el negocio, usualmente se determina mediante el proceso de análisis de
impacto en el negocio (o BIA por sus siglas en inglés). Siendo recomendable que este sea
heredado por los activos, para la determinación de su riesgo, es decir: I(P
k
)  I(S
i
)  I(A
ij
).

En adición al inventario de activos, para la valuación de riesgos son de gran importancia los
informes de vulnerabilidades, informes de seguimiento de riesgos y repositorio de
incidentes. El resultado es el “Informe de Análisis de Riesgos”, que establece el modo de
tratamiento y los controles a ser implementados para cada uno de los activos.

3.2 Amenazas y vulnerabilidades

Los activos son protegidos de acuerdo a su valor, determinado a partir de sus dimensiones
de seguridad (Disponibilidad, Integridad y Confidencialidad). Como se aprecia en la Figura 2,
están expuestos a eventos adversos o amenazas, que pueden materializarse explotando
vulnerabilidades o debilidades, con determinada frecuencia o probabilidad, según la eficacia
de los controles o salvaguardas vigentes.

Universidad Nacional Mayor de San Marcos - UNMSM
Facultad de Ingeniería de Sistemas e Informática - FISI
Document1 Página 3 de 5



Figura 2. Elementos de riesgos

El proceso propuesto utiliza el catálogo de amenazas de MAGERIT, y las vulnerabilidades y
controles (vigentes y recomendables) identificados por los administradores de activos, con
base en su experiencia e información de los fabricantes. Las amenazas, que pueden afectar
a más de un tipo de activo, caen en una de las categorías consignadas en la Tabla 3.

Tabla 3. Categorías de Amenazas
N Desastres naturales
I De origen industrial
E Errores y fallos no intencionados
A Ataques intencionados
4. Análisis de riesgos

Con la información obtenida en la identificación y haciendo uso del formato de trabajo
ilustrado en la Tabla 4, el equipo de valuación de riesgos (especialistas en riesgos y
administradores de activos) determina la frecuencia e impacto, calcula el riesgo actual,
establece los controles recomendados, y determina el riesgo residual, resultante luego de
que se implementen los controles.

El Riesgo de un activo resulta del producto de la Frecuencia (o Probabilidad) por el Impacto,
mientras que el riesgo de un servicio, denominado riesgo repercutido (RR), es obtenido a
partir de sus activos, por medio de una función, tal como promedio, promedio ponderado o
máximo. La Frecuencia es el estimado de cada cuánto tiempo puede materializarse una
amenaza, y el Impacto es el resultado del valor por la degradación, donde la degradación es
que tan perjudicado sale el activo (entre 0 y 100%) [2]. Las escalas para la probabilidad e
impacto se ilustran en la Figura 3.

4.1 Determinación del impacto

En esta propuesta el impacto de un activo de información es heredado de uno de los
procesos al cual asiste (el de valor más alto), determinado durante en el proceso de análisis
de impacto al negocio (o Business Impact Analysis - BIA); es decir, el impacto ocasionado
en el negocio por deficiencias en un proceso, debido a un incidente en el activo.

La misión del BIA es determinar el impacto de los procesos en el negocio, como
consecuencia de la afectación de la disponibilidad, integridad o confidencialidad de los
Universidad Nacional Mayor de San Marcos - UNMSM
Facultad de Ingeniería de Sistemas e Informática - FISI
Document1 Página 4 de 5

activos de información que lo soportan. Este se aplica a todas los procesos de la
organización y se lleva a cabo al menos una vez al año o cuando hayan cambios
significativos en los procesos. El proceso se lleva a cabo con la participación de los dueños
o responsables de cada uno de los procesos, y el patrocinio de la alta dirección.

La entrada del BIA es la matriz de procesos vs. activos de información, donde se utiliza una
escala de valoración del nivel de dependencia del proceso (0 a 3). El producto resultante es
el informe BIA, que incluye la relación de activos de información ordenados en forma
descendente por criticidad, el cual es utilizado para priorizar la protección.

Para llevarse a cabo, es necesario definir las áreas de impacto, con un peso relativo, por
ejemplo: Objetivos estratégicos (30%), Objetivos del proceso (10%), Financiero (30%),
Imagen o reputación (10%) y Situación del personal (20%). Asimismo, una escala de
valoración del impacto para cada una de estas áreas.

4.2 Determinación de la Frecuencia (F) / Probabilidad

Tanto F y F’ se determinan con base en juicio experto, haciendo uso de del formato ilustrado
en la Tabla 4. Las amenazas son las propuestas en MAGERIT.

Tabla 4. Formato de análisis de riesgos de activos de información


4.3 Cálculo del riesgo

Como se aprecia en la Figura 3, el riesgo es el resultado de la probabilidad por el impacto.


Figura 3. Factores para determinación del riesgo
Universidad Nacional Mayor de San Marcos - UNMSM
Facultad de Ingeniería de Sistemas e Informática - FISI
Document1 Página 5 de 5

5. Evaluación de riesgos
Con los resultados obtenidos en el análisis se procede a la evaluación. Para cada activo, el
proceso concluye si el riesgo es aceptable, caso contrario, se define el tratamiento (evitar,
transferir o mitigar) y se establecen los controles (salvaguardas) necesarios. En el caso de
mitigación, los controles pueden ser preventivos o correctivos, en el último caso, será
necesario definir un Plan de Continuidad de Servicios TI (denominado tradicionalmente PRD
- Plan de Recuperación ante Desastres). En esta actividad se concluye el informe de
evaluación de riesgos TI, el cual es utilizado por el proceso “Gestión de seguridad TI” para
elaborar el plan de tratamiento de riesgos.
6. Tratamiento de riesgos
Con base en el informe de riesgos de TI, el equipo de seguridad informática elabora el plan
de tratamiento de riesgos TI. Luego procede a la implementación, ejecución y monitoreo de
los controles establecidos. Este equipo elabora y remite mensualmente el informe de estado
de los controles, a las Subgerencias de Servicios y Riesgos de TI.
7. Seguimiento y control de riesgos
Con base en el informe de riesgos de TI, el plan de seguridad de TI y los informes de estado
de la seguridad, se evalúa el avance de la implementación y la eficacia de los controles
vigentes. La eficacia se mide a través de pruebas de vulnerabilidades o “ethical hacking”,
realizadas en forma coordinada o inopinada.
8. Comunicación de riesgos
Esta actividad comprende la presentación y sustentación de informes a las jefaturas
correspondientes. Asimismo, la sensibilización y educación en gestión de riesgos y
seguridad de la información a usuarios y técnicos.
9. Nivel de aceptación del riesgo
Como se ilustra en la Figura 4, los activos con riesgo extremo e intolerable deben ser
llevados al menos al nivel tolerable. Y en el caso de activos críticos deben ser llevados al
nivel aceptable.

Figura 4. Mapa de riesgos.
10. Referencias
1. AS/NZS 4360:2004
2. Estándar ISO/IEC 27001:2005
3. Estándar ISO/IEC 27002:2005
4. Estándar ISO/IEC 27005:2008
5. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las
Administraciones Públicas – MAGERIT.