Análisis de Riesgos Introducción Los riesgos en Seguridad de Información, deben ser considerados en el contexto del negocio y las interrelaciones

con otras funciones de negocios, tales como Recursos Humanos, Desarrollo, Producción, Operaciones, Administración, TI, Finanzas, etcétera, y los clientes deben ser identificados, para lograr una imagen global y completa de estos riesgos. Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información, deben de estar conscientes que la Administración del Riesgo Tecnológico juega un rol crítico. La meta principal de la Administración del Riesgo Tecnológico, debería ser “proteger a la organización y su habilidad de manejar su misión”, no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en Tecnología que operan y administran los sistemas, sino como una función esencial de Administración por parte de toda la organización.

Curso: Seguridad de Sistemas

15/04/2013

1

El Análisis de Riesgo Tecnológico es un elemento que forma parte del programa de gestión de continuidad de negocio (Business Continuity Management). considerando la probabilidad y la importancia de ocurrencia. Curso: Seguridad de Sistemas 15/04/2013 2 . En el Análisis de Riesgo Tecnológico es necesario identificar si existen controles. de no existir. evaluación y toma de decisiones. que la Administración de Riesgos es el proceso de identificación. que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado). para reducir el riesgo a un nivel aceptable.Análisis de Riesgos Conceptos básicos Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad. Por lo que podemos decir a grandes rasgos. la vulnerabilidad será de riesgo no controlado.

•Evaluar el riesgo de tal forma que se pueda priorizar. esto se realiza de forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos). a fin de determinar los controles adecuados para aceptar. sus vulnerabilidades y amenazas a los que se encuentran expuestos. así como su probabilidad de ocurrencia y el impacto de las mismas. Curso: Seguridad de Sistemas 15/04/2013 3 .Análisis de Riesgos Conceptos básicos (cont. disminuir. transferir o evitar la ocurrencia del riesgo. como de riesgo no controlado. El Análisis de Riesgos Tecnológicos es un proceso que comprende la identificación de activos informáticos. tanto a nivel de riesgo controlado.) Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: •Calcular el impacto en caso que la amenaza se presente.

Vulnerabilidad : Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo. La vulnerabilidad será variable (calculada en distintas medidas). tales como incidentes internos e incidentes externos. plenamente establecido como necesario. cuando sea medida para componentes específicos dentro de un sistema. 2. o relacionado con ésta. 3. Activo : Objeto o Recurso de valor empleado en una empresa u organización. según su origen. Curso: Seguridad de Sistemas 15/04/2013 4 . Amenaza : Una situación particular o evento. De no ser posible. Impacto : Medición de las consecuencias de llegar a materializarse una amenaza. para que los sistemas funcionen correctamente y alcancen los objetivos propuestos. Estas situaciones están íntimamente relacionadas con las modalidades de los incidentes. Estas mediciones serán realizadas por metodologías cuantitativas hasta donde el escenario y las circunstancias lo permitan. 4. con las implicaciones que esto conlleva. que puede desencadenar un incidente en la empresa u organización.Análisis de Riesgos Términos relacionados 1. serán realizadas por metodologías cualitativas. en forma atemporal. lo cual deriva en una vulnerabilidad total para la totalidad de un sistema.

en sus activos. aprovechando las distintas vulnerabilidades existentes. Desastre o Contingencia : Interrupción acceso a información y procesamiento de la computadoras y dispositivos necesarios. Ataque : Evento o hecho calificado. en la que el riesgo resulta evidenciado. 5 15/04/2013 . es la posibilidad de ocurrencia de un evento. Riesgo : De manera contextual. Regularmente se mide en porcentajes de probabilidad. a través de la operación normal de negocio. produciendo daños y/o pérdidas. como primera medida cuantitativa. para de un sistema. de las operaciones Curso: Seguridad de Sistemas de la capacidad de misma. Existe una forma alternativa. sea exitoso o no. y por ende. 7. tanto materiales como inmateriales. que atenta sobre el buen funcionamiento del sistema.) 5. como el resultado de la ocurrencia de un evento. independientemente del resultado que genera. 6. Esto implica que arriesgar puede generar resultados positivos o ganancias. de forma parcial o total.Análisis de Riesgos Términos relacionados (cont.

detallando cada uno de los elementos que lo forman. Curso: Seguridad de Sistemas 15/04/2013 6 . la prevención y la corrección. Control : Es un mecanismo de protección. Análisis : Examinar o descomponer un todo. conforme se realiza la detección. que gestiona la seguridad.) 8.Análisis de Riesgos Términos relacionados (cont. 9. a fin de determinar la relación entre sus principios y elementos. Empleado para disminuir las vulnerabilidades.

Equipos que la soportan : Software. organización y logística.Análisis de Riesgos Definición de Activos de Información Los Activos de Información son los elementos que la Seguridad Informática tiene como objetivo proteger. también otros dispositivos mecánicos o electro-mecánicos. el objetivo es el resguardo de la información. Curso: Seguridad de Sistemas 15/04/2013 7 . hardware. en algún medio electrónico o físico. que manejan la información. independientemente del lugar en donde se encuentre registrada. Son tres los elementos que conforman los activos: Información : Es el objeto de mayor valor para una organización. Usuarios : Individuos que utilizan la estructura tecnológica y de comunicaciones. que componen los dispositivos electrónicos.

La administración del riesgo hace referencia a la gestión de los recursos de la organización. el cual es indispensable para lograr una correcta administración del riesgo. la manera en que se relacionan y los cálculos realizados. al cual se le conoce como Matriz de Riesgos. Relación del Análisis de Riesgos con la Seguridad: Curso: Seguridad de Sistemas 15/04/2013 8 . En este documento se muestran los elementos identificados.Análisis de Riesgos Matríz de Riesgos El proceso de Análisis de Riesgos genera habitualmente un documento.

Evaluación del riesgo y Gestión del riesgo. La fórmula para determinar el riesgo total es: A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles. entre otras. podremos obtener el Riesgo Residual.Análisis de Riesgos Matríz de Riesgos Existen diferentes tipos de riesgos como el Riesgo Residual (RR) y Riesgo Total (RT). así como también sus distintas fases. como el Tratamiento del riesgo. Curso: Seguridad de Sistemas 15/04/2013 9 .

que son relevantes para la identificación de los activos. 3. integridad y disponibilidad. Identificación de los activos. Cálculo del riesgo. 6.Análisis de Riesgos Evaluación de Riesgos Como se describe en el BS ISO / IEC 27001:2005. 7. Evaluación del riesgo. Curso: Seguridad de Sistemas 15/04/2013 10 . Identificación de las amenazas y vulnerabilidades importantes para los activos identificados. la evaluación del riesgo incluye las siguientes acciones y actividades: 1. Identificación de los requisitos legales y de negocios. Valoración de los activos identificados. de las amenazas y las vulnerabilidades a ocurrir. Evaluación de los riesgos frente a una escala de riesgo preestablecidos (métricas). Teniendo en cuenta los requisitos legales identificados de negocios. 5. y el impacto de una pérdida de confidencialidad. 2. 8. 4.

Aceptar el riesgo : Se determina que el nivel de exposición es adecuado y por lo tanto se acepta. el mayor número de las organizaciones hoy en día. se deben realizar determinados cálculos en las diferentes etapas del riesgo. La mecánica que se ve inversa. parte del riesgo se traspasa a un tercero. Compartir el riesgo : Mediante acuerdos contractuales. Eliminar el riesgo : Eliminar el activo relacionado y con ello se elimina el riesgo (práctica menos utilizada). tal cual.Análisis de Riesgos Proceso de Administración de Riesgos El proceso de Administración de Riesgos es un proceso continuo. Los controles a implementar estarán orientados a: Controlar el riesgo : Fortalecer los controles existentes y/o agregar nuevos controles. y el impacto futuro en la estructura de riesgo de la organización. está en el esfuerzo del día a día. Curso: Seguridad de Sistemas 15/04/2013 11 . dado que es necesario evaluar periódicamente los riesgos encontrados y si estos tienen una afectación. Resulta indispensable realizar análisis de riesgo de los proyectos.

Ley Sarbanes Oxley (SOX) : Impulsada por el gobierno norteamericano. como respuesta a los mega fraudes corporativos que impulsaron Enron. relacionados con tecnología informática y sistemas de información. Curso: Seguridad de Sistemas 15/04/2013 12 .Análisis de Riesgos Regulaciones y Normativas relacionadas Comunicación “A” 4609 del BCRA para entidades Financieras : Requisitos mínimos de gestión. mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). ISO/IEC 27005 : Esta Norma proporciona directrices para la Gestión del Riesgo de Seguridad de la Información en una Organización. Basilea II : Estándar internacional que sirva de referencia a los reguladores bancarios. ISO/IEC 27001 : Especifica los requisitos necesarios para establecer. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros. para asegurar la protección de las entidades frente a los riesgos financieros y operativos. WorldCom y Peregrine Systems. con objeto de establecer los requerimientos de capital necesarios. Sin embargo. Tyco International. implementación y control de los riesgos. implantar. esta Norma no proporciona ninguna metodología específica para el análisis y la gestión del riesgo de la Seguridad de la Información.