Dominio Admin Is Trac Ion de Riesgos

Administración de Riesgos
Education Center
Martin Valdivia
CISA,CISM,ISO 27001 LA
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Administración del Riesgo
Gestión del Riesgo (Administración del

Riesgo) es el proceso para identificar,
Education Center
controlar y mitigar el impacto de

eventos inciertos a un nivel aceptable.
www.isec-global.com
Las 5 Tareas de Gestión de Riesgo
Desarrollar un proceso de Administración del Riesgo
continuo, analítico y sistemático.
Asegurar que las actividades de identificación, análisis y
mitigación del riesgo están integradas en los procesos de
ciclo de vida.
Education Center
Aplicar los métodos de identificación y análisis de riesgo.

Definir estrategias y priorizar las acciones para mitigar el
riesgo a niveles aceptables para la Empresa.
Reportar cambios significativos en el riesgo a los niveles
jerárquicos tanto en forma periódica como cuando suceda
algún incidente.
www.isec-global.com
Panorama General
La administración del Riesgo es el

proceso de asegurar que el impacto de las
amenazas que pudieran explotar las
Education Center
vulnerabilidades estén dentro de los

limites aceptables y a costos aceptables.
En este nivel, esto se logra mediante un
equilibrio entre la exposición al riesgo y
los costos de mitigación, así como
mediante la implementación de acciones
preventivas y controles apropiados.
www.isec-global.com
Panorama General
Riesgo es la probabilidad de que un evento o

transacción cause pérdidas financieras o daños
patrimoniales a la Empresa, a su personal,
Education Center
activos o imagen en general.

Un resumen de este concepto es mostrado en
la siguiente ecuación:
Riesgo Total = Amenazas x Vulnerabilidad
x Valor del Activo
www.isec-global.com
Panorama General
El riesgo es una característica de los negocios y
dado que es impractico y poco económico eliminar
todos los riesgos, cada Empresa tiene un nivel de
riesgo que aceptará.
Education Center
Para lidiar con el riesgo, las Empresas tienen

cuatro opciones estratégicas:
• Cesar la actividad que da origen al riesgo.

• Transferir el riesgo a un tercero.
• Reducir el riesgo a través de mecanismos de control apropiados.
• Aceptar el riesgo.
www.isec-global.com
Panorama General
Transferencia del riesgo
• El riesgo puede ser reducido a niveles aceptables
transfiriéndolo a otra entidad.
Education Center
• Usualmente, el riesgo es transferido a una Compañía de

Seguros.
• Los riesgos pueden también ser transferidos mediante un
contrato a un proveedor de servicio u otra entidad.
• El costo de mitigar el riesgo no debe exceder el valor del
activo protegido.
www.isec-global.com
Panorama General
El riesgo puede ser categorizado en muchos tipos
diferentes:
• Riesgo de Procesos
• Riesgo operativo
Education Center
• Riesgo ambiental
• Riesgo Financiero
• Riesgo de T.I.
• Riesgo de Integridad
• Riesgo comercial
• etc.
www.isec-global.com
Panorama General
Proceso de Administración del Riesgo
Los elementos principales son los siguientes:
– Establecer el contexto.
Education Center
– Identificar los riesgos.

– Analizar los riesgos.
– Evaluar los riesgos.
– Tratar los riesgos.
– Monitorear y Revisar.
– Comunicar y consultar.
www.isec-global.com
Para desarrollar un programa de administración de riesgos se
requiere:
Establecer el propósito del programa de

Education Center
administración del riesgo.
Asignar responsabilidades del plan de

Administración del riesgo.
www.isec-global.com
Según el Marco CobiT
El Primer paso para el análisis del riesgo es la valuación

de activos.
Education Center
Determinar vulnerabilidades de pérdida o daño.
Evaluación de amenazas viables.
Riesgo = Valor X Vulnerabilidad X Amenazas.
Evaluación de controles.
Implantación de contramedidas.
www.isec-global.com
Marco para el análisis de riesgo
Overview o
Education Center
www.isec-global.com
Se recomienda el uso y adaptación de algún

modelo de referencia:
• National Institute of Standards and Technology Special

Publication 800-30.
Education Center
• Australian/ New Zealand Standard on riesgo administración

AS/NZS 4360:1999.
• OCTAVE
• MAGERIT
• ISM3
www.isec-global.com
Tarea 1: Desarrollar un Proceso de Administración

del Riesgo continuo, analítico y sistemático.
– La administración del riesgo debe ser un proceso continuo.
Education Center
– La administración del riesgo es crítico para cualquier programa de

seguridad y debe ser implementado como un proceso formal.
– Determinar el nivel correcto de nivel de seguridad depende de los
riesgos potenciales.
– Esto se convierte en reto debido a los cambios organizacionales,
tecnológicos y comerciales.
www.isec-global.com
Deben utilizarse Medidas Analíticas para evaluación

efectiva de la performance de las medidas de
seguridad.
Education Center
Las empresas usan comúnmente las siguientes

técnicas en este proceso :
– Identificar el perfil de riesgo de la Organización y obtener la

autorización correspondiente.
– Entender y documentar la naturaleza y el grado de exposición al
riesgo.
www.isec-global.com
– Identificar y reportar las prioridades en la administración del riesgo, lo
cual se logra mediante:
• La identificación de la probabilidad de las amenazas.
• La identificación del valor cuantitativo (monetario) y cualitativo
Education Center
(efecto) de los activos/información críticos para cuya protección se

ha implementado el programa de seguridad.
• La determinación del impacto a los negocios si una amenaza se
materializa.
Para que esto sea efectivo, el Administrador de

Seguridad de la Información debe seguir un
proceso formal.
www.isec-global.com
Para desarrollar un Proceso de Administración. del
Riesgo continuo, analítico y sistemático, el
Administrador de Seguridad de la Información debe
tener un entendimiento de:
Education Center
• Los activos de Información usados para el soporte de los procesos de

negocio.
• Las amenazas, vulnerabilidades y exposiciones relacionadas con la
confidencialidad, integridad y disponibilidad de los activos de
información.
www.isec-global.com
Activos de Información y procesos de
Negocio
– Los activos de Información pueden ser internos o proporcionados por
entidades externas a la Organización.
Education Center
– El Administrador de Seguridad de la Información necesita conocer

todos los recursos ya que estas deben ser protegidas contra ataques.
– Una vez que los activos de Información son identificados, el

Administrador de Seguridad de la Información puede definir y
emplear un programa de seguridad para proteger dichos activos.
www.isec-global.com
Amenazas, vulnerabilidades y
exposiciones
• Un aspecto clave en proteger los activos es el entendimiento
de las amenazas, vulnerabilidades y exposiciones que estos
enfrentan.
Education Center
– El Administrador de Seguridad de la Información debe

entender y priorizar las necesidades de confidencialidad,
integridad y disponibilidad de la información de la
Organización.
– Cuando se evalúan las amenazas, vulnerabilidades e impactos

que la información enfrenta, el Administrador debe desarrollar
e implementar practicas de seguridad que las mitiguen.
www.isec-global.com
Integración con los procesos de Ciclo de
Vida
Tarea 2: Integración del riesgo con los procesos de
Ciclo de Vida
– Cualquier cambio a la Organización puede afectar la información
crítica que una Organización debe asegurar.
Education Center
– Cualquier aplicación informática, red, o cambio en el hardware

pueden cambiar los riesgos totales que una Organización enfrenta.
– La Administración de Cambios es un método efectivo para mantener
la protección de seguridad adecuada.
– Un enfoque proactivo permitirá al Administrador de Seguridad de la
Información mejorar los planes e implementar políticas y
procedimientos de seguridad alineados con los objetivos del Negocio.
www.isec-global.com
Integración con los procesos de Ciclo de
Vida
Para integrar las actividades de Identificación,
análisis y mitigación del riesgo dentro de los
procesos de Ciclo de Vida, el Administrador de
Education Center
Seguridad de la Información debe conocer :

• Los principios y practicas de administración de riesgo basados en el
Ciclo de Vida.
• Principios para el desarrollo de parámetros y su relación con las
evaluaciones de los requerimientos de control basadas en riesgo.
www.isec-global.com
Principios & Prácticas de
administración de riesgo
• La administración del riesgo tiene un Ciclo de Vida.
– Costos mas efectivos para actualizar el riesgo regularmente.
– El enfoque de Ciclo de Vida se aplica para identificar, analizar,

Education Center
evaluar y dar seguimiento a los riesgos.
– Un alcance top-down sistemático se beneficia de las herramientas,

capacitación y asistencia.
– Emplear herramientas de software para dar seguimiento al Ciclo de

Vida de la administración de riesgos.
www.isec-global.com
Principios para el desarrollo de Baselines
• Configurar parámetros (baselines) es una practica de negocio
prudente.
• Los proveedores de T.I. y Organizaciones de Seguridad han
identificado el nº mínimo de controles de seguridad aceptables.
Education Center
• Existen consensos entre los proveedores, profesionales de seguridad

de información y auditores en cuanto a especificaciones de
configuración de Seguridad.
• El Administrador de Seguridad de la Información debe considerar

estos puntos en la evaluación del nivel de seguridad que es apropiado
para la Organización.
www.isec-global.com
Métodos de análisis e Identificación de
riesgo
Tarea 3: Aplicar métodos de Identificación y análisis
de riesgos
Los métodos de Identificación de riesgos deben :

Education Center
 Examinar todos los activos de Información de la Organización en

forma sistemática y objetiva.
 Ser proactivo mas que reactivo.
 Sintetizar todas las fuentes disponibles de información de riesgo.
Realizar un mapeo de riesgos o una evaluación

general de riesgos es un buen primer paso.
www.isec-global.com
riesgo
El Administrador de Seguridad de la Información
puede gestionar los riesgos operativos, físicos y de un
proyecto. Existen cuatro conceptos principales
asociados con la Identificación y análisis de riesgos:
Education Center
* Incidente de riesgo * Valor Esperado

* Probabilidad * Impacto
Los métodos técnicos incluyen el uso de software se

utilizan para identificar y dar seguimiento a los riesgos.
www.isec-global.com
riesgo
Para aplicar métodos de Identificación y análisis de
riesgo, el Administrador de Seguridad de la
Información debe conocer:
• Metodologías de valorización de activos de T.I.

Education Center
• Clasificación de Información.
• Métodos cuantitativos y cualitativos para determinar la confidencialidad
y criticidad de los activos de T.I. y el impacto de los eventos adversos.
• Uso de análisis de brechas para evaluar el estado actual versus los
estándares de buenas practicas de administración de seguridad de la
información.
www.isec-global.com
Metodologías de valoración de Activos
de Información
• Una vez identificados, el valor de los activos de Información debe ser
asignada.
– Sin una asignación del valor, se tendrán pocas bases para determinar
el nivel de seguridad apropiado.
– La valorización debe considerar variables como complejidad técnica,
Education Center
nivel de procedimientos de control y nivel de perdida financiera.

– La valorización cuantitativa es la más precisa
– La valorización cualitativa incluye una decisión basada en
conocimiento del negocio, directivas de la Administración,
perspectivas históricas, objetivos de negocio y factores ambientales.
– Muchos Administradores de Seguridad de la Información utilizan una
combinación de las técnicas.
www.isec-global.com
Clasificación de Información

debe:
• Determinar la propiedad y custodia de los activos.

Education Center
• Asignar clases o niveles de confidencialidad y criticidad a los activos

de Información.
– Asegurar que existan políticas, estándares y procedimientos para el
marcado, manipuleo, procesamiento almacenamiento, retención y
destrucción de la información.
– Hacer que las clasificaciones sean simples.
www.isec-global.com
– Los Gerentes de área y el Administrador de Seguridad

usan las clasificaciones para determinar los niveles de
Education Center
acceso.
– La clasificación de los datos reduce el riesgo de una

protección insuficiente y el costo de sobreproteger los
activos de Información alineando la seguridad a los
objetivos de negocio.
www.isec-global.com
Las preguntas que deben ser respondidas
en un programa de clasificación de
información son:
Education Center
– ¿Cuantos niveles de clasificación son necesarios?

– ¿Como será ubicada la información?
– ¿Como será clasificada la información?
– ¿Como la información será marcada, manipulada,
transportada, almacenada, archivada, retenida y destruida?
– ¿Quien es el propietario de la información?
– ¿Quien tiene la autoridad para decidir los accesos?
www.isec-global.com
Education Center
– ¿Quién tiene derechos de acceso?.

– ¿Qué aprobaciones se requieren para el acceso?
www.isec-global.com
Métodos cuantitativos y cualitativos
Un análisis de impacto es frecuentemente llevado a
cabo para identificar la confidencialidad y criticidad de
los activos de Información y documentar el impacto de
eventos adversos
– Los Métodos descritos en el Marco CobiT, NIST y Octave de CERT son

Education Center
recursos representativos que el Administrador de Seguridad de la

Información puede usar.
– Es una practica generalmente aceptada enfocarse en el impacto que una

perdida de activos de Información podría ocasionar dentro de una
Organización mas que en un incidente adverso específico.
– La perdida de activos de Información debe ser clasificada de manera

simple y el impacto debe evaluarse basado en dicha clasificación.
www.isec-global.com
Análisis de Brechas
debe usar el análisis de brechas para:
• Evaluar el estado actual versus los estándares de buenas
prácticas de administración de seguridad de la información.
Education Center
• Evaluar los niveles de madurez.

• Evaluar la efectividad.
• Identificar brechas.
• Asegurar que las prácticas de seguridad no se degraden con el
paso del tiempo.
www.isec-global.com
Mitigación de riesgo
Tarea 4: Definir estrategias y priorizar opciones para
mitigar el riesgo a niveles aceptables para la
Organización
Una vez que los riesgos a los que se enfrenta una
Organización han sido identificados y priorizados, el
Education Center
Administrador de Seguridad de la Información puede

adaptar las estrategias de seguridad y priorizar las
opciones para mitigar dichos riesgos. Los Controles
pueden incluir :
 Controles Disuasivos.
 Controles Preventitivos.
 Controles Correctivos.
 Controles Detectivos.
www.isec-global.com
Mitigación del riesgo
debe conocer:
• La variedad de herramientas y procesos para mitigar el riesgo

dentro de la estructura de la Organización.
Education Center
• Balancear las opciones disponibles contra lo que es aceptable en la

empresa.
• Considerar los costos e impacto de las medidas de seguridad en la
cultura Organizacional y su habilidad para completar los objetivos
de negocio.
• Ser consciente de que un conjunto inadecuado de estrategias de
seguridad puede dificultar el trabajo en la Organización.
www.isec-global.com
Mitigación de riesgo
Para definir estrategias y priorizar opciones para mitigar el
riesgo a niveles aceptables en la Empresa el administrador
de seguridad debe conocer:
Estrategias de mitigación de riesgo usadas en definir

requerimientos de seguridad para los activos de
Información que soportan las aplicaciones de negocio.
Education Center
Técnicas de análisis de Costo-beneficio para evaluar opciones

para mitigación de riesgos, amenazas y exposiciones a
niveles aceptables.
Los Objetivos de Tiempo de Recuperación (RTO) para activos
de Información y como determinar los RTO.
El RTO y como se relaciona con los objetivos y procesos de la
planificación de la contingencia y de continuidad de
negocio.
www.isec-global.com
Estrategias de Mitigación de riesgo
Las estrategias de mitigación de riesgo que el
Administrador de Seguridad de la Información puede usar
incluyen:
Education Center
• Aplicación de Medidas de Seguridad.

• Medidas de Seguridad física.
• Controles de Acceso Lógicos.
• Controles de Acceso a la Red.
• Parámetros de Firewall.
• Prevención/Detección de Intrusiones.
www.isec-global.com
Estrategias de mitigación de riesgo
Las estrategias de mitigación de riesgo que el
Administrador de Seguridad de la Información
puede usar incluyen (cont.):
• Procesos de administración de Crisis.

• Seguridad Inalámbrica.
Education Center
• Seguridad de Plataformas.
• Técnicas de Encriptación.
• Neutralización de Antivirus/Malware.
• Planes de recuperación.
Estas estrategias necesitan ser evaluadas y

combinadas en un programa de seguridad cohesivo.
www.isec-global.com
Técnicas de análisis Costo-Beneficio
 Todas las técnicas de mitigación de riesgo tienen beneficios
definidos.
– Todas la técnicas conllevan costos que deben ser
considerados.
Education Center
– Los costos versus los beneficios deben ser evaluados.
– Por lo regular, la evaluación de la practica de la

Administración de la Seguridad de la Información y la
determinación del presupuesto , requieren de la aprobación de
la Alta Gerencia y se necesitará de la evaluación valor del
programa de seguridad.
www.isec-global.com
RTOs para activos de Información
El Administrador de Seguridad de la Información debe tener
conocimiento del los Objetivos de Tiempo de Recuperación
(RTOs) para los activos de Información de su Organización
como parte de la evaluación integral del riesgo.
Education Center
– Las necesidades de negocio dictarán el RTO.

– Determina el RTO puede depender de muchos factores, entre los cuales:
 La necesidad cíclica (diaria, semanal, mensual, o anual) de la información y
la Organización.
 Las Interdependencias de la información.
 Los requerimientos de la Organización.
www.isec-global.com
RTOs para activos de Información
Las necesidades de la Organización pueden estar
basadas en las necesidades de los clientes, sus
expectativas, los acuerdos de nivel de servicio y los
requerimientos regulatorios.
Education Center
Existen dos perspectivas para el RTO que el

Administrador de Seguridad de la Información debe
considerar:
 De las personas cuyo trabajo es utilizar la información.
 La Alta Gerencia.
www.isec-global.com
RTO – Continuidad de Negocio
– Los RTOs son necesarios para identificar y desarrollar estrategias de

contingencia.
Education Center
– Generalmente, los RTOs mas cortos requieren procedimientos de

contingencia mas costosos.
– Existe un punto de quiebre, donde el impacto de la interrupción será

mayor que el costo de recuperación.
– Muchas Organizaciones pueden reducir sus RTOs, pero existe un

costo asociado con lograr tal finalidad.
www.isec-global.com
Informar los cambios significativos en el
riesgo
Tarea 5: Informar los cambios significativos en el riesgo a
los niveles apropiados de la Administración en forma
periódica o cuando suceda un incidente.
La evaluación del riesgo debería:
 Ser actualizado cuando existan cambios en la Organización
Education Center
 Considerar cualquier cambio significante en el perfil de riesgo de la

Organización.
 Incluir un proceso por el cual una brecha o evento de seguridad significante
sea reportada a la Alta Administración.
El Administrador de seguridad debe tener definidos

procesos mediante los cuales un evento pueda ser
evaluado basado en el impacto para la Organización.
www.isec-global.com
Informar los cambios significativos en el
riesgo
Para reportar cambios en el riesgo a un
nivel apropiado de la Administración, el
Administrador de Seguridad de la
Education Center
Información debe saber :
– Manejar y presentar información sobre el estado de

los riesgos identificados.
www.isec-global.com
Manejar y presentar información sobre
el estado de los riesgos identificados.
– Un componente importante de la administración del Ciclo de
Vida de riesgos es la evaluación de estos.
Education Center
– Los resultados y estado actual del análisis necesita ser

documentado y reportado a la Alta Gerencia.
– El Administrador de Seguridad de la Información es

responsable de administrar este proceso para asegurar que este
se lleve a cabo y que los resultados sean analizados
adecuadamente y se actué apropiadamente.
www.isec-global.com
Documentación
En cada etapa del proceso de desarrollo del
programa de administración del riesgo la
documentación debe incluir:
Education Center
– Objetivo
– Audiencia
– Activos de Información
– Suposiciones
– Decisiones.
www.isec-global.com
Documentación de políticas
Las políticas deben incluir:
Objetivos y fundamentos para la administración

del riesgo.
Education Center
Enlaces con los planes estratégicos y de negocios.

Guías sobre los riesgos aceptables.
Responsabilidad por la gestión de riesgos.
Nivel de documentación requerido.
Planes para revisión de cumplimiento.
www.isec-global.com

Dominio Admin Is Trac Ion de Riesgos

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dominio Admin Is Trac Ion de Riesgos

Uploaded by

Copyright:

Available Formats

Administración de Riesgos

Gestión del Riesgo (Administración del

controlar y mitigar el impacto de

Aplicar los métodos de identificación y análisis de riesgo.

La administración del Riesgo es el

vulnerabilidades estén dentro de los

Riesgo es la probabilidad de que un evento o

activos o imagen en general.

Para lidiar con el riesgo, las Empresas tienen

• Cesar la actividad que da origen al riesgo.

• Usualmente, el riesgo es transferido a una Compañía de

Los elementos principales son los siguientes:

– Identificar los riesgos.

Establecer el propósito del programa de

administración del riesgo.

Asignar responsabilidades del plan de

El Primer paso para el análisis del riesgo es la valuación

Determinar vulnerabilidades de pérdida o daño.

Evaluación de amenazas viables.

Riesgo = Valor X Vulnerabilidad X Amenazas.

Se recomienda el uso y adaptación de algún

• National Institute of Standards and Technology Special

• Australian/ New Zealand Standard on riesgo administración

Tarea 1: Desarrollar un Proceso de Administración

– La administración del riesgo es crítico para cualquier programa de

Deben utilizarse Medidas Analíticas para evaluación

Las empresas usan comúnmente las siguientes

– Identificar el perfil de riesgo de la Organización y obtener la

(efecto) de los activos/información críticos para cuya protección se

Para que esto sea efectivo, el Administrador de

• Los activos de Información usados para el soporte de los procesos de

– El Administrador de Seguridad de la Información necesita conocer

– Una vez que los activos de Información son identificados, el

– El Administrador de Seguridad de la Información debe

– Cuando se evalúan las amenazas, vulnerabilidades e impactos

– Cualquier aplicación informática, red, o cambio en el hardware

Seguridad de la Información debe conocer :

– Costos mas efectivos para actualizar el riesgo regularmente.

– El enfoque de Ciclo de Vida se aplica para identificar, analizar,

evaluar y dar seguimiento a los riesgos.

– Un alcance top-down sistemático se beneficia de las herramientas,

– Emplear herramientas de software para dar seguimiento al Ciclo de

• Existen consensos entre los proveedores, profesionales de seguridad

• El Administrador de Seguridad de la Información debe considerar

Los métodos de Identificación de riesgos deben :

 Examinar todos los activos de Información de la Organización en

Realizar un mapeo de riesgos o una evaluación

* Incidente de riesgo * Valor Esperado

Los métodos técnicos incluyen el uso de software se

• Metodologías de valorización de activos de T.I.

nivel de procedimientos de control y nivel de perdida financiera.

El Administrador de Seguridad de la Información

• Determinar la propiedad y custodia de los activos.

• Asignar clases o niveles de confidencialidad y criticidad a los activos

– Los Gerentes de área y el Administrador de Seguridad

– La clasificación de los datos reduce el riesgo de una

– ¿Cuantos niveles de clasificación son necesarios?

– ¿Quién tiene derechos de acceso?.

– Los Métodos descritos en el Marco CobiT, NIST y Octave de CERT son

recursos representativos que el Administrador de Seguridad de la

– Es una practica generalmente aceptada enfocarse en el impacto que una

– La perdida de activos de Información debe ser clasificada de manera

• Evaluar los niveles de madurez.