Gestin de Riesgo

https://protejete.wordpress.com/gdr_principal/matriz_riesgo/

 La Gestin de Riesgo es un mtodo para determinar, analizar, valorar

y clasificar el riesgo, para posteriormente implementar mecanismos
que permitan controlarlo.
La Administracin de Riesgos resuelve lo siguiente:
1. Tiempo de respuesta de una amenaza
2. Cumplimientos con las normativas y Acuerdos
3. Costos de Administracin de Infraestructura
4. Priorizacin de los riesgos

Enfoques de la administracin de Riesgos:

Reactivo : el equipo del proyecto reacciona a las consecuencias de los
riesgos (los problemas reales) conforme ocurren. (bomberos)
Proactivo : el equipo del proyecto cuenta con un proceso visible para
administrarlos. Este proceso se puede medir y repetir.

Reactivo: Respuestas a incidencias de seguridad

1. Proteger la vida humana y la seguridad de las personas. Por ejemplo, si los equipos afectados incluyen equipos de
mantenimiento de vida, apagarlos puede no ser una opcin; tal vez se pueden aislar lgicamente los sistemas en la red cambiando la
configuracin de enrutadores y conmutadores sin interrumpir su capacidad de ayudar a los pacientes.

2.Contener el dao:

Proteja rpidamente los datos, el software y el hardware importantes. Minimizar la alteracin de los recursos
informacin es una consideracin importante, pero mantener los sistemas conectados durante un ataque puede causar ms problemas y
de mayor difusin a largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar los daos desconectando los
servidores de la red. No obstante, desconectar los servidores puede resultar ms perjudicial que beneficioso. Utilice su criterio y
conocimientos de la red y sistemas para tomar esta decisin.

3.Evaluar el dao. Cree inmediatamente un duplicado de los discos duros de los servidores atacados y qutelos para realizar un
examen forense posterior. A continuacin, evale los daos. Debe empezar por determinar el alcance de los daos que el ataque ha
causado tan pronto como sea posible, inmediatamente despus de contener la situacin y duplicar los discos duros.

4.Determinar la causa del dao. Para determinar el origen del asalto, es necesario conocer los recursos a los que iba dirigido el
ataque y las vulnerabilidades que se han aprovechado para obtener acceso o interrumpir los servicios. Revise la configuracin del sistema,
el nivel de revisin, los registros del sistema, los registros de auditora y las pistas de auditora en los sistemas afectados directamente y
en los dispositivos de red que les enrutan el trfico.

5.Reparar el dao. Es de suma importancia que se repare el dao tan pronto como sea posible para as restaurar las operaciones de
negocios normales y los datos que se han perdido durante el ataque. Los planes y procedimientos de continuidad de negocio de la
organizacin deben cubrir la estrategia de restauracin. El equipo de respuesta a incidencias tambin debe estar disponible para
encargarse del proceso de restauracin y recuperacin, o para proporcionar orientacin acerca del proceso al equipo responsable.

6.Revisar las directivas de respuesta y actualizacin. Despus de haber completado las fases de documentacin y
recuperacin, debe revisar a fondo el proceso. Determine con su equipo cules son los pasos que se realizaron correctamente y qu
errores se cometieron.

Proactivo: Reducir las incidencias

1. Identificar los activos de negocios.
2. Determinar el dao que un ataque a un
activo podra provocar a la organizacin.
3.Identificar las vulnerabilidades que
aprovechar el ataque.
4.Determinar el modo de minimizar el
riesgo de ataque mediante la
implementacin de los controles
adecuados.

En su forma general contiene cuatro fases

Anlisis: Determina los componentes de un sistema que requiere proteccin, sus
vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de
revelar su grado de riesgo.
Clasificacin: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reduccin: Define e implementa las medidas de proteccin. Adems sensibiliza y capacita los
usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

Todo el proceso est basado en las llamadas polticas de seguridad, normas y reglas institucionales, que
forman el marco operativo del proceso, con el propsito de
Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el
resultado de reducir el riesgo.
Orientar el funcionamiento organizativo y funcional.
Garantizar comportamiento homogneo.
Garantizar correccin de conductas o prcticas que nos hacen vulnerables.
Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

Riesgo = amenazas y vulnerabilidades + dao

Amenazas

Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento que

puede producir un dao (material o inmaterial) sobre los elementos de un
sistema.
Si la Seguridad Informtica tiene como propsitos de garantizar la
confidencialidad, integridad, disponibilidad de los datos los daos que puede
causar un evento, hay que verlos en relacin con la confidencialidad, integridad,
disponibilidad y autenticidad de los datos.

 Amenazas ms preocupantes:
Ataques de virus (>50%)
Robo de celulares, porttiles y otros
equipos (>40%)
Falta de respaldo de datos
Perdida de informacin por rotacin,
salida de personal
Abuso de conocimientos internos
Mal manejo de equipos y programas
Acceso no-autorizado

La Vulnerabilidad
es la capacidad, las condiciones y caractersticas del sistema mismo
(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas,
con el resultado de sufrir algn dao. En otras palabras, es la capacitad y
posibilidad de un sistema de responder o reaccionar a una amenaza o de
recuperarse de un dao. (wikipedia)
Las vulnerabilidades estn en directa interrelacin con las amenazas
porque si no existe una amenaza, tampoco existe la vulnerabilidad, porque
no se puede ocasionar un dao.
Dependiendo del contexto de la institucin, se puede agrupar las
vulnerabilidades en grupos caractersticos: Ambiental, Fsica, Econmica,
Social, Educativo, Institucional y Poltica .

El primer paso en la Gestin de riesgo es el anlisis de

riesgo que tiene como propsito determinar los
componentes de un sistema que requieren proteccin, sus
vulnerabilidades que los debilitan y las amenazas que lo
ponen en peligro, con el fin de valorar su grado de riesgo.

 La clasificacin de datos tiene el propsito de garantizar la proteccin de

datos (personales) y significa definir, dependiendo del tipo o grupo de
personas internas y externas, los diferentes niveles de autorizacin de
acceso a los datos e informaciones. Considerando el contexto de nuestra
misin institucional, tenemos que definir los niveles de clasificacin como
por ejemplo: confidencial, privado, sensitivo y pblico.
Una vez clasificada la informacin, tenemos que verificar los diferentes
flujos existentes de informacin internos y externos, para saber quienes
tienen acceso a que informacin y datos.
Clasificar los datos y analizar el flujo de la informacin a nivel interno y
externo es importante, porque ambas cosas influyen directamente en el
resultado del anlisis de riesgo y las consecuentes medidas de proteccin.
Porque solo si sabemos quienes tienen acceso a que datos y su respectiva
clasificacin, podemos determinar el riesgo de los datos, al sufrir un dao
causado por un acceso no autorizado.

Anlisis de riesgos
La valoracin del riesgo basada en la formula matemtica:

Riesgo = Probabilidad de Amenaza x Magnitud de Dao

Para la presentacin del resultado (riesgo) se usa una grfica de dos dimensiones, en la cual, el eje-x
(horizontal) representa la Probabilidad de Amenaza y el eje-y (vertical, ordenada) la Magnitud de Dao.
La Probabilidad de Amenaza y Magnitud de Dao pueden tomar condiciones entre Insignificante (1) y Alta
(4).
Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Dao no es fijo y puede ser
adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente la Probabilidad de
Amenaza puede tomar hasta seis diferentes condiciones.
En el proceso de analizar un riesgo tambin es importante de reconocer que cada riesgo tiene sus
caractersticas :
Dinmico y cambiante (Interaccin de Amenazas y Vulnerabilidad)
Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
No siempre es percibido de igual manera entre los miembros de una institucin que talvez puede terminar en resultados
inadecuados y por tanto es importante que participan las personas especialistas de los diferentes elementos del sistema
(Coordinacin, Administracin financiera, Tcnicos, Conserje, Soporte tcnico externo etc.)

Entre ms alta la Probabilidad de Amenaza y Magnitud de Dao, ms grande es el riesgo y el peligro al

sistema, lo que significa que es necesario implementar medidas de proteccin.

Anlisis de Riesgo

Probabilidad de Amenaza
Se habla de un Ataque, cuando una amenaza se convirti en realidad, es decir cuando un evento se realiz. Pero el ataque no dice
nada sobre el xito del evento y s o no, los datos e informaciones fueron perjudicado respecto a su confidencialidad, integridad,
disponibilidad y autenticidad.
Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas

Cul es el inters o la atraccin por parte de individuos externos, de atacarnos? Algunas razones pueden ser que manejamos
informacin que contiene novedades o inventos, informacin comprometedora etc, talvez tenemos competidores en el trabajo,
negocio o simplemente por el imagen o posicin pblica que tenemos.
Cules son nuestras vulnerabilidades? Es importante considerar todos los grupos de vulnerabilidades. Tambin se recomienda
incluir los expertos, especialistas de las diferentes reas de trabajo para obtener una imagen ms completa y ms detallada sobre
la situacin interna y el entorno.
Cuntas veces ya han tratado de atacarnos? Ataques pasados nos sirven para identificar una amenaza y si su ocurrencia es
frecuente, ms grande es la probabilidad que pasar otra vez. En el caso de que ya tenemos implementadas medidas de
proteccin es importante llevar un registro, que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque
de tal manera, sabemos en primer lugar si todava existe la amenaza y segundo, cul es su riesgo actual.
Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza. Sin embargo, antes tenemos que
definir el significado de cada condicin de la probabilidad (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior
solo son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinin comn y por tanto se recomienda que
cada institucin defina sus propias condiciones.

Magnitud del dao

Estimar la Magnitud de Dao generalmente es una tarea muy compleja. La manera ms fcil es
expresar el dao de manera cualitativa, lo que significa que aparte del dao econmico, tambin
se considera otros valores como daos materiales, imagen, emocionales, entre otros. Expresarlo
de manera cuantitativa, es decir calcular todos los componentes en un solo dao econmico,
resulta en un ejercicio aun ms complejo y extenso.
Un punto muy esencial en el anlisis de las consecuencias es la diferenciacin entre los dos
propsitos:
La Seguridad de la Informacin y la Proteccin de datos, porque nos permite determinar, quien va a sufrir el
dao de un impacto, nosotros, otros o ambos.

Otras preguntas que podemos hacernos para identificar posibles consecuencias negativas
causadas por un impacto son:
Existen condiciones de incumplimiento de confidencialidad (interna y externa)? Esto
normalmente es el caso cuando personas non-autorizados tienen acceso a informacin y
conocimiento ajeno que pondr en peligro nuestra misin.
Existen condiciones de incumplimiento de obligacin jurdicas, contratos y convenios? No
cumplir con las normas legales fcilmente puede culminar en sanciones penales o econmicas,
que perjudican nuestra misin, existencia laboral y personal.
Cul es el costo de recuperacin? No solo hay que considerar los recursos econmicos, tiempo,
materiales, sino tambin el posible dao de la imagen pblica y emocional.
Considerando todos los aspectos mencionados, nos permite clasificar la Magnitud del Dao. Sin
embargo, otra vez tenemos que definir primero el significado de cada nivel de dao (Baja,
Mediana, Alta).

Fundamento de la Matriz de riesgos

La Matriz la bas en el mtodo de Anlisis de Riesgo con un grafo de
riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud
de Dao
La Probabilidad de Amenaza y Magnitud de Dao pueden tomar los
valores y condiciones respectivamente
1 = Insignificante (incluido Ninguna)
2 = Baja
3 = Mediana
4 = Alta

Uso de la Matriz
La Matriz contiene una coleccin de diferentes Amenazas (campos
verdes) y Elementos de informacin (campos rojos). Para llenar la
Matriz, tenemos que estimar los valores de la Probabilidad de
Amenaza (campos azules) por cada Amenaza y la Magnitud de Dao
(campos amarillas) por cada Elemento de Informacin.

 Para la estimacin de la Probabilidad de amenazas, se trabaja con un

valor generalizado, que (solamente) est relacionado con el recurso
ms vulnerable de los elementos de informacin.
Si por ejemplo existe una gran probabilidad de que nos pueden robar
documentos y equipos en la oficina, porque ya entraron varias veces y
no contamos todava con una buena vigilancia de la oficina, no se
distingue en este momento entre la probabilidad si robarn un
notebook, que est en la oficina (con gran probabilidad), o si robarn
un documento que est encerrado en una caja fuerte escondido (es
menos probable que se van a llevar este documento).

II El Proceso de anlisis de riesgos

Activos de la empresa
Saba usted que el 94% de las empresas que pierden sus datos
Desaparece?
Un activo de informacin es todo aquel elemento que compone el proceso de la
comunicacin, partiendo desde la informacin, su emisor, el medio por el cual se
transmite, hasta su receptor.

Son tres elementos que conforman lo que denominamos activos:

La informacin,
Los Equipos que la soportan y,
Las personas que los utilizan.

AQUELLO QUE ES VALIOSO PARA LA EMPRESA

Importancia de los activos del negocio

Al hacer un anlisis de riesgos, es importante identificar la relevancia que tienen los
procesos de la empresa en la organizacin, para as poder priorizar las acciones de
seguridad, es decir, iniciar el trabajo de implementacin de seguridad en las reas ms
estratgicas que puedan traer un impacto mayor a la organizacin cuando se presente algn
incidente.

La relevancia de cada uno de los procesos de negocio en la empresa, es un

punto clave a considerar durante la realizacin del anlisis de riesgos. Dicha
relevancia ser de gran importancia para identificar el rumbo de las acciones
de seguridad a implantar en la organizacin.

mbito del anlisis de riesgos

Evaluar riesgos
Recopila Datos :
Identifica informacin sobre los riesgos
Recaba informacin sobre los riesgos

Los elementos recopilados durante la reunin

de informacin facilitada incluyen:

Activos de la organizacin
Descripcin de los activos
Amenazas a la seguridad

Vulnerabilidades
Entorno actual de control
Controles propuestos

Las claves para una reunin de informacin

exitosa incluyen:

Reunirse de manera colaborativa

con los involucrados
Desarrollar un soporte
Comprender las diferencias entre
analizar y cuestionar
Desarrollar buena voluntad
Estar preparado

Evaluar riesgos
Identifica Activos
Identificar y clasificar los activos
Alto impacto para el negocio
Medio impacto para el negocio
Bajo impacto para el negocio

Organizar la informacin de los riesgos

Utilice las siguientes preguntas como gua durante
los anlisis facilitados:
Qu activo se est protegiendo?
Qu tan valioso es el activo para la organizacin?
Qu se intenta evitar que le suceda al activo?
Cmo puede ocurrir la prdida o exposicin?

Cul es el potencial de exposicin para el activo?

Qu se hace en la actualidad para reducir la
probabilidad o el nivel de dao al activo?
Cules son algunas de las acciones que se pueden
realizar para reducir la probabilidad en el futuro?

Calcular la exposicin de los activos

Exposicin: El nivel del dao potencial a un activo
Utilice los siguientes lineamientos para calcular la exposicin de los
activos:

Exposicin
alta

Prdida severa o completa de los

activos

Exposicin
media

Prdida limitada o moderada

Exposicin
baja

Prdida menor o nula

Evaluar riesgos

Prioriza Riesgos

Comenzar a
priorizar los
riesgos

Realizar la
asignacin
de prioridad
del riesgo a
nivel
resumen

Prioridad del
riesgo a nivel
resumen

Revisin
con los
involucrado
s

Realizar la
priorizacin
de los
riesgos a
detalle

Detalle de las
prioridades
de riesgo

Fin del
proceso de
priorizacin
de los riesgos

Realizar la asignacin de prioridad del riesgo a nivel resumen

Referencia de la calificacin de impacto

Moderad
Alto
Alto
Alto
Clase
o
del
Moderad
Bajo
Alto
Medi
activo
o
o
Bajo
Bajo
Bajo
Moderad
o
Bajo
Alto
Medio
Nivel de exposicin

Calificacin del riesgo a nivel

Impacto resumen
Moderad
Alto
(de la
o
Tabla de
Medi
Bajo
impacto
o
anterior
Bajo
Bajo
)

Bajo

Alto

Alto

Moderad
o
Bajo

Alto

Medio
Valor de la
probabilidad

Alto. Muy probablese espera tener uno o ms impactos en

un ao
Medio. Probablese espera tener un impacto en dos o tres
aos
Bajo. No es probableno se espera que ocurra ningn
impacto en los prximos tres aos

Moderad
o
Alto

El proceso de priorizacin a nivel resumen incluye lo siguiente:

1
2
3
4

Determinar el nivel del impacto

Calcular la probabilidad a nivel resumen

Completar la lista de riesgos a nivel resumen
Revisin con los involucrados

Tabla excel