Los riesgos en Seguridad de Informacin, deben ser considerados

en el contexto del negocio y las interrelaciones con otras

funciones de negocios, tales como Recursos Humanos, Desarrollo,
Produccin, Operaciones, Administracin, TI, Finanzas, etctera, y
los clientes deben ser identificados, para lograr una imagen global
y completa de estos riesgos.

Cada organizacin tiene una misin. En esta era digital, las
organizaciones que utilizan sistemas tecnolgicos para
automatizar sus procesos o informacin, deben de estar
conscientes que la Administracin del Riesgo Tecnolgico juega un
rol crtico.

La meta principal de la Administracin del Riesgo Tecnolgico,
debera ser proteger a la organizacin y su habilidad de manejar
su misin, no solamente la proteccin de los elementos
informticos. Adems, el proceso no solo debe de ser tratado
como una funcin tcnica generada por los expertos en Tecnologa
que operan y administran los sistemas, sino como una funcin
esencial de Administracin por parte de toda la organizacin.


20/08/2013 1 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Introduccin

Es importante recordar que el riesgo es el impacto negativo en el
ejercicio de la vulnerabilidad, considerando la probabilidad y la
importancia de ocurrencia. Por lo que podemos decir a grandes
rasgos, que la Administracin de Riesgos es el proceso de
identificacin, evaluacin y toma de decisiones, para reducir el
riesgo a un nivel aceptable.

El Anlisis de Riesgo Tecnolgico es un elemento que forma parte
del programa de gestin de continuidad de negocio (Business
Continuity Management).

En el Anlisis de Riesgo Tecnolgico es necesario identificar si
existen controles, que ayudan a minimizar la probabilidad de
ocurrencia de la vulnerabilidad (riesgo controlado), de no existir,
la vulnerabilidad ser de riesgo no controlado.

20/08/2013 2 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Conceptos bsicos

Dentro de la evaluacin del riesgo es necesario realizar las
siguientes acciones:
Calcular el impacto en caso que la amenaza se presente, tanto a
nivel de riesgo controlado, como de riesgo no controlado,
Evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza
de forma cuantitativa (asignando pesos) de forma cualitativa
(matriz de riesgos).

El Anlisis de Riesgos Tecnolgicos es un proceso que comprende
la identificacin de activos informticos, sus vulnerabilidades y
amenazas a los que se encuentran expuestos, as como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de
determinar los controles adecuados para aceptar, disminuir,
transferir o evitar la ocurrencia del riesgo.
20/08/2013 3 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Conceptos bsicos (cont.)

1. Activo: Objeto o Recurso de valor empleado en una empresa u
organizacin, o relacionado con sta, plenamente establecido como
necesario, en forma atemporal, para que los sistemas funcionen
correctamente y alcancen los objetivos propuestos.

2. Amenaza: Una situacin particular o evento, que puede
desencadenar un incidente en la empresa u organizacin.
Estas situaciones estn ntimamente relacionadas con las
modalidades de los incidentes, segn su origen, tales como incidentes
internos e incidentes externos.

3. Impacto: Medicin de las consecuencias de llegar a materializarse
una amenaza.
Estas mediciones sern realizadas por metodologas cuantitativas
hasta donde el escenario y las circunstancias lo permitan. De no ser
posible, sern realizadas por metodologas cualitativas, con las
implicaciones que esto conlleva.

4. Vulnerabilidad: Es una debilidad que puede ser explotada con la
materializacin de una o varias amenazas a un activo.
La vulnerabilidad ser variable (calculada en distintas medidas),
cuando sea medida para componentes especficos dentro de un
sistema, lo cual deriva en una vulnerabilidad total para la totalidad de
un sistema.
20/08/2013 4 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Trminos relacionados

5. Riesgo: De manera contextual, es la posibilidad de ocurrencia
de un evento, produciendo daos y/o prdidas, de forma parcial
o total, tanto materiales como inmateriales, en sus activos.
Regularmente se mide en porcentajes de probabilidad, como
primera medida cuantitativa.
Existe una forma alternativa, en la que el riesgo resulta
evidenciado, como el resultado de la ocurrencia de un evento,
independientemente del resultado que genera. Esto implica que
arriesgar puede generar resultados positivos o ganancias.

6. Ataque: Evento o hecho calificado, sea exitoso o no, que
atenta sobre el buen funcionamiento del sistema, aprovechando
las distintas vulnerabilidades existentes.

7. Desastre o Contingencia: Interrupcin de la capacidad de
acceso a informacin y procesamiento de la misma, a travs de
computadoras y dispositivos necesarios, para la operacin normal
de un sistema, y por ende, de las operaciones de negocio.

20/08/2013 5 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Trminos relacionados (cont.)

8. Anlisis: Examinar o descomponer un todo, detallando cada
uno de los elementos que lo forman, a fin de determinar la
relacin entre sus principios y elementos.

9. Control: Es un mecanismo de proteccin, que gestiona la
seguridad, conforme se realiza la deteccin, la prevencin y la
correccin. Empleado para disminuir las vulnerabilidades.

20/08/2013 6 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Trminos relacionados (cont.)

Los Activos de Informacin son los elementos que la Seguridad
Informtica tiene como objetivo proteger. Son tres los elementos
que conforman los activos:

Informacin: Es el objeto de mayor valor para una organizacin,
el objetivo es el resguardo de la informacin, independientemente
del lugar en donde se encuentre registrada, en algn medio
electrnico o fsico.

Equipos que la soportan: Software, hardware, organizacin y
logstica, que componen los dispositivos electrnicos, tambin
otros dispositivos mecnicos o electro-mecnicos.

Usuarios: Individuos que utilizan la estructura tecnolgica y de
comunicaciones, que manejan la informacin.
20/08/2013 7 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Definicin de Activos de Informacin

El proceso de Anlisis de Riesgos genera habitualmente un
documento, al cual se le conoce como Matriz de Riesgos, el cual
es indispensable para lograr una correcta administracin del
riesgo.
La administracin del riesgo hace referencia a la gestin de los
recursos de la organizacin.

En este documento se muestran los elementos identificados, la
manera en que se relacionan y los clculos realizados.

Relacin del Anlisis de Riesgos con la Seguridad:
20/08/2013 8 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Matrz de Riesgos

Existen diferentes tipos de riesgos como el Riesgo Residual (RR) y
Riesgo Total (RT), as como tambin sus distintas fases, como el
Tratamiento del riesgo, Evaluacin del riesgo y Gestin del riesgo,
entre otras.

La frmula para determinar el riesgo total es:






A partir de esta frmula determinaremos su tratamiento y
despus de aplicar los controles, podremos obtener el Riesgo
Residual.
20/08/2013 9 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Matrz de Riesgos

Como se describe en el BS ISO / IEC 27001:2005, la evaluacin
del riesgo incluye las siguientes acciones y actividades:
1. Identificacin de los activos,
2. Identificacin de los requisitos legales y de negocios, que son
relevantes para la identificacin de los activos,
3. Valoracin de los activos identificados,
4. Teniendo en cuenta los requisitos legales identificados de
negocios, y el impacto de una prdida de confidencialidad,
integridad y disponibilidad,
5. Identificacin de las amenazas y vulnerabilidades importantes
para los activos identificados,
6. Evaluacin del riesgo, de las amenazas y las vulnerabilidades a
ocurrir,
7. Clculo del riesgo,
8. Evaluacin de los riesgos frente a una escala de riesgo
preestablecidos (mtricas).
20/08/2013 10 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Evaluacin de Riesgos

El proceso de Administracin de Riesgos es un proceso continuo,
dado que es necesario evaluar peridicamente los riesgos
encontrados y si estos tienen una afectacin, se deben realizar
determinados clculos en las diferentes etapas del riesgo.
La mecnica que se ve inversa, el mayor nmero de las
organizaciones hoy en da, est en el esfuerzo del da a da.
Resulta indispensable realizar anlisis de riesgo de los proyectos,
y el impacto futuro en la estructura de riesgo de la organizacin.

Los controles a implementar estarn orientados a:
Controlar el riesgo: Fortalecer los controles existentes y/o
agregar nuevos controles.
Eliminar el riesgo: Eliminar el activo relacionado y con ello se
elimina el riesgo (prctica menos utilizada).
Compartir el riesgo: Mediante acuerdos contractuales, parte del
riesgo se traspasa a un tercero.
Aceptar el riesgo: Se determina que el nivel de exposicin es
adecuado y por lo tanto se acepta, tal cual.
20/08/2013 11 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Proceso de Administracin de Riesgos

Comunicacin A 4609 del BCRA para entidades Financieras:
Requisitos mnimos de gestin, implementacin y control de los
riesgos, relacionados con tecnologa informtica y sistemas de
informacin.

ISO/IEC 27001: Especifica los requisitos necesarios para establecer,
implantar, mantener y mejorar un Sistema de Gestin de la Seguridad
de la Informacin (SGSI).

ISO/IEC 27005: Esta Norma proporciona directrices para la Gestin
del Riesgo de Seguridad de la Informacin en una Organizacin. Sin
embargo, esta Norma no proporciona ninguna metodologa especfica
para el anlisis y la gestin del riesgo de la Seguridad de la
Informacin.

Basilea II: Estndar internacional que sirva de referencia a los
reguladores bancarios, con objeto de establecer los requerimientos
de capital necesarios, para asegurar la proteccin de las entidades
frente a los riesgos financieros y operativos.

Ley Sarbanes Oxley (SOX): Impulsada por el gobierno
norteamericano, como respuesta a los mega fraudes corporativos que
impulsaron Enron, Tyco International, WorldCom y Peregrine Systems.
Es un conjunto de medidas tendientes a asegurar la efectividad de los
controles internos sobre reportes financieros.
20/08/2013 12 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Regulaciones y Normativas relacionadas
Citicus One: software comercial de Citicus, implementa el
mtodo FIRM del Foro de Seguridad de la Informacin,
CRAMM: CCTA Risk Assessment and Management Methodology
fue originalmente desarrollado para uso del gobierno de UK pero
ahora es propiedad de Siemens,
ISO TR 13335: fue el precursor de la ISO/IEC 27005,
MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin est disponible tanto en espaol como
en ingls,
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability
Evaluation Metodologa de Anlisis y Gestin de Riesgos
desarrollada por el CERT,
NIST SP 800-39: Gestin de Riesgos de los Sistemas de
Informacin, una perspectiva organizacional
NIST SP 800-30: Gua de Gestin de Riesgos de los Sistemas de
Tecnologa de la Informacin, es gratuito,
Mehari: Mtodo de Gestin y Anlisis de Riesgos desarrollado por
CLUSIF (Club de la Scurit de l'Information Franais),
AS/NZS: Norma de Gestin de Riesgos publicada conjuntamente
por Australia y Nueva Zelanda y ampliamente utilizada en todo el
mundo.
20/08/2013 13 Curso: Seguridad de Sistemas
Anlisis de Riesgos
Metodologas

Propuestas de Proyectos a iniciar al finalizar este Da:

(este proyecto se entregar en su versin final, dentro de 3 semanas)
1. Propuestas de Proyectos:
Disee un escenario que alcance el nivel de complejidad necesario,
para establecer los parmetros iniciales que permitan realizar los
primeros pasos de un Anlisis de Riesgos.
Aplicando los principios establecidos en este documento, realice un
anlisis general sobre la totalidad de dicho escenario, para obtener
dos o tres reas, funciones, entidades o departamentos, sobre los
cuales enfocar su proyecto de Anlisis de Riesgos.
Razone sus elecciones.
Este escenario debe hacer referencia a su ambiente de trabajo actual
(sin anotar detalles especficos de su trabajo, que le comprometan)
20/08/2013 14 Curso: Seguridad de Sistemas
Proyectos