Anlisis de Riesgos Introduccin Los riesgos en Seguridad de Informacin, deben ser considerados en el contexto del negocio y las interrelaciones

con otras funciones de negocios, tales como Recursos Humanos, Desarrollo, Produccin, Operaciones, Administracin, TI, Finanzas, etctera, y los clientes deben ser identificados, para lograr una imagen global y completa de estos riesgos. Cada organizacin tiene una misin. En esta era digital, las organizaciones que utilizan sistemas tecnolgicos para automatizar sus procesos o informacin, deben de estar conscientes que la Administracin del Riesgo Tecnolgico juega un rol crtico. La meta principal de la Administracin del Riesgo Tecnolgico, debera ser proteger a la organizacin y su habilidad de manejar su misin, no solamente la proteccin de los elementos informticos. Adems, el proceso no solo debe de ser tratado como una funcin tcnica generada por los expertos en Tecnologa que operan y administran los sistemas, sino como una funcin esencial de Administracin por parte de toda la organizacin.

Curso: Seguridad de Sistemas

15/04/2013

Anlisis de Riesgos Conceptos bsicos Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos, que la Administracin de Riesgos es el proceso de identificacin, evaluacin y toma de decisiones, para reducir el riesgo a un nivel aceptable. El Anlisis de Riesgo Tecnolgico es un elemento que forma parte del programa de gestin de continuidad de negocio (Business Continuity Management). En el Anlisis de Riesgo Tecnolgico es necesario identificar si existen controles, que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad ser de riesgo no controlado.

Curso: Seguridad de Sistemas

15/04/2013

Anlisis de Riesgos Conceptos bsicos (cont.) Dentro de la evaluacin del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo controlado, como de riesgo no controlado, Evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) de forma cualitativa (matriz de riesgos). El Anlisis de Riesgos Tecnolgicos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos, as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Curso: Seguridad de Sistemas

15/04/2013

Anlisis de Riesgos Trminos relacionados

1. Activo : Objeto o Recurso de valor empleado en una empresa u organizacin, o relacionado con sta, plenamente establecido como necesario, en forma atemporal, para que los sistemas funcionen correctamente y alcancen los objetivos propuestos. 2. Amenaza : Una situacin particular o evento, que puede desencadenar un incidente en la empresa u organizacin. Estas situaciones estn ntimamente relacionadas con las modalidades de los incidentes, segn su origen, tales como incidentes internos e incidentes externos. 3. Impacto : Medicin de las consecuencias de llegar a materializarse una amenaza. Estas mediciones sern realizadas por metodologas cuantitativas hasta donde el escenario y las circunstancias lo permitan. De no ser posible, sern realizadas por metodologas cualitativas, con las implicaciones que esto conlleva. 4. Vulnerabilidad : Es una debilidad que puede ser explotada con la materializacin de una o varias amenazas a un activo. La vulnerabilidad ser variable (calculada en distintas medidas), cuando sea medida para componentes especficos dentro de un sistema, lo cual deriva en una vulnerabilidad total para la totalidad de un sistema.
Curso: Seguridad de Sistemas 15/04/2013 4

Anlisis de Riesgos Trminos relacionados (cont.) 5. Riesgo : De manera contextual, es la posibilidad de ocurrencia de un evento, produciendo daos y/o prdidas, de forma parcial o total, tanto materiales como inmateriales, en sus activos. Regularmente se mide en porcentajes de probabilidad, como primera medida cuantitativa. Existe una forma alternativa, en la que el riesgo resulta evidenciado, como el resultado de la ocurrencia de un evento, independientemente del resultado que genera. Esto implica que arriesgar puede generar resultados positivos o ganancias. 6. Ataque : Evento o hecho calificado, sea exitoso o no, que atenta sobre el buen funcionamiento del sistema, aprovechando las distintas vulnerabilidades existentes. 7. Desastre o Contingencia : Interrupcin acceso a informacin y procesamiento de la computadoras y dispositivos necesarios, para de un sistema, y por ende, de las operaciones
Curso: Seguridad de Sistemas

de la capacidad de misma, a travs de la operacin normal de negocio.

5

15/04/2013

Anlisis de Riesgos Trminos relacionados (cont.) 8. Anlisis : Examinar o descomponer un todo, detallando cada uno de los elementos que lo forman, a fin de determinar la relacin entre sus principios y elementos. 9. Control : Es un mecanismo de proteccin, que gestiona la seguridad, conforme se realiza la deteccin, la prevencin y la correccin. Empleado para disminuir las vulnerabilidades.

Curso: Seguridad de Sistemas

15/04/2013

Anlisis de Riesgos Definicin de Activos de Informacin Los Activos de Informacin son los elementos que la Seguridad Informtica tiene como objetivo proteger. Son tres los elementos que conforman los activos: Informacin : Es el objeto de mayor valor para una organizacin, el objetivo es el resguardo de la informacin, independientemente del lugar en donde se encuentre registrada, en algn medio electrnico o fsico. Equipos que la soportan : Software, hardware, organizacin y logstica, que componen los dispositivos electrnicos, tambin otros dispositivos mecnicos o electro-mecnicos. Usuarios : Individuos que utilizan la estructura tecnolgica y de comunicaciones, que manejan la informacin.

Curso: Seguridad de Sistemas

15/04/2013

Anlisis de Riesgos Matrz de Riesgos El proceso de Anlisis de Riesgos genera habitualmente un documento, al cual se le conoce como Matriz de Riesgos, el cual es indispensable para lograr una correcta administracin del riesgo. La administracin del riesgo hace referencia a la gestin de los recursos de la organizacin.

En este documento se muestran los elementos identificados, la manera en que se relacionan y los clculos realizados.
Relacin del Anlisis de Riesgos con la Seguridad:

Curso: Seguridad de Sistemas

15/04/2013

Anlisis de Riesgos Matrz de Riesgos Existen diferentes tipos de riesgos como el Riesgo Residual (RR) y Riesgo Total (RT), as como tambin sus distintas fases, como el Tratamiento del riesgo, Evaluacin del riesgo y Gestin del riesgo, entre otras. La frmula para determinar el riesgo total es:

A partir de esta frmula determinaremos su tratamiento y despus de aplicar los controles, podremos obtener el Riesgo Residual.

Curso: Seguridad de Sistemas

15/04/2013

Anlisis de Riesgos Evaluacin de Riesgos Como se describe en el BS ISO / IEC 27001:2005, la evaluacin del riesgo incluye las siguientes acciones y actividades: 1. Identificacin de los activos, 2. Identificacin de los requisitos legales y de negocios, que son relevantes para la identificacin de los activos, 3. Valoracin de los activos identificados, 4. Teniendo en cuenta los requisitos legales identificados de negocios, y el impacto de una prdida de confidencialidad, integridad y disponibilidad, 5. Identificacin de las amenazas y vulnerabilidades importantes para los activos identificados, 6. Evaluacin del riesgo, de las amenazas y las vulnerabilidades a ocurrir, 7. Clculo del riesgo, 8. Evaluacin de los riesgos frente a una escala de riesgo preestablecidos (mtricas).

Curso: Seguridad de Sistemas

15/04/2013

10

Anlisis de Riesgos Proceso de Administracin de Riesgos El proceso de Administracin de Riesgos es un proceso continuo, dado que es necesario evaluar peridicamente los riesgos encontrados y si estos tienen una afectacin, se deben realizar determinados clculos en las diferentes etapas del riesgo. La mecnica que se ve inversa, el mayor nmero de las organizaciones hoy en da, est en el esfuerzo del da a da. Resulta indispensable realizar anlisis de riesgo de los proyectos, y el impacto futuro en la estructura de riesgo de la organizacin. Los controles a implementar estarn orientados a: Controlar el riesgo : Fortalecer los controles existentes y/o agregar nuevos controles. Eliminar el riesgo : Eliminar el activo relacionado y con ello se elimina el riesgo (prctica menos utilizada). Compartir el riesgo : Mediante acuerdos contractuales, parte del riesgo se traspasa a un tercero. Aceptar el riesgo : Se determina que el nivel de exposicin es adecuado y por lo tanto se acepta, tal cual.
Curso: Seguridad de Sistemas 15/04/2013 11

Anlisis de Riesgos Regulaciones y Normativas relacionadas

Comunicacin A 4609 del BCRA para entidades Financieras : Requisitos mnimos de gestin, implementacin y control de los riesgos, relacionados con tecnologa informtica y sistemas de informacin. ISO/IEC 27001 : Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI).

ISO/IEC 27005 : Esta Norma proporciona directrices para la Gestin del Riesgo de Seguridad de la Informacin en una Organizacin. Sin embargo, esta Norma no proporciona ninguna metodologa especfica para el anlisis y la gestin del riesgo de la Seguridad de la Informacin.
Basilea II : Estndar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la proteccin de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX) : Impulsada por el gobierno norteamericano, como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.
Curso: Seguridad de Sistemas 15/04/2013 12