PROCESO DE

ADMINISTRACION DE RIESGOS

FRANCISCO SOLARTE

POSGRADO EN AUDITORIA
INFORMATICA
UAN
Saltar a la primera
página
PRÁCTICAS DE ADMINISTRACIÓN DE RIESGOS DE SEGURIDAD
ENFOQUE REACTIVO

Saltar a la primera
página
 PRÁCTICAS DE ADMINISTRACIÓN DE RIESGOS DE SEGURIDAD
ENFOQUE PROACTIVO
En vez de esperar a que suceda lo peor y, a continuación, llevar a cabo la
respuesta, se minimiza la posibilidad de que pase lo peor antes de que se
produzca. Se trazan planes para proteger los activos importantes de la
organización mediante la implementación de controles que reduzcan el
riesgo de que el software malintencionado, los piratas informáticos o un
uso incorrecto accidental aprovechen las vulnerabilidades.
Todas las metodologías de administración de riesgos de seguridad
comparten algunos procedimientos de alto nivel comunes:
1. Identificar los activos de negocios.
2. Determinar el daño que un ataque a un activo podría provocar a la
organización.
3. Identificar las vulnerabilidades que aprovechará el ataque.
4. Determinar el modo de minimizar el riesgo de ataque mediante la
implementación de los controles adecuados.
Saltar a la primera
página
 ENFOQUES DE ASIGNACIÓN DE PRIORIDADES A RIESGOS
Cuantitativo
Ventajas – Se asignan prioridades a los riesgos según las
repercusiones financieras; se asignan
prioridades de los activos según los valores
financieros.
– Los resultados facilitan la administración del riesgo
por el rendimiento de la inversión en seguridad.
– Los resultados se pueden expresar en terminología
específica de administración (por ejemplo, los
valores monetarios y la probabilidad expresados
como un porcentaje específico).
– La precisión tiende a ser mayor con el tiempo a
medida que la organización crea un registro de
historial de los datos mientras gana experiencia.
Inconveni – Los valores de repercusión asignados a los riesgos
entes se basan en las opiniones subjetivas de los
participantes.
– El proceso para lograr resultados creíbles y el
consenso es muy lento.
– Los cálculos pueden ser complejos y lentos.
– Los resultados sólo se presentan en términos
monetarios y pueden ser difíciles de interpretar
por parte de personas sin conocimientos
técnicos.
– El proceso requiere experiencia, por lo que los
participantes no pueden recibir cursos
fácilmente durante el mismo.
Cualitativo
– Permite la visibilidad y la comprensión
de la clasificación de riesgos.
– Resulta más fácil lograr el consenso.
– No es necesario cuantificar la frecuencia
de las amenazas.
– No es necesario determinar los valores
financieros de los activos.
– Resulta más fácil involucrar a personas
que no sean expertas en seguridad o
en informática.
– No hay una distinción suficiente entre
los riesgos importantes.
– Resulta difícil invertir en la
implementación de controles porque
no existe una base para un análisis de
costo-beneficio.
– Los resultados dependen de la calidad
del equipo de administración de
riesgos que los hayan creado.
Saltar a la primera
página
Fase de evaluación de riesgos
•Planear la recopilación de datos: descripción de las
claves para el éxito y orientación de
preparación.•Recopilar datos de riesgos: descripción del
proceso de recopilación y análisis de datos.•Asignar
prioridades a riesgos: descripción de los pasos
normativos para calificar y cuantificar los riesgos.

Saltar a la primera
página
Fase de apoyo a la toma de decisiones
•Definir los requisitos funcionales: definición de los
requisitos funcionales para mitigar los
riesgos.•Seleccionar las soluciones de control posibles:
descripción del enfoque para identificar las soluciones
de mitigación.•Revisar la solución: evaluación de los
controles propuestos según los requisitos
funcionales.•Estimar la reducción del riesgo: intento
de comprender la exposición o probabilidad reducida
de riesgos.•Estimar el costo de la solución: evaluación
de los costos directos e indirectos asociados a las
soluciones de mitigación.•Seleccionar la estrategia de
mitigación: realización del análisis de costo-beneficio
para identificar la solución de mitigación más
asequible.
Saltar a la primera
página
 Fases del programa de administración de riesgos y cómo crear un
proceso continuo para medir y llevar los riesgos a un nivel aceptable.

Saltar a la primera
página
 Administración de Evaluación de
riesgos riesgos
Objetivo Administrar los Identificar los
riesgos en la riesgos y
empresa para asignarles
lograr un nivel prioridades
aceptable
Ciclo Programa global a Fase única del
lo largo de las programa de
cuatro fases administración de
riesgos
Programa Continuo Según se necesite

Alineación Alineado con los N/A

ciclos
presupuestarios
Saltar a la primera
página
 Riesgo es la probabilidad de que se aproveche una
vulnerabilidad en el entorno actual, provocando un nivel de
pérdida de confidencialidad, integridad o disponibilidad de
un activo.

Saltar a la primera
página
 FASE DE EVALUACION DEL RIESGO
Se divide en tres pasos:
1.Planeamiento: establecer las bases para una
evaluación de riesgos correcta.
2.Recopilación de datos facilitados: recopilar
información de riesgos mediante los debates sobre
riesgos facilitados.
3.Asignación de prioridades a riesgos: clasificar los
riesgos identificados en un proceso coherente y
repetible.

Saltar a la primera
página
 FASE DE EVALUACION DEL RIESGO
Funciones y responsabilidades en el programa de administración de
riesgos

Función Responsabilidad

Responsable de Determina el valor de los

negocios activos de negocios.
Grupo de seguridad Determina la probabilidad de
de información repercusión en los activos de
negocio.
Tecnología de la Diseña las soluciones
información: técnicas y estima los costos
ingeniería de ingeniería.
Tecnología de la Diseña los componentes
información: operativos de la solución y
operaciones estima los costos operativos.
Saltar a la primera
página
 BANCO INTERNACIONAL - Administración de riesgos de seguridad
Tarea 1: Determinar los activos organizativos y los escenarios

El banco dispone de numerosos activos de alto valor que van desde sistemas de cálculo de
intereses e información personal de clientes hasta datos financieros de consumidor y reputación
como institución de confianza. Este ejemplo sólo se centra en uno de estos activos, datos
financieros de consumidor. Después de tratar la responsabilidad del activo en la reunión de debate
acerca de los riesgos, el equipo de administración de riesgos de seguridad ha identificado al
vicepresidente de servicios al consumidor como el responsable del activo. Al hablar con los
representantes de los servicios al consumidor, el equipo de administración de riesgos de seguridad
ha confirmado que los datos financieros de consumidor son un activo de alto valorSaltar
paraa la
la primera
página
empresa.
Tarea 2: Identificar las amenazas

BANCO INTERNACIONAL

Según los activos tratados anteriormente, se pueden identificar

numerosas amenazas. Para abreviar, este ejemplo sólo se centra en
la amenaza de una pérdida de integridad de los datos financieros
de consumidor. También puede haber amenazas adicionales en
cuanto a la disponibilidad y la confidencialidad de los datos de
consumidor, pero quedaría fuera de este ejemplo.

Saltar a la primera
página
Tarea 3: Identificar las vulnerabilidades

BANCO INTERNACIONAL

Teniendo en cuenta la amenaza de pérdida de integridad en los datos financieros de

consumidor, el equipo de administración de riesgos de seguridad ha condensado la
información recopilada durante los debates acerca de los riesgos en las tres
vulnerabilidades siguientes:
1.Robo de credenciales de asesor financiero por parte de empleados
de confianza mediante ataques no técnicos, por ejemplo, ingeniería
social o escuchas.
2.Robo de credenciales de asesor financiero a través de hosts de la
red de área local (LAN) mediante el uso de configuraciones de
seguridad obsoletas.
3.Robo de credenciales de asesor financiero a través de hosts
remotos, o móviles, como resultado de configuraciones de seguridad
obsoletas.
Saltar a la primera
página
 Tarea 4: Estimar la exposición de los activos

BANCO INTERNACIONAL
Después de identificar las amenazas y las vulnerabilidades, el responsable de
evaluación de riesgos dirige el debate para recopilar información acerca del
nivel posible de daños que las combinaciones de amenaza y vulnerabilidad
tratadas anteriormente pueden producir a la empresa. Tras debatirlo, el grupo
determina lo siguiente:
• Un ataque de integridad por parte de un empleado de confianza puede
provocar daños a la empresa, pero probablemente no sean demasiado graves.
En este escenario, el alcance del daño es limitado porque cada asesor
financiero sólo puede tener acceso a los datos de cliente que administra. Por lo
tanto, el grupo de debate reconoce que un número menor de credenciales
robadas provoca menos daños que un número mayor.
• Un ataque de integridad mediante el robo de credenciales en los hosts de la
LAN puede provocar un nivel grave, o alto, de daños.
•Un ataque de integridad mediante el robo de credenciales en los hosts móviles
también puede tener un nivel grave, o alto, de daños. El grupo de debate anota
que las configuraciones de seguridad en los hosts remotos normalmente van
por detrás de los sistemas LAN. Saltar a la primera
página
Tarea 5: Identificar los controles existentes y la probabilidad de un
ataque
BANCO INTERNACIONAL
Después del debate acerca de la exposición posible para la empresa
con las amenazas y vulnerabilidades identificadas, los participantes sin
conocimientos técnicos no disponen de suficiente experiencia para
comentar la probabilidad de que un host esté en peligro en relación a
otro. Sin embargo, están de acuerdo en que los hosts remotos, o los
hosts móviles, no reciben el mismo nivel de administración que los de
la LAN. Se debate la necesidad de que los asesores financieros
revisen periódicamente los informes de actividad para detectar
comportamientos no autorizados. Estos comentarios se recopilan y los
tendrá en cuenta el equipo de administración de riesgos de seguridad
durante la fase de apoyo a la toma de decisiones.

Saltar a la primera
página
 BANCO INTERNACIONAL
Información obtenida durante el proceso de recopilación de datos

Saltar a la primera
página
Saltar a la primera
página