Analisis de Riesgos

Anlisis de Riesgos
Anlisis de Riesgos
Ramiro Cid | @ramirocid
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ndice
1. Anlisis de riesgos: Primer acercamiento
Pg. 3
2. Activos
Pg. 22
3. Amenazas
Pg. 28
4. Vulnerabilidades
Pg. 41
5. Impacto
Pg. 43
6. Gestin de Riesgos
Pg. 47
7. Clculo del Riesgo
Pg. 55
8. Comparativa de metodologas de anlisis de riesgos
Pg. 62
2
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Anlisis de riesgos: Primer acercamiento
Corresponde al proceso de identificar los riesgos, desde el punto de vista

de la seguridad, determinando su magnitud e identificando las reas que
requieren medidas de salvaguarda.
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gestin global de Seguridad de un Sistema de Informacin
Fases:
Determinar Objetivos y
Poltica de Seguridad
Anlisis y Gestin de
Riesgos
Establecer Planificacin
de Seguridad
Implantar Salvaguardas
Monitorizacin y gestin
de Cambios en la
Seguridad
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Qu es un Anlisis de Riesgos?
Documento donde se describe,

para su posterior anlisis y
ayuda a la toma de decisiones...
qu hay en el sistema?
qu amenazas le afectan?
qu hay que hacer para no verse
afectado por ellas?
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Plan Director de Seguridad

Anlisis de Riesgo (Problemas encontrados) [A.R.]
Gestin de Riesgos (Propongo soluciones) [G.R.]
[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Resumen del procedimiento de anlisis
Identificacin
y valoracin de activos
Anlisis de Riesgos
Valoracin de amenazas
y vulnerabilidades
Gestin
del
riesgo
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Evaluacin de riesgos y gastos

Gestin del riesgo:
Proceso de equilibrar el coste de proteccin con el coste de exposicin.
Riesgos
Seguridad
Decisiones:
Coste de Equilibrio
Aceptarlo
Asignacin a terceros
Evitarlo
Nivel de Seguridad
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Por qu realizarlo?
Permite identificar los riesgos de la seguridad de la informacin que

podran afectar en el desarrollo de las actividades de negocio
Facilita la correcta seleccin de las medidas de seguridad a implantar
Creacin de los plantes de contingencias en previsin de las amenazas

detectadas
Necesario en el diseo, implantacin y certificacin de un SGSI (es el

primer paso en la implementacin de un SGSI)
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Tipos de Anlisis
Hay dos tipos de anlisis de riesgos segn las cosas que tienen en cuenta:
Intrnseco es aquel que se realiza sin tener en cuenta aquellas

contramedidas que ya se estn aplicando.
Da como resultado el Riesgo Intrnseco
Residual es aquel que se realiza teniendo en cuenta las contramedidas ya

aplicadas.
Da como resultado el Riesgo Residual
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Elementos del Anlisis

Activos: Los activos son todos aquellos elementos que forman parte del
Sistema de Informacin.
Amenazas: Las amenazas son todas aquellas cosas que le pueden

suceder a los activos que se salen de la normalidad.
Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por

las amenazas para daar a un activo (son los agujeros de seguridad).
Impacto: Consecuencia de la materializacin de una amenaza sobre un

activo
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Elementos del Anlisis (continuacin)

Controles: Son todos aquellos mecanismos que permiten reducir las

vulnerabilidades de los sistemas.
Riesgos: Son el resultado del anlisis de riesgo.

El riesgo es una ponderacin del valor del activo, la probabilidad que
suceda una amenaza y el impacto que tendra sobre el sistema.
Riesgo = Valor Activo + Probabilidad + Impacto
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Relaciones
Aprovechan las
Amenazas
Incrementan
Protegen contra
Vulnerabilidades
Incrementan
Riesgos
Controles
Exponen
Activos
Poseen
Generan
Generan
Incrementan
Requerimientos
de Seguridad
ramirocid.com
Valor de los activos e

impactos potenciales
Twitter: @ramirocid
Anlisis de Riesgos
Algunas Conclusiones
Lo que se pretende en la Gestin de riesgos es reducir la probabilidad y/o el impacto. La

amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con
esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto
en caso de ocurrencia sea menor
Una buena prctica utilizada para empresas grandes es aplicar primero NIST para filtrar los
riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Metodologas (I): MAGERIT
Es una metodologa de
Anlisis y Gestin del
Riesgos de los sistemas de
informacin desarrolladas
por el Ministerio de
Administraciones Pblicas.
Solo se aplica en el mbito
espaol.
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Fases de MAGERIT
Toma de datos.
Procesos de la
Informacin
Dimensionamiento.
Establecimiento de
Parmetros
Anlisis activos Y
salvaguardas
Establecimiento
impactos
Establecimiento
vulnerabilidades
Anlisis de
amenazas
Anlisis Riesgo
Intrnseco
Influencia de
salvaguardas
Evaluacin de
riesgos
ramirocid.com
Twitter: @ramirocid
Anlisis Riesgos
efectivo
Anlisis de Riesgos
Toma de datos y procesos de la informacin
Objetivos:
Definir el rea de aplicacin del estudio (alcance) y el objetivo final

del anlisis de riesgos.
Tener una visin global del proceso de informacin en la

organizacin.
Establecer el grado de anlisis en unidades homogneas en todo el

alcance (granularidad)
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros
Parmetros para valorar los activos y salvaguardas: Se debe asignar una
valoracin econmica a los activos.
Valoracin real: valor que tiene para la empresa la reposicin del activo en
las condiciones anteriores a la accin de la amenaza
Valoracin estimada: medida subjetiva de la empresa que, considerando la
importancia del activo, le asigna un valor econmico.
Valoracin
Rango
Valor
Muy Alto
Valor > 200.000
300.000
Alto
100.000< valor > 200.000
150.000
Medio
50.000< valor > 100.000
75.000
Bajo
10.000< valor > 50.000
30.000
Muy bajo
< 10.000
10.000
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Para la estimacin de la vulnerabilidad, hay que estimar la frecuencia de
ocurrencia de las amenazas en una escala de tiempos.
Vulnerabilidad
Rango
Valor
Extrema Frecuencia
1 vez al da
0,997
Alta Frecuencia
1 vez cada 2 semanas
0,071
Frecuencia media
1 vez cada 2 meses
0,016
Baja Frecuencia
1 vez cada 6 meses
0,005
Muy baja Frecuencia
1 vez al ao
0,003
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Parmetros para la estimacin del impacto, hay que estimar el grado de dao
producido por la amenaza en los activos
Impacto
Valor
Muy alto
99%
Alto
75%
Medio
50%
Bajo
20%
Muy bajo
5%
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Parmetros para estimar la influencia de las salvaguardas: disminuyen el
riesgo calculado (probabilidad o impacto)
Variacin impacto/vulnerabilidad
Valor
Muy alto
95%
Alto
75%
Medio
50%
Bajo
30%
Muy Bajo
10%
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de activos
Los activos son todos aquellos elementos que

forman parte del Sistema de Informacin.
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Deteccin y Clasificacin de activos
Activos fsicos: Hardware

Los activos fsicos son aquellas cosas que forman parte de la
empresa como material de ayuda a desempear una actividad.
Ejemplo: Ordenador, Impresora, ...
Activos lgicos: Software

Los activos lgicos son aquellos programas o datos que forman
parte del conocimiento de la empresa para desempear la
actividad. Ejemplo: BD, Intranet Corporativa, ...
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Personal: Roles del Sistema

Los roles del personal relacionados con la seguridad, son todas aquellas
responsabilidades que hay que asumir en cuanto a la seguridad del
sistema.

Forum de seguridad
Responsable de seguridad
Operador de Copia de Seguridad
...
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Entorno
Aire Acondicionado
Sistema Elctrico
instalaciones adicionales
Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos ms
importantes a la hora que los clientes depositen en ella su confianza.
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos

Se clasifican segn su:

Confidencialidad (libre, restringida, protegida, confidencial, etc.)

Autenticacin (baja, normal, alta, crtica)
Integridad (bajo, normal, alto, crtico)
Disponibilidad (menos de una hora, menos de un da, menos de una
semana, ms de una semana)
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Valoracin de activos
VALORACIN: Coste TOTAL que tendra para la empresa su prdida:

Valor de reposicin
Valor de configuracin, puesta a punto, etc.
Valor de uso del activo
Valor de prdida de oportunidad
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de amenazas
Las amenazas son todas aquellas cosas que le pueden

suceder a los activos que se salen de la normalidad
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Tipo de amenazas
Las amenazas normalmente dependen del negocio de la empresa y del tipo de
sistema que se quiere proteger
Ejemplos:

Empresa de desarrollo de
sistemas
ISP
Colegio Profesional
Universidad
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
Accidentes
Errores
Amenazas Intencionales Presenciales
Amenazas Intencionales Remotas
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Accidentes
Accidente fsico
Incendio, explosin, inundacin por roturas, emisiones radioelctricas,
etc.
Avera
De origen fsico o lgico, debida a un defecto de origen o durante el
funcionamiento del sistema.
Interrupcin de Servicios esenciales

Energa
Agua
Telecomunicacin
Accidente mecnico o electromagntico:

Choque
Cada
Radiacin
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
Accidentes
Errores
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Errores
Errores de utilizacin del sistema, provocados por un mal uso, ya sea

intencionado o no
Errores de diseo conceptuales que puedan llevar a un problema de

seguridad
Errores de desarrollo derivados de la implementacin de alguna

aplicacin o de la implantacin de un sistema en produccin
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Errores
Errores de actualizacin o parcheado de sistemas y aplicaciones
Monitorizacin inadecuada
Errores de compatibilidad entre aplicaciones o libreras
Errores inesperados
Virus
Otros
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
Accidentes
Errores
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Acceso fsico no autorizado

Destruccin o sustraccin
Acceso lgico no autorizado

Intercepcin pasiva de la informacin
Sustraccin y/o alteracin de la informacin en trnsito
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Indisponibilidad de recursos
Humanos: motivos de huelga, abandono, enfermedad,
baja temporal, etc
Tcnicos: desvo del uso del sistema, bloqueo, etc
Filtracin de datos a terceros: apropiacin indebida de datos,

particularmente importante cuando los datos son de carcter
personal (LOPD)
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
Accidentes
Errores
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos

Acceso lgico no autorizado

Acceso de un tercero no autorizado explotando una vulnerabilidad del
sistema para utilizarlo en su beneficio.
Suplantacin del origen

Intercepcin de una comunicacin escuchando y/o falseando los datos
intercambiados
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gusanos
Virus que utilizan las capacidades de servidores y clientes de internet para
transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las
variantes.
Denegacin de servicio
Contra el ancho de banda: Consumir todo el ancho de banda de la mquina
que se quiere aislar
Contra los recursos fsicos del sistema: Consumir toda la memoria y los
recursos que la mquina utiliza para ofrecer su servicio
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de vulnerabilidad
Debilidad o agujero en la organizacin de la seguridad

Una vulnerabilidad en si misma no produce daos.
Es un condicionante para que una amenaza afecte a un activo!
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Vulnerabilidades
El cruce de un activo sobre el que puede materializar una amenaza, da lugar
a una vulnerabilidad
Activo
01 - Servidor
ramirocid.com
Amenaza
Vulnerabilidad
Fallo del sistema
Dependiente de la
elctrico
corriente
Acceso lgico no
Accesibilidad al
autorizado
sistema
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de impacto
Es la consecuencia de que una amenaza se materialice

sobre un activo
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Valoracin de Impactos
Identificacin de impactos:
Como el resultado de la agresin de una amenaza sobre un activo
El efecto sobre cada activo para poder agrupar los impactos en cadena segn
la relacin de activos
El valor econmico representativo de las prdidas producidas en cada activo
Las prdidas pueden ser cuantitativas o cualitativas
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Accin de las salvaguardas

Se analiza el efecto de las salvaguardas sobre los impactos y/o las
vulnerabilidades
Preventivas:
Disminuyen la vulnerabilidad
Nueva vulnerabilidad= (Vulnerabilidad+% disminucin vulnerabilidad)
Curativas:
Disminuyen el impacto
Nuevo impacto= (Impacto+disminucin impacto)
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Evaluacin de riesgos
Identifica el coste anual que supone la combinacin de activo, amenaza,
vulnerabilidad e impacto.
Riesgo intrnseco
Valor activo * Vulnerabilidad * Impacto
Riesgo efectivo
Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo *
(Vulnerabilidad * % Disminucin Vulnerabilidad) * (Impacto * % Disminucin
Impacto)= Riesgo intrnseco * % Disminucin Vulnerabilidad * % Disminucin
del Impacto
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gestin de Riesgos
Gestionar los riesgos identificados:
Determinar si el riesgo es aceptable
SI: Identificar y aceptar el riesgo residual
NO: Decidir sobre la forma de gestionar el riesgo x
Forma de gestionar el riesgo:

Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad

Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc.
Reducirlo: reducir la amenaza, vulnerabilidad, impacto
Asumirlo: Detectar y recuperar (Statu quo).
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gestin de Riesgos
Identificar requisitos de
seguridad
Identificar requisitos de
seguridad
Hacemos
algo?
Eliminar el origen del

riesgo, o transferido
Reducimos
riesgos?
Proceso de reduccin de
nivel de riesgo
ramirocid.com
Twitter: @ramirocid
Seleccin de controles
Anlisis de Riesgos
Gestin de riesgos
Una vez se tiene decidido que es lo que hay que hacer se elaborar el:
PLAN DE ACCIN

Establecer prioridades
Plantear un anlisis de coste-beneficio
Hacer la seleccin definitiva de controles a implantar
Asignar responsabilidades
Desarrollar un plan de gestin de riesgos
Implantar los controles
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
4
Personal de
PC's entorno de
desarrollo de SW
y HW
PC's desarrollo
PC's hardware
pruebas
EN-003
SI-001
SI-002
SI-003
50000
10000
10000
2500
DIA
AO
30,82
11.249,3
61,65
22.502,2
3,08
1.124,2
Resumen. Vulnerabilidad /Impacto y Riesgo

intrnseco22.502,
N
Cdigo
Nombre
0,003
50%
0,003
50%
0,003
50%
Incendio en oficinas
1
A1-001
13,70
0,005
13,70
50%
0,005
3,42
50%
0,005
50%
Avera hardware
3
A2-001
27,40
0,003
27,40
5%
0,003
6,85
5%
0,003
5%
Acceso fsico a oficinas

5
P1-001
1,37
0,005
1,37
50%
0,005
0,34
50%
0,005
50%
Acceso lgico interno a los

sistemas
6
P2-001
0,00274
27,40
27,40
6,85
61,65
22.502,2
68,49
24.998,8
50%
No disponibilidad de personal
8
68,49
P5-002
Riesgo intrnseco anual por activo
24.998,8
25.502,
25.502
6.372,9
82.376,7
--ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Metodologas: NIST ST 800-30

Metodologa de origen Americano que se apoya en los siguientes pasos:
Determinacin del sistema
Identificacin de vulnerabilidades
Identificacin de amenazas
Estudio de las salvaguardas
Determinacin de la probabilidad
Anlisis del impacto
Determinacin del Riesgo
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Probabilidad de la
amenaza
Impacto
Bajo (10)
Medio (50)
Alto (100)
Alto (1.0)
Bajo
Medio
Alto
Medio (0.5)
Bajo
Medio
Medio
Bajo (0.1)
Bajo
Bajo
Bajo
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Nivel de
Acciones
riesgo
Alto
Aplica medidas para controlar el riesgo de forma

inmediata
Aplica medidas para controlar el riesgo en un
Medio
Bajo
periodo de tiempo razonable

Analizar si aceptar el riesgo o aplicar medidas de
control
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Datos
Cliente
Imagen
0,5
100
Medio
0,1
100
Bajo
0,1
100
Bajo
Riesgo
Base
Impacto
competencia
Probabilidad
exclusividad
X X
Integridad
General
Confidencialidad
Oferta
Disponibilidad
No clusula de
Caracterstica
Entorno
Director
Fuente
Humana
Vulnerabilidad Amenaza
Natural
Activo
Publicacin
Mala
configuracin
Poltica firewall
inadecuada
ramirocid.com
de datos
privados
Cambio
contenido
Web
Twitter: @ramirocid
Anlisis de Riesgos
Clculo del Riesgo
El riesgo es una ponderacin del valor del activo, la probabilidad que suceda
y el impacto que tendra sobre el sistema.
Valor (+) probabilidad (+) impacto
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Riesgo
Probabilidad
Impacto
Valor
3
4
5
6
7
4
5
6
7
8
5 6 7
6 7 8
7 8 9
8 9 10
9 10 11
4
5
6
7
8
5 6 7 8
6 7 8 9
7 8 9 10
8 9 10 11
9 10 11 12
1
2
3
4
5
de 3 a 7
de 8 a 10
de 11 a 15
2
4
3
3
4
2
5 6 7 8
6 7 8 9
7 8 9 10
8 9 10 11
9 10 11 12
9
10
11
12
13
No es necesario control
Control recomendado
Control obligatorio
ramirocid.com
Twitter: @ramirocid
5
2
6 7 8
7 8 9
8 9 10
9 10 11
10 11 12
9
10
11
12
13
10
11
12
13
14
7 8 9 10
8 9 10 11
9 10 11 12
10 11 12 13
11 12 13 14
11
12
13
14
15
Anlisis de Riesgos
Ejemplo de Anlisis de riesgos

Internet
E01 - Errores de utilizacin
Susceptible a errores humanos de
10
10
Debilidad en el sistema antivirus
AT03 - Acceso lgico no autorizado
Debilidad en el control de acceso
10
con modificacin (insercin y/o
lgico al S.O.
Explorer (6.0;
5.5; 5.0; 4.01)
utilizacin
3
E02 - Errores de diseo,
Susceptible a errores humanos en los
integracin y explotacin
procesos de diseo, integracin y/o

explotacin
E04 - Inadecuacin de
Existencia de una falta de revisin de
monitorizacin, trazabilidad,
logs, o de un proceso inadecuado de
registro del trfico de informacin
dicha revisin
E07 - Errores de actualizacin
Susceptible de no estar correctamente

actualizado
AP03 - Acceso lgico no autorizado
con alteracin o sustraccin de la
lgico al S.O.
informacin, en trnsito o de
Uso descuidado de los sistemas por
configuracin
parte de los trabajadores, dejando sus

terminales accesibles
AT02 - Acceso lgico no autorizado
con corrupcin o destruccin de
lgico al S.O.
informacin en trnsito o de
configuracin
3
repeticin) de informacin en
trnsito
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Ejemplo de Anlisis de riesgos

Clculos
E01- Errores de utilizacin
Los empleados comenten errores durante
11
12
12
11
10
la realizacin de las diferentes tareas que
tcnicos (de
pueden provocar la destruccin o
simulacione
modificacin de las informaciones
s
4
E05 - Errores relacionados con
Uso descuidado de la informacin en papel
la formacin y la concienciacin
por parte de los trabajadores, dejando
del personal
informacin confidencial accesible
AP06 - Robo y sabotaje
Uso descuidado o inadecuado de los

controles de acceso fsico al edificio
Posibilidad de enviar informacin a travs
del correo electrnico sin ningn control
de direcciones, tanto de remitente como de
recepcin
No est controlada la destruccin de los
soportes en los que se guarda la
informacin (destructora de papel, borrado
seguro de las informaciones, etc.)
AT01 - Acceso lgico no
Las informaciones enviadas no viajan
autorizado con sustraccin
encriptadas con los que podra ser posible

interceptar y obtener dichas informaciones
AT03 - Acceso lgico no
Las informaciones enviadas no viajan
autorizado con modificacin de
encriptadas ni firmados con los que podra
informacin en trnsito
ser posible interceptar y modificar dichas

informaciones
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Contramedidas
Segn el riesgo
Recomendaciones a la direccin una serie de contramedidas que pueden

aplicar a su sistema para paliar el riesgo obtenido, ya sea intrnseco o
residual
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Evaluacin de riesgos y gastos
Es necesario conocer su COSTE (anual) / VALOR
Es necesario determinar claramente la RESPONSABILIDAD sobre cada

activo
Es necesario conocer qu AUTORIDAD existe
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
06 Referencias
Documentacin para ampliar conocimientos:
BSI e ISO:
1. Normas BSI: http://www.bsi-global.com
2. Web oficial de la ISO: http://www.iso.org/
3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799
4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n
Metodologas de Anlisis de riesgos:
1. Web de AENOR (Asociacin Espaola de Normalizacin y Certificacin) http://www.aenor.es/
2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
3. Magerit: Web del Consejo Superior de Administracin Electrnica http://www.csi.map.es/
4. CRAMM: http://www.cramm.com/
5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html
6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/
7. Octave: http://www.cert.org/octave/
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Comparativa de Metodologas Valoracin de los elementos de

anlisis:
Activo
Valoracion
Amenaza
Probabilida
d que
Vulnerabilidad
ocurra
Impacto
Riesgo
Magerit
Valor del
Activo X
Activo
Amenaza Y No lo requiere
(medido en )
Valor de la perdida diaria que

% del valor del activo que resulta de la multiplicacion
Frecuencia
se pierde s el impacto se del valor del activo con la
Z
produce
probabilidad de ocurrencia
de la amenaza
CRAMM
Activo X
Amenaza Y Vulnerabilidad W
Frecuencia
Z [1-5]
[1-5]
Escala [3 a 15]
NIST SP 800Alto-MedioActivo X
Amenaza Y Vulnerabilidad W
30
Bajo
Frecuencia
Z AltoMedio-Bajo
Alto-Medio-Bajo
Alto, medio y bajo
Octave
[1-5]
Busca el
riesgo ms
Frecuencia
Activo X alto es un Amenaza Y Vulnerabilidad W
Z
rbol de
desicin
ramirocid.com
Twitter: @ramirocid
Busca el riesgo ms alto es

un rbol de desicin
Anlisis de Riesgos
Comparativa de Metodologas:
Puntos a
Destacar
Magerit
CRAMM
NIST SP 800-30
Octave
Pas que la
creo
Espaa
Reino Unido
Estados Unidos
Estados Unidos
Responsable Secretara de Estado para la

Administracin Pblica
del Producto
WebSite
Versiones
Cramm. El cual pertenece a National Institute of Standards and

Siemens
Technology (NIST)
Software Engineering Institute

(SEI) y Carnegie Mellon
University (CMU)
Versin 1:
http://www.csi.map.es/csi/pg5m
http://www.csrc.nist.gov/index.html
22.htm
Publicaciones:
http://www.cramm.com/
http://www.cert.org/octave/
Versin 2:
http://www.csrc.nist.gov/publication
http://www.csi.map.es/csi/pg5m
s/nistpubs/
20.htm
Versin 1 (1997)
Ultima versin: CRAMM NATO
OCTAVESM Method Version
Publicacin 800-30 (2002)
Versin 2 (2006)
V5.3
2.0
Herramienta
para aplicar la
metodologa
Herramientas:
* PILAR
* CHINCHON
Principales
Conceptos
Activos, amenazas,
vulnerabilidades, impactos,
riesgos y salvaguardas
Un gran numero de
herramientas de analisis y Segn lo investigado, la norma no
especifica un producto en concreto
gestin de la informacin
resultante de estas (ejemplo:
para el analisis
CRAMM Express)
Activos, amenazas,
vulnerabilidades, riesgos,
salvaguardas (contramedidas)
ramirocid.com
Amenazas, vulnerabilidades,
riesgos, controles
Twitter: @ramirocid
Segn lo investigado, la norma

no especifica un producto en
concreto para el analisis, habla
genericamente de 'Vulnerability
Evaluation Tools'
Activos, amenazas,
vulnerabilidades, riesgos
Anlisis de Riesgos
Puntos a
Destacar
Fases
Magerit
CRAMM
NIST SP 800-30
Octave
1- Iniciacin (identificar riesgos es usado

1- Planificacin del Proyecto de Riesgos
1- Identificacin y valoracin de
para soportar el desarrollo de los
(como consideraciones iniciales para
activos (se identifican los activos
requerimientos del sistema)
arrancar el proyecto de Anlisis y
fsicos, software, y los activos de
2- Desarrollo o adquisicin (El sistema IT es 1- Construccin de las vulnerabilidades
Gestin de Riesgos)
datos que conforman los sistemas de
basadas en los activos (visin
diseado, expresado y propuesto o
2- Anlisis de riesgos (Se identifican y
informacin)
organizacional)
construido)
valoran las diversas entidades,
2- Valoracin de las amenazas y
3- Implementacin (los activos de seguridad 2- Identificacin de las vulnerabilidades
obteniendo una evaluacin del riesgo,
vulnerabilidades (determinar cul es la
del sistema son configurados, habilitados, de la infraestructura (visin tecnolgica)
as como una estimacin del umbral de
probabilidad de que esos problemas
3- Desarrollo de estrategia de
testeados y verificados
riesgo deseable)
ocurran)
seguridad y planes de mitigacin de las
4- Operacin o mantenimiento (las
3- Gestin de riesgos (Se identifican las
3- Seleccin y recomendacin de
vulnerabilidades (estrategia y plan de
actividades de mantenimiento para la
funciones y servicios de salvaguarda
contramedidas (CRAMM contiene una
reduccin del riesgo son realizadas)
desarrollo)
reductoras del riesgo)
gran librera de ms de 3000
5- Disposicin (las actividades de
4- Seleccin de salvaguardas (plan de
contramedidas organizadas en 70
administracin de riesgos son realizadas en
implantacin de los mecanismos de
grupos)
los componentes del sistema)
salvaguarda elegidos)
* Habla de anlisis algortmico con 3

modelos: cualitativo, cuantitativo y
Principales
escalonado
Caractersticas
* En la versin 2 posee 3 documentos:
Catalogo, Metodo y Tecnicas
ramirocid.com
* > 400 tipos de activos

* 38 tipos de amenazas
* > 25 tipos de impactos
* 7 medidas de riesgo
* > 3500 controles
* Posee 'Self-Direction'. Una pequeo

equipo del personal de la misma
organizacin es involucrado en los
procesos de implementacin de la
metodologa (personal de IT y de otros
departamentos)
* Creacin de un pequeo equipo
interdiciplinario de analisis de la
* Otorga gran importancia a los controles
informacin
* Habla de perfiles claves dentro de la
* Acercamiento basado en workshop
organizacin respecto a la responsabilidad donde personas de distintos niveles de
de la administracin del riesgo
la organizacin trabajan para identificar
las vulnerabilidades basandose en los
activos
* Catalogos de la informacin:
Catalogos de practicas, Perfil de
activos, catalogo de vulnerabilidades
* Habla de un balance entre 3 aspectos:
Tecnologa, Riesgo Operacional y
Prcticas de seguridad
Twitter: @ramirocid
Anlisis de Riesgos
Puntos a
Destacar
Magerit
CRAMM
* Analisis de riesgos
* Gestin del riesgos
* Plan Director de Seguridad
* Pequeo grupo
* Pequeo grupo interdiciplinario
Quien lleva a
interdiciplinario conformado
conformado por empleados de la
cabo la
por empleados de la misma
misma empresa
metodologa
empresa
La versin 4 costaba por el ao
* No tiene costo, ya que es una
2001:
normativa de libre aplicacin * Para una compaa comercial:
* Plantea un analisis de costo
2800 + 850 al ao de
Costo
beneficio, expresa una formula
mantenimiento
de ROI (Retorno de la
* Para agencias y departamentos
inversin)
del estado britanico: 1600 +
850 al ao de mantenimiento
Aplicacin
Resultado
del analisis
(outputs)
Resultados ordinales y
cardinales
NIST SP 800-30
Octave
* Pequeo grupo interdiciplinario * Pequeo grupo interdiciplinario

conformado por empleados de la conformado por empleados de
misma empresa
la misma empresa
* Habla de costo relacionado con el
beneficio, otorgando una condicin
* Uso Interno: Gratuito
relativa al costo de un plan director * Uso Externo: Se debe comprar
de seguridad, siempre que el costo la licencia al SEI si se quiere
sea menor al costo del riesgo implementar la metodologa a un
analizado y solventado, el costo
tercero
ser bajo
Fase 1: Activos Critivos,

requerimientos criticos para
activos criticos, vulnerabilidades
de activos criticos, lista de
practicas de seguridad actuales,
lista de vulnerabilidades
* Tabla de valorazin del riesgo
* Lista de controles recomendados
actuales de la organizacin
sobre los activos (escala de 1 a
* Resultados de la documentacin Fase 2: Componentes clave,
10)
vulnerabilidades tecnologicas
actuales
Fase 3: Riesgos de los activos
crticos, metricas del riesgo,
estrategia de proteccin, planes
de mitigacin del riesgo
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Comparativa de Metodologas Ventajas:

Puntos a
Destacar
Magerit
Ambito de
Aplicacin
N/A
Su utilizacin no
requiere autorizacin
Derecho de
previa del Ministerio
Ventajas Utilizacin
de Administraciones
Pblicas
CRAMM
NIST SP
800-30
Se puede aplicar a
nivel internacional
(CRAMM v.5.1 ha Internacional
sido usado en 23
pases)
N/A
N/A
Octave
Internacional
* Uso interno:
Ilimitado
Una gran cantidad

Herramienta Gratuita pero limitada.
de herramientas de
N/A
N/A
para aplicar laSe puede solicitar una
aplicacin de la
versin ampliada
metodologa
metodologa.
Facilita la
Facilitar la
Facilita la
Facilita la
certificacin: ISO certificacin de BS certificacin: certificacin: ISO
Certificacin
17999
7799 e ISO 17999 ISO 17999
17999
ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Comparativa de Metodologas Desventajas:

Puntos a
Destacar
Magerit
* Solo de puede aplicar a nivel

nacional (slo en Espaa) por lo
que no se est certificado
internacionalmente
Ambito de
* No se puede aplicar en
Aplicacin
empresas multinacionales que
precisen aplicar una unica
metodologa de analisis de
riesgo para todos los pases
Desventajas
Derecho de
Utilizacin
N/A
ramirocid.com
CRAMM
NIST SP 800-30
Octave
N/A
N/A
N/A
* Hay que pagar * Hay que pagar el

el costo de la costo de la licencia
* Uso externo:
licencia (ms alla (ms alla del costo
Limitado al pago
del costo de la
de la
de la licencia para
implementacin implementacin
su utilizacin
del analisis y del del analisis y del
mantenimiento) mantenimiento)
Twitter: @ramirocid
Anlisis de Riesgos
Dudas? preguntas?
Muchas Gracias !!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
http://www.linkedin.com/in/ramirocid
http://ramirocid.com
http://es.slideshare.net/ramirocid
@ramirocid
http://www.youtube.com/user/cidramiro
ramirocid.com
Twitter: @ramirocid

Analisis de Riesgos

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Analisis de Riesgos

Încărcat de

Drepturi de autor:

Formate disponibile

Anlisis de Riesgos

Ramiro Cid | @ramirocid

7. Clculo del Riesgo

8. Comparativa de metodologas de anlisis de riesgos

Anlisis de riesgos: Primer acercamiento

Corresponde al proceso de identificar los riesgos, desde el punto de vista

Gestin global de Seguridad de un Sistema de Informacin

Documento donde se describe,

Plan Director de Seguridad

[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]

Resumen del procedimiento de anlisis

Evaluacin de riesgos y gastos

Permite identificar los riesgos de la seguridad de la informacin que

Facilita la correcta seleccin de las medidas de seguridad a implantar

Creacin de los plantes de contingencias en previsin de las amenazas

Necesario en el diseo, implantacin y certificacin de un SGSI (es el

Intrnseco es aquel que se realiza sin tener en cuenta aquellas

Residual es aquel que se realiza teniendo en cuenta las contramedidas ya

Elementos del Anlisis

Amenazas: Las amenazas son todas aquellas cosas que le pueden

Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por

Impacto: Consecuencia de la materializacin de una amenaza sobre un

Elementos del Anlisis (continuacin)

Controles: Son todos aquellos mecanismos que permiten reducir las

Riesgos: Son el resultado del anlisis de riesgo.

Riesgo = Valor Activo + Probabilidad + Impacto

Valor de los activos e

Lo que se pretende en la Gestin de riesgos es reducir la probabilidad y/o el impacto. La

Metodologas (I): MAGERIT

Toma de datos y procesos de la informacin

Definir el rea de aplicacin del estudio (alcance) y el objetivo final

Tener una visin global del proceso de informacin en la

Establecer el grado de anlisis en unidades homogneas en todo el

Valor > 200.000

100.000< valor > 200.000

50.000< valor > 100.000

10.000< valor > 50.000

1 vez cada 2 semanas

1 vez cada 2 meses

1 vez cada 6 meses

Muy baja Frecuencia

Los activos son todos aquellos elementos que

Deteccin y Clasificacin de activos

Activos fsicos: Hardware

Activos lgicos: Software

Deteccin y Clasificacin de activos

Personal: Roles del Sistema

Deteccin y Clasificacin de activos

Deteccin y Clasificacin de activos

Se clasifican segn su:

Confidencialidad (libre, restringida, protegida, confidencial, etc.)

Las amenazas son todas aquellas cosas que le pueden

Amenazas Intencionales Presenciales

Amenazas Intencionales Remotas

Interrupcin de Servicios esenciales

Accidente mecnico o electromagntico:

Amenazas Intencionales Presenciales

Amenazas Intencionales Remotas

Errores de utilizacin del sistema, provocados por un mal uso, ya sea

Errores de diseo conceptuales que puedan llevar a un problema de

Errores de desarrollo derivados de la implementacin de alguna

Errores de actualizacin o parcheado de sistemas y aplicaciones

Errores de compatibilidad entre aplicaciones o libreras

Amenazas Intencionales Presenciales