Documente Academic
Documente Profesional
Documente Cultură
Johana Sosa
27/01/2012
Contenido
Anlisis de Riesgos Cuantitativo.............................................................................................................. 3
Anlisis de Riesgos Cualitativo ............................................................................................................... 6
1. NIST............................................................................................................................................ 7
Gua de gestin de riesgo para los sistemas de Tecnologas de la Informacin. [2] ............................ 7
Evaluacin de riesgos ...................................................................................................................... 7
2. SEI ............................................................................................................................................ 18
Introduccin a OCTAVE Allegro: Mejora del proceso de evaluacin de los riesgos de la seguridad
de la informacin. [4]..................................................................................................................... 19
3. DAFP ........................................................................................................................................ 21
Gua de Administracin del Riesgo [6]........................................................................................... 21
4. CSAE ........................................................................................................................................ 31
MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin. [8] ............................................................................................................................. 31
5. ISO/IEC 27005 .......................................................................................................................... 43
Tecnologas de la informacin Tcnicas de seguridad Gestin de riesgo de seguridad de la
informacin. [10] ........................................................................................................................... 43
Metodologas seleccionadas ................................................................................................................... 49
Referencias ........................................................................................................................................ 50
Ilustraciones
A continuacin se encuentran los pasos principales para llevar a cabo este anlisis.
La expectativa de una sola prdida-SLE es una cantidad en dinero que es asignado a un evento que
representa la cantidad de perdida potencial de la organizacin si una amenaza se materializa. Se
calcula con la siguiente ecuacin:
Expectativa de una sola prdida (SLE) = Valor del activo x Factor de exposicin (EF)
El factor de exposicin (EF) representa el porcentaje de prdida que una amenaza materializada
podra tener sobre un activo determinado
Se debe escoger las medidas correctivas que contrarresten cada amenaza, y por ltimo se lleva a cabo
un anlisis costo/beneficio de las contramedidas identificadas.
La siguiente tabla muestra cmo se deben guardar los resultados del anlisis de riesgos realizado, y con
estos datos la organizacin puede tomar decisiones acertadas sobre qu amenazas se deben considerar
primero dependiendo de la gravedad de las mismas, la probabilidad de que ocurra, y cunto se podra
perder si la amenaza se materializa. Tambin podr tener un aproximado de cunto dinero debe gastar
para protegerse contra cada amenaza.
Todo este proceso permite que la organizacin tome buenas decisiones de negocio, en lugar de invertir en
controles y proteccin sin una comprensin clara de lo que se est realizando.
Evaluacin de riesgos
La evaluacin de riesgos es el primer proceso en la metodologa de gestin de riesgos. Las organizaciones
utilizan la evaluacin de riesgos para determinar el alcance de la amenaza potencial y el riesgo asociado
con un sistema de tecnologa de la informacin a travs del desarrollo del ciclo de vida del
sistema. El resultado de este proceso ayuda a identificar los controles adecuados para reducir o
eliminar los riesgos durante el proceso de mitigacin de los mismos.
La metodologa de evaluacin de riesgos trabaja bajo nueve pasos principales, que se describen a
continuacin
1. Caracterizacin del Sistema
2. Identificacin de amenazas
3. Identificacin de vulnerabilidades
4. Anlisis de Control
5. Determinacin de la probabilidad
6. Anlisis de Impacto
7. Determinacin de Riesgos
8. Recomendaciones de los controles
9. Documentacin de Resultados
Los pasos 2, 3, 4 y 6 se pueden realizar en paralelo despus de terminar el 1er paso. La siguiente figura
describe los pasos y las entradas y salidas de cada etapa.
Ilustracin 2. Diagrama de flujo Metodologa de evaluacin de riesgos. [2]
Para un sistema informtico en desarrollo, es necesario definir las principales normas de seguridad y
atributos previstos para el futuro sistema de TI.
Hay diferentes tcnicas para obtener la informacin relevante al sistema de IT dentro de sus lmites
operacionales
Salida: Caracterizacin del sistema de TI evaluados, una buena imagen del entorno del sistema de
tecnologa de informacin, y la delimitacin de los lmites del sistema
2. Identificacin de amenazas
Una amenaza es un hecho que puede producir un dao. Una vulnerabilidad es una debilidad en un
sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de
acceso y consistencia del sistema o de sus datos y aplicaciones.
Lo primero que se debe identificar son las fuentes de amenazas para ello se encuentran los siguientes
tipos.
Salida: Una lista de amenazas que contenga una lista de fuentes de amenaza que podra explotar las
vulnerabilidades del sistema
Otra forma de identificar las vulnerabilidades consiste en probar el sistema teniendo en cuenta la
criticidad de los recursos informticos del sistema y su disponibilidad. Para estas pruebas se debe
considerar:
Herramientas automatizadas de escaneo de la vulnerabilidad: Se utiliza para explorar un grupo de
hosts o de una red que conoce los servicios vulnerables
Prueba y evaluacin de Seguridad (ST & E): Se utiliza en la identificacin de las vulnerabilidades
del sistema de TI durante el proceso de evaluacin de riesgo. Incluye el desarrollo y ejecucin de
un plan de prueba. El propsito de las pruebas del sistema de seguridad es probar la eficacia de
los controles de seguridad de un sistema de TI, ya que se han aplicado en un entorno operativo.
Prueba de penetracin. Se utiliza para complementar el examen de los controles de seguridad y
asegurarse de que las diferentes facetas del sistema de TI estn asegurados. Las pruebas de
penetracin, cuando se emplea en el proceso de evaluacin de riesgos, se puede utilizar para
evaluar la capacidad de un sistema informtico para resistir los intentos deliberados para burlar la
seguridad del sistema. Su objetivo es poner a prueba el sistema de TI desde la perspectiva de una
fuente de amenaza y para identificar posibles fallos en los sistemas de proteccin sistemas de TI.
Por ltimo dentro de este paso se debe desarrollar una lista de chequeo de requerimientos de
seguridad. que debe contener las normas de seguridad bsicas que pueden ser utilizados para evaluar
de manera sistemtica e identificar las vulnerabilidades de los, los procedimientos no automatizados,
los procesos y las transferencias de informacin asociado con un determinado sistema de TI en las
siguientes reas de seguridad:
Seguridad de Gestin
Seguridad Operativa
Seguridad Tcnica.
Salida: Lista de las vulnerabilidades del sistema que se pueden dar por las fuentes potencial de
amenazas
Controles preventivos: Inhiben los intentos de violar la poltica de seguridad, e incluyen por
ejemplo la ejecucin de los controles de control de acceso, cifrado y autenticacin.
Controles de deteccin: Advierten de violaciones o intento de violaciones de las polticas de
seguridad e incluyen controles tales como pistas de auditora, los mtodos de deteccin de
intrusos, y las sumas de comprobacin.
Salida: Lista de los controles actuales o planeados usados para el sistema de TI para mitigar la
probabilidad de una vulnerabilidad en la que se ejerce y se reduce el impacto de un evento adverso
5. Determinacin de la probabilidad
Para obtener una calificacin de riesgo global que indica la probabilidad de que una vulnerabilidad
potencial puede materializarse dentro de la construccin del entorno de las amenazas asociadas, los
siguientes factores deben ser considerados:
Fuente de amenaza
Naturaleza de la vulnerabilidad
Existencia y eficacia de los controles actuales.
La probabilidad de que una vulnerabilidad potencial pueda suceder por una fuente de amenaza puede ser
definida como alto, medio o bajo.
6. Anlisis de impacto
El siguiente paso importante en la medicin de nivel de riesgos es determinar los efectos
adversos resultantes al potencializarse una amenaza. Antes de comenzar el anlisis de impacto, es
necesario tener la informacin de:
Misin del sistema (por ejemplo, los procesos realizados por el sistema informtico)
Criticidad del sistema y los datos (por ejemplo, el valor del sistema o de importancia
para una organizacin)
Sensibilidad del sistema y los datos.
Esta informacin puede ser obtenida a partir de la documentacin existente de la organizacin, tales
como el informe del impacto del anlisis de la misin o el informe de evaluacin de criticidad de
activos.
La siguiente lista ofrece una breve descripcin de cada objetivo de seguridad y su consecuencia (o
impacto) de los que no se cumplan:
Prdida de integridad. La integridad del sistema y los datos se refiere a la exigencia de que
informacin sea protegida. Si la prdida de la integridad del sistema o los datos no se
corrige, el uso continuado de los datos daados podra dar lugar a inexactitudes, errores,
fraude o decisiones errneas. Adems, la violacin de la integridad puede ser el primer paso
en un ataque exitoso contra la disponibilidad o confidencialidad del sistema. Por todas estas
razones, la prdida de integridad reduce la garanta de un sistema informtico.
Prdida de la disponibilidad. Si algo crtico de un sistema de TI no est disponible para sus
usuarios finales, la misin de la organizacin puede verse afectada. Prdida de funcionalidad
del sistema y la eficacia operativa, por ejemplo, puede resultar en prdida de tiempo
productivo.
Prdida de la confidencialidad. La confidencialidad del sistema y los datos se refieren a la
proteccin de informacin de su divulgacin no autorizada. Este impacto puede ir desde la
puesta en peligro de seguridad nacional a la divulgacin de la Ley de privacidad de los datos.
Algunos impactos tangibles se pueden medir cuantitativamente, como con la prdida de ingresos, el
costo de la reparacin de los sistemas, o el nivel de esfuerzo requerido para corregir los problemas
causados por una accin de amenaza exitosa.
Otros impactos (por ejemplo, la prdida de la confianza del pblico, la prdida de credibilidad, el
dao a una organizacin de inters) no se pueden medir en unidades especficas, pero puede ser
calificado o descrito en trminos de alta, mediano y bajo impacto.
La evaluacin del impacto puede hacerse de forma cualitativa y cuantitativa. La principal ventaja del
anlisis del impacto cualitativo es la mejora en el tratamiento de las vulnerabilidades. La desventaja
del anlisis cualitativo es que no proporciona mediciones especficas cuantificables de la magnitud
de los impactos, por lo tanto, hacer un anlisis costo-beneficio de los controles recomendados es
difcil.
La principal ventaja de un anlisis de impacto cuantitativo es que proporciona una medida de la
magnitud de los impactos, que pueden ser utilizados en el anlisis costo-beneficio de los controles
recomendados. La desventaja es que, depende de los rangos numricos utilizados para expresar la
medida, lo que requiere que el resultado sea interpretado de forma cualitativa. Algunos
factores adicionales que se deben considerar para determinar la magnitud del impacto son:
Escala de riesgo:
Alto: 50 100
Medio: 10 50
Bajo: 1 10
Probabilidad de Impacto
amenaza Bajo (10) Medio (50) Alto (100)
Alto (1.0) Bajo Bajo Bajo
10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100
Medio (0.5) Bajo Bajo Bajo
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Bajo (0.1) Bajo Bajo Bajo
10 x 0.1 = 1 50 x 0.1= 5 100 x 0.1 = 10
Tabla 4. Matriz nivel del riesgo. [2]
En la siguiente tabla se describen los niveles de riesgo. Esta escala de riesgo, con las calificaciones de
Alta, media y baja, representa el grado o nivel de riesgo a que un sistema informtico, instalacin o
procedimiento podra estar expuesto si una vulnerabilidad determinada se materializa. En la escala de
riesgo tambin se presentan acciones que las personas de la alta gerencia deben tomar para cada nivel de
riesgo.
Cabe sealar que no todos los controles recomendadas se pueden implementar para reducir las
prdidas. Para determinar cules son los controles necesarios y apropiados se debe tener en cuenta:
9. Documentacin de resultados.
Una vez que la evaluacin del riesgo se ha completado, los resultados deben ser documentados en un
documento oficial.
Un informe de evaluacin de riesgos es un informe de gestin que ayuda a la gerencia a tomar
decisiones sobre la poltica, el presupuesto de procedimiento y la gestin de cambios que se deben
tener en cuenta con el sistema operativo.
Salida: Reporte de la evaluacin del riesgo que describe las amenazas y vulnerabilidades, medidas
del riesgo y provee recomendaciones para la implementacin de los controles.
2. SEI
El Instituto de Ingeniera de software es un centro de investigacin y de desarrollo de la realizacin de
investigaciones de ingeniera de software en las lneas de adquisicin, la arquitectura y de productos,
mejora de procesos y medicin del desempeo, seguridad y sistema de sistemas y la fiabilidad financiado
con fondos federales. [3]
Introduccin a OCTAVE Allegro: Mejora del proceso de evaluacin de los riesgos de la seguridad
de la informacin. [4]
Hay cuatro reas de actividad que se lleva a cabo a travs de ocho pasos de la Metodologa de Octava
Allegro. Las reas de actividad son:
Establecer los controladores, donde la organizacin desarrolla los criterios de medicin de riesgos
que son consistentes con los conductores de la organizacin.
Los activos perfil, donde los bienes que son el foco de la evaluacin de riesgos se identifican y se
perfila y los contenedores de los activos se identifican.
Identificar las amenazas, donde las amenazas a los activos-en el contexto de sus envases se
identifican y documentado a travs de un proceso estructurado.
Identificar y mitigar los riesgos, donde los riesgos se identifican y analizan sobre la base de
informacin sobre amenazas, y estrategias de mitigacin que hagan frente a esos riesgos.
Los resultados de cada paso en el proceso son capturados en una serie de hojas de trabajo que luego se
utilizan como insumos para el siguiente paso en el proceso. Los distintos pasos de la metodologa se
describen con ms detalle a continuacin.
Las hojas de trabajo han sido diseadas para que puedan ser traducibles fcilmente a otros formatos
electrnicos.
3. DAFP
Es el departamento administrativo de la funcin pblica de la Repblica de Colombia, que lidera la
modernizacin y el mejoramiento continuo de las instituciones pblicas y el desarrollo de sus
servidores para afianzar la confianza en el estado. [5]
Identificacin de riesgos
El proceso de la identificacin del riesgo debe ser permanente e interactivo basado en el resultado del
anlisis del Contexto Estratgico, en el proceso de planeacin y debe partir de la claridad de los objetivos
estratgicos de la entidad para la obtencin de resultados.
El Decreto 1599 de 2005 lo define como: Elemento de Control, que posibilita conocer los eventos
potenciales, estn o no bajo el control de la Entidad Pblica, que ponen en riesgo el logro de su Misin,
estableciendo los agentes generadore2, las causas y los efectos de su ocurrencia.
La identificacin de los riesgos se realiza a nivel del Componente de Direccionamiento Estratgico,
identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el
logro de los objetivos. Es la base del anlisis de riesgos que permite avanzar hacia una adecuada
implementacin de polticas que conduzcan a su control.
Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos, es a travs de la
utilizacin del formato de identificacin de riesgos el cual permite hacer un inventario de los mismos,
definiendo en primera instancia las causas o factores de riesgo, tanto internos como externos, los riesgos,
presentando una descripcin de cada uno de estos y finalmente definiendo los posibles efectos. Es
importante centrarse en los riesgos ms significativos para la entidad relacionados con el desarrollo de los
procesos y los objetivos institucionales. Es all donde, al igual que todos los servidores, la gerencia
pblica adopta un papel proactivo en el sentido de visualizar en sus contextos estratgicos y misionales
los factores o eventos que pueden afectar el curso institucional, dada la especialidad temtica que manejan
en cada sector o contexto socioeconmico.
Entender la importancia del manejo del riesgo implica conocer con ms detalle los siguientes conceptos:
Proceso: Nombre del proceso
Objetivo del proceso: se debe transcribir el objetivo que se ha definido para el proceso al cual se
le estn identificando los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal
desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.
Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores
de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen
la capacidad de originar un riesgo; se pueden clasificar en cinco categoras: personas, materiales,
Comits, instalaciones y entorno.
Descripcin: se refiere a las caractersticas generales o las formas en que se observa o manifiesta
el riesgo identificado.
Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los
objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o
inmateriales con incidencias importantes tales como: daos fsicos y los agentes generadores se
incluyen dentro de las causas del riesgo, en la metodologa propuesta.
Fallecimiento, sanciones, prdidas econmicas, de informacin, de bienes, de imagen, de credibilidad y
de confianza, interrupcin del servicio y dao ambiental.
PROCESO:
OBJETIVO DEL
CAUSAS RIESGO DESCRIPCIN EFECTOS
PROCESO
Durante el proceso de identificacin del riesgo se recomienda hacer una clasificacin de los mismos
teniendo en cuenta los siguientes conceptos:
Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo
estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los
objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad
por parte de la alta gerencia.
Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como
tcnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de informacin,
en la definicin de los procesos, en la estructura de la entidad, la desarticulacin entre
dependencias, lo cual conduce a ineficiencias, oportunidades de corrupcin e incumplimiento de
los compromisos institucionales.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la
ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de
excedentes de tesorera y el manejo sobre los bienes de cada entidad. De la eficiencia y
transparencia en el manejo de los recursos, as como su interaccin con las dems reas
depender en gran parte el xito o fracaso de toda entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la
comunidad.
Riesgos de Tecnologa: Se asocian con la capacidad de la Entidad para que la tecnologa
disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de
la misin.
Con la realizacin de esta etapa se busca que la entidad obtenga los siguientes resultados:
Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos
para la entidad.
Describir los riesgos identificados con sus caractersticas.
Precisar los efectos que los riesgos puedan ocasionar a la entidad.
El anlisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus
consecuencias, calificndolos y evalundolos con el fin de obtener informacin para establecer el nivel de
riesgo y las acciones que se van a implementar. El anlisis del riesgo depender de la informacin
obtenida en el formato de identificacin de riesgos y la disponibilidad de datos histricos y aportes de los
servidores de la entidad.
El Decreto 1599 de 2005, establece: Elemento de Control, que permite establecer la probabilidad de
ocurrencia de los eventos (riesgos) positivos y/o negativos y el impacto de sus consecuencias (efectos),
calificndolos y evalundolos a fin de determinar la capacidad de la entidad pblica para su aceptacin y
manejo.
Se han establecido dos aspectos a tener en cuenta en el anlisis de los riesgos identificados, Probabilidad
e Impacto. Por la primera se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o
de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el
riesgo, aunque ste no se haya materializado. Por Impacto se entiende las consecuencias que puede
ocasionar a la organizacin la materializacin del riesgo.
Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos:
- La Calificacin del Riesgo: se logra a travs de la estimacin de la probabilidad de su ocurrencia y el
impacto que puede causar la materializacin del riesgo. La primera representa el nmero de veces que el
riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la
magnitud de sus efectos.
- La Evaluacin del Riesgo: permite comparar los resultados de su calificacin, con los criterios definidos
para establecer el grado de exposicin de la entidad al riesgo; de esta forma es posible distinguir entre los
riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las
acciones requeridas para su tratamiento.
Con el fin de facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta una matriz que
contempla un anlisis cualitativo, que hace referencia a la utilizacin de formas descriptivas para
presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia
(probabilidad). Tomando las siguientes categoras:
Impacto:
Leve
Moderada
Catastrfica
Probabilidad
Alta
Media
Baja
As mismo, presenta un anlisis cuantitativo, que contempla valores numricos que contribuyen a la
calidad en la exactitud de la calificacin y evaluacin de los riesgos.
Tanto para el impacto como para la probabilidad se han determinado valores mltiplos de 5. La forma en
la cual la probabilidad y el impacto son expresados y combinados en la matriz que provee la evaluacin
del riesgo.
Probabilidad Valor
Alta 3 15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
moderado. importante inaceptable
Evitar el riesgo Reducir el riesgo Evitar el riesgo
Evitar el riesgo Reducir el riesgo
Compartir o transferir Compartir o transferir
Media 2 10 20 40
Zona de riesgo Zona de riesgo Zona de riesgo
tolerable. moderado importante
Asumir el riesgo Reducir el riesgo Reducir el riesgo
Reducir el riesgo Evitar el riesgo Evitar el riesgo
Compartir o transferir Compartir o transferir
Baja 1 5 10 20
Zona de riesgo Zona de riesgo tolerable Zona de riesgo
aceptable Reducir el riesgo moderado
Asumir el riesgo Compartir o transferir Reducir el riesgo
Compartir o transferir
Impacto Leve moderado Catastrfico
Valor 5 10 20
Tabla 7. Matriz de clasificacin, evaluacin y respuesta a los riesgos. [6]
3. Calificacin del Riesgo
Se debe calificar cada uno de los Riesgos segn la matriz de acuerdo a las siguientes especificaciones:
Probabilidad Alta se califica con 3, Probabilidad Media con 2 y Probabilidad Baja con 1, de acuerdo al
nmero de veces que se presenta o puede presentarse el riesgo. Y el Impacto si es Leve con 5, si es
Moderado con 10 y si es Catastrfico con 20.
Ejemplo
Un ejemplo de la determinacin del nivel del riesgo y del grado de exposicin al mismo:
Riesgo: Prdida de informacin debido a la entrada de un virus en la red de informacin de la
entidad.
Probabilidad: Alta - 3, porque todos los computadores de la entidad estn conectados a la red de
Internet e Intranet.
Impacto: Alto - 20, porque la prdida de informacin conllevara consecuencias graves para el
quehacer de la entidad.
Evaluacin del Riesgo: de acuerdo a la matriz de calificacin y evaluacin sera de 60 y se
encontrara en la zona de riesgo inaceptable.
Controles existentes:
- Se hace backup o copias de seguridad, semanalmente. Control Preventivo
- Se vacunan todos los programas y equipos, diariamente. Control Preventivo
- Se guarda la informacin ms relevante fuera de la red en un centro de informacin. Control Preventivo
- Los controles estn documentados? SI
- Se est aplicando en la actualidad? SI
- Es efectivo para minimizar el riesgo? SI
De acuerdo a la tabla se entiende que la valoracin del riesgo es: Media y se ubica en la zona moderada
10 debido a la efectividad de los controles existentes, ya que los dos primeros controles apuntan a la
disminuir la probabilidad y el ltimo a disminuir el impacto, por lo tanto las acciones que se implementen
entrarn a reforzar los controles establecidos y a valorar la efectividad de los mismos.
Se sugiere elaborar el mapa de riesgos por procesos al final esta etapa, ver el captulo de Polticas de
Riesgos.
Cualquier esfuerzo que emprendan las entidades en torno a la valoracin del riesgo llega a ser en vano, si
no culmina con una adecuada poltica de manejo y control de los mismos.
Con la realizacin de esta etapa se busca que la entidad obtenga los siguientes resultados:
- Identificacin de los controles existentes para los riesgos identificados y analizados.
- Priorizacin de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluacin del
riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la
entidad en caso de materializarse.
- Elaborar el mapa de riesgos para cada proceso.
Riesgo Impacto Probabilidad Evaluacin Controles Valoracin Opciones Acciones Responsables Cronograma Indicador
Riesgo existentes Riesgo manejo
4. CSAE
El Consejo Superior de Administracin Electrnica es el rgano colegiado adscrito al Ministerio de la
Presidencia, encargado de la preparacin, la elaboracin, el desarrollo y la aplicacin de la poltica y
estrategia del Gobierno en materia de tecnologas de la informacin, as como del impulso e implantacin
de la Administracin electrnica en la Administracin General del Estado [7]
Tipos de activos
No todos los activos son de la misma especie. Dependiendo del tipo de activo, las amenazas y las
salvaguardas son diferentes.
Si el sistema maneja datos de carcter personal, estos suelen ser importantes por s mismos y requerir
una serie de salvaguardas frecuentemente reguladas por ley. En estos activos interesa determinar qu
tratamiento hay que imponerles. El hecho de que un dato sea de carcter personal impacta sobre
todos los activos involucrados en su tratamiento y custodia.
Algo similar ocurre con los datos sometidos a una clasificacin de confidencialidad. Cuando se dice
que un cierto informe est clasificado como reservado, de forma que las copias estn numeradas,
slo pueden llegar a ciertas personas, no deben salir del recinto y deben ser destruidas
concienzudamente, etc. se estn imponiendo una serie de salvaguardas porque lo ordena el
reglamento, sectorial o especfico de la Organizacin.
Dependencias
Los activos ms llamativos suelen ser los datos y los servicios; pero estos activos dependen de otros
activos ms prosaicos como pueden ser los equipos, las comunicaciones o las frecuentemente
olvidadas personas que trabajan con aquellos. Por ello aparece como importante el concepto de
dependencias entre activos o la medida en que un activo superior se vera afectado por un incidente
de seguridad en un activo inferior.
Se dice que un activo superior depende de otro activo inferior cuando las necesidades de
seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras
palabras, cuando la materializacin de una amenaza en el activo inferior tiene como consecuencia un
perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son
los pilares en los que se apoya la seguridad de los activos superiores.
Aunque en cada caso hay que adaptarse a la Organizacin objeto del anlisis, con frecuencia se
puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las
inferiores:
capa 1: el entorno: activos que se precisan para garantizar las siguientes capas
o equipamiento y suministros: energa, climatizacin, comunicaciones
o personal: de direccin, de operacin, de desarrollo, etc.
o otros: edificios, mobiliario, etc.
capa 2: el sistema de informacin propiamente dicho
o equipos informticos (hardware)
o aplicaciones (software)
o comunicaciones
o soportes de informacin: discos, cintas, etc.
capa 3: la informacin
o datos
o meta-datos: estructuras, ndices, claves de cifra, etc.
capa 4: las funciones de la Organizacin, que justifican la existencia del sistema de
informacin y le dan finalidad
o objetivos y misin
o bienes y servicios producidos
capa 5: otros activos
o credibilidad o buena imagen
o conocimiento acumulado
o independencia de criterio o actuacin
o intimidad de las personas
o integridad fsica de las personas
Valoracin
No se est hablando de lo que cuestan las cosas, sino de lo que valen. Si algo no vale para nada,
prescndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo
que hay que averiguar pues eso es lo que hay que proteger.
El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema
de dependencias, acumulan el valor de los activos que se apoyan en ellos.
El valor nuclear suele estar en la informacin (o datos) que el sistema maneja, quedando los dems
activos subordinados a las necesidades de explotacin y proteccin de la informacin. Por otra parte,
los sistemas de informacin explotan los datos para proporcionar servicios, internos a la
Organizacin o destinados a terceros, apareciendo una serie de datos necesarios para prestar un
servicio. Sin entrar en detalles tcnicos de cmo se hacen las cosas, el conjunto de datos y servicios
finales permite caracterizar funcionalmente una organizacin. Las dependencias entre activos
permiten relacionar los dems activos con datos y servicios.
Dimensiones
Trazabilidad del uso del servicio: qu dao causara no saber a quin se le presta tal
servicio? O sea, quin hace qu y cundo?
Trazabilidad del acceso a los datos: qu dao causara no saber quin accede a qu datos y
qu hace con ellos?
Los aspectos de autenticidad y trazabilidad de los datos son crticos para satisfacer medidas
reglamentarias sobre ficheros que contengan datos de carcter personal.
La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en alguna escala de
niveles). Los criterios ms importantes a respetar son:
Todos estos criterios se satisfacen con valoraciones econmicas (coste dinerario requerido para
curar el activo) y es frecuente la tentacin de ponerle precio a todo. Si se consigue, excelente.
Incluso es fcil ponerle precio a los aspectos ms tangibles (equipamiento, horas de trabajo, etc.);
pero al entrar en valoraciones ms abstractas (intangibles como la credibilidad de la Organizacin) la
valoracin econmica exacta puede ser escurridiza y motivo de agrias disputas entre expertos.
Valoracin cualitativa
Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un
orden relativo respecto de los dems. Es frecuente plantear estas escalas como rdenes de
magnitud y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo. La limitacin
de las valoraciones cualitativas es que no permiten comparar valores ms all de su orden relativo.
No se pueden sumar valores.
Valoracin cuantitativa
Las valoraciones numricas absolutas cuestan mucho esfuerzo; pero no adolecen de los problemas de
las valoraciones cualitativas. Sumar valores numricos es absolutamente natural y la interpretacin
de las sumas no es nunca motivo de controversia.
Casi todas las dimensiones mencionadas anteriormente permiten una valoracin simple, cualitativa o
cuantitativa. Pero hay una excepcin, la disponibilidad.
No es lo mismo interrumpir un servicio una hora o un da o un mes. Puede que una hora de detencin
sea irrelevante, mientras que un da sin servicio causa un dao moderado; pero un mes detenido
suponga la terminacin de la actividad. Y lo malo es que no existe proporcionalidad entre el tiempo
de interrupcin y las consecuencias.
En consecuencia, para valorar la [interrupcin de la] disponibilidad de un activo hay que usar una
estructura ms compleja que se puede resumir en algn grfico como el siguiente:
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las
amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a
nuestros activos y causar un dao.
No todas las amenazas afectan a todos los activos, sino que hay una cierta relacin entre el tipo de
activo y lo que le podra ocurrir.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable
es el activo, en dos sentidos:
La degradacin se suele caracterizar como una fraccin del valor del activo y as aparecen
expresiones como que un activo se ha visto totalmente degradado, o degradado en una pequea
fraccin. Cuando las amenazas no son intencionales, probablemente baste conocer la fraccin
fsicamente perjudicada de un activo para calcular la prdida proporcional de valor que se pierde.
Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el
atacante puede causar muchsimo dao de forma selectiva.
La frecuencia pone en perspectiva aquella degradacin, pues una amenaza puede ser de terribles
consecuencias pero de muy improbable materializacin; mientras que otra amenaza puede ser de muy
bajas consecuencias, pero tan frecuente como para acabar acumulando un dao considerable.
La frecuencia se modela como una tasa anual de ocurrencia, siendo valores tpicos
En los pasos anteriores no se han tomado en consideracin las salvaguardas desplegadas. Se miden,
por tanto, los impactos y riesgos a que estaran expuestos los activos si no se protegieran en absoluto.
En la prctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que
ocurrira si se retiraran las salvaguardas presentes.
Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al riesgo que
pretenden conjurar. La salvaguarda ideal es 100% eficaz, lo que implica que:
Es tericamente idnea
Est perfectamente desplegada, configurada y mantenida
Se emplea siempre
Existen procedimientos claros de uso normal y en caso de incidencias
Los usuarios estn formados y concienciados
Existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que estn de adorno y el 100% para aquellas que son perfectas,
se estimar un grado de eficacia real en cada caso concreto.
Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una
amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradacin que causan las
amenazas, es directo derivar el impacto que estas tendran sobre el sistema. La nica consideracin
que queda hacer es relativa a las dependencias entre activos. Es frecuente que el valor del sistema de
informacin se centre en los servicios que presta y los datos que maneja, al tiempo que las amenazas
suelen materializarse en los medios.
Impacto acumulado
Su valor acumulado (el propio mas el acumulado de los activos que dependen de l)
Las amenazas a que est expuesto
El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor acumulado y de la degradacin causada.
El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo.
El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado.
El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de
informacin, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo:
proteccin de los equipos, copias de respaldo, etc.
Impacto repercutido
Su valor propio
Las amenazas a que estn expuestos los activos de los que depende
El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor propio y de la degradacin causada.
El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado.
El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado.
El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias tcnicas sobre la misin del sistema de informacin. Es pues una
presentacin gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos:
aceptar un cierto nivel de riesgo.
Los prrafos anteriores determinan el impacto que sobre un activo tendra una amenaza en una cierta
dimensin. Estos impactos singulares pueden agregarse bajo ciertas condiciones:
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de
materializacin) de la amenaza
Se denomina riesgo a la medida del dao probable sobre un sistema. Conociendo el impacto de las
amenazas sobre los activos, es directo derivar el riesgo sin ms que tener en cuenta la frecuencia de
ocurrencia.
Riesgo acumulado
El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor acumulado, la degradacin causada y la frecuencia de la
amenaza.
El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de informacin,
permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: proteccin de los
equipos, copias de respaldo, etc.
Riesgo repercutido
El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor propio, la degradacin causada y la frecuencia de la
amenaza.
El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias tcnicas sobre la misin del sistema de informacin. Es pues una
presentacin gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos:
aceptar un cierto nivel de riesgo.
Agregacin de riesgos
Los prrafos anteriores determinan el riesgo que sobre un activo tendra una amenaza en una cierta
dimensin. Estos riesgos singulares pueden agregarse bajo ciertas condiciones:
Con el objeto de organizar la presentacin, se tratan primero los pasos 1, 2, 4 y 5, obviando el paso 3, de
forma que las estimaciones de impacto y riesgo sean potenciales: caso de que no hubiera salvaguarda
alguna desplegada. Una vez obtenido este escenario terico, se incorporan las salvaguardas del paso 3,
derivando estimaciones realistas de impacto y riesgo.
5. ISO/IEC 27005
Es el mayor desarrollador mundial y editor de Normas Internacionales. ISO es una red de los institutos de
normas nacionales de 162 pases, un miembro por pas, con una Secretara Central en Ginebra, Suiza, que
coordina el sistema. [9]
Los pasos que se deben realizar para la estimacin del riesgo se explican a continuacin.
Gua de gestin de riesgo para los sistemas de Tecnologas de la Informacin. NIST: El propsito
es proveer una gua que desarrolle un programa de administracin de riesgos efectivo y que ayude
a las organizaciones a manejar mejor las tecnologas de informacin relacionadas con la gestin
de los riesgos
MAGERIT V2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin:
Es un mtodo formal para investigar los riesgos que soportan los Sistemas de Informacin y para
recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. Tiene los
siguientes puntos a favor [11].
Est reconocida por ENISA (European Network and Information Security Agency)
Sirve a las organizaciones que trabajen con informacin digital y sistemas informticos.
Permite saber cunto valor est en juego y ayuda a protegerlo.
Persigue una aproximacin metdica que no deja lugar a la improvisacin, ni una
dependencia de la arbitrariedad del analista.
Se eligieron estas metodologas por su reconocimiento a nivel mundial que lograron al encargarse de
cubrir aspectos relacionados con la seguridad de la informacin y que sirven de apoyo para desarrollar
polticas, controles y procedimientos. Otra de las razones fueron las organizaciones responsables de esas
metodologas, ya que son organizaciones con experiencia en lo que hacen.
Referencias
[1] http://www.nist.gov/index.html
[2] Gua de gestin de riesgo para los sistemas de Tecnologas de la Informacin. NIST.
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
[3] http://www.sei.cmu.edu/
[4] Introduccin a OCTAVE Allegro: Mejora del proceso de evaluacin de los riesgos de la seguridad
de la informacin. Alberts, Christopher J. & Dorofee, Audrey J. OCTAVE Criteria V2.0 (CMU/SEI-
2001-TR-016, ADA3399229). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon
University, 2001. http://www.sei.cmu.edu/publications/documents/01.reports/01tr016.html.
http://www.sei.cmu.edu/library/abstracts/reports/07tr012.cfm?DCSext.abstractsource=SearchResults
[5] http://portal.dafp.gov.co:7778/portal/page/portal/home/quienes_somos/mision_vision
[7] [http://www.csi.map.es/csi/nuevo/csae_1.htm]
[8] MAGERIT V2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
[9] http://www.iso.org/iso
[11]
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es
&iniciativa=184
[12] http://www.27000.org/iso-27005.htm
[13] CISSP - Certified Information Systems Security Professional. All in one exam guide. 4th Edition.
McGraw-Hill. Nov. 2007.