Las claves del xito

para la Gestin de Riesgos

de Seguridad de la Informacin
ISO 27005. Identificar, calcular, controlar y mejorar la eficacia

RIESGOS Y SEGURIDAD

RIESGOS Y SEGURIDAD

Las claves del xito

para la Gestin de Riesgos
Identifique, calcule, controle y
mejore la eficacia y eficiencia
en la Gestin de Riesgos.

La ISO 27001 establece un Sistema de Gestin de Seguridad

de la Informacin, cuyo elemento ms importante es la Gestin de los Riesgos.

Qu significa Gestionar Riesgos?

Significa que, en primer lugar es necesario identificar los riesgos
que afectan a la Organizacin, y en segundo lugar, es necesario
establecer medidas de seguridad para reducir estos riesgos.

Gestin de
Riesgos

Por tanto dentro de la Gestin de riesgos podemos diferenciar

principalmente 2 etapas: Anlisis y Tratamiento.
Para desarrollar todo el proceso de anlisis y tratamiento de los
riesgos, es imprescindible establecer una Metodologa, la cual
definir los pasos que se tienen que seguir para llevar a cabo la
Gestin de Riesgos.

Anlisis

Eventos ISOTools

Tratamiento

Actualmente existen muchas metodologas en el mercado pero

todas tienen una serie de puntos en comn, los cuales veremos a
continuacin.

Prximos webinars

Contacte con ISOTools

RIESGOS Y SEGURIDAD

1. Identificacin de activos
Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos
duros externos, pendrives), aplicaciones, ordenadores, servidores, personas, etc.)

Podemos categorizar los activos y definir

diferentes tipos. Ejemplo: Hardware,
Software, Personas, Informacin, etc

Todos estos elementos tienen informacin:

Impresora: Hojas que se imprimen
Pendrives: Informacin digital
Aplicaciones: Informacin digital
Servidores: Informacin digital
Empleados: Conocimiento, e informacin

de la Organizacin
No obstante tambin podemos identificar
como activo elementos que no contienen
informacin, pero que son imprescindibles
para otros activos que s la tienen. Por ejemplo: Una consola de aire acondicionado no
contiene informacin, pero su funcionamiento implica que los servidores, que s
contienen informacin, no se sobrecalienten
y se averen.
Tambin es importante identificar la dependencia que puede existir entre activos: Una
aplicacin funciona en un servidor, por tanto, si el servidor deja de funcionar, la aplicacin tambin lo har.
Por ltimo, adems de identificar los activos,
tambin puede ser necesario y/o interesante
valorarlos con respecto las 3 dimensiones de
seguridad: Confidencialidad, Integridad y Disponibilidad.

Eventos ISOTools

Prximos webinars

Contacte con ISOTools

RIESGOS Y SEGURIDAD

2. Identificacin de amenazas y vulnerabilidades

Todos los activos de la Organizacin estn expuestos a amenazas, y estas son explotadas por vulnerabilidades.
Qu es una amenaza? Cualquier problema que pueda afectar
al negocio: Ingeniera social, catstrofe natural, troyanos, virus,
etc.
Qu es una vulnerabilidad? Situacin que provoca que una
amenaza pueda producirse. Por ejemplo, imaginemos que en
una Organizacin existe poca concienciacin en seguridad de la
informacin, esto (la vulnerabilidad) ocasionar que exista ms
probabilidad de que alguno de sus empleados se descargue un
correo electrnico con un troyano o un virus (amenaza).

Una situacin de
vulnerabilidad en la
Organizacin favorece
que las amenazas se
materialicen

Lo recomendable suele ser identificar amenazas/vulnerabilidades por tipo de activo, lo cual nos ahorrar mucho trabajo, ya
que todos los activos que estn bajo el paraguas de una misma categora podrn compartir amenazas/vulnerabilidades. No
obstante hay que hacer un anlisis por cada activo y comprobar
si las amenazas/vulnerabilidades que le corresponden por su
categora son adecuadas.
Casi todas las metodologas de gestin de riesgos, o al menos
las ms importantes, incluyen un catalogo de amenazas de donde se pueden seleccionar las que apliquen a cada activo.

3. Clculo del nivel de riesgo

El clculo del nivel de riesgo se realiza de manera distinta dependiendo de la metodologa que se considere, ya que cada
una utiliza una frmula de clculo distinta (probablemente esto
sea lo que haga ms distinta unas metodologas de otras). No
obstante aqu veremos una frmula sencilla y rpida de entender, basada en 2 parmetros fundamentales en gestin de riesgos:
Probabilidad de que una amenaza se materialice.
Impacto en la Organizacin resultante de la materializacin de

una amenaza.
En algunos casos tambin se considerar la valoracin del activo (basada en las 3 dimensiones: Confidencialidad, Integridad y
Disponibilidad).
Tanto el Impacto como la Probabilidad se pueden medir en valores porcentuales, lo cual nos resultar ms sencillo a la hora
de calcular el nivel de riesgo.

Eventos ISOTools

Prximos webinars

Contacte con ISOTools

RIESGOS Y SEGURIDAD

Clculo del nivel de riesgo

Impacto

Probabilidad

0%

50%

100%

0%

50%

100%

La amenaza no
produce ningn
dao

La amenaza
produce un dao
considerable

La amenaza
produce un dao
crtico

Poco probable
que se materialice
la amenaza

Probabilidad
considerable de
que se materialice

Probabilidad muy
alta de que se
materialice

Impacto: Por ejemplo 0% si la amenaza no produce

ningn dao, 50% si el dao es considerable y 100% si

el dao es muy crtico para la Organizacin.
Probabilidad: Por ejemplo 0% si la probabilidad de

que la amenaza se materialice es muy baja, 50% si la

probabilidad es considerable y 100% si la probabilidad
es muy alta.
Al final, obtendremos un valor numrico para el riesgo, el
cual representar lo siguiente:
Probabilidad de que una amenaza se materialice e

impacto en la Organizacin en caso de que se materialice.

El siguiente paso ser determinar si este nivel de riesgo es aceptable para la Organizacin, es decir, si el nivel
de riesgo detectado est por encima del nivel de riesgo
aceptable.
Qu es el nivel de riesgo aceptable? Es el nivel de riesgo
que establece la Organizacin como permitido, es decir,
si el nivel de riesgo aceptable por ejemplo es medio, nicamente supondr un peligro para la Organizacin aquellos riesgos que estn por encima: Alto.
Por tanto, si el nivel de riesgo est por encima del aceptable, tendremos que hacer un tratamiento del mismo con
el objetivo de reducirlo (a un nivel aceptable).

Eventos ISOTools

Los controles de seguridad

son fundamentales, ya
que sin ellos los riesgos
que estn por encima del
nivel aceptable supondrn
un gran peligro para el
negocio y la Organizacin.
4. Establecimiento de controles
Para aquellos riesgos que superen el nivel aceptable tendremos que aplicar controles. Para hacer esta implantacin de controles de manera ordenada, estructurada y
planificada, estableceremos un Plan de Tratamiento.
El definir un Plan para la implantacin de los controles
tambin es fundamental, ya que existirn muchos e implantarlos todos puede convertirse en un verdadero caos
si no existe un orden, una estructura y una planificacin.
El Plan de Tratamiento de Riesgos tiene que contener
una serie de informacin bsica:

Prximos webinars

Contacte con ISOTools

RIESGOS Y SEGURIDAD

El Plan de Tratamiento
de riesgos se encarga
de implantar de
manera planificada
los controles que se
aplican a los riesgos
que superan el nivel
aceptable.

Responsable del control: Persona que se responsabili-

za de la correcta implantacin del control

Recursos: Personas, tcnicos, empresas externas o

materiales que se utilizarn para la implantacin del

control
Acciones a llevar a cabo: Acciones que sern necesa-

rias para la implantacin del control

Prioridad: Todos los controles no tienen la misma prio-

ridad, ya que por una parte el nivel de riesgo no ser el

mismo, ni tampoco el valor de cada activo para la Organizacin. Por tanto es necesario establecer prioridades.
Esta prioridad puede venir determinada por la fecha de
implantacin de cada control.
Despus de implantar todos los controles de seguridad,
tenemos que calcular el riesgo residual.
Qu es el riesgo residual? Es el riesgo que sigue quedando despus de implantar los controles de seguridad.

Eventos ISOTools

Cuando implantamos los controles reducimos el riesgo,

pero este no dejar de existir, siempre quedar un nivel,
aunque sea mnimo.
Qu ocurre si el nivel de riesgo, reducido por la implantacin de los controles de seguridad, sigue estando
por encima del nivel de riesgo aceptable?
Tendremos que tomar una decisin en cuanto al tratamiento, y deber quedar formalmente establecido en
nuestra metodologa de anlisis y tratamiento de riesgos.
Esta decisin se puede resumir en las siguientes posibilidades:
Asumir el riesgo: La Organizacin conoce el riesgo y no

puede establecer ms recursos de los ya establecidos

para reducirlo.
Transferirlo a otra parte: Una compaa de seguros,

una compaa externa, etc.

Prximos webinars

Contacte con ISOTools

RIESGOS Y SEGURIDAD

Metodologas existentes

MAGERIT

CRAMM

OCTAVE

Se utiliza mucho en Espaa,

sobre todo en Administraciones Pblicas, ya que fue
desarrollada por el Consejo
Superior de Administracin
Electrnica. Esta metodologa
no es muy conocida a nivel Internacional, aunque su utilizacin puede ser interesante en
cualquier tipo de empresa.

Tuvo su origen en Reino Unido,

ya que fue desarrollada por el
CCTA (Central Computer and
Telecommunications Agency).
Tiene reconocimiento a nivel
Internacional, y su desarrollo
es de los ms simples: Identificacin y valoracin de activos,
valoracin de amenazas y
vulnerabilidades y seleccin de
contramedidas.

Fue desarrollada por el SEI

(Software Engineering Institute) en Estados Unidos, y
tambin tiene un gran reconocimiento internacional. Tiene
una buena aceptacin a nivel
mundial, aunque las fases que
la componen son un poco
diferentes de las metodologas
habituales, lo cual suele implicar mayor dificultad a la hora
de utilizarla.

NIST 800-30

ISO 27005

ISO 31000

Fue desarrollada por el NIST

(National Institute of Standards
and Technology) en EEUU, y
aunque tiene reconocimiento
Internacional, su uso se limita
sobre todo a EEUU (Administraciones Pblicas). Aunque se
compone de un mayor nmero de fases que las anteriores
metodologas, es muy intuitiva,
sencilla de utilizar.

Es una norma ISO Internacional que no especifica ningn

mtodo de anlisis de riesgo
concreto sino que, contiene
recomendaciones y directrices
generales para la gestin de
riesgos, por tanto, puede utilizarse como gua para elaborar
una Metodologa de gestin de
riesgos propia.

Al igual que la anterior, es una

ISO Internacional que contiene
una serie de buenas prcticas
para gestionar riesgos, aunque
la diferencia con respecto la
ISO 27005, es que esta no aplica solamente a la Seguridad de
la Informacin, sino que aplica
a cualquier tipo de riesgo.

Eventos ISOTools

Prximos webinars

Contacte con ISOTools

RIESGOS Y SEGURIDAD

Conclusiones
Todos los activos de una Organizacin (sea grande o pequea) estn
expuestos a riesgos, los cuales si no se reducen pueden provocar un
problema importante al negocio. Para reducir estos riesgos podemos
implantar controles utilizando una metodologa de anlisis de riesgos.
Una metodologa de anlisis de riesgos nos ayuda a identificar activos,
las amenazas/vulnerabilidades que les afectan, y calcular el nivel de
riesgo, el cual tiene que estar por debajo de un nivel aceptable para la
Organizacin.
Si el nivel de riesgo es superior al aceptable, la Organizacin tiene que
implantar controles de seguridad para reducirlo.
Existen muchas metodologas, pero todas tienen el mismo objetivo: calcular el riesgo asociado a los activos de la Organizacin y establecer
medidas para reducirlo.

La Plataforma
Tecnolgica
ISOTools le ayuda
a automatizar
la Gestin de
Riesgos
ISOTools el la Plataforma
Tecnolgica idnea para
facilitar la implementacin
y mantenimiento de su sistema de gestin de Riesgos,
sea cual sea el tamao y tipo
de organizacin.
ISOTools permite la automatizacin del Sistema de
Gestin del Riesgo, para
la deteccin y control de
amenazas de las organizaciones, mejorando la eficacia y
eficiencia en la gestin, reduciendo riesgos y controlando
incidencias.
Todo ello, gracias a una
herramienta de fcil uso y
amigable que permite la gestin y distribucin prctica
de tareas y responsabilidades con sistema de avisos y
alarmas escalable.

ISOTools Excellence
www.isotools.org

Eventos ISOTools

Prximos webinars

Contacte con ISOTools