LuisDanielLucioQuiroz

CISSP,CISA,CISM

Anlisis de Riesgos

Definiciones
Vulnerabilidad
Debilidad

en un mecanismo que
afecta la confidencialidad, integridad o
disponibilidad de un activo.

Threat
Peligro

potencial hacia un activo

proporcionado por un agente.

Definiciones
Riesgo
Probabilidad

de que un agente
encuentre y tome ventaja de una
vulnerabilidad

Exposicin
Instancia

de ser expuesto a prdidas

por un agente

Contramedida
Control

puesto en lugar para mitigar

las prdidas potenciales

El proceso sin fin...

Dueos

imponen

reducen

Controles

poseen
desean
minimizar

Vulnerabilidades

sonavisadosde
Agentes

generan

exploran

Riesgos
valoran
afectan

generan

Peligros

incrementan

deseanabusarydaar

Activos

Administracin del riesgo

Administracin

del riesgo es el
proceso de definir, levantar y
reducir el riesgo a un nivel
aceptable e implementar los
mecanismos correctos para
mantener este nivel de riesgo.
Riesgo es la posibilidad de que algo
daino suceda.

Administracin del riesgo

Identificacin

del Riesgo
Administracin del riesgo
Anlisis de riesgo cualitativo
Anlisis de riesgo cuantitativo
Planeacin de respuesta al riesgo
Monitoreo y control del riesgo

Administracin del riesgo

Administracin
delriesgo

Planeacindela
administracindelriesgo

Documentacin

Monitoreoycontrol
delriesgo

Identificacin

Evaluacin

Identificacin
delRiesgo

Anlisis
Anlisisderiesgo
cualitativoycuantitativo

Ejecucin

Prioritizacin

Planeacin

Planeacinde
respuestaalriesgo

Metodologas

(ISC)2

Anlisis de riesgos

1.Entendimiento de la meta y
alcance
2.Estimacin y asignacin de valores
a los activos
3.Identificacin de peligros y
vulnerabilidades
4.Estimacin de la prdida potencial
por riesgo
5.Estimacin de probabilidades y
frecuencias

6.Sugerencias de medidas efectivas

Anlisis de riesgos valores

Responsabilidad

del dueo
La decisin de este valor repercute
en las acciones y proteccin del
activo
El valor es determinado por la
importancia para los dueos,
usuarios autorizados y usuarios no
autorizados

Anlisis de riesgos valores

Costo final =
costo de adquisicin o desarrollo del
activo +
costo de mantenimiento y proteccin +
valor del activo a dueos y adversarios +
precio que otros pagaran +
responsabilidades en caso de peligro +
prdidas operacionales en caso de no
disponibilidad +
costo de reemplazo

Anlisis de riesgo identificacin

Identificacin

de todos los
departamentos
Estimar prdida potencia para cada
riesgo

Anlisis de riesgo clasificacin

Identificacin

del custodio
Especificacin de criterios
Clasificacin de los datos
(por el dueo)
Criterios de destruccin
(cundo y cmo)

Anlisis de riesgos anlisis

Identificacin

de

Documentacin

custodios
Desarrollo de
clasificacin de
criterios
Controles por
clasificacin

de excepciones
Cmo transferir
la custodia
Procedimiento
de declasificacin
Programa de
entrenamiento

Anlisis de riesgos clasificacin

Cuantitativo
Numrico

y valore monetario

Cualitativo
Medidas

subjetivas asignadas
Por Intuicin

Anlisis de riesgos cuantitativo

Single
Valor

Loss Expectancy
(V) x Factor de Exposicin (EF) =

SLE
EF es expresado en porcentaje de
perdidas del activo en caso de
presentar el fenmeno. [0, 1.0]
Annualized
SLE

Loss Expectancy

x Ocurrencia Anual (ARO) = ALE

Annualized Rate Occurrence especifica
el valor estimado de posibilidad. (0,
1.0)

Anlisis de riesgo cuantitativo

Activo

Riesgo

Instalaciones Fuego
Informacin
Robo
secreta
Servidorde
Falla
archivos
Datos
Virus
Informacin
detarjetade
Robo
crditode
clientes

Valorde
activo
560000,00

EF

SLE

ARO

ALE

0,40 224000,00

0,25 56000,00

43500,00

0,92 40020,00

0,75 30015,00

11500,00

1,00 11500,00

0,50

5750,00

0,70

0,80

4984,00

8900,00
325500,00

6230,00

0,83 270165,00

0,60 162099,00

Anlisis de riesgo cualitativo

1.Desarrollar escenarios de riesgos

2.Obtener los temas ms
importantes de los expertos de
negocio
3.Trabajar sobre los escenarios
4.Prioritizar riesgos y peligros a los
activos
5.Construir consensos para las
mejores formas de
proteccin

Anlisis de riesgo cualitativo

Probabilidad
alta

moderada

X
Severidad

moderada

baja

Prctica
Realizar

un estudio de anlisis de
riesgos obteniendo lo siguiente:
Identificacin

de activos ms crticos
Identificacin de riesgos con mayor
dao
Identificacin de los controles a
implementar por orden de impacto

Prctica - Escenario
Una empresa farmacutica localizada
en la ciudad de Mxico tiene en la
misma ubicacin el laboratorio de
investigacin y las oficinas
corporativas que se encargan de
las ventas y compras del insumo
para producir sus medicamentos de
patente.

Prctica - Escenario
Se sabe que....
Los

usuarios guardan la informacin

de las patentes en los equipos de
cmputo finales
Cualquier empleado con equipo de
cmputo puede salir a Internet sin
restriccin
Existe un dominio de Windows, pero
no existe una correcta administracin
de privilegios

Prctica - Escenario
Todos

los usuarios son

administradores de su equipo
El correo electrnico es una
herramienta primaria de comunicacin
entre usuarios y proveedores externos
La mensajera instantnea no es
utilizada para fines de negocio
Los usuarios utilizan una tarjeta de
proximidad para poder acceder a las
instalaciones

Prctica - Escenario
Las

instalaciones se componen
principalmente del rea de recepcin,
oficinas administrativas y laboratorios
de investigacin
Slo existen cmaras de vigilancia en
la recepcin
Los empleados al entrar o salir
registran su equipo de entrada

Metodologas

OCTAVE
Operationally Critical Threat, Asset
and Vulnerability Evaluation

OCTAVE
Caractersticas
Sistemtica
Se

gua por el contexto

Auto dirigible

Caractersticas
Dirigida

por grupo de 5-7 personas

Equipo inter-diciplinario
Pretende unir en un marco comn a
las personas de TI y las de negocio

Proceso

Fases

OCTAVE vs OCTAVE-S
+300

-100

empleados
No requiere
expertos
El ambiente de
TI est va
outsourcing

empleados
Requiere de
expertos
Se genera por
medio de
talleres
IT opera en casa

OCTAVE-S

Resumen
Cualitativas
OCTAVE
CORAS

Cuantitativas
ISRAM
Cost-Of-Risk

Analysis CORA
Information System IS

OCTAVE
Desarrollada

por la CERT en 2003

Concentra activos, peligros y
vulnerabilidades
Tres fases

CORAS
Desarrollada

por el Information
Society Technologies IST
Utiliza procesos semi-formales
orientados a objetos
Basada en UML
Utiliza lluvia de ideas de grupos
inter-disciplinarios

ISRAM
Desarrollada

en Diciembre del
2003 por el National Research
Institute of Electronics and
Cryptology y el Gebze Institute of
Technology
Esta basada en encuestas
Valua el riesgo entre 1 y 25
Contiene 7 pasos

CORA
Desarrollada

por la International
Security Technology
Utiliza modelos de datos que usan
peligros, funciones, activos,
vulnerabilidades para calcular
consecuencias
Consiste en 2 etapas
Utiliza el SOL y ALE

IS Risk Analysis on BM
Basado

en Modelos de negocio
Desarrollado por Korea Advance
Institute of Science and Technology
Tiene 4 etapas
Da un enfoque de negocio,
procesos sobre activos
Utiliza el ALE