Anlisis de Riesgos sobre la

Informacin de SI
Ing. Juan Carlos Molina Garca
Especialista Arquitecto Empresarial
Magster en Ingeniera de Sistemas y Computacin

Anlisis de Riesgos sobre la

Informacin de SI
Por qu medir el riesgo?
La medicin es el primer paso para el control y la mejora. Si

algo no se puede medir, no se puede entender. Si no se

entiende, no se puede controlar no se puede mejorar.
H. James Harrinton

Anlisis de Riesgos sobre la

Informacin de SI
El riesgo es una funcin de la probabilidad que una amenaza

acte sobre una vulnerabilidad, y el impacto resultante es el

evento adverso (puede generar perdidas)
Riesgo = F(Impacto, Probabilidad)

Anlisis de Riesgos sobre la

Informacin de SI
Amenza
Cualquier circustancia o evento con el potencial de impactar

adversamente los activos de una organizacin

Criminales
Sucesos Fsicos
Negligencia y malas decisiones

Anlisis de Riesgos sobre la

Informacin de SI
Vulnerabilidad
Debilidad de un sistema de informacin, procedimiento de

seguridad, control interno o implementacin, que pueda ser

explotada por un fuente de amenaza.
NIST SP 800-39

Ambientales/Fsicas
Econmicas
Socio-Educativa
Institucional/ Poltica

Anlisis de Riesgos sobre la

Informacin de SI
Ejemplo vulnerabilidad

Anlisis de Riesgos sobre la

Informacin de SI
Impacto
Estimacin de una consecuencia ocasionada por un nuevo

evento

Anlisis de Riesgos sobre la

Informacin de SI
Probabilidad
Estimacin de la ocurrencia de una evento teniendo en cuenta la

frecuencia de los hechos, histricos, la motivacin, capacidad y

los recursos con que se cuentan los posibles atacantes, la
percepcin de qu tan atractivo es el activo y sus
vulnerabilidades, entre otros.

Anlisis de Riesgos sobre la

Informacin de SI
Gestin de Riesgos
Aplicacin sistemtica de polticas de administracin,

procedimientos y prcticas a las actividades de identificar,

analizar, tratar y monitorear el riesgo.

Anlisis de Riesgos sobre la

Informacin de SI
Beneficios
Decisiones ms efectivas
Asignacin de recursos ms eficiente
Toma de decisiones transparente

Anlisis de Riesgos sobre la

Informacin de SI
Proceso de Gestin de Riesgos

Anlisis de Riesgos sobre la

Informacin de SI
Marcos de Referencia
AZ/NZ 4360: estndar australiano y neozelands de administracin de riesgos.

NTC 5254: norma colombiana de gestin de riesgos

ISO 31000: administracin del riesgo
ISO 27000: seguridad en sistemas de informacin
NIST 800-30/800-39: manejo de riesgos en tecnologas de informacin y gestin de

riesgos(USA)
RISK IT: Framework que provee la vista de todos los riesgos relacionados con las TI(ISACA)
MAGERIT: metodologa de anlisis y gestin de riesgos de los Sistemas de Informacin
(Espaola)
OCTAVE: herramientas, tcnicas y mtodos para la planeacin de estratgica de los
riesgos( Carnegie Mellon University)

Anlisis de Riesgos sobre la

Informacin de SI
No interesa el mtodo, siempre debe:
Identificar el activo de Informacin
Identificar vulnerabilidades
Identificar amenazas
Valorar el impacto de la perdida de integridad, confidencialidad

y disponibilidad del negocio

Valorar la posibilidad realista que exista la falla
Estimar el riesgo
Definir la opcin de tratamiento(evitar, reducir, transferir,
aceptar)
Tomar las acciones definidas.

Anlisis de Riesgos sobre la

Informacin de SI

Subjetivo
Menor precisin
No hay anlisis de
costo beneficio
Poco complejo
Uso de observacin
Fcil de comunicar

Cuantitativo

Cualitativo

Tipos de anlisis de riesgos

Semi cuantitativo

Objetivo
Mayor precisin
Anlisis de costo
beneficio
Complejo
Uso de frmulas
matemticas
Difcil de comunicar

Anlisis de Riesgos sobre la

Informacin de SI
Anlisis de riesgos cuantitativos
Valor de activo(V)
Costo de reposicin del activo, perdida de productividad, remplazo de
datos, propiedad intelectual, demandas, multas, sanciones, etc. Valor del
impacto.
Factor de exposicin (FE)
Es la proporcin del valor de un activo que tiene probabilidad de ser
destruido por un riesgo en particular, expresada como porcentaje.
Single-time Loss Expantancy-Expectativa de Prdida nica
Cuando ocurre una amenaza, cul es la perdida monetaria del activo.
Considere el valor del activo (V) por la exposicin de la ocurrencia de la
amenaza, ser igual a SLE.

Anlisis de Riesgos sobre la

Informacin de SI
Anlisis de riesgos cuantitativos
Annualized Rate of Ocurrance (ARO)

Cual es la probabilidad de la ocurrencia en una ao

Annualized loss Exposure(ALE)
Valor representado por el proceso clsico de anlisis de riesgo
indicando la expectativa de prdida para cada amenaza dada

Anlisis de Riesgos sobre la

Informacin de SI
Anlisis de riesgos cuantitativos

Anlisis de Riesgos sobre la

Informacin de SI
Anlisis de riesgos cuantitativos
Ejemplo
El costo de un servidor es de 4000
El factor de exposicin de servidor en caso de desastre es de 25%
La probabilidad de la ocurrencia de la amenaza es de una vez en 10 aos

Objetivo: Costo de proteccin en el perodo<ALE

Cual es el valor del activo?FE?SLE?ARO?ALE?
$4000; 25%;1000;0.1;100

Anlisis de Riesgos sobre la

Informacin de SI
Anlisis de riesgos cualitativos
La magnitud del impacto y la probabilidad se describen en

forma detallada.
Se emplea en los siguientes casos:
Evaluacin inicial para identificar riesgos que se van a evaluar ms

adelante
Cuando se consideran aspectos intangibles
Cuando no se cuenta con informacin suficiente y adecuada.

Anlisis de Riesgos sobre la

Informacin de SI
Anlisis de riesgos cualitativos

Ejemplos
Es muy probable que se genere un impacto negativo en la

imagen de la organizacin a nivel nacional.

La probabilidad de que la organizacin pierda credibilidad
ante sus cliente es casi nula

Anlisis de Riesgos sobre la

Informacin de SI
Anlisis de riesgos semi cuantitativos
Se asignan valores a las escalas empleadas en el anlisis

cualitativo
Los valores son representativos, no reales.
Se busca establecer prioridades entre los niveles de riesgo

Anlisis de Riesgos sobre la

Informacin de SI
Gestin de riesgos

Anlisis de Riesgos sobre la

Informacin de SI
Gestin de riesgos Planear
Identificacin de activos
Valoracin de activos
Identificacin de amenzas y
vulnerabilidades
Valoracin de la probabilidad de los
escenarios de riesgo

Identificacin y valoracin de
controles
Clculo de riesgos

Anlisis de Riesgos sobre la

Informacin de SI
Planear
Identificar activo de informacin

Anlisis de Riesgos sobre la

Informacin de SI
Planear
Valoracin de Impacto

Anlisis de Riesgos sobre la

Informacin de SI
Planear
Valoracin de Impacto

Anlisis de Riesgos sobre la

Informacin de SI
Planear
Amenzas y Vulnerabilidades

Anlisis de Riesgos sobre la

Informacin de SI
Planear
Valoracin de la probabilidad

Anlisis de Riesgos sobre la

Informacin de SI
Amenazas y vulnerabilidades

Anlisis de Riesgos sobre la

Informacin de SI
Control
Medio para gestionar el riesgo, incluyendo polticas,

procedimientos, directrices, prcticas o estructuras de la

organizacin que pueden ser de naturaleza administrativa,
tcnica, de gestin o legal.
Pueden mitigar la probabilidad y/o el impacto

Anlisis de Riesgos sobre la

Informacin de SI
Valoracin de Controles

Anlisis de Riesgos sobre la

Informacin de SI
Niveles de Riesgo
Riesgo inherente / neto: sin controles
Riesgo residual : remanente luego de definir acciones(controles,

salvaguardas)

Anlisis de Riesgos sobre la

Informacin de SI
Riesgo Inherente

Anlisis de Riesgos sobre la

Informacin de SI
Clculo del riesgo inherente

Anlisis de Riesgos sobre la

Informacin de SI
Riesgo residual

Anlisis de Riesgos sobre la

Informacin de SI
Riesgo residual

Se puede detallar el
impacto en cada activo

Se puede detallar el
factor que se est
mitigando

Anlisis de Riesgos sobre la

Informacin de SI

Bibliografa
Seguridad WS 2012. Ing. Joshsua J Gonzlez Das