La Gestin de Riesgos y Controles en

Sistemas de Informacin - GRCSI

Marlene Lucila Guerrero Julio, MSc
Profesor Asociado Universidad Pontificia Bolivariana
Luis Carlos Gmez Flrez, MSc

Profesor Titular Universidad Industrial de Santander

Agenda
1

Acercamiento a la Situacin de Inters

La Seguridad de la Informacin en el Marco de la GRCSI

Resultados de la Concepcin del Modelo

Conclusiones

Referencias

Acercamiento a la Situacin de Inters

Sistematizacin y
Organizacin de la
Informacin
Sistemas de
Informacin

Apoyo

Propician

Aumento en la
competitividad

Rapidez en la toma de
decisiones acertadas

(Piattini, 2007)
La crisis en la
Ingeniera del
software

23% de los desarrollos

de software fallan,
49% es cuestionado y
28% es satisfactorio

Laudon (2010)
Pressman (2008)
Sommerville (2007)
Bennet (2008)

La Seguridad de la Informacin en el
Marco de la GRCSI
Incrementar el enfoque de proteccin de
datos.
Priorizar las investigaciones de seguridad
basadas en riesgo.
Fortalecer los programas de gestin de
riesgos y controles de la compaa.
Reducir, mitigar o transferir los principales
riesgos.
Reenfocar el ncleo de las estrategias
existentes.
Acelerar la adopcin de tecnologas de
automatizacin relacionadas con la seguridad
para incrementar la eficiencia u reducir
costos.
Adoptar un reconocido marco de trabajo de
seguridad como un medio para la preparacin
de prximos requerimientos regulatorios.

Qu esperan los Ejecutivos

de la Seguridad de la
Informacin
Brenner (2009)

Cumplimiento regulatorio.
Gestin de accesos e identidades.
Proteccin de informacin y
prevencin de fugas.
Mejoras en las infraestructuras de
seguridad.
Gobierno de la seguridad.

Informe Anual de
Seguridad de la
Informacin en las
Instituciones Financieras
Deloitte (2009)

Incrementar la Comunicacin y
Visibilidad de los Riesgos
Definir Polticas y Procedimientos
de Riesgos.
Subcontratar la Gestin de
Riesgos.
Implementar la Tecnologa
Relevante parta el Gobierno de
las Metas de los Procesos.
Managing Risk in the
Current Climate

Ernst & Young (2009)

Resultados de la Concepcin del Modelo

Guerrero y Gmez (2011)

Convenciones
1. Nivel de Riesgo Acceso. 2. Nivel de Riesgo de Ingreso de Informacin 3. Nivel de Riesgo tems
Rechazados o en Suspenso. 4. Nivel de Riesgo Procesamiento. 5. Nivel de Riesgo Estructura
Organizativa. 6. Nivel de Riesgo Cambio a los Programas

A5. Evaluar el riesgo. Identificar el riesgo. Estimar el riesgo.

Valorar el riesgo
A6. Determinar y evaluar el Impacto.
A7. Evaluar la Gravedad del Escenario
A8. Tratar el riesgo. Identificar las exigencias de seguridad y las
normas existentes. Desarrollar estrategias de proteccin basadas
en buenas prcticas. Implementar Protecciones.

A9. Aceptar el riesgo. Dar prioridad a la inversin de los

procesos de seguridad.
A10. Comunicar el riesgo.
A11. Realizar seguimiento al riesgo. Establecer un plan de
reduccin de los riesgos. Monitorear y Revisar.

X
X

X
X

X
X

X
X

Guerrero y Gmez (2011)

Convenciones: X Actividad incluida en el estndar

SOMAP

SP800-30

ISM3

AS/NZS
X

A2. Identificar y valorar los activos crticos.

A3. Identificar las amenazas y las vulnerabilidades de la
organizacin.
A4. Identificar los componentes claves y las vulnerabilidades
tcnicas que ocasionan los riesgos.

A12. Documentar Resultados

SP800-39

MEHARI

A1. Establecer el contexto. Medir y caracterizar el estado actual

de la seguridad de los sistemas y la organizacin. Evaluar la
Exposicin Inherente.

OCTAVE

Actividad

ISO 27005

Estndar

MAGUERIT

Resultados de la Concepcin del Modelo

Resultados de la Concepcin del Modelo

A1. Establecer el
contexto
organizacional

A2. Identificar los

activos crticos

A5. Disear estrategias de

tratamiento y proteccin

A3. Identificar y evaluar

las amenazas y
vulnerabilidades de los
activos

A4.Disear escenarios de
riesgo vs impacto
organizacional

A7. Monitoreo
y Control

A6. Documentar los

resultados y revisar casos

Guerrero (2010)

Resultados de la Concepcin del Modelo

Actividad A1. Establecer el Contexto
Organizacional

Mtodo

Clarificar la Estrategia de
la Organizacin en
trminos de los SI

Entrevistar a los Jefes del Dpto. de Sistemas o

Administradores de TI.
Revisar la documentacin sobre las polticas
organizacionales de adquisicin, implementacin y uso de
los SI.

Especificar los SI que

apoyan los procesos de
negocio

Determinar la dependencia de los procesos de negocio

respecto de los SI.
Determinar los niveles de servicio de los SI.
Revisar la documentacin de los SI - diagramas de
casos de uso y especificaciones de los requisitos
funcionales del SI.

Especificar los roles de los

actores y sus
responsabilidades en los
riesgos asociados a los SI

Entrevistar a los actores de los SI sobre la conducta

ante riesgos.

Guerrero (2010)

Resultados de la Concepcin del Modelo

Actividad A2. Identificar los Activos
Crticos
Catalogar los activos
relacionados con los SI

Determinar la Informacin
Sensible y Crtica

Dimensionar los activos en

cuanto a los niveles de riesgos
y su relacin con la
disponibilidad, autenticidad,
integridad y confidencialidad

Mtodo
Implantar un software de catalogacin de activos o diccionario
de activos

Revisar las Bases de Datos y los Informes de los SI para

Detectar la Informacin Vulnerable

Utilizar el esquema comparativo provisto por el modelos de

GRCSI

Guerrero (2010)

Resultados de la Concepcin del Modelo

Actividad A3. Identificar y Evaluar las
Amenazas y Vulnerabilidades de los
Activos Crticos

Esquema de relacin entre las

amenazas y vulnerabilidades y como
estos estn relacionados con los
activos de los SI.

Guerrero (2010)

Resultados de la Concepcin del Modelo

Actividad A4. Disear Escenarios de
Riesgos con Respecto a su Impacto
Organizacional
Mtodo
Crear una base especifica de
escenarios de riesgo.

Derivar el impacto que los

escenarios de riesgo tienen
sobre la organizacin.

Utilizar la BD de escenarios genricos propuesta por

MEHARI
Identificar las causas y consecuencias de los escenarios de
riesgo especficos.

Relacionar por cada escenario de riesgo especfico los activos

impactados en la organizacin

Guerrero (2010)

Resultados de la Concepcin del Modelo

Actividad A5. Disear Estrategias de
Tratamiento y Proteccin
Identificar las estrategias de
mitigacin candidatas.

Seleccionar la alternativa
ms adecuada en trminos
de costo y recursos
disponibles.

Elaborar e Implementar un
plan para el tratamiento del
riesgo

Mtodo
Asociar los escenarios con los niveles de riesgo
Identificar los controles pertinentes de acuerdo con el nivel de
riesgo.

Elaborar una matriz de relacin control costo recursos

Priorizar los riesgos

Especificar el (los) responsables del tratamiento del riesgo
Generar un calendario de implementacin
Evaluar los riesgos luego del tratamiento
Evidenciar el seguimiento del riesgo

Guerrero (2010)

Resultados de la Concepcin del Modelo

Actividad A6. Documentar los
Resultados y Revisar Casos

Caso Presentado

Frecuencia
de
Ocurrencia

Mecanismo (s)
de Mitigacin

Resultados

Guerrero (2010)

Conclusiones
La Gestin de riesgos y Controles en Sistemas de Informacin no
debe verse divorciada de la calidad del software.

El modelo brinda a las organizaciones una serie de actividades

definidas y organizadas metodolgicamente.

La integracin de las actividades relacionadas por los estndares,

permitirn concretar futuras investigaciones.

Para cada una de las actividades se propuso un conjunto de

mtodos, los cuales apoyan a los distintos involucrados en el
hacer que conlleva la GRCSI.

Conclusiones
El modelo centra la GRCSI en la concepcin de niveles de
riesgo.

El modelo propuesto contribuye a la definicin de medidas de

mitigacin asociadas a cada uno de los niveles de riesgo.

El modelo diseado no tiene la pretensin de convertirse en

un patrn para todas las organizaciones

Referencias
1.

M. Bennett y F. Bennett. Object Oriented Systems Analysis and Design Using UML,
McGraw Hill, 2005.

2. K.C. Laudon y J.P. Laudon. Sistemas de Informacin Gerencial, Prentice Hall, 2010.
3.

R. Pressman. Ingeniera del Software Un enfoque prctico. McGrawHill, 2008.

4. I. Sommerville. Ingeniera del Software. Prentice Hall, 2007.

5.

M. Piattini. Calidad de Sistemas de Informacin, Alfa y Omega, 2007.

6. B. Brenner. The Global State of Information Security, www.pwc.com/gx/en/informationsecurity-survey, 2009.

7.

Deloitte. Confianza y Garanta. Informe Anual de Seguridad de la Informacin en

Instituciones Financieras, Febrero 2009.

8. Ernst & Young. Managing Risk in the Current Climate. 2009.

9. Ministerio de Administraciones Pblicas. MAGUERIT - Metodologa de Anlisis y Gestin
de Riesgos de los Sistemas de Informacin, 1997.
10. M. Guerrero y L. Gmez. Gestin de riesgos y controles en Sistemas de Informacin.
Tesis de Maestra, 2010.
11. M. Guerrero y L. Gmez. Revisin de estndares relevantes y literatura de gestin de
riesgos y controles en Sistemas de Informacin. Revista Estudios Gerenciales, Vol. 27, No.
120, 2011.

Referencias
12. C. Alberts. Operationally Critical Threat, Asset, and Vulnerability Evaluation SM
(OCTAVESM) Framework, Version 1.0. TECHNICAL REPORT. CMU/SEI-99-TR-017. ESC-TR99-017, 1999.
13. ISM3 Consortium. Information Security Managemente Maturity Model. Versin 2.0, 2009.
14. AS/NZS. Estndar Australiano. Administracin de Riesgos. Tercera edicin, 2004.
15. G. Stonebumer. Risk Management Guide for Information Technology Systems.
Recommendations of the National Institute of Standards and Technology. NIST, Special
Publication 800-30, 2002.
16. SOMAP. Open Information Security Risk Management Handbook. Versin 1.0, 2006.
17. CLUSIF. MEHARI 2007. Guide de lanalyse des risques, http://www.clusif.asso.fr, 2007.

18. ISO Directory. Introduction To ISO 27005 (ISO27005). ICONTEC, 2008.

19. R. Ross. Managing Risk from Information Systems. Recommendations of the National
Institute of Standards and Technology. Gaithersburg, NIST Special Publication 800-39,
2008.
20. ISACA. Documento S11. http://www.isaca.org, 2002.
21. Ministerio de Administraciones Pblicas. Modelo Estndar de Control Interno MECI,
Decreto 1599, 2005.
22. L. Elissondo. Informtica Aplicada a los Negocios - Seguridad en los Sistemas de
Informacin, 2008.

Contacto

Marlene Lucila Guerrero Julio

marlene.guerrero@upb.edu.co
Lus Carlos Gmez Flrez
lcgomezf@uis.edu.co