Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pg. 3/11
Aceptacin de riesgos
Nivel
Puntuacin
MEDIO
0-5
MEDIO
ALTO
/BAJO
0-5
/BAJO
0-8
/MEDIO
/BAJO
Ntese que la segunda fila tiene una alerta. Dado que el proceso de gestin de riesgo es cclico, se tendr en cuenta la
condicin planteada en futuras revisiones, de manera de detectar el momento en que la DNPDP comience a aplicar
sanciones, en cuyo caso el nivel de riesgo aceptable debiera bajar.
Alcances y limitaciones
Se requiere realizar un estudio de la organizacin. Es decir definir el negocio, estrategia, misin y valor de la organizacin y su estructura Ej. Organismo gubernamental de seguridad social, atiende las prestaciones sociales de activos y
pasivos, responde a las polticas que fija el gobierno en ejercicio, etc. El rea de Seguridad Informtica no depende de
la Alta Direccin, lo cual induce a pensar que la organizacin no est preocupada seriamente por este tema.
Se deber tomar en cuenta todas las restricciones que afectan a la organizacin y que determinan su orientacin
respecto de la seguridad de la informacin. Ej. La cooperacin con otros organismos gubernamentales obliga a compartir datos sensibles, razn por la cual ser necesario confeccionar adecuados convenios; o bien, limitaciones en el
presupuesto para la compra de software especializado de seguridad.
Se deber tomar conocimiento de todas las leyes y regulaciones que alcanzan a la organizacin.
Se deber tomar en cuenta todas las restricciones que afectan al alcance. Ej. Del ambiente (situacin geogrfica/clima, situacin geopoltica/atentados), gestin de recursos humanos (requerimientos concernientes al entrenamiento de operadores, definicin de los puestos de administradores).
Hardware
Consiste de todos los elementos fsicos, como por ejemplo, los equipos de procesamiento de informacin, los fijos y mviles, los perifricos, los de almacenamiento, etc.
Software
Consiste en todos los programas que contribuyen al procesamiento de informacin tales como, los sistemas
operativos, mantenimiento y administracin de software, software de base, las aplicaciones de negocios, etc.
Red
Consiste en el equipamiento, los medios de comunicacin y sus interfaces.
Personal
Consiste en los grupos de personas involucradas en el sistema de informacin, como por ejemplo, quienes toman decisiones (la direccin, los dueos de la informacin, etc.), los usuarios finales, desarrolladores y personal
de operacin y mantenimiento.
Sitio de procesamiento
Consiste en todos los sitios involucrados en el procesamiento, como por ejemplo, los de las sucursales (equipos
de telecomunicaciones, servidores), el permetro de la red, los sitios de servicios tercerizados, los accesorios
como unidades de power suply, aire acondicionado, sistema de prevencin y deteccin de incendios, etc.
Estructura de la organizacin
Describe el marco organizacional que consiste en el personal que compone las estructuras as como los procesos
que controlan estas estructuras. Por ejemplo autoridades, los involucrados en proyectos especficos, proveedores, contratados, etc.
Caso en desarrollo - Activos a proteger
Primarios
Proceso de carga de novedades
Proceso de liquidacin previsional/otras
Proceso de emisin a bancos.
Proceso de inventario de hardware y software
Proceso de gestin de datos personales
Gestin y mantenimiento del sitio Web
De soporte
Disponibilidad del mainframe
Disponibilidad red interna
Seguridad del permetro de la red
Sitio de procesamiento
Sitio de telecomunicaciones en cada una de las sucursales
Proteccin de red interna frente a externa
Identificacin de las amenazas. Las amenazas son potenciales daos a los activos. Pueden ser internas o externas, de
origen natural o humano, accidental o deliberado. Es necesario tipificarlas y definir la fuente.
Caso en desarrollo - Identificacin amenazas
Tipo de amenaza
Dao fsico
Naturales
Humanas
Tcnicas
Amenaza
Origen (*)
Fuego
A,D,E
A,D,E
Polvo, temperatura
A,D,E
Polucin
A,D,E
Fenmeno meteorolgico
Sismos
Errores, ataques fsicos, fraude, abuso de derechos, acciones no autorizadas/delictivas, acciones administrativas
penalizadas por el reglamento de personal (usuarios internos no capacitados, descontentos, negligentes, deshonestos).
A, D
Identificacin de los controles existentes. Evita la duplicacin de controles y permite evaluar su efectividad (cul es el
riesgo residual)
Caso en desarrollo Identificacin de controles
Contrato de mantenimiento del mainframe con demora de 8 hrs. en la respuesta al llamado frente a desperfecto.
Identificacin de las vulnerabilidades. Enumerar las vulnerabilidades que pueden ser explotadas por una amenaza. En
lo posible, se utilizarn mtodos para identificarlas. Por ejemplo, test de intrusin, escaneo automticos de vulnerabilidades, etc.
Caso en desarrollo - Identificacin de vulnerabilidades
Tipo de vulnerabilidad
Vulnerabilidad
Hardware
Insuficiencia/falta de mantenimiento
Acciones no autorizadas
Abuso de derechos
Acciones
no
autorizadas/delictivas (usuarios internos)
Acciones
no
autorizadas/delictivas (usuarios internos)
Personal
Procedimientos inadecuados de
reclutamiento de personal , falta de
concientizacin, pobre cultura
organizacional
Red
Sitio
Sofware
Permetro de la red
Identificacin de consecuencias. Identifica el dao o impacto negativo que un escenario de incidente puede causar a
la organizacin. Un escenario de incidente es la descripcin de una situacin en la cual una amenaza puede explotar
una vulnerabilidad o conjunto de vulnerabilidades.
Caso en desarrollo Identificacin de consecuencias
Falta de disponibilidad del mainframe, donde el escenario de incidente es:
- Amenaza: Mal funcionamiento o falla de equipamiento/red
- Vulnerabilidad: Insuficiencia/falta de mantenimiento del mainframe
En general, conviene realizar en primera instancia una estimacin de alto nivel y de valoracin cualitativa. De esta
manera se llegar a un consenso de manera ms rpida y menos costosa.
Como el proceso de gestin de riesgos es iterativo y debe ser monitoreado, en sucesivas instancias es posible profundizar la estimacin.
El costo de reemplazo del activo y/o la relevancia y cantidad de los procesos a los que da soporte, es decir, el grado de dependencia. Tambin se puede medir cualitativamente.
Las consecuencias para el negocio en caso de destruccin, no disponibilidad, modificacin no autorizada y/o falta
de integridad de la informacin. Puede ser obtenido a travs de un anlisis de impacto del negocio (BIA por sus siglas en ingls). El impacto est asociado al grado de xito del incidente (amenaza que explota una vulnerabilidad).
En este caso es necesario definir cules son todas las posibles consecuencias, una base comn que debe ser usada
por todos y para todos los casos, y definir la calidad de impacto en el negocio (por ej. bajo, medio o alto; o bien
muy bajo, bajo, medio, alto, muy alto).
El valor determinado por el impacto del negocio suele ser ms significativo que el valor del activo, dependiendo de la
criticidad del mismo. Se considera que el impacto puede tener un efecto inmediato, por ejemplo operacional o a futuro, por ejemplo en el negocio si tuviera consecuencias financieras o de mercado.
Caso en desarrollo - Estimacin del Impacto o consecuencias
Usaremos la escala cualitativa y mediremos el impacto sobre el negocio.
Como matriz modelo usaremos la siguiente:
ESCENARIO
Impacto en
el negocio
Probabilidad
del escenario
de incidente
BAJA (IMPROBABLE)
MEDIA
(POSIBLE)
ALTA (PROBABLE)
MUY ALTA
(MUY PROBABLE)
MUY BAJA
BAJA
MEDIA
ALTA
MUY ALTA
Ser necesario definir con anterioridad qu comprende el valor de cada elemento de la escala de impacto en el negocio. A continuacin se incluye un ejemplo.
Nivel de Impacto
ALTO
MEDIO
BAJO
Definicin
La ocurrencia del incidente provoca:
- Una prdida econmica superior a $, o
- La prdida, divulgacin o modificacin no autorizada de
informacin de alta criticidad, o
- Un dao considerable a las actividades, o
- Un dao considerable a la imagen o reputacin, o
- Perjuicios graves a seres humanos
La ocurrencia del incidente provoca:
- Una prdida econmica superior a $, o
- La prdida, divulgacin o modificacin no autorizada de informacin de criticidad media, o
- Un dao a las actividades, o
- Un dao a la imagen o reputacin, o
- Perjuicio a seres humanos
La ocurrencia del incidente provoca:
- Una prdida econmica inferior a $, o
- La prdida, divulgacin o modificacin no autorizada de
informacin de criticidad baja, o
- Un dao no significativo a las actividades, o
- Un dao no significativo a la imagen o reputacin
MA
ALTA (PROBABLE)
Facilidad de explotacin
de la vulnerabilidad
MEDIA (POSIBLE)
VULNERABILIDAD
BAJA (IMPROBABLE)
MB
Probabilidad de ocurrencia
de la amenaza
AMENAZA
Tambin ser necesario definir previamente bajo qu condicin se concepta tanto la probabilidad de ocurrencia como la facilidad de explotacin, como alta, baja o media. A continuacin daremos un ejemplo sobre la probabilidad de
ocurrencia de la amenaza.
Nivel de probabilidad
Definicin
ALTO
MEDIO
BAJO
MAL FUNCIONAMIENTO O
FALLA DE EQUIPAMIENTO/RED
INSUFICIENCIA/FALTA DE
MEDIA (POSIBLE)
ALTA (PROBABLE)
MB
MA
Facilidad de explotacin
de la vulnerabilidad
BAJA (IMPROBABLE)
Probabilidad de ocurrencia
de la amenaza
FRAME
Si la organizacin tiene un contrato de mantenimiento con el proveedor que estipula un tiempo de respuesta con una
demora de hasta 8 hrs., se dara una situacin (en amarillo) en la que la facilidad de explotacin es Media, siendo la
probabilidad de ocurrencia Baja (equipo con poco tiempo de uso), lo cual nos da un escenario con Baja probabilidad.
Control existente: Contrato de Mantenimiento.
Si la organizacin no tiene mantenimiento, se dara una situacin (en naranja) en la que la facilidad de explotacin es
Alta. Si adems por obsolescencia del equipamiento la probabilidad de ocurrencia es Media, nos da un escenario con
Alta probabilidad. Control existente: Ninguno.
El riesgo del escenario en anlisis es R1: Falta de disponibilidad del mainframe - No se cargan las novedades del mes
/ Incumplimiento de fechas de pagos previsionales
R1
Impacto
en el
negocio
Probabilidad
del escenario
de incidente
BAJA (IMPROBABLE)
MEDIA
(POSIBLE)
ALTA (PROBABLE)
MUY ALTA
(MUY PROBABLE)
MUY BAJO
BAJO
MEDIO
ALTO
MUY ALTO
Se colorea en amarillo el impacto ALTO en el caso de imposibilidad de carga de las novedades del mes y en naranja el
impacto MUY ALTO correspondiente al incumplimiento de fechas de pago previsionales.
Dado que el proceso estratgico del negocio es la ejecucin de las liquidaciones y su criterio de aceptacin de riesgos
estipula que slo aceptar los niveles medio y bajo queda claro que es necesario tratar el riesgo ya que en el caso coloreado en naranja el nivel de riesgo dio Muy Alto.