RIESGOS

Desarrollo de un caso prctico

A continuacin se desarrolla un ejemplo de gestin de riesgos, con el fin de conformar una muestra de gua prctica,
en concordancia con el enfoque de la norma ISO/IEC 27005.
Es importante recordar que dicha norma indica expresamente que no constituye un mtodo, razn por la cual habr
que utilizar las tcnicas desarrolladas por los mtodos existentes.
En este caso particular, se utiliza las matrices que figuran como ejemplos en los anexos de la mencionada norma.
Se seguirn los pasos del sector sealado en la figura siguiente

UBA Maestra en Seguridad Informtica

Pg. 3/11

1ER. PASO - ESTABLECER EL CONTEXTO

Criterios bsicos necesarios para la gestin de riesgos de seguridad de la informacin
Criterio de evaluacin de riesgos
Para evaluar el riesgo de seguridad de la informacin se tendr en cuenta que los procesos de negocios estratgicos de
la organizacin son los correspondientes a las liquidaciones de los beneficios de la seguridad social, as como el cumplimiento de las leyes y regulaciones relacionadas con la seguridad social.
Es resorte de la Direccin Ejecutiva definir el criterio de evaluacin para otros procesos y activos.
Criterio de impacto (grado de dao o costo)
MUY ALTO Incumplimiento de fechas de pagos previsionales
ALTO No se cargan las novedades del mes.
MEDIO Brecha legal
BAJO - Dao a la reputacin
MUY BAJO Falta de disponibilidad del sitio Web
Criterio de aceptacin del riesgo

Aceptacin de riesgos

Nivel

Puntuacin

Se aceptarn riesgos para incidentes que afecten al valor estratgico del

proceso de negocio de liquidaciones cuyo nivel sea

MEDIO

0-5

Mientras la Direccin Nacional de Proteccin de Datos Personales (DNPDP)

no aplique las sanciones previstas o los usuarios no comiencen a hacer
juicio se aceptar el riesgo de incumplimiento de la Ley de Habeas Data
cuyo nivel sea ()

MEDIO

Se aceptarn los riesgos relacionados con la falta de disponibilidad del sitio

de la organizacin en Internet cuyo valor sea

ALTO

/BAJO
0-5

/BAJO

0-8

/MEDIO
/BAJO

Ntese que la segunda fila tiene una alerta. Dado que el proceso de gestin de riesgo es cclico, se tendr en cuenta la
condicin planteada en futuras revisiones, de manera de detectar el momento en que la DNPDP comience a aplicar
sanciones, en cuyo caso el nivel de riesgo aceptable debiera bajar.

Alcances y limitaciones
Se requiere realizar un estudio de la organizacin. Es decir definir el negocio, estrategia, misin y valor de la organizacin y su estructura Ej. Organismo gubernamental de seguridad social, atiende las prestaciones sociales de activos y
pasivos, responde a las polticas que fija el gobierno en ejercicio, etc. El rea de Seguridad Informtica no depende de
la Alta Direccin, lo cual induce a pensar que la organizacin no est preocupada seriamente por este tema.

Se deber tomar en cuenta todas las restricciones que afectan a la organizacin y que determinan su orientacin
respecto de la seguridad de la informacin. Ej. La cooperacin con otros organismos gubernamentales obliga a compartir datos sensibles, razn por la cual ser necesario confeccionar adecuados convenios; o bien, limitaciones en el
presupuesto para la compra de software especializado de seguridad.
Se deber tomar conocimiento de todas las leyes y regulaciones que alcanzan a la organizacin.
Se deber tomar en cuenta todas las restricciones que afectan al alcance. Ej. Del ambiente (situacin geogrfica/clima, situacin geopoltica/atentados), gestin de recursos humanos (requerimientos concernientes al entrenamiento de operadores, definicin de los puestos de administradores).

Organizacin para la gestin de riesgos

- Desarrollar el proceso de gestin de riesgos adecuado para la organizacin (poltica, normas, modelos a aplicar, especificaciones propias, etc.)
- Definir los roles y responsabilidades
- Detectar y desarrollar las interfaces de este proceso con otros procesos de la organizacin.
- Identificar los interesados o grupos de inters.

2DO. PASO - VALORACIN DEL RIESGO

Anlisis de riesgo
Identificacin del riesgo
Identificacin de los activos. Incluye todos los datos de cada activo (cdigo, descripcin, ubicacin, dueo, etc.).
Es posible definir diferentes agrupaciones de activos. En este caso se distinguir entre dos tipos de activos:
Los primarios
Procesos y actividades de negocio
En este tipo se incluir aquellos procesos cuya prdida o degradacin haran imposible el logro de la misin de la
organizacin; los que contienen procesos secretos o involucra tecnologa propietaria; los necesarios para cumplir con requerimientos contractuales, legales o regulatorios, as como cualquier proceso crtico.
En el ejemplo que se ha elegido, dado el criterio de evaluacin de riesgo presentado, se deber contemplar todos los aspectos de seguridad de la carga de novedades a las liquidaciones, la ejecucin de las liquidaciones y su
emisin a los bancos. Ello involucra la disponibilidad de la red, del mainframe y de los subprocesos de transferencia de informacin.
Informacin
En este tipo se incluir generalmente la informacin crtica como, por ejemplo, aqulla que es vital para el cumplimiento de los objetivos del negocio (en nuestro caso la involucrada en los proceso de liquidacin); aqulla
protegida por la ley, por ejemplo en nuestro pas, los datos personales; la informacin estratgica o de alto costo de gestin (recoleccin, almacenamiento, etc.)
En general, si existieran procesos o informacin que, segn el criterio de evaluacin de riesgos de la organizacin califican como de riesgo nulo, no sern considerados en el estudio.

Los que dan soporte a los procesos primarios:

 Hardware
Consiste de todos los elementos fsicos, como por ejemplo, los equipos de procesamiento de informacin, los fijos y mviles, los perifricos, los de almacenamiento, etc.
Software
Consiste en todos los programas que contribuyen al procesamiento de informacin tales como, los sistemas
operativos, mantenimiento y administracin de software, software de base, las aplicaciones de negocios, etc.
Red
Consiste en el equipamiento, los medios de comunicacin y sus interfaces.
Personal
Consiste en los grupos de personas involucradas en el sistema de informacin, como por ejemplo, quienes toman decisiones (la direccin, los dueos de la informacin, etc.), los usuarios finales, desarrolladores y personal
de operacin y mantenimiento.
Sitio de procesamiento
Consiste en todos los sitios involucrados en el procesamiento, como por ejemplo, los de las sucursales (equipos
de telecomunicaciones, servidores), el permetro de la red, los sitios de servicios tercerizados, los accesorios
como unidades de power suply, aire acondicionado, sistema de prevencin y deteccin de incendios, etc.
Estructura de la organizacin
Describe el marco organizacional que consiste en el personal que compone las estructuras as como los procesos
que controlan estas estructuras. Por ejemplo autoridades, los involucrados en proyectos especficos, proveedores, contratados, etc.
Caso en desarrollo - Activos a proteger
Primarios
Proceso de carga de novedades
Proceso de liquidacin previsional/otras
Proceso de emisin a bancos.
Proceso de inventario de hardware y software
Proceso de gestin de datos personales
Gestin y mantenimiento del sitio Web

De soporte
Disponibilidad del mainframe
Disponibilidad red interna
Seguridad del permetro de la red
Sitio de procesamiento
Sitio de telecomunicaciones en cada una de las sucursales
Proteccin de red interna frente a externa

 Software y equipamiento de transferencia a bancos

Seguridad fsica de los bienes de inventario
Seguridad fsica y lgica de la base de datos personales (accesos, extraccin no autorizada, etc.)
Seguridad de los servidores expuestos a Internet.
Seguridad de los sistemas operativos

Identificacin de las amenazas. Las amenazas son potenciales daos a los activos. Pueden ser internas o externas, de
origen natural o humano, accidental o deliberado. Es necesario tipificarlas y definir la fuente.
Caso en desarrollo - Identificacin amenazas

Tipo de amenaza

Dao fsico

Naturales

Humanas

Tcnicas

Amenaza

Origen (*)

Fuego

A,D,E

Destruccin del equipamiento

A,D,E

Polvo, temperatura

A,D,E

Polucin

A,D,E

Fenmeno meteorolgico

Sismos

Errores, ataques fsicos, fraude, abuso de derechos, acciones no autorizadas/delictivas, acciones administrativas
penalizadas por el reglamento de personal (usuarios internos no capacitados, descontentos, negligentes, deshonestos).

A, D

Ataques (delincuentes informticos).

Mal funcionamiento o falla de equipamiento/red

(*) Accidental (A), Deliberada (D), Ambiental (E)

Identificacin de los controles existentes. Evita la duplicacin de controles y permite evaluar su efectividad (cul es el
riesgo residual)
Caso en desarrollo Identificacin de controles
Contrato de mantenimiento del mainframe con demora de 8 hrs. en la respuesta al llamado frente a desperfecto.

Identificacin de las vulnerabilidades. Enumerar las vulnerabilidades que pueden ser explotadas por una amenaza. En
lo posible, se utilizarn mtodos para identificarlas. Por ejemplo, test de intrusin, escaneo automticos de vulnerabilidades, etc.
Caso en desarrollo - Identificacin de vulnerabilidades

Tipo de vulnerabilidad

Vulnerabilidad

Amenaza que puede explotarla

Hardware

Insuficiencia/falta de mantenimiento

Mal funcionamiento o falla del

equipamiento

Falta de control de acceso fsico

Acciones no autorizadas

Falta de espacio fsico cerrado

Ataques fsicos, errores humanos

Firewall mal configurado

Ataques de delincuentes informticos

Construccin de contraseas dbiles

Abuso de derechos

Falta de aplicacin de parches en

los sistemas operativos de servidores

Ataques (delincuentes informticos)

Dispositivos de grabacin en los

equipos personales

Acciones
no
autorizadas/delictivas (usuarios internos)

Usuarios internos con permisos de

administracin local en los equipos
personales

Acciones
no
autorizadas/delictivas (usuarios internos)

Personal

Procedimientos inadecuados de
reclutamiento de personal , falta de
concientizacin, pobre cultura
organizacional

Acciones administrativas penalizadas por el reglamento de

personal.

Red

Migracin de la red a una tecnologa inmadura

Mal funcionamiento o falla de

equipamiento/red

Sitio

Sofware

Permetro de la red

Identificacin de consecuencias. Identifica el dao o impacto negativo que un escenario de incidente puede causar a
la organizacin. Un escenario de incidente es la descripcin de una situacin en la cual una amenaza puede explotar
una vulnerabilidad o conjunto de vulnerabilidades.
Caso en desarrollo Identificacin de consecuencias
Falta de disponibilidad del mainframe, donde el escenario de incidente es:
- Amenaza: Mal funcionamiento o falla de equipamiento/red
- Vulnerabilidad: Insuficiencia/falta de mantenimiento del mainframe

Estimacin del riesgo

El criterio o metodologa de estimacin debe ser definido formalmente y est asociado a la valorizacin de las consecuencias y a la probabilidad de ocurrencia. Puede ser utilizado en diferentes grados de detalle dependiendo de la criticidad de los activos, los riesgos ya conocidos y los incidentes que histricamente han ocurrido. Puede ser cuantitativo
o cualitativo pero debe ser relevante para el activo valuado.

En general, conviene realizar en primera instancia una estimacin de alto nivel y de valoracin cualitativa. De esta
manera se llegar a un consenso de manera ms rpida y menos costosa.
Como el proceso de gestin de riesgos es iterativo y debe ser monitoreado, en sucesivas instancias es posible profundizar la estimacin.

Estimacin del impacto o consecuencias

Sera posible usar alguna de las medidas siguientes:
-

El costo de reemplazo del activo y/o la relevancia y cantidad de los procesos a los que da soporte, es decir, el grado de dependencia. Tambin se puede medir cualitativamente.
Las consecuencias para el negocio en caso de destruccin, no disponibilidad, modificacin no autorizada y/o falta
de integridad de la informacin. Puede ser obtenido a travs de un anlisis de impacto del negocio (BIA por sus siglas en ingls). El impacto est asociado al grado de xito del incidente (amenaza que explota una vulnerabilidad).
En este caso es necesario definir cules son todas las posibles consecuencias, una base comn que debe ser usada
por todos y para todos los casos, y definir la calidad de impacto en el negocio (por ej. bajo, medio o alto; o bien
muy bajo, bajo, medio, alto, muy alto).

El valor determinado por el impacto del negocio suele ser ms significativo que el valor del activo, dependiendo de la
criticidad del mismo. Se considera que el impacto puede tener un efecto inmediato, por ejemplo operacional o a futuro, por ejemplo en el negocio si tuviera consecuencias financieras o de mercado.
Caso en desarrollo - Estimacin del Impacto o consecuencias
Usaremos la escala cualitativa y mediremos el impacto sobre el negocio.
Como matriz modelo usaremos la siguiente:

ESCENARIO

Impacto en
el negocio

Probabilidad
del escenario
de incidente

MUY BAJA (MUY

IMPROBABLE)

BAJA (IMPROBABLE)

MEDIA
(POSIBLE)

ALTA (PROBABLE)

MUY ALTA
(MUY PROBABLE)

MUY BAJA

BAJA

MEDIA

ALTA

MUY ALTA

Los valores numricos representan el nivel de riesgo.

Ser necesario definir con anterioridad qu comprende el valor de cada elemento de la escala de impacto en el negocio. A continuacin se incluye un ejemplo.

Nivel de Impacto

ALTO

MEDIO

BAJO

Definicin
La ocurrencia del incidente provoca:
- Una prdida econmica superior a $, o
- La prdida, divulgacin o modificacin no autorizada de
informacin de alta criticidad, o
- Un dao considerable a las actividades, o
- Un dao considerable a la imagen o reputacin, o
- Perjuicios graves a seres humanos
La ocurrencia del incidente provoca:
- Una prdida econmica superior a $, o
- La prdida, divulgacin o modificacin no autorizada de informacin de criticidad media, o
- Un dao a las actividades, o
- Un dao a la imagen o reputacin, o
- Perjuicio a seres humanos
La ocurrencia del incidente provoca:
- Una prdida econmica inferior a $, o
- La prdida, divulgacin o modificacin no autorizada de
informacin de criticidad baja, o
- Un dao no significativo a las actividades, o
- Un dao no significativo a la imagen o reputacin

Es posible incorporar a esta escala niveles intermedios a los establecidos.

Estimacin de la probabilidad de ocurrencia

Para realizar esta actividad es necesario tener en cuentas estadsticas sobre situaciones anteriores; para las amenazas
deliberadas, la posible motivacin y capacidad y para las amenazas accidentales, los factores geogrficos y de ubicacin, etc.
Caso en desarrollo Estimacin de la probabilidad de ocurrencia
La probabilidad del escenario de incidente se obtiene de la siguiente matriz:

MA

Probabilidad del escenario

de incidente

ALTA (PROBABLE)

Facilidad de explotacin
de la vulnerabilidad

MEDIA (POSIBLE)

VULNERABILIDAD

BAJA (IMPROBABLE)

MB

Probabilidad de ocurrencia
de la amenaza

AMENAZA

Tambin ser necesario definir previamente bajo qu condicin se concepta tanto la probabilidad de ocurrencia como la facilidad de explotacin, como alta, baja o media. A continuacin daremos un ejemplo sobre la probabilidad de
ocurrencia de la amenaza.

Nivel de probabilidad

Definicin

ALTO

La fuente de amenaza posee alta motivacin y suficiente capacidad, o el

incidente ha ocurrido frecuentemente en el pasado; y los controles para
prevenir que la vulnerabilidad sea explotada no son efectivos.
La fuente de amenaza posee motivacin y capacidad, o el incidente ha ocurrido en ciertas ocasiones en el pasado; pero los controles existentes seran
capaces de prevenir que la vulnerabilidad sea explotada.
La fuente de amenaza carece de motivacin o capacidad, o el incidente no
ocurrido en el pasado, o los controles se encuentran en condiciones de
prevenir, o al menos impedir significativamente, que la vulnerabilidad sea
explotada.

MEDIO

BAJO

Es posible incorporar a esta escala niveles intermedios a los establecidos.

Nivel de la estimacin de riesgo

Se obtiene como combinacin del escenario de incidente y sus consecuencias. Su finalidad es obtener un valor del
riesgo para que sea posible definir si ser tratado, en funcin de su evaluacin, y luego la priorizacin de tratamiento.

Caso en desarrollo Nivel de estimacin del riesgo

Estimacin del riesgo: Falta de disponibilidad del mainframe

Escenario del incidente

Amenaza: Mal funcionamiento o falla de equipamiento/red
Vulnerabilidad: Insuficiencia/falta de mantenimiento del mainframe

MAL FUNCIONAMIENTO O
FALLA DE EQUIPAMIENTO/RED

INSUFICIENCIA/FALTA DE

MEDIA (POSIBLE)

ALTA (PROBABLE)

MB

MA

Facilidad de explotacin
de la vulnerabilidad

BAJA (IMPROBABLE)

MANTENIMIENTO DEL MAIN-

Probabilidad de ocurrencia
de la amenaza

FRAME

Probabilidad del escenario

de incidente

Si la organizacin tiene un contrato de mantenimiento con el proveedor que estipula un tiempo de respuesta con una
demora de hasta 8 hrs., se dara una situacin (en amarillo) en la que la facilidad de explotacin es Media, siendo la
probabilidad de ocurrencia Baja (equipo con poco tiempo de uso), lo cual nos da un escenario con Baja probabilidad.
Control existente: Contrato de Mantenimiento.
Si la organizacin no tiene mantenimiento, se dara una situacin (en naranja) en la que la facilidad de explotacin es
Alta. Si adems por obsolescencia del equipamiento la probabilidad de ocurrencia es Media, nos da un escenario con
Alta probabilidad. Control existente: Ninguno.

El riesgo del escenario en anlisis es R1: Falta de disponibilidad del mainframe - No se cargan las novedades del mes
/ Incumplimiento de fechas de pagos previsionales

R1

Impacto
en el
negocio

Probabilidad
del escenario
de incidente

MUY BAJA (MUY

IMPROBABLE)

BAJA (IMPROBABLE)

MEDIA
(POSIBLE)

ALTA (PROBABLE)

MUY ALTA
(MUY PROBABLE)

MUY BAJO

BAJO

MEDIO

ALTO

MUY ALTO

Se colorea en amarillo el impacto ALTO en el caso de imposibilidad de carga de las novedades del mes y en naranja el
impacto MUY ALTO correspondiente al incumplimiento de fechas de pago previsionales.

Evaluacin del riesgo

Evaluacin del riesgo: R1- Falta de disponibilidad del mainframe - No se cargan las novedades del mes / Incumplimiento de fechas de pagos previsionales

Dado que el proceso estratgico del negocio es la ejecucin de las liquidaciones y su criterio de aceptacin de riesgos
estipula que slo aceptar los niveles medio y bajo queda claro que es necesario tratar el riesgo ya que en el caso coloreado en naranja el nivel de riesgo dio Muy Alto.

3ER. PASO TRATAMIENTO DEL RIESGO

Riesgo R1 - Falta de disponibilidad del mainframe - No se cargan las novedades del mes / Incumplimiento de fechas
de pagos previsionales
En este caso, en virtud que el nivel de aceptacin del riesgo es nivel medio, el riesgo de nivel alto debe ser evitado. Por
lo tanto, se deber contratar el mantenimiento. Sin embargo habr que analizar, en funcin de las condiciones del
equipo, si es efectivo tener un contrato con 8 hrs. de demora.
Mediante un procedimiento como el que acabamos de utilizar, se llegar a la evaluacin de todos los riesgos a fin de
tabularlos indicando los controles a aplicar para obtener el riesgo residual.