Anlisis de Riesgos

Administracin de Seguridad:
La Administracin de Seguridad incluye la Administracin del
Riesgo, Polticas de Seguridad de Informacin, procedimientos,
estndares, guas, bases, Clasificacin de la Informacin,
organizacin de seguridad, y educacin en seguridad.
El objetivo de la seguridad y el programa de seguridad, es
proteger a la organizacin y sus activos.
Base de la Gestin de seguridad:
Identificar y Evaluar los activos de la empresa.
Luego,
implementar
polticas,
procedimientos,
estndares,
directrices de integridad, confidencialidad, y disponibilidad de los
activos.
Estas herramientas son usadas para clasificar los datos y realizar
un Anlisis de Riesgo.
De esta manera se mitiga el riesgo en forma Costo Beneficio.

Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
El enfoque Top-Down a la seguridad
Pregunta: Voy a hacer las reglas aqu.
Respuesta: Usted est muy lejos de la parte superior - gracias a
Dios!
El profesional debe de determinar la funcionalidad y darse cuenta
del resultado final esperado.
El equipo involucrado en el proceso debe comenzar desde la parte
superior, con ideas muy amplias y las condiciones de trabajo, y
encaminarse hacia abajo hacia la configuracin detallada y
parmetros del sistema.
En cada paso se debe tener en mente los objetivos generales de
seguridad, as cada adicin proveer mayor granularidad a los
objetivos generales.

Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
El enfoque Top-Down a la seguridad (cont.)
El siguiente paso es desarrollar e implementar: procedimientos,
estndares, y directrices para soportar las polticas de seguridad e
identificar las medidas de seguridad y los mtodos para poner en
su lugar.
Si la seguridad se construye sobre bases solidas, con tiempo y
objetivos claros, una empresa no necesita realizar cambios a
mitad del camino.
Con un diseo metdico es mas fcil implementar y puede reducir
costos, tiempo y otros recursos valiosos.
Un Programa de Seguridad debe utilizar un enfoque de arriba
hacia abajo, lo que significa que la iniciacin, el apoyo y la
direccin proviene de la alta direccin, se abren paso a travs de
la gerencia media, y luego hasta llegar a los miembros del
personal operacional.
De lo contrario es una lucha contra la corriente.
Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
Controles de apoyo
El rol de Oficial de Seguridad es directamente responsable de
supervisar la mayora de las facetas de un Programa de
Seguridad.
Puede ser formado por uno o varios empleados, trabajando de
manera centralizada o descentralizada.
Los siguientes controles deben ser utilizados para lograr las
directivas de gestin de seguridad:
Controles administrativos,

Controles Tcnicos (lgicos),

Controles fsicos.

Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
Controles de apoyo (cont.)
Controles administrativos: Estos incluyen desarrollar y publicar
polticas, estndares, procedimientos y directrices, manejo de
riesgo, seleccin de personal, realizacin de entrenamiento de
concienciacin en seguridad e implementar procedimientos de
cambios de control.
Controles Tcnicos (lgicos):
Consiste en implementar y
mantener los mecanismos de control de acceso, contraseas
(accesos en segundo y tercer nivel) y manejo de recursos,
mtodos de identificacin y autenticacin, dispositivos de
seguridad y configuracin de infraestructura.
Controles fsicos: Estas conllevan el control de acceso individual
a las instalaciones y los diferentes departamentos, sistemas de
bloqueo y la eliminacin de dispositivos innecesarios (diskettes,
controladores de CD-ROM, etc), la proteccin del permetro de las
instalaciones, control de intrusin y control ambiental.

Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
Controles de apoyo (cont.)

Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
Controles de apoyo (cont.)
Lo que estamos tratando de lograr!

Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
Controles de apoyo (cont.)
Relacin entre los diferentes componentes

Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
Modelo de Seguridad Organizacional
Un Modelo de Seguridad Organizacional es una estructura
formada por muchas entidades,
mecanismos de proteccin,
componentes lgicos, administrativos y fsicos, procedimientos,
procesos de negocio, y las configuraciones que trabajan en
conjunto para proporcionar un nivel de seguridad para un
ambiente.
Cada modelo es diferente, pero todos los modelos trabajan en
capas, cada capa provee ayuda a la capa superior y proteccin a
la capa inferior.
Por que cada estructura es diferente, cada organizacin es libre
de conectar diferentes tipos de tecnologas, mtodos y
procedimientos
para lograr los artefactos
de proteccin
necesarios.

Curso: Seguridad de Sistemas

05/10/2016

Anlisis de Riesgos
Modelo de seguridad organizacional (cont.)

Curso: Seguridad de Sistemas

05/10/2016

10

Anlisis de Riesgos
Modelo de seguridad organizacional (cont.)
Diferentes tipos de metas
Metas operacionales: Son metas a corto plazo. (correr tres
kms, finalizar un proyecto, pasar tiempo con los hijos, etc)
Metas tacticas: Metas a mediano plazo. (finalizar la carrera,
escribir un libro, ascenso)
Metas estratgicas: Metas a largo plazo. (retirarse a los 55
aos, vivir en un bote-casa, etc)

Curso: Seguridad de Sistemas

05/10/2016

11

Anlisis de Riesgos
Modelo de seguridad organizacional (cont.)
Modelo Broken-Down (dividiendo hacia abajo)
Plan Estratgico de Seguridad: El plan de Seguridad Integral
que se alinea con las metas de Negocio y de Tecnologa.
Puede incluir algunas de las siguientes metas:
Que los riesgos sean adecuadamente comprendidos y tratados,
Garantizar el cumplimiento de leyes y reglamentos,
Integrar
las responsabilidades de seguridad en toda la
organizacin,
Crear un modelo de madurez que permita la mejora continua,
Utilizar la seguridad como un logro empresarial para atraer ms
clientes.

Curso: Seguridad de Sistemas

05/10/2016

12

Anlisis de Riesgos
Modelo de seguridad organizacional (cont.)
Tipos de Planes Estratgicos
Plan tctico: Se refiere a las iniciativas y otros soportes que
deben de implementarse, para alcanzar los objetivos ms amplios
que han sido presentados por el plan estratgico.
Plan operacional: La planificacin de ofertas con planes muy
especficos, sus plazos y objetivos. Esto incluye fechas fuertes y
fechas limites, en las que el plan debe de ser completado.

Curso: Seguridad de Sistemas

05/10/2016

13

Anlisis de Riesgos
Modelo de seguridad organizacional (cont.)
Bosquejos de Plan Operacional
Realizar la evaluacin de la seguridad,
No

permitir que los cambios de seguridad disminuyan la

productividad,
Mantener e implementar los controles,
Darle continuidad a la exploracin de vulnerabilidades y
despliegue de parches,
Seguimiento al cumplimiento de las polticas.
Este
mtodo
de
planificacin
planificacin (horizon planning).

se

llama

Curso: Seguridad de Sistemas

horizonte

05/10/2016

de

14

Anlisis de Riesgos
Matriz de Riesgos
Pasos de Anlisis
Para cada Activo de Informacin se deben contestar las
siguientes preguntas:
1. Cul es el valor de este activo para la empresa?
2. Cul es el costo de mantenerlo?
3. Cunto hace para los beneficios de la empresa?
4. Cunto valdra la pena a la competencia?
5. Cunto es el costo de volver a crear o recuperar?
6. Cunto es el costo de adquirir o desarrollar?
7. Cul es la cantidad de responsabilidad a la que se enfrenta, si
el activo llega a estar en exposicin a Riesgo?

Curso: Seguridad de Sistemas

05/10/2016

15

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Potencial de prdidas por riesgo
En forma general, contestar las siguientes preguntas:
1. Qu daos fsicos podra causar la amenaza y cunto
costara?
2. Qu cantidad de prdida de la productividad podra causar la
amenaza y cunto costara?
3. Cul es la prdida de valor si la informacin confidencial se
revela?
4 Cul es el costo de recuperacin sobre esta amenaza?
5. Cul es la prdida de valor si los dispositivos crticos llegan a
fallar?
6. Cul es la expectativa de prdida simple (SLE) de cada activo
y cada amenaza?

Curso: Seguridad de Sistemas

05/10/2016

16

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Anlisis de amenazas
Realizar los siguientes pasos:
Recopilar informacin sobre la probabilidad de cada amenaza
pueda tener, por persona, en cada departamento. Examinar los
registros del pasado y los recursos oficiales de seguridad, que
proporcionan este tipo de datos.
Calcular la tasa anual de ocurrencia (ARO), que es cuantas
veces la amenaza puede tener lugar en un perodo de 12 meses.

Curso: Seguridad de Sistemas

05/10/2016

17

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Potencial total de prdidas anuales por Amenaza
Para obtenerlo, haga lo siguiente:
Combinar
las
posibles
prdidas
y
probabilidad
calcular la expectativa de prdida anual (ALE) por la amenaza
mediante el uso de la informacin calculada en los tres primeros
pasos.
Optar
por medidas reparadoras para contrarrestar cada
amenaza.
Llevar a cabo anlisis costo / beneficio de las contramedidas
identificadas.

Curso: Seguridad de Sistemas

05/10/2016

18

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Reducir, transferir, evitar o aceptar el Riesgo
Para cada riesgo, se puede elegir como reducir, transferir,
evitar o aceptar el riesgo:
Mtodos de reduccin de riesgos
Instalar los controles de seguridad y componentes,
Mejorar los procedimientos,
Alterar el medio ambiente conforme situaciones especficas,
Proporcionar mtodos de deteccin temprana para enfrentar la
amenaza, ya que est sucediendo y reducir los posibles daos que
puede causar,
Elaborar un plan de contingencia sobre cmo las empresas pueden
continuar si una amenaza especfica se lleva a cabo, para reducir
daos y perjuicios de la amenaza,
Construir barreras a la amenaza,
Llevar a cabo la seguridad de sensibilizacin de formacin.

Curso: Seguridad de Sistemas

05/10/2016

19

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Reducir, transferir, evitar o aceptar el Riesgo (cont.)
Transferencia de riesgo: por ejemplo, comprar un seguro para
transferir parte del riesgo.
Aceptacin de riesgo: vivir con los riesgos y gastar el dinero
sin ms hacia la proteccin.
Prevencin de riesgos: interrumpir la actividad que est
causando el riesgo
Expectativa de prdida simple (SLE) = cantidad de dlares
asignada a un solo evento
Factor de exposicin (EF) = porcentaje de la prdida de una
amenaza realizada podra tener sobre un determinado activo.
el valor del activo * factor de exposicin (EF) = (LES)
Datawarehouse = 150,000, % De dao = 0,25
150,000 * 0,25 = 37,500 = LES
Curso: Seguridad de Sistemas

05/10/2016

20

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Reducir, transferir, evitar o aceptar el Riesgo (cont.)
Tasa anual de ocurrencia (ARO) es el valor que representa la
frecuencia estimada de una amenaza especfica, dentro de un
perodo de un ao.
Frecuencias comunes: 0 = never, 1=una vez al ao.
El valor (ALE) indica si se propone implementar los controles o
salvaguardas para proteger los activos ante esta amenaza.
SLE * ARO = ALE
37,500 * 0.1 = 3,750

Curso: Seguridad de Sistemas

05/10/2016

21

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Risk Management Plan Plan de Administracin de Riesgos

Curso: Seguridad de Sistemas

05/10/2016

22

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Risk Management Plan Plan de Administracin de Riesgos

Curso: Seguridad de Sistemas

05/10/2016

23

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Modos de Falla y Anlisis de Efectos (AMFE)
Failure Modes and
para determinar
funcionales, y la
efectos de la falla,

Effect Analysis (AMFE, FMEA) es un mtodo

las funciones de identificacin de fallas
evaluacin de las causas del fracaso y los
a travs de un proceso estructurado.

Siguiendo un orden especfico de pasos, los mejores resultados

pueden ser maximizados para el Anlisis Modal de Fallos:
Comience con un diagrama de bloques de un sistema o control,

Tenga en cuenta lo que pasa si cada uno de los bloques del

diagrama, falla,
Elaborar un cuadro en que las fallas se combinan con los efectos
y la evaluacin de los efectos,
Corregir el diseo del sistema y ajustar el sistema, hasta que no
presente problemas inaceptables,
Revisar los modos de fallo y anlisis de los efectos.
Curso: Seguridad de Sistemas

05/10/2016

24

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Modos de Falla y Anlisis de Efectos (AMFE)

Curso: Seguridad de Sistemas

05/10/2016

25

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Anlisis de rbol de Fallas
El anlisis del rbol de fallas sigue este proceso general:
En primer lugar, un efecto no deseado se toma como la raz o el
caso de la parte superior de un rbol lgico.
Entonces, cada situacin que tiene el potencial para causar ese
efecto se aade al rbol como una serie de expresiones lgicas.
Los rboles de fallos son etiquetados con nmeros reales
relacionados con las probabilidades de fallo.
Existen herramientas mediante el uso de programas de
computadora, que pueden calcular las probabilidades de fallo
dentro de un rbol de fallas.

Curso: Seguridad de Sistemas

05/10/2016

26

Anlisis de Riesgos
Matriz de Riesgos (cont.)
Anlisis de rbol de Fallas (cont.)

Curso: Seguridad de Sistemas

05/10/2016

27

Proyectos
Propuestas de Prcticas a desarrollar al finalizar este Tema:
(este proyecto se entregar en su versin final, 1 semana despus
de terminar esta clase, preparar presentacin en clase)
1. Propuestas de Proyectos:
Aplicando los principios establecidos en este documento, realice
un anlisis general sobre la totalidad del escenario establecido
para desarrollar el Anlisis de Riesgos, que permitan realizar
un proyecto que maneje estos componentes mnimos:
Realizar la identificacin, evaluacin y gestin de Activos de
Informacin, utilizando la terminologa y metodologas adecuadas,
Implementar los controles necesarios para controlar, eliminar,
compartir o aceptar, los riesgos inherentes,
Implementar el modelo de Matriz de Riesgos utilizando algunas de
sus tcnicas, para plantear su propuesta de solucin, de forma
que pueda ser presentada a la Alta Gerencia de su Organizacin.
Este escenario debe hacer referencia a su ambiente de trabajo
actual (sin anotar detalles especficos de su trabajo, que le
comprometan)
Curso: Seguridad de Sistemas

05/10/2016

28