Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Infraestructura Tecnolgica
Matriz de Riesgos TI
ndice
Informacin del documento 4
Versin 4
Objetivo 4
Audiencia 4
Marco conceptual 5
Riesgo 5
Amenaza 5
Vulnerabilidad 6
Identificacin de amenazas 7
Orgenes de amenaza 7
Vulnerabilidades potenciales 7
Controles existentes 7
Identificacin de vulnerabilidades 7
Anlisis de controles. 8
Mtodos de control 8
Categoras de control 8
Anlisis de impacto 9
Determinacin de riesgos 11
Recomendaciones de control 14
Documentacin de resultados 14
Mitigacin de riesgos 15
Estimacin de riesgos 16
Caractersticas del sistema 16
Lugares de Trabajo 16
Instalacin elctrica 16
Misin 16
Hardware 16
Software 16
Interfaces de sistema 17
Personal 17
Identificacin de amenazas 17
Identificacin de vulnerabilidades 17
Anlisis de controles 17
Informacin del documento
Versin
Versin Accin Responsable Fecha
Objetivo
Este documento tiene por objetivo detallar las caractersticas relevantes para la gestin de recursos TI en
SGC.
Audiencia
Este documento est dirigido a personal de la Direccin, encargados de presupuestos e infraestructura de
SGC.
Marco conceptual
Dentro de la metodologa de gestin de riesgos, el primer paso corresponde a la evaluacin de riesgos.
Las Organizaciones utilizan la evaluacin de riesgos para determinar la envergadura de una amenaza
potencial y el riesgo asociado con la misma.
El resultado de estos procesos ayuda a identificar los controles apropiados para reducir o eliminar los
riesgos durante el proceso de mitigacin de riesgos.
Riesgo
El riesgo es una funcin de la probabilidad de ocurrencia de una determinada amenaza impactando sobre
una vulnerabilidad potencial, con el impacto resultante de ese evento adverso sobre la organizacin.
Para determinar la probabilidad de un evento adverso futuro, las amenazas para un sistema TI deben ser
analizadas en conjunto con las potenciales vulnerabilidades y los controles del sistema TI.
El nivel de impacto es determinado por los niveles potenciales de impacto sobre la misin del sistema TI, el
ajuste de dicho nivel produce un valor relativo para los activos IT, as como para los recursos afectados
(P.E. la criticidad y sensibilidad de los componentes y datos IT).
El riesgo normalmente se analiza en base a un escenario, es decir, incorporando el anlisis de riesgo y las
circunstancias en las que el dao tiene lugar.
Procesos o fases de un proceso: por ejemplo, alterar el contenido de archivos especficos durante el
proceso de mantenimiento.
Amenaza
La norma ISO/IEC 27000 define parcialmente a una amenaza como cualquier elemento o evento que
posee el potencial de daar activos como informacin, procesos, sistemas e incluso organizaciones.
Las amenazas pueden aplicarse a un amplio rango de aspectos, particularmente los siguientes:
Eventos o acciones que pueden llevar a la ocurrencia de un riesgo (por ejemplo: accidentes, fuego,
robo de medios de informacin, etc.).
Acciones o lneas de accin que pueden hacer posible la ocurrencia de un riesgo sin causarlo
directamente (por ejemplo: abuso de privilegios, acceso no autorizado o robo de identidad).
Efectos relacionados con y que pueden indicar causas no determinadas (por ejemplo: la saturacin
de un sistema de informacin).
Comportamiento (por ejemplo: el uso no autorizado de equipamiento TI) que no es en s mismo un
evento que conduzca a la ocurrencia de riesgos.
Vulnerabilidad
El trmino vulnerabilidad es ampliamente utilizado en el dominio de la informacin de la Seguridad de
sistemas.
Lingsticamente: como la caracterstica de un sistema, objeto u activo que puede ser susceptible a
amenazas.
En trminos de seguridad: como el defecto o falla en un sistema de seguridad que puede ser
utilizado por una amenaza para atacar un sistema, objeto u activo especfico.
Estimacin de riesgos
La metodologa de estimacin de riesgos se compone de nueve pasos, los que se detallan a continuacin.
En este paso se definen los lmites del sistema, junto con los recursos e informacin que lo constituyen.
La caracterizacin del sistema establece el alcance de la estimacin de riesgos, delinea los lmites
operacionales y provee informacin esencial para definir el riesgo.
Informacin adicional relacionada con el entorno operacional del sistema TI y sus datos incluye, pero no es
limitado por, los siguientes elementos.
Identificacin de amenazas
Al determinar los tipos de amenazas que pueden ejercer una particular vulnerabilidad sobre un activo TI,
deben identificarse los siguientes componentes:
Orgenes de amenaza
Natural.
Humano.
Ambiental.
Vulnerabilidades potenciales
Una vulnerabilidad potencial es aquella que puede transformarse en vulnerabilidad ante un cambio de las
condiciones iniciales.
Controles existentes
Se analizan los controles existentes en cuanto a su eficacia histrica, pudiendo detectarse nuevas
amenazas o nuevos enfoques para modificar dichos controles.
Identificacin de vulnerabilidades
El anlisis de las amenazas a un sistema TI debe incluir un anlisis de las vulnerabilidades asociadas con
el entorno del sistema.
El objetivo de este paso es desarrollar una lista de vulnerabilidades del sistema que pueden ser
aprovechadas por los orgenes de amenazas potenciales.
Normalmente las vulnerabilidades se presentan en parejas llamadas Vulnerabilidad/Amenaza. Un ejemplo
de las mismas puede observarse a continuacin.
Anlisis de controles.
El objetivo de este paso es analizar los controles que han sido implementados, o cuya implementacin se
planea por parte de la organizacin, para minimizar o eliminar la posibilidad de una amenaza ejerciendo
una vulnerabilidad del sistema.
Mtodos de control
Mtodos tcnicos: los que configuran salvaguardas incorporadas al hardware o software del
sistema.
Mtodos no tcnicos: son controles de gestin y operacin como polticas de seguridad,
procedimientos operacionales, etc.
Categoras de control
Las categoras de control, tanto para controles tcnicos como no tcnicos pueden ser calificadas adems
como preventivos y de deteccin.
Controles preventivos: Inhiben intentos de violar polticas de seguridad, tal como los controles de
acceso, encriptacin y autenticacin.
Controles de deteccin: Informan de violaciones o intentos de violacin de las polticas de
seguridad, tales como registros de auditora.
El desarrollo de una lista de verificacin es til para analizar controles de una manera eficiente y
sistemtica.
Determinacin de probabilidad de ocurrencia
Para obtener un ndice de probabilidad de ocurrencia general, que indique que la probabilidad de una
potencial vulnerabilidad pueda ser ejercida dentro del entorno de amenaza asociado, deben considerarse
los factores de gobernabilidad siguientes:
La probabilidad de que una vulnerabilidad potencial pueda ser ejercida por un origen de amenaza puede
ser descrita como alta, media o baja.
Anlisis de impacto
El siguiente paso para determinar el nivel de riesgo es determinar el impacto negativo resultante del
ejercicio efectivo de una vulnerabilidad.
Luego, el impacto adverso de un evento de seguridad puede ser descrito en trminos de prdida,
degradacin o una combinacin de cualquiera de los siguientes objetivos de seguridad:
Las categoras de impacto normalmente son cualitativas y pueden dividirse en tres grados o categoras,
alta, media y baja, como se muestra en la siguiente tabla:
Al realizar el anlisis de impacto, debe considerarse las ventajas y desventajas de la estimacin cuantitativa
vs la estimacin cualitativa.
La principal ventaja del anlisis cualitativo de impacto es que prioriza los riesgos e identifica reas para
mejora inmediata al ubicar las vulnerabilidades.
La desventaja del anlisis cualitativo es que no provee medidas cuantificables especficas para la magnitud
de los impactos, dificultando el anlisis de costo/beneficio de cualquiera de los controles recomendados.
Determinacin de riesgos
El objetivo de este paso es estimar el nivel de riesgo para el sistema TI. La determinacin de riesgo para
cada par amenaza/vulnerabilidad puede ser expresada en funcin de:
La determinacin del riesgo final sobre la misin se deriva al multiplicar las clasificaciones asignadas a
cada probabilidad de riesgo y al impacto de la amenaza.
La matriz mostrada ms abajo es una matriz de 3x3 para probabilidades de amenaza (alta, media y baja) y
corresponde a la que se utilizar en este proyecto. Dependiendo de los requerimientos del cliente y de la
granularidad de evaluacin de riesgo deseada.
Algunos proyectos utilizan matrices de 4x4 o de 5x5, esta ltima puede incluir una probabilidad Muy
Alta/Muy Baja de probabilidad de amenaza y una probabilidad Muy Alta/Muy Baja de impacto de amenaza
para generar un nivel de riesgo Muy Alto/Muy Bajo.
Probabilidad de Impacto
amenaza
Bajo (10) Medio (50) Alto (100)
Es necesario tener en cuenta que un nivel de riesgo Muy Alto puede requerir una detencin total de
sistema o de actividades.
La escala de riesgo tambin presenta las acciones que la administracin y los encargados de la misin
deberan tomar para cada nivel de riesgo.
Alto Si una observacin o hallazgo es evaluado como de alto riesgo, existe una fuerte
necesidad de medidas correctivas.
Un sistema existente puede seguir operando, pero una accin correctiva debe ser
aplicada lo antes posible.
Recomendaciones de control
Durante este paso del proceso, se proveen controles apropiados para la operacin de la organizacin que
pueden mitigar o eliminar los riesgos identificados en pasos previos.
El objetivo de los controles recomendados es reducir el nivel de riesgo para el sistema TI y sus datos a un
nivel aceptable.
Los siguientes factores deben ser considerados al recomendar controles y soluciones alternativas para
eliminar o minimizar los riesgos identificados:
Las recomendaciones de controles conforman los resultados del proceso de evaluacin de riesgos y
proveen datos de entrada al proceso de mitigacin de riesgos, durante el cual se evalan, priorizan e
implementan los controles procedimentales y de seguridad tcnica recomendados.
Documentacin de resultados
Una vez que se ha completado la evaluacin de riesgos (los orgenes de amenaza y las vulnerabilidades se
han identificado, los riesgos se han evaluado y se han informa los controles recomendados) los resultados
deberan ser informados en un reporte o reunin informativa.
Un reporte de evaluacin de riesgo es un informe administrativo que ayuda a la direccin, los encargados
de la misin, a tomar decisiones sobre las polticas, procedimientos, presupuesto y cambios en la operacin
y administracin del sistema.
A diferencia de un reporte de auditora o una investigacin, que busca errores o fallas en la ejecucin de un
protocolo, un reporte de evaluacin de riesgos no debe ser presentado en un estilo acusatorio, sino en
forma sistemtica y con un enfoque analtico para evaluacin de riesgos de forma que la direccin pueda
entender dichos riesgos y asignar recursos para reducir y corregir prdidas potenciales.
Por este motivo, algunas personas prefieren referirse a las parejas Amenaza/Vulnerabilidad como
observaciones en vez de hallazgos en el reporte de evaluacin de riesgos.
Mitigacin de riesgos
La mitigacin de riesgos implica priorizar, evaluar e implementar los controles de reduccin de riesgos
recomendados desde el proceso de valoracin de riesgos.
Debido a que la eliminacin de todos los riesgos es comnmente poco prctica o cercana a imposible, es
responsabilidad de la administracin utilizar enfoque ms efectivo en costos e implementar los controles
ms apropiados para disminuir el riesgo de la misin a niveles aceptables, con mnimo impacto adverso en
los recursos y misin de la organizacin.
La mitigacin de riesgos es una metodologa sistemtica utilizada por la direccin para reducir los riesgos
en la misin de la empresa.
La mitigacin de riesgos puede ser alcanzada en cualquiera de las siguientes opciones de mitigacin de
riesgos:
Se asume el riesgo: Para aceptar el riesgo potencial y continuar con la operacin del sistema Ti o
para implementar controles que permitan reducir el riesgo a un nivel aceptable.
Se evita el riesgo: El riesgo se evita eliminando la causa/consecuencia del riesgo (p. e. anular
ciertas funciones del sistema o proceder al apagado del mismo cuando los riesgos son
identificados).
Se limita el riesgo: El riesgo se limita al implementar controles que minimizan el impacto adverso
de un riesgo ejerciendo una vulnerabilidad (p. e. el uso de controles de soporte, prevencin y
deteccin).
Se realiza planificacin de riesgo: Se administran los riesgos mediante el desarrollo de un plan de
mitigacin de riesgos que prioriza, implementa y mantiene controles.
Investigacin y conocimiento: Se reduce el riesgo de prdida al reconocer la vulnerabilidad o
falla, investigando y desarrollando controles para corregir la vulnerabilidad.
Transferencia de riesgo: Se transfiere el riesgo al utilizar otras opciones para compensar las
posibles prdidas, como el aseguramiento de los activos.
Los objetivos estratgicos, as como la misin de la organizacin deben ser considerados al seleccionar
cualquier opcin de mitigacin de riesgos.
Puede no ser prctico abordar todos los riesgos identificados, es por ello que deben aplicarse prioridades a
los pares Vulnerabilidad/Amenaza que tienen el potencial para causar impactos o daos significativos.
Para responder estas y otras preguntas, los puntos de control apropiados para la implementacin de
acciones de control se indican en la siguiente figura: