Grupo SGC

Infraestructura Tecnolgica
Matriz de Riesgos TI
ndice
Informacin del documento 4

Versin 4

Objetivo 4

Audiencia 4

Marco conceptual 5

Riesgo 5

Amenaza 5

Vulnerabilidad 6

Caracterizacin del sistema 6

Identificacin de amenazas 7

Orgenes de amenaza 7

Vulnerabilidades potenciales 7

Controles existentes 7

Identificacin de vulnerabilidades 7

Anlisis de controles. 8

Mtodos de control 8

Categoras de control 8

Tcnicas de anlisis de control 8

Anlisis de impacto 9

Estimacin cuantitativa vs estimacin cualitativa: 11

Determinacin de riesgos 11

Matriz de niveles de riesgo 11

Descripcin de niveles de riesgo 13

Recomendaciones de control 14

Documentacin de resultados 14

Mitigacin de riesgos 15

Opciones de mitigacin de riesgos: 15

Estrategia de mitigacin de riesgos 15

Estimacin de riesgos 16
Caractersticas del sistema 16

Lugares de Trabajo 16

Instalacin elctrica 16

Caracterizacin del sistema 16

Misin 16

Hardware 16

Software 16

Interfaces de sistema 17

Personal 17

Identificacin de amenazas 17

Identificacin de vulnerabilidades 17

Anlisis de controles 17
Informacin del documento
Versin
Versin Accin Responsable Fecha

2.1 Creacin Ariel Sorbellini 18-06-2014

2.2 Modificacin Ariel Sorbellini 24-04-2017

Objetivo
Este documento tiene por objetivo detallar las caractersticas relevantes para la gestin de recursos TI en
SGC.

Audiencia
Este documento est dirigido a personal de la Direccin, encargados de presupuestos e infraestructura de
SGC.
Marco conceptual
Dentro de la metodologa de gestin de riesgos, el primer paso corresponde a la evaluacin de riesgos.

Las Organizaciones utilizan la evaluacin de riesgos para determinar la envergadura de una amenaza
potencial y el riesgo asociado con la misma.

El resultado de estos procesos ayuda a identificar los controles apropiados para reducir o eliminar los
riesgos durante el proceso de mitigacin de riesgos.

Riesgo
El riesgo es una funcin de la probabilidad de ocurrencia de una determinada amenaza impactando sobre
una vulnerabilidad potencial, con el impacto resultante de ese evento adverso sobre la organizacin.

Para determinar la probabilidad de un evento adverso futuro, las amenazas para un sistema TI deben ser
analizadas en conjunto con las potenciales vulnerabilidades y los controles del sistema TI.

El nivel de impacto es determinado por los niveles potenciales de impacto sobre la misin del sistema TI, el
ajuste de dicho nivel produce un valor relativo para los activos IT, as como para los recursos afectados
(P.E. la criticidad y sensibilidad de los componentes y datos IT).

Entonces, combinando lo anterior: El riesgo puede ser definido como:

La combinacin de un activo con una amenaza capaz de daar dicho activo.

La combinacin de un activo, una amenaza capaz de daar dicho activo y las
vulnerabilidades explotadas por la amenaza para daar dicho activo.

El riesgo normalmente se analiza en base a un escenario, es decir, incorporando el anlisis de riesgo y las
circunstancias en las que el dao tiene lugar.

Las circunstancias pueden ser:

Lugar: por ejemplo, medios de datos sustrados de una locacin especfica.

Tiempo: por ejemplo, una accin llevada a cabo durante o fuera del horario laboral.

Procesos o fases de un proceso: por ejemplo, alterar el contenido de archivos especficos durante el
proceso de mantenimiento.

Amenaza
La norma ISO/IEC 27000 define parcialmente a una amenaza como cualquier elemento o evento que
posee el potencial de daar activos como informacin, procesos, sistemas e incluso organizaciones.

Las amenazas pueden aplicarse a un amplio rango de aspectos, particularmente los siguientes:

Eventos o acciones que pueden llevar a la ocurrencia de un riesgo (por ejemplo: accidentes, fuego,
robo de medios de informacin, etc.).
Acciones o lneas de accin que pueden hacer posible la ocurrencia de un riesgo sin causarlo
directamente (por ejemplo: abuso de privilegios, acceso no autorizado o robo de identidad).
 Efectos relacionados con y que pueden indicar causas no determinadas (por ejemplo: la saturacin
de un sistema de informacin).
Comportamiento (por ejemplo: el uso no autorizado de equipamiento TI) que no es en s mismo un
evento que conduzca a la ocurrencia de riesgos.

Vulnerabilidad
El trmino vulnerabilidad es ampliamente utilizado en el dominio de la informacin de la Seguridad de
sistemas.

La vulnerabilidad puede ser definida de dos maneras:

Lingsticamente: como la caracterstica de un sistema, objeto u activo que puede ser susceptible a
amenazas.
En trminos de seguridad: como el defecto o falla en un sistema de seguridad que puede ser
utilizado por una amenaza para atacar un sistema, objeto u activo especfico.

Estimacin de riesgos
La metodologa de estimacin de riesgos se compone de nueve pasos, los que se detallan a continuacin.

Caracterizacin del sistema

En este paso se definen los lmites del sistema, junto con los recursos e informacin que lo constituyen.

La caracterizacin del sistema establece el alcance de la estimacin de riesgos, delinea los lmites
operacionales y provee informacin esencial para definir el riesgo.

Dentro de la caracterizacin del sistema se encuentra la siguiente informacin:

Misin del sistema.

Criticidad del sistema y sus datos (valor o importancia del sistema dentro de la organizacin).
Sensibilidad del sistema y sus datos (datos sensibles y/o confidenciales).
Hardware.
Software.
Interfaces del sistema.
Datos e informacin.
Personas que soportan y utilizan el sistema TI.

Informacin adicional relacionada con el entorno operacional del sistema TI y sus datos incluye, pero no es
limitado por, los siguientes elementos.

Los requerimientos funcionales del sistema TI.

Usuarios del sistema.
Polticas de seguridad que gobiernan el sistema TI.
Arquitectura de la seguridad del sistema.
Topologa de la red
 Datos relacionados con el almacenamiento de la informacin que protege la disponibilidad del
sistema y los datos.
Flujo de informacin relativa al sistema TI.
Controles de gestin utilizados por el sistema TI (p.e., reglas de negocio).
Controles operacionales utilizados por el sistema.
Entorno de seguridad del sistema TI (seguridad fsica y lgica).
Seguridad ambiental del sistema TI (humedad, temperatura, energa, agua, etc.).

Identificacin de amenazas

Al determinar los tipos de amenazas que pueden ejercer una particular vulnerabilidad sobre un activo TI,
deben identificarse los siguientes componentes:

Orgenes de amenaza

Un origen de amenaza, comnmente puede clasificarse como:

Natural.
Humano.
Ambiental.

Vulnerabilidades potenciales

Una vulnerabilidad potencial es aquella que puede transformarse en vulnerabilidad ante un cambio de las
condiciones iniciales.

Controles existentes

Se analizan los controles existentes en cuanto a su eficacia histrica, pudiendo detectarse nuevas
amenazas o nuevos enfoques para modificar dichos controles.

Identificacin de vulnerabilidades

El anlisis de las amenazas a un sistema TI debe incluir un anlisis de las vulnerabilidades asociadas con
el entorno del sistema.

El objetivo de este paso es desarrollar una lista de vulnerabilidades del sistema que pueden ser
aprovechadas por los orgenes de amenazas potenciales.
Normalmente las vulnerabilidades se presentan en parejas llamadas Vulnerabilidad/Amenaza. Un ejemplo
de las mismas puede observarse a continuacin.

Vulnerabilidad Amenaza Accin de amenaza

Los identificadores de Empleados Acceso a la red

usuario de los desvinculados corporativa, utilizando el
empleados identificador de usuario
desvinculados de la para acceder a
empresa no son informacin propietaria
removidos del sistema de la organizacin.

Los aspersores de agua Fuego, empleados Los aspersores de agua

se encuentran instalados negligentes funcionan sobre los
en las cercanas de los servidores de la
servidores de la empresa.
empresa

Anlisis de controles.

El objetivo de este paso es analizar los controles que han sido implementados, o cuya implementacin se
planea por parte de la organizacin, para minimizar o eliminar la posibilidad de una amenaza ejerciendo
una vulnerabilidad del sistema.

El anlisis de controles puede dividirse en tres reas, a saber:

Mtodos de control

Los mtodos de control abarcan el uso de mtodos tcnicos y no tcnicos:

Mtodos tcnicos: los que configuran salvaguardas incorporadas al hardware o software del
sistema.
Mtodos no tcnicos: son controles de gestin y operacin como polticas de seguridad,
procedimientos operacionales, etc.

Categoras de control

Las categoras de control, tanto para controles tcnicos como no tcnicos pueden ser calificadas adems
como preventivos y de deteccin.

Controles preventivos: Inhiben intentos de violar polticas de seguridad, tal como los controles de
acceso, encriptacin y autenticacin.
Controles de deteccin: Informan de violaciones o intentos de violacin de las polticas de
seguridad, tales como registros de auditora.

Tcnicas de anlisis de control

El desarrollo de una lista de verificacin es til para analizar controles de una manera eficiente y
sistemtica.
Determinacin de probabilidad de ocurrencia

Para obtener un ndice de probabilidad de ocurrencia general, que indique que la probabilidad de una
potencial vulnerabilidad pueda ser ejercida dentro del entorno de amenaza asociado, deben considerarse
los factores de gobernabilidad siguientes:

Motivacin y capacidad del origen de la amenaza.

Naturaleza de la vulnerabilidad.
Existencia y efectividad de los controles actuales.

La probabilidad de que una vulnerabilidad potencial pueda ser ejercida por un origen de amenaza puede
ser descrita como alta, media o baja.

La tabla siguiente describe tres niveles de probabilidad de ocurrencia.

Probabilidad Definicin de probabilidad

Alta El origen de la amenaza est altamente motivado y es

suficientemente capaz, y los controles destinados a
prevenir el ejercicio de la vulnerabilidad son inefectivos.

Media El origen de la amenaza est motivado y es

suficientemente capaz, pero los controles destinados a
prevenir el ejercicio de la vulnerabilidad son efectivos.

Baja El origen de la amenaza carece de motivacin y capacidad,

y los controles destinados a prevenir el ejercicio de la
vulnerabilidad son efectivos para prevenir o impedir en
forma significativa el ejercicio de la vulnerabilidad.

Anlisis de impacto

El siguiente paso para determinar el nivel de riesgo es determinar el impacto negativo resultante del
ejercicio efectivo de una vulnerabilidad.

Antes de iniciar el anlisis de impacto, es necesario obtener la siguiente informacin, previamente

conceptualizada en puntos anteriores.

Misin del sistema.

Criticidad del sistema y sus datos.
Sensibilidad del sistema y sus datos.

Luego, el impacto adverso de un evento de seguridad puede ser descrito en trminos de prdida,
degradacin o una combinacin de cualquiera de los siguientes objetivos de seguridad:

Prdida de integridad: La integridad de sistema y de datos se refiere al requerimiento bsico de

que la informacin debe ser protegida de modificaciones impropias. La integridad de datos se pierde
 si cambios no autorizados son realizados sobre los datos por actos intencionales o accidentales. Si
la prdida de la integridad de datos no es corregida, el uso continuado de datos contaminados
puede resultar en imprecisin, fraude o decisiones errneas.
Adems, la violacin de la integridad puede ser el primer paso en un ataque exitoso contra la
disponibilidad o confidencialidad del sistema. Por todas estas razones, la prdida de integridad
reduce las garantas otorgadas por un sistema TI.
Prdida de disponibilidad: Si un sistema TI de misin crtica no se encuentra disponible para sus
usuarios finales, la misin de la organizacin puede ser afectada.
Prdida de confidencialidad: La confidencialidad de sistema y de datos se refiere a la proteccin
de la informacin de un revelado no autorizado. El impacto de un revelado no autorizado de
informacin confidencial puede resultar en la prdida de confianza, vergenza o acciones legales
contra la organizacin.

Las categoras de impacto normalmente son cualitativas y pueden dividirse en tres grados o categoras,
alta, media y baja, como se muestra en la siguiente tabla:

Nivel de Definicin de impacto

impacto

Alto El ejercicio de la vulnerabilidad (1) puede resultar en la prdida

altamente costosa de importantes activos o recursos tangibles e
intangibles; (2) puede violar, daar o impedir de manera
significativa la misin de la organizacin, su reputacin o sus
intereses; o (3), puede resultar en la muerte o heridas graves
para personas.

Medio El ejercicio de la vulnerabilidad (1) puede resultar en la prdida

costosa de activos o recursos tangibles e intangibles; (2) puede
violar, daar o impedir la misin de la organizacin, su
reputacin o sus intereses; o (3), puede resultar en heridas para
personas.

Bajo El ejercicio de la vulnerabilidad (1) puede resultar en la prdida

de algunos activos o recursos tangibles e intangibles; (2) puede
violar, daar o impedir de forma perceptible la misin de la
organizacin, su reputacin o sus intereses.

Estimacin cuantitativa vs estimacin cualitativa:

Al realizar el anlisis de impacto, debe considerarse las ventajas y desventajas de la estimacin cuantitativa
vs la estimacin cualitativa.

La principal ventaja del anlisis cualitativo de impacto es que prioriza los riesgos e identifica reas para
mejora inmediata al ubicar las vulnerabilidades.

La desventaja del anlisis cualitativo es que no provee medidas cuantificables especficas para la magnitud
de los impactos, dificultando el anlisis de costo/beneficio de cualquiera de los controles recomendados.
Determinacin de riesgos

El objetivo de este paso es estimar el nivel de riesgo para el sistema TI. La determinacin de riesgo para
cada par amenaza/vulnerabilidad puede ser expresada en funcin de:

La probabilidad de ocurrencia de una amenaza dada ejerciendo una vulnerabilidad dada.

La magnitud de impacto en caso de que una amenaza ejerza exitosamente una vulnerabilidad dada.
La adecuacin de los controles planeados o existentes para reducir o eliminar el riesgo.

Matriz de niveles de riesgo

La determinacin del riesgo final sobre la misin se deriva al multiplicar las clasificaciones asignadas a
cada probabilidad de riesgo y al impacto de la amenaza.

La matriz mostrada ms abajo es una matriz de 3x3 para probabilidades de amenaza (alta, media y baja) y
corresponde a la que se utilizar en este proyecto. Dependiendo de los requerimientos del cliente y de la
granularidad de evaluacin de riesgo deseada.

Algunos proyectos utilizan matrices de 4x4 o de 5x5, esta ltima puede incluir una probabilidad Muy
Alta/Muy Baja de probabilidad de amenaza y una probabilidad Muy Alta/Muy Baja de impacto de amenaza
para generar un nivel de riesgo Muy Alto/Muy Bajo.

Probabilidad de Impacto
amenaza
Bajo (10) Medio (50) Alto (100)

Alta (1.0) Bajo Medio Alto

1.0 x 10 = 10 1.0 x 50 = 50 1.0 x 100 = 100

Media (0.5) Bajo Medio Medio

0.5 x 10 = 5 0.5 x 50 = 25 0.5 x 100 = 50

Baja (0.1) Bajo Bajo Bajo

0.1 x 10 = 1 0.1 x 50 = 5 0.1 x 100 = 10

Es necesario tener en cuenta que un nivel de riesgo Muy Alto puede requerir una detencin total de
sistema o de actividades.

Descripcin de niveles de riesgo

La tabla siguiente describe los niveles de riesgo mostrados en la matriz de riesgo. En esta escala de riesgo,
con sus niveles Alto, Medio y Bajo, se representa el nivel de riesgo al cual un sistema IT, instalacin o
procedimiento debera estar expuesto si una determinada vulnerabilidad fuese ejercida por una amenaza.

La escala de riesgo tambin presenta las acciones que la administracin y los encargados de la misin
deberan tomar para cada nivel de riesgo.

Nivel de riesgo Descripcin de nivel de riesgo

Alto Si una observacin o hallazgo es evaluado como de alto riesgo, existe una fuerte
necesidad de medidas correctivas.
Un sistema existente puede seguir operando, pero una accin correctiva debe ser
aplicada lo antes posible.

Medio Si una observacin es calificada como de riesgo medio, se requieren acciones

correctivas y debe desarrollarse un plan para incorporar dichas acciones en un
perodo razonable de tiempo.

Bajo Si una observacin es calificada como de bajo riesgo, el administrador de sistema

debe determinar qu acciones correctivas deben tomarse.

Recomendaciones de control

Durante este paso del proceso, se proveen controles apropiados para la operacin de la organizacin que
pueden mitigar o eliminar los riesgos identificados en pasos previos.

El objetivo de los controles recomendados es reducir el nivel de riesgo para el sistema TI y sus datos a un
nivel aceptable.

Los siguientes factores deben ser considerados al recomendar controles y soluciones alternativas para
eliminar o minimizar los riesgos identificados:

Efectividad de las opciones recomendadas (p. e., compatibilidad del sistema).

Legislacin y regulaciones vigentes.
Polticas de la organizacin.
Impacto operacional.
Seguridad y confiabilidad.

Las recomendaciones de controles conforman los resultados del proceso de evaluacin de riesgos y
proveen datos de entrada al proceso de mitigacin de riesgos, durante el cual se evalan, priorizan e
implementan los controles procedimentales y de seguridad tcnica recomendados.

Documentacin de resultados

Una vez que se ha completado la evaluacin de riesgos (los orgenes de amenaza y las vulnerabilidades se
han identificado, los riesgos se han evaluado y se han informa los controles recomendados) los resultados
deberan ser informados en un reporte o reunin informativa.

Un reporte de evaluacin de riesgo es un informe administrativo que ayuda a la direccin, los encargados
de la misin, a tomar decisiones sobre las polticas, procedimientos, presupuesto y cambios en la operacin
y administracin del sistema.
A diferencia de un reporte de auditora o una investigacin, que busca errores o fallas en la ejecucin de un
protocolo, un reporte de evaluacin de riesgos no debe ser presentado en un estilo acusatorio, sino en
forma sistemtica y con un enfoque analtico para evaluacin de riesgos de forma que la direccin pueda
entender dichos riesgos y asignar recursos para reducir y corregir prdidas potenciales.

Por este motivo, algunas personas prefieren referirse a las parejas Amenaza/Vulnerabilidad como
observaciones en vez de hallazgos en el reporte de evaluacin de riesgos.

Mitigacin de riesgos
La mitigacin de riesgos implica priorizar, evaluar e implementar los controles de reduccin de riesgos
recomendados desde el proceso de valoracin de riesgos.

Debido a que la eliminacin de todos los riesgos es comnmente poco prctica o cercana a imposible, es
responsabilidad de la administracin utilizar enfoque ms efectivo en costos e implementar los controles
ms apropiados para disminuir el riesgo de la misin a niveles aceptables, con mnimo impacto adverso en
los recursos y misin de la organizacin.

Opciones de mitigacin de riesgos:

La mitigacin de riesgos es una metodologa sistemtica utilizada por la direccin para reducir los riesgos
en la misin de la empresa.

La mitigacin de riesgos puede ser alcanzada en cualquiera de las siguientes opciones de mitigacin de
riesgos:

Se asume el riesgo: Para aceptar el riesgo potencial y continuar con la operacin del sistema Ti o
para implementar controles que permitan reducir el riesgo a un nivel aceptable.
Se evita el riesgo: El riesgo se evita eliminando la causa/consecuencia del riesgo (p. e. anular
ciertas funciones del sistema o proceder al apagado del mismo cuando los riesgos son
identificados).
Se limita el riesgo: El riesgo se limita al implementar controles que minimizan el impacto adverso
de un riesgo ejerciendo una vulnerabilidad (p. e. el uso de controles de soporte, prevencin y
deteccin).
Se realiza planificacin de riesgo: Se administran los riesgos mediante el desarrollo de un plan de
mitigacin de riesgos que prioriza, implementa y mantiene controles.
Investigacin y conocimiento: Se reduce el riesgo de prdida al reconocer la vulnerabilidad o
falla, investigando y desarrollando controles para corregir la vulnerabilidad.
Transferencia de riesgo: Se transfiere el riesgo al utilizar otras opciones para compensar las
posibles prdidas, como el aseguramiento de los activos.

Los objetivos estratgicos, as como la misin de la organizacin deben ser considerados al seleccionar
cualquier opcin de mitigacin de riesgos.

Puede no ser prctico abordar todos los riesgos identificados, es por ello que deben aplicarse prioridades a
los pares Vulnerabilidad/Amenaza que tienen el potencial para causar impactos o daos significativos.

Estrategia de mitigacin de riesgos

Cuando los integrantes de la administracin, quienes se encargan de la misin, conociendo los riesgos
potenciales y los controles recomendados, pueden preguntarse: Bajo qu circunstancias se siguen qu
cursos de accin?, cundo se implementan ciertos controles para mitigar los riesgos y proteger la
organizacin?.

Para responder estas y otras preguntas, los puntos de control apropiados para la implementacin de
acciones de control se indican en la siguiente figura: