Gestin de Riesgos

Mario Urea Cuate, CISA, CISM, CGEIT, CISSP

Auditor Lder BS25999, ISO27001

mario.urena@secureit.com.mx
www.mariourenacuate.com

Pag.1 1
www.isaca.org 1
 Agenda
Introduccin
Gestin de riesgos
Marcos de referencia para la gestin de riesgos
Principios de la gestin de riesgos
ISO 31000 Gestin de Riesgos Principios y guas (DRAFT)
BS 31100 Gestin de Riesgos Cdigo de prctica
ISO 27005 Gestin de Riesgos de Seguridad de la Informacin
Risk IT Framework
Ejemplos
Opciones de tratamiento de riesgos
Conclusiones

Pag.2 2
www.isaca.org 2
 Introduccin

Pag.3 3
www.isaca.org 3
 Introduccin

En la actualidad, son cada vez ms las organizaciones

que dedican recursos de personal, tiempo y dinero para
la gestin de riesgos de TI, pero con tantos modelos,
metodologas y tcnicas disponibles:

Por dnde empezar?

Cul de ellas es mejor?
Debo utilizar un enfoque cualitativo o cuantitativo?
Quin lo debe ejecutar?
Con qu granularidad?
Cmo tratar el riesgo?
Pag.4 4
www.isaca.org 4
 Introduccin

Cules son los riesgos de los cuales me tengo que

proteger?

Cul es el nivel de riesgo que debo tomar para

maximizar mis ganancias?

Eso es un riesgo o es una amenaza?

El control lo aplico a la vulnerabilidad, a la amenaza

o a los dos?

Pag.5 5
www.isaca.org 5
 Introduccin

Diferentes tipos de riesgos:

Riesgo de TI
Riesgo de Seguridad de la Informacin
Riesgo Operativo
Riesgo de Continuidad del Negocio
Riesgo de Proyecto
Riesgo Financiero
Riesgo de Auditora
Etc.

Pag.6 6
www.isaca.org 6
 Introduccin

Nivel de granularidad:

Empresa A: Total de escenarios de riesgos: 50

Empresa B: Total de escenarios de riesgos: >5,000,000

Pag.7 7
www.isaca.org 7
 Introduccin

Hay de escenarios a ESCENARIOS:

escenario:

Epidemia de influenza - Abril 2009

Pag.8 8
www.isaca.org 8
 Introduccin

Hay de escenarios a ESCENARIOS:

ESCENARIO:

Epidemia de influenza + Sismo 5.7 grados 27 de abril 2009

Pag.9 9
www.isaca.org 9
 Introduccin
Posible Contagio

Estrategia: Escenario: Estrategia:

Sismo
Parte del personal Desalojo y
laborando concentracin en
Escenario: en oficinas puntos de reunin
Epidemia

Escenario:
Estrategia: Perdida de
comunicaciones Interrupcin de la
Parte del personal
laborando desde casa continuidad del
comunicndose Escenario: negocio
va Internet Saturacin de lneas
y telfono telefnicas

Pag.10 10
www.isaca.org 10
 Introduccin

El caso de mi amigo.

Proveedor de servicios de hospedaje y respaldo.

Pag.11 11
www.isaca.org 11
 Introduccin

ESCENARIO-TOTE (Por ponerle un nombre)

Hackeo de pgina web + Prdida de respaldos+

Epidemia de Influenza + Sismo 5.7 grados +
Prdida de comunicaciones + Fallas de Energa = ?

Pag.12 12
www.isaca.org 12
 Introduccin

Solamente mir hacia

el cielo, esperando ver
pasar a los cuatro
jinetes...

Mi amigo
Abril 27, 2009

Pag.13 13
www.isaca.org 13
 Introduccin

Cmo evitar que ocurran eventos no

deseados?

Y en caso de que ocurran

Cmo disminuir su impacto en la

organizacin?

Pag.14 14
www.isaca.org 14
 Gestin de riesgos

Pag.15 15
www.isaca.org 15
 Marcos de referencia

ISO/DIS 31000 (DRAFT) CRAMM

IEC/DIS 31010 MAGERIT
ISO/D Guide 73 TRA Working Guide
BS 31100 Microsoft SRMG
ISO/IEC 27005 BS 7799-3
ITGI - The Risk IT Framework AIRMIC, ALARM, IRM
Basilea II ARMS
OCTAVE UNE 71504
NIST SP800-30
AS/NZS 4360
M_o_R

Pag.16 16
www.isaca.org 16
 Marcos de referencia

ISO/DIS 31000 (DRAFT) CRAMM

IEC/DIS 31010 MAGERIT
ISO/D Guide 73 TRA Working Guide
BS 31100 Microsoft SRMG
ISO/IEC 27005 BS 7799-3
ITGI - The Risk IT Framework AIRMIC, ALARM, IRM
Basilea II ARMS
OCTAVE UNE 71504
NIST SP800-30
AS/NZS 4360
M_o_R

Pag.17 17
www.isaca.org 17
 ISACA - Guas relacionadas

COBIT 4.1 Process PO9

Assurance Guide
Control Objectives for Basel II
IT Governance Series IT Risk Management
Security Baseline
Control Objectives for Sarbanes Oxley

Pag.18 18
www.isaca.org 18
 Principios de la gestin de riesgos

ISO/DIS 31000. La gestin de riesgos:

a) crea valor
b) es una parte integral de los procesos de la organizacin
c) forma parte de la toma de decisiones
d) explcitamente atiende la incertidumbre
e) es sistemtica, estructurada y oportuna
f) est basada en la mejor informacin disponible
g) est adaptada a la organizacin
h) toma en cuenta factores humanos y culturales
i) es transparente e inclusiva
j) es dinmica, iterativa y responde al cambio
k) facilita la mejora continua
Pag.19 19
www.isaca.org 19
 Principios de la gestin de riesgos
BS 31100. La gestin de riesgos:
i) debe ser adaptada a la organizacin
ii) debe tomar en cuenta la cultura organizacional, factores humanos
y comportamiento
iii) debe ser sistemtica y estructurada
iv) debe operar en un lenguaje comn
v) debe basarse en la mejor informacin disponible
vi) debe atender explcitamente la incertidumbre
vii) debe ser parte de la toma de decisiones
viii) debe proteger todo lo que sea valioso
ix) debe ser transparente e inclusiva
x) debe ser dinmica, iterativa y responder a cambios
xi) debe considerar la revisin en la aplicacin de los principios
Pag.20 20
www.isaca.org 20
 Principios de la gestin de riesgos

Risk IT. La gestin de riesgos de TI:

siempre est conectada a los objetivos del negocio

alinea la gestin de riesgos del negocio relacionados con TI con la
gestin de riesgos de toda la organizacin
balancea los costos y beneficios de gestionar riesgos
promueve una comunicacin de riesgos de TI justa y abierta
establece el tono adecuado desde arriba, mientras define y refuerza
la responsabilidad personal para operar con niveles de tolerancia
aceptables y bien definidos
es un proceso continuo y forma parte de las actividades diarias

Pag.21 21
www.isaca.org 21
 ISO DIS / 31000

Propsito:

Proveer los principios y guas generales para la

implementacin de la gestin de riesgos.

No es utilizado con propsitos de certificacin.

Pag.22 22
www.isaca.org 22
 ISO DIS / 31000
Es genrico y no es especfico de alguna industria o sector.

An cuando el estndar provee guas generales no es su intencin

imponer uniformidad en las organizaciones, respecto a la gestin de
riesgos.

El diseo e implementacin de la gestin de riesgos depende de las

necesidades especficas de la organizacin, objetivos particulares,
contexto, estructura, productos, servicios, proyectos, procesos
operativos y prcticas especficas empleadas.

Pag.23 23
www.isaca.org 23
 ISO DIS / 31000
ste estndar intenta armonizar los procesos de gestin de riesgos
en estndares existentes y futuros.

Provee un enfoque comn soportando estndares orientados a

riesgos o sectores especficos.

El ISO 31000 no pretende reemplazar los estndares ya existentes.

Pag.24 24
www.isaca.org 24
 ISO DIS / 31000
Componentes Compromiso de la
gerencia

Diseo del marco de

referencia

Implementar la
Mejora continua
gestin de riesgos

Monitorear y revisar

Pag.25 25
www.isaca.org 25
 ISO DIS / 31000
Compromiso de la
Componentes gerencia

Diseo del marco de referencia

- Entender a la organizacin y su contexto

- Poltica de gestin de riesgos
- Integracin dentro de los procesos de la organizacin
- Responsabilidad
- Recursos
- Establecer mecanismos de comunicacin y reporte interno
- Establecer mecanismos de comunicacin y reporte externo

Implementar la gestin de riesgos

Mejora continua
- Implementar el marco de referencia
- Implementar el proceso de gestin de riesgos

Monitorear y revisar

Pag.26 26
www.isaca.org 26
 ISO DIS / 31000

Inicio
Proceso

Establecer el contexto
Comunicacin y consulta

Identificacin riesgos

Monitoreo y revisin
Anlisis de riesgos

Evaluacin de riesgos

Tratamiento de riesgos

Pag.27 27
www.isaca.org 27
 BS 31100

Publicado en Octubre 2008.

Propsito:

Provee las bases para el entendimiento, desarrollo,

implementacin y mantenimiento de la gestin de
riesgos.

Pag.28 28
www.isaca.org 28
 BS 31100

Ha sido preparado para ser consistente con el ISO

31000 y tambin considera los siguientes documentos:

HM Treasurys Orange Book

OGC - M_o_R: Guidance for Practitioners
COSO Enterprise Risk Management Integrated Framework
IRM/AIRMIC/ALARM - Risk Management Standard

Pag.29 29
www.isaca.org 29
 BS 31100

Componentes
Mandato y
compromiso

Diseo del
Mantenimiento
marco de
y mejora
referencia

Implementar la
Monitorear y
gestin de
revisar
riesgos

Pag.30 30
www.isaca.org 30
 BS 31100

Proceso

Pag.31 31
www.isaca.org 31
 ISO 27005
Publicado en Junio 2008.

Propsito:

Provee guas para la gestin de riesgos de seguridad de la

informacin.

Soporta los principales conceptos especificados en ISO/IEC 27001

y ha sido diseado para asistir en la implementacin satisfactoria de
seguridad de la informacin basada en un enfoque de gestin de
riesgos.

Pag.32 32
www.isaca.org 32
 ISO 27005

Para un entendimiento completo de ste estndar, se

requiere el conocimiento de los conceptos, modelos,
procesos y terminologas descritas en ISO/IEC 27001.

Aplica a todo tipo de organizacin que intente gestionar

riesgos que pudieran comprometer la seguridad de la
informacin de la organizacin.

Pag.33 33
www.isaca.org 33
 ISO 27005
Integracin de ISO 27005 con otros estndares

ISO
ISO 31000 27005
ISO
27001
Otros
estndares y
prcticas de
gestin de
riesgos

Pag.34 34
www.isaca.org 34
www.isaca.org
Proceso

Inicio
Establecer el contexto
Vulnerabilidades

Identificacin riesgos
Consecuencias

Activos Amenazas
Controles

Estimacin de riesgos

Pag.35
Evaluacin de riesgos
ISO 27005

Comunicacin de riesgos Tratamiento de riesgos

Monitoreo y revisin de riesgos
Transf. Evitar Retener Reducir

Aceptacin de riesgos
35
35
 The Risk IT Framework

Desarrollado por el IT
Governance Institute

Iniciativa de Risk IT

Complementa a COBIT y
Val IT

Pag.36 36
www.isaca.org 36
 The Risk IT Framework

Propsito:

El marco de referencia de Risk IT explica el riesgo de

TI y permitir a los usuarios:
Integrar la gestin de riesgos de TI con la gestin de riesgos
empresarial.
Tomar decisiones bien informadas respecto a la extensin del
riesgo, el apetito de riesgo y la tolerancia al riesgo de la
organizacin.
Entender como responder al riesgo

Pag.37 37
www.isaca.org 37
 The Risk IT Framework

Definicin de riesgo de TI:

El riesgo de TI es riesgo del negocio especficamente,

el riesgo del negocio asociado con el uso, propiedad,
operacin, involucramiento, influencia y adopcin de TI
en la organizacin. Consiste de eventos relacionados
con TI que potencialmente podran impactar al negocio.
Incluye frecuencia y magnitud, y crea retos para el
cumplimiento de metas y objetivos estratgicos, as
como incertidumbre en la bsqueda de oportunidades.

Pag.38 38
www.isaca.org 38
 The Risk IT Framework
El riesgo de TI puede categorizarse en:

Riesgo en la entrega de servicios de TI, asociado con el

desempeo y disponibilidad de servicios de TI, y que puede
provocar la destruccin o reduccin del valor para la organizacin.

Riesgo en la entrega de soluciones de TI / realizacin de beneficios,

asociado con la contribucin de TI a soluciones del negocio nuevas
o mejoradas usualmente en la forma de proyectos y programas.

Riesgo de realizacin de beneficios de TI, asociado con la perdida

de oportunidades para usar la tecnologa en la mejora de la
eficiencia o efectividad de los procesos del negocio.
Pag.39 39
www.isaca.org 39
 The Risk IT Framework
Valor del negocio

No Ganar Ganar

Habilitar beneficios / valor de TI

Entrega de programas y
proyectos de TI

Entrega de operaciones y
servicios de TI

Perder Preservar

Valor del negocio

Pag.40 40
www.isaca.org 40
 The Risk IT Framework
Componentes

Pag.41 41
www.isaca.org 41
 The Risk IT Framework
Escenarios / Componentes

Pag.42 42
www.isaca.org 42
 The Risk IT Framework
Impacto al negocio

4A (Westerman / Hunter)

Agility - Agilidad
Accuracy - Precisin
Access - Acceso
Availability - Disponibilidad

Pag.43 43
www.isaca.org 43
 The Risk IT Framework
Impacto al negocio

COBIT Criterios de informacin

Efectividad
Eficiencia
Confiabilidad
Integridad
Confidencialidad
Disponibilidad
Cumplimiento

Pag.44 44
www.isaca.org 44
 The Risk IT Framework
Impacto al negocio

BSC (COBIT Objetivos del negocio)

Perspectiva Financiera
Perspectiva del Cliente
Perspectiva Interna
Perspectiva de Aprendizaje y Crecimiento

Pag.45 45
www.isaca.org 45
 The Risk IT Framework
Impacto al negocio

BSC (Criterios de impacto extendidos)

Valor de acciones
Cuota de mercado
Ingresos / Ganancias
Costo de capital
Satisfaccin del cliente
Impacto regulatorio
Recursos
Ventaja competitiva
Reputacin

Pag.46 46
www.isaca.org 46
 The Risk IT Framework

Pag.47 47
www.isaca.org 47
 The Risk IT Framework

Pag.48 48
www.isaca.org 48
 The Risk IT Framework

COBIT + Val IT + Risk IT

Pag.49 49
www.isaca.org 49
 Ejemplos

Pag.50 50
www.isaca.org 50
 Ejemplo 1 - Identificacin

IDENTIFICADOR RIESGO
1 Uso no autorizado de equipos
2 Falla en equipos de telecomunicacin
3 Fallas de energa elctrica
4 Saturacin de Sistemas de Informacin
5 Infeccin por virus informtico

N Riesgo N

Pag.51 51
www.isaca.org 51
 Ejemplo 1 - Identificacin
1. Fuego
2. Dao por agua
3. Contaminacin
4. Accidentes graves
5. Destruccin de equipo o medios
6. Terremoto /sismo /temblor
7. Deslave
8. Derrame qumico
9. Explosin
10. Incendio
11. Epidemia
12. Lluvias intensas
13. Tormenta de Granizo
14. Cicln tropical
15. Inundacin
16. Tormenta elctrica
17. Fallas en aire acondicionado
18. Fallas en provisin de agua
19. Fallas en equipos de
telecomunicacin
20. Fallas de energa elctrica
21. Intercepcin de informacin
22. Espionaje remoto
23. Espionaje
24. Robo de documentos
25. Robo de medios de informacin
www.isaca.org
26. Robo de equipo
27. Recuperacin de medios reciclados
28. Divulgacin de informacin
29. Recepcin de datos de fuentes no
confiables
30. Manipulacin no autorizada de
informacin
31. Deteccin de ubicacin fsica
32. Falla de equipos
33. Malfuncionamiento de equipos
34. Saturacin de sistemas de
informacin
35. Malfuncionamiento de software
36. Uso no autorizado de equipo
37. Copia fraudulenta de software
38. Uso de software fraudulento
39. Corrupcin de datos
40. Procesamiento ilegal de datos
41. Errores humanos
42. Abuso de privilegios
43. Denegacin de acciones
44. Repudio de transacciones
45. Indisponibilidad del personal
46. Secuestro de funcionarios
47. Chantaje
48. Terrorismo
Pag.52
49. Amenaza de bomba
50. Bloqueo de instalaciones por
manifestaciones pblicas
51. Huelga
52. Impacto de aeronave
53. Acciones de empleados
descontentos contra la organizacin
54. Infecciones por virus informtico y
cdigo malicioso
55. Sabotaje
56. Hackers y otros agresores externos
57. Desconocimiento del usuario
58. Agresores internos
59. Phishing / Engaos intencionales
60. Spyware / Adware
61. Insuficiencia de infraestructura de
seguridad
62. Software Deficiente
63. Negligencia del usuario
64. Spam
65. Hardware Deficiente
66. Interrupcin del negocio de
proveedores
67. Cambios significativos en el entorno
econmico
52
52
 Ejemplo 1 - Anlisis
Posibilidad de Ocurrencia Valor
Casi cierto 5
Muy posible 4
Posible 3
Raro 2
Casi imposible 1

Impacto Valor
Catastrfico 5
Mayor 4
Medio 3
Menor 2
Insignificante 1

Pag.53 53
www.isaca.org 53
 Ejemplo 1 - Anlisis

1 Casi imposible

Insignificante
POSIBILIDAD

Muy posible

Catastrfico
Casi cierto
IMPACTO
Posible

Menor

Mayor
Medio
Raro
2
3
4
5

1
2
3
4
5
ID Evento de amenaza (riesgo)
1 Uso no autorizado de equipos


2 Falla en equipos de telecomunicacin


3 Fallas de energa elctrica


4 Saturacin de sistemas de informacin


5 Infeccin por virus informtico



N Riesgo N

Pag.54 54
www.isaca.org 54
 Ejemplo 1 - Evaluacin

ID RIESGO P I R (P x I)
1 Uso no autorizado de equipos 2 3 6
2 Falla en equipos de telecomunicacin 4 4 16
3 Fallas de energa elctrica 4 3 12
4 Saturacin de Sistemas de Informacin 3 2 6
5 Infeccin por virus informtico 4 3 12

N Riesgo N 1 1 1

Pag.55 55
www.isaca.org 55
 Ejemplo 1 - Evaluacin

ID RIESGO P I R (P x I) Prioridad
1 Uso no autorizado de equipos 2 3 6 3
2 Falla en equipos de telecomunicacin 4 4 16 1
3 Fallas de energa elctrica 4 3 12 2
4 Saturacin de Sistemas de Informacin 3 2 6 3
5 Infeccin por virus informtico 4 3 12 2

N Riesgo N 1 1 1 N

Pag.56 56
www.isaca.org 56
 EMPRESA ABC
Control de operaciones
Catastrfico 5 6 7 8 9

4 5 6 7 8

2
Mayor

3 4 5 6 7
IMPACTO
Medio

1 5 3

2 3 4 5 6

4
Menor

1 2 3 4 5
Insignificante

Casi Imposible Raro Posible Muy Posible Casi Cierto

Pag.57 57
www.isaca.org POSIBILIDAD 57
 Ejemplo 2 - Identificacin

RIESGO

Impactos

Eventos
Activo

Amenazas
Vulnerabilidades

Pag.58 58
www.isaca.org 58
 Ejemplo 2 - Identificacin

ACTIVO

Pag.59 59
www.isaca.org 59
 Ejemplo 2 - Identificacin

VULNERABILIDADES

Pag.60 60
www.isaca.org 60
 Ejemplo 2 - Identificacin

AMENAZAS

AGENTE

Pag.61 61
www.isaca.org 61
 Ejemplo 2 - Identificacin

AMENAZAS

EVENTO

Pag.62 62
www.isaca.org 62
 Ejemplo 2 - Identificacin

IMPACTO

Pag.63 63
www.isaca.org 63
 Ejemplo 2 - Identificacin
Ejemplos de activos:
Sistemas
Aplicaciones



Personas

Mobiliario

Equipos de cmputo
Instalaciones

Documentos
Registros
Manuales Servicios
Directorios

Telfono Otros
Fax

Pag.64 64
www.isaca.org 64
 Ejemplo 2 - Identificacin

Gente / Entidades

Procesos

Tecnologa de Informacin Sistemas / Aplicaciones

Informacin / Datos / Documentos

Plataformas / S.O.

Red / Comunicaciones

Fsica / Instalaciones

Pag.65 65
www.isaca.org 65
 Ejemplo 2 - Identificacin

Identificar vulnerabilidades

Inherentes al activo.
Relacionadas con la falta, insuficiencia,
inefectividad o fallas de los controles sobre el
activo.

Pag.66 66
www.isaca.org 66
 Ejemplo 2 - Identificacin

V=Se encuentra en un rea

que se puede inundar.

V=Inflamable.

V=No se encuentran concentradas

A=Facturas en un mismo lugar.

V=Almacenamiento desprotegido.

V=Consumible.

V=Puede sufrir daos fsicos.

Pag.67 67
www.isaca.org 67
 Ejemplo 2 - Identificacin

Identificar amenazas:

Naturales.
No intencionales.
Intencionales fsicas.
Intencionales no fsicas.

Pag.68 68
www.isaca.org 68
 Ejemplo 2 - Identificacin
Ejemplos de amenazas:

Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones,

tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupcin
volcnica, granizo, tornado, lluvia acida, plagas, etc.

No intencionales: Incendios, fugas, derrames, explosiones, apagones,

falla de equipos, ruido, etc.

Intencionales fsicas: Explosiones, incendios, robo, manifestaciones,

plantones, terrorismo, etc.

Intencionales no fsicas: Infeccin por virus, SPAM, hackeo, robo de

informacin, espionaje industrial, ingeniera social, fraude, etc.

Pag.69 69
www.isaca.org 69
 Ejemplo 2 - Identificacin
El CENAPRED* (Mxico) clasifica las amenazas naturales en las
siguientes categoras:

Geolgicas Hidrometeorolgicas
Terremoto / sismo / temblor Precipitacin pluvial
Maremoto / tsunami Tormenta de granizo
Volcn Tormenta de nieve
Deslave Heladas
Cicln tropical
Qumicas Escurrimiento
Derrame Inundacin
Fuga Sequa
Explosin Erosin
Fuego / Incendio Viento
Marea de tormenta
Temperatura extrema
Sanitarias Humedad extrema
Contaminacin
Huracn / Tifn
Desertificacin
Tormenta elctrica
Epidemias
Tormenta de arena
Tornado
Otras Lluvia acida
Partculas de polvo

* CENAPRED = Centro Nacional de Prevencin de Desastres.

www.cenapred.gob.mx
Pag.70 70
www.isaca.org 70
 Ejemplo 2 - Identificacin

Pag.71 71
www.isaca.org 71
 Ejemplo 2 - Identificacin

V=Se encuentra en un rea E=Inundacin A=Agua

que se puede inundar.

E=Incendio A=Fuego
V=Inflamable.

V=No se encuentran concentradas E=Prdida A=Empleado

en un mismo lugar.

A=Facturas A=Empleado
V=Almacenamiento desprotegido. E=Robo
A=Visitantes

E=Uso A=Personal
V=Consumible.

A=Personal
V=Puede sufrir daos fsicos. E=Dao
A=Impresora

Pag.72 72
www.isaca.org 72
 Ejemplo 2 - Anlisis
Valor de activo
Vulnerabilidad
Severidad
Exposicin
Amenaza (Agente y Evento)
Motivacin
Capacidad
Impacto
Posibilidad de Ocurrencia

Pag.73 73
www.isaca.org 73
Ejemplo 2 Anlisis (Vulnerabilidades)
Valor Severidad
Severidad Menor: Se requiere una cantidad
significativa de recursos para explotar la
1 vulnerabilidad y tiene poco potencial de prdida o
dao en el activo.
Exposicin
Exposicin Menor: Los efectos de la vulnerabilidad
son mnimos. No incrementa la probabilidad de que
vulnerabilidades adicionales sean explotadas.

Severidad Moderada: Se requiere una cantidad Exposicin Moderada: La vulnerabilidad puede

significativa de recursos para explotar la
vulnerabilidad y tiene un potencial significativo de
2 prdida o dao en el activo; o se requieren pocos
recursos para explotar la vulnerabilidad y tiene un
potencial moderado de prdida o dao en el activo.
Severidad Alta: Se requieren pocos recursos para
explotar la vulnerabilidad y tiene un potencial
3 significativo de prdida o dao en el activo.
afectar a ms de un elemento o componente del
sistema. La explotacin de la vulnerabilidad aumenta
la probabilidad de explotar vulnerabilidades
adicionales.
Exposicin Alta: La vulnerabilidad afecta a la
mayora de los componentes del sistema. La
explotacin de la vulnerabilidad aumenta
significativamente la probabilidad de explotar
vulnerabilidades adicionales.

Exposicin
Severidad
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
Pag.74 74
www.isaca.org 74
 Ejemplo 2 Anlisis (Amenazas)
Valor Capacidad Motivacin

Poca o nula capacidad de realizar el Poca o nula motivacin. No se est

ataque. inclinado a actuar.
1

Capacidad moderada. Se tiene el Nivel moderado de motivacin. Se actuar

conocimiento y habilidades para realizar el si se le pide o provoca.
2 ataque, pero pocos recursos. O, tiene
suficientes recursos, pero conocimiento y
habilidades limitadas
Altamente capaz. Se tienen los Altamente motivado. Casi seguro que
conocimientos, habilidades y recursos intentar el ataque.
3
necesarios para realizar un ataque

Motivacin
Capacidad
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
Pag.75 75
www.isaca.org 75
 Ejemplo 2 Anlisis (Impacto)
Valor Descripcin

1 La brecha puede resultar en poca o nula prdida o dao.

2 La brecha puede resultar en una prdida o dao menor.

La brecha puede resultar en una prdida o dao serio, y los procesos del
3
negocio pueden verse afectados negativamente.
La brecha puede resultar en una prdida o dao serio, y los procesos del
4
negocio pueden fallar o interrumpirse.

5 La brecha puede resultar en altas prdidas.

Rango (suma de valores por

prdida de confidencialidad, Valor Impacto Confidencialidad
integridad y disponibilidad)

3-5 Bajo (1) Integridad

6-10 Medio (2) Disponibilidad

11-15 Alto (3)

Pag.76 76
www.isaca.org 76
 Ejemplo 2 - Anlisis

Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturacin FACTURAS

Sensibilidad de los activos

Confidencialidad Integridad Disponibilidad Total1 Valor1 Valor2
5 3 3 11 Alto 3
4 3 4 11 Alto 3
4 5 4 13 Alto 3

Pag.77 77
www.isaca.org 77
 Ejemplo 2 - Anlisis

Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturacin FACTURAS

Anlisis de vulnerabilidades
Vulnerabilidades Severidad Exposicin Valor3
V1-EXPOSICIN A VIRUS Y CDIGO MALICIOSO 3 3 5
V57-SUSCEPTIBILIDAD A FALLAS 2 3 4
V10 - ALMACENAMIENTO DESPROTEGIDO 2 3 4

Pag.78 78
www.isaca.org 78
 Ejemplo 2 - Anlisis

Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturacin FACTURAS

Anlisis de amenazas
Agentes de amenaza Eventos de amenaza Capacidad Motivacin Valor4
A1-VIRUS INFORMTICO E1-INFECCIN POR VIRUS INFORMTICO 3 3 5
A53-DISPERSORES DE AGUA E34-FALLA EN COMPONENTE DE TECNOLOGA 2 1 2
A3-VISITANTES E14 - ROBO 3 2 4

Pag.79 79
www.isaca.org 79
 Ejemplo 2 - Anlisis

Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturacin FACTURAS

Posibilidad

Pag.80 80
www.isaca.org 80
 Ejemplo 2 - Evaluacin

Riesgo = Amenaza x Vulnerabilidad x Probabilidad

Posibilidad x Impacto
Amenaza Posibilidad
Vulnerabilidad Probabilidad Impacto Riesgo Total
5 5 3 11 825
2 4 1 11 88
4 4 3 13 624

Pag.81 81
www.isaca.org 81
 Ejemplo 2 - Evaluacin

UMBRALES DE
LIMITE INFERIOR LMITE SUPERIOR
RIESGO
ALTO 751 1125

MEDIO 376 750

BAJO 1 375

Pag.82 82
www.isaca.org 82
 Opciones de tratamiento
Fuente Opciones de tratamiento de riesgos de TI
Transferir
Risk IT Evitar Mitigar Aceptar ---
Compartir

ISO 27005 Evitar Transferir Reducir Retener ---

BS 31100 Evitar Transferir Modificar Retener Buscar

Cambiar la
Evitar naturaleza y
magnitud de
Retener por Buscar una
ISO 31000 Remover la Compartir posibilidad
decisin oportunidad
fuente del
riesgo Cambiar las
consecuencias

Pag.83 83
www.isaca.org 83
 Preguntas?

2008 Santiago Chile

Pag.84 84
www.isaca.org 84
 Gracias

Mario Urea Cuate

CISA, CISM, CGEIT, CISSP
Auditor Lder BS25999, ISO27001

mario.urena@secureit.com.mx
www.mariourenacuate.com

Pag.85 85
www.isaca.org 85
 Bogot, Colombia
Marzo, 2010
Te esperamos!
86
www.isaca.org 86
 International Conference 2010

Cancn,
Mxico
6 al 9 de Junio de 2010
Te esperamos!

87
www.isaca.org 87