Metodologías y Normas

para el Análisis
Metodologías de
y Normas
para Riesgos
el Análisis de
Riesgos:

¿Cuál debo aplicar?

José Ángel Peña Ibarra

Vicepresidente Internacional ISACA
japi@alintec.net
José Ángel Peña Ibarra
japi@alintec.net
 Contenido

1. Fundamentos del Análisis de

Riesgos
2. OCTAVE
3. MAGERIT
4. ISO 27005
5. Risk IT de ISACA

Los productos aquí mencionados pertenecen a sus respectivos propietarios.

La presentación no tiene fines de lucro, es solo de carácter académico, y
representa solamente la opinión del expositor

José Ángel Peña Ibarra

japi@alintec.net
José Ángel Peña Ibarra
japi@alintec.net
 Riesgo Tecnológico

• El Riesgo Tecnológico implica la probabilidad de pérdidas

ante fallas de los sistemas de información.

• También considera la probabilidad de fraudes internos y

externos a través de los sistemas de información.

• Involucra al riesgo legal y al riesgo de pérdida de

reputación por fallas en la seguridad y por la no
disponibilidad de los sistemas de información.

4 José Ángel Peña Ibarra

japi@alintec.net
 Elementos del análisis de riesgos

explota
Amenazas Vulnerabilidades

protege contra incrementa incrementa afecta

Salvaguardas Riesgos Activos

satisfecho por indica incrementa tiene

Requisitos de Valor de activos

Seguridad (impacto potencial)

José Ángel Peña Ibarra

japi@alintec.net
 Proceso de análisis de riesgos

Identificación y
Evaluación de
valuación de Contramedidas
activos amenazas

Evaluación de Evaluación de Evaluación de

vulnerabilidad riesgos control

Riesgos
Plan de acción
residuales

Fuente: IT Governance Institute

José Ángel Peña Ibarra

japi@alintec.net
La administración de los riesgos es parte fundamental del
Modelo conceptual de Gobierno de seguridad de TI

Fuente: Information Security Governance, 2nd Edition, ITGI

José Ángel Peña Ibarra
japi@alintec.net
 Análisis de riesgos

• Fases del Análisis de riesgos

– Identificación de activos
• Todo elemento necesario para mantener las actividades de la
organización
– Datos, hardware, personal, imagen de la organización
– Evaluación de las amenazas
• Evento que puede afectar a los activos de la organización,
poniendo en peligro su integridad
• Las amenazas dependen de
– negocio de la organización, ubicación de la organización, tipo de
sistema a proteger

José Ángel Peña Ibarra

japi@alintec.net
 Análisis de riesgos

• Fases del Análisis de riesgos

– Evaluación de las amenazas (continuación)
• Tipos de amenazas
– Naturaleza, errores o accidentes, intencionadas (locales o remotas)
• Identificar la causa de la amenaza
• Identificar el activo afectado por la amenaza
• Calcular la probabilidad de que ocurra la amenaza
• Resultados
– Lista de Amenazas
– Activos afectados
– Probabilidad de que ocurra

José Ángel Peña Ibarra

japi@alintec.net
 Probabilidad y Consecuencia de Amenazas

Incidentes de
Fuego Seguridad
Computacional

Inundación Fallas en tele-Falla Sistema

Falla en
comunicaciones Energía
conmutador
Terrorismo

Volumen de Fallas en eq.

Transacciones
y sist. computo
Consecuencia

Negligencia o
Desconocimiento
Severidad

Terremotos
Robo de Activos
Informáticos
Vandalismo
Falla de
Proveedores
Violencia en
Lugar de Trabajo

Muy Baja Baja Media Alta Muy Alta

Probabilidad
José Ángel Peña Ibarra
de Ocurrencia japi@alintec.net
 Análisis de riesgos

• Fases del Análisis de riesgos

– Tratamiento del riesgo
• Encontrar un equilibrio:
– Nivel de seguridad VS Costo de la seguridad
– Costo Protección VS costo de exposición
• Decisiones
– Aceptar el riesgo
– Transferir el riesgo
– Reducir el riesgo a un nivel aceptable (Seleccionar controles)

• Niveles de Riesgo determinan las Decisiones

– Los niveles de riesgo se determinan con base en diversos
enfoques.
José Ángel Peña Ibarra
japi@alintec.net
 Comparación de Rango de Riesgo

Objetivo: Asignar un valor de rango a un riesgo en

comparación con otro, para establecer un criterio o
grupo de criterios para dar prioridad.

Comparación de Rango de Riesgo

Riesgo A B C D Resultado
Se comparan los riesgos: A es más importante que B,
se asigna 1;Riesgo A es menos importante que C, se
asigna 0; Riesgo A es igual de importante que Riesgo
D, se asigna .5.
A 1 0 .5 1.5
B 0 0 1 1
C 1 1 .5 2.5
D .5 0 .5 1
José Ángel Peña Ibarra
japi@alintec.net
 Análisis cuantitativo:

• El impacto tiene más peso que la probabilidad,

por lo que el orden de los factores si altera el
producto. Identificación de prioridades
Impacto
Imp. Prob. NR.
1 X 2 = 2
2 X 1 = 3 3 6 8 9
2 3 5 7

1 1 2 4
1 2 3 Probabilidad
Método Joan Peib

José Ángel Peña Ibarra

japi@alintec.net
 Notas sobre el Análisis cuantitativo:

IxP=NR

Faltan niveles de riesgo 5,7 y 8

Imp.x Prob. NRiesgo.
1 X 2 = 2 1x1=1
Impacto 2 X 1 = 3
1x2=2
3 6 8 9 1x3=3
2x1=2
2 3 5 7 2x2=4
2x3=6
1 1 2 4
3x1=3
1 2 3 3x2=6
Probabilidad
Método Joan Peib
3x3=9
José Ángel Peña Ibarra
japi@alintec.net
 Metodologías, normas, estándares..

OCTAVE
Carnegie Mellon SEI

MAGERIT 2
MINISTERIO DE
ADMINISTRACIÓN
PÚBLICA

ISO 27005
27005

Risk IT de ISACA

José Ángel Peña Ibarra

japi@alintec.net
 OCTAVE
• OCTAVE (Operationally Critical Threat, Asset and
Vulnerability Evaluation)
– Metodología de Análisis de Riesgos (seguridad de TI)
– Enfocado a que la organización sea capaz de:
• Dirigir y gestionar sus evaluaciones de riesgos
• Tomar decisiones basándose en sus riesgos
• Proteger los activos claves de información
• Comunicar de forma efectiva la información clave de seguridad
– Coadyuvante en el Aseguramiento de la continuidad del negocio
– Definición del riesgo y amenazas basadas en los activos críticos
– Estrategias de protección y mitigación de riesgos basada en
prácticas
– Recopilación de datos en función de los objetivos
– Base para la mejora de la seguridad

José Ángel Peña Ibarra

japi@alintec.net
 OCTAVE

• OCTAVE (Operationally Critical Threat, Asset and

Vulnerability Evaluation)
– Beneficios
• Identifica los riesgos de la seguridad que pueden impedir la consecución
del objetivo de la organización
• Enseña a evaluar los riegos de la seguridad de la información
• Crea una estrategia de protección con el objetivo de reducir los riesgos
de seguridad de la información prioritaria
• Ayuda a la organización cumplir regulaciones de la seguridad de la
información.

José Ángel Peña Ibarra

japi@alintec.net
 OCTAVE

• OCTAVE (Operationally Critical Threat, Asset and Vulnerability

Evaluation)
Fase 1
Fase 3
Vista de la Activos
Organización Amenazas Desarrollo del
Prácticas actuales Plan y de la Estrategia
Vulnerabilidades de la
organización
Cumplimiento
Planificación Riesgos
Estrategia de protección
Planes de atenuación

Fase 2
Vulnerabilidades
Vista Tecnológicas
Tecnológica

José Ángel Peña Ibarra

japi@alintec.net
 MAGERIT:
Metodología de análisis y gestión de riesgos de TI

MAGERIT 2
MINISTERIO DE
ADMINISTRACIÓN
PÚBLICA

José Ángel Peña Ibarra

japi@alintec.net
 MAGERIT

• MAGERIT inició con enfoque a las entidades

públicas en España, pero se recomienda para
todo tipo de organizaciones
• Tiene varios documentos:
– Método
– Cátalogo
– Técnicas
• Se cuenta con una herramienta computarizada:
– PILAR

José Ángel Peña Ibarra

japi@alintec.net
José Ángel Peña Ibarra
japi@alintec.net
José Ángel Peña Ibarra
japi@alintec.net
Publicado por ISACA

José Ángel Peña Ibarra

japi@alintec.net
Fuente: Risk IT publicado José Ángel Peña Ibarra
por ISACA / ITGI japi@alintec.net
Fuente: Risk IT publicado José Ángel Peña Ibarra
por ISACA / ITGI japi@alintec.net
El Framework de Risk IT
Tiene 3 dominios:

Fuente: Risk IT publicado José Ángel Peña Ibarra

por ISACA / ITGI japi@alintec.net
Fuente: Risk IT publicado José Ángel Peña Ibarra
por ISACA / ITGI japi@alintec.net
Fuente: Risk IT publicado José Ángel Peña Ibarra
por ISACA / ITGI japi@alintec.net
 Análisis de Riesgo

Factores de Riesgo

Fuente: Risk IT publicado Respuesta José Ángel Peña Ibarra

por ISACA / ITGI
al Riesgo japi@alintec.net
• Entonces, ¿Qué uso para el análisis de
riesgos?......

• ¿Qué le dará más valor a mi

organización?

José Ángel Peña Ibarra

japi@alintec.net
¡Gracias!
José Ángel Peña Ibarra
Vicepresidente Internacional ISACA
japi@alintec.net

José Ángel Peña Ibarra

japi@alintec.net