Está en la página 1de 29

Herramienta para la

gestión del riesgo


Logros de la Sesión

Al finalizar la sesión, el estudiante


analiza y comprende la utilidad y el
alcance de las herramientas para la
gestión de riesgos según la norma
ISO/IEC 27002.
¿QUÉ ES EL ISO/IEC 27002?

ISO: Internacional Organization for Standardization


IEC: International Electro-technical Commission
ISO/IEC 27002:2013 Tecnologías de la Información – Técnicas
de Seguridad – Código de prácticas para los controles de
Seguridad de la Información (anteriormente ISO/IEC
27002:2005)
¿QUÉ ES LA SEGURIDAD DE LA
INFORMACIÓN?

Preservación de la Confidencialidad,
Integridad y Disponibilidad de la
Información; adicionalmente, puede
abarcar otras propiedades, como la
autenticidad, la responsabilidad, el no
repudio y la fiabilidad.
¿QUÉ ES LA SEGURIDAD DE LA
INFORMACIÓN?

La Seguridad de la Información involucra la


definición, implementación, mantenimiento y
evaluación de un sistema de medidas
coherente que asegure la disponibilidad,
integridad y confidencialidad de la provisión
de la información, sea manual o
computarizada.
SISTEMA DE INFORMACIÓN
TECNOLOGÍA DE INFORMACIÓN
VALOR DE LA INFORMACIÓN

El valor de la información está determinada a través del valor


que el receptor otorga a la misma.

El valor de la información traspasa las palabras escritas, los


números y las imágenes: el conocimiento, los conceptos, las
ideas y las marcas son ejemplos de formas intangibles de
información.
VALOR PARA EL NEGOCIO

La Seguridad de la Información provee garantía a los Procesos


del Negocio aplicando los Controles de Seguridad apropiados
en todas las áreas de TI y mediante la gestión de Riesgo de TI
con el Proceso de Gestión de Riesgo Corporativo y Comercial;
y Directrices.
FIABILIDAD DE LA INFORMACIÓN

La Fiabilidad de la Información consta de tres aspectos:

 Confidencialidad
 Integridad
 Disponibilidad
CONFIDENCIALIDAD

Confidencialidad es la propiedad de la
información por la que se mantiene
inaccesible y no se revela a individuos,
entidades o procesos no autorizados.
INTEGRIDAD
Integridad es la propiedad de exactitud y completitud de la
información.

Las características son:

La exactitud de la información
La completitud de la información
DISPONIBILIDAD
Disponibilidad es la propiedad de la información de ser
accesible y estar lista para su uso a demanda de una entidad
autorizada.

Las características de Disponibilidad son:


Línea de Tiempo: El Sistema de información se encuentra
disponible cuando sea necesario.
Continuidad: El personal es capaz de continuar trabajando, en
el caso que ocurra algún fallo.
Fuerza: Hay suficiente capacidad la cual permita que todos
trabajen al mismo tiempo en el Sistema.
RIESGOS Y AMENAZAS
¿Qué es una amenaza?

Una causa potencial de un incidente no deseado, el cual puede


ocasionar daño a un Sistema o a una organización.

 En el proceso de Seguridad de la Información, efectos no deseados


(amenazas) son identificados.

 En la Seguridad de la Información se determina si se tiene que realizar


alguna acción para evitar estos efectos.
RIESGOS Y AMENAZAS
¿Qué es riesgo?

Riesgo: Efecto de la incertidumbre sobre la consecución de los


objetivos.

Riesgo:
 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.
 La incertidumbre es el estado, incluso parcial, de deficiencia en la
información relativa a la comprensión o al conocimiento de un suceso, de
sus consecuencias o de su probabilidad.
ANÁLISIS DE RIESGOS
Análisis de Riesgos

Análisis de Riesgos: Proceso que permite comprender la


naturaleza del riesgo y determinar el nivel de riesgo.

 El análisis del riesgo proporciona las bases para la evaluación del riesgo
y para tomar las decisiones relativas al tratamiento del riesgo.
 El análisis del riesgo incluye la estimación del riesgo.

Nota: Los Riesgos tienen dueños que son la persona o entidad que
tiene la responsabilidad y autoridad para gestionar un riesgo.
ANÁLISIS DE RIESGOS

Cuando una amenaza se materializa, surge un riesgo para la


organización. Asimismo, tanto la evaluación de la gestión y la magnitud
del riesgo determinan si las medidas se deben ejecutar con la finalidad
de minimizar el riesgo y lo que pueda suceder.
ANÁLISIS DE RIESGOS

Análisis de Riesgos:
Una herramienta para clarificar cuales son las Amenazas relevantes para los
Procesos Operativos y para identificar los Riesgos asociados. Entonces se
puede determinar el nivel de seguridad apropiado, junto con las medidas de
seguridad apropiadas.
ANÁLISIS DE RIESGOS
Análisis de Riesgos:

Objetivos:
1.- Identificar Activos y su Valor.

2.- Determinar Vulnerabilidades y Amenazas.

3.- Determinar el Riesgo resultante de la materialización de


Amenazas puedan interrumpir la ejecución del Proceso
Operativo.

4.- Determinar un balance entre los costos de un incidente y los


costos de una Medida o Control de Seguridad.
TIPOS DE ANÁLISIS DE RIESGOS
Tipos de Análisis de Riesgos:

Análisis de Riesgos Cuantitativo

 Pretende calcular el Valor del Riesgo basado en el nivel de la pérdida


financiera y la probabilidad que una amenaza se convierta en un
Incidente de Seguridad de la Información.
 Se determina el valor de cada elemento dentro de los Procesos
Operativos.
 Estos Valores pueden estar compuestos por los costos de las
Medidas de Seguridad de la Información, al igual que el Valor de la
propiedad por sí misma, incluyendo, instalaciones, hardware,
software, información e impacto en el negocio.
 Un análisis de Riegos puramente cuantitativo es prácticamente
imposible.
TIPOS DE ANÁLISIS DE RIESGOS
Análisis de Riesgos Cualitativo
 Basados en escenarios y situaciones.
 La probabilidad que una Amenaza se transforme en realidad son
examinadas bajo una percepción personal.
 El análisis luego examina el Proceso Operativo con el que se
relaciona la amenaza y las Medidas de Seguridad de l Información
que ya se han tomado.
 Todo esto conlleva a una visión subjetiva de las posibles Amenazas.
 Medidas son tomadas subsecuentemente para minimizar los Riesgos
de Seguridad de la Información.
 El mejor resultado es logrado llevando a cabo el análisis en una
sesión de grupo ya que estas llevan a una discusión que evita que
predomine un solo punto de vista de una persona o departamento.
TIPOS DE MEDIDAS DE SEGURIDAD
Tipos de Medidas de Seguridad:

 Medidas Preventivas: Orientado a prevenir Incidentes de Seguridad.


 Medidas Detectivas: Orientados a detectar Incidentes de Seguridad.
 Medidas Represivas: Orientado a detener las consecuencias de
Incidentes de Seguridad.
 Medidas Correctivas: Orientado a recuperarse del daño causado por
Incidentes de Seguridad.
 Compra de un Seguro: Orientado a comprar seguros contra ciertos
Incidentes de Seguridad porque implementar las Medidas necesarias
puede resultar muy costosas.
TIPOS DE MEDIDAS DE SEGURIDAD
Tipos de Medidas de Seguridad:
TIPOS DE AMENAZAS
Tipos de Amenazas:
1) Amenazas Humanas:
 Intencional
Hacking, daños a propiedad, destruir e –mails después de ser
despedido.
 No Intencional
Borrar datos por error y descuidadamente confirmar la operación.

2) Ingeniería Social
Engañar personas para que provean información sensible
voluntariamente: phishing

3) Amenazas no Humanas
Rayos, fuego/incendio, inundaciones, huracanes, tornados,
etc.
TIPOS DE ESTRATEGIAS DE RIESGOS
Tipos de Estrategias de Riesgos:
1) Asumir Riesgos:
Ciertos riesgos son aceptados:
• Las Medidas de Seguridad son muy costosas.
• Las Medidas de Seguridad exceden el daño posible.
• Las Medidas de Seguridad tomadas son represivas por naturaleza.
2) Neutralizar Riesgos
Los resultados de las Medidas de Seguridad tomadas son
• Las Amenazas ya no ocurren
• El daño resultante es minimizado
• Las Medidas de Seguridad tomadas son una combinación de Preventivas,
Detectivas y Represivas.
3) Evitar Riesgos
• Las Medidas de Seguridad tomadas son tales que la Amenaza es neutralizada
hasta el punto que evita que se convierta en un incidente.
Ejemplo: La adición de un nuevo software el cual hace que los errores en el software
viejo ya no sea una Amenaza.
TRATAMIENTO DE RIESGOS DE SI
Las opciones posibles para el tratamiento de Riesgos
incluyen:

a) Aplicar controles apropiados para reducir los Riesgos


b) Aceptando de manera objetiva, otorgando así una clara
satisfacción.
c) Política Organizacional y Criterios para Aceptación de
Riesgos (metodología).
d) Evitar Riesgos al no permitir acciones puedan causar que
estos ocurran.
e) Transferir los Riesgos asociados a otras partes, ejemplo:
Aseguradoras o Suministradores.
TRATAMIENTO DE RIESGOS DE SI
Seleccionando controles:

a) Los controles se pueden seleccionar a partir de esta norma


o de otros conjuntos de controles, o bien se pueden diseñar
nuevos controles para cumplir con las necesidades
específicas según sea necesario.
b) La selección de los controles depende de las decisiones
organizacionales en base a los criterios para la aceptación
de riesgos, las opciones de tratamiento de riesgos y el
enfoque de administración general de riesgos que se aplica
a la organización.
c) Algunos de los controles de esta norma se pueden
considerar como principios guía para la administración de la
SI y se pueden aplicar a la mayoría de las organizaciones.
TRATAMIENTO DE RIESGOS DE SI
Los controles deberían asegurar que los Riesgos son
reducidos a un nivel aceptable tomando en consideración:

a) Requerimientos y restricciones de legislación y regulación


nacional e internacional.
b) Objetivos Organizacionales
c) Limitaciones y Requisitos operativos.
d) Costo de implementación y operación en relación a la
reducción de los Riesgos, y a que sigan siendo
proporcionales a los requerimientos y restricciones de la
organización.
e) La necesidad de balancear la inversión en implementación
y operación de controles contra el daño que pueda
derivarse de fallos de seguridad.
¿QUÉ APRENDIMOS?
 Los componentes de la Seguridad de la Información:
 Confidencialidad
 Integridad
 Disponibilidad

 Los tipos de Análisis de Riesgos.


 Los distintos tipos de Amenazas y como tratar con ellas.
 Las Estrategias de Riesgos disponibles.
 Las Medidas de Seguridad que se puedan implementar.
¿Cuáles son las potenciales amenazas a
la información dentro de su
organización?