Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Analisis de Riesgos PDF
Analisis de Riesgos PDF
Johana Sosa
27/01/2012
Contenido
Análisis de Riesgos Cuantitativo.............................................................................................................. 3
Análisis de Riesgos Cualitativo ............................................................................................................... 6
1. NIST............................................................................................................................................ 7
Guía de gestión de riesgo para los sistemas de Tecnologías de la Información. [2] ............................ 7
Evaluación de riesgos ...................................................................................................................... 7
2. SEI ............................................................................................................................................ 18
Introducción a OCTAVE Allegro: Mejora del proceso de evaluación de los riesgos de la seguridad
de la información. [4]..................................................................................................................... 19
3. DAFP ........................................................................................................................................ 21
Guía de Administración del Riesgo [6]........................................................................................... 21
4. CSAE ........................................................................................................................................ 31
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información. [8] ............................................................................................................................. 31
5. ISO/IEC 27005 .......................................................................................................................... 43
Tecnologías de la información – Técnicas de seguridad – Gestión de riesgo de seguridad de la
información. [10] ........................................................................................................................... 43
Metodologías seleccionadas ................................................................................................................... 49
Referencias ........................................................................................................................................ 50
Ilustraciones
A continuación se encuentran los pasos principales para llevar a cabo este análisis.
¿Qué daño físico puede ser una causa de amenaza y cuánto costaría?
¿Cuánta pérdida de productividad puede causar esa amenaza y cuánto podría costar?
¿Cuál es el costo de recuperación de esa amenaza?
¿Cuál es el valor de la pérdida si un dispositivo crítico fallara?
¿Cuál es la expectativa de una sola pérdida (SLE – siglas en inglés) para cada activo y para cada
amenaza?
La expectativa de una sola pérdida-SLE es una cantidad en dinero que es asignado a un evento que
representa la cantidad de perdida potencial de la organización si una amenaza se materializa. Se
calcula con la siguiente ecuación:
Expectativa de una sola pérdida (SLE) = Valor del activo x Factor de exposición (EF)
El factor de exposición (EF) representa el porcentaje de pérdida que una amenaza materializada
podría tener sobre un activo determinado
Se debe escoger las medidas correctivas que contrarresten cada amenaza, y por último se lleva a cabo
un análisis costo/beneficio de las contramedidas identificadas.
La siguiente tabla muestra cómo se deben guardar los resultados del análisis de riesgos realizado, y con
estos datos la organización puede tomar decisiones acertadas sobre qué amenazas se deben considerar
primero dependiendo de la gravedad de las mismas, la probabilidad de que ocurra, y cuánto se podría
perder si la amenaza se materializa. También podrá tener un aproximado de cuánto dinero debe gastar
para protegerse contra cada amenaza.
Todo este proceso permite que la organización tome buenas decisiones de negocio, en lugar de invertir en
controles y protección sin una comprensión clara de lo que se está realizando.
Evaluación de riesgos
La evaluación de riesgos es el primer proceso en la metodología de gestión de riesgos. Las organizaciones
utilizan la evaluación de riesgos para determinar el alcance de la amenaza potencial y el riesgo asociado
con un sistema de tecnología de la información a través del desarrollo del ciclo de vida del
sistema. El resultado de este proceso ayuda a identificar los controles adecuados para reducir o
eliminar los riesgos durante el proceso de mitigación de los mismos.
La metodología de evaluación de riesgos trabaja bajo nueve pasos principales, que se describen a
continuación
1. Caracterización del Sistema
2. Identificación de amenazas
3. Identificación de vulnerabilidades
4. Análisis de Control
5. Determinación de la probabilidad
6. Análisis de Impacto
7. Determinación de Riesgos
8. Recomendaciones de los controles
9. Documentación de Resultados
Los pasos 2, 3, 4 y 6 se pueden realizar en paralelo después de terminar el 1er paso. La siguiente figura
describe los pasos y las entradas y salidas de cada etapa.
Ilustración 2. Diagrama de flujo Metodología de evaluación de riesgos. [2]
Para un sistema informático en desarrollo, es necesario definir las principales normas de seguridad y
atributos previstos para el futuro sistema de TI.
Hay diferentes técnicas para obtener la información relevante al sistema de IT dentro de sus límites
operacionales
Salida: Caracterización del sistema de TI evaluados, una buena imagen del entorno del sistema de
tecnología de información, y la delimitación de los límites del sistema
2. Identificación de amenazas
Una amenaza es un hecho que puede producir un daño. Una vulnerabilidad es una debilidad en un
sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de
acceso y consistencia del sistema o de sus datos y aplicaciones.
Lo primero que se debe identificar son las fuentes de amenazas para ello se encuentran los siguientes
tipos.
Salida: Una lista de amenazas que contenga una lista de fuentes de amenaza que podría explotar las
vulnerabilidades del sistema
Otra forma de identificar las vulnerabilidades consiste en probar el sistema teniendo en cuenta la
criticidad de los recursos informáticos del sistema y su disponibilidad. Para estas pruebas se debe
considerar:
Herramientas automatizadas de escaneo de la vulnerabilidad: Se utiliza para explorar un grupo de
hosts o de una red que conoce los servicios vulnerables
Prueba y evaluación de Seguridad (ST & E): Se utiliza en la identificación de las vulnerabilidades
del sistema de TI durante el proceso de evaluación de riesgo. Incluye el desarrollo y ejecución de
un plan de prueba. El propósito de las pruebas del sistema de seguridad es probar la eficacia de
los controles de seguridad de un sistema de TI, ya que se han aplicado en un entorno operativo.
Prueba de penetración. Se utiliza para complementar el examen de los controles de seguridad y
asegurarse de que las diferentes facetas del sistema de TI están asegurados. Las pruebas de
penetración, cuando se emplea en el proceso de evaluación de riesgos, se puede utilizar para
evaluar la capacidad de un sistema informático para resistir los intentos deliberados para burlar la
seguridad del sistema. Su objetivo es poner a prueba el sistema de TI desde la perspectiva de una
fuente de amenaza y para identificar posibles fallos en los sistemas de protección sistemas de TI.
Por último dentro de este paso se debe desarrollar una lista de chequeo de requerimientos de
seguridad. que debe contener las normas de seguridad básicas que pueden ser utilizados para evaluar
de manera sistemática e identificar las vulnerabilidades de los, los procedimientos no automatizados,
los procesos y las transferencias de información asociado con un determinado sistema de TI en las
siguientes áreas de seguridad:
Seguridad de Gestión
Seguridad Operativa
Seguridad Técnica.
Salida: Lista de las vulnerabilidades del sistema que se pueden dar por las fuentes potencial de
amenazas
Controles preventivos: Inhiben los intentos de violar la política de seguridad, e incluyen por
ejemplo la ejecución de los controles de control de acceso, cifrado y autenticación.
Controles de detección: Advierten de violaciones o intento de violaciones de las políticas de
seguridad e incluyen controles tales como pistas de auditoría, los métodos de detección de
intrusos, y las sumas de comprobación.
Salida: Lista de los controles actuales o planeados usados para el sistema de TI para mitigar la
probabilidad de una vulnerabilidad en la que se ejerce y se reduce el impacto de un evento adverso
5. Determinación de la probabilidad
Para obtener una calificación de riesgo global que indica la probabilidad de que una vulnerabilidad
potencial puede materializarse dentro de la construcción del entorno de las amenazas asociadas, los
siguientes factores deben ser considerados:
Fuente de amenaza
Naturaleza de la vulnerabilidad
Existencia y eficacia de los controles actuales.
La probabilidad de que una vulnerabilidad potencial pueda suceder por una fuente de amenaza puede ser
definida como alto, medio o bajo.
6. Análisis de impacto
El siguiente paso importante en la medición de nivel de riesgos es determinar los efectos
adversos resultantes al potencializarse una amenaza. Antes de comenzar el análisis de impacto, es
necesario tener la información de:
Misión del sistema (por ejemplo, los procesos realizados por el sistema informático)
Criticidad del sistema y los datos (por ejemplo, el valor del sistema o de importancia
para una organización)
Sensibilidad del sistema y los datos.
Esta información puede ser obtenida a partir de la documentación existente de la organización, tales
como el informe del impacto del análisis de la misión o el informe de evaluación de criticidad de
activos.
La siguiente lista ofrece una breve descripción de cada objetivo de seguridad y su consecuencia (o
impacto) de los que no se cumplan:
Pérdida de integridad. La integridad del sistema y los datos se refiere a la exigencia de que
información sea protegida. Si la pérdida de la integridad del sistema o los datos no se
corrige, el uso continuado de los datos dañados podría dar lugar a inexactitudes, errores,
fraude o decisiones erróneas. Además, la violación de la integridad puede ser el primer paso
en un ataque exitoso contra la disponibilidad o confidencialidad del sistema. Por todas estas
razones, la pérdida de integridad reduce la garantía de un sistema informático.
Pérdida de la disponibilidad. Si algo crítico de un sistema de TI no está disponible para sus
usuarios finales, la misión de la organización puede verse afectada. Pérdida de funcionalidad
del sistema y la eficacia operativa, por ejemplo, puede resultar en pérdida de tiempo
productivo.
Pérdida de la confidencialidad. La confidencialidad del sistema y los datos se refieren a la
protección de información de su divulgación no autorizada. Este impacto puede ir desde la
puesta en peligro de seguridad nacional a la divulgación de la Ley de privacidad de los datos.
Algunos impactos tangibles se pueden medir cuantitativamente, como con la pérdida de ingresos, el
costo de la reparación de los sistemas, o el nivel de esfuerzo requerido para corregir los problemas
causados por una acción de amenaza exitosa.
Otros impactos (por ejemplo, la pérdida de la confianza del público, la pérdida de credibilidad, el
daño a una organización de interés) no se pueden medir en unidades específicas, pero puede ser
calificado o descrito en términos de alta, mediano y bajo impacto.
La evaluación del impacto puede hacerse de forma cualitativa y cuantitativa. La principal ventaja del
análisis del impacto cualitativo es la mejora en el tratamiento de las vulnerabilidades. La desventaja
del análisis cualitativo es que no proporciona mediciones específicas cuantificables de la magnitud
de los impactos, por lo tanto, hacer un análisis costo-beneficio de los controles recomendados es
difícil.
La principal ventaja de un análisis de impacto cuantitativo es que proporciona una medida de la
magnitud de los impactos, que pueden ser utilizados en el análisis costo-beneficio de los controles
recomendados. La desventaja es que, depende de los rangos numéricos utilizados para expresar la
medida, lo que requiere que el resultado sea interpretado de forma cualitativa. Algunos
factores adicionales que se deben considerar para determinar la magnitud del impacto son:
Escala de riesgo:
Alto: 50 – 100
Medio: 10 – 50
Bajo: 1 – 10
Probabilidad de Impacto
amenaza Bajo (10) Medio (50) Alto (100)
Alto (1.0) Bajo Bajo Bajo
10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100
Medio (0.5) Bajo Bajo Bajo
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Bajo (0.1) Bajo Bajo Bajo
10 x 0.1 = 1 50 x 0.1= 5 100 x 0.1 = 10
Tabla 4. Matriz nivel del riesgo. [2]
En la siguiente tabla se describen los niveles de riesgo. Esta escala de riesgo, con las calificaciones de
Alta, media y baja, representa el grado o nivel de riesgo a que un sistema informático, instalación o
procedimiento podría estar expuesto si una vulnerabilidad determinada se materializa. En la escala de
riesgo también se presentan acciones que las personas de la alta gerencia deben tomar para cada nivel de
riesgo.
Cabe señalar que no todos los controles recomendadas se pueden implementar para reducir las
pérdidas. Para determinar cuáles son los controles necesarios y apropiados se debe tener en cuenta:
9. Documentación de resultados.
Una vez que la evaluación del riesgo se ha completado, los resultados deben ser documentados en un
documento oficial.
Un informe de evaluación de riesgos es un informe de gestión que ayuda a la gerencia a tomar
decisiones sobre la política, el presupuesto de procedimiento y la gestión de cambios que se deben
tener en cuenta con el sistema operativo.
Salida: Reporte de la evaluación del riesgo que describe las amenazas y vulnerabilidades, medidas
del riesgo y provee recomendaciones para la implementación de los controles.
2. SEI
El Instituto de Ingeniería de software es un centro de investigación y de desarrollo de la realización de
investigaciones de ingeniería de software en las líneas de adquisición, la arquitectura y de productos,
mejora de procesos y medición del desempeño, seguridad y sistema de sistemas y la fiabilidad financiado
con fondos federales. [3]
Introducción a OCTAVE Allegro: Mejora del proceso de evaluación de los riesgos de la seguridad
de la información. [4]
Hay cuatro áreas de actividad que se lleva a cabo a través de ocho pasos de la Metodología de Octava
Allegro. Las áreas de actividad son:
Establecer los controladores, donde la organización desarrolla los criterios de medición de riesgos
que son consistentes con los conductores de la organización.
Los activos perfil, donde los bienes que son el foco de la evaluación de riesgos se identifican y se
perfila y los contenedores de los activos se identifican.
Identificar las amenazas, donde las amenazas a los activos-en el contexto de sus envases se
identifican y documentado a través de un proceso estructurado.
Identificar y mitigar los riesgos, donde los riesgos se identifican y analizan sobre la base de
información sobre amenazas, y estrategias de mitigación que hagan frente a esos riesgos.
Los resultados de cada paso en el proceso son capturados en una serie de hojas de trabajo que luego se
utilizan como insumos para el siguiente paso en el proceso. Los distintos pasos de la metodología se
describen con más detalle a continuación.
Las hojas de trabajo han sido diseñadas para que puedan ser traducibles fácilmente a otros formatos
electrónicos.
3. DAFP
Es el departamento administrativo de la función pública de la República de Colombia, que lidera la
modernización y el mejoramiento continuo de las instituciones públicas y el desarrollo de sus
servidores para afianzar la confianza en el estado. [5]
Identificación de riesgos
El proceso de la identificación del riesgo debe ser permanente e interactivo basado en el resultado del
análisis del Contexto Estratégico, en el proceso de planeación y debe partir de la claridad de los objetivos
estratégicos de la entidad para la obtención de resultados.
El Decreto 1599 de 2005 lo define como: Elemento de Control, que posibilita conocer los eventos
potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión,
estableciendo los agentes generadore2, las causas y los efectos de su ocurrencia.
La identificación de los riesgos se realiza a nivel del Componente de Direccionamiento Estratégico,
identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el
logro de los objetivos. Es la base del análisis de riesgos que permite avanzar hacia una adecuada
implementación de políticas que conduzcan a su control.
Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos, es a través de la
utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos,
definiendo en primera instancia las causas o factores de riesgo, tanto internos como externos, los riesgos,
presentando una descripción de cada uno de estos y finalmente definiendo los posibles efectos. Es
importante centrarse en los riesgos más significativos para la entidad relacionados con el desarrollo de los
procesos y los objetivos institucionales. Es allí donde, al igual que todos los servidores, la gerencia
pública adopta un papel proactivo en el sentido de visualizar en sus contextos estratégicos y misionales
los factores o eventos que pueden afectar el curso institucional, dada la especialidad temática que manejan
en cada sector o contexto socioeconómico.
Entender la importancia del manejo del riesgo implica conocer con más detalle los siguientes conceptos:
Proceso: Nombre del proceso
Objetivo del proceso: se debe transcribir el objetivo que se ha definido para el proceso al cual se
le están identificando los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal
desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.
Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores
de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen
la capacidad de originar un riesgo; se pueden clasificar en cinco categorías: personas, materiales,
Comités, instalaciones y entorno.
Descripción: se refiere a las características generales o las formas en que se observa o manifiesta
el riesgo identificado.
Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los
objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o
inmateriales con incidencias importantes tales como: daños físicos y los agentes generadores se
incluyen dentro de las causas del riesgo, en la metodología propuesta.
Fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y
de confianza, interrupción del servicio y daño ambiental.
PROCESO:
OBJETIVO DEL
CAUSAS RIESGO DESCRIPCIÓN EFECTOS
PROCESO
Durante el proceso de identificación del riesgo se recomienda hacer una clasificación de los mismos
teniendo en cuenta los siguientes conceptos:
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo
estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los
objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad
por parte de la alta gerencia.
Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como
técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información,
en la definición de los procesos, en la estructura de la entidad, la desarticulación entre
dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de
los compromisos institucionales.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y
transparencia en el manejo de los recursos, así como su interacción con las demás áreas
dependerá en gran parte el éxito o fracaso de toda entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.
Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología
disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de
la misión.
Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:
Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos
para la entidad.
Describir los riesgos identificados con sus características.
Precisar los efectos que los riesgos puedan ocasionar a la entidad.
El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus
consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de
riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información
obtenida en el formato de identificación de riesgos y la disponibilidad de datos históricos y aportes de los
servidores de la entidad.
El Decreto 1599 de 2005, establece: “Elemento de Control, que permite establecer la probabilidad de
ocurrencia de los eventos (riesgos) positivos y/o negativos y el impacto de sus consecuencias (efectos),
calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y
manejo.”
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad
e Impacto. Por la primera se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o
de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el
riesgo, aunque éste no se haya materializado. Por Impacto se entiende las consecuencias que puede
ocasionar a la organización la materialización del riesgo.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:
- La Calificación del Riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el
impacto que puede causar la materialización del riesgo. La primera representa el número de veces que el
riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la
magnitud de sus efectos.
- La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los criterios definidos
para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible distinguir entre los
riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las
acciones requeridas para su tratamiento.
Con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que
contempla un análisis cualitativo, que hace referencia a la utilización de formas descriptivas para
presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia
(probabilidad). Tomando las siguientes categorías:
Impacto:
Leve
Moderada
Catastrófica
Probabilidad
Alta
Media
Baja
Así mismo, presenta un análisis cuantitativo, que contempla valores numéricos que contribuyen a la
calidad en la exactitud de la calificación y evaluación de los riesgos.
Tanto para el impacto como para la probabilidad se han determinado valores múltiplos de 5. La forma en
la cual la probabilidad y el impacto son expresados y combinados en la matriz que provee la evaluación
del riesgo.
Probabilidad Valor
Alta 3 15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
moderado. importante inaceptable
Evitar el riesgo Reducir el riesgo Evitar el riesgo
Evitar el riesgo Reducir el riesgo
Compartir o transferir Compartir o transferir
Media 2 10 20 40
Zona de riesgo Zona de riesgo Zona de riesgo
tolerable. moderado importante
Asumir el riesgo Reducir el riesgo Reducir el riesgo
Reducir el riesgo Evitar el riesgo Evitar el riesgo
Compartir o transferir Compartir o transferir
Baja 1 5 10 20
Zona de riesgo Zona de riesgo tolerable Zona de riesgo
aceptable Reducir el riesgo moderado
Asumir el riesgo Compartir o transferir Reducir el riesgo
Compartir o transferir
Impacto Leve moderado Catastrófico
Valor 5 10 20
Tabla 7. Matriz de clasificación, evaluación y respuesta a los riesgos. [6]
3. Calificación del Riesgo
Se debe calificar cada uno de los Riesgos según la matriz de acuerdo a las siguientes especificaciones:
Probabilidad Alta se califica con 3, Probabilidad Media con 2 y Probabilidad Baja con 1, de acuerdo al
número de veces que se presenta o puede presentarse el riesgo. Y el Impacto si es Leve con 5, si es
Moderado con 10 y si es Catastrófico con 20.
Ejemplo
Un ejemplo de la determinación del nivel del riesgo y del grado de exposición al mismo:
Riesgo: Pérdida de información debido a la entrada de un virus en la red de información de la
entidad.
Probabilidad: Alta - 3, porque todos los computadores de la entidad están conectados a la red de
Internet e Intranet.
Impacto: Alto - 20, porque la pérdida de información conllevaría consecuencias graves para el
quehacer de la entidad.
Evaluación del Riesgo: de acuerdo a la matriz de calificación y evaluación sería de 60 y se
encontraría en la zona de riesgo inaceptable.
Controles existentes:
- Se hace backup o copias de seguridad, semanalmente. Control Preventivo
- Se vacunan todos los programas y equipos, diariamente. Control Preventivo
- Se guarda la información más relevante fuera de la red en un centro de información. Control Preventivo
- ¿Los controles están documentados? SI
- ¿Se está aplicando en la actualidad? SI
- ¿Es efectivo para minimizar el riesgo? SI
De acuerdo a la tabla se entiende que la valoración del riesgo es: Media y se ubica en la zona moderada
10 debido a la efectividad de los controles existentes, ya que los dos primeros controles apuntan a la
disminuir la probabilidad y el último a disminuir el impacto, por lo tanto las acciones que se implementen
entrarán a reforzar los controles establecidos y a valorar la efectividad de los mismos.
Se sugiere elaborar el mapa de riesgos por procesos al final esta etapa, ver el capítulo de Políticas de
Riesgos.
Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo llega a ser en vano, si
no culmina con una adecuada política de manejo y control de los mismos.
Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:
- Identificación de los controles existentes para los riesgos identificados y analizados.
- Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluación del
riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la
entidad en caso de materializarse.
- Elaborar el mapa de riesgos para cada proceso.
Riesgo Impacto Probabilidad Evaluación Controles Valoración Opciones Acciones Responsables Cronograma Indicador
Riesgo existentes Riesgo manejo
4. CSAE
El Consejo Superior de Administración Electrónica es el órgano colegiado adscrito al Ministerio de la
Presidencia, encargado de la preparación, la elaboración, el desarrollo y la aplicación de la política y
estrategia del Gobierno en materia de tecnologías de la información, así como del impulso e implantación
de la Administración electrónica en la Administración General del Estado [7]
Tipos de activos
No todos los activos son de la misma especie. Dependiendo del tipo de activo, las amenazas y las
salvaguardas son diferentes.
Si el sistema maneja datos de carácter personal, estos suelen ser importantes por sí mismos y requerir
una serie de salvaguardas frecuentemente reguladas por ley. En estos activos interesa determinar qué
tratamiento hay que imponerles. El hecho de que un dato sea de carácter personal impacta sobre
todos los activos involucrados en su tratamiento y custodia.
Algo similar ocurre con los datos sometidos a una clasificación de confidencialidad. Cuando se dice
que un cierto informe está clasificado como “reservado”, de forma que las copias están numeradas,
sólo pueden llegar a ciertas personas, no deben salir del recinto y deben ser destruidas
concienzudamente, etc. se están imponiendo una serie de salvaguardas porque lo ordena el
reglamento, sectorial o específico de la Organización.
Dependencias
Los activos más llamativos suelen ser los datos y los servicios; pero estos activos dependen de otros
activos más prosaicos como pueden ser los equipos, las comunicaciones o las frecuentemente
olvidadas personas que trabajan con aquellos. Por ello aparece como importante el concepto de
“dependencias entre activos” o la medida en que un activo superior se vería afectado por un incidente
de seguridad en un activo inferior.
Se dice que un “activo superior” depende de otro “activo inferior” cuando las necesidades de
seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras
palabras, cuando la materialización de una amenaza en el activo inferior tiene como consecuencia un
perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son
los pilares en los que se apoya la seguridad de los activos superiores.
Aunque en cada caso hay que adaptarse a la Organización objeto del análisis, con frecuencia se
puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las
inferiores:
capa 1: el entorno: activos que se precisan para garantizar las siguientes capas
o equipamiento y suministros: energía, climatización, comunicaciones
o personal: de dirección, de operación, de desarrollo, etc.
o otros: edificios, mobiliario, etc.
capa 2: el sistema de información propiamente dicho
o equipos informáticos (hardware)
o aplicaciones (software)
o comunicaciones
o soportes de información: discos, cintas, etc.
capa 3: la información
o datos
o meta-datos: estructuras, índices, claves de cifra, etc.
capa 4: las funciones de la Organización, que justifican la existencia del sistema de
información y le dan finalidad
o objetivos y misión
o bienes y servicios producidos
capa 5: otros activos
o credibilidad o buena imagen
o conocimiento acumulado
o independencia de criterio o actuación
o intimidad de las personas
o integridad física de las personas
Valoración
No se está hablando de lo que cuestan las cosas, sino de lo que valen. Si algo no vale para nada,
prescíndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo
que hay que averiguar pues eso es lo que hay que proteger.
El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema
de dependencias, acumulan el valor de los activos que se apoyan en ellos.
El valor nuclear suele estar en la información (o datos) que el sistema maneja, quedando los demás
activos subordinados a las necesidades de explotación y protección de la información. Por otra parte,
los sistemas de información explotan los datos para proporcionar servicios, internos a la
Organización o destinados a terceros, apareciendo una serie de datos necesarios para prestar un
servicio. Sin entrar en detalles técnicos de cómo se hacen las cosas, el conjunto de datos y servicios
finales permite caracterizar funcionalmente una organización. Las dependencias entre activos
permiten relacionar los demás activos con datos y servicios.
Dimensiones
Autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada
cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos
(autenticidad de quien accede a los datos para escribir o, simplemente, consultar)
Confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es
típica de datos.
Integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es
típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso,
faltar datos.
Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es
típica de los servicios.
Trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal
servicio? O sea, ¿quién hace qué y cuándo?
Trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y
qué hace con ellos?
Los aspectos de autenticidad y trazabilidad de los datos son críticos para satisfacer medidas
reglamentarias sobre ficheros que contengan datos de carácter personal.
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de
niveles). Los criterios más importantes a respetar son:
Todos estos criterios se satisfacen con valoraciones económicas (coste dinerario requerido para
“curar” el activo) y es frecuente la tentación de ponerle precio a todo. Si se consigue, excelente.
Incluso es fácil ponerle precio a los aspectos más tangibles (equipamiento, horas de trabajo, etc.);
pero al entrar en valoraciones más abstractas (intangibles como la credibilidad de la Organización) la
valoración económica exacta puede ser escurridiza y motivo de agrias disputas entre expertos.
Valoración cualitativa
Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un
orden relativo respecto de los demás. Es frecuente plantear estas escalas como “órdenes de
magnitud” y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo. La limitación
de las valoraciones cualitativas es que no permiten comparar valores más allá de su orden relativo.
No se pueden sumar valores.
Valoración cuantitativa
Las valoraciones numéricas absolutas cuestan mucho esfuerzo; pero no adolecen de los problemas de
las valoraciones cualitativas. Sumar valores numéricos es absolutamente “natural” y la interpretación
de las sumas no es nunca motivo de controversia.
Casi todas las dimensiones mencionadas anteriormente permiten una valoración simple, cualitativa o
cuantitativa. Pero hay una excepción, la disponibilidad.
No es lo mismo interrumpir un servicio una hora o un día o un mes. Puede que una hora de detención
sea irrelevante, mientras que un día sin servicio causa un daño moderado; pero un mes detenido
suponga la terminación de la actividad. Y lo malo es que no existe proporcionalidad entre el tiempo
de interrupción y las consecuencias.
En consecuencia, para valorar la [interrupción de la] disponibilidad de un activo hay que usar una
estructura más compleja que se puede resumir en algún gráfico como el siguiente:
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las
amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a
nuestros activos y causar un daño.
No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de
activo y lo que le podría ocurrir.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable
es el activo, en dos sentidos:
La degradación se suele caracterizar como una fracción del valor del activo y así aparecen
expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña
fracción”. Cuando las amenazas no son intencionales, probablemente baste conocer la fracción
físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde.
Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el
atacante puede causar muchísimo daño de forma selectiva.
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede ser de terribles
consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy
bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable.
La frecuencia se modela como una tasa anual de ocurrencia, siendo valores típicos
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
En los pasos anteriores no se han tomado en consideración las salvaguardas desplegadas. Se miden,
por tanto, los impactos y riesgos a que estarían expuestos los activos si no se protegieran en absoluto.
En la práctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que
ocurriría si se retiraran las salvaguardas presentes.
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que
pretenden conjurar. La salvaguarda ideal es 100% eficaz, lo que implica que:
Es teóricamente idónea
Está perfectamente desplegada, configurada y mantenida
Se emplea siempre
Existen procedimientos claros de uso normal y en caso de incidencias
Los usuarios están formados y concienciados
Existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que están de adorno y el 100% para aquellas que son perfectas,
se estimará un grado de eficacia real en cada caso concreto.
Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una
amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las
amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. La única consideración
que queda hacer es relativa a las dependencias entre activos. Es frecuente que el valor del sistema de
información se centre en los servicios que presta y los datos que maneja, al tiempo que las amenazas
suelen materializarse en los medios.
Impacto acumulado
Su valor acumulado (el propio mas el acumulado de los activos que dependen de él)
Las amenazas a que está expuesto
El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor acumulado y de la degradación causada.
El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de
información, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo:
protección de los equipos, copias de respaldo, etc.
Impacto repercutido
Su valor propio
Las amenazas a que están expuestos los activos de los que depende
El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor propio y de la degradación causada.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado.
El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una
presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos:
aceptar un cierto nivel de riesgo.
Los párrafos anteriores determinan el impacto que sobre un activo tendría una amenaza en una cierta
dimensión. Estos impactos singulares pueden agregarse bajo ciertas condiciones:
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de
materialización) de la amenaza
Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las
amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de
ocurrencia.
Riesgo acumulado
El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor acumulado, la degradación causada y la frecuencia de la
amenaza.
El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de información,
permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: protección de los
equipos, copias de respaldo, etc.
Riesgo repercutido
El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor propio, la degradación causada y la frecuencia de la
amenaza.
El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una
presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos:
aceptar un cierto nivel de riesgo.
Agregación de riesgos
Los párrafos anteriores determinan el riesgo que sobre un activo tendría una amenaza en una cierta
dimensión. Estos riesgos singulares pueden agregarse bajo ciertas condiciones:
Con el objeto de organizar la presentación, se tratan primero los pasos 1, 2, 4 y 5, obviando el paso 3, de
forma que las estimaciones de impacto y riesgo sean “potenciales”: caso de que no hubiera salvaguarda
alguna desplegada. Una vez obtenido este escenario teórico, se incorporan las salvaguardas del paso 3,
derivando estimaciones realistas de impacto y riesgo.
5. ISO/IEC 27005
Es el mayor desarrollador mundial y editor de Normas Internacionales. ISO es una red de los institutos de
normas nacionales de 162 países, un miembro por país, con una Secretaría Central en Ginebra, Suiza, que
coordina el sistema. [9]
Los pasos que se deben realizar para la estimación del riesgo se explican a continuación.
Guía de gestión de riesgo para los sistemas de Tecnologías de la Información. NIST: El propósito
es proveer una guía que desarrolle un programa de administración de riesgos efectivo y que ayude
a las organizaciones a manejar mejor las tecnologías de información relacionadas con la gestión
de los riesgos
MAGERIT V2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información:
Es un método formal para investigar los riesgos que soportan los Sistemas de Información y para
recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. Tiene los
siguientes puntos a favor [11].
Está reconocida por ENISA (European Network and Information Security Agency)
Sirve a las organizaciones que trabajen con información digital y sistemas informáticos.
Permite saber cuánto valor está en juego y ayuda a protegerlo.
Persigue una aproximación metódica que no deja lugar a la improvisación, ni una
dependencia de la arbitrariedad del analista.
Se eligieron estas metodologías por su reconocimiento a nivel mundial que lograron al encargarse de
cubrir aspectos relacionados con la seguridad de la información y que sirven de apoyo para desarrollar
políticas, controles y procedimientos. Otra de las razones fueron las organizaciones responsables de esas
metodologías, ya que son organizaciones con experiencia en lo que hacen.
Referencias
[1] http://www.nist.gov/index.html
[2] Guía de gestión de riesgo para los sistemas de Tecnologías de la Información. NIST.
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
[3] http://www.sei.cmu.edu/
[4] Introducción a OCTAVE Allegro: Mejora del proceso de evaluación de los riesgos de la seguridad
de la información. Alberts, Christopher J. & Dorofee, Audrey J. OCTAVE Criteria V2.0 (CMU/SEI-
2001-TR-016, ADA3399229). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon
University, 2001. http://www.sei.cmu.edu/publications/documents/01.reports/01tr016.html.
http://www.sei.cmu.edu/library/abstracts/reports/07tr012.cfm?DCSext.abstractsource=SearchResults
[5] http://portal.dafp.gov.co:7778/portal/page/portal/home/quienes_somos/mision_vision
[7] [http://www.csi.map.es/csi/nuevo/csae_1.htm]
[8] MAGERIT V2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
[9] http://www.iso.org/iso
[11]
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es
&iniciativa=184
[12] http://www.27000.org/iso-27005.htm
[13] CISSP - Certified Information Systems Security Professional. All in one exam guide. 4th Edition.
McGraw-Hill. Nov. 2007.