UNIVERSIDAD CATOLICA SANTA MARIA LA ANTIGUA

Modulo # 3

Gestion de Riesgos en Seguridad Informatica

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar
el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.

En su forma general contiene cuatro fases

 Análisis: Determina los componentes de un sistema que requiere protección, sus
vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el
resultado de revelar su grado de riesgo.
 Clasificación: Determina si los riesgos encontrados y los riesgos restantes son
aceptables.
 Reducción: Define e implementa las medidas de protección. Además sensibiliza y
capacita los usuarios conforme a las medidas.
 Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las
medidas, para determinar y ajustar las medidas deficientes y sanciona el
incumplimiento.
Todo el proceso está basado en las llamadas políticas de seguridad, normas y
reglas institucionales, que forman el marco operativo del proceso, con el propósito
de
 Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando
las amenazas con el resultado de reducir el riesgo.
 Orientar el funcionamiento organizativo y funcional.
 Garantizar comportamiento homogéneo.
 Garantizar corrección de conductas o prácticas que nos hacen vulnerables.
 Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

ANALISIS Y MANEJO DE RIESGOS

El análisis de riesgos informáticos es un proceso que comprende la

identificación de activos informáticos, sus vulnerabilidades y amenazas a los que
se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de
las mismas, a fin de determinar los controles adecuados para aceptar, disminuir,
transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas

financieras o administrativas a una empresa u organización, se tiene la necesidad
de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta
mediante la aplicación de controles. Dichos controles, para que sean efectivos,
deben ser implementados en conjunto formando una arquitectura de seguridad
con la finalidad de preservar las propiedades de confidencialidad, integridad y
disponibilidad de los recursos objetos de riesgo.

Proceso de análisis de riesgos informáticos

El proceso de análisis de riesgo genera habitualmente un documento al cual se le

conoce como matriz de riesgo. En este documento se muestran los elementos
identificados, la manera en que se relacionan y los cálculos realizados. Este
análisis de riesgo es indispensable para lograr una correcta administración del
riesgo. La administración del riesgo hace referencia a la gestión de los recursos de
la organización. Existen diferentes tipos de riesgos como el riesgo residual y
riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y
gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
 RT (Riesgo Total) = Probabilidad x Impacto Promedio

A partir de esta fórmula determinaremos su tratamiento y después de aplicar los

controles podremos obtener el riesgo residual.

Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye

las siguientes actividades y acciones:

 Identificación de los activos.

 Identificación de los requisitos legales y de negocio
que son relevantes para la identificación de los
activos.
 Valoración de los activos identificados, teniendo en
cuenta los requisitos legales y de negocio
identificados anteriormente, y el impacto de una
pérdida de confidencialidad, integridad y
disponibilidad.
 Identificación de las amenazas y vulnerabilidades
importantes para los activos identificados.
 Evaluación del riesgo, de las amenazas y las
vulnerabilidades a ocurrir.
 Cálculo del riesgo.
 Evaluación de los riesgos frente a una escala de
riesgo preestablecidos.

Después de efectuar el análisis debemos determinar las acciones a tomar

respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:

 Controlar el riesgo.- Fortalecer los controles

existentes y/o agregar nuevos controles.
 Eliminar el riesgo.- Eliminar el activo relacionado y
con ello se elimina el riesgo.
 Compartir el riesgo.- Mediante acuerdos contractuales
parte del riesgo se traspasa a un tercero.
  Aceptar el riesgo.- Se determina que el nivel de
exposición es adecuado y por lo tanto se acepta.

Consideraciones

No se olvide que en las empresas la seguridad comienza por dentro. Capacitando

al personal, creando normas basadas en estándares, analizando brechas y puntos
ciegos en la seguridad lógica y en la seguridad de sistemas de información.

Es fundamental la creación de escenarios de conflicto en forma continua

participando la gerencia de la empresa junto con un auditor en seguridad, a partir
de estos escenarios pueden lograrse medidas para evitar eventos de seguridad.

Regulaciones y normas que tratan los riesgos

Comunicación “A” 4609 del BCRA para entidades Financieras

• Requisitos mínimos de gestión, implementación y control de los riesgos

relacionados con tecnología informática y sistemas de información.

ISO/IEC 27001

• Especifica los requisitos necesarios para establecer, implantar, mantener y

mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)

ISO/IEC 27005

• Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la

Información en una Organización. Sin embargo, esta Norma no proporciona
ninguna metodología específica para el análisis y la gestión del riesgo de la
seguridad de la información.

Basilea II

• Estándar internacional que sirva de referencia a los reguladores bancarios, con

objeto de establecer los requerimientos de capital necesarios, para asegurar la
protección de las entidades frente a los riesgos financieros y operativos.

Ley Sarbanes Oxley (SOX)

• Impulsada por el gobierno norteamericano como respuesta a los mega fraudes
corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine
Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los
controles internos sobre reportes financieros.

PCI DSS

• Impulsada por las principales marcas de tarjetas de pago, este estándar busca
garantizar la seguridad de los datos de titulares de tarjetas de pago en su
procesado, almacenamiento y transmisión.

Metodologías de análisis de riesgos

 ITIL: Information Technology Infraestructure Library

“proporciona un planteamiento sistemático para la
provisión de servicios de TI con calidad”. (Jan van
Bon, 2008)
 COBIT 5: Significa (Objetivos de control para la
información y tecnologías relacionadas) es una
metodología publicada en 1996 por el Instituto de
Control de TI y la ISACA (Asociación de Auditoría y
Control de Sistemas de Información).
 ISO 31000: Esta normativa establece principio y guías
para diseñar, implementar mantener la gestión de los
riesgos en forma sistemática y de transparencia de
toda forma de riesgo, por ejemplo: financiera,
operativa, de mercadeo, de imagen, y de seguridad
de información.
 Citicus One: software comercial de Citicus,
implementa el método FIRM del Foro de Seguridad de
la Información;
 CRAMM: “CCTA Risk Assessment and Management
Methodology” fue originalmente desarrollado para uso
 del gobierno de UK pero ahora es propiedad de
Siemens;
 ISO TR 13335: fue el precursor de la ISO/IEC 27005;
 MAGERIT “Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información” está
disponible tanto en español como en inglés.
 OCTAVE: “Operationally Critical Threat, Asset, and
Vulnerability Evaluation” Metodología de Análisis y
Gestión de Riesgos desarrollada por el CERT;
 NIST SP 800-39 “Gestión de Riesgos de los Sistemas
de Información, una perspectiva organizacional”;
 NIST SP 800-30: Guía de Gestión de Riesgos de los
Sistemas de Tecnología de la Información, es gratuito;
 Mehari: Método de Gestión y Análisis de Riesgos
desarrollado por CLUSIF (Club de la Sécurité de
l'Information Français);
 AS/NZS: Norma de Gestión de Riesgos publicada
conjuntamente por Australia y Nueva Zelanda y
ampliamente utilizada en todo el mundo.

Herramientas comerciales

 GxSGSI: Herramienta de Análisis y Gestión de Riesgo

basada en Magerit y homologada por la Agencia
Europea de Seguridad de la Información (ENISA).1
 R-Box: Solución para la Gestión de la Seguridad de la
Información y cumplimiento de estándares. Módulo de
Análisis y Gestión de Riesgo.2
 Focal Point: plataforma para la gestión de riesgo
tecnológico y operacional. Soporta directrices
 regulatorias como MAAGTICSI, ISO 27001:2013,
entre otras. http://aluxit.com/soluciones.html

SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite

la gestión integral de la Seguridad de la Información siendo un sistema multimarco
(ISO 27001, Protección de datos, ENS, ISO 19001, etc), además de una
monitorización en tiempo real de la seguridad de la organización.

ESTRATEGIAS DE SEGURIDAD A NIVEL DE APLICACIÓN

Dentro de cualquier organización, sea esta pública o privada, el uso de la

tecnología informática es vital para la gestión ordinaria de ámbitos diversos. Un
factor alineado consecuentemente con el avance de las TIC que salvaguarda la
continuidad y consistencia de la información almacenada en los sistemas
informáticos es la SEGURIDAD.

Seguridad en mayúsculas que no debe descuidarse por la amenaza que suponen

actualmente las acciones cibercriminales. La seguridad informática bien
aplicada valdrá para dar continuidad a la gestión de administraciones u
organizaciones empresariales asegurando sus respectivos beneficios.

En muchas ocasiones se ve a la seguridad informática como una alternativa

tecnológica cuando debiera entenderse como un proceso más dentro de la
estructura de cualquier organización. De este modo podría:

 Definir políticas y procedimientos para salvaguardar la información.

 Contar con procedimientos de protección de activos informáticos.
 Identificar riesgos o errores en los métodos ofimáticos.
 Evaluar aplicaciones que puedan vulnerar las políticas de seguridad.
 Establecer controles de accesibilidad a la información sensible mediante
monitorización y auditorías internas y externas.
 Difundir y promover acciones formativas sobre seguridad informática en el entorno
de la organización.
 Etc.

Medidas básicas de seguridad informática

Por supuesto que a nivel usuario existen una serie de recomendaciones que
habitualmente son comunicadas como básicas medidas de seguridad informática:

1. Instalar un antivirus y mantenerlo actualizado.

2. No confiar en cualquier aplicación.
3. No abrir archivos adjuntos de correos desconocidos.
4. Mantener actualizado el sistema operativo.
5. Usar un firewall para proteger el PC.
Al proteger de forma directa los sistemas de información se logra indirectamente
proteger el trabajo y la productividad de las personas que conforman la
organización por lo que la aplicación de unas normas básicas ayuda a mantener la
operatividad sin fisuras.

Seguridad informática de nivel técnico

A nivel técnico se tiende a definir una estrategia de seguridad informática que:

1. Restrinja los privilegios administrativos.

2. Permita solo la ejecución de aplicaciones de software incluidas en listas
blancas.
3. Actualice de manera controlada el sistema operativo.
4. Mantenga una política de actualización de aplicaciones informáticas contra
vulnerabilidades mediante parches suministrados por fuentes de confianza.
5. Identifique funcionalidades o aplicaciones críticas con las políticas de seguridad
informática.
6. Mantenga y controle puntos de acceso público a la red Wi-Fi.
7. Elabore un plan de contingencia ante ataques informáticos.
8. Ayude mediante una continua formación acerca de herramientas de seguridad
informática, investigación sobre virus informáticos y estudios relacionados con
ataques a sistemas o redes informáticas.
9. Conserve y salvaguarde la información importante mediante una correcta
ejecución de backups.