SEGURIDAD EMPRESARIAL

Semana 5:

Planificación: Introducción al Análisis de Riesgos.

Matriz de Análisis de Riesgos de Seguridad

Mg. Erik González M.

 LOGRO DE LA UNIDAD

Al finalizar la unidad, el estudiante, continúa

planificando, luego ejecuta los controles del sistema de
seguridad de información e identifica los elementos
para verificar según la ISO27001, de manera
secuencial y coherente.
 LOGRO DE LA SESION

El alumno aprenderá como analizar y gestionar el riesgo así

como debe de tratar los riesgos evaluando las situaciones a
las que se enfrenta realizando una auditoria y acreditación
del riesgo en sistemas
 ¿RIESGOS?
Pero si nunca paso nada!!.
Esto no real.

Lo que sucede es que hoy sabemos muy poco.

La empresa necesita contar con información sobre la cual tomar decisiones a los
efectos de establecer controles necesarios y eficaces.
 Escalamiento de privilegios
Password cracking
Fraudes informáticos
Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados

Servicios de log inexistentes o que no son chequeados

Denegación de servicio Backups inexistentes

Destrucción de equipamiento
Últimos parches no instalados
Instalaciones default
Desactualización Keylogging Port scanning

5 Hacking de Centrales Telefónicas

Más Amenazas!!

Spamming
Intercepción y modificación y violación de e-mails
Violación de contraseñas
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones
empleados deshonestos
Ingeniería social
Mails anónimos con agresiones
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms

Propiedad de la información
Acceso indebido a documentos impresos
Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
Falsificación de información wireless
Agujeros de seguridad de redes conectadas
6 para terceros
 Vulnerabilidades Comunes

• Inadecuado compromiso de la dirección.

• Personal inadecuadamente capacitado y concientizado.
• Inadecuada asignación de responsabilidades.
• Ausencia de políticas/ procedimientos.
• Ausencia de controles
– (físicos/lógicos)
– (disuasivos/preventivos/detectivos/correctivos)

• Ausencia de reportes de incidentes y vulnerabilidades.

• Inadecuado seguimiento y monitoreo de los controles.

7
 ¿Seguridad de la Información ?

• La información es un activo que como otros activos

importantes tiene valor y requiere en consecuencia una
protección adecuada.

• La información puede estar:

• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.

• Debe protegerse adecuadamente cualquiera que sea la

forma que tome o los medios por los que se comparte o
almacene.

8
 ¿Seguridad de la Información ?
• La seguridad de la información se caracteriza aquí como
la preservación de:

– su confidencialidad, asegurando que sólo quienes

estén autorizados pueden acceder a la información;

– su integridad, asegurando que la información y sus

métodos de proceso son exactos y completos.

– su disponibilidad, asegurando que los usuarios

autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran.

9
 Que señala la Norma?

6.1.1 Generalidades

Cuando se planifica para el sistema de gestión

de seguridad de información, la organización
debe considerar los asuntos referidos en el
numeral 4.1 y los requisitos referidos en el
numeral 4.2 y determinar los riesgos y
oportunidades que necesitan ser tratados para:

a) Asegurar que el SGSI pueda lograr sus

resultados esperados
b) Prevenir, o reducir efectos indeseados; y
c) Lograr la mejora continua.
La organización debe planificar:

-Acciones que traten estos riesgos y

oportunidades; y
-Como integrar e implementar estas acciones
en sus procesos del SGSI; y
-Evaluar la efectividad de estas acciones

Como implementamos esto?

Debemos identificar los
riesgos!
Un correcto proceso de identificación de
riesgos implica:

• Identificar todos aquellos activos de

información que tienen algún valor para la
organización.

• Asociar las amenazas relevantes con los

activos identificados.

• Determinar las vulnerabilidades que puedan

ser aprovechadas por dichas amenazas.

• Identificar el impacto que podría suponer una

pérdida de confidencialidad, integridad y
disponibilidad para cada activo.
Análisis y evaluación de los
riesgos y sus consecuencias

Se debe analizar el impacto en el

negocio de un fallo de seguridad
que suponga la pérdida de
confidencialidad, integridad o
disponibilidad de un activo de
información, evaluando de forma
realista la probabilidad de
ocurrencia de un fallo de seguridad
en relación a las amenazas,
vulnerabilidades e impactos en los
activos.
Además de riesgo en sí, es necesario analizar también sus
consecuencias potenciales, que son muchas y de distinta
gravedad: desde una simple dispersión de la información a la
pérdida o robo de datos relevantes o confidenciales.
Una posible
metodología
de evaluación
de riesgos
estaría
compuesta de
las siguientes
fases:
 1.- Identificar los Activos de Información y sus
responsables, entendiendo por activo todo
aquello que tiene valor para la organización,
incluyendo soportes físicos (edificios o
equipamientos), intelectuales o informativas
(Ideas, aplicaciones, proyectos ...) así como la
marca, la reputación etc.

Activo:
formula
secreta
 2.- Identificar
las Vulnerabilidades
de cada activo:
aquellas debilidades
propias del activo que lo
hacen susceptible de
sufrir ataques o daños.
 3.- Identificar las amenazas: Aquellas cosas que
puedan suceder y dañar el activo de la
información, tales como desastres naturales,
incendios o ataques de virus, espionaje etc.
 4.- Identificar los requisitos legales y contractuales
que la organización está obligada a cumplir con sus
clientes, socios o proveedores.
 5.- Identificar los riesgos: Definir para cada activo, la
probabilidad de que las amenazas o las
vulnerabilidades propias del activo puedan causar un
daño total o parcial al activo de la información, en
relación a su disponibilidad, confidencialidad e
integridad del mismo.
 6.- Cálculo del riesgo: Este se realiza a partir de la
probabilidad de ocurrencia del riesgo y el impacto que este
tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento
determinamos los riesgos que deben ser controlados con
prioridad.
 7.- Plan de tratamiento del riesgo: En este punto, es
donde seleccionaremos los controles adecuados para
cada riesgo, los cuales irán orientados a :
 Asumir el riesgo
 Reducir el riesgo
 Eliminar el riesgo
 Transferir el riesgo
Herramientas para el análisis
Por medio del uso de técnicas como lluvia de
ideas, opinión de expertos, se puede
enumerar los eventos que pueden afectar los
activos de información y se relaciona,
principalmente, con recursos humanos, como
eventos naturales o fallas técnicas. Algunos
ejemplos pueden ser: ataques informáticos
externos, infecciones con malware, una
inundación, un incendio o cortes de fluido
eléctrico. Incendio en la habitación de
servidores, o por cableado defectuoso,etc.
Matriz de Análisis de Riesgos
 Matriz de Riesgos o Matriz IPER*

Frecuencia de Ocurrencia
Constante

Moderado

Ocasional

Posible

Improbable

Insignificante Menor Critico Mayor Catastrófico

Intensidad del Riesgo

* Identificación de Peligros Evaluación de Riesgos

La Matriz de Riesgos es una herramienta de gestión
que permite determinar objetivamente cuáles son los
riesgos relevantes para la seguridad
 Primero: Efectuemos una tabla de registro de riesgos:

No Descripción Indicador Explicación Consecuencias

R1 Acceso no autorizado Numero de accesos al Abuso de información Daño y robo de
servidor privilegiada y actos no información
autorizados
R2 Alteración de la Numero de reportes de datos Ataque interno y/o Destrucción o
información fallidos ataque externo perdida de
información
R3 Caída del sistema por Numero de veces que cae el Fallo en el sistema y Perdida de horas
sobrecarga sistema en el medio ambiente hombre, retrasos
R4 Corte suministro Numero de veces Fallos de Daño al hardware
eléctrico dependencia perdida de
información
R5 Difusión de software Numero de reportes de virus Sistemas Destrucción de
dañino automatizados y información
códigos maliciosos
R6 Fuego Incidentes de fuego Condiciones Perdida de activos,
peligrosas daño permanente
al hardware
Intensidad del Riesgo
Nivel Evaluación Valoración
Alto Evento que afecta totalmente la 3
seguridad de la información
Medio Evento que afecta parcialmente la 2
información
Bajo Evento que afecta ligeramente la 1
información rápidamente subsanable
Frecuencia de la Ocurrencia
Nivel Evaluación Valoración
Alto Inevitable 3
Medio Eventual 2
Bajo Previsible 1
 Tabulación del Riesgo
Riesgo Riesgo 1: Riesgo 2: Riesgo 3: Riesgo 4: Riesgo 5: Riesgo 6:
Acceso no Alteración caída del corte del difusión de Fuego
autorizado de la sistema por suministro software
información sobrecarga eléctrico dañino
Intensidad 2 2 3 1 3 2
del Riesgo

Frecuencia 2 3 1 1 3 1
de la
ocurrencia

Resultado 4 6 3 1 9 2
 MATRIZ DE RIESGO

Frecuencia de Ocurrencia

Intensidad del Riesgo

TALLER
Elaborar la matriz de riesgo del proyecto
elegido