Sistema de Gestión de Seguridad de la

Información (SGSI)
 Plan Director de Seguridad
(PDS)
Definición y priorización de un conjunto de
proyectos en materia de seguridad de la
información, dirigido a reducir los riesgos a
los que está expuesta la organización hasta
unos niveles aceptables a partir de un
análisis de la situación inicial.
 Análisis de Riesgos
• Qué podría ocurrir?
• Sí ocurre, cuánto daño podría causar?
• Qué tan a menudo podría ocurrir?
• Qué puede ser hecho?
• Cuál es el costo de la medida?
• Es la medida efectiva? (Análisis
costo/beneficio)
 Procedencia de los riesgos
• De software
– Errores de aplicaciones
– Errores de sistemas operativos
– Rutinas de acceso no autorizados
– Servicios no autorizados
 Procedencia de los riesgos
• De hardware
– Inapropiada operación de equipos
– Fallas en mantenimiento
– Inadecuada seguridad física
– Falta de protección contra desastres naturales
• De datos
– Inadecuados controles de acceso a usuarios no
autorizados
 Procedencia de los riesgos
• Administrativas
– Ausencia de políticas de seguridad
– Ausencia de cultura de seguridad
– Ausencia de procedimientos de seguridad
– Falta de educación y entrenamiento de
seguridad
– Contratación de personal no competente e
idóneo
 Procedencia de los riesgos
• Comunicaciones y redes
– Inadecuados controles de acceso a la red
– Inadecuados mecanismos para prevenir fallas
en comunicaciones
• De personal
– Inadecuados controles de acceso físico
– Inadecuados controles de acceso lógico
Análisis de Riesgos
Fase 1. Definir el alcance
• Dirección del análisis
• Alcance
• Límites
• Descripción del sistema
• Objeto del riesgo y certeza requerida
 Fase 1. Definir el alcance
Si el análisis de riesgos forma parte del PDS, el
análisis cubre la totalidad del alcance del
PDS, dónde se han seleccionado las áreas
estratégicas sobre las que mejorar la
seguridad. Por otra parte, también es posible
definir un alcance más limitado atendiendo a
departamentos, procesos o sistemas.
 Fase 2. Identificar los activos
• Pueden ser de naturaleza tangible o
intangible, su valor depende de su
naturaleza. Los tangibles incluyen
hardware, documentación y presupuesto
que soportan el almacenamiento,
procesamiento y entrega de la información,
su valor típicamente se da en el costo de
reemplazarlos.
Fase 2. Identificar los activos
 Fase 2. Identificar los activos
• El valor de los recursos intangibles como
por ejemplo la información puede darse en
el costo y tiempo de recuperación de la
misma, o en el valor de la confidencialidad,
integridad y disponibilidad de la
información.
 Fase 3. Identificar/seleccionar
amenazas
• Amenaza es cualquier evento o agente que
pueda causar daño sobre los recursos del
sistema
– Amenazas por desastres naturales
– Internos: administradores, usuarios finales
– Externos: proveedores, clientes, hackers.
A la hora de identificar las amenazas, puede ser útil tomar
como punto de partida el catálogo de amenazas que
incluye la metodología MAGERIT v3
 Fase 4. Identificar vulnerabilidades

• Son puntos débiles de seguridad que

presenta el sistema que podrían permitir la
ocurrencia de una amenaza.
• Por ejemplo, una posible vulnerabilidad puede ser
identificar un conjunto de ordenadores o
servidores cuyo sistemas antivirus no están
actualizados o una serie de activos para los que
no existe soporte ni mantenimiento por parte del
fabricante.
 Identificar salvaguardas
Se analiza y documenta las medidas de seguridad
implantadas en la organización. Por ejemplo, es
posible que exista instalado un sistema SAI
(Sistema de Alimentación Ininterrumpida). Esta
medida de seguridad contribuye a reducir el riesgo
de las amenazas relacionadas con el corte de
suministro eléctrico.
 Fase 5. Evaluar el riesgo
Impacto
Llegado a este punto se dispone de los
siguientes elementos:
• Inventario de activos.
• Conjunto de amenazas a las que está expuesta cada activo.
• Conjunto de vulnerabilidades asociadas a cada activo (si
corresponde).
• Conjunto de medidas de seguridad implantadas
 Fase 5. Evaluar el riesgo
Impacto
• Representa las consecuencias que puede
tener la materialización de una amenaza
sobre el sistema.
• Los impactos afectan la confidencialidad,
integridad y disponibilidad. El impacto de
que afecte la integridad de los datos es
diferente a sí ocurre modificación o
destrucción de los datos.
 Valoración de Impacto
• Igual ocurre con el impacto de una amenaza
a la disponibilidad, depende del tiempo que
el sistema permanezca no disponible y la
eventualidad con que el sistema requiere los
datos.
 Valoración del Impacto
a) Cuantitativo
-Frecuencia de una amenaza se da anualmente
-I= valor_recurso * factor de exposición
b)Cualitativo
-Valoran en forma muy subjetiva el impacto. Alto,
medio o bajo, puede ser teniendo en cuenta rangos de
pérdidas económicas.
 Cálculo del riesgo
• Cuantitativo: con el impacto y la frecuencia.
La pérdida es igual al producto de los
valores de impacto y frecuencia de
ocurrencia (i*f).
”Aquí el riesgo indica las pérdidas anuales
que genera la amenaza”
 Valoración del Impacto
-Probabilidad.

-Impacto
 Cálculo del riesgo
• Cualitativo:

“Aquí el riesgo indica las pérdidas ante la

probabilidad de presentarse la amenaza”
 Evaluar el riesgo
Se debe tener en cuenta las vulnerabilidades y
salvaguardas existentes. Por ejemplo, la caída del
servidor principal podría tener un impacto alto
para el negocio. Sin embargo, si existe una
solución de alta disponibilidad (Ej. Servidores
redundantes), se puede considerar que el
impacto será medio ya que estas medidas de
seguridad harán que los procesos de negocio no
se vean gravemente afectados por la caída del
servidor.
 Evaluar el riesgo
Si por el contrario se han identificado
vulnerabilidades asociadas al activo, se aplica una
penalización a la hora de estimar el impacto. Por
ejemplo, si los equipos de climatización del CPD
no han recibido el mantenimiento recomendado
por el fabricante, se incrementa el impacto de
amenazas como “condiciones ambientales
inadecuadas” o “malfuncionamiento de los
equipos debido a altas temperaturas”.
 Tratar el riesgo
Transferir el riesgo a un tercero. Por ejemplo,
contratando un seguro que cubra los daños a
terceros ocasionados por fugas de información.
Eliminar el riesgo. Por ejemplo, eliminando un
proceso o sistema que está sujeto a un riesgo
elevado. En un práctico, se podría eliminar la wifi
de cortesía para dar servicio a los clientes si no es
estrictamente necesario.
 Tratar el riesgo
Asumir el riesgo, siempre justificadamente. Por
ejemplo, el coste de instalar un grupo
electrógeno puede ser demasiado alto y por
tanto, la organización puede optar por asumir.
Implantar medidas para mitigarlo. Por ejemplo,
contrar un acceso a internet de respaldo para
poder acceder a los servicios en la nube en caso
de que la línea principal haya caído.
 Ejemplos de riesgos
• Se afecta la prestación de los servicios del
Banco a través de Internet por intrusos
que logran penetrar en los servidores (A)
• Un firewall define las reglas de acceso
para proteger la red del Banco. Pese al
nivel de seguridad existente, los sistemas
NT son vulnerables a intrusos tanto
internos como externos. (B)
 Ejemplos de medidas
• Riesgo A
• 1.Implantar las recomendaciones estándares
para la protección de servidores NT
(BSCANEX23)
• 2.Implantar plan de reacción ante ataques en
servidores NT.
• Responsables y tiempo
• Soporte Técnico
• Seg. Inform.
• Plan Feb.18/2017
• Jun.30/2017
 Repaso de AR
Análisis y Valoración de Riesgos

Gestión y Tratamiento del Riesgo