Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción Al Análisis de Riesgos PDF
Introducción Al Análisis de Riesgos PDF
Lectura fundamental
Contenido
Palabras clave:
Riesgo, vulnerabilidad, amenaza, probabilidad, impacto.
1. Introducción al análisis de riesgo
Como hemos visto en los módulos desarrollados hasta el momento, la importancia que ha adquirido
la seguridad de la información se debe al complejo escenario en el cual operan las empresas,
debido al uso de Internet y otras redes propias del negocio. El núcleo de la arquitectura de la red
ha cambiado, pues ya no solo es de interés el entorno computacional, sino también todas las áreas
de la organización en las cuales se produce y recibe un volumen de información importante. Dichas
áreas son dependientes de Internet, facilitando a los usuarios sus labores a nivel de servicio y
funcionalidades. Sin embargo, su uso expande la visibilidad de las organizaciones en el mundo virtual
abriendo puertas a potenciales riesgos de seguridad.
No obstante, la seguridad va más allá de los controles técnicos que colocamos para proteger los
activos de una empresa, puesto que dichos controles deben ser seleccionados bajo un análisis de las
capacidades de la compañía para su adquisición, implementación y administración. La evaluación de
dichas capacidades requiere integrar los principios de la seguridad de la información y el análisis de
riesgos. Es decir, la gestión de la seguridad incluye todas las actividades necesarias para mantener
un programa de seguridad funcional, actualizado y mejorado, lo cual incluye el manejo del riesgo,
la documentación, la implementación de control de seguridad, la administración, procedimientos,
procesos, auditoría, permanente capacitación en la materia y sensibilización a los usuarios finales para
que sean más conscientes de su función en dicho programa.
Así pues, existen herramientas que contribuyen con dicho objetivo, como el análisis de riesgos, el cual
identifica los activos críticos, descubre las amenazas a las cuales se exponen estos, a partir del análisis
de vulnerabilidades, y suele estimar el posible daño y las potenciales pérdidas que una organización
podría soportar si alguna de estas amenazas se convirtiera en realidad. Adicionalmente, el análisis de
riesgos ayuda a la construcción de gestión de un presupuesto con los fondos necesarios para proteger
los activos y contribuye en el desarrollo de políticas de seguridad aplicables que proveen dirección a
las actividades de seguridad.
En consecuencia, el objetivo final del análisis de riesgos es identificar, implementar y mantener los
controles seleccionados para la protección, con el fin de mantener los riesgos en seguridad de una
compañía en un nivel aceptable. Esto se logra por medio de un proceso metodológico estructurado
y claramente definido al interior de la organización y con sensibilización y formación en temas
relacionados con seguridad de la información a los empleados, de tal manera que se entienda la
función de cada uno en el ambiente de seguridad y se mantenga una disposición por trabajar hacia un
mismo objetivo.
POLITÉCNICO GRANCOLOMBIANO 2
Durante esta primera unidad, se hablará de los conceptos básicos para el análisis de riesgos con el fin
de adquirir un lenguaje común en la materia.
2.1. Vulnerabilidad
Como lo hemos visto en módulos anteriores, la vulnerabilidad de seguridad puede tener varias
definiciones. Básicamente, esta se refiere a la falla propia de un activo por su naturaleza; sin embargo,
podemos ampliar dicha definición de acuerdo con otros referentes, como The National Infrastructure
Advisor (NIAC), que establece que “una vulnerabilidad se define como un conjunto de condiciones
que conduce o puede llevar a un implícito o falla explícita de la confidencialidad, integridad o
disponibilidad de la información en un sistema”.
Por otro lado, el U.S. National Institute of Standards and Technology o Instituto Nacional de Estándares
y Tecnología (NIST) de EE. UU., en su Guía de gestión de riesgos para sistemas de tecnología de la
información, ofrece la siguiente definición de vulnerabilidad:
(…) un defecto o debilidad en los procedimientos de seguridad del sistema, diseño, implementación
o controles internos que podrían ejercerse (desencadenarse accidentalmente o explotarse
intencionalmente) y dar como resultado una violación de la seguridad o una violación de la política de
seguridad del sistema (Rajnovic, 2011).
Existen muchas más definiciones de la vulnerabilidad de seguridad, pero tienden a ser variaciones
de las dos anteriores. Es importante notar que estas están orientadas más a temas cualitativos
que cuantitativos, lo cual puede representar un problema en el momento de evaluar si algo es una
vulnerabilidad, pues tiende a confundirse con el término de amenaza (Rajnovic, 2011).
2. Algoritmo criptográfico débil: muchas comunicaciones utilizan encriptación de datos, pero esta
se realiza de manera precaria con algoritmos que ya han sido vulnerados o cuyas debilidades son
bien conocidas.
POLITÉCNICO GRANCOLOMBIANO 3
3. Susceptibilidad al ataque de denegación de servicio: esto depende de múltiples factores, tanto
físicos como de capacidad, complejidad y necesidades de los usuarios. Es decir, conocemos que
un ataque de denegación de servicio se caracteriza porque el atacante intenta que este no pueda
prestarse, pero su disponibilidad puede ser relativa, ya que depende, entre otros factores, del
tipo de servicio, los usuarios que ingresan y el medio por el cual se accede.
Una evaluación de vulnerabilidad tiene muchas cosas en común con una evaluación de riesgos. Las
evaluaciones generalmente se realizan según los siguientes pasos:
1. Catalogar activos.
2. Asignar un valor cuantificable (o al menos un orden jerárquico) e importancia a esos activos.
3. Identificar las vulnerabilidades, amenazas y potenciales riesgos de cada activo. En temas de
seguridad se deben considerar los principios que afectan a cada uno.
4. Mitigar o eliminar las vulnerabilidades y riesgos más serios para los activos más valiosos.
En general, un análisis de vulnerabilidades sirve para identificar activos claves, de acuerdo conla
identificación realizada e impulsar el proceso de gestión de riesgos. Las empresas deberían realizar de
manera periódica, evaluación de vulnerabilidades para comprender mejor las amenazas, determinar los
niveles de riesgo aceptables y estimular acciones para mitigar los riesgos identificados.
POLITÉCNICO GRANCOLOMBIANO 4
• Establecer o evaluar en comparación con una línea de base. Es importante definir una línea base
para la seguridad. La evaluación de vulnerabilidades es una oportunidad para revisar la mejora o
el deterioro de la postura de seguridad de una organización. Si no se ha realizado una referencia
básica (o el trabajo no fue uniforme o exhaustivo), una evaluación es una oportunidad para
integrar y unificar esfuerzos previos, definir parámetros comunes y establecer una línea base
definitiva.
• Promueva la acción. Una evaluación de vulnerabilidades puede centrar la atención y los recursos
de la administración en la solución de problemas de seguridad específicos y sistémicos. Una
evaluación proporciona opciones para enfrentar estos problemas en los niveles apropiados
(legales, financieros, ejecutivos) y lograr la acción. La evaluación de vulnerabilidades bien
diseñada y ejecutada no solo identifica las vulnerabilidades y hace recomendaciones, sino que
también obtiene aceptación ejecutiva, identifica a los interesados clave, y establece un conjunto
de grupos transversales que pueden convertir esas recomendaciones en acciones.
• Iniciar un esfuerzo de seguridad continuo. Una evaluación puede utilizarse como un catalizador
para involucrar a las personas de toda la organización en cuestiones de seguridad, construir
estructuras transversales, establecer encuentros permanentes, y aprovechar el impulso
generado por la evaluación para construir un esfuerzo de seguridad institucional continuo (pp.
546-549).
Para lograr estos beneficios, es importante realizar los esfuerzos necesarios para evaluar toda la
organización. Una recomendación es realizar la evaluación completa de vulnerabilidades, que cubre los
siguientes 10 elementos:
POLITÉCNICO GRANCOLOMBIANO 5
1. Arquitectura de red
2. Ambiente de amenaza
3. Prueba de penetración
4. Seguridad física
5. Análisis de activos físicos
6. Seguridad de las operaciones
7. Políticas y procedimientos
8. Análisis de impacto
9. Interdependencias de infraestructura
2.2. Amenaza
Una vez las vulnerabilidades y las amenazas asociadas son identificadas, las consecuencias o posibles
derivaciones que surgen de esta identificación también deben ser tenidas en cuenta para el completo
análisis de riesgos. Escenarios como las potenciales pérdidas (aquello que la empresa dejaría de
percibir si una amenaza explotara una vulnerabilidad), se deben contemplar como parte integral del
análisis, lo cual implica considerar su impacto y probabilidad de ocurrencia, conceptos que serán
aclarados más adelante.
2.3. Riesgo
El riesgo es la probabilidad de que una amenaza explote o se aproveche de una vulnerabilidad (Harris,
2013).
POLITÉCNICO GRANCOLOMBIANO 6
Nos preguntamos si el ejercicio de análisis de riesgo tiene reglas establecidas o simplemente se deben
realizar algunas actividades sin rigor en el camino. La respuesta a esta inquietud es que efectivamente
deberíamos realizar un ejercicio estructurado, considerando que la industria cuenta con diferentes
metodologías estandarizadas. Cada una tiene los mismos componentes de base (identificar
vulnerabilidades, amenazas asociadas, calcular el valor del riesgo), pero difieren en el enfoque específico.
La identificación de la metodología apropiada dependerá de la empresa, la orientación en temas de
seguridad, entre otros aspectos. Las diferentes metodologías se estudiarán en una unidad posterior.
El entendimiento de estos dos conceptos nos facilita el análisis de riesgo, puesto que al estimar
la probabilidad de ocurrencia y el impacto de un potencial riesgo estamos calificándolo para darle
un tratamiento específico; es decir, conociendo el número de veces que determinado riesgo se ha
materializado o puede materializarse en un tiempo específico y evaluando la magnitud de su efecto, en
caso de materializarse, nos da un panorama completo de los perjuicios que tiene para una organización
el evento adverso. Esto con el fin de estimar si el riesgo es aceptable, tolerable, moderado, importante o
definitivamente no es aceptable, para fijar la prioridad de los controles a establecer para su tratamiento
(Departamento Administrativo de la Función Pública República de Colombia, 2006). Ampliaremos
este tema de evaluación del riesgo en la siguiente unidad.
El entendimiento de los conceptos anteriores nos permite acercarnos a una herramienta importante
en el análisis de riesgos que se conoce como Matriz de Riesgos.
POLITÉCNICO GRANCOLOMBIANO 7
Figura 1. Matriz de riesgos
Fuente: Politécnico Grancolombiano (2018).
Cuando se han identificado activos, vulnerabilidades, amenazas y riesgos se puede empezar a valorar
el riesgo en términos cualitativos. Dicha valoración se estudiará en detalle en la siguiente unidad y
dependerá mucho del escenario que se plantee y el enfoque de seguridad que se brinde.
POLITÉCNICO GRANCOLOMBIANO 8
Tabla 1. Matriz de Activos, Amenazas y Riesgos
Descripción
Tipo Amenaza Riesgo Principio Afectado Probabilidad Impacto
Vulnerabilidad
Incumplimiento en
Mantenimiento
los procedimientos Funcionamiento Disponibilidad –
Hardware insuficiente o Alta Alto
para el ineficiente Integridad
con fallas
mantenimiento
Falta de
terminación de
la sesión cuando Abuso de los Fuga de
Software Confidencialidad Alta Alto
se abandona derechos Información
la estación de
trabajo
Incumplimiento de Indisponibilidad
Ausencia del Disponibilidad –
Personal las obligaciones de parcial o total del Baja Medio
personal Integridad
la empresa sistema
Daño a las
Espacio Fallas Destrucción Disponibilidad –
personas Bajo Alto
Fisico Estructurales parcial o total Integridad
y equipos
Falta de
procedimientos
Uso de software Destrucción Disponibilidad –
Empresa del cumplimiento Alta Medio
Ilegal parcial o total Integridad
de derechos
intelectuales
De esta manera, hemos concluido el estudio inicial sobre los conceptos fundamentales del análisis de
riesgos y posteriormente se profundizará en algunos temas específicos para comprender su alcance.
POLITÉCNICO GRANCOLOMBIANO 9
Referencias bibliográficas
Departamento Administrativo de la Función Pública República de Colombia. (2006). Guía
de Administración del Riesgo. Recuperado de www.ufps.edu.co/ufpsnuevo/proyectos/meci/
documentos/planes/GUIA_ADMINISTRACION_DEL_RIESGO_-_DAFP.pdf
Harris, S. (2013). Information Security, Governance and Risk Management - Security Definitions.
En S. Harris, All in One CISSP Exam Guide Sixth Edition (pp. 21-157). New York: McGrawHill.
Rajnovic, D. (2011). Computer Incident Response and Product Security. Indianapolis: Cisco Press.T
POLITÉCNICO GRANCOLOMBIANO 10
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO 11