GESTION DEL RIESGO

VALUACION DEL RIESGO

GESTION DE RIESGO
Metodología de análisis de riesgos.
Este es el primer paso en el viaje a
través de la gestión del riesgo.
Es necesario definir las reglas sobre
cómo va a realizar la gestión del
riesgo, dado que desea que su
organización lo haga siempre del
mismo modo.
Se definen las escala y métricas
para la evaluación cualitativa y
cuantitativa.
Metodologia de Analisi del Riesgo
Definir las reglas
Implementación del Análisis de Riesgos.
Una vez que conoce las reglas, Identificación de los Activos de las
información.
 Tasación de Activos.
 Identificación de las Amenazas y Vulnerabilidades.
 Cálculo de las Amenazas y Vulnerabilidades.
 La evaluación del impacto y la probabilidad para cada combinación de
activos/amenazas/vulnerabilidades, y finalmente el cálculo del nivel de
riesgo.
Implementación del Tratamiento de Riesgos. No todos los riesgos son iguales debemos
centrarnos en los más importantes, llamados “riesgos inaceptables”.
Hay cuatro opciones para el tratamiento del riesgo:

Aplicar controles de
seguridad
Transferir el riesgo
Evitar el riesgo
Aceptar el riesgo.
Declaración de aplicabilidad.
Basándose en los resultados del tratamiento de riesgo, se necesitará una lista
de todos los controles que ha de implementarse, por qué se han aplicado y
cómo. Este documento también es muy importante porque el auditor de
certificación lo usará como guía principal para la auditoría.
Plan de tratamiento de riesgos.
El propósito de este documento es definir exactamente quién va a
implementar cada control, en qué tiempo, con qué presupuesto, etc.
1. Identificación de los Activos de las información.
2. Tasación de Activos.
3. Identificación de las Amenazas y Vulnerabilidades.
4. Cálculo de las Amenazas y Vulnerabilidades.
1. IDENTIFICACION DE ACTIVOS

Como identificamos los activos:

Utilizando el Método de las Elipses.

En el proceso de identificación y
tasación de activos se deber realizar
con un grupo multidisciplinario
compuesto por persona involucradas
en los procesos y subprocesos.
 PROCESO: LICENCIAS DE CONDUCIR

Fotografías
Escuela de Manejo
Cumple
Centro Médico
Emite
con los resultados Emite
estandare resultados
s
Recepción
Elaboració
Área de de
Examen n de
información documento
Licencia
s
Apoya en Clientes
Solicita
Informaci la
Emite identificaci
ón Recepcio
Clientes naDocum
resultados ón
entos
Solicitados RENIEC
Banco de la Nación MTC

Copias

METODO DE LAS ELIPSES

 Identificación de activos de información
PROCESO CATEGORIA ACTIVO ACTIVO
Teléfono Analógico
Hardware Equipo de Computo HP
Impresora 1 Hp a Inyección
Sistema de Consulta de Procedimientos
Software
P R O C E S O 1: Sistema Registro de informes
ACTIVOS DE Servicios Internet
INFORMACIÓN EN EL Manual de Tramites de Licencias
ÁREA DE Documentos Papel
Manual de Organización y Funciones
INFORMACIÓN
Base de datos Consulta de
Repositorios de Procedimientos
información Base de datos Sistema Registro de
Informes
Personal Auxiliar de Informes
 Identificación de activos de información
PROCESO CATEGORIA ACTIVO ACTIVO PROCESO CATEGORIA ACTIVO ACTIVO
Teléfono Analogico 2 Teléfono Analogico
Hardware Equipo de Computo HP Hardware 2 Equipo de Computo HP
Impresora 1 Hp a Inyección 2 Impresora 1 Hp LASER
Sistema de Consulta de Software Sistema de Maestro de Licencias
Software Procedimientos Sistema Web de Identificación -
P R O C E S O 2:
P R O C E S O 1: Sistema Registro de informes Servicios RENIEC
ACTIVOS DE
ACTIVOS DE Servicios Internet Internet
INFORMACIÓN EN
INFORMACIÓN EN Manual de Tramites de Licencias Manual de Tramites de Licencias
EL ÁREA DE
EL ÁREA DE Documentos Papel Manual de Organización y Manual de Organización y
RECEPCION DE
INFORMACIÓN Funciones Documentos Papel Funciones
DOCUMENTOS
Base de datos Consulta de Archivos: Documentos
Repositorios de Procedimientos recepcionados del dia
información Base de datos Sistema Registro Repositorios de Base de datos Maestro de
de Informes información Licencias
CATEGORIA
Personal Auxiliar de Informes CATEGORIA
Personal Analista de Procesamiento.
PROCESO ACTIVO ACTIVO PROCESO ACTIVO ACTIVO
3 Teléfono Analogico 4 Teléfono Analogico
3 Equipo de Computo HP 4 Impresoras Licencias
Hardware
3 Impresora 1 Hp LASER 3 Equipo de Computo HP
Hardware
Switch 32 Puertos Emicadora
Aparato Biometrico - Huella Sistema de Maestro de
Software
Digital Licencias
P R O C E S O 4:
Sistema de Maestro de Sistema Web de Identificación -
Software ACTIVOS DE
P R O C E S O 3: Licencias Servicios RENIEC
INFORMACIÓN EN
ACTIVOS DE Sistema Web de Identificación - Internet
EL ÁREA DE
INFORMACIÓN EN RENIEC Manual de Tramites de
ELABORACION DE
EL ÁREA DE Servicios Internet Licencias
LICENCIAS Documentos Papel
INFORMACION DE Examen teórico de MTC - Manual de Organización y
EXAMENES ONLINE Funciones
Manual de Tramites de Repositorios de Base de datos Maestro de
 Sistema de Consulta de

CATEGORIZA
Procedimientos
Sistema Registro de informes
Sistema de Maestro de Licencias
Software
Internet

CIÓN DE
Sistema Web de Identificación - RENIEC
Examen teórico de MTC - Servicio en
Linea
Base de datos Consulta de

ACTIVOS
Procedimientos
Repositorios de Base de datos Sistema Registro de
información Informes
Base de datos Maestro de Licencias
Auxiliar de Informes
Analista de Procesamiento.
Personal
Analista Tecnico de Elaboracion de
Licencias
Teléfono Analogico 1
Teléfono Analogico 4
Teléfono Analogico 3
Teléfono Analogico 2
Switch 32 Puertos
Impresoras Licencias 4
Impresora 1 Hp LASER 3
Hardware Impresora 1 Hp LASER 2
Impresora 1 Hp a Inyección 1
Equipo de Computo HP 4
Equipo de Computo HP 3
Equipo de Computo HP 2
Equipo de Computo HP 1
Emicadora
Aparato Biometrico - Huella Digital
Manual de Tramites de Licencias
Manual de Organización y Funciones
Documentos Papel
 CATEGORIA ACTIVO PROPIETARIO
Sistema de Consulta de Procedimientos SISTEMAS

IDENTIFICACI Software
Sistema Registro de informes
Sistema de Maestro de Licencias
Internet
SISTEMAS
SISTEMAS
LICENCIAS

ON DEL
Sistema Web de Identificación - RENIEC RENIEC
Examen teórico de MTC - Servicio en Linea MTC
Base de datos Consulta de Procedimientos SISTEMAS
Repositorios de
Base de datos Sistema Registro de Informes SISTEMAS

PROPIETARIO
información
Base de datos Maestro de Licencias SISTEMAS
Auxiliar de Informes RRHH
Personal Analista de Procesamiento. RRHH
Analista Tecnico de Elaboracion de Licencias RRHH
Teléfono Analogico 1 LICENCIAS
Teléfono Analogico 4 LICENCIAS
Teléfono Analogico 3 LICENCIAS
Teléfono Analogico 2 LICENCIAS
Switch 32 Puertos SISTEMAS
Impresoras Licencias 4 LICENCIAS
Impresora 1 Hp LASER 3 LICENCIAS
Hardware Impresora 1 Hp LASER 2 LICENCIAS
Impresora 1 Hp a Inyección 1 LICENCIAS
Equipo de Computo HP 4 LICENCIAS
Equipo de Computo HP 3 LICENCIAS
Equipo de Computo HP 2 LICENCIAS
Equipo de Computo HP 1 LICENCIAS
Emicadora LICENCIAS
Aparato Biometrico - Huella Digital LICENCIAS
Manual de Tramites de Licencias ADMINISTRACION
Documentos Papel Manual de Organización y Funciones ADMINISTRACION
Archivos: Documentos recepcionados del día ADMINISTRACION
2. TASACION ACTIVO
Sistema de Consulta de Procedimientos
C
3
I
3
D
3
TOTAL
9

DEL ACTIVO
Sistema Registro de informes 3 3 3 9
Sistema de Maestro de Licencias 3 3 3 9
Software Internet 1 2 2 5
Sistema Web de Identificación - RENIEC 1 3 3 7

Examen teórico de MTC - Servicio en Linea 3 3 3 9

Base de datos Consulta de Procedimientos 1 2 1 4

Repositorios de
información Base de datos Sistema Registro de Informes 1 2 1 4
VALOR
Base de datos Maestro de Licencias
CUANTITATIV VALOR 3 3 3 9
O CUALITATIVO Auxiliar de Informes 1 2 1 4
Analista de Procesamiento. 2 2 2 6
Personal
Analista Tecnico de Elaboracion de
Licencias 3 3 3 9
1 Bajo Teléfono Analogico 1 1 1 1 3
Teléfono Analogico 4 1 1 1 3
Teléfono Analogico 3 1 1 1 3
Teléfono Analogico 2 1 1 1 3
2 Medio Switch 32 Puertos 3 3 3 9
Impresoras Licencias 4 3 3 3 9
Impresora 1 Hp LASER 3 2 1 2 5
3 Alto Hardware Impresora 1 Hp LASER 2 2 1 2 5
Impresora 1 Hp a Inyección 1 1 1 1 3
Equipo de Computo HP 4 3 2 3 8
Equipo de Computo HP 3 3 2 2 7
Equipo de Computo HP 2 2 2 2 6
Para tasar los calores se Como una perdida o falla Equipo de Computo HP 1 2 2 1 5
de hacer la pregunta: del activo afecta la C,D,I? Emicadora 3 1 3 7
Aparato Biométrico - Huella Digital 3 3 3 9
Manual de Tramites de Licencias 2 1 1 4
Manual de Organización y Funciones 2 1 1 4
Documentos Papel
Archivos: Documentos recepcionados del
día 3 3 3 9
RELACIÓN ENTRE AMENAZA, ACTIVO Y
VULNERABILIDAD
3. Identificación de las Amenazas y
Vulnerabilidades
IDENTIFICACIÓN DE VULNERABILIDADES
Es una debilidad en el sistema, aplicación o infraestructura,
control o diseño que pueden ser explotadas por una amenaza.

RECURSOS HUMANOS
 Carencia de toma de conciencia
 Falta de mecanismos de monitoreo,
 Falta de políticas para el uso correcto de sistemas
 No eliminar accesos al término del contrato de trabajo
 carencia de procedimientos para la entrega de activos al
 término del contrato empleados desmotivados
IDENTIFICACIÓN DE VULNERABILIDADES

CONTROL DE ACCESOS
 Segregación inapropiada de redes.
 Falta de políticas sobre escritorio y pantalla limpia.
 Falta de protección al equipo de comunicación móvil.
 Política incorrecta para control de acceso.
 Contraseña sin modificación.
IDENTIFICACIÓN DE VULNERABILIDADES

SEGURIDAD FISICA Y AMBIENTAL

 Control de acceso físico inadecuado a oficinas, salones y edificios.
 ubicación en áreas sujetas a inundaciones.
 Almacenes desprotegidos.
 Carencia de programas para sustituir equipos.
 Susceptibilidad de equipos a variaciones de voltaje.
IDENTIFICACIÓN DE VULNERABILIDADES

OPERACIONES Y COMUNICACIONES
 Interfaces complicadas para usuarios.
 Control de cambio inadecuado.
 Gestión de red inadecuada.
 Carencia de mecanismos que aseguren el envío y recepción de mensajes.
 Carencia tareas segregadas.
 Carencia de control de copiado.
 Falta de protección en redes públicas de conexión.
IDENTIFICACIÓN DE VULNERABILIDADES

Mantenimiento, desarrollo y adquisición de

sistemas de información
 Protección inapropiada de llaves criptográficas
 políticas incompletas respecto al uso de criptografía
 carencia de validación de datos procesados
 carencia de ensayos de software
 documentación pobre de software
 mala selección de ensayos de datos
 AMENAZAS

Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias
negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o
pérdida de valor.

CLASIFICACIÓN
AMENAZAS
Grupo ID Amenaza
N1 Fuego
Desastres N2 Daños por agua
Naturales [N] N3 Tormenta Eléctrica
N4 Terremoto
I1 Fuego
I2 Daños por agua
I3 Sobrecarga eléctrica
I4 Explosión
I5 Derrumbe
I6 Contaminación mecánica
I7 Contaminación electromagnética
I8 Avería de origen física o lógica
Origen Industrial [I] I9 Corte eléctrico
Condiciones inadecuadas de temperatura y/o
I10
humedad
I11 Fallo del servicio de comunicaciones
I12 Interrupción de otros servicios y suministros esenciales
Degradación de los soportes de almacenamiento de
I13 la
información
 Grupo ID Amenaza
E1 Errores de usuarios
E2 Errores de los técnicos de TI
Errores y fallos no E3 Errores de los administradores de sirio
intencionados E4 Errores de monitorización (log)
[E] E5 Errores de configuración
E6 Deficiencias en la organización
E7 Difusión de software dañino
E8 Errores de [re-]encaminamiento

AMENAZAS
E9 Errores de secuencia
E10 Escapes de información
E11 Alteración accidental de la información
E12 Destrucción de información
E13 Fugas de información
Errores y fallos no
E14 Vulnerabilidad de los programas (software)
intencionados
Errores de mantenimiento / actualización de programas
[E] E15
(software)
Errores de mantenimiento / actualización de equipos
E16
(hardware)
E17 Caída del sistema por agotamiento de recursos
E18 Pérdida de equipos
E19 Indisponibilidad del personal
 Grupo ID Amenaza
A1 Manipulación de los registros de actividad (log)
A2 Manipulación de la configuración
A3 Suplantación de la identidad del usuario
A4 Abuso de privilegios de acceso
A5 Uso no previsto
A6 Difusión de software dañino

AMENAZAS
A7 [Re-]encaminamiento de mensajes
A8 Alteración de secuencia
A9 Acceso no autorizado
A10 Análisis de tráfico
A11 Repudio
Ataques A12 Interceptación de información (escucha)
intencionados [A] A13 Modificación deliberada de la información
A14 Destrucción de información
A15 Divulgación de información
A16 Manipulación de programas
A17 Manipulación de los equipos
A18 Denegación de servicio
A19 Robo
A20 Ataque destructivo
A21 Ocupación enemiga
A22 Indisponibilidad del personal
A23 Extorsión
A24 Ingeniería social (picaresca)
 Valoración de impactos

 Las amenazas pueden dañar los activos

de la organización, es necesario
cuantificar el impacto de una amenaza
sobre el activo. Por ejemplo: daño
económico, pérdidas cualitativas, etc.
 Impacto de Prob. Nivel de
Activo Impacto Amenaza Vulnerabilidad Priorización
la amenaza Vulne. riesgo

Datos de desarrollo 9 Robo 3 Control de identidad en las 3 81 1

puertas
Fallo de
Servicios cloud 10
comunicaciones 3 Router sin actualizar 2 60 2
Servidores de
Sistemas
9 Errores de usuario 2 Usuario no capacitados.
3 54 3
Fallo de No existe plaa de
Router 6
comunicaciones 3 mantenimiento 3 54 4
Fallo de No existe plan de
Cortafuegos 6
comunicaciones 3 mantenimiento 3 54 5
App. de
desarrollo
6 Fallo de software 3 No hay pruebas de calidad 3 54 6
de desarrollo
inundacion de
Correo electrónico 10
correos engañosos 2 Usuario no capacitados. 2 40 7
Equipos PC de Errores de
desarrollo
6
usuario 2 Usuario no capacitados.
3 36 8
S.O 6 acceso malisioso 2 no tiene antivirus 3 36 9
Error de
Antivirus 6
mantenimiento 2 No hay personal que 3 36 10
gestione el antivirus
Errores de
Backup 9
usuario 2 No hay procedimientos 2 36 11
Documentación 7 Fuego 2 No hay extintores 2 28 12
Impresoras 6 No imprime 2 Falta de mantenimiento 2 24 13
Fallo de
Switch 6
comunicaciones 2 Cableados obsoletos 2 24 14
4. Implementación del tratamiento de riesgos
 OBJETIVO DEL TRATAMIENTO DEL
RIESGO
Durante el tratamiento de
riesgos la organización debe
centrarse en aquellos riesgos
que no son aceptables; de lo
contrario, será difícil definir
prioridades, y financiar la
mitigación de todos los riesgos
identificados.
 TRATAMIENTO DEL RIESGO

Una vez que tiene una

lista de los riesgos que
no son aceptables,
Reducir Evitar
tiene que ir uno por
uno y decidir cómo
tratarlos,
generalmente, estas
son las opciones que
se aplican: Transferir Asumirlo
 REDUCIR EL RIESGO
 Esta opción es la más común, e incluye la implementación de
salvaguardas (controles), se deberán seleccionar los controles
necesarios para mitigar el riesgo desde el anexo A de la norma ISO
27001:2013
 EVITAR EL RIESGO

 Eliminar la fuente del proceso que

genera la amenaza. Se utiliza cuando
el nivel de riesgo es alto y la actividad
del proceso o sistema que lo genera
no es de gran impacto en términos
de negocio para la entidad, de
modo que puede ser retirada
fuincionalmente.
 TRANSFERIR EL RIESGO

Esto significa transferir el riesgo

a otra parte o entidad.
 Por ejemplo, usted compra
una póliza de seguro para su
edificio, para protegerle
contra el fuego, y por lo
tanto transfiere parte de su
riesgo financiero a una
compañía de seguros.
ASUMIR EL RIESGO

Esta es la opción menos deseable, y significa

que su organización acepta el riesgo sin hacer
nada al respecto.
Esta opción debe usarse sólo si el coste de la
mitigación es mayor que el daño que produciría
un incidente.
EJEMPLO DE TRATAMIENTO
 REDUCIR, EL MAS COMUN

 El disminuir los riesgos es la opción más común para el

tratamiento de riesgos, y para ello se utilizan los controles del
anexo A de la ISO 27001 (y cualquier otro control que una
empresa piense que puede ser apropiado). Como
aprenderá más adelante en detalle, el Anexo A proporciona
un total de 114 controles.
 CONTROLES ANEXO A
Cada control que se use de la norma vendrá principalmente
para:
 a) Definir nuevas reglas: Las reglas están documentadas a
través de planes, políticas, procedimientos, instrucciones, etc.,
aunque no tiene que documentar algunos procesos menos
complejos.
 b) Implementar nueva tecnología: Por ejemplo, sistemas de
copias de seguridad, sitios de recuperación ante desastres
para centros de datos alternativos, etc.
 c) Cambiar la estructura organizacional: En algunos casos,
usted tendrá que introducir una nueva función de trabajo, o
cambiar las responsabilidades de una posición existente.
 Controles Generales

Estos controles son considerados como de obligatoria instauración

de acuerdo a la práctica internacional. Así mismo, la
implementación de estos controles, cubrirán los riesgos generales
trasversales a todos los servicios y activos catalogados.
• A.5.1.1 Documentar política de seguridad de información
• A.6.1.3 Asignación de responsabilidades de la seguridad de la
información
• A.8.2.2 Capacitación y educación en seguridad de la información
• A.12.2 Procesamiento correcto en las aplicaciones.
• A.12.6 Gestión de vulnerabilidad técnica
• A.14 Gestión de la continuidad comercial
• A.13.2 Gestión de incidentes y mejoras en la seguridad de la
información
Selección de controles
 DECLARACION DE APLICABILIDAD
SOA -Statement of Applicability
 su propósito es definir cuál de los 114 controles sugeridos en el Anexo A
de la ISO 27001 será aplicado, y para aquellos que apliquen, cómo se
aplicarán, su estado, etc. Como el Anexo A se considera completo,
pero no exhaustivo para todas las situaciones, nada le impide agregar
otros controles que se consideren aplicables.

 Si va a por la certificación ISO 27001, el auditor de certificación tomará

su Declaración de Aplicabilidad y caminará alrededor de su empresa
comprobando si se han implementado los controles de la manera en
que se
 describe en su SoA. Es el documento central para hacer su auditoría in
situ.
DECLARACION DE APLICABILIDAD
SOA -Statement of Applicability
Planes de Acción
Propuestas de
Proyectos
Planes de
Acción
Propuesta
de
Proyectos
Planes de
Acción
Propuesta
de
Proyectos