UNIDAD 1.

FASE 2. DESARROLLAR EL ANÁLISIS DE RIESGOS EN LA ORGANIZACIÓN

PRESENTADO POR:
ERIKA LILIANA SILVA TORRES
CÓD: 1.052.383.594

GABRIEL ALBERTO PUERTA

Tutor

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
MODELOS Y ESTÁNDARES EN SEGURIDAD INFORMÁTICA – 233002
CEAD DUITAMA
2018
 INTRODUCCION

La Gestión del Riesgo para la Seguridad de la Información surge a partir del

campo de la Gestión de Seguros, donde se empieza a forjar la relación coste-
beneficio. Para las décadas de 80 y 90 se convierte en parte fundamental en
las empresas en su planificación y estrategias.

A finales del siglo XX se comienza a conocer los riesgos informáticos dentro de

una empresa están cada vez más presentes por tal motivo que se deben tomar
las acciones necesarias para evitarlos. Po tal motivo en el año 1995 se crean
estándares de Seguridad de la Información (BS 7799-1) adoptando
precisamente en el año 2000 como es estándar ISO/IEC 17799, descubriendo
ya la gestión del riesgo como parte del proceso de seguridad.

El enfoque básico que se va tratar en esta investigación mediante el Análisis y

Gestión de riesgos es la selección de un conjunto de salvaguardas o controles
de seguridad que permita alcanzar un nivel básico de protección para todos los
sistemas.

Actualmente las tareas que se realizan en el Análisis y Gestión de Riesgos su

principal función son de complementarse entre sí para llegar la Gestión de la
Seguridad. Al seguir sistemáticamente cada uno de los pasos suele ser costoso
tanto en tiempo como en recurso de personal y que debería realizarse basado
en metodologías formales y a si puede ser posible apoyadas por la
aplicaciones software.
Etapa de Análisis de Riesgos

Con el desarrollo actual, las empresas dependen más de las Tecnologías de

Información las cuales ayudan a realizar tareas cada vez más complejas y por
ende corren con riesgos que pueden amenazar el buen desempeño de sus
funciones.

El Análisis de Riesgos se ha venido utilizando desde hace muchos años en

cualquier empresa que lo desee. Surge a partir de la necesidad de organizar e
interpretar datos científicos, facilitando decisiones para llegar a acuerdos en la
empresa. Se puede aplicar tanto en el sector público o privado.

“Además es el primer paso de la seguridad informática; el mismo que busca

establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus
consecuencias, calificándolos y evaluándolos con el fin de obtener información
para establecer el nivel de riesgo y las acciones que se van a implementar.”

Lo que se quiere alcanzar con el Análisis de Riesgos es que se hace una

proyección hacia el futuro basando en un pasado fidedigno y un análisis
metódico de los acontecimientos.

Aquí se estudian todos los controles de seguridad tanto físicos, como técnicos
de una empresa que se ha definido con la finalidad de proteger el ambiente
informático. Donde se pueden encontrar fallos de seguridad.

Se puede llegar a tener una visión más cercana a la realidad sobre el estado de
seguridad de una organización. Además es esencial priorizar acciones para
reducir la vulnerabilidad de los sistemas de información.

Es necesario realizar un proceso sistemático de análisis de amenazas más

transcendentales de la seguridad, junto con el impacto en el caso que se
ejecuten, para todos los recursos de los sistemas de información.

Es responsabilidad de los actores de seguridad que laboran en la empresa, al

hacer el Análisis de Riesgo con los directores de cada área, ellos saben a qué
riesgos están expuestos y por ende pueden ayudar a mitigarlos. Para que los
gerentes tengan un presupuesto de cuanto es la inversión que tendrán que
realizar a la empresa según las necesidades de la misma.

Hay casos en que empresas han omitido realizar un Análisis de Riesgos por
cuestiones de tiempo o de dinero pero se suele optar solo por un Estudio de
Vulnerabilidad, sin embargo se deben de considerar todas las alternativas para
evitar posibles fallas en la seguridad.
Determinación de activos

Un activo es algo que representa un valor o una utilidad para cualquier

organización. Los activos precisan protección para asegurar las operaciones
del negocio y la continuidad de la empresa.

El ISO 17799:2005(Código de Practica para la Gestión de la Seguridad de

Información) clasifica los activos de la siguiente manera:

 Activos de Información: Bases de datos, archivos de datos,

documentación del sistema, manuales de usuario, materiales de
entrenamiento, procedimientos operativos de apoyo y planes de
continuidad.

 Documentos Impresos: Documentos impresos, contratos,

lineamientos, documentos de la compañía y documentos que contienen
resultados importantes del negocio.

 Activos de Software: Software de aplicación, software de sistemas y

herramientas de desarrollo.

 Activos Físicos: Equipos de computación y comunicación y otros

equipos técnicos.

 Personas: Personal, clientes y suscriptores.

 Imagen y reputación de la compañía.

 Servicios: Servicios de computación y computación, otros servicios

técnicos.

En el trabajo cada uno de empleados es el encargado de uno o más activos

según el cargo que ocupe en la institución, deberá velar por la seguridad del
activo. Sin embargo no todos los activos tienen la misma importancia y por lo
tanto los mecanismos de seguridad que utilizan dependerán de las amenazas a
los que estén que se enfrentan los mismos.

Dependencias entre Activos

Existen activos que dependen unos de otros más significativos en los que están
involucrados equipos, las comunicaciones entre otros. Por tal razón nace el
término de “dependencias entre activos” que trata de decir es que si un activo
superior se ve afectado por un incidente de seguridad en activo inferior.

Las dependencias entre activos permiten relacionarse con los demás activos
con datos y servicios. Se podría decir que se formaría un árbol de
dependencias
Se podría decir que los activos inferiores son las bases de los activos
superiores. Pero qué a medida que esta dependencia entre activos crece se
deberán tomar las prevenciones más efectivas que los aseguren para no tener
prejuicios que resulten perjudiciales para todos.

“Adicionalmente en cada caso hay que aplicar a la Organización objeto del

análisis, con frecuencia se puede estructurar el conjunto de activos en capas,
donde las capas superiores dependen de las inferiores:”19

Capa 1: El Entorno: activos que se precisan para garantizar las siguientes

capas

 Equipamiento y suministros: energía, climatización, comunicaciones.

 Personal: dirección, de operación, de desarrollo, etc.
 Otros: edificios, mobiliario, etc.

Capa 2: El Sistema de Información

 Equipos informáticos (hardware).

 Aplicaciones (software).
 Comunicaciones.
 Soportes de información: discos, cintas, etc.

Capa 3: La Información

 Datos
 Meta-datos: estructuras, índices, claves de cifra, etc.

Capa 4: Las funciones de la Organización

 Objetivos y mission.
 Bienes y servicios producidos

Capa 5: Otros activos

 Credibilidad o Solvencia
MAGERIT

Acrónimo de “Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información”, es una metodología para el análisis y la gestión de riesgos
desarrollada por el Consejo Superior de Administración Electrónica CSAE. Esta
metodología es abierta al público y cualquier persona que pueda hacer uso de
la misma sin necesidad de solicitar autorización del Ministerio de
Administraciones Publicas de España.

Actualizada en 2012 a la versión 3, consta de tres libros:

Libro I: Método

Libro II: Catálogo de Elementos

Libro III: Guía de Técnicas

Los tres libros son gratuitos y se pueden encontrar en sitio web del Portal de
Administración Electrónica de España.

Pasos para el análisis de riesgos

Paso 1. Activos: Determinar los activos más importantes para la empresa, su

valor y nivel de criticidad en caso de que se vea afectado.

La figura 1 reúne las variables y elementos que se derivan de la importancia de

proteger los activos.

Figura 1. Elementos del análisis de riesgos.

Paso 2. Amenazas: Determinar las amenazas que pueden llegar a afectar los
activos identificados en el paso anterior. Se debe tener en cuenta no solo
factores internos sino también ajenos a la organización.

Dentro del capítulo 5 del libro II “Catálogo de elementos” brindan varios tipos de
amenaza:

 De origen natural
 De origen industrial
 Fallas en las aplicaciones
 De origen Humano

Esta última puede ser de forma accidental o intencionada.

Una vez se identifican y se clasifican las amenazas se debe valorar en qué

grado puede afectar el activo, a esto se le conoce como impacto potencial. Se
usan los criterios de probabilidad e impacto. En ambos casos se pueden usar
métricas, por ejemplo para determinar la probabilidad es más cómodo usar una
métrica cuantitativa que representaría la frecuencia de ocurrencia. Para el caso
del impacto al activo se usa una métrica cualitativa que da una escala de muy
alta a muy baja.

En la figura 2 se observa el riesgo en función del nivel de impacto y la

probabilidad de ocurrencia, también se nota que entre mayor sea la valoración
del impacto y más probabilidades tenga de suceder, el riesgo aumenta.

Figura 2. El riesgo en función del impacto y la probabilidad

En la figura 2 cada número corresponde a una zona:

Zona 1: Riesgos críticos con probabilidad e impacto muy alto.

Zona 2: riesgos con situaciones improbables y de impacto medio o riesgos muy
probables pero de impacto bajo o muy bajo.

Zona 3: riesgos improbables y de impacto bajo

Zona 4: riesgos improbables pero de impacto muy alto

Se tienen en cuenta los siguientes aspectos antes del Paso 3 salvaguardas, en

el caso que no hubiese controles implementados :

Impacto potencial. Es el nivel de degradación del activo por causa de la

materialización de una determinada amenaza, se aclara que aunque una
misma amenaza afecte a más de un activo, su nivel de degradación o impacto
puede ser diferente. Lo anterior debido a que no todos los activos tienen el
mismo valor y hay unos más importantes para la organización que otros. Para
calcular el impacto potencial por lo general se emplea una escala en la que se
determina el nivel de degradación del activo. Dicha escala se aplica por cada
amenaza y a su vez por cada activo.

Riesgo potencial. Como se puede observar en la figura 2, el riesgo potencial

se calcula con base al impacto potencial que genera una amenaza y su
probabilidad de ocurrencia. Tomando estas dos variables se puede decir que
entre más alto sea el impacto y más probable sea la ocurrencia más crítico será
el riesgo. Sin embargo para medir el riesgo se emplea un mapa de calor en el
cual se ubican los niveles resultantes del impacto potencial y la probabilidad, su
ubicación determinara la zona de riesgo y por lo tanto el nivel del mismo.

Paso 3. Salvaguardas: Este paso consiste en determinar que salvaguardas o

controles existen actualmente en la organización y verificar su nivel de eficacia
frente al riesgo.

Una vez determinado el nivel de riesgo potencial, se debe hacer la verificación

de que salvaguarda de los que se identificaron hace que el riesgo se mitigue o
por lo menos su nivel baje. La efectividad del salvaguarda puede darse de dos
formas, la primera reduciendo la probabilidad de las amenazas y la segunda
limitando el daño causado al activo.

Los salvaguardas pueden prestar distintos tipos de protección dependiendo del

activo, los más comunes son: preventivo, detectivo, correctivo y disuasivo. Sin
embargo para obtener un abanico más amplio de controles, en el capítulo 6 del
libro II “Catalogo de elementos” se detallan los más adecuados para cada tipo
de activo.
Paso 4. Impacto residual: Se define como el daño sobre el activo debido de la
materialización de la amenaza aun existiendo las salvaguardas, es decir pasó
de impacto potencial a impacto residual. Para calcularlo se debe realizar el
mismo procedimiento que se usó para hallar el impacto potencial, con la
diferencia que se le debe aplicar la efectividad del control, con esto logra que la
degradación del activo disminuya o sea nula.

En el Libro III “Guía de técnicas” se pueden encontrar diversos modelos,

métricas y escalas en las que se pueden calcular las diferentes variables .