Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La Seguridad Informática tiene como objetivo el mantenimiento de la Confidencialidad,
Integridad y Disponibilidad de los Sistemas de Información. Por lo tanto, es necesario
identificar y controlar cualquier evento que pueda afectar negativamente a cualquiera de
estos tres aspectos, así como definir e implantar las defensas necesarias para eliminar o
reducir sus posibles consecuencias.
Se debe tener en consideración que dentro del proceso de Análisis de riesgos se pueden
diferenciar dos conceptos:
1.Y La Evaluación de Riesgos, orientada a determinar los Sistemas de Información
que, en su conjunto o en cualquiera de sus partes, puedan verse afectados directa o
indirectamente por amenazas, valorándose todos los riesgos y estableciendo sus
distintos niveles a partir de las posibles amenazas, las vulnerabilidades existentes
y el impacto que puedan causar a la empresa.
2.Y La Gestión de Riesgos, que implica la identificación, selección, aprobación y
manejo de las defensas o controles para eliminar, o reducir a niveles aceptables,
los riesgos evaluados, con actuaciones tendentes a:
jY Reducir la posibilidad de que una amenaza ocurra
jY Limitar el impacto de una amenaza, si ésta se manifiesta
jY Reducir o eliminar una vulnerabilidad existente
jY Permitir la recuperación del impacto
Una vez aclarado lo anterior, se cita el proceso a seguir en la etapa ³Análisis de riesgos y
diseño de controles´, el cual, se menciona a continuación:
a)Y Identificar los riesgos potenciales que podrían presentarse en el Sistema de
Información.
b)Y Valorar cuantitativa y cualitativamente la exposición del sistema a los riesgos
potenciales.
c)Y Realizar la Matriz de clasificación o Ranking de vulnerabilidad del Sistema de
Información, a cada una de las categorías de riesgo evaluadas, de mayor a menor
vulnerabilidad. En esta matriz se identifican los dos o tres
que
corresponden a los de mayor puntaje obtenido
d)Y Elaborar una lista de los Escenarios de Riesgo del Sistema de Información, en los
cuales se examinarán los riesgos críticos y los controles establecidos para mitigarlos.
e)Y Elaborar una lista de las Dependencias que intervienen en los Escenarios de Riesgo del
Sistema de Información y la definición del rol o papel de éstas en cada escenario de
riesgo.
f)Y Realizar la Matriz de Escenarios Vs. Riesgos Críticos, esta matriz contiene el Impacto
potencial de los Riesgos Potenciales Críticos en los Escenarios de Riesgo del Sistema
de Información.
g)Y Realizar la Matriz de Dependencias Vs. Riesgos Críticos, ésta matriz muestra el
Impacto de los Riesgos Críticos en las Dependencias de la empresa o de terceros que
intervienen en el manejo de la información.
h)Y Definir y analizar las causas de los riesgos críticos y su localización en los escenarios
de riesgo y las dependencias del sistema de información.
Teniendo claro cual es el proceso dentro del cual se enmarca el Análisis de riesgos y
diseño de controles, se describen en detalle cada uno de los procedimientos que lo
conforman:
Además de estos modelos existen muchos otros, los cuales son difundidos y utilizados por
importantes firmas de consultoría en seguridad, firmas de auditores y analistas de riesgos.
Algunos ejemplos de estos modelos son los siguientes:
jY El modelo Basilea, utilizado por la industria bancaria.
jY El modelo de Jerry Fitz Gerald.
jY El estándar de Nueva Zelanda.
Las categorías de riesgo que se utilizarán durante el desarrollo de la auditoría, son las que
siguen:
D
Errores humanos Esta categoría hace referencia a las
equivocaciones que voluntaria o
involuntariamente cometen las personas
relacionadas con el sistema de información en
cualquiera de sus condiciones como usuario
(administrador, propietario o final), lo cual afecta
el buen funcionamiento del sistema.
Fallos de los equipos Se refiere al estado de los equipos o situaciones
inesperadas que puedan presentarse que impidan
el funcionamiento del sistema, lo que conlleva a
la pérdida de la información.
Robo de la Se refiere a la pérdida tanto de la información del
información o equipos negocio como de los activos informáticos que
soportan el desarrollo de las operaciones del
sistema. Hay dos activos informáticos que por su
importancia se categorizan como
la base de datos y el software aplicativo.
Sin estos no es posible dar continuidad a las
operaciones de negocio. Estos activos pueden ser
dañados o destruidos por causas accidentales o
intencionales.
Virus Son pequeños programas escritos
intencionalmente para instalarse en la
computadora de un usuario sin el conocimiento
o el permiso de este. Con la única intención de
causar daño. Estos virus se pueden instalar en un
equipo tanto accidental como intencionalmente,
pero las consecuencias pueden ser fatales.
Sabotaje Es el daño que se le hace a un sistema o a una
empresa por personas al servicio de ésta, de forma
disimulada para favorecer los intereses de otra.
Este riesgo puede ser generado únicamente por
causas intencionales y puede afectar a la
información o destruir los equipos.
Fraude Se refiere a los actos malintencionados de los
empleados o de terceros que dan como resultado
pérdidas de dinero o de activos. Incluye las
diferentes modalidades de fraude relacionado con
la computadora. Este riesgo puede ser generado
únicamente por causas intencionales.
Desastres naturales Son eventualidades de tipo meramente
accidental, pues se presentan sin previo aviso¦
pueden dañar los equipos o producir pérdidas en
la información.
Dentro de esta categoría se encuentran los
huracanes, inundaciones, terremotos, rayos, etc.
! Pérdidas por Sanciones Se refiere a las pérdidas de dinero por multas,
Legales indemnizaciones o cláusulas penales que deba
pagar la empresa por errores, omisiones e
incumplimiento de sus compromisos con los
clientes, con contratistas o con las entidades
reguladoras del gobierno. Este riesgo puede ser
generado por causas accidentales o intencionales.
" Pérdidas por De la calidad de la información depende la
Decisiones Erróneas de calidad de las decisiones. Se refiere a las pérdidas
la Gerencia que sufre una empresa cuando se toman
decisiones equivocadas por falta de información o
por la baja confiabilidad de la misma. Este riesgo
puede ser generado por causas accidentales o
intencionales.
-#
Y
Y
Ñ
@
@ @
@
Para llevar a cabo este procedimiento se podría utilizar alguno de los siguientes métodos:
el Método Delphy o el Método de Cuestionarios de Riesgo.
Para el desarrollo de este proyecto se usará el Método de calificación del riesgo potencial
del Grupo Delphy.
Y
Y
YY
Y
Y
D
c(
1 Errores humanos
2 Fallos de los equipos
3 Robo de la información o equipos
4 Virus
5 Sabotaje
6 Fraude
7 Desastres naturales
8 Pérdidas por Sanciones Legales
9 Pérdidas por Decisiones Erróneas de la Gerencia
-##
)*
'
+&
Los criterios que ayudan a establecer cual de los riesgos comparados es el más
importante, incluyen el significado de cada uno de los componentes del riesgo, como se
definen a continuación:
D
,
'
-
1 . ProbabilidadSe refiere a la posibilidad de ocurrencia del riesgo.
de ocurrencia Esta variable se puede valorar cualitativamente así
(Frecuencia de A: Alta.
Ocurrencia) M: Media.
B: Baja.
2
Impacto de Se refiere a la severidad del impacto económico
cada (costo de las pérdidas) de las consecuencias que
Ocurrencia puede ocasionar a la organización la materialización
del riesgo. Esta variable se puede valorar
cualitativamente así
A: Alta.
M: Media.
B: Baja.
3 Riesgo es el /.0
valor de las Existe una relación inversa entre la frecuencia de
pérdidas que ocurrencia y el impacto. Los más remotos, tales
ocasiona cada como los desastres naturales, son los de mayor
vez que ocurre impacto porque ocasionan las mayores pérdidas.
Esta variable se puede valorar cualitativamente así
A: Alta.
M: Media.
B: Baja.
-#
'
Se compara cada uno de los riesgos que conforman el modelo contra los demás,
mediante votación entre los expertos.
&
1
Los resultados de la votación por cada riesgo se registran en una gráfica como la
siguiente:
Y
[ 23 45
Y
Y
Y l Y i Y Y Y Y Y l Y
i Y li Y Y lY iY Y
Y Y lY
itiiY t Y
Y Y iYttY Y lY
tY i i
Y Y Y ilY lY
iY
Y Y lY
tY
i
Y Y Y l
Y Y l Y il Y Y Y t
Y iY Y
YY
ti
YlY
i YitiiYYlY
Y YYYlYiYY Yili
Y
Y
i Yi
iYlY
i Y
YYY iY
i
Y
Y
Y
CY
YlYlY
iY Yt
Yi iiYY Y i YYYYY Y
lY i YY YY
i t
YlYti Y
YlY
Y iYlY
i Ylli Y
Y lY ilY
tiY Y Y lY i Y Y Y tY lY ti Y Y
Y lY
i Y
itiiYYlY
YYYlYl
Y
Y
[ 5
Y
Y
iYYt Yl Y
tiit YiY YtY
YlY Yl Y
i YY
Y tY
YY YtY ti YiYt YYlY
Y tY
YlY
YYl Yt YYl Y Y i YYY
i
YlY i
YY
YilYlYttlY
Y
t YYit
YlY
Y l!Y
"Y Yt
iY lY tiY YttliY l Y
lt Y Y lY ilYitiiY Y lY
lt
YRYR lt YYlY iitY
:Y
Y
Y
ClYR:YY
[ &
jY En la sección ³a´ de la celda ³R´ se anota la sumatoria de los puntajes registrados en las
secciones superiores (³a´) de todos los cuadros pertenecientes a esa columna.
jY En la sección ³b´ de la celda ³R´ se anota la sumatoria de los puntajes registrados en las
secciones inferiores (³b´) de todos los cuadros pertenecientes a la fila identificada con
el número que encabeza la respectiva columna.
jY En el subcuadro ³c´ que se encuentra en la parte inferior derecha de cada uno de los
cuadros de la fila de resultados, se contabiliza la sumatoria de las dos secciones que lo
conforman (³a´+´b´).
jY En la parte inferior del gráfico se asigna un número a cada uno de los riesgos, en orden
ascendente. El número 1 corresponderá al riesgo que obtuvo el mayor puntaje, el 2 al
siguiente puntaje y así sucesivamente. Esta es la categorización de los riesgos.
El puntaje máximo posible ,. .- que puede obtener un riesgo, se calcula con la
siguiente fórmula:
. . = NP x (RE ± 1)
En donde:
El puntaje máximo posible (PMP) se utiliza como base para calcular la longitud de cada
uno de los cinco (5) intervalos de valoración que resultan de aplicar el principio de
Pareto o regla 80/20, en los que se ubicarán los puntajes obtenidos por cada uno de los
riesgos evaluados.
*
1
.
.
Para establecer cuales son los
se utiliza el .
.
!676 Este principio estudió la relación ³Causa ± Efecto´ y estableció que ³El 20% de las
causas originan el 80% de los efectos´. El 20% de tales causas se denominan CRÍTICAS y
corresponden a las categorías de riesgos cuyo puntaje obtenido esta ubicado en el estrato 5,
es decir, que obtengan un puntaje igual o superior al 80% del puntaje máximo posible
(PMP). Por consiguiente, al identificar las categorías de riesgos que correspondan al 20%
de las causas críticas y concentrarse en ellos, el diseño de controles estará cubriendo el
80% de los posibles efectos adversos que podrían presentarse en el proceso de negocio o
sistema objeto de auditoría.
Y
La longitud del intervalo para aplicar el principio de Pareto se establece dividiendo el PMP
entre 5. Obsérvese que 1/5 del PMP es lo mismo que el 20% del PMP. Esta es la razón de
la división por 5.
Longitud del intervalo = PMP *1/5 = 7.
+
.
8 1& #
.
1
. .
c
5 PMP 80% - 100% Alta
4 60% - 80% Media alta
3 40% - 60% Media
2 20% - 40% Media baja
1 0 0% - 20% Baja
-#
$
+&
9 '
.
'
.
)':#8
-#
$
,0- ; . .. Porcentaje del Puntaje Máximo Posible que obtiene cada riesgo
evaluado
,- D +=
,1& #-
.
(Alta, Media Alta,
Media, Media Baja, Baja)
,-
$ , < ). Se asignará una prioridad de acuerdo al puntaje obtenido.
Si se utilizó el método Delphy, la prioridad 1 corresponderá al mayor puntaje¦ la
prioridad 2 al siguiente mayor puntaje y así sucesivamente.
.
'
.
)' :#8
-#! >1& #
-
'
Se identifican los dos o tres riesgos de mayor criticidad (vulnerabilidad c) pues son
estos sobre los que se aplicará el enfoque de diseño de controles.
En caso de que no existiera un riesgo con vulnerabilidad cse tomarían los riesgos
con el siguiente nivel de vulnerabilidad.
@ @@@
@ @
@ @
??
??@?
??
?
?
??
@ @@@
@@Ñ@
@@
La definición del rol que desempeñan cada una de las dependencias es importante para
completar el entendimiento del sistema y será fundamental para las actividades de
localización de los riesgos críticos en el mapa de riesgos del sistema auditado.
D
+
c
En el enfoque de la auditoría orientada al riesgo es necesario analizar y documentar el
impacto financiero y operacional que podría tener la ocurrencia de los riesgos críticos
potenciales, en cada escenario de riesgo y dependencia que interviene en el manejo de la
información.
-#?
>
+
En la Matriz de Escenarios de Riesgo - Riesgos Críticos, con una ³x´ se indican los
escenarios en los que puede presentarse cada riesgo crítico. La forma como podrán
presentarse en cada escenario, así como la probabilidad de ocurrencia y el impacto
financiero (valor de las pérdidas) que podría generar, se describe en hojas separadas.
+)
*.
*CD .:)*G?+ :
A+D
*c + ?:) *+)D:)
F-*
:)
+D?:)+)
+Dc*:)+*+)D:
.
)'
+
*'
Descripción:
Probabilidad de Ocurrencia:
Impacto:
-# *'
+
En la matriz de ³Impacto de los Riegos Críticos en las Dependencias´, con una ³x´ se
indican las dependencias en las que puede presentarse cada riesgo crítico. La forma
como podrán presentarse en cada dependencia, así como la probabilidad de ocurrencia y
el impacto (valor de las pérdidas) que podría generar, se describe en hojas separadas.
?:
c?*Ec
*:D + *+)D:)
F-*
:) +D ?c) +.+D+D
*c)
@A+ cD+BcD?c*D[: c
*:D
.
)'
D
[& +=
)
.
+
#
-# >*'
?
>
> +
1
.
Utilizando códigos de identificación para los riesgos potenciales críticos (R1, R2...),
dentro de esta matriz se identifican los riesgos que podrían materializarse en cada
pareja ³escenario ± dependencia´.
?:
c?*Ec
*:D + *+)D:)
F-*
:) +D c-*E +
+)
+Dc*:)+*+)D:H+.+D+D
*c)
.
)'
D
+
1 Xx R1, R2
-#
.
@ @@@
@@ @
@@
@ @
La lógica y las sanas prácticas administrativas permiten deducir que la manera más
apropiada de solucionar los problemas es atacar las causas que los generan.
&
Cualquier causa de riesgo que se identifique cabe dentro de una de las siguientes cuatro
categorías:
a)Y Errores y omisiones.
b)Y Fallas o Mal funcionamiento de equipos y la tecnología.
c)Y Actos Malintencionados.
d)Y Desastres Naturales.
En el análisis de las amenazas o causas de riesgo es importante tener presente que existe
una relación inversamente proporcional entre la frecuencia de ocurrencia y el impacto
de estas categorías de causas de riesgo, así:
D
[& *'
1 Errores y omisiones Alta (Muy frecuentes) Bajo
2 Mal funcionamiento y fallas de Media Alta Medio Bajo
equipos y de la tecnología
3 Actos Malintencionados Media Baja Medio Alto
4 Desastres Naturales Baja (Remota) Alto
-#!
&
Para identificar y evaluar las causas de riesgo, para cada riesgo potencial crítico, se
utiliza un formulario como el que se indica en la figura ³Identificación y Evaluación de
Causas de Riesgos Críticos´. En el cual cada causa de riesgo tiene asignado un número
y que estos números son identificadores únicos y ordenados secuencialmente (CR 001,
CR 002, ...).
Convenciones.
(1): Probabilidad de ocurrencia (A: Alta¦ M: Media¦ B: Baja).
(2): Costo de las pérdidas que ocasionaría cada ocurrencia (A: Alta¦ M: Media¦
B: Baja).
(3): R = P * C (puede ser A: Alto¦ M: Medio¦ B: Bajo)
-#"
&
I
'
?
> &
#
Consiste en distribuir las causas de riesgo identificadas para cada riesgo crítico
aplicable, en los escenarios de riesgo que intervienen en el manejo de la información.
+
&
c#
Y CR001, CR002,
-#6?
>
&
I
'
El resumen de la distribución de las causas de riesgos críticos en los escenarios de
riesgo se muestra en la figura ³Localización de Causas de Riesgos Críticos en
Escenarios de Riesgo´.