Está en la página 1de 90

Gestión de Riesgos de la

Información

Eric Donders O.
Septiembre 2010
Eric José Donders Orellana
Magister en Seguridad Informática y Protección
de la Información, Universidad Central, 2009
Postítulo en Seguridad de la Información,
Universidad Central, 2007
Diplomado en Criptografía, Universidad Central,
2007
Ingeniero Civil en Computación, Universidad de
Chile, 1989
CISSP, desde el 2002
Lead Auditor BS7799-2, 2003
Oficial de Seguridad TI desde el 2002
Miembro de ISACA
Comprender los amplios requerimientos para la
gestión adecuada en la Organización del proceso de
riesgos de la información, así como los elementos y
las acciones que se requieren para desarrollar dicho
proceso para implementarlo basado en estándares.
Problemática de Riesgo de Información en la
Organización
Definición de Roles y Responsabilidades
Activos de Información y su Valorización
Amenazas y Vulnerabilidades
Proceso de Gestión de Riesgos
Norma ISO 27005
Ejemplo de Matriz
2010
La aplicación sistemática de políticas,
prácticas y procedimientos de Gestión a las
tareas de identificar, analizar, evaluar, tratar
y monitorear el Riesgo

Gestión Riesgo Información

•Proceso •Medir •Valor


•Mejora
Objetivo Fundamental
 Identificar, cuantificar y administrar los riesgos
relacionados con la seguridad de información para
alcanzar los objetivos de negocio mediante una serie
de tareas

Requieren del conocimiento del gerente de


seguridad de la información sobre técnicas
clave para la Gestión de riesgos

La gestión de los riesgos de seguridad de la


información involucran riesgos tecnológicos,
humanos, ambientales, operativos y físicos,
entre otros.
Conocer los Procesos
Clasificar y Valorizar los activos de
información y sus propietarios
Evaluar amenazas y vulnerabilidades
Valorar los riesgos en base a impacto y
probabilidad
Hacer una gestión continua de riesgos y
valorizaciones
Establecer controles y contramedidas
Reportar a niveles de gestión apropiados
A Fase1 B Fase2 C Fase3
Para que la información cumpla su objetivo,
debe satisfacer cinco características
La información debe ser capturada cuando
Actualizada se genera.
Ante tanta información disponible, debe
Exacta buscarse la relevante, ni más ni menos.
Velocidad de acceso a la información y
Oportuna disponibilidad de alto nivel.
La información debe ser creíble y de
Confiable calidad.
Se debe poder ver, a todos los niveles de
Explicable detalle, el origen de la información.
La información adopta diversas formas

Impresa o escrita en papel


Almacenada electrónicamente
Transmitida por medios electrónicos
Transmitida por medios no electrónicos
Mostrada en video
Hablada en conversaciones
ISO 17799, 2000

“La información es un bien, que como


cualquier otro bien importante del negocio,
tiene valor para la empresa y requiere en
consecuencia una protección adecuada”

La preservación de la confidencialidad,
integridad y disponibilidad.
Asegurar que la información sea accesible sólo
para usuarios autorizados, protegiendo al
Confidencialidad sistema de intrusiones o accesos a personas o
programas no autorizados.
Salvaguardar que la información y los métodos
Integridad de procesamiento sean exactos y completos.

Asegurar que los usuarios autorizados tengan

Disponibilidad acceso a la información y bienes asociados


cuando lo requieran.
Riesgo es la probabilidad de estar expuesto
a un peligro. En término de seguridad, el
riesgo es la probabilidad que una amenaza
aproveche una vulnerabilidad

Riesgo = Impacto * Probabilidad


AMENAZA: Es un evento que puede
desencadenar un incidente en la
organización, produciendo daños materiales
o pérdidas inmateriales en sus activos.
VULNERABILIDAD: Es la probabilidad de
éxito de una categoría de amenaza
particular en contra de la organización. Son
las inseguridades que posee el activo tanto
por problemas tecnológicos, como
problemas de procedimientos.
PROBABILIDAD: Es una medida porcentual
para estimar la posibilidad de ocurrencia de
una amenaza
IMPACTO: Consecuencias que puede
ocasionar a la organización la
materialización de una amenaza. Es el daño
al negocio como resultado de un
incumplimiento de seguridad de
información, considerando las potenciales
consecuencias de pérdidas o fallas de la
información.
En un análisis de riesgos cuantitativo, las métricas
asociadas con el impacto causado por la materialización
de las amenazas se valoran en cifras concretas de forma
objetiva, en función del costo económico que suponen
para la organización.
Emplea dos elementos, la probabilidad de que se
produzca un hecho y la probable pérdida en caso que
ocurra. Se centra en el uso de una sola cifra producida a
partir de estos elementos, a esto se le denomina
comúnmente “ALE” Annual Loss Expectancy
Este análisis se basa en obtener medidas cuantitativas
de los riesgos en base a mediciones o estimaciones. Para
esto, se asigna un valor económico al impacto (I), que
debe asumirse en el caso de que ocurra el riesgo, y una
probabilidad (P) de ocurrencia (por ejemplo, porcentual),
con lo que se obtiene el valor estimado del riesgo
VE=P*I
Asignar valor a los activos de información
Estimar la pérdida potencial por riesgo.
 Calcular la Expectativa de pérdida unitaria (SLE: Single
Loss Expectancy), que es el costo del activo por el factor
de exposición.
 Factor de exposición (EF: Exposure Factor): Es el
porcentaje estimado de pérdida del activo por una
amenaza en particular.
SLE = Valor del Activo * EF
Calcular la probabilidad de ocurrencia (ARO:
Annualized Rate of Ocurrence): Es el número de
veces al año que se espera que se materialice una
amenaza.
Calcular la Expectativa de pérdida (ALE: Annualized
Loss Expectancy)
ALE = SLE * ARO
ARO = 5 eventos por
VA = US$ 5.000
año
FE = 90%
ALE = 4.500 * (5/1)
SLE = US$ 4.500
ALE = US$20.000
ARO = 1 evento por 10
VA = US$ 1.000.000
años
FE = 90%
ALE = 900.000 * (1/10)
SLE = US$ 900.000
ALE = US$90.000
La activación de Virus en el interior de las
compañías afecta su operación, lo cual trae
consigo un costo operacional al no contar con
los controles que prevenga el ingreso de Virus,
y si al Virus se propaga tiene un costo
operacional mas alto.
Se estima la perdida anual por no tener el
control (ALE: Annual Loss Exposure) y se
multiplica por su nivel de exposicion (eficiencia
del control)
Luego el retorno de la inversión del control de
seguridad (ROSI) será
 (ALE* %Riesgo Mitigado - Costo Control) / Costo
Control.
Se estima un costo por perdida por Virus
(Gran Progagación y Daño) en US$ 5000, y
por la gran cantidad de estaciones +1500
se estima 5 eventos anuales, luego el ALE
es US$25000, suponiendo una eficiencia de
80% (ingreso uno de cinco relevantes) y el
costo directo del control anual es de
45000/3 = 15000, entonces tenemos el:
ROSI = ( [25000*80% - (15000] ) / (15000)
= 33,3% anual
Son cálculos conservadores, lo que varia el
retorno del control es su impacto.
Ventajas Desventajas
– Se asignan prioridades a los – Los valores de repercusión
riesgos según las repercusiones asignados a los riesgos se basan en
financieras; se asignan prioridades las opiniones subjetivas de los
de los activos según los valores participantes.
financieros. – El proceso para lograr resultados
– Los resultados facilitan la creíbles y el consenso es muy
administración del riesgo por el lento.
rendimiento de la inversión en – Los cálculos pueden ser
seguridad. complejos y lentos.
Análisis – Los resultados se pueden – Los resultados sólo se presentan
expresar en terminología en términos monetarios y pueden
específica de administración (por ser difíciles de interpretar por parte
Cuantitativo ejemplo, los valores monetarios y de personas sin conocimientos
la probabilidad como un técnicos.
porcentaje específico). – El proceso requiere experiencia,
– La precisión tiende a ser mayor por lo que los participantes no
con el tiempo a medida que la pueden recibir cursos fácilmente
organización crea un registro de durante el mismo.
historial de los datos mientras gana
experiencia.
En el análisis de riesgos cualitativo, las métricas
asociadas con el impacto causado por la materialización
de las amenazas se valoran en términos subjetivos. Este
enfoque no asigna números ni valores monetarios,
califica dentro de una escala el riesgo, por ejemplo,
Alto-Medio-Bajo
Es mucho más sencillo e intuitivo que el anterior, ya que
ahora no entran en juego probabilidades exactas sino
simplemente una estimación de pérdidas potenciales.
Para ello se interrelacionan cuatro elementos principales:
las amenazas, presentes en cualquier sistema; las
vulnerabilidades, que potencian el efecto de las
amenazas; el impacto asociado a una amenaza, que
indica los daños sobre un activo por la materialización
de dicha amenaza y los controles o contramedidas, para
minimizar las vulnerabilidades o el impacto
Ventajas Desventajas
– Permite la visibilidad y la – No hay una distinción
comprensión de la suficiente entre los riesgos
clasificación de riesgos. importantes.
– Resulta más fácil lograr – Resulta difícil invertir en
el consenso. la implementación de
– No es necesario controles porque no existe
Análisis cuantificar la frecuencia de una base para un análisis de
las amenazas. costo-beneficio.
– No es necesario – Los resultados dependen
Cualitativo determinar los valores de la calidad del equipo de
financieros de los activos. administración de riesgos
– Resulta más fácil que los hayan creado.
involucrar a personas que
no sean expertas en
seguridad o en informática.
Se puede encontrar una gran cantidad de
normas para el análisis y gestión de riesgos
de seguridad de la información.
Todos los países cuentan con entidades que
establecen dichas directrices de acuerdo a
parámetros internos, políticas de gobierno,
de inversión y la manera cómo perciben la
importancia de la información.
Risk Management
En 1999 australianos y neozelandeses
publicaron en forma conjunta un estándar para
la caracterización de un proceso de gestión de
riesgos, AS/NZS 4360:1999.
Tras su primer ciclo de revisión, la versión
más reciente data de 2004 y conforma un
paquete completo que incluye el manual de
apoyo HB 436:2004.
Esta norma provee una guía genérica para el
establecimiento e implementación del proceso
de administración de riesgos en seguridad de la
información.
Risk Management Guidelines
La norma británica BS 7799-3:2006, “Sistemas de
Gestión de Seguridad de la Información-Parte 3:
Guías para la gestión de riesgos de seguridad de la
información”, proporciona una guía para soportar
los requisitos establecidos por ISO/IEC 27001:2005
con respecto a todos los aspectos que debe cubrir
el ciclo de análisis y gestión del riesgo en la
construcción de un SGSI.
Estas tareas incluyen la identificación y evaluación
del riesgo, implementación de controles para
reducirlos, monitorización y revisión de los riesgos,
y mantenimiento y mejora continua del sistema
basado en el control del riesgo
 Information technology-Security techniques-Information
security risk management
La norma ISO/IEC 27005:2008, “Tecnologías de la
información-Técnicas de Seguridad-Gestión del
riesgo de seguridad de la información”, forma parte
de la familia ISO 27000, conjunto de estándares
desarrollados por ISO e IEC, que proporcionan un
marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña. [ISO 27005,
2008].
ISO 27005 soporta los conceptos definidos en la
ISO 27001. Para su entendimiento se recomienda
conocer los conceptos, modelos, procesos y
terminología de esta norma y de la ISO 27002.
La norma 27005 ha sido diseñada para ayudar a la
puesta en práctica satisfactoria del análisis y gestión
del riesgo, fase principal del diseño de todo buen
sistema de gestión de la seguridad de la información
(SGSI). Esta norma actualiza a la antigua ISO/IEC TR
13335-3 y 13335-4

El proceso de Gestión de Riesgos se describe en seis


fases
Establecimiento del contexto: se definen los objetivos,
alcance y la organización para todo el proceso

Valoración de riesgos: se obtiene la información


necesaria para conocer, valorar y priorizar los
riesgos. Se divide en tres partes:
 Análisis de Riesgos
• Identificación de riesgos: consiste en determinar qué
puede provocar pérdidas en la organización.
• Estimación de riesgos: utilizar métodos cuantitativos o
cualitativos para obtener una cuantificación de los riesgos
identificados, teniendo en cuenta los activos, amenazas y
salvaguardas.
 Evaluación de riesgos: se comparan los riesgos
estimados con los criterios de evaluación y aceptación
de riesgos definidos en el establecimiento del
contexto.
Tratamiento de riesgos: se define la estrategia
para tratar cada uno de los riesgos valorados;
reducción, aceptación, evitación o
transferencia.
Aceptación de riesgos: se determinan los
riesgos que se decide aceptar y su justificación
correspondiente
Comunicación de riesgos: todos los grupos de
interés intercambian información sobre los
riesgos.
Monitorización y revisión de riesgos: el análisis
de riesgos se actualiza con todos los cambios
internos o externos que afectan a la valoración
de los riesgos.
El proceso de gestión de riesgos de
seguridad de la información, se basa en el
ciclo de mejoramiento continuo de Deming
(PDCA).
Este ciclo contempla cuatro etapas
Ciclo de Deming Proceso de Gestión de riesgos de
seguridad de la información
Establecimiento del contexto
Valoración de riesgos
Planificar (Plan) Desarrollo del plan de tratamiento de riesgos
Aceptación de riesgos

Implantación del plan de tratamiento de riesgos


Ejecutar (Do)
Monitorización y revisión continua de riesgos
Verificar (Check)
Mantenimiento y mejora del proceso de gestión
Actuar (Act) de riesgos de seguridad de la información
Conformidad
Nombre País Año Organización Herramienta
Regulatoria
ISO/IEC 27001/2005
ISO/IEC ISO-International Organization ISO/IEC 13335/2004
Internacional (Suiza) 2008 No
27005:2008 for Standardization ISO/IEC
27002/2005
ISO/IEC
BS 7799-3:2006 Reino Unido 2006 BSI-British Standards Institution No
27001/2005
AS/ZNS-Australian
AS/NZS
Australia/Nueva Zelanda 2004 Standards/New Zealand N/A No
4360:2004
Standards
ISO/IEC
27001/2005
ISO/IEC
Consejo Superior de 15408/2005 Sí, (EAR/
MAGERIT España 2006
Administración Electrónica ISO/IEC Pilar)
17799/2005
ISO/IEC 13335/2004
LOPD 15/1999
ISO/IEC17799
CCTA-Central Computing and
CRAMM Reino Unido 2003 GLBA Sí , CRAMM expert
Telecommunications Agency
HIPPA

Carnegie Mellon University


2001- CERT
OCTAVE Estados Unidos N/A Sí
2007 (Computer Emergency
Response Team)

NIST-National Institute of
NIST SP 800-30 Estados Unidos 2002 N/A No
Standards and Technology
Alcance
Nombre
Análisis de Riesgos Gestión de Riesgos

ISO/IEC 27005:2008 • •
BS 7799-3:2006 • •
AS/NZS 4360:2004 • •
MAGERIT • •
CRAMM • •
OCTAVE • •
NIST SP 800-30 • •
Confidencialidad: aseguramiento de que la información
es accesible solo para aquellos autorizados a tener
acceso.
Integridad: garantía de la exactitud y completitud de la
información de la información y los métodos de su
procesamiento.
Disponibilidad: aseguramiento de que los usuarios
autorizados tienen acceso cuando lo requieran a la
información y sus activos asociados.
Autenticidad: Aseguramiento de la identidad u origen. La
información que se almacena o circula, debe permanecer
protegida ante falsificaciones.
Trazabilidad: Aseguramiento de que en todo momento
se podrá determinar quién hizo qué y en qué momento.
Fiabilidad: Aseguramiento de que la información está en
buen estado y es confiable.
Requerimientos de seguridad
Nombre
Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad Fiabilidad

ISO/IEC
27005:2008
BS 7799-
3:2006
AS/NZS
4360:2004
MAGERIT

CRAMM

OCTAVE
NIST SP 800-
30
Elementos del modelo
Nombre
Procesos Activos Dependencias Vulnerabilidades Amenazas Controles
ISO/IEC
27005:2008

BS 7799-
3:2006

AS/NZS
4360:2004

MAGERIT

CRAMM

OCTAVE

NIST SP 800-
30
Amenazas
 Externalidades al activo de información que son
capaces de explortar vulnerabilidades

Amenazas contra la integridad:


 Modificación indebida de datos (fallo de permisos)
 Falta de integridad (borrado o modificación) de datos
 Imposibilidad de identificar fuente de datos
 Fallo en la integridad de bases de datos (corrupción)
 Modificación en archivos de sistema (configuraciones,
logs)
 Destrucción o corrupción de backups
 Virus
Amenazas contra la confidencialidad:
 Accesos no autorizados a información confidencial
 Accesos públicos a información confidencial por error
 Mala configuración o descuido
 Suplantación de usuarios
 Acceso a servicios confidenciales (correo, BBDD,
servidores de acceso)
 Instalación de caballos de troya.
 Acceso físico a material restringido
Amenazas contra la disponibilidad:
 Caída de servicios externos. (DoS)
 Agotamiento de recursos, ancho de banda, disco,
socket. (DoS o mala configuración)
 Fallo de infraestructuras generales de red, por
ejemplo, routing, switches, otros. (DoS, fallo, mala
configuración o sabotaje)
 Destrucción de configuraciones o servicios. (DoS o
Sabotaje)
 Acceso físico a infraestructura básica. (Sabotaje)
Nº Amenazas
1 Acción/juicio Industrial (interna / externa)
2 Actos o ataques terroristas
3 Ataque por denegación de servicios
4 Cambio de personal a posiciones claves
5 Cambios no exitosos/fallidos
6 Canales secretos/encubiertos
7 Carencia de staff / proveedores y/o terceras partes
8 Contaminación
9 Contaminación ambiental (natural o provocado por el hombre)
10 Crackeo/quiebre de password
11 Daño deliberado
12 Desastre ambiental
13 Desastre de mercado (por ejemplo, una crisis)
14 Desastre de la naturaleza o ambiental
15 Descuido fortuito/eventual
16 Destrucción maliciosa
17 Discado/marcación errónea (teléfono /fax)
18 Emisión de información incorrecta/inexacta
19 Enmascaramiento /spoofing
20 Error de mantención (mala programación de mantención)
21 Errores de operación de aplicación por parte de usuarios
22 Errores de proceso
23 Errores de software
24 Errores/atrasos de transmisión de datos y/o archivos
25 Errores Humanos
26 Errores operacionales del staff
27 Escucha secreta
28 Espionaje
29 Explosión de bomba
30 Falla de Aire Acondicionado
Las vulnerabilidades son de naturaleza variada,
pero intrísicas al activo de información, como
por ejemplo:
 Falta de conocimiento del usuario
 Tecnología inadecuadamente probada o testeada.
 Transmisión por redes públicas.
 Antivirus no actualizado.
Por cada amenaza, se identifican las
vulnerabilidades que pueden provocar que la
amenaza se materialice y se convierta en un
riesgo para los activos de información de la
organización.
Calcular la probabilidad de explotación de las
vulnerabilidades sobre cada amenaza,
Vulnerabilidades
1 Acceso de tipo público a instalaciones (total o parcial)
2 Alto valor de la propiedad intelectual mantenida (ej. Atractiva para competidores, espionaje industrial.)
3 Alto valor de las acciones, tecnologías, etc. (ej. Atractivos para ladrones)
4 Área susceptible a fluctuaciones o cortes temporales de energía
5 Aspectos de Seguridad no incluidos en las descripciones de cargos, roles y responsabilidades
6 cableado defectuoso/equivocado/indebido
7 Cableado expuesto para la infraestructura de red (p. ej.. afuera del edificio, en áreas de trabajo manual)
8 Carencia de entendimiento/educación en el Acta de Copyrights, diseño y patentes
9 Carencia de entendimiento/educación en el Acta de Derechos Humanos
10 Carencia de entendimiento/educación en el Acta de Mal uso de la Computadora
11 Carencia de entendimiento/educación en el Acta Libertad de Información
12 Carencia de entendimiento/educación en los requerimientos del Acta de Protección de la Información
13 Clientes con acceso físico o lógico no sujetos al mismo control de los empleados internos
14 Compromiso de activos
15 Compromiso de la seguridad
16 Conexión no autorizada de equipos a la red (Ej. PDA, modem, home systems)
17 Conexiones a la red pública sin protección
18 Configuración incorrecta de aspectos relevantes y controles de seguridad
19 Configuración insegura de servicios RAS (Remote Access Services) con clientes
20 Política y procedimientos de configuración, mantención y análisis del firewall no adecuada o insuficientes
21 Corrupción de información a causa de fallas de sistema (p. ej.. corrupción de un disco)
22 Defectos conocidos del software
23 Desarrollo/construcción de contratos no adecuados con terceras partes, socios, proveedores.
24 Desecho o reutilización de medios de almacenamiento sin el borrado apropiado
25 Documentación del software insuficiente o en forma inadecuada
26 Empleados descontentos o trastornados
27 Equipos computacionales ubicados en áreas públicas sin una supervisión constante
28 Equipos de computación portátil en lugares no seguros (ej. Laptops en áreas públicas)
29 Exceso de confianza en personal clave / falta de delegación, planes de sucesión, etc.
30 Existencia de material combustible
Ejecutivo
Determinar los
Patrocinador Riesgos Aceptables
¿Qué es lo importante?

Grupo de Seguridad de
Definir los requerimientos Medir las soluciones
Información Evaluar los Riesgos
de seguridad De Seguridad
Priorizar los Riesgos

Grupo de Informática
Diseñar y Crear Operar y Soportar las
La mejor solución de Soluciones de Soluciones de
Seguridad Seguridad
Control
Activos

Identificación de Tasación o
Activos Valorización de
Activos

Amenazas y
Vulnerabilidades

Identificación Posibilidad de Identificación de Posibilidad de


de Amenazas Ocurrencias de Vulnerabilidades Ocurrencias de
Amenazas Vulnerabilidades

Evaluación de
Riegos

Estimado del Valor Posibilidad de Score del Riesgo de


de los Activos en Ocurrencia del los Activos
Riesgos Riesgo
MAPA DE PROCESOS
PROCESOS DE GESTIÓN
PROCESOS MEDICIÓN, ANÁLISIS Y MEJORA

PROCESOS CLAVES
PROCESOS CADENA DE VALOR
REQUISITOS
PROCESOS DE CADENA DE VALOR SATISFACCIÓN
CLIENTE CLIENTE
INTERNO INTERNO
Y EXTERNO Y EXTERNO

PROCESOS DE APOYO
Superintendencia de Bancos

Informátic
Servicio al a
Cliente

Solicitud Análisis Evaluación Aprobación Emisión

Comercial Suministro
s
Comité de
Crédito Imprenta
de
Chequeras
Tipo Activos Ejemplos
• Activos de información (Datos de Gestión, Transacción Electrónica, etc.)

• Documentos de papel (Contratos, decretos, reglamentos, etc.)

• Activos de software (Aplicación, software de sistemas, ERP, BD, etc.)

• Activos físicos (Computadoras, medios magnéticos, data center, etc.)

• Personal (Clientes, personal, proveedores, etc.)

• Servicios (Comunicaciones, servidores, diferentes sistema de


apoyo, etc.)
Ranking 1 a 5
Integridad Criterio Valor
Procedimientos y
chequeos de integridad
Básico dependientes del usuario I-1

Acceso basado en
Estándar funciones I-2

Evaluación de las
versiones de software y
Individual parches antes del I-3
despliegue

Requiere una revisión


doble para cualquier
Doble Intervención cambio o eliminación I-4
(acceso de escritura)
Disponibilidad Criterio Valor
Respaldo y recuperación
Recuperable de la información D-1

Hardware o sistemas de
cómputo en modo “Cold
Recuperación en frío D-2
Stand by”

Transmisión, sistemas o
hardware de cómputo en
Recuperación en caliente D-3
modo “Hot Stand by”

Hardware en modo “A
prueba de fallo” con
Tolerante a fallas funciones completamente D-4
redundantes
Confidencialidad Criterio Valor
Sin restricciones de
acceso
Público C-1

Restricciones de acceso
Reservado basadas en las funciones C-2

Nombres de las personas


con acceso que cuentan
con seguridad reforzada
en un ambiente a prueba
Secreto C-3
de intrusiones con
protección de controles
criptográficos
Area
Tipo de Ubicación Confidenc Integrid Disponi
Activo Descripción Proceso Organizac Valor
Activo Fisica ialidad ad bilidad
ional
Sitio WEB del
Banco para el
publico

Sitio WEB del


Banco para
clientes

Intranet del
Banco

Web Master
Activo Amenaza Vulnerabilidad Mitigación

Impacto Probabilidad

Riesgo
IMPACTO
Valor # Valor Descripción
1 Insignificante Sin perjuicios, perdida financiera muy baja
Tratamiento de Soporte 1er nivel, se contuvo
2 Menor inmediatamente, perdida financiera baja
Tratamiento de Soporte 2do nivel, se contuvo con
3 Moderado asistencia externa, perdida financiera media
Perdida de capacidad de producción, perdida financiera
4 Mayor mayor
Perdida de capacidad de producción prolongada, perdida
5 Muy alto financiera enorme

PROBABILIDAD
Valor # Valor Descripción
1 Muy Baja Raro, puede ocurrir solo en circunstancia excepcionales
2 Baja Es poco probable, pudo ocurrir en algún momento
3 Moderada Es posible, podría ocurrir en algún momento
4 Alta Es probable que ocurra
5 Muy Alta Es muy probable que ocurra
RIESGOS
Valor # Valor Descripción
Riesgo extremo, requiere apoyo de la alta gerencia y acción
5 Alto inmediata para implantación de controles de seguridad
Riesgo Alto, requiere atención de la alta gerencia y requiere
4 Medio Alto implantación de controles de seguridad
Debe especificarse responsabilidad gerencial y requiere
3 Medio implantación de controles de seguridad
Debe administrarse bajo un adecuado manejo de incidentes
2 Medio Bajo y/o evaluar implantar controles de seguridad
1 Bajo Debe administrarse bajo procedimientos de rutinas

PROBABILIDAD
Muy Alta 5 5 6 7 8 9
Alta 4 4 5 6 7 8
Moderada 3 3 4 5 6 7
Baja 2 2 3 4 5 6
Muy Baja 1 1 2 3 4 5
1 2 3 4 5

Insignificante Menor Moderado Mayor Muy Alto


IMPACTO
(1)
Opción de
Reducción
del Riesgo

¿Las
¿Los
Consecuencias (2)
Controles son NO son económicamente
SI Opción de
Económicamente
Devastadoras para Evitar
Factibles de
Organización? el Riesgo
Implantar?

NO
SI (3)
Opción de
Transferencia
del Riesgo
¿Los
Controles
(4)
permiten NO Opción de
Reducir el Riesgo a
Aceptación
Niveles
del Riesgo
Aceptables?

SI

Implantar los
Controles
Revisar los controles actuales
Recalcular Impacto y Probabilidad
Reevaluar riesgo dado el o los controles
existente
Equipo de
Gestión de
1Definir 3Revisar
Soluciones
4Estimar grado
Requerimientos de reducción
Riesgo Funcionales
contra
de riesgos
requerimientos

Propetario
de la
2 Identificar
solución de
5 Estimar costo
controles o de cada
mitigación solución
mejoras

Comité de 6 Seleccionar
Seguridad de la estrategia de
Informacióm mitigación de
riesgos
Controles
 Preventivos
 Detectivos
 Correctivos

Controles
 Manual
 Semiautomático
 Automático
Control
 Elemento que permite mantener y/o mitigar un
riesgo asociado a un activo de información
Evaluación de controles
 Riesgo Inherente es el riesgo del activo sin
controles asociados
 El uso de control actual permite mitigar el riesgo
inherente del activo y evaluar el riesgo actual del
activo
 Reducir el nivel de riesgo significa
• Mejorar el control
• Implantar control que mitigue dicho riesgo
Cláusula Objetivo de Control Control ISO
17799:2005
5 Política de Seguridad
5.1 Política de Seguridad de la 5.1.1 Documento de política de seguridad de la Información
Información
5.1.2 Análisis, Revisión y Evaluación de la Política de seguridad de la
Información
6 Organización de la Seguridad de la Información
6.1 Organización Interna 6.1.1 Compromiso de la Dirección con la seguridad de Información
6.1.2 Coordinación de la Seguridad de la Información
6.1.3 Reasignación de las Responsabilidades con la Seguridad de la
Información
6.1.4 Proceso de autorización para los recursos de procesamiento de la
información
6.1.5 Acuerdo de Confidencialidad
6.1.6 Contacto con Autoridades
6.1.7 Contacto con grupos de interés especial
6.1.8 Análisis, Revisión y Evaluación Independiente de la Seguridad de la
Información
6.2 Organizaciones externas 6.2.1 Identificación de los riesgos relacionados con las Organizaciones externas

6.2.2 Tratamiento de la seguridad cuando se esta tratando con Clientes


6.2.3 Tratamiento de la seguridad en contratos de Terceros
7 Gestión de Activos
7.1 Responsabilidad de Activos 7.1.1 Inventario de Activos
7.1.2 Propietario de Activos
7.1.3 Uso aceptable de Activos
7.2 Clasificación de la Información 7.2.1 Recomendaciones para la clasificación
7.2.2 Rótulos y manejo de la Información
Cláusula Objetivo de Control Control ISO
17799:2005
8 Seguridad de Recursos Humanos
8.1 Antes del Empleo 8.1.1 Roles y Responsabilidades
8.1.2 Selección de Personal
8.1.3 Términos y condiciones contractuales
8.2 Durante el empleo 8.2.1 Responsabilidades de la Dirección
8.2.2 Concientización, educación y entrenamiento en la Seguridad de la
Información
8.2.3 Proceso Disciplinario
8.3 Término o cambio de empleo 8.3.1 Término de las actividades y responsabilidades
8.3.2 Devolución de Activos
8.3.3 Retiro de los derechos de acceso
9 Seguridad Física y Ambiental
9.1 Áreas Seguras 9.1.1 Perímetro Físico de Seguridad
9.1.2 Control de Ingreso Físico
9.1.3 Seguridad en oficinas, salas e instalaciones
9.1.4 Protección contra amenazas externas y ambientales
9.1.5 Trabajo en áreas Seguras
9.1.6 Acceso Público, áreas de entrega y de carga
9.2 Seguridad de equipos 9.2.1 Instalación y Protección de Equipamiento
9.2.2 Utilidades y Soporte de Servicios Públicos
9.2.3 Seguridad del cableado
9.2.4 Mantención de Equipamiento
9.2.5 Seguridad de equipamiento fuera de las dependencias de la Organización

9.2.6 Reutilización o eliminación segura de equipamiento


9.2.7 Retiro o traslado de Propiedad
Cláusula Objetivo de Control Control ISO
17799:2005
10 Gestión de las Comunicaciones y Operaciones
10.1 Procedimientos y Responsabilidades 10.1.1 Documentación de los procedimientos operacionales
Operacional
10.1.2 Gestión de los Cambios
10.1.3 Segregación de las funciones
10.1.4 Separación de los recursos de desarrollo, prueba y de producción
10.2 Gestión de Servicios Tercerizados 10.2.1 Entrega del Servicio
10.2.2 Monitoreo y análisis se servicios tercerizados
10.2.3 Gestión de Cambios para servicios Tercerizados
10.3 Planificación y aprobación de Sistemas 10.3.1 Gestión de capacidad
10.3.2 Aprobación de Sistemas
10.4 Protección contra código maliciosos y 10.4.1 Control contra Código maliciosos
código móvil
10.4.2 Protección contra código móvil
10.5 Respaldos y Recuperación de Información 10.5.1 Respaldos y Recuperación de información

10.6 Gestión de la Seguridad en la red 10.6.1 Controles de red


10.6.2 Seguridad de Servicios de Red
10.7 Manejo de medios 10.7.1 Gestión de medios removibles
10.7.2 eliminación de medios
10.7.3 Procedimientos de manejo de Información
10.7.4 Seguridad de documentación del sistema
10.8 Intercambio de Información 10.8.1 Políticas y procedimientos de intercambio de información
10.8.2 Acuerdo para intercambios
10.8.3 Medios físicos en tránsito
10.8.4 Servicios de mensaje electrónico
10.8.5 Sistemas de Información del Negocio
10.9 Servicios Comercio Electrónico 10.9.1 Comercio Electrónico
10.9.2 Transacciones en línea
10.9.3 Información Disponible públicamente
10.10 Monitoreo 10.10.1 Registros (bitácoras) de auditoria
10.10.2 Monitoreo del uso del sistema
10.10.3 Protección de registro (bitácora)
10.10.4 Registros (bitácoras) del administrador y operador
Cláusula Objetivo de Control Control ISO
17799:2005
11 Control de Acceso
11.1 Requisitos de negocios para el 11.1.1 Políticas de Control de Acceso
control de acceso
11.2 Gestión de Accesos a Usuarios 11.2.1 Registro e inscripción de Usuarios
11.2.2 Gestión de Privilegios
11.2.3 Gestión de contraseñas
11.2.4 Revisión y Análisis de los derechos de acceso de usuarios
11.3 Responsabilidades de los Usuarios 11.3.1 Uso de las contraseñas
11.3.2 Equipo de usuario desatendido
11.3.3 Políticas de escritorios limpios y pantalla limpia
11.4 Control de Acceso a la red 11.4.1 Política de utilización de los servicios de red
11.4.2 Autenticación para la conexión externa del usuario
11.4.3 Identificación de equipo en redes
11.4.4 Protección de puertas de diagnóstico y configuración
11.4.5 Segregación de Redes
11.4.6 Control de Conexión de Redes
11.4.7 Control de enrutamiento de redes
11.5 Control de acceso de sistema 11.5.1 Procedimientos de ingreso seguro en el sistema
operacional
11.5.2 Identificación y Autenticación de usuarios
11.5.3 Sistema de Administración de Contraseñas
11.5.4 Uso de programas Utilitarios
11.5.5 Desconexión de la sesión por inactividad
11.5.6 Limitación del tiempo de la conexión
11.6 Control de Acceso a las aplicaciones 11.6.1 Restricción de acceso a la información
e información
11.6.2 Aislamiento de sistemas sensibles
11.7 Computación móvil y trabajo remoto 11.7.1 Computación móvil comunicaciones

11.7.2 Trabajo remoto (tele-trabajo)


Cláusula Objetivo de Control Control ISO
17799:2005
12 Adquisición, Desarrollo y mantenimiento de los Sistemas de Información
12.1 Requisitos de Seguridad de 12.1.1 Análisis y especificación de los requerimientos de la seguridad
Sistemas de Información
12.2 Procesamiento correcto en las 12.2.1 Validación de los Datos de Entrada
aplicaciones
12.2.2 Control de procesamiento interno
12.2.3 Integridad de mensajes
12.2.4 Validación de los Datos de Salida
12.3 Controles criptográficos 12.3.1 Política para el uso de controles de criptografía
12.3.2 Gestión de Claves criptográficas
12.4 Seguridad de los archivos de 12.4.1 Control de software en producción
sistemas
12.4.2 Protección de los datos de prueba del sistema
12.4.3 Control de Acceso al código de programa fuente
12.5 Seguridad en los procesos de 12.5.1 Procedimientos de control de cambio
desarrollo y soporte
12.5.2 Revisión Técnica de aplicaciones después de cambios en el sistema
operacional
12.5.3 Restricciones en los cambios en paquetes de software
12.5.4 Fuga de Información
12.5.5 Desarrollo de software por terceros
12.6 Gestión de Vulnerabilidades 12.6.1 Control de la Vulnerabilidades Técnicas
Técnicas
13 Gestión de Incidentes en la Seguridad de la Información
13.1 Reporte de eventos y fallas de la 13.1.1 Reportando eventos de seguridad de la información
seguridad de información
13.1.2 Reportando Debilidades de seguridad
13.2 Gestión de Incidentes de Seguridad 13.2.1 Responsabilidades y procedimientos
y mejoras
13.2.2 Aprendizaje de los incidentes de seguridad de la información
13.2.3 Recolección de evidencias
Cláusula Objetivo de Control Control ISO
17799:2005
14 Gestión de la Continuidad del Negocios
14.1 Aspectos de seguridad de la 14.1.1 Inclusión de la seguridad de la Información en el Proceso de
información de Gestión de Gestión de Continuidad de los negocios
Continuidad de la Organización
14.1.2 Continuidad de negocios y evaluación de riesgos
14.1.3 Desarrollo e Implementación de un Plan de Continuidad incluyendo
la Seguridad de la Información
14.1.4 Estructura del Plan de Continuidad de Negocios
14.1.5 Prueba, mantención y re-evaluación de los planes de continuidad de
negocios
15 Cumplimiento
15.1 Cumplimiento con requerimientos 15.1.1 Identificación de la legislación vigente
legales
15.1.2 Derechos de Propiedad Intelectual
15.1.3 Protección de los registros Organizacionales
15.1.4 Protección de los Datos y privacidad de la información Personal
15.1.5 Prevención contra el uso indebido de los recursos de procesamiento
de la información
15.1.6 Reglamentación de los controles de criptografía
15.2 Cumplimiento con las normas y 15.2.1 Conformidad con normas y políticas de seguridad
políticas de seguridad y
conformidad técnica
15.2.2 Verificación de Conformidad Técnica
15.3 Consideraciones cuanto a 15.3.1 Controles de auditoria de sistemas de información
auditoria de sistemas de
información
15.3.2 Protección de herramientas de auditoria de sistemas de información
Se identifica Activo de la Información
Se identifican amenazas y vulnerabilidad
Se estima impacto y probabilidad
Se evalúa riesgo de acuerdo a impacto y
probabilidad sin controles
 Riesgo Inherente
Evaluando controles actuales se recalcula
impacto y/o probabilidad y se reevalúa
riesgo
 Riesgo Residual
ID Riesgo Activo Riesgo Inherente Riesgo Mitigado
# Amenaza & Vulnerabilidad Involucrado Impacto Probabilidad Control(es) mitigante(s) Impacto Probabilidad

* Política de
resguardo de claves
Acceso no autorizado * Utilitario que
en terminales caja Terminal de Medio controla: Horario de
22 4 4 4 1 Medio
debido a un inadecuado caja Alto conexión, conexión
control de acceso. sólo a la app de
cajas; validación
terminal

* Bloqueo de acceso
Acceso no autorizado a
(sólo vía servicio)
servidor/bases de datos Transacciones Medio
45 3 4 Medio * Cifrado de Base de 3 1
debido a un inadecuado financieras Bajo
datos
control de acceso
* Activación de log

* Política de
Desarrollo
Fraude por software Sistema de Medio
54 5 3 * Certificación de QA 5 1 Medio
defectuoso Cajas Alto
* Resguardo
versiones sistema
Nro Actividad Sub Actividad Ejecutor Estado
1 Evaluación de Identificación de OK/Pendiente
Riesgos Procesos
2 Evaluación de Identificación de
Riesgos Activos de la
Información
3 Evaluación de Evaluación de Activos
Riesgos
4 Evaluación de Identificación de
Riesgos Vulnerabilidades
5 Evaluación de Identificación de
Riesgos Objetivos de Control,
Controles y
Contramedidas
6 Evaluación de Informe al Comité de
Riesgos Seguridad
7 Evaluación de Monitoreo y Revisión
Riesgos
Encabezado
Detalle
Detalle
Encabezado
Encabezado
Detalle
Detalle
Detalle