Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Normas Internacionales
Análisis de Riesgo en TI
Estudiantes:
Carlos Beitia
Kevin Justavino
Víctor Cubilla
José Cerceño
Profesor:
Manuel Estévez
Grupo:
2IF151
2020
Índice
Introducción................................................................................................................................3
MAGERIT......................................................................................................................................4
Fecha de Creación....................................................................................................................4
La MAGERIT tuvo su primera versión en 1997........................................................................4
Organismo que la rige.............................................................................................................4
Historia y Evolución hasta la última versión...........................................................................4
Principales características.......................................................................................................4
Administración y tratamiento del riesgo................................................................................5
Instrumento de aplicación.......................................................................................................7
NIST SP-800-30.............................................................................................................................9
Fecha de Creación....................................................................................................................9
Organismo que la rige.............................................................................................................9
Historia y Evolución hasta la última versión...........................................................................9
Principales características.....................................................................................................10
Administración y tratamiento del riesgo..............................................................................11
Instrumento de aplicación.....................................................................................................15
Comparación..............................................................................................................................18
RÚBRICAS...................................................................................................................................19
Conclusión.................................................................................................................................20
Referencias Bibliográficas.........................................................................................................21
Introducción
Por lo que es fundamental que la organización cuente con las metodologías para el uso de
sistemas informáticos de manera segura, para lo cual es primordial analizar las amenazas y
vulnerabilidades a los que estamos sometidos y el nivel de riesgo que ello implica.
Para ello, existen normas de análisis eficaces, que facilitan la tarea de combatir a atacantes
que quieren atentar contra la privacidad de nuestros datos.
La segunda versión fue publicada en 2005 con el fin de realizar una revisión constructiva con
respecto a los riesgos de las compañías, involucrando cuestiones más profundas a cerca de la
gestión de riesgos.
La tercera versión y ultima busca una nueva adaptación, teniendo en cuenta no solo la
experiencia práctica sino también la evolución de las normas internacionales de ISO que
constituyen un referente.
Principales características
También se ha buscado la uniformidad de los informes que recogen los hallazgos y las
conclusiones de las actividades de análisis y gestión de riesgos:
Modelo de valor
Caracterización del valor que representan los activos para la Organización así como de
las dependencias entre los diferentes activos.
Mapa de riesgos
Declaración de aplicabilidad
Evaluación de salvaguardas
Estado de riesgo
Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar
tomando en consideración las salvaguardas desplegadas.
Informe de insuficiencias
Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir
los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema,
entendidas como puntos débilmente protegidos por los que las amenazas podrían
materializarse.
Cumplimiento de normativa
Plan de seguridad
• Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que podría
pasar.
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos
pasos pautados:
Tratamiento
La opción 4, aceptación del riesgo, siempre es arriesgada y hay que tomarla con prudencia y
justificación cuando el impacto y el riesgo residual es asumible.
La Dirección puede decidir aplicar algún tratamiento al sistema de seguridad desplegado para
proteger el sistema de información. Hay dos grandes opciones:
En condiciones de riesgo residual medio, podemos observar otras características como las
pérdidas y ganancias que pueden verse afectadas por el escenario presente, o incluso analizar
el estado del sector en el que operamos para compararnos con la norma.
Instrumento de aplicación
Algunas de las herramientas basadas en MAGERIT son:
Una de las principales y únicas características es poseer la mayoría de los estándares de las
más reconocidas normas de seguridad en TI (ISO, NIST, COBIT, BCRA, SWIFT) disponibles en la
herramienta. Nuestro sistema Plug & Play de normas, permite que en días las normativas estén
listas para ser usadas.
Tecnicas y Metodologias
Análisis mediante tablas
En el análisis de riesgos hay que trabajar con múltiples elementos que hay
que combinar en un sistema para ordenarlo por importancia sin que los detalles, muchos,
perjudiquen la visión de conjunto.
Sea la escala siguiente útil para calificar el valor de los activos, la magnitud del impacto y la
magnitud del riesgo:
• B: bajo
• M: medio
• A: alto
En los análisis por algoritmo se presentan dos enfoques algorítmicos. Primero, un modelo
cualitativo que busca una valoración relativa del riesgo que corren los activos (¿qué es lo más
frente a qué es lo menos?). Segundo, un modelo cuantitativo que ambiciona responder a la
pregunta de cuánto más y cuánto menos.
Árboles de ataque
Los árboles de ataque son una técnica para modelar las diferentes formas de alcanzar un
objetivo.
Aunque han existido durante años con diferentes nombres, se hicieron famosos a partir de los
trabajos de B. Schneier que propuso sus sistematizaciones en el área de los sistemas de
información
El objetivo del atacante se usa como raíz del árbol. A partir de este objetivo, de forma iterativa
e incremental se van detallando como ramas del árbol las diferentes formas de alcanzar aquel
objetivo, convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse. Los
posibles ataques a un sistema se acaban modelando como un bosque de árboles de ataque.
NIST SP-800-30
Fecha de Creación
La primera publicación sobre el NIST SP-800-30 fue el 1 de Julio del 2002.
Organismo que la rige
EL organismo que rige la NIST-800-30 es El Instituto Nacional de Estándares y Tecnología (NIST)
fue fundado en 1901 y ahora forma parte del Departamento de Comercio de los Estados
Unidos.
El resultado de este proceso ayuda a identificar los controles apropiados para reducir o
eliminar el riesgo durante el proceso de mitigación de riesgos, el segundo paso de la gestión de
riesgos, que implica priorizar, evaluar e implementar los controles apropiados de reducción de
riesgos recomendados desde el proceso de evaluación de riesgos.
Esta guía proporciona una base para el desarrollo de un programa efectivo de gestión de
riesgos, que contiene las definiciones y la orientación práctica necesaria para evaluar y mitigar
los riesgos identificados dentro de los sistemas de TI a lo largo de su ciclo de vida de desarrollo
de sistemas (SDLC).
El objetivo final es ayudar a las organizaciones a gestionar mejor los riesgos de misión
relacionados con TI.
Las organizaciones pueden optar por ampliar o abreviar los procesos y pasos integrales
sugeridos en esta guía y adaptarlos al entorno de su sitio en la gestión de riesgos de misión
relacionados con TI.
Estos controles se pueden usar para mitigar el riesgo para una mejor protección de la
información crítica de la misión y los sistemas de TI que procesan, almacenan y transportan
esta información.
Estos controles se pueden usar para mitigar el riesgo para una mejor protección de la
información crítica de la misión y los sistemas de TI que procesan, almacenan y transportan
esta información. El tercer paso en el proceso es la evaluación y evaluación continuas.
Este documento proporciona orientación para llevar a cabo cada uno de los tres pasos en el
proceso de evaluación de riesgos (es decir, prepararse para la evaluación, realizar la evaluación
y mantener la evaluación) y cómo las evaluaciones de riesgos y otros procesos de gestión de
riesgos organizacionales se complementan e informan entre sí. [Reemplaza SP 800-30 (julio de
2002)].
La última versión es la NIST SP-800-30 Revisión 1 que fue publicada a partir del 19 de junio de
2015.
Principales características
El NIST (National Institute of Standards and Technology) ha dedicado una serie de
publicaciones especiales, la SP 800 a la seguridad de la información. Esta serie incluye una
metodología para el análisis y gestión de riesgos de seguridad de la información, alineada y
complementaria con el resto de los documentos de la serie.
La Metodología NIST SP 800-30 está compuesta por 9 pasos básicos para el análisis de riesgo:
El propósito del componente es producir una estrategia de gestión de riesgos que aborda
cómo las organizaciones tienen la intención de evaluar el riesgo, responder a los riesgos y
monitorear los riesgos haciendo explícito y transparente la percepción que las organizaciones
utilizan permanentemente en la toma de decisiones e inversiones operativas.
Por ejemplo, podríamos elegir sistema el correo electrónico, software cuya finalidad sería
comunicarnos con clientes o proveedores. Determinaríamos su criticidad para ver hasta qué
punto está expuesto al peligro, y sensibilidad, de qué manera está protegido ante una
amenaza.
Por ejemplo, errores intencionados, introducción de virus en los sistemas, corrupción de datos
o incumplimientos legales intencionados.
Por ejemplo, personal sin la formación adecuada, carencia de software antivirus, ausencia de
políticas de restricción de personal para uso de licencias de software, o derechos de acceso
incorrecto.
4. Análisis de controles
5. Determinación de probabilidades
Estudiar la motivación para los ataques, capacidad de las amenazas, naturaleza de las
vulnerabilidades, controles actuales...para elaborar el ranking de probabilidades de que se
materialice la amenaza (baja, media o alta).
Análisis de impacto sobre la misión, valoración de la criticidad de los activos, criticidad de los
datos, sensibilidad de los datos...en definitiva, el deterioro sobre las dimensiones de la
seguridad de la información.
8. Recomendación de controles.
9. Documentación de resultados
Se ha de partir de los niveles de riesgo y del informe de evaluación de riesgos para elaborar el
Ranking de acciones que hemos de considerar llevar a cabo en la empresa.
5. Asignación de responsabilidades
[PR] prevención
Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un
incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos.
[DR] disuasión
Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que
éstos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan
antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen
influencia sobre los daños causados caso de que el atacante realmente se atreva.
[EL] eliminación
Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son
salvaguardas que actúan antes de que el incidente se haya producido. No reducen los daños
caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir.
Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de
un incidente.
[CR] corrección
Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara.
Son salvaguardas que actúan después de que el incidente se haya producido y por tanto
reducen los daños.
[RC] recuperación
Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior
al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los
daños a un periodo de tiempo.
[MN] monitorización
Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido.
Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el
impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el
sistema de salvaguardas de cara al futuro.
[DC] detección
Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el
ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras
medidas que atajen la progresión del ataque, minimizando daños.
[AW] concienciación
Son las actividades de formación de las personas anexas al sistema que pueden tener una
influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto
preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen
con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala
operación.
[AD] administración
Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una
buena administración evita el desconocimiento de lo que hay y por tanto impide que haya
puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden
considerarse medidas de tipo preventivo.
Instrumento de aplicación
La metodología NIST SP 800 -30 puede ser aplicada a la evaluación de sistemas individuales o
interrelacionados. Esta serie incluye una metodología para el análisis y gestión de riesgos de
seguridad de la información, alineada y complementaria con el resto de los documentos de la
serie. La NIST SP 800-30 está compuesta por 9 pasos básicos para la evaluación de riesgo:
MAGERIT NIST
OBJETIVOS -Generar conciencia a los Asegurar mejor los sistemas
administradores de de informáticos que
sistemas sobre la almacenan, procesan y
existencia de riesgos y trasmiten información
la necesidad de prevenirlos. Permitir y gestionar los
Riesgos
-Ofrecer una metodología Mejorar la administración a
sistematizada para analizar partir de los
los Riesgos Resultados del análisis de
-Ayudar a identificar y Riesgos
planificar las medidas para
tener los riegos bajo control
METODOLOGIA -análisis de Riesgos Caracterización
-Activos Identificación de las
-Tipos Amenazas
-Dependencias Identificación
-Amenazas Vulnerabilidades
-Determinación del riesgo Analisis de Control
-Activos Determinación de la
-Salvaguardas probabilidad
-Selección de salvaguardas Analisis del Impacto
-Determinación del riesgo
-Recomendaciones de
Control
-Resultados Documentación
ANALISIS DE RIESGO Determinar lo que tiene la -Detección de métodos
organización y lo que podría dirigidos a Explotar una
pasar vulnerabilidad
RÚBRICAS
Puntos Rúbrica
10 Entrega/Formato del Documento
50 Contenido
30 Sustentación
Conclusión
Se puede concluir que la gestión de riesgos en una empresa u organización se debe llegar a
cabo desde las fases tempranas del proyecto.
La gestión de riesgos se debería aplicar a todos los proyectos, no solo empresas, sino en todos
los proyectos en general.
Las metodologías Magerit y NIST SP 800 poseen sus propias características y se complementan
entre sí, lo que les permite, a su vez, combinar otros enfoques que hacen el proceso de análisis
y gestión de los riesgos más robusto y eficiente. Lo cual no da muchas mas posibilidades de
detectar y corregir las amenazas de las que puedan sufrir nuestra información.
Por lo que nos estas normas nos ofrecen un método sistematizado para identificar y analizar
los riesgos que se presentar en el día a día, además de planificar las medidas necesarias para
mitigarlos y a su vez brindan herramientas que facilitan el análisis.
Como conclusión podemos decir que las gestiones de riesgo son un punto importante a nivel
empresarial
Referencias Bibliográficas
MAGERIT
Vargas, L. (2014). MAGERIT. Retrieved 9 July 2020, from
http://infosaudit.blogspot.com/2014/03/magerit.html
NIST SP-800-30
Stoneburner, G., Goguen, A., & Feringa, A. (2015). Archived NIST Technical Series Publication.
Retrieved 5 July 2020, from
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30.pdf
Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information
Technology Systems. Retrieved 5 July 2020, from https://www.nist.gov/publications/risk-
management-guide-information-technology-systems?pub_id=151254
Ross, R. (2012). Guide for Conducting Risk Assessments. Retrieved 5 July 2020, from
https://www.nist.gov/publications/guide-conducting-risk-assessments?pub_id=912091
MÉTODO DE ANÁLISIS DE RIESGOS NIST SP 800-30. (2018). Retrieved 5 July 2020, from
http://elite-formacion.blogspot.com/2018/04/metodo-de-analisis-de-risgos-nist-sp.html