1 Tema 3 – Identificación del riesgo

1.1 Generalidades
La identificación de riesgos es el proceso para descubrir, reconocer y documentar el riesgo que enfrenta
una organización, y es el segundo proceso que opera dentro del ciclo de vida de la gestión de riesgos. El
proceso de identificación de riesgos se señala en la siguiente figura.

La identificación del riesgo es importante porque solo el riesgo identificado es el que puede evaluarse y
someterse a las respuestas apropiadas. Cuando la organización no logra identificar un riesgo, queda
completamente fuera del proceso de planificación estratégica utilizado por la alta dirección para
promover la creación de valor. El profesional de riesgos debe trabajar en estrecha colaboración con los
propietarios de los procesos de negocio para asegurarse de que tiene una comprensión de las formas en
que opera la organización que es lo suficientemente amplia como para incluir no solo a la organización en
sí, sino también a sus dependencias y suposiciones externas, como la disponibilidad de mano de obra
contratada o entrega de materiales justo a tiempo.
1.2 Elementos del riesgo
La identificación del riesgo requiere la documentación y el análisis de los elementos que componen el
riesgo:

1. Consecuencias asociadas a activos específicos

2. Una amenaza para esos activos, que requiere tanto intención (motivación) como capacidad

3. Vulnerabilidad específica de la amenaza

Cada elemento de riesgo necesita ser considerado tanto individualmente como en conjunto. La
identificación del riesgo depende de la identificación exitosa de los activos, las amenazas a esos activos y
las vulnerabilidades que contienen los activos. Los términos clave para la identificación de amenazas y
vulnerabilidades se enumeran en la siguiente figura, algunos términos fueron vistos en la sección
introductoria del curso y otros serán nuevos.

Valor del Análisis del Evaluación del

Activo Impacto
activo impacto impacto

Agente de Análisis de Vector de

Probabilidad Amenaza
amenaza amenaza amenaza

Análisis de Escaneo de
Vulnerabilidad
vulnerabilidad vulnerabilidad

• Activo: Algo de valor tangible o intangible que vale la pena proteger, incluidas personas,
información, infraestructura, finanzas
• y reputación
• Valor del activo: Lo que la organización u otra parte pagaría para tomar posesión de un activo o
denegar el acceso a él a otros. Los activos normalmente se valoran sobre una base monetaria.
• Impacto: Magnitud de la pérdida resultante de una amenaza que explota una vulnerabilidad.
• Análisis de impacto: Un estudio para priorizar la criticidad de los recursos de información para la
empresa en función de los costos (o consecuencias) de los eventos adversos. En un análisis de
impacto, se identifican las amenazas a los activos y se determinan las posibles pérdidas de negocio
para diferentes períodos de tiempo. Esta evaluación se utiliza para justificar el alcance de las
salvaguardas que se requieren y los plazos de recuperación. Este análisis es la base para establecer
la estrategia de recuperación.
• Evaluación de impacto: Una revisión de las posibles consecuencias de un riesgo.
 • Probabilidad: La probabilidad de que algo suceda.
• Amenaza: Cualquier cosa (por ejemplo, objeto, sustancia, humano) que sea capaz de actuar
contra un activo de una manera que pueda resultar en daño.
• Agente de amenazas: Métodos y elementos utilizados para explotar una vulnerabilidad, como
determinación, capacidad, motivo y recursos.
• Análisis de amenazas: Una evaluación del tipo, alcance y naturaleza de los eventos o acciones que
pueden resultar en consecuencias adversas; identificación de las amenazas que existen contra los
activos de la empresa.
• Vector de amenaza: El camino o ruta utilizada por el adversario para acceder al objetivo.
• Vulnerabilidad: Una debilidad en el diseño, implementación, operación o control interno de un
proceso que podría exponer el sistema a amenazas adversas de eventos de amenazas.
• Análisis de vulnerabilidad: Un proceso de identificación y clasificación de vulnerabilidades.
• Escaneo de vulnerabilidades: Un proceso automatizado para identificar proactivamente las
debilidades de seguridad en una red o sistema individual.

1.2.1 Factores de riesgo

El riesgo es una combinación de varios factores que interactúan para causar daño a los activos de la
organización, como se muestra en la siguiente figura.

Contexto externo Contexto interno

• Factores económicos y de mercado. • Objetivos y metas del negocio.

• Cambios en el ciclo de vida del producto • Importancia estratégica de IT para el
en el mercado. negocio.
• Situación geopolítica. • Complejidad de IT.
• Ambiente regulatorio. • Complejidad de la organización.
• Estatus de la tecnología y su evolución. • Capacidad de gestionar el cambio.
• El panorama de amenazas. • Modelos operativos
• Prioridades estratégicas
• Cultura organizacional
• Capacidad financiera
• Capacidades de TI
• Capacidades de cibersegurida
• Capacidades de gobernanza del riesgo
• Capacidades de gestión del riesgo

Como se muestra en la flujo ilustrado a continuación, los agentes de amenazas usan amenazas para atacar
activos a través de vulnerabilidades. Los agentes de amenazas que carecen de amenazas no representan
un riesgo significativo. Del mismo modo, los activos debidamente protegidos que no son vulnerables a las
amenazas que se emiten no presentan ningún riesgo. Por ejemplo, si se ha escrito un virus para explotar
una vulnerabilidad en un sistema, el virus solo puede tener un impacto si el sistema no se ha parcheado
para eliminar la vulnerabilidad. Una vez que se ha aplicado el parche, el virus no representa una amenaza
para el sistema.

Agentes de
amenaza

Amenazas

Vulnerabilidades

Riesgo

Activos

El conocimiento de las amenazas y de las motivaciones, estrategia y técnicas de quienes las perpetran es
clave para poder gestionar una amenaza antes de que se convierta en realidad. Una empresa necesita
conocer sus propias debilidades, fortalezas, vulnerabilidades y las brechas en el tejido de seguridad. La
seguridad debe estar entretejida en cada proceso de negocio, cada sistema de TI y todos los
procedimientos operativos. Cualquier brecha en el tejido de seguridad puede explotarse fácilmente.
Cuanto mejor comprenda el profesional de riesgos la mente del atacante o la fuente de la amenaza, más
efectivas serán las actividades de gestión de riesgos para controlar la amenaza.

El panorama de amenazas y vulnerabilidades siempre está cambiando. Las personas se mueven, los
equipos se desgastan, los controles se debilitan, surgen nuevas amenazas y la conciencia de seguridad se
debilita debido a la inacción. El profesional de riesgos debe buscar proactivamente amenazas,
vulnerabilidades y controles a través de evaluaciones, pruebas, observaciones y análisis regulares para
poder identificar el riesgo. Al evaluar el riesgo, es importante considerar todos los tipos de riesgo, incluido
el riesgo relacionado con la tecnología. Este tipo de riesgo puede incluir un agente de amenaza que
intercepte, interrumpa, modifique o fabrique datos en activos de información, así como el riesgo para las
personas y los procedimientos que se utilizan para adquirir, implementar, mantener y desechar esa
tecnología.

La evaluación del riesgo es la medición del riesgo, y se debe evaluar todo el entorno de riesgo. El entorno
de riesgo incluye:

• El contexto, la criticidad y la sensibilidad del sistema o proceso que se está revisando.

• Las dependencias y requisitos del sistema o proceso que se está revisando.
• Los procedimientos operativos, configuración y gestión del sistema o tecnología.
• La formación de los usuarios y administradores.
 • La efectividad de los controles y seguimiento del sistema o proceso de negocio.
• La manera en que los datos y los componentes del sistema se dan de baja.

El riesgo a menudo está más influenciado por la falta de capacitación que por la falta de equipo. En muchos
casos, el riesgo está más relacionado con la forma en que se opera el equipo que con la disponibilidad de
las herramientas adecuadas.

1.2.2 Activos
Un activo es algo de valor tangible o intangible que vale la pena proteger. Los ejemplos de activos que se
encuentran comúnmente en las organizaciones incluyen:

• Información
• Reputación
• Marca
• Propiedad intelectual
• Comodidades
• Equipo
• Efectivo e inversiones
• Listas de clientes
• Investigación (y desarrollo)
• Gente
• Proceso de servicio/negocio

Gente

Muchas organizaciones son vulnerables a la pérdida de un empleado clave que puede ser la única persona
con conocimientos en un área determinada o experiencia específica. Desafortunadamente, son comunes
las fallas de la gerencia para identificar a los empleados clave y garantizar que reciban apoyo a través de
programas de incentivos y capacitación cruzada. Ya sea que la pérdida se produzca como resultado de la
jubilación, enfermedad o contratación por parte de otra organización, puede dejar a la organización en
una posición precaria y vulnerable.

Tecnología

La tecnología cambia rápidamente y siempre se están desarrollando nuevas tecnologías. Además de estar
al tanto de las nuevas tecnologías y el riesgo que representan, el profesional de riesgos también debe
considerar el riesgo asociado con la tecnología obsoleta, que a menudo se pasa por alto. Los equipos que
ya no son compatibles o que han superado su tiempo medio entre fallas (MTBF) pueden ser
particularmente vulnerables. La falta de parches y actualizaciones de sistemas y aplicaciones los hace
vulnerables al malware o al uso indebido, y los sistemas más antiguos pueden requerir experiencia que
no está disponible para mantener (aumentando potencialmente la dependencia de personas clave). Los
sistemas más antiguos también pueden carecer de documentación, pueden depender de un proveedor
para su mantenimiento o pueden ser difíciles de respaldar en términos de piezas de repuesto. Cuando los
sistemas están programados para su eliminación, pueden contener datos confidenciales. El profesional
de riesgos debe asegurarse de que existan procedimientos para eliminar dichos datos de forma segura y
que estos procedimientos se sigan. El método de eliminación segura apropiado para un sistema en
particular se basa parcialmente en su forma física y en parte en la sensibilidad de los datos en el
dispositivo; Los métodos comunes de destrucción de datos incluyen la sobrescritura, la desmagnetización
y la destrucción física del equipo. Si los datos pueden ser necesarios más adelante, es posible que la
organización deba conservar una copia del software o incluso un sistema heredado para leerlos. En el caso
de datos encriptados, también se deben almacenar archivos de claves o contraseñas. El hecho de no
eliminar los sistemas retirados de los esquemas de copia de seguridad o de los planes de recuperación
ante desastres o de continuidad del negocio también puede afectar la integridad de esas operaciones.

Datos

Muchas organizaciones consideran que los datos son extremadamente valiosos. Las listas de clientes, los
datos financieros, los planes de marketing, los datos de recursos humanos (HR) y la investigación son
algunos ejemplos de activos relacionados con datos que suelen estar protegidos. Los datos pueden ser
confidenciales, críticos o ambos; los datos confidenciales deben protegerse de la divulgación o
modificación, mientras que los datos críticos deben protegerse de la destrucción o pérdida. Los sistemas
que alojan, procesan o transmiten los datos deben garantizar que los datos estén protegidos en todo
momento, en todas sus formas (papel, almacenamiento magnético, almacenamiento óptico, informes,
etc.) y en todas las ubicaciones (almacenamiento, redes, archivadores, archivos). , etc.).

Propiedad intelectual

Las marcas comerciales, los derechos de autor, las patentes, los secretos comerciales y otros elementos
asociados con la reputación y la buena voluntad de la organización, así como la investigación que conduce
a un nuevo producto, son ejemplos de propiedad intelectual. La propiedad intelectual es una clase de
información que se trata con especial cuidado porque puede representar el potencial de ganancias futuras
de la organización. La falta de protección de la propiedad intelectual puede resultar en la pérdida de la
ventaja competitiva. Todos los empleados y socios comerciales deben estar sujetos a acuerdos de
confidencialidad (NDA) y recordarles su responsabilidad de proteger la propiedad intelectual de la
organización y manejarla adecuadamente. Esto puede incluir controles de acceso estrictos, trituración de
documentos, precaución al discutir información en un lugar público y encriptación de datos en medios
portátiles. Los términos clave relacionados con la propiedad intelectual se describen en la siguiente tabla.

Términos de propiedad intelectual

Término Definición
Marca comercial Un sonido, color, logotipo, dicho u otro símbolo distintivo que está
estrechamente asociado con un determinado producto o empresa. Algunas
marcas comerciales son elegibles para el registro.

Derechos de autor Protección de cualquier trabajo que se capture en una forma tangible (por
ejemplo, trabajos escritos, grabaciones, imágenes, software, música,
escultura, danza, etc.).
Patentes Protección de la investigación y las ideas que condujeron al desarrollo de un
producto nuevo, único y útil para evitar la duplicación no autorizada del
artículo patentado.
 Secreto comercial Una fórmula, proceso, diseño, práctica u otra forma de información comercial
secreta que proporciona una ventaja competitiva a la organización que posee
la información.

Procesos de negocios

Los procesos de negocio ineficientes u obsoletos pueden representar un riesgo al hacer que las
organizaciones no sean competitivas. Los procesos de negocio deben ser lo suficientemente flexibles para
adaptarse a los cambios en el mercado o la tecnología.

1.2.2.1 Valoración de activos

No todos los activos son igualmente importantes; muchos son absolutamente críticos para las
operaciones de negocio, mientras que otros son convenientes. El profesional de riesgos debe hacer un
esfuerzo para determinar la importancia de los activos en el contexto de las actividades organizacionales
para que se pueda dar prioridad a la protección de los activos más importantes primero y abordar los
activos menos significativos según lo permitan el tiempo y el presupuesto. La valoración efectiva también
protege a la organización de pagar más en protección que el valor neto del activo.

El cálculo del valor de los activos no es tan sencillo como puede parecer inicialmente. Muchas
organizaciones utilizan un enfoque cuantitativo que asigna un valor monetario, lo que puede ser difícil
cuando el valor influye o impulsa intangibles como la confianza, la moral o la percepción del mercado. Por
ejemplo, si un producto, empresa o región se asocia con mala calidad, negligencia ambiental o actividad
fraudulenta, un producto de alta calidad puede percibirse como deficiente debido a esta percepción del
mercado. Esta percepción negativa puede persistir durante muchos años antes de que la empresa pueda
recuperarse.

Los factores que contribuyen al cálculo del valor de los activos incluyen:

• Sanciones económicas por incumplimiento legal

• Impacto en los procesos de negocio
• Daño a la reputación
• Costos adicionales por reparación/reemplazo
• Efecto sobre terceros y socios de negocio
• Lesiones al personal u otro personal
• Violaciones de la privacidad
• Incumplimiento de contratos
• Pérdida de ventaja competitiva
• Costos legales

Al calcular el valor de los activos, una técnica es basarlo en el impacto de una pérdida de confidencialidad,
integridad y disponibilidad (CIA). Este enfoque intenta relacionar el impacto con una terminología de fácil
comprensión. Para que esto funcione, los valores para cada nivel deben estar claramente establecidos y
utilizados de la misma manera por todos los departamentos.
1.2.3 Amenazas
Las amenazas pueden ser externas o internas, intencionales o no intencionales. Pueden ser causados por
eventos naturales o factores políticos, económicos o competitivos. Las amenazas siempre existen y, por
lo general, están más allá del control directo del profesional de riesgos o del propietario de los activos. No
todas las amenazas concebibles deben ser consideradas por todas las organizaciones. Por ejemplo, una
organización que opera en una región con una clasificación sísmica de cero no tiene que documentar la
exposición a volcanes o terremotos. Sin embargo, es importante identificar los distintos tipos de amenazas
que se aplican y que pueden utilizarse para comprometer los sistemas o afectar a la organización.

Las amenazas se pueden dividir en múltiples categorías, que incluyen:

• Físicas
• Eventos naturales
• Pérdida de servicios esenciales
• Perturbación por radiación
• Compromiso de la información
• Fallas técnicas
• Acciones no autorizadas
• Compromiso de funciones

El profesional de riesgos debe documentar todas las amenazas que puedan aplicarse a los sistemas y
procesos de negocio bajo revisión. Esto requiere el uso de los recursos señalados anteriormente, pero
también debe incluir el examen de la causa de fallas pasadas, informes de auditoría, informes de los
medios, información de los equipos nacionales de respuesta a emergencias informáticas (CERT), datos de
proveedores de seguridad y comunicación con grupos internos.

Las amenazas pueden ser el resultado de acciones accidentales, acciones intencionales/deliberadas o

eventos naturales. Las amenazas pueden tener su origen en fuentes internas o externas, y los ataques
reales pueden aprovechar una combinación de fuentes internas y externas. Cuando las amenazas pueden
ser dirigidas por agentes individuales, el profesional de riesgos debe saber y ser consciente de que tales
agentes de amenazas tienden a ser imaginativos, creativos y decididos y explorarán nuevos métodos y
vías de ataque. Para contrarrestar los agentes amenazantes, el profesional del riesgo también debe ser
decidido y creativo, y tratar de descubrir tantas amenazas como sea posible. Una amenaza no identificada
es aquella para la que es más probable que la organización no esté preparada y sea vulnerable que una
amenaza bien documentada.

Las fuentes de información sobre amenazas se enumeran a continuación.

 Proveedores de servicio
Agencias de monitoreso de
amenazas
Compañias de seguridad

Auditorías

Conitnuidad del negocio

Finanzas

Compañías de seguros

Vendedores de productos

Publicaciones de gobierno

Evaluaciones y diagnósticos

Usuarios

Recursos humanos

Medios de comunicación

1.2.3.1 Amenazas Internas

Aunque muchas organizaciones etiquetan a sus empleados y al resto del personal como su mejor activo,
los empleados pueden sentirse descontentos si no reciben la capacitación adecuada, si los tratan mal o si
no les dan suficiente tiempo para hacer su trabajo correctamente. La desilusión y el resentimiento pueden
conducir a un mayor riesgo de errores, negligencia y acciones más conscientes, como el robo. El personal
clave también puede ser atraído a otra empresa y dejar serias brechas en el conocimiento y las habilidades
necesarias para operar los sistemas de manera efectiva.

Los empleados son la causa de un número significativo de impactos de negocio, que pueden ser
intencionales y no intencionales. Un empleado descontento puede comprometer intencionalmente los
sistemas o divulgar datos que exponen a la organización a riesgos legales o de reputación. Los empleados
pueden ser convencidos, sobornados o amenazados para revelar secretos de negocio por razones
ideológicas o económicas. Muchos empleados tienen un nivel de acceso a sistemas y datos que supera
con creces los requisitos reales de su trabajo, lo que puede explotarse en un ataque. La solución al
problema de los empleados, por lo tanto, radica al menos en parte en la aplicación de la necesidad de
saber y el privilegio mínimo, pero es una solución imperfecta. Cualquier sistema tiene personas internas
confiables, y uno de ellos que elige violar la confianza es difícil de predecir o prevenir.

El individuo malicioso interno típico es un empleado, contratista u otro socio de negocio actual o anterior
que tiene o tuvo acceso autorizado a la red, el sistema o los datos de una organización e intencionalmente
interceptó (exfiltró), interrumpió, modificó o fabricó datos en los sistemas de información de la
organización. El primer paso para abordar las amenazas al personal es comenzar con el proceso de
contratación y revisar las calificaciones y la actitud de los posibles empleados. Los candidatos de empleo
pueden haber presentado información incorrecta en las solicitudes de empleo y reclamar educación,
certificación o experiencia que en realidad no poseían. En el momento de la contratación, se debe exigir
al empleado que firme un acuerdo de no divulgación y que se le informe sobre la ética y las políticas de la
organización, y puede valer la pena una revisión de las referencias y la realización de verificaciones de
antecedentes cuando lo permita la ley.

A lo largo del empleo, se debe recordar a los empleados las políticas organizacionales y sus
responsabilidades a través de sesiones de concientización y revisiones periódicas de la gerencia. Uno de
los mejores controles basados en empleados es interactuar con los empleados para comprender cualquier
frustración, queja o problema que puedan estar enfrentando y tratar de resolver esos problemas. En
tiempos de huelga, despidos, fusiones, reubicaciones y reorganizaciones, es más probable que un
empleado sea un riesgo. Un empleado que ha sido recientemente degradado o pasado por alto para una
promoción también es un riesgo.

Al final del empleo, un empleado debe devolver todos los activos de la organización, incluidos los carnés
de identificación, el equipo (por ejemplo, computadoras portátiles, teléfonos móviles, tarjetas de acceso,
etc.) y los uniformes para que no pueda usarlos para obtener acceso no autorizado en el futuro. Además,
los sistemas, la red y el acceso a las instalaciones deben eliminarse inmediatamente antes de la partida
del empleado para minimizar la posibilidad de delitos de oportunidad.

1.2.3.2 Amenazas externas

• Espionaje
• Robo
• Sabotaje
• Terrorismo
• Actos criminales
• Errores de software
• Defectos de hardware
• Fallas mecánicas
• Activos perdidos
• Corrupción de datos
• Defectos en las instalaciones (ej. Explosión de tubería)
• Fuego
• Interrupción de la cadena de suministro
• Accidentes de trabajo
• Enfermedad (epidemia)
• Actividad sísmica
• Inundación
• Sobrecarga de energía/falla de servicios públicos
• Tormentas severas

Los eventos naturales como inundaciones, tormentas, terremotos o tornados son impredecibles y pueden
ser extremadamente dañinos. El uso de datos gubernamentales y servicios de monitoreo del clima puede
identificar las amenazas asociadas con eventos naturales y permitir que el profesional de riesgos tome las
medidas necesarias para estar preparado.

Una amenaza externa al personal incluye un pirata informático, un ladrón o una amenaza persistente
avanzada (APT) que tiene la habilidad y está decidido a ingresar a los sistemas con fines militares o
económicos. El término APT se refiere a atacantes avanzados y altamente calificados que son
determinados (persistentes) en sus intentos de explotar sistemas y redes. Las mayores habilidades
disponibles para la comunidad de piratas informáticos y la efectividad de las herramientas que poseen
hacen que el riesgo de compromiso sea mucho más significativo. Las APT pueden estar patrocinadas por
gobiernos, el crimen organizado o competidores. La mayoría de las infracciones son el resultado de
objetivos de oportunidad, no de ataques determinados. Como se ve en los informes anuales de Verizon y
otras organizaciones, muchas organizaciones son violadas porque se descubrió que eran objetivos fáciles
y los agentes de amenazas se aprovecharon de sus vulnerabilidades.

1.2.3.3 Amenazas emergentes

Las indicaciones de amenazas emergentes pueden incluir actividad inusual en un sistema, alarmas
repetidas, rendimiento lento del sistema o de la red, o actividad nueva o excesiva en los registros. En
muchos casos, las organizaciones comprometidas tienen evidencia de amenazas emergentes en sus
registros mucho antes del compromiso real, pero la evidencia no se nota o no se actúa en consecuencia.
La falta de monitoreo efectivo, cuando se combina con una amenaza, es una combinación que puede
conducir a una violación.

La mayoría de las tecnologías se construyen con énfasis en la función y el propósito sin la debida
consideración de las implicaciones de seguridad. Como resultado, la nueva tecnología tiende a ser una
fuente de nuevas vulnerabilidades e incluso puede ser un agente de amenaza dentro de un sistema de
información. El profesional de riesgos debe estar alerta al surgimiento de nuevas tecnologías y prepararse
para su introducción en la organización, particularmente si estas tecnologías prometen ahorros de costos
o ventajas competitivas. Trae tu propio dispositivo (BYOD) es un ejemplo de una revolución en la forma
en que las organizaciones ven los activos tecnológicos, uno cuyo riesgo es evidente pero que ha tentado
a una amplia variedad de organizaciones al prometer reducir en gran medida el costo de la adquisición
inicial de activos de TI. y la velocidad a la que deben actualizarse. Es poco probable que una estrategia de
amenaza que enfatice el rechazo de la nueva tecnología se mantenga mucho más allá del punto en que
algo obtenga el patrocinio ejecutivo.

1.2.4 Vulnerabilidades
Las vulnerabilidades son debilidades, brechas o agujeros en la seguridad que brindan una oportunidad
para una amenaza o crean consecuencias que pueden afectar a la organización.

La publicación especial 800-30 Revisión 1 del Instituto Nacional de Estándares y Tecnología (NIST): Guía
para realizar evaluaciones de riesgos proporciona una lista de vulnerabilidades a considerar, así como
"condiciones predisponentes" que pueden conducir a la aparición rápida o impredecible de nuevas
vulnerabilidades. Muchas vulnerabilidades son condiciones que existen en los sistemas y deben
identificarse para poder abordarlas. El propósito de la identificación de vulnerabilidades es encontrar los
problemas antes de que un adversario los encuentre y los explote, razón por la cual una organización debe
realizar evaluaciones periódicas de vulnerabilidades y pruebas de penetración para identificar, validar y
clasificar sus vulnerabilidades. Donde existen vulnerabilidades, existe un riesgo potencial.

Las vulnerabilidades de la red a menudo están relacionadas con la configuración incorrecta de los equipos,
una arquitectura deficiente o la intercepción del tráfico. La mala configuración es un problema común con
los equipos de red que no están instalados, operados o mantenidos correctamente. Cualquier servicio
abierto es un vector de ataque potencial que puede ser explotado por un atacante, por lo que el equipo
de red debe fortalecerse al deshabilitar cualquier servicio, puerto o protocolo innecesario.

Tradicionalmente, los sistemas en red se han limitado a dispositivos cuyo objetivo principal era
proporcionar potencia informática, ya sea para el procesamiento directo de datos o para regular el flujo
de datos dentro de la red. Sin embargo, a medida que el costo de la tecnología de redes cae en términos
de dólares, energía y tamaño físico, la capacidad de transmitir y recibir datos se está incorporando a un
número creciente de dispositivos cuyos propósitos principales no son de naturaleza regulatoria o de
procesamiento de datos, como electrodomésticos y automóviles. Estos dispositivos crean nuevas
vulnerabilidades para la red. El Internet de las cosas resultante está emergiendo como una gran
oportunidad para aumentar la comodidad y como un gran objetivo nuevo para los agentes de amenazas.
Por lo tanto, el profesional de riesgos debe asegurarse de tener conocimientos sobre las tecnologías
emergentes y sus implicaciones para el uso futuro.

1.2.4.1 Acceso físico

El Informe de investigaciones de violación de datos de 2015 de Verizon estima que aproximadamente el
15 por ciento de todos los incidentes se relacionan con el robo físico o la pérdida de equipos o datos. Sin
embargo, la seguridad física va mucho más allá del robo. Los agentes de amenazas que pueden obtener
acceso físico a los sistemas tienen el potencial de eludir casi cualquier otro tipo de control. Con acceso a
salas de servidores, cableado de red, equipos de sistemas de información y edificios, un atacante puede
eludir contraseñas, instalar "skimmers" para interceptar comunicaciones de datos y tomar posesión lógica
de sistemas o dispositivos. Con más del 20 por ciento de los incidentes relacionados con el uso indebido
de los sistemas por parte de personas internas que ya pueden tener una ventaja en términos de obtener
acceso físico, la necesidad de una seguridad física sólida es clara y creciente.

Las pruebas de vulnerabilidades de seguridad física incluyen pruebas de cerraduras, guardias de

seguridad, sistemas de supresión de incendios, controles de calefacción, ventilación y aire acondicionado,
iluminación, cámaras y sensores de movimiento.

1.2.4.2 Aplicaciones y servicios orientados a la web

Las aplicaciones en general, las aplicaciones web en particular, se encuentran entre los puntos de entrada
más comunes utilizados actualmente por los atacantes. Muchas aplicaciones están escritas para respaldar
la función de negocio sin tener en cuenta los requisitos de seguridad de las aplicaciones y pueden ser
vulnerables a desbordamientos de búfer, fallas lógicas, ataques de inyección, errores, control incorrecto
sobre el acceso de los usuarios y muchas otras vulnerabilidades comunes. El profesional de riesgos puede
usar herramientas del Proyecto de seguridad de aplicaciones web abiertas (OWASP) para probar las
aplicaciones orientadas a la web en busca de vulnerabilidades bien conocidas y documentadas cuya
presencia puede provocar el compromiso de los datos o la falla del sistema.

Las aplicaciones también pueden ser vulnerables debido a una arquitectura deficiente. Las aplicaciones
que procesan datos de tarjetas de pago u otra información confidencial o almacenan esos datos en una
ubicación insegura, como una zona desmilitarizada (DMZ), pueden sufrir ataques repetidos o incluso
continuos, lo que aumenta la probabilidad de que un atacante encuentre una vulnerabilidad para
explotar. El profesional de riesgos debe comprender la arquitectura de la red y cuestionar las decisiones
que parecen crear una exposición innecesaria.
1.2.4.3 Servicios esenciales y condiciones ambientales
Los sistemas de información se basan en condiciones ambientales controladas, que incluyen energía
limpia y constante y controles sobre la humedad y la temperatura. El profesional de riesgos debe
asegurarse de que la organización esté preparada para fallas de energía u otras condiciones ambientales
para evitar condiciones que puedan conducir a fallas en el sistema. Tener una fuente de alimentación
ininterrumpida (UPS), generadores de respaldo y protectores contra sobretensiones puede proteger el
equipo contra daños o fallas, pero estos sistemas requieren más que una inversión inicial. Por ejemplo, se
debe validar un UPS para garantizar que tenga la energía adecuada para ejecutar sistemas críticos hasta
que un generador de respaldo pueda funcionar.

1.2.4.4 Cadena de suministro

Muchas organizaciones dependen de productos, materias primas y suministros que se originan en varios
lugares del mundo, y cualquier interrupción en la cadena de suministro puede afectar su capacidad de
funcionamiento. Por ejemplo, una escasez en el suministro de combustible a un aeropuerto afectaría
todas las operaciones de vuelo. La confianza en una cadena de suministro debe documentarse incluso si
se entiende que el riesgo es aceptado por la alta dirección.

1.2.4.5 Procesos
Mantener la integridad operativa a menudo requiere procedimientos que abarcan una variedad de temas,
incluida la gestión de incidentes, la gestión de identidades, el control de cambios, la gestión de parches y
la planificación de proyectos. Estos procesos deben definirse e implementarse de manera consistente en
toda la organización. Sin ellos, o si se implementan al azar, la organización puede correr el riesgo de una
gestión y resultados inconsistentes, falta de gobernanza e informes, y falla en garantizar el cumplimiento
de las regulaciones.

1.2.4.6 Equipos y dispositivos

A medida que el equipo envejece, se vuelve menos eficiente, efectivo y capaz de respaldar las funciones
de negocio. El equipo a menudo se proporciona en el momento de la producción con una clasificación
MTBF (tiempo medio entre fallas) que indica su vida útil anticipada y cuándo se debe programar su
extracción o reemplazo.

1.2.4.7 Computación en la nube

La externalización del alojamiento de aplicaciones y el procesamiento de datos ha ido creciendo en
popularidad durante décadas. Sin embargo, la creciente disponibilidad y la caída de los costos en los
últimos años tanto de la conectividad de alta velocidad como de los servidores capaces de albergar
máquinas virtuales ha transformado la práctica. Los servicios alojados en centros de datos de terceros
ahora tienen una redundancia asombrosa, conmutación por error automática y acuerdos de nivel de
servicio (SLA) que garantizan un tiempo de actividad superior al 99,9 por ciento, todo a través de una
estructura de precios según demanda que puede socavar las operaciones internas en un orden de
magnitud. Estas características hacen que el uso de servicios basados en la nube sea muy atractivo para
muchas organizaciones. Hay varios modelos de servicios basados en la nube, como se ve en la siguiente
lista.
 Nube privada

•Operada por una organización

•Puede ser manejada por la misma organización o un tercero.
•Puede existir fuera o dentro de las instalaciones de la organización.

Nube pública

•Hecha para ser disponible para cualquiera.

•Propiedad de una organización que vende servicios de computación en la nube.

Nube comunitaria

•Compartida por varias organizaciones.

•Soporta a una comunidad específica que comparte su misión o tiene intereses comunes.
•Puede existir fuera o dentro de las instalaciones de la organización.

Nube híbrida

•Una composición de 2 o más nubes (privada, comunitaria o pública) que se mantienen como entidades
únicas pero que se conectan para permitir la portabilidad de aplicaciones.

La computación en la nube ofrece muchas ventajas de negocio, pero el profesional de riesgos debe ser
consciente de que la subcontratación del procesamiento de datos no elimina la responsabilidad de la
organización subcontratada de garantizar la protección adecuada de los datos. Además, si bien los centros
de datos más grandes que se establecen para atender a cientos o miles de clientes suelen estar mejor
protegidos que las operaciones independientes, la capacidad de la organización de subcontratación para
ver lo que sucede dentro de la empresa que aloja su centro de datos puede ser muy limitada. Cuando se
considera que los centros de datos en la nube son objetivos grandes, visibles y tentadores para los agentes
de amenazas mejor financiados y con más experiencia, queda claro que la computación en la nube
representa tanto un riesgo como una oportunidad. Las decisiones sobre si aprovechar los servicios en la
nube, qué sistemas se deben transferir y cuáles se pueden retener mejor bajo el control de la organización
deben ser tomadas por la alta gerencia. Para ayudarlos a tomar esta decisión, el profesional de riesgos
debe proporcionar a la alta gerencia la información necesaria para que puedan tener una comprensión
completa del riesgo involucrado.

1.2.4.8 Big Data

Los avances en la capacidad de realizar análisis de datos de diversas fuentes de datos estructurados y no
estructurados permiten a las empresas tomar mejores decisiones de negocio y aumentar la ventaja
competitiva. Este cambio en las capacidades de análisis que se ocupan de "grandes datos" puede
introducir riesgos técnicos y operativos, y las organizaciones deben comprender que se puede incurrir en
riesgos mediante la adopción o la no adopción de estas capacidades. Algunos ejemplos de riesgos
incluyen:

• Impacto técnico amplificado: si un usuario no autorizado obtuviera acceso a repositorios

centralizados, pondría en peligro la totalidad de esos datos en lugar de un subconjunto de estos.
 • Privacidad (recopilación de datos): las técnicas de análisis pueden afectar la privacidad; por
ejemplo, las personas cuyos datos están siendo analizados pueden sentir que la información
revelada sobre ellos es demasiado intrusiva.
• Privacidad (re-identificación): del mismo modo, cuando los datos se agregan, la información
parcialmente anónima o la información que no es información identificable individualmente
puede volverse no anónima o identificable en el proceso.

1.2.5 Análisis de vulnerabilidades y pruebas de penetración

Una evaluación de vulnerabilidad es un examen cuidadoso de un entorno de destino para descubrir
cualquier punto potencial de compromiso o debilidad. Las vulnerabilidades que pueden identificarse
mediante una evaluación incluyen:

• Vulnerabilidades de la red
• Controles de acceso físico deficientes (p. ej., edificios, oficinas)
• Aplicaciones inseguras
• Servicios web mal diseñados o implementados
• Interrupción de los servicios públicos (p. ej., energía, telecomunicaciones)
• No confiable cadena de suministro
• Personal no capacitado (HR)
• Procesos ineficientes (p. ej., control de cambios, manejo de incidentes)
• Equipo viejo o con mantenimiento deficiente

La evaluación de la vulnerabilidad puede ser un proceso manual o utilizar herramientas automatizadas.

Las herramientas automatizadas tienen la capacidad de filtrar grandes cantidades de datos y se pueden
usar para examinar registros, compilar y analizar datos de múltiples fuentes (p. ej., una herramienta de
gestión de eventos e incidentes de seguridad SIEM), examinar las funciones de un programa y ejecutar
pruebas. archivos o datos contra una herramienta como un firewall o una aplicación. Cuando el contenido
no se cuantifica fácilmente y requiere juicio, incluidas las revisiones de los procesos de negocio, la
seguridad física y el código fuente, una prueba manual es mejor (aunque las herramientas automatizadas
para revisar el código continúan mejorando).

1.3 Métodos de identificación de riesgo (1.7)

El practicante de riesgos tiene varias fuentes posibles para la identificación del riesgo, que incluyen:

• Métodos históricos o basados en evidencia, como la revisión de eventos históricos, tales como:
o Informes de auditoría o incidentes – Medios públicos (p. ej., periódicos, televisión, etc.).
o Informes anuales y comunicados de prensa.
• Enfoques sistemáticos (opinión de expertos) en los que un equipo de riesgo examina y cuestiona un
proceso de negocio de manera sistemática para determinar los posibles puntos de falla, tales como:
o Evaluaciones de vulnerabilidad.
o Revisión de planes de continuidad de negocio y recuperación ante desastres.
o Entrevistas y talleres con gerentes, empleados, clientes, proveedores y auditores.
• Métodos inductivos (análisis teórico), en los que un equipo examina un proceso para determinar el
posible punto de ataque o compromiso, como las pruebas de penetración.

El proceso de identificación de riesgos sirve como entrada para otro aspecto de la gestión de riesgos,
como se ve en el siguiente flujo

Identificar controles
Identificar activos Identificar amenazas
existentes

Todo lo anterior
Identificar Identificar alimenta al Proceso
vulnerabilidades consecuencias de valoración de
riesgo

1.3.1 Entrevistas
La recopilación de información del personal es un método valioso para obtener información sobre el
negocio de quienes están más cerca de los procesos y es más probable que entiendan su funcionamiento
fundamental. Sin embargo, las entrevistas plantean ciertos desafíos de los que el profesional de riesgos
debe ser consciente. Una es que muchas personas quieren ser vistas como participantes esenciales en la
misión de la organización, lo que puede llevar a exagerar su propia importancia y la de sus equipos o
departamentos; otra es que es posible que las personas no entiendan completamente el proceso de
negocio general o las dependencias entre su departamento y otros departamentos. En ciertos casos, como
cuando hay negligencia o irregularidades demostrables, alguien puede proporcionar información
incorrecta intencionalmente.

El profesional de riesgos puede mejorar las probabilidades de que una entrevista produzca información
útil si se adhiere a las siguientes buenas prácticas:

• Designar un período de tiempo específico y no exceder ese tiempo sin mutuo acuerdo.
o Cuando a un gerente se le dice que se necesitará un miembro del personal durante 45
minutos, no debe descubrir que la entrevista duró 90 minutos.
• Conozca tanto como sea posible sobre el proceso de negocio antes de la entrevista, lo que reduce el
tiempo dedicado a las explicaciones generales de las funciones de negocio centrales.
o Obtenga y revise documentación como mapas de procesos, procedimientos operativos
estándar, los resultados de las evaluaciones de impacto y topologías de red antes de la
entrevista.
• Preparar las preguntas y facilitarlas al entrevistado con antelación para que lleve la documentación,
informes o datos de apoyo que sean necesarios.
• Llevar a cabo entrevistas con líderes sénior para garantizar una comprensión completa de la empresa,
incluidos todos los aspectos de cada operación de negocio.
o Los líderes sénior pueden incluir miembros de la junta, administradores, proveedores de
servicios externos críticos, clientes, proveedores y gerentes.
• Aliente a los entrevistados a ser abiertos sobre los desafíos que enfrentan y los riesgos que les
preocupan, así como sobre cualquier posible pérdida de oportunidades o problemas asociados con
sus procesos, sistemas y servicios/productos actuales.
• Evite establecer expectativas incorrectas con respecto a la confidencialidad de las respuestas de la
entrevista.
o Las personas pueden preocuparse por las repercusiones de discutir fallas u oportunidades
perdidas.
o Prometer confidencialidad solo si realmente se mantendrá.

Un detalle importante que se debe obtener durante una entrevista es el nivel de impacto que los
incidentes anteriores han tenido en la organización, incluida la forma en que se manejó el incidente, los
resultados de la revisión posterior al incidente y el análisis de la causa raíz y el estado actual de cualquier
actividad de remediación de incidentes anteriores, incluido si se abordaron y resolvieron las
recomendaciones del incidente anterior. El profesional de riesgos debe ser consciente de que las personas
disponibles para las entrevistas pueden no ser las personas adecuadas para responder a las preguntas
relacionadas con los riesgos. Cuando la programación u otros conflictos impiden el proceso de gestión de
riesgos, es posible que el profesional de riesgos deba recurrir al patrocinador ejecutivo del programa para
facilitar el acceso a las personas adecuadas de manera oportuna.

1.3.2 Estándares y marcos de trabajo y su relación con la identificación

del riesgo
Varias buenas fuentes para la identificación de riesgos y los estándares y marcos de clasificación están
disponibles para el profesional de riesgos. La siguiente lista no es exhaustiva y hay muchos más estándares
disponibles. Sin embargo, esta lista puede permitir que el profesional de riesgos considere un marco o
estándar que sería adecuado para su uso en su organización. Muchos países e industrias tienen normas
específicas que deben utilizar las organizaciones que operan en su jurisdicción. El uso de un estándar
reconocido puede proporcionar credibilidad y exhaustividad al programa de gestión y evaluación de
riesgos de la organización y ayudar a garantizar que el programa de gestión de riesgos sea completo y
completo.

• ISO 31000:2009 Gestión de riesgos: principios y directrices

• COBIT® 5 para el Riesgo
• IEC 31010:2009 Gestión de riesgos—Técnicas de evaluación de riesgos
• ISO/IEC 27001:2013 Tecnología de la información—Técnicas de seguridad—Sistemas de gestión de la
seguridad de la información—Requisitos
• ISO/IEC 27005:2011 Tecnología de la información—Técnicas de seguridad—Gestión de riesgos de
seguridad de la información
• Publicaciones especiales del NIST
o Publicación especial NIST 800-30 Revisión 1: Guía para realizar evaluaciones de riesgos
 o Publicación especial del NIST 800-39: Gestión del riesgo de seguridad de la información

1.3.3 Escenarios de riesgo (general)

Un escenario de riesgo es una descripción de un posible evento cuya ocurrencia tendrá un impacto
incierto en el logro de los objetivos de la empresa, que puede ser positivo o negativo. El desarrollo de
escenarios de riesgo proporciona una forma de conceptualizar el riesgo que puede ayudar en el proceso.
de identificación de riesgos. Los escenarios también se utilizan para documentar el riesgo en relación con
los objetivos de negocio o las operaciones afectadas por eventos, lo que los hace útiles como base para la
evaluación cuantitativa del riesgo. Cada riesgo identificado debe incluirse en uno o más escenarios, y cada
escenario debe basarse en un riesgo identificado.

1.3.3.1 Desarrollando escenarios de riesgo

Un escenario de riesgo es una descripción de un evento de riesgo relacionado con TI que puede tener un
impacto en el negocio. El escenario de riesgo contiene los siguientes componentes:

• Agente: La parte o entidad interna o externa que genera la amenaza

• Tipo de amenaza: la naturaleza del evento de amenaza (malintencionado o accidental; un evento
natural; una falla de equipo o proceso)
• Evento: El incidente de seguridad, como la divulgación de información, la interrupción de un sistema
o proyecto, incluyendo:
o Robo.
o Modificación indebida de datos o de un proceso.
o Uso inapropiado de los recursos.
o Cambios en la normativa.
o Falta de gestión del cambio.
• Activo: La entidad afectada por el evento de riesgo, incluyendo:
o Gente.
o Estructura organizativa.
o Procesos de TI.
o Infraestructura física.
o Esa infraestructura.
o Información, aplicaciones.
• Tiempo: si es relevante para el escenario, incluyendo:
o Duración (interrupción prolongada).
o Timing (en un momento crítico).
o Detección (detección inmediata o no).
o Lapso entre el evento y la consecuencia (impacto inmediato de una falla en la red frente a
problemas a largo plazo debido a una infraestructura deficiente).