Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(UASD)
Facultad de Ciencias Escuela de
Informática
ASIGNATURA:
Propedéutico
MAESTRANTE:
Ana Iris Reyes
Virgilio Pichardo
TEMA:
Análisis de Riesgo
CONTENIDO
INTRODUCCIÓN .............................................................................................................................................3
1. ¿QUÉ ES LA GESTIÓN DE RIESGOS? ............................................................................................4
2. VULNERABILIDAD ................................................................................................................................4
3. AMENAZA ................................................................................................................................................5
4. RIESGO ....................................................................................................................................................5
5. ANALISIS DE RIESGO ..........................................................................................................................5
6. ESTRUCTURA DEL ANÁLISIS DE RIESGO. ...................................................................................6
6.1. IDENTIFICACIÓN DE ACTIVOS.......................................................................................................6
6.2. IDENTIFICAR LAS AMENAZAS .......................................................................................................7
6.3. IDENTIFICAR LAS VULNERABILIDADES......................................................................................8
6.4. EVALUACIÓN DEL RIESGO .............................................................................................................9
6.5. TRATAMIENTO DEL RIESGO ........................................................................................................10
7. RIESGO INHERENTE ..........................................................................................................................11
8. RIESGO RESIDUAL .............................................................................................................................11
9. MAPA DE CALOR ................................................................................................................................12
10. CONTROLES: .......................................................................................................................................13
11. RECOMENDACIÓNES. .......................................................................................................................13
12. CONCLUSIÓN .......................................................................................................................................14
13. BIBLIOGRAFÍA .....................................................................................................................................14
INTRODUCCIÓN
2. VULNERABILIDAD
Las vulnerabilidades son una de las principales causas por las que una empresa puede
sufrir un ataque informático contra sus sistemas. Por eso siempre es recomendable
actualizar a las últimas versiones, las aplicaciones informáticas, sistemas de protección y
sistemas operativos, pues esas actualizaciones contienen muchas correcciones sobre
vulnerabilidades descubiertas.
La sola presencia de una vulnerabilidad no causa daño por sí misma, dado que es necesario
que haya una amenaza presente para explotarla. Una vulnerabilidad que no tiene una
amenaza correspondiente puede no requerir de la implementación de un control, pero es
recomendable reconocerla y monitorearla para determinar los cambios. Conviene anotar
que un control implementado de manera incorrecta o que funciona mal, o un control que se
utiliza de modo incorrecto podrían por sí solo constituir una vulnerabilidad.
3. AMENAZA
Es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad. Se
puede identificar como un peligro latente de que un evento físico de origen natural, causado,
o inducido por la acción humana de forma accidental, actúe tan severamente que nos
cueste pérdida de vidas, lesiones u otros impactos en la salud, así como también daños y
pérdidas en los bienes, la infraestructura, los medios de sustento, la prestación de servicios
y los recursos ambientales.
Una amenaza tiene el potencial de causar daños a activos tales como información,
procesos y sistemas y, por lo tanto, a las organizaciones. Las amenazas pueden ser de
origen natural o humano y podrían ser accidentales o deliberadas. Es recomendable
identificar tanto los orígenes de las amenazas accidentales como de las deliberadas. Una
amenaza puede tener su origen dentro o fuera de la organización.
4. RIESGO
5. ANALISIS DE RIESGO
El análisis de riesgos según ISO 27005 es una herramienta que nos permite identificar las
amenazas a las que se encuentran expuestos todos los activos, se estima la frecuencia en
la que se materializan todas las amenazas y valora el impacto que supone que se
materialice en nuestra organización.
Un activo es todo aquello que tiene algún valor para la organización y, por ende, debe
protegerse. Los activos pueden ser tangibles o intangibles, por ejemplo: la infraestructura
informática, los equipos auxiliares, las redes de comunicaciones, las instalaciones y las
personas, principalmente aquellas que tienen acceso a información crítica y sensible.
La identificación e inventario de los activos de información es la base para el análisis y
evaluación de riesgo.
Esta etapa consiste en identificar cada uno de los activos que tienen algún valor para la
organización y que es importante proteger, esto incluye activos para el procesamiento,
transmisión, tratamiento o almacenamiento de la información. Y para esto, es
necesario realizar un inventario que considere datos como:
1. Bajo: 10%
2. Medio: 50%
3. Alto: 100%
Una amenaza tiene el potencial de causar daños a activos tales como información,
procesos y sistemas y, por lo tanto, a las organizaciones. Las amenazas pueden ser de
origen natural o humano y podrían ser accidentales o deliberadas. Es recomendable
identificar tanto los orígenes de las amenazas accidentales como de las deliberadas. Una
amenaza puede tener su origen dentro o fuera de la organización.
La prevención y mitigación son todo lo que hacemos para asegurarnos de que no suceda
un desastre o, si sucede, que no nos perjudique tanto como podría. La mayoría de los
fenómenos naturales no pueden impedirse; pero sí podemos reducir los daños que causa
un sismo si construimos casas más resistentes y en lugares donde el suelo sea sólido.
La prevención y mitigación comienzan por conocer cuáles son las amenazas y riesgos a
los que estamos expuestos; no es suficiente hablar sobre el asunto, hay que tomar
acciones.
El análisis y gestión en este aspecto nos servirá para averiguar la magnitud y la gravedad
de las consecuencias del riesgo a las que está expuesta nuestra empresa y, de esta forma,
poder gestionarlos adecuadamente.
Para ello tendremos que definir un umbral que determine los riesgos asumibles y los
diferencie de los que no lo son. En función de la relevancia de los riesgos podremos optar
por:
1. Evitarlos, eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
2. Adoptar medidas que mitiguen su impacto o su probabilidad a través de la
implementación y monitorización de controles.
3. Compartirlos o transferirlos con terceros a través de seguros, contratos etc.
4. Aceptar su existencia y monitorizarlos.
En esta fase se pretende estudiar todas las características de los activos para identificar
los puntos débiles o vulnerabilidades. Una posible vulnerabilidad puede ser identificar un
conjunto de servidores cuyos sistemas antivirus no se encuentran actualizados. A la hora
de evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades
identificadas.
Para solucionar estos inconvenientes es posible aplicar distintos métodos para llevar a cabo
la evaluación de fallas en la infraestructura de una organización. En general consideran las
siguientes actividades:
Este es un proceso interno fundamental porque permite detectar los riesgos que se podrían
materializar y de qué manera estos afectarían el normal desarrollo de las actividades.
• Inventario de activos.
• Conjunto de amenazas a las que está expuesta cada activo.
• Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
• Conjunto de medidas de seguridad implantadas
Con toda esta información ya podemos calcular el riesgo. Para cada activo-amenaza,
estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio
que esto produciría. El cálculo de riesgo se puede llevar a cabo utilizando tanto criterios
cuantitativos como cualitativos.
Ejemplos:
ACTIVO DESCRIPCION VULNERABILIDAD AMENAZA RIESGO
Exposición y
Falta de cifrado u ofuscado Robo y fuga de
Se encarga de Divulgación de
de datos sensibles Información
bloquear acceso no Información
autorizado, actúa No disponibilidad de
Falta de copias de respaldo Falla Inesperada
como un organismo servicios operativos por
(backup) del equipo
de inspección que largo periodo de tiempo
verifica las * Saturación del
*Bajo performance de
conexiones que se sistema de
FIREWALL enlaces de
establecen entre una información
comunicación,
red y un equipo local * Fácil acceso a
provocando
a fin de proteger el Débil segmentación de la datos
malfuncionamiento de
ordenador contra red confidenciales, y
aplicaciones y servicios.
programas maliciosos equipos
* Extorsión
u otros peligros de sensibles
* Filtración de data
Internet. * Ataque por
sensible
Ransomware
6.5. TRATAMIENTO DEL RIESGO
Tolerar: Supone aceptar el riesgo y equilibrar éste con posibles beneficios. La exposición
a un riesgo se podría tolerar sin que hubiese necesidad de aplicar acciones adicionales.
En caso de no ser tolerable, las acciones que podríamos tomar en este caso serían
escasas porque el coste de tomarlas podría ser excesivo en relación al beneficio que nos
retornaría la aplicación de acciones. El tipo de control que realizaremos será Detectivo.
Terminar: Supone evitar la situación o eliminarla sin arriesgar. Para ello tendremos que
generar controles eficaces, que eliminen la causa del riesgo. El tipo de control dominante
a realizar será Directivo. Cabe mencionar que determinados riesgos sólo pueden ser
tratados hasta unos niveles concretos, por lo que puede darse el caso de que superados
esos niveles sea necesario el cese de la actividad.
La suma de los valores asignados a cada riesgo para severidad del daño, probabilidad de
que ocurra y el criterio de los técnicos nos da la valoración: muy bajo, bajo, medio, alto y
muy alto, la cual nos determina su tolerabilidad y el nivel de acción requerido.
8. RIESGO RESIDUAL
En pocas palabras, el peligro para una empresa que permanece después de que todos los
riesgos identificados se hayan eliminado o mitigado mediante los esfuerzos de la
Compañía o los controles internos y de riesgo.
9. MAPA DE CALOR
Un mapa de calor de riesgo consiste en una matriz con dos ejes, donde el eje Y representa
la probabilidad de frecuencia del riesgo y el eje X representa el impacto que puede tener el
mismo.
Los controles pueden brindar uno o más de los siguientes tipos de protección: corrección,
eliminación, prevención, minimización del impacto, disuasión, detección, recuperación,
monitoreo y concienciación. Durante la selección del control es importante ponderar el
costo de adquisición, implementación, administración, operación, monitoreo y
mantenimiento de los controles en comparación con el valor de los activos que se
protegen. Además, el retorno de la inversión en términos de reducción del riesgo y el
potencial para explotar nuevas oportunidades de ejecución que brindan algunos controles.
11. RECOMENDACIÓNES.
Si como resultado de una evaluación de riesgos es necesario aplicar o mejorar los controles
de riesgos, será necesario contar con un buen procedimiento para planificar la implantación
de las medidas de control que sean precisas.
12. CONCLUSIÓN
Es importante que toda organización realice un análisis de riesgo para poder determinar el
impacto que este les pueda ocasionar en caso de que se materialice, algunos riesgos son
inevitables, pero si se puede medir el impacto y determinar los controles para que el daño
sea menor. Es recomendable que se realice un plan de acción que determine la forma en
el que va a operar la empresa cuando no pueda evitar el daño causado por un riesgo.
13. BIBLIOGRAFÍA
Análisis de riesgos informáticos y ciberseguridad (ambit-bst.com)