Administración de Riesgos

Concepto de Riesgo

• Según ISO

• Corresponde a la posibilidad de que una amenaza determinada explote las

vulnerabilidades de un activo o grupo de activos y, por lo tanto, cause daños a la
organización. Se mide en términos de una combinación de la probabilidad de un evento y
su consecuencia [ISO / IEC 13335-1: 2005].

• Según NIST

• Corresponde al impacto neto sobre la misión de la organización: (1) la probabilidad de

que una fuente de amenaza en particular ejerza (accidental o intencionalmente) una
vulnerabilidad particular del sistema de información más (2) el impacto resultante si
esto ocurriera.
 Concepto de Riesgo

• El riesgo es una medida del nivel de exposición de una entidad, a amenazas que
pueden aprovechar determinadas circunstancias o eventos, y generar un cierto
detrimento o daño.

• Típicamente es una función de:

• (1) los impactos adversos que surgirían si la circunstancia o evento ocurre y

• (2) la probabilidad de que el evento o circunstancia ocurra.

= f( probabilidad de amenaza sobre activo, valor activo )

 Modelo de Riesgo

• Los modelos de riesgo definen los factores a evaluar y las relaciones entre
esos factores.
• Los factores de riesgo son características que se utilizan como entradas
para determinar los niveles de riesgo, los más típicos son:

• Amenaza
• Vulnerabilidad.
• Impacto.
• Probabilidad.
 Conceptos de Vulnerabilidad

• Una vulnerabilidad es una debilidad en un sistema de información,

procedimiento de seguridad del sistema, controles o implementación que
podría ser explotada por una fuente de amenaza.
• Las vulnerabilidades se pueden asociar con controles de seguridad no
aplicados (intencional o involuntariamente), o que se han aplicado, pero son
insuficientes.
• Las vulnerabilidades varían a medida que las funciones comerciales
evolucionan, los entornos de operación cambian, proliferan nuevas
tecnologías y surgen nuevas amenazas.
• Los controles de seguridad se vuelven inadecuados y se hace necesario
reevaluar su efectividad. Con el tiempo tienden a degradar su eficacia.
• Es necesario mantener evaluaciones de riesgo permanentes y programas de
seguimiento continuo para obtener una postura robusta de seguridad de la
información en la organización.
 Conceptos de Impacto

• El nivel de impacto de un evento de amenaza es la magnitud del daño

que se puede esperar que resulte de sus consecuencias (divulgación,
modificación, destrucción o pérdida de disponibilidad no autorizada de
información).
• Tal daño puede ser experimentado por una variedad de partes
interesadas de la organización (gerentes, propietarios, administradores,
individuos), es decir, cualquier persona relacionada con las operaciones
y activos de la organización.
• El impacto debe ser tratado por un proceso que determine su valor y
describa los activos que estarán involucrados en el caso en que se
verifique.
 Concepto de Probabilidad

• La probabilidad de ocurrencia es el resultado de un análisis de la probabilidad de que

una amenaza determinada es capaz de explotar una vulnerabilidad determinada en
un instante determinado.
• Combina una estimación de la probabilidad de que se inicie el evento de amenaza con
una estimación de la probabilidad de impacto (es decir, la probabilidad de que el
evento de amenaza resulte en impactos adversos).
• La probabilidad de ocurrencia esta basada en:

• intención, capacidad y focalización del adversario.

• evidencia histórica y datos empíricos u otros factores.
• marco de tiempo específico.
• Características de la organización (aversión al riesgo, arquitecturas de seguridad, sistemas de
información).

• El impacto la probabilidad (o posibilidad) de que el evento de amenaza resulte en un

impacto, independientemente de la magnitud del daño que pueda esperarse.
 Conceptos de Amenaza

• Una amenaza es cualquier circunstancia o evento que pueda tener un impacto adverso en las
operaciones y activos, o individuos de una organización (acceso no autorizado, destrucción,
divulgación o modificación de información, denegación de servicio, otros).
• Los eventos de amenaza son causados ​por ciertas fuentes que se caracterizan por:

• la intención y el método de explotación de una vulnerabilidad;

• una situación que puede explotar accidentalmente una vulnerabilidad.

• En general, los tipos de fuentes de amenazas incluyen:

• ataques físicos o cibernéticos hostiles.

• errores de omisión humanos.
• fallas estructurales de recursos controlados por la organización (por ejemplo, hardware, software,
controles ambientales).
• desastres naturales, provocados por el hombre, accidentes y fallas fuera del control de la organización.
 Evaluación del Riesgo

• Los riesgos de seguridad surgen de la pérdida de confidencialidad, integridad o

disponibilidad de los sistemas de información y reflejan los posibles impactos
adversos en las operaciones de la organización (misión, funciones, imagen o
reputación, activos organizacionales, individuos).
• La evaluación de riesgos es el proceso de identificar, estimar y priorizar los riesgos de
seguridad, requiere un análisis cuidadoso de la información sobre amenazas y
vulnerabilidades para determinar hasta qué punto las circunstancias o eventos
podrían afectar negativamente a una organización y la probabilidad de que ocurran
tales circunstancias o eventos.
 Ideas Relevantes

• Riesgo.
• Corresponde al conjunto de situación potenciales que pueden provocar daño, interrupción,
alteración o fallas en la infraestructura tecnológica (hardware, software, sistemas, aplicaciones,
redes) y en cualquier punto que participe en la distribución de Información en la organización.

• Gestión
• Definición de apetito y tolerancia al riesgo, (Alta Dirección).
• Identificación de escenarios de riesgo en función de objetivos de la organización.
• Inclusión de riesgos TI en la gestión global de riesgos.
• Utilización de guías, buenas prácticas, estándares.
• Características
• Toda organización posee riesgos, son inherentes.
• Se miden y priorizan por el impacto económico (y a veces reputacional) que provocan una vez que
se han verificado.
• La gestión de un riesgo se realiza siempre que agregue valor a la organización (cuando el costo de
su gestión no supere el impacto sobre la organización)
 Gestión del Riesgo

Actividad de vigilancia sobre los Disposición que la organización

riegos residuales y las amenazas 0.- Apetito y
Tolerancia
asume frente a los riesgos que
y vulnerabilidades que pueden puede enfrentar en pro del
desencadenar nuevos riesgos. 5.-
logro de sus objetivos de
1.-
Monitoreo y Identificación desempeño.
Control del del riesgo.
Riesgo.
Aplicación de las actividades Proceso que identifica amenazas
definidas para enfrentar cada y vulnerabilidades que
riesgo. combinadas pueden dañar
4.- 2.-
activos de información.
Mitigación Medición del
del riesgo. riesgo.
Proceso que clasifica riesgos
Definición de la estrategia y las 3.-
asociándolos a diferentes zonas
actividades con que serán Valoración de de apetito según probabilidad e
controles.
enfrentados los riesgos. impacto sobre los activos.
 Apetito de Riesgo de la Organización

• Para detectar el apetito de riesgo de una organización es

necesario conocer como ciertos factores inciden de forma
general en los procesos TI:

• Objetivos organizacionales.
• Recursos humanos.
• Herramientas para el manejo de procesos TI.
• Complejidad de los procesos TI y de las aplicaciones.
• Documentación de los procesos TI y de las aplicaciones.
• Nivel de supervisión de los procesos y prácticas TI.
• Control de los procesos TI y de las aplicaciones.
• Efecto en clientes y usuarios.
 Identificación

• Identificar los elementos que se listan a continuación.

• Analizar el Plan Estratégico y listar los riegos establecidos por

la Gerencia de TI.
• Consultar las auditorías internas incluidas en el plan anual.
• Indagar sobre riesgos levantados por el comité de TI.
• Entrevistas con jefes funcionales, dueños de procesos y
responsable de riesgos de la entidad.
• Recopilación de riesgos TI incluidos en los estándares y
mejores prácticas de auditoría TI.
 Análisis de Riesgos

• Los enfoques de análisis difieren con respecto a la orientación , al nivel de detalle

en la evaluación y a cómo se tratan los riesgos debidos a escenarios de amenazas
similares. Los enfoques mas típicos son:

• Un enfoque orientado a las amenazas identifica las fuentes de amenaza y se centra

en el desarrollo de escenarios de amenazas.

• Un enfoque orientado a activos v/s impactos identifica impactos o consecuencias

sobre activos críticos y establece escenarios donde esos eventos podrían ocurrir.

• Un enfoque orientado a la vulnerabilidad identifica un conjunto de debilidades o

deficiencias en los sistemas de información o en sus entornos de operación y
establece escenarios donde se podrían ejercer esas vulnerabilidades.

• Cada enfoque de análisis toma en consideración los mismos factores de riesgo,

pero en diferente orden. Las diferencias en el punto de partida de la evaluación
pueden sesgar los resultados, haciendo que algunos riesgos no se identifiquen,
por lo que se recomienda combinar enfoques.
 Matriz de Riesgo : Probabilidad * Impacto

Zona
Intermedia

Zona de Zona de
Aversión Tolerancia
Ejemplo de Informe de Riesgos
Matriz de Riesgo : Probabilidad v/s Impacto

10 11

7 1 13

2 9 6 14 12

5 8 4