Fuente: Information Security Risk Analysis.

Okinawa International Centre. Japan International

Cooperation Agency. MAGER. ISO/IEC 27005
Objetivos

 Explicar el procedimiento de análisis de riesgos.

 Valoración de los activos la información.
 Evaluación de riesgos y selección de
salvaguardas/controles/medidas de seguridad.
Contenido

1. Procedimiento de análisis de riesgos.

2. Evaluación de los activos de la información.

3. Evaluación de amenazas y vulnerabilidades alrededor

de los activos de la información.

4. Identificación de Riesgos
1. Procedimiento de análisis de riesgos

1.1 ¿Qué es riesgo?

1.2 Procedimiento de análisis de riesgos

1.1 ¿Qué es riesgo?

Riesgo: es la posibilidad que una amenaza explote una

vulnerabilidad en los activos causando daños o
pérdidas.

Amenaza: algo que puede potencialmente causar daño a

la red o a los sistemas computacionales. Ej: virus

Vulnerabilidad: son las debilidades de la organización,

sistemas computacionales, o la red que pueden ser
explotados por una amenaza. Ej: no tener software
antivirus instalado.
 Relaciones entre riesgos, amenazas y
vulnerabilidades

explotar
Amenaza Vulnerabilidades
au
m
en t ar exponer
proteger contra
ta en
r um
a
reducir
Activos de
Controles * Riesgos
información

ar
au
c
di
m
se cumple n tener
en
i
ta
Protecciones r Valor del
Requeridas activo

*Controles: una práctica, procedimiento o mecanismo que reduce el riesgo

Tres Factores de Seguridad de la
Información
Seguridad de la Información: consiste en asegurar y mantener la
confidencialidad, integridad y disponibilidad de la información.

Confidencialidad de la información
La información de la organización nunca debería ser accesible
a los usuarios sin la autorización correspondiente.

Integridad de las aplicaciones y de la información

Consiste en preservar la información completa y exacta.

Disponibilidad del sistema

La información está disponible a los usuarios autorizados cuando
estos la requieran.
Normas para la Seguridad de la
Información
Existen muchas normas disponibles…
ISO (Organización Internacional de Estandarización)
ISO/IEC 17799: Código de buenas prácticas para la gestión de seguridad de la
información
Originalmente establecida como Estándar Británico (BS) 7799, 17799 que proporciona
recomendaciones para desarrollar estándares de seguridad en las organizaciones y
prácticas efectivas de gestión de la seguridad.

ISO/IEC 27005: Gestión de Riesgos de seguridad de la Información

Originalmente establecida como ISO/IEC TR 13335-3 e ISO/IEC TR 13335-4, la cual
provee lineamientos para la gestión de riesgos de seguridad de la información en la
organización.

ISO/IEC 15408: Criterios de evaluación de seguridad para IT (CC: Criterios Comunes)

Criterios usados como evaluación básica de seguridad como propietarios de productos y
sistemas de IT.
 1.2 Procedimiento de Análisis de Riesgos

Análisis de Riesgos: Evaluación de amenazas y vulnerabilidades de los activos de

información.
Evaluación de Riesgos: Todo el proceso de análisis y evaluación de riesgos
Gestión de Riesgos: Proceso de identificación, control y reducción o eliminación de
riesgos de seguridad que pueden afectar los sistemas de información.

Planear H-V-A
Determinación Gestión de Riesgos
del alcance de
Seguridad Evaluación de Riesgos
de la
información Análisis de Riesgos
Desarrollo del
Creación de la Valoración de Evaluación de Tratamiento
política
método sis-
temático de la activos de la amenazas y
Evaluación de de
Aceptación de
riesgos
P H
riesgos riesgos
evaluación de
información vulnerabilidades V A
riesgos

Procedimiento Reporte de
Lista de Tabla de
de evaluación Evaluación de
activos análisis de
de riesgos riesgos
riesgos
¿Por qué es necesario hacer un Análisis de
Riesgos?

¿Qué podría pasar si Ud. Omite el análisis?

 No pudiera detectar vulnerabilidades

 Introducir contramedidas sin una razón específica

 Rehacer la totalidad de los sistemas

 Tomar un enorme costo y tiempo

El análisis nos puede llevar a…

 Identificar amenazas de sus sistemas

 Estimar daños y posibles ocurrencias

 Desarrollar contramedidas para disminuir las amenazas

2. Valoración de Activos de Información

2.1 ¿Qué son los Activos de Información?

2.2 Identificación de Activos de Información.

2.3 Valoración de Activos de Información

Procedimiento de Valoración de Activos de
información

Valoración de activos de información

Desarrollo sistemático
del método de
evaluación de riesgos Identificación de activos de información
Listado
de
Procedimiento
activos
de evaluación
de riesgos Valoración de activos de
información

•Confidencialidad
•Integridad
•Disponibilidad
 2.1 ¿Qué son los Activos de Información?
Un activo es algo que tiene valor para la organización y por lo tanto tiene que
protegerse. Los activos incluyen toda la información y soporte que la organización
requiera para conducir el negocio.
Ejemplos de activos de información
TIPO DE ACTIVO
Hardware
 
Comprende todos los elementos físicos
(equipos, accesorios, periféricos, etc.) que
soportan el procesamiento de datos de la
institución.
Software
 
Comprende todos los programas de
computadora (desarrollados internamente
o adquiridos) que se utilizan para realizar
las diferentes actividades informáticas
dentro de la institución tanto para
personal técnico como usuarios.
Redes
 
Son todos los dispositivos físicos (y sus
protocolos) de telecomunicaciones
utilizados para interconectar varias
computadoras remotas o elementos de un
sistema de información.
EJEMPLOS
Documentos físicos (en papel), Servidores, Workstations, laptops, Tablet
PC, asistente personal digital (PDA), Impresores, unidad de disco
removibles, Disquetes, CD, DVD, cartucho de respaldo, discos duros
removibles, memorias USB, cintas, documentación, fax, otros.
Sistemas Operativos. Software para tareas administrativas, de
mantenimiento, monitoreo, de red, de seguridad, etc. Herramienta de
diseño, desarrollo, mantenimiento y control de aplicaciones
informáticas. Aplicaciones de negocio ya sean adquiridas o
desarrolladas internamente (SITEP, SIDUNEA, SAFI, SIGADE, SIIT,
SIIP, SIRH etc.). Servidor y cliente de Correo electrónico, Antivirus,
Antispam, filtrado de contenido web, software de telefonía. Otros.
Puentes (bridge), enrutadores (router), hubs, switches, firewall, IDS, IPS,
balanceador de carga, aceleradores de contenido (servidor de caché),
adaptadores de red (tarjeta de red).
Medios o equipos de comunicaciones y telecomunicaciones de: redes
telefónicas, Ethernet, GigabitEthernet, TenGigabitEthernet ADSL.
Protocolos de redes inalámbricas (WiFi), bluetooth. Equipos GPRS
(General Packet Radio Service). Hardware antispam. Otros.
 2.1 ¿Qué son los Activos de Información?
TIPO DE ACTIVO
Personal
 
Comprende a todos los grupos de
personas involucradas en el uso,
mantenimiento, administración y toma de
decisiones en los sistemas de información.
Localidad
 
Comprende todos los lugares, servicios
básicos y suministros para que las
distintas instalaciones funcionen
adecuadamente, con el objeto de que los
sistemas de información operen en
condiciones normales.
Organización
 
Comprende a todos los grupos de
personas que realizan actividades de
soporte para la organización así como
también terceros que le prestan servicios
ya sea en forma contractual o no.
EJEMPLOS
Usuarios. Desarrolladores de aplicaciones del negocio. Administrador
de bases de datos, Administrador de sistemas, administrador de datos o
aplicaciones, personal de back-up y restauraciones, personal de Help
Desk.
Administradores de servidores de aplicaciones, portales, directorios de
usuarios.
Desplegadores de aplicaciones.
Oficiales de seguridad. Gerente de alto nivel, líder de proyectos. Otros.
Edificios, instalaciones, parqueos, recintos, bodegas, oficinas, centros de
procesamiento de datos, oficinas periféricas, establecimientos, locales,
zonas de acceso reservado, zonas de seguridad.
 
Suministro eléctrico,
Líneas telefónicas, PBX, PABX, suministro de agua, servicios y medios
(equipo, control) de enfriamiento y purificación del aire, tuberías de
agua para enfriamiento, aires acondicionados. Otros.
Departamentos que prestan servicios de soporte en la organización:
recursos humanos, compras, administración, seguridad a oficinas y
edificios, servicio contra incendios, auditoria, Finanzas, Servicios
generales y de mantenimiento.
 
Proveedores de servicios y contratistas vinculados mediante contrato:
consultorías, outsourcing, servicios informáticos, limpieza, vigilancia.
Personal de servicio social.
2.2 Identificación de los Activos de
Información
Identificación de los activos de información: identifica el contenido de los activos de
información que incluya el alcance de la seguridad de la información, y crear una
lista de activos.
El listado de activos de información deben incluir la siguiente información:
Listado de activos

•Servicio critico
•Nombre del activo de información.
•Tipo de activo
•Intención del uso
•Usuario y Administrador.
•Medios de almacenamientos (ej. discos duros, documentos en papel).
•Ubicación lógica y física (ej. Servidor ss3t-fsdinafi-01 en el salón de servidores).
•Valoración del impacto en términos de la pérdida de confidencialidad,
integridad y disponibilidad

La identificación individual de los activos de información y el entendimiento de estas

características son importantes para las dos tareas subsecuentes: valoración de
activos de información y la identificación de las amenazas y las vulnerabilidades.
2.3 Valoración de los Activos de
Información
Valoración de los activos por análisis cualitativo
La valoración de los activos de la información en términos de impacto para el negocio en caso de la pérdida de la
confidencialidad, integridad y disponibilidad.

Valoración del Impacto Criterio

en términos de la
perdida de
confidencialidad
Alto (3) La divulgación no autorizada de la información tiene un efecto crítico para la
organización. Ej.: divulgación de información Confidencial o sensible.
Medio (2) La divulgación no autorizada de la información tiene un efecto limitado para la
organización. Ej.: divulgación de información de uso interno.
Bajo (1) La divulgación de la información no tiene ningún efecto para la organización.
Ej.: divulgación de información pública.

Valoración del Impacto Criterio

en términos de la perdida
de integridad
Alto (3) La destrucción o modificación no autorizada de la información tiene un efecto severo
para la organización.
Medio (2) La destrucción o modificación no autorizada de la información tiene un efecto
considerable para la organización.
Bajo (1) La destrucción o modificación de la información tiene efecto leve para la organización.
2.3 Valoración de los Activos de
Información

Valoración del Impacto Criterio

en términos de la
perdida de
disponibilidad
Alto (3) La interrupción en el acceso a la información o los sistemas tiene un efecto
severo para la organización.
Medio (2) La interrupción en el acceso a la información o los sistemas tiene un efecto
considerable para la organización.
Bajo (1) La interrupción en el acceso a la información o los sistemas tiene un efecto
mínimo para la organización.
Consideraciones de la identificación y
valoración de los activos de información
Se debe de tomar en cuenta dos consideraciones cuando este implementando la
identificación y valoración de los activos de información.

Agrupación de activos de información

Clasificar los activos de información que tengan los mismos valores y atributos (tipo de
activo, intensión de uso, etc.) y métodos de control dentro de un mismo grupo. Es
efectivo para reducir la cantidad de trabajo y mejorar la eficiencia del análisis de
riesgos subsecuente. Ej: las PCs del depto. de desarrollo de la misma marca
compradas en la misma fecha al mismo proveedor, con el mismo contrato de
mantenimiento y destinadas al mismo uso se toman como un solo grupo: PCs de
Desarrollo DGT.

Separación de activos de información

Diferenciar los mismos activos de información en términos de aplicaciones o
características. Posibilidad de implementar mas medidas efectivas, ej. servidores con
el mismo desempeño instalado en diferentes lugares unos en el centro de computo de
las 3 torres y otros en Aduanas; se toman como 2 grupos: Servidores xyz Aduanas,
Servidores xyz CPD3T.
 Ejemplos de Lista de Activos

Ejemplo de lista de activos

Nombre del Intensión del Usuario / Medio de Lugar Nivel de activos de información
activo de uso Administrador almacenamient C. Confidencialidad
información o I: integridad
D: disponibilidad
Lista de Dirección de Personal de Disco duro Servid Sala de C 3 Pérdida de clientes
clientes correos para ventas / or servid debido a la fuga de
avisos Departamento ores información
de sistemas de
I 2 No puede ser enviado
información
debido a la alteración o
destrucción
D 2 Disminución en las
ventas debido a la
indisponibilidad del
envío causado por la
pérdida de la lista de
clientes
Contrato de Mostrar el Personal de Papel Gabine Oficina C 3 Pérdida de clientes
mantenimiento contrato ventas / te debido a la fuga de
de servicios Departamento información
de sistemas de
I 2 Pérdida de credibilidad
información
debido a la alteración o
destrucción
D 1 Generalmente no es
utilizada
3. Estimación de Amenazas y Vulnerabilidades
relacionadas a los Activos de Información

3.1 Amenazas y Vulnerabilidades.

3.2 Estimación de Amenazas.

3.3 Estimación de Vulnerabilidades

Procedimiento de Estimación de Amenazas
y Vulnerabilidades

Estimación de Amenazas y Vulnerabilidades

Valoración de
activos de Identificación de amenazas
información
Identificación de vulnerabilidades
Tabla de
Lista de análisis
activos de
riesgos
Estimación de amenazas

Estimación de vulnerabilidades
3.1 Amenazas y Vulnerabilidades

Relación entre amenazas, vulnerabilidades y pérdida

Amenaza Pérdida Vulnerabilidad

(Amenaza) X (Vulnerabilidad) = (Pérdida)

Virus X no tener instalado = destrucción de datos

software antivirus
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
Clasificación de la Pérdida

Cuando la seguridad falla, se tiene:

Pérdida
Pérdida directa
indirecta

1) Pérdida de beneficio (desde

Daño directo la alteración del servicio y
para los activos pérdida de credibilidad)
(ej. pérdida de 2) Incurrir en la
información responsabilidad (ej.
Compensaciones por
pérdidas)

Total de costos por pérdidas = pérdidas directas + pérdidas indirectas

3.1.1 Identificación de las Amenazas

Amenaza: Algo que puede

potencialmente causar daño
a la red o a los sistemas
Robo, alteración, o eliminar Computacionales
archivos confidenciales

Fallo de
Robo de dispositivos de hardware
hardware

Infección de virus
Acceso no
autorizado
desde la
internet

Errores de operación
Interrumpir
o entrar
Acceso no autorizado
para la internet
Significado y Probabilidad de las
Amenazas (Cuándo y Cómo)
¿Cuándo ocurren las amenazas?
Tipos de amenazas • En autenticación
• En transferencia de datos
Amenazas ambientales • En procesos de mantenimiento
Terremotos, inundación, huracanes, ¿Cuáles son las oportunidades para
tormentas que ocurran las amenazas?
•Todos los días
•Una vez a la semana
Amenazas humanas •Una vez al mes
•Intencionales / amenazas deliberadas
•Una vez al año
Alteración de datos o robo, destrucción
de datos, robo de hardware, accesos no
autorizados, intervenciones. La probabilidad depende de las características
del sistema
No intencionales / amenazas • ¿Cómo es valorado el ataque en el sistema?
accidentales • ¿Tiene la red muchos puntos de entrada?
Errores de operación, errores de
(ej.: WAN, modem, internet)
diseño, errores de software o
• Tipos de usuarios (ej.: con o sin limitantes)
programación, errores de usuarios,
tropezar con cables eléctricos, fallas de
• Ubicación de los sistemas
hardware
Probables Fuentes de Amenazas (Quién)
¿Cuáles son las fuentes de amenaza para los sistemas de información?

Las principales amenazas para los activos de información pueden ser

categorizadas de la siguiente manera:
Internos y no intencionales
Trabajadores desinformados: errores pueden ser hechos, la información
puede ser destruida, datos confidenciales pueden ser expuestos.
Internos e intencionales
Empleados descontentos: dejar errores en los sistemas a propósito.
Trabajadores Contratados: que se quieran volver indispensable mediante
la realización de su trabajo de modo tal que ningún otro lo pueda sustituir.
Ej: desarrollador de software que no sigue ningún estándar de la
organización.
Externos y no intencionales
Desastres naturales – causando interrupción en los servicios.

Externos e intencionales
Hackers – accesando a servidores y robando información personal.
Crackers – destruyendo los sistemas.
Lugar de las Amenazas (Dónde)
¿Dónde ocurren las amenazas?
¿De dónde vienen las amenazas?

Terminal / Servidor Red Externa

Robo, alteración, o eliminar Dispositivos de red
archivos confidenciales Fallo de
hardware
Robo de dispositivos de
hardware

Infección de virus Acceso no

autorizado
Errores de operación desde la
internet
Red Local
Interrumpir
o entrar
Acceso no autorizado
para la internet Entrada a los edificios
Motivos de las Amenazas (Por qué)

¿Por qué ocurren las amenazas?

•Dinero, beneficio
•Ventajas competitivas
•Queja, venganza
•Curiosidad
•Travesura
•Llamar la atención
•Ignorancia
3.1.2 Identificación de Vulnerabilidades

Vulnerabilidad: una debilidad en la organización, sistemas de computación,

o la red.

Ejemplos:
Políticasde seguridad no están implementadas
Los roles y responsabilidades no son precisas
Organización
El entrenamiento de seguridad a los empleados es inadecuado
La entrada a los edificios no es revisada adecuadamente

No se tiene protección contra los virus de computadoras

Existen fallas en el software de los servidores de SO Sistemas
No se han aplicado políticas de contraseñas.

Datos confidenciales sin protección son enviados por la red Red

Agujero de Seguridad

Agujero de seguridad: un problema de seguridad de los sistemas o un lugar

en donde los problemas de seguridad pueden ocurrir.
Ejemplo:
Telecomunicaciones desde fuera
sin control de administrador
Errores de configuración
SO o aplicaciones de bugs en los firewalls o router

Datos sin protección en

Carencia de administración de la transmisión
documentos
3.1.3 ejemplos de Amenazas y
Vulnerabilidades
Identifique las amenazas y vulnerabilidades que existen en su organización.

Ejemplos de amenazas y vulnerabilidades que podrían existir en las

organizaciones.

Edificio

Dentro de la oficina

Sistema
Red
Amenazas y Vulnerabilidades Ambientales

Amenazas Vulnerabilidades

Desastres naturales •La organización está en un área susceptible a desastres naturales.

(terremotos, •No se tiene un plan de continuidad del negocio o procedimientos
inundaciones,
que protejan la información y los activos de información.
tormentas)
•Los respaldos de expedientes y sistemas no están disponibles.

Fuego en edificios •Carencia de dispositivos de detección de fuego

•Carencia de sistema automático de supresión de fuego
• Disponibilidad de materiales inflamables como papel o cajas
•Los respaldos de expedientes y sistemas no están disponibles

Falla del •No se tiene UPS o planta eléctrica para cuando se interrumpe el suministro de
suministro energía eléctrica.
•No se tiene un plan de continuidad del negocio o procedimientos
eléctrico que protejan la información y los activos de información
•Los respaldos de expedientes y sistemas no están disponibles
 Amenazas y Vulnerabilidades
Intencionales/Deliberadas (1/4)
Amenazas Vulnerabilidades
Código malicioso •No se tiene software anti-virus
(virus, gusanos, •El software anti-virus no se actualiza regularmente.
caballos troyanos) •Falta de entrenamiento al personal de apoyo en virus de software
•Descargas y usos de software de internet no controladas.
•Carencia de políticas respecto a la apertura de correos con
archivos adjuntados.
•Carencia de políticas en el uso de disquete, cds, usb memory sin
ser escaneadas con un software de antivirus previamente.
Ataque de •Carencia de firewall
denegación de •Carencia de un sistema de detección y prevención de intrusos
servicio/ataque de •Los sistemas operativos no se actualizan regularmente con los
distribución de parches de seguridad.
denegación de
servicio/ataque de
tope de memoria
 Amenazas y Vulnerabilidades
Intencionales/Deliberadas (2/4)
Amenazas Vulnerabilidades
Escucha a •Comunicaciones sin encriptar
escondidas/interven •Carencia de seguridad física sobre la comunicación de la data.
ir la red •Uso compartido de Ethernet: todo el tráfico es transmitido a
cualquier máquina en un mismo segmento.
Acceso no • Carencia de logs de auditoria para detectar accesos no
autorizado a través autorizados
de la red • Carencia de autenticación de usuarios
• Carencia de un sistema de detección y prevención de intrusos
• Carencia de firewalls
• Políticas inadecuadas de firewalls
• Los sistemas operativos no se actualizan regularmente con los
parches de seguridad.
 Amenazas y Vulnerabilidades
Intencionales/Deliberadas (3/4)
Amenazas Vulnerabilidades
Accesos no •Carencia de seguridad física (sin vigilantes, sin llaves)
autorizados •Carencia de accesos lógicos de seguridad (número de
(intrusión en los identificación, contraseñas)
edificios)
Alteración/destrucci •Carencia de seguridad física (sin vigilantes, sin llaves)
ón maliciosa por •Carencia de accesos lógicos de seguridad (número de
personal con acceso identificación, contraseñas)
a información •Carencia de gestión del control de cambios.
confidencial •Derechos de acceso incorrectos
Repudiación •Carencia de pruebas de envío o recibo de mensajes
•Carencia de uso de firmas digitales
Envío fraudulento •Carencia de mecanismos de identificación y autenticación
de correo, usando •Tablas de contraseñas sin protección
un nombre o una •Carencia de identificación del remitente y del destinatario
dirección falsa
(spoofing)
 Amenazas y Vulnerabilidades
Intencionales/Deliberadas (4/4)
Amenazas Vulnerabilidades
Robo •Carencia de seguridad física (sin vigilantes, sin llaves)
•Carencia de accesos lógicos de seguridad (número de
identificación, contraseñas)
•Carencia de controles de administración de hardware y software
•Copiado de datos y software no controlados
•Carencia de rastros de auditorias
Ingeniería social • Carencia de políticas que regulen la entrega de información por
teléfono.
• Carencia de políticas que requieran que toda petición de
información pueda ser suspendida has taque la identidad del
solicitante pueda ser verificada.
Ingeniería Social

Ingeniería social: formas de obtener información critica, no de forma magnética sino

mediante acciones sociales con el propósito de utilizar los sistemas de información
sin estar autorizados para ello.

Amenazas humanas Vulnerabilidades

1.Buscar en los desechos 1.Descuido en la disposición final de documentos.
2.Personal que observa a espaldas del usuario 2.Insuficiente entrenamiento en seguridad
3.Engaño 3.Carencia de políticas restrictivas para proveer
información por teléfono

Hola, soy el administrador

de sistemas, y para brindarle
mantenimiento a su software,
necesito conocer su
contraseña

Atacante Usuario
 Amenazas y Vulnerabilidades No
Intencionales o Accidentales (1/3)
Amenazas Vulnerabilidades
Errores de usuario o •Carencia de conciencia de los usuarios
del Personal de •Insuficiente entrenamiento de seguridad
operaciones. •Carencia de documentación (ej. guía de usuarios)
•Interface de usuarios complicada
•Carencia de control de cambios en las configuraciones.
Errores de • Procedimientos inadecuados en el del ciclo de vida de desarrollo
programación de de sistemas.
software • Especificaciones confusas o incompletas
• Carencia de un control eficiente y efectivo de los cambios en las
configuración.
• Personal no cualificado / no capacitado.
 Amenazas y Vulnerabilidades No
Intencionales o Accidentales(2/3)
Amenazas Vulnerabilidades
Fallas de hardware •Falta de entrenamiento a los usuarios.
•Mantenimiento inapropiado del hardware.
•Carencia de procedimiento o recursos para hacer respaldos.
•No se tienen planes o procedimientos de continuidad del negocio
Fallas en los •Carencia de redundancia y respaldos
servicios de •Diseño y administración inadecuada de redes
comunicación •Manejo inadecuado de incidentes
 Amenazas y Vulnerabilidades No
Intencionales o Accidentales (3/3)
Amenazas Vulnerabilidades
Falla de operaciones • Obligaciones no claras en los contratos de servicios en
ejecutadas mediante outsourcing.
outsourcing • No se tiene procedimientos o plan de continuidad del negocio
que cubran a la información y los activos de información
Pérdida o ausencia •No se tiene reemplazo del personal clave.
de personal clave •Procedimientos no documentados
 3.2 Estimación de las Amenazas

Ejemplos de los criterios de las amenazas

Criterio Criterio por Ejemplos
Nivel de Criterio por
por condición de Criterio por atractivo
amenazas probabilidad
frecuencia ocurrencia
Alto (3) La ocurrencia es muy Más de Bajo El atacante se Código
probable una vez al circunstancia beneficia en gran malicioso
(probabilidad mayor mes s normales medida por el ataque,
del 50%) tiene la capacidad
técnica para ejecutarlo
y la vulnerabilidad es
fácilmente explotable.
Medio (2) La ocurrencia es Alrededor Por errores El atacante se Fallas de
probable de una vez descuidados beneficia de alguna hardware
(probabilidad igual al cada tres manera por el ataque,
50%) meses tiene la capacidad
técnica para ejecutarlo
y la vulnerabilidad es
fácilmente explotable.
Bajo (1) La ocurrencia es Alrededor En rara El atacante no se Desastres
menos probable de una vez ocasión beneficia por el ataque naturales
(probabilidad es al año
mayor que cero y
menor del 50%)
No Aplica (0)
Aspectos a considerar en la Estimación de
las Amenazas

Cuando se estime la posibilidad de pérdida o daño por

amenazas, se deben considerar los siguientes aspectos:

 Ejemplos, experiencias
 Frecuencia
 Atractividad
 Motivación
 Capacidades
 Recursos
3.3 Estimación de las Vulnerabilidades

Ejemplos de criterios de vulnerabilidades

Nivel de vulnerabilidades Criterio Ejemplos

Alto (3) No existe ninguna medida No se utilizan contraseña para que los usuarios
de seguridad ingresen a los sistemas.
implementada para
prevenir la ocurrencia de la
amenaza.
Medio (2) Existen medidas de Existe norma para la utilización de contraseñas
seguridad implementadas pero no se aplica.
que no reducen la
probabilidad de ocurrencia
de la amenaza a un nivel
aceptable.
Bajo (1) La medida de seguridad es Existe norma para la utilización de contraseñas
adecuada y es aplicada.
 Ejemplo de Tabla de Análisis de Riesgos

Ejemplo de tabla de análisis de riesgos

Nombre del CID Nivel de Nivel de Amenazas Vulnerabilidad Controles
activo de amenaza vulnerabilidad esperadas es esperadas implementados
información actualmente
Lista de C 3 2 3 •Acceso no •La contraseña •Se utiliza
clientes autorizado al del servidor no autenticación
existente servidor se cambia de usuarios
periódicamente (usuario,
contraseña)
I 2 2 3 •Alteración de •No se han •Se registran en
datos en el restringido los el log todos los
servidor derechos sobre accesos.
los archivos
D 2 3 2 •Falla de •El hardware •Los respaldos
hardware del servidor no son creados una
•Infección de tiene vez por semana
virus mantenimiento
•El software de
anti-virus no
esta instalado
4. Identificación de Riesgos

4.1 Evaluación de Riesgos

4.2 Selección de controles

4.3 Procedimientos documentados

Procedimiento de Identificación de Riesgos

Identificación de Riesgos
Evaluación de Evaluación de Riesgos
amenazas y
vulnerabilidades

Tabla de Reporte de
análisis de Tratamiento de riesgos evaluación
riesgos de riesgos

Aceptación de Riesgos
 4.1 Evaluación de Riesgos

Evaluación de riesgos: Proceso de comparación del riesgo estimado contra un criterio de

riesgos calculado dado para determinar la importancia del riesgo.
El grado del riesgo es expresado numéricamente basado en las medidas del valor de los
activos de información, el impacto de la amenaza y el alcance de la vulnerabilidad.
La formula para calcular el grado del riesgo
Riesgo actual = Valor del activo de la información(CID) x Amenaza x Vulnerabilidad

Ejemplo de matriz con valores predefinidos

Nivel de Amenazas Bajo (1) Medio (2) Alto (3)

Nivel de Bajo Medio Alto Bajo Medio Alto Bajo Medio Alto
Vulnerabilidades (1) (2) (3) (1) (2) (3) (1) (2) (3)

Valoración Bajo
1 2 3 2 4 6 3 6 9
del Impacto (1)
en términos
Medio
de la 2 4 6 4 8 12 6 12 18
pérdida de (2)
(CID) en los Alto
activos 3 6 9 6 12 18 9 18 27
(3)

CID = Confidencialidad, Integridad y Disponibilidad

4.2 Selección de Controles

4.2.1 Tratamiento de los Riesgos

4.2.2 Aceptación de los Riesgos

4.2.1 Tratamiento de los Riesgos

Tratamiento de los riesgos: proceso de selección e implementación de

medidas para modificar el riesgo.

Método de control de riesgos

Reducir: Selección de una o varias salvaguardas o controles para reducir el
riesgo a un nivel aceptable para la organización. Ej: implementar políticas
de control de acceso.
Evitar: Eliminar la actividad de alto riesgo o cambiar las condiciones bajo las
cuales la actividad es operada (remover el riego).

Método de financiamiento de riesgos

Transferir (desviar): trasferir el riesgo a otra entidad interna o externa
mediante :el traspaso de la gestión del activo y/o del riesgo, seguros, etc.
para cambiar o compartir la responsabilidad de la pérdida.
Aceptar: Tomar la decisión de aceptar las consecuencias de un riesgo en
particular, es decir, no se realiza ninguna acción respecto al riesgo.
Ejemplo de cómo Responder al Riesgo.

Considere la posibilidad de afrontar el riesgo y los costos de las perdidas, para

decidir como responder al riesgo.

Alto

Reducir el riesgo Evitar el riesgo

Posibilidad
de enfrentar
el riesgo

Transferir el
Retener el riesgo riesgo
(Nivel aceptable)

Bajo Costo de la pérdida Alto

Clasificación de Controles de Seguridad

Para reducir los riesgos, existen 2 tipos de controles de

seguridad:

1) Controles técnicos de seguridad: Redes, hardware y

software relacionado con las medidas de seguridad
como firewalls, IDS, IPS, Antivirus, encriptación, etc.

2) Controles operacionales de seguridad: Medidas de

seguridad no técnicas las cuales pueden ser como el
entrenamiento en seguridad y las respuesta a los
incidentes.
Tipos de Controles de Seguridad Técnicos

Los controles de seguridad técnicos son clasificados en 3 tipos:

Técnicas de prevención:
Técnicas para prevenir la ocurrencia de las amenazas o daños
(ej. autenticación por contraseñas)

Técnicas de detección:
Técnicas para descubrir acciones ilegales o intentos ilegales
de acceso (ej. Análisis de logs de accesos, uso de herramientas
de monitoreo)

Técnicas de recuperación:
Técnicas para minimizar los daños y restaurar la
Confidencialidad, Integridad y Disponibilidad de los activos
(ej. respaldos de los sistemas y las bases de datos) .
Tipos de Controles de Seguridad
Operacionales
Los controles de seguridad operacionales se clasifican en 3 tipos:
Prevención:
 Introducir y mantener políticas de seguridad
 Entrenamiento periódico en seguridad (Ej: 1 vez al año)
 Realizar auditorias de seguridad periódicamente.
 Recopilar información de vulnerabilidades nuevas y aplicar los parches
cuando sea necesario
Detección:
 Monitorear la red y las transacciones de los sistemas para detectar cualquier
incidente de seguridad
 Analizar los logs.
Recuperación (respuesta a incidentes):
 Personas quienes violan las políticas de seguridad son penalizadas
 Restaurar datos/sistemas destruidos, basado en un plan de continuidad del
negocio pre determinado.
Controles Basados en las Mejores Prácticas

La ISO/IEC 17799 describe 11 aéreas de controles que pueden considerarse

como una guía de buena principios para implementar seguridad de la
información y reducir el riesgo.
 Política de seguridad
 Organización de la Seguridad de la Información
 Gestión de activos
 Seguridad de Recursos Humanos
 Seguridad física y ambiental
 Gestión de las comunicaciones y operaciones
 Control de acceso
 Adquisición, desarrollo y mantenimiento de sistemas de información.
 Gestión de incidentes de seguridad de la información.
 Gestión de la continuidad del negocio.
 Cumplimiento
Otras medidas que no estén incluidas en los controles de la ISO/IEC 17799
pueden también ser adoptados.
Factores que Influyen en la Selección de los
Controles
Los factores a considerar cuando se seleccionan los controles a implementación son:
 Facilidad de uso de los controles
 Transparencia para el usuario
 Costos del control
 Compatibilidad con los controles existentes
 La fortaleza relativa de los controles
 Balance técnico y no técnico de los controles
 Balance de prevención, detección y recuperación

Ejemplo Posibles controles

Si se identifica un punto de alto
Riesgo como acceso no autorizado
a cierto sistemas a través de la red
- Instalar un firewall (técnico y prevención)
- Instalar un IDS (técnico y detección)
- Registros de logs y monitoreo regular de
logs (técnico y detección)
- Realizar respaldos de expedientes (técnico
y recuperación)
- Realizar procedimientos de respuestas a
incidentes (no técnico y recuperación)
 Ejemplo de Controles

Compañía Sala de servidores

de ventas
Encripción
por internet y firma digital

Equipo de
Oficina Principal mantenimiento
Cliente

Política de seguridad, Línea arrendada Sistema bancario

plan de continuidad
del negocio,
entrenamiento en Identificación y
seguridad para los autenticación de usuario
empleados Call back/
Sala de Contraseña de una vez
oficinas

Red pública

Comité de seguridad Seguro para

de la información y desastres
naturales
comité auditor
Guardia de seguridad Trituradora Sucursal
Compañía aseguradora
4.2.2 Aceptación del Riesgo

Aceptación del riesgo: Decisión para aceptar un riesgo

 No es realista tratar de gestionar todos los riesgos existentes en una organización.
 No se pueden construir sistemas de información 100% seguros.
 Los recursos para el tratamiento de riesgos son limitados.
 La organización debe de definir su propio nivel de aceptación del riesgo, y si un
riesgo es mas alto que dicho nivel, entonces se necesita implementar controles. Si un
riesgo está debajo de ese nivel entonces la organización puede permitir la existencia
del dicho riesgo.
Aceptación del nivel del riesgo: Punto de referencia para la reducción del
riesgo
La aceptación del nivel del riesgo necesita ser reconocido por la alta gerencia.
Riesgo residual: Es el riesgo que queda después de la aplicación de los
controles
El riesgo residual debe ser registrado en el reporte de la evaluación de riesgos y además
debe ser conocido por la alta gerencia.
Nivel Aceptación de Riesgo

El nivel de riesgos aceptable en este ejemplo es 8.

Si el punto de riesgo es 9 o más, entonces el riesgo es demasiado alto.
 Analizar como el riesgo puede ser disminuido (reducir, evitar, trasferir)
Riesgo = Valoración del Impacto en términos de la perdida de (CID) x
Amenaza (A) x Vulnerabilidad (V)

Nivel de Amenazas (A) Bajo (1) Medio (2) Alto (3)

Nivel de Vulnerabilidades Bajo Medio Alto Bajo Medio Alto Bajo Medio Alto
(V) (1) (2) (3) (1) (2) (3) (1) (2) (3)
Bajo
Valoración del (1) 1 2 3 2 4 6 3 6 9
Impacto en
términos de la Medio
(2) 2 4 6 4 8 12 6 12 18
perdida de
(CID) en los Alto
Activos (3) 3 6 9 6 12 18 9 18 27
Consideración de la Aceptación del Riesgo

Existen 2 consideraciones cuando se aceptan los riesgos.

1) Después de haber implementado los controles, el riesgo necesita ser

reevaluado y confirmado que el riesgo satisface el nivel de riesgo
aceptable.

2) Si el riesgo no puede ser disminuido a un nivel de riesgo aceptable

debido a aspectos del negocio o restricciones presupuestarias,
 La alta dirección decide aceptar el riesgo a pesar de que ha sido
reconocido la existencia del riesgo alto.
Estos riesgos son también incluidos en los riesgos residuales.
Estos riesgos necesitan ser monitoreados continuamente.
 Ejemplo del Reporte de Evaluación de
Riesgos
Los resultados de la evaluación de riesgos, tratamientos de los riesgos y la aceptación de los
riesgos necesita ser descrita en un reporte de evaluación de riesgos y ser conocido por la
alta gerencia.
Nombre del CID Nivel de Nivel de Riesgo Método del Controles a Después de la Aplicación de los Evaluación Comentario
Activo de la Amenaza Vulnerab. Actual Tratamiento Implementar Controles en el Riesgo
Información del Riesgo Residual
Nivel de Nivel de Riesgo
Amenaza Vulnerab. Residual

Lista de C 3 2 3 18 Reducir • Hacer 2 2 12 No Cambiar

Clientes contraseñas Aceptable periódicame
difíciles de nte las
adivinar en contraseñas
los servidores a los
servidores

I 2 2 2 8 Retener - - - - Aceptable No hay

problema
porque las
acciones
tomadas son
adecuadas

D 2 3 2 12 Reducir •Mantenimien 3 1 6 Aceptable No hay

to periódico problema
del hardware porque las
del servidor acciones
•Instalación de tomadas son
software de adecuadas
antivirus

• Riesgo (actual y residual) = Valor del activo de la Información (CID) x Amenaza x Vulnerabilidad.
• El nivel aceptable del riesgo es 8.
 4.3 Documentos de Seg. De la Inform.

Estructura típica de documentos de la política de seguridad

Para implementar los Declaración de la alta gerencia

controles, sobre las creencias, metas
Haga los procedimientos Política de Seg. Inf. y objetivos de la organización.
y aplíquelos
a la organización.
Reglas o regulaciones mandatorias
que los usuarios deben seguir.
Estándares (MAS)

Especificaciones de cómo la
política y los estándares
serán implementados en el
Procedimientos ambiente actual.
y
Lineamientos Específicos
de Seguridad de la Información
Estándares y Procedimientos (Caso 1)

Hay diferentes estilos para escribir estándares y procedimientos de seguridad .

Caso 1 Ejemplos

Estándares
Estándares Las contraseñas deben
Reglas y regulaciones generales. de ser fáciles de
recordar,
pero no deben ser fáciles
de adivinar por una
tercera persona.

Procedimientos
Procedimientos
Reglas y regulaciones acorde a Procedimientos
(Para admtres.)
(Para usuarios)
departamentos, y descripción del Las contraseñas Las contraseñas
deben ser como
trabajo (detalles específicos de deben ser como
mínimo de 14
mínimo de 8
cada estándar son descritos en caracteres de caracteres de
largo.
documentos diferentes). largo.
Estándares y Procedimientos (Caso 2)
Caso 2
Estándares
Reglas y regulaciones comunes
para todos los usuarios en la
organización.
Procedimientos
Detalles específicos de cada estándar
(manuales como información de los
procedimientos de administración de
contraseñas, configuración de
Firewalls, etc.).
Ejemplos
Estándares
Las contraseñas deben
de ser fáciles de recordar… para
usuarios en general las contraseñas
deben ser como mínimo de 8
caracteres de largo, para
administradores las contraseñas deben
ser como mínimo de 14 caracteres de
largo.
Procedimiento
De acuerdo con el formulario del
sistema XYZ enviado por el usuario,
el administrador podrá crear una
cuenta y le asigna una nueva
contraseña. El administrador es
responsable de …