Gestión deRiesgos

tema 5

Curso: Seguridad Informática

Ing.Luis Sotacuro Paré
 Objetivo del Capitulo

Aseguraruna correcta evaluación de

riesgos por el uso de las tecnologías
de información.
Riesgos
Riesgos
 Riesgo
Riesgo es la probabilidad de que un amenaza se
aproveche de una vulnerabilidad y que cause
pérdidas financieras o daños patrimoniales a la
Empresa, a su personal, activos o imagen en
general.
 Riesgo
El riesgo puede ser categorizado en muchos tipos diferentes:
 
 
– Riesgo de Procesos
– Riesgo operativo
– Riesgo ambiental
– Riesgo Financiero
– Riesgo de T.I.
– Riesgo de Integridad
– Riesgo comercial
– etc.
Universo de Riesgo
 Riesgo
Para lidiar con el riesgo, las Empresas tienen cuatro
opciones estratégicas:
  
– Cesar la actividad que da origen al riesgo.
 – Transferir el riesgo a un tercero.
 – Reducir el riesgo a través de mecanismos de control
apropiados.
– Aceptar el riesgo.
 Transferencia del riesgo
El riesgo puede ser reducido a niveles aceptables
transfiriéndolo a otra entidad.
 
– Los riesgos pueden ser transferidos mediante un contrato a un proveedor
de servicio u otra entidad.
  
– Tambien, el riesgo es transferido a una Compañía de Seguros.
 
– El costo de mitigar el riesgo no debe exceeder el valor del activo protegido.
•  
 Apetito de Riesgo
Es el nivel de riesgo máximo aceptable. Intuitivamente la
cultura de la organización nos permite saber si es una
organización en la cual sus ejecutivos son adversos al
riesgo o tomadores de los mismos.
 Sin embargo este tema es lo suficientemente importante
para que se explicite en una política y se eviten colisiones
entre áreas con diverso “apetito” de riesgo.
 Tolerancia al Riesgo
El nivel máximo de riesgo aceptable debe tener una
tolerancia ya que en caso contrario limitaría las decisiones,
o se eludiría el nivel máximo en forma arbitraria.
La tolerancia al riesgo es el nivel aceptable de desviación
en relación con el logro de los objetivos.
Proceso de Gestión de Riesgo
 Gestión de Riesgo
La Gestión del Riesgo (Risk Management) es el proceso
para identificar, controlar y mitigar el impacto de eventos
inciertos a un nivel aceptable.
 Gestión de Riesgo
LaGestión del Riesgo es el proceso de asegurar que
el impacto de las amenazas que pudieran explotar las
vulnerabilidades estén dentro de los limites aceptables y a
costos aceptables.
En este nivel, esto se logra mediante un equilibrio entre la
exposición al riesgo y los costos de mitigación, así como
mediante la implementación de acciones preventivas y
controles apropiados.
 Gestión del Riesgo
El proceso de Administración del riesgo debe ser continuo, Analítico y sistemático

– La administración del riesgo debeser un proceso

continuo.
 – La administración del riesgo es crítico para
cualquier programa de seguridad y debe ser
implementado como un proceso formal.
 – Determinar el nivel correcto de nivel de seguridad
depende de los riesgos potenciales.
– Esto se convierte en reto debido a los cambios
organizacionales, tecnológicos y comerciales.
 Gestión del Riesgo
Para desarrollar un programa de administración de riesgos se
requiere:

   •Establecer el propósito del programa de administración del

riesgo.
 
 •Asignar responsabilidades del plan de Administración del riesgo.
 
 
 Análisis de Riesgos
Se recomienda el uso y adaptación de algún modelo de referencia:
 
– National Institute of Standards and Technology
Special Publication SP 800-30.
  – Australian/ New Zealand Standard sobre administración de riesgo AS/NZS 4360:2004.

 – OCTAVE
 
– MAGERIT
 
– ISM3
 
 Marco para el análisis de Riesgo

Overview of the Risk Management

Process
 Análisis de Riesgos
Por que conducir una evaluación de riesgos ?

 El propósito de una evaluación de riesgos es:

 
 – Priorizar la planificación y la asignación de recursos.
 
– Identificar y mitigar las exposiciones.
 
– Identificar las amenazas, riesgos y vulnerabilidades.
 Objetivos de la Evaluación de Riesgos
Entender las pérdidas potenciales
 
– Identificar amenazas con mayor probabilidad de ocurrencia
 
– Identificar vulnerabilidades
 
– Identificar los controles existentes y recomendar controles adicionales
  
– Evaluar las protecciones la efectividad de los controles y protecciones.

– Establecer el nível de vulnerabilidad

 Beneficios de la Evaluación de Riesgos
Los resultados sirven como base para el ahorro de costos a través de la
prevención.
 
– Uso racional de recursos finitos para la mitigación de riesgos
 
– Puede disminuir los efectos ocasionados por eventos que impacten la
productividad
 
 
 
 
 Medios para la obtención de Datos
Entrevistas, cuesionarios y sesiones de trabajo
 
• Revisión de la documentación / infraestructura
 
• Observación
 
• Documentos corporativos
 
• Información de la Cadena de Abastecimiento
 
 
 Activos
No es posible proteger lo que no se conoce.
 
– Inventario de Activos de T.I.
  
– Clasificación de Activos T.I.
 
– Identificación de propietarios de los Activos de T.I.
 Identificación de Activos
Sistemas de Información
• Base de Datos
• Media
• Licencias
• Interfaces
• Servidores
• PCs / Laptops
• Periféricos
• Equipos de comunicación
• Equipos de Protección eléctrica
• Contratos
• Documentación
• Personal