2 1 5 Mecanismos y Herramientas para Niveles de Seguridad

Políticas de Ciber
Seguridad, definición y
componentes
Mecanismos y
Gestion de
Riesgo.
Introducción
• Para asegurar nuestras empresas, contaremos con
diferentes mecanismos y herramientas para asegurar
la continuidad de la operación.
• Para ello es necesario la Gestion de Riesgo.

Gestión de Riesgo y Cumplimiento
• Alcanzar el equilibrio optimo.
• Llevar el riesgo a niveles que sean aceptables por la
organización
• No tenga impacto significativo en los procesos
críticos de negocio.
Herramientas de la Gestión de Riesgos
• Controles de seguridad.
• Analizar el retorno de inversión (ROI) en cada caso.
• Evaluación de riesgos, la cual puede ser cualitativa o
cuantitativa.
Herramientas de la Gestión de Riesgos
• Controles de seguridad.
• Analizar el retorno de inversión (ROI) en cada caso.
• Evaluación de riesgos, la cual puede ser cualitativa o
cuantitativa.
• Gestion de Riesgos Cuantitativa: se traduce en la perdida
financiera asociada si el riesgo se materializa.
• Gestion de Riesgos Cualitativa: es aquella que no se puede
medir en forma numérica
– Alto
– Medio
– Bajo
• Activo de información: son todos recursos considerados

valiosos por la compañía.
• Amenaza: es una acción posible que podría causar daño.
• Vulnerabilidad: falla de un sistema.
• Medición del Riesgo:
• La formula mas utilizada para la medición del riesgo es:
– Riesgo = Amenaza x Vulnerabilidad x Impacto
• Ejemplo:
– Un terremoto afecta a dos edificios contiguos, en uno de
ellos se alcanza a realizar la evacuación de los empleados y
en el otro no, claramente el “impacto” en perdida de vidas
humanas será distinto en ambos casos.
Matriz y el Calculo
de Riesgo.
• Matriz de Riesgo:
• Es un modelo grafico para representar los riesgos de una
compañía y su magnitud.
• Calculo del riesgo:

• Una vez realizado el análisis, se debe calcular el riesgo para
obtener una medición numérica del mismo.
• Para esto se utiliza la formula de:
– ARO (Annual Rate of Occurrence)
– SLE (Single Loss Expentancy)
– ALE (Annual Loss Expentancy)
ALE = ARO * SLE
SLE = Valor del Activo * Factor de Exposición
Medición del Riesgo
• Factor de exposición: corresponde al porcentaje de tiempo

que esta expuesto el activo a ser víctima de un incidente.
• Un ejemplo de esto es el caso de notebooks, que no tienen
exposición de ser robados, mientras están en las
dependencias de la organización, pero si, una vez que los
usuarios los sacan y los llevan a sus casas.
• En este caso, si el notebook esta 9 horas dentro de las
dependencias y 15 horas fueras, el factor de exposición será
15/24, es decir:
– FE = 62,5%
Ejemplo del cálculo de riesgo
• En una organización se producen 11 robos por año de
computadores portátiles, el costo de cada
computador es de USD 2.500 y la perdida por
impacto, dado que cada notebook maneja
información confidencial, se estima en USD 25.000
dado que la información no esta cifrada.
• Para este caso considerar factor de exposición 100%
– ARO: 11
– SLE: 2.500 + 25.000 = USD 27.500
– ALE = ARO x SLE = USD 302.500
Métricas de Riesgo
• Cuando se evalúa una pérdida por riesgo,

debe ser considerado el costo total de
propiedad o TCO (Total Cost Ownership)
Ejemplo de cálculo de TCO
Una compañía adquiere un software para cifrar los discos duros

de la compañía, con el objeto de proteger la información
almacenada en ellos para 1.000 ejecutivos de la empresa. Cada
licencia tiene un costo de USD 100 mas una mantención anual
del 20%. La instalación de cada maquina demora 4 horas y el
costo de cada hora de este servicio es de USD 50. Requiere
además una mantencion de 3 horas al año.
Ejemplo de cálculo de TCO
• Calcular el TCO a 3 años
– Costo de las licencias: 100.000 + 20.000 x 3 = USD 160.000
– Costo de instalación: 1.000 x 4 x 50 = USD 200.000
– Costo de mantención: 3 x 50 x 3 x 1.000 = USD 450.000
– TCO = USD 810.000/3 = USD 270.000 anual.
• Retorno de Inversión (ROI):

El ROI se calcula de la diferencia entre TCO y ALE, dado que es el
dinero que se “recupera” tras implementar el control que mitiga
el riesgo.
• En nuestro ejemplo:
– ALE = USD 302.500
– TCO = USD 270.000
– ROI = USD 32.500
Ciclos de la Gestion
de Riesgo.
Ciclo de Gestion de Riesgo
Opciones de la Gestión de Riesgo
• Transferir el riesgo: corresponde al pago a un tercero para

que acepte el riesgo o parte de este, el ejemplo mas clásico es
la contratación de un seguro o un contrato con un tercero con
un SLA comprometido, al cual se le asigna una multa de no
cumplimiento.
• Eliminar el riesgo: si bien el riesgo no es posible de eliminar,

se utiliza esta opción cuando se elimina el activo asociado.
Opciones de la Gestión de Riesgo
• Aceptar el riesgo: esta opción se considera cuando el costo de

mitigar el riesgo es demasiado alto en proporción al valor del
activo que se desea proteger.
• Mitigar el riesgo: corresponde a la implementación o mejora

de un control, de tal forma que reduzca el riesgo una vez
aplicado. El control puede mitigar el riesgo directamente o el
impacto asociado a este.
Impacto:
• Es la medida más importante del riesgo y corresponde a la
perdida monetaria de la cual seria victima la compañía si el
riesgo se materializa.
• El Impacto se puede representar de las siguientes maneras:
– Pérdida directa en dinero
– Responsabilidad legal
– Pérdida de reputación
– Disminución del valor de la acción
– Pérdida de negocios
– Pérdida de participación de mercado.
Metodología evaluación de riesgo NIST
• Identificación del Riesgo.

• Evaluación de activos de información
• Clasificación de activos de Información
• Valoración y análisis de impacto
• Ej:
Atributo de la Información
Confidencialida
Proceso Disponibilidad Integridad d
Facturacion Bajo Bajo Bajo
Venta Alto Alto Bajo
Telemarketing Alto Alto Medio
Compra a
terceros Medio Bajo Bajo
RTO (Tiempo Objetivo de Recuperación): es el tiempo máximo
que puede estar un proceso sin un activo de información
operativo.
Clasificación de activos en función de RTO
• Gestión de riesgos basada en procesos:
• Los procesos son un conjunto de actividades coordinadas
con un propósito común, que apoyan la operación del
negocio.
• Ejemplo de proceso:
– Control de cambio: proceso en el cual se valida un
cambio de configuración en algún sistema, que debe
contar con una serie de aprobaciones y un plan de
ejecución.
• La mejor forma de esquematizar un proceso, es a través de
un diagrama de flujo.
• Ejemplo de proceso:
• Gestión de riesgos basado en proceso:

• Dentro del proceso analizado, se determina cuales son las
actividades que podrían producir riesgo:
• En el ejemplo anterior:
– Contar con un respaldo del cambio a realizar
– Tener un plan de contingencia o “roll back”
– Considerar el RTO
– Validar qué otros sistemas colaterales se verán afectados
• Gestión de riesgos basado en proceso:
• Dentro del proceso analizado, se determina cuales son las
actividades que podrían producir riesgo:
• En el ejemplo anterior:
– Validar qué otros sistemas colaterales se verán afectados
– Cuales son las métricas que se utilizaran para validar el
cambio de acuerdo con la gestión de riesgo.
– Validar que controles de seguridad se verán afectados por
el cambio.
– Medir el riesgo residual una vez realizado el cambio
Integración de los procesos con el ciclo de Vida de la Seguridad:
Es fundamental que la gestión de riesgos esté ligada al ciclo de vida

de los procesos de TI, pues es en la fases de estos procesos donde
se producen la mayor cantidad de incidentes, principalmente por:
– Falta de planificación
– Métricas no adecuadas
– Escasa consideración sobre el RTO
– Falta de validación con las unidades de negocio
– Errores en la programación o desarrollo de aplicaciones
– Problemas de permisos de usuarios
Costos en el proceso de desarrollo
• SDLC: proceso de Desarrollo de aplicaciones (Software
Delivery Life Cycle)
Proceso destinado a regular el desarrollo de aplicaciones dentro

de una organización.
Esquema grafico de un SDLC

• Medición de riesgo para un proceso:

El monitoreo de riesgos dentro de un proceso,
debe ser constante y preciso, para esto es
fundamental definir adecuadamente los KRI
(indicadores claves de riesgo).
Medición de riesgo para un proceso:
Las principales fuentes para definición de los KRI son:
– La experiencia
– Comparación con la industria
– Regulaciones
– Aversión al riesgo de la compañía
Métricas propuestas por OWASP para un SDLC:

– https://www.owasp.org/index.php/Application_Security_G
uide_For_CISOs
Políticas de Ciber Seguridad
Resumamos

2 1 5 Mecanismos y Herramientas para Niveles de Seguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2 1 5 Mecanismos y Herramientas para Niveles de Seguridad

Cargado por

Copyright:

Formatos disponibles

Políticas de Ciber

• Para ello es necesario la Gestion de Riesgo.

• Activo de información: son todos recursos considerados

• Calculo del riesgo:

• Factor de exposición: corresponde al porcentaje de tiempo

• Cuando se evalúa una pérdida por riesgo,

Una compañía adquiere un software para cifrar los discos duros

• Retorno de Inversión (ROI):

• Transferir el riesgo: corresponde al pago a un tercero para

• Eliminar el riesgo: si bien el riesgo no es posible de eliminar,

• Aceptar el riesgo: esta opción se considera cuando el costo de

• Mitigar el riesgo: corresponde a la implementación o mejora

• Identificación del Riesgo.

• Gestión de riesgos basado en proceso:

Integración de los procesos con el ciclo de Vida de la Seguridad:

Es fundamental que la gestión de riesgos esté ligada al ciclo de vida

Proceso destinado a regular el desarrollo de aplicaciones dentro

Esquema grafico de un SDLC

• Medición de riesgo para un proceso:

Métricas propuestas por OWASP para un SDLC:

También podría gustarte