Gestión de

Riesgos
CSY 6131
2 2
 Temario

Experiencia Nombre Competencia asociada

Gobierno de Seguridad de la
Nº 1
Información
Implementa políticas de seguridad en
servidores y equipos de usuario final según
Nº 2 Gestión de Riesgo necesidades de uso, requerimientos de la
organización y protocolos de la industria.
Implementación de un
Nº 3
programa de Seg. De la Inf.

Nº 4 Gestión de Incidentes

Nº 5 Evaluación 1

3
Gestión de Riesgo
de la Información
 Introducción

El riesgo se puede definir como la combinación de la

probabilidad de un evento y sus consecuencias.

La probabilidad de un evento es la probabilidad de que una

amenaza determinada explote una vulnerabilidad expuesta. Si no
hay consecuencias o impacto, se considera que no hay riesgo.

Por el contrario, cuanto mayores sean las consecuencias o el

impacto, mayor será el riesgo.

5
 Introducción

La exposición, o el grado en que una vulnerabilidad está expuesta, a

una amenaza también influye en la ecuación de riesgo, ya que el
grado de exposición afecta la probabilidad de compromiso (es decir,
una menor exposición da como resultado una menor probabilidad
o frecuencia de compromiso, reduciendo así el riesgo).

La exposición también se conoce como superficie de ataque. Se ve

afectado por el alcance y la eficacia de los controles y la ubicación
de un dispositivo en particular dentro de una red (es decir, es
probable que un servidor en el medio de la red esté menos
expuesto a ataques que uno en el perímetro).

6
 Introducción

La gestión de riesgos es un proceso destinado a

lograr un equilibrio óptimo entre aprovechar las
oportunidades de ganancia y minimizar las
vulnerabilidades y las pérdidas.

Por lo general, esto se logra asegurándose de que el

impacto de las amenazas que explotan las
vulnerabilidades esté dentro de los límites aceptables a
un costo aceptable. La gestión de riesgos es diferente de
la gestión de riesgos, que a menudo se utiliza como
sinónimo de mitigación de riesgos o respuesta al riesgo.
7
 Marco de Gobierno de la
Seguridad de la Inf.
» 1. Una estrategia de seguridad integral intrínsecamente vinculada con
los objetivos comerciales
» 2. Políticas de seguridad que rigen que expresen claramente la
intención de la administración y aborden cada aspecto de la
estrategia, los controles y la regulación
» 3. Un conjunto completo de estándares para cada uno política para
garantizar que las personas, los procedimientos
» 4. Una estructura organizativa de seguridad eficaz con suficiente
autoridad y recursos adecuados, sin conflictos de interés
» 5. Flujos de trabajo definidos y estructuras que ayuden en la
definición de responsabilidades
» 6. Métricas institucionalizadas y procesos de monitoreo para
garantizar el cumplimiento

8
 Controles

» Los controles están diseñados como parte del marco de gestión

de riesgos de la información, que incorpora políticas,
estándares, procedimientos, prácticas y estructuras
organizativas. Está diseñado para proporcionar una garantía
razonable de que se logran los objetivos comerciales y de que
se evitan, detectan y abordan los eventos no deseados.

» El marco debe abordar las personas, los procesos y la

tecnología y abarca los aspectos físicos, técnicos, contractuales
y de procedimiento de la organización. Debe tomar en
consideración los componentes estratégicos, tácticos,
administrativos y operativos de la organización para ser eficaz.

9
 Contramedidas

» Las contramedidas incluyen cualquier proceso que sirva para

contrarrestar amenazas específicas y pueda considerarse un
control dirigido. Pueden abarcar desde modificar la arquitectura
o los procesos de reingeniería hasta reducir o eliminar las
amenazas internas a las vulnerabilidades técnicas, hasta crear
un programa de concientización para que todos los empleados
apunten a la ingeniería social y promuevan el reconocimiento
temprano y la notificación de incidentes de seguridad.
» Debido a que las decisiones de gestión de riesgos suelen tener
importantes implicaciones financieras y pueden requerir
cambios en toda la organización, es imperativo que la alta
dirección apoye el proceso y comprenda y esté de acuerdo con
los resultados del programa.

10
 Evaluación del riesgo
» La evaluación general del riesgo incluye tres fases distintas:
• Identificación de riesgos
• Análisis de riesgos
• Evaluación de riesgos
» En la identificación de riesgos, se desarrolla un conjunto de escenarios de
riesgo y posibles resultados basados en una evaluación exhaustiva del
panorama de amenazas y una evaluación de la vulnerabilidad (tanto lógica
como física, incluida la consideración de las exposiciones) y luego se
determinan las formas probables en que podría ocurrir un compromiso.
como las posibles consecuencias (consulte la sección 2.7.9 Identificación de
riesgos).
» El análisis de riesgo consiste en un análisis exhaustivo del riesgo identificado
utilizando varias técnicas y realizando BIA en toda la empresa para
desarrollar una comprensión clara de los impactos potenciales.
» La evaluación de riesgos utiliza los resultados del análisis para determinar si
el riesgo se encuentra dentro del rango aceptable o debe mitigarse.

11
 Proceso de Gestión de
Riesgo
» El diseño e implementación del proceso de gestión de riesgos
en la organización estará influenciado por:
» Cultura (aversión al riesgo o agresiva)
» Misión y objetivos
» Estructura organizacional
» Capacidad para absorber pérdidas
» Productos y servicios
» Procesos de gestión y operación
» Específicos prácticas organizacionales
» Condiciones físicas, ambientales y regulatorias

12
 Estrategia de Gestión de
Riesgo
» Una estrategia de gestión de riesgos es el plan para lograr los
objetivos de gestión de riesgos. En última instancia, esos
objetivos son lograr un nivel aceptable de riesgo en toda la
empresa que resulte en un nivel aceptable de interrupción de
las actividades de la organización.
» El nivel aceptable de riesgo es una decisión de la gerencia que
generalmente se basa en una variedad de factores que
incluyen:
• La capacidad de la organización para absorber pérdidas
• El apetito de riesgo de la gerencia
• Los costos para lograr niveles de riesgo aceptables
• Relaciones riesgo-beneficio
» El riesgo aceptable determina los objetivos de control, que se
convierten en los principales objetivos de la estrategia.
13
 Programa de Gestión de
Riesgo
» Los pasos iniciales para desarrollar un programa de gestión de
riesgos incluyen el establecimiento.
» Contexto y propósito del programa
» Alcance y estatuto
» Autoridad, estructura y relaciones de informes
» Identificación, clasificación y propiedad de activos
» Objetivos de gestión de riesgos
» La metodología que se utilizará
» El equipo de implementación

14
 Tecnologías
También hay una variedad de
tecnologías de seguridad de la
información que son
importantes para que el
gerente de seguridad de la
información.
Algunos de estos incluyen:
Dispositivos antispam
• Antivirus/malware
• Servicios en la nube
• Cifrado e infraestructura de
clave pública (PKI)
• Detección/prevención de
intrusiones
• Controles de acceso lógico
• Controles de acceso a la red
• Protocolos de red e Internet
• Medidas de seguridad física
• Seguridad de la plataforma
• Enrutadores, cortafuegos y
• otros componentes de la red
(p. Ej., Puentes, puertas de
• enlace)
• Protocolo de (VoIP)
• Seguridad y protocolos
inalámbricos
• Virtualización
15
Proceso de Gestión de
Riesgo

16
Proceso de Gestión de
Riesgo

17
Proceso de Gestión de
Riesgo

18
Framework de Gestión de
Riesgo

19
 Entorno externo

» La definición del entorno externo incluye especificar el entorno

en el que opera la organización. El entorno externo
generalmente incluye:
» El mercado local; el negocio; y el entorno competitivo,
financiero y político
» El entorno legal y regulatorio
» Condiciones sociales y culturales
» Actores externos
» También es importante que tanto las percepciones y los valores
de las diversas partes interesadas como cualquier amenaza y / u
oportunidad generada externamente se evalúen y se tomen en
consideración de manera adecuada.

20
 Entorno interno

» Las áreas clave que deben evaluarse para proporcionar una

visión integral del entorno interno de la organización incluyen:
» Los impulsores clave del negocio (por ejemplo, indicadores de
mercado, avances competitivos, atractivo del producto)
» Las fortalezas, debilidades, oportunidades y amenazas de la
organización
» Partes interesadas internas
» Estructura de la organización y cultura
» Activos en términos de recursos (es decir, personas, sistemas,
procesos, capital)
» Metas y objetivos, y las estrategias ya implementadas para
lograrlos

21
 GAP Análisis

» El análisis de brechas en el contexto de la gestión de riesgos se

refiere a determinar la brecha entre los controles existentes y
los objetivos de control.
» Los objetivos de control basados en el riesgo aceptable
deberían haberse definido como consecuencia del desarrollo de
la gobernanza y la estrategia de seguridad de la información.
» Los objetivos de control deben conducir a controles que logren
un riesgo aceptable, que, a su vez, sirva para establecer la línea
de base de seguridad de la información.

22
 Evaluación del Riesgo

» La mayoría de los enfoques de evaluación de riesgos tienen tres

fases. Cada uno se analiza en detalle en las secciones
siguientes. Estos incluyen:
» La identificación de riesgos es el proceso de usar escenarios de
riesgo para determinar el rango y la naturaleza del riesgo para
la organización.
» El análisis de riesgos es el proceso de combinar la información
de vulnerabilidad recopilada durante una evaluación y la
información de amenazas recopilada de otras fuentes para
determinar el riesgo de compromiso tanto en términos de
frecuencia como de magnitud potencial.
» La evaluación de riesgos es el proceso de comparar los
resultados del análisis de riesgos con los criterios establecidos
de aceptabilidad, impacto, probabilidad y necesidad de
tratamiento adicional. 23
 Metodología de
evaluación de riesgo
» La metodología de evaluación de riesgos comprende nueve pasos
principales:
» Caracterización del sistema (o dominio general)
» Identificación de amenazas
» Identificación de vulnerabilidad
» Análisis de control
» Determinación de probabilidad
» Análisis de impacto
» Determinación de riesgos
» Recomendaciones de control
» Documentación de resultados

24
 Modelo de simulación

» Un modelo de simulación que permite aplicar la taxonomía, el

método de medición y el motor computacional para construir y
analizar escenarios de riesgo de prácticamente cualquier
tamaño o complejidad.
» Hay cuatro componentes principales de la taxonomía de riesgos
para los que se desea identificar las características de los
agentes de amenaza: aquellas características que afectan:
• La frecuencia con la que los agentes de amenaza entran en contacto con
una organización o activos.
• La probabilidad de que los agentes de amenaza actúen contra una
organización o activos
• La probabilidad de que las acciones de los agentes de amenazas tengan
éxito en la superación de los controles de protección
• La naturaleza probable (tipo y gravedad) del impacto en los activos

25
 Amenazas

» Las amenazas pueden ser externas o internas, intencionales o

no intencionales. Pueden ser causados por eventos naturales o
factores políticos, económicos o competitivos. No todas las
organizaciones deben considerar todas las amenazas
imaginables. Por ejemplo, una organización que opera en una
región con una clasificación sísmica de cero no tiene que
documentar la exposición a volcanes o terremotos. Las
amenazas pueden dividirse en varias categorías, que incluyen:
• Físicas
• Eventos naturales
• Pérdida de servicios esenciales
• Perturbación debido a la radiación
• Compromiso de la información
• Fallos técnicos
• Acciones no autorizadas
• Compromiso de funciones 26
 APT

» El término APT se refiere a atacantes avanzados y altamente

calificados que están determinados (persistentes) en sus
intentos de explotar sistemas y redes.
» Las APT pueden ser patrocinadas por gobiernos, crimen
organizado o competidores.
» El gerente de seguridad de la información debe ser consciente
de que las APT representan un riesgo significativo para las
organizaciones de prácticamente todo tipo a nivel mundial y
asegurarse de que se tomen las medidas adecuadas para
detectar e identificar esta amenaza.

27
 Vulnerabilidad

» El término "vulnerabilidad", a menudo denominado

"debilidad", se utiliza a menudo como si fuera una condición
binaria. Algo "es vulnerable" o "no es vulnerable". En la mayoría
de los casos, los activos son vulnerables en diversos grados
» El alcance de la exposición también debe considerarse, ya que
afecta la probabilidad de que una vulnerabilidad se vea
comprometida.
» Estas distinciones se vuelven críticas en el proceso de priorizar
los esfuerzos de gestión de riesgos, al determinar el nivel de
riesgo dentro de un escenario y también al explicar las
conclusiones y recomendaciones a la dirección.

28
 Análisis del Riesgo

» El análisis de riesgo es la fase en la que se evalúa y comprende

el nivel del riesgo identificado y su naturaleza y se determinan
las posibles consecuencias del compromiso. Esta fase también
incluye determinar la eficacia de los controles existentes y la
medida en que mitigan el riesgo identificado. El análisis de
riesgos implica:
• El grado en que los activos de información están expuestos a amenazas
potenciales y el efecto sobre la probabilidad
• Las posibles consecuencias negativas (impacto) si los activos se atacan
con éxito
• La probabilidad de que esas consecuencias puedan ocurrir y los factores
que las afectan
• Evaluación de cualquier control o proceso existente que tiende a
minimizar el riesgo negativo o mejorar los resultados positivos

29
 Análisis Cualitativo

» En el análisis cualitativo, la magnitud y la probabilidad de las

posibles consecuencias se presentan y describen en detalle. Las
escalas utilizadas pueden formarse o ajustarse para adaptarse a
las circunstancias, y se pueden utilizar diferentes descripciones
para diferentes riesgos. El análisis cualitativo se puede utilizar:
» Como una evaluación inicial para identificar el riesgo que será
objeto de un análisis más detallado y adicional
» Cuando se deben considerar aspectos no tangibles del riesgo
(por ejemplo, reputación, cultura, imagen)
» Cuando hay una falta de información adecuada y datos o
recursos numéricos necesarios para un enfoque cuantitativo
estadísticamente aceptable

30
 Análisis Cuantitativo

» En el análisis cuantitativo, se asignan valores numéricos tanto al

impacto como a la probabilidad. Estos valores se derivan de
diversas fuentes. La calidad de todo el análisis depende de la
precisión de los valores asignados y de la validez de los modelos
estadísticos utilizados. El impacto se puede determinar
evaluando y procesando los diversos resultados de un evento o
extrapolando estudios experimentales o datos pasados. Las
consecuencias pueden expresarse en varios términos de:
» Monetarias
» Técnicas
» Operativas
» Criterios de impacto humano

31
 Cálculo de Riesgo

» Las evaluaciones de riesgo cuantitativas intentan llegar a un

valor numérico, generalmente expresado en términos
financieros. La forma más común es la expectativa de pérdida
única (SLE) o ALE.
» SLE es el producto del valor del activo (AV) multiplicado por el
factor de exposición (EF): SLE = AV x EF.
» EF es la probabilidad de que ocurra un evento y su probable
magnitud, y es igual al porcentaje de pérdida de activos
causada por la amenaza identificada.
» El resultado es que cuanto mayor es el valor, junto con una
mayor probabilidad y mayor magnitud, mayor es el riesgo
potencial de pérdida.

32
 Cálculo de Riesgo

» ALE agrega la tasa anualizada de ocurrencia (ARO) a la ecuación

con el resultado de que múltiples ocurrencias resultarán en
mayores pérdidas potenciales. ALE generalmente se expresa
como: ALE = SLE x ARO.
» ALE es la pérdida financiera anual esperada de un activo,
resultante de una amenaza específica.
» ARO es la cantidad de veces que se estima que ocurre una
amenaza en un solo activo. Cuanto mayor sea el riesgo asociado
con la amenaza, mayor será el ARO. Por ejemplo, si los datos del
seguro sugieren que es probable que ocurra un incendio grave
una vez cada 25 años, entonces la tasa anualizada de ocurrencia
es 1/25 = 0.04.

33
 Ejemplo

» En una organización se producen 11 robos por año de

computadores portátiles, el costo de cada computador es de
USD 2.500 y la pérdida por impacto, dado que cada notebook
contiene información confidencial, se estima en USD 25.000
dado que no está cifrado y no tiene ningún tipo de protección.
» Para esta caso considerar un factor de exposición del 100%
» ARO = 11
» SLE = 2.500 + 25.000 = USD 27.500
» ALE = ARO * SLE = USD 302.500

34
 Resumen

» Marco de Gobierno
» Controles y contramedidas
» Evaluación del riesgo
» Programa de Gestión de Riesgo
» Tecnologías
» Evaluación del Riesgo
» Análisis del Riesgo
» Calculo de riesgo

35
Preguntas
 Pregunta 1

» El objetivo general de la gestión de riesgos es:

» A. eliminar todas las vulnerabilidades, si es posible.

» B. reducir el riesgo al nivel más bajo posible.
» C. gestionar el riesgo a un nivel aceptable.
» D. implementar contramedidas efectivas.
Resp:
C. El objetivo de la gestión de riesgos es gestionar el riesgo a un nivel aceptable
para la organización.

37
 Pregunta 2

» Para abordar los cambios en el riesgo, un programa de gestión de riesgos

eficaz debe:

» A. asegurarse de que se implementen procesos de monitoreo continuo.

» B. establecer líneas de base de seguridad adecuadas para todos los recursos
de información.
» C. implementar un proceso completo de clasificación de datos.
» D. cambiar las políticas de seguridad de manera oportuna para abordar el
riesgo cambiante.

Resp:
A. El riesgo cambia a medida que las amenazas, las vulnerabilidades o los
impactos potenciales cambian con el tiempo. El programa de gestión de riesgos
debe contar con procesos para monitorear esos cambios y modificar las
contramedidas, según corresponda, para mantener niveles aceptables de riesgo
residual.

38
 Pregunta 3

» Las vulnerabilidades descubiertas durante una evaluación

deben ser:

» A. manejado como un riesgo, aunque no haya ninguna

amenaza.
» B. priorizado para la remediación basándose únicamente en el
impacto.
» C. una base para analizar la efectividad de los controles.
» D. evaluado por amenaza, impacto y costo de mitigación.
Resp:
D. Las vulnerabilidades descubiertas deben evaluarse y priorizarse en función de
si existe una amenaza creíble, el impacto si se explota la vulnerabilidad y el costo
de mitigación. Si existe una amenaza potencial pero un impacto mínimo o nulo si
se explota la vulnerabilidad, el riesgo es mínimo y es posible que no sea rentable
abordarlo.
39
 Referencia Bibliográfica

CISM Review Manual, 15th Edition eBook

40