Universidad Nacional de Lujn

Departamento de Seguridad Informtica

Material adicional del Seminario Taller
Riesgo vs. Seguridad de la Informacin
Gestin del riesgo
Desde hace varias dcadas la informacin ha pasado de ser un producto del desarrollo de las
actividades de las organizaciones a ser un insumo de alto valor, fundamental para el cumplimiento de los
objetivos y subsistencia de las mismas. En muchas de estas organizaciones, y con el objeto de brindar
eficiencia y agilizar la administracin, los procesos incorporan la utilizacin de sistemas automatizados de
procesamiento de informacin.
El auge en el rol que ha tomado la informacin, sin embargo, no exime a las organizaciones de una serie de
peligros, que se han visto incrementados por las nuevas amenazas surgidas del uso de tecnologas de la
informacin y las comunicaciones. De esta manera, toda organizacin se encuentra constantemente
expuesta a una serie de riesgos mientras que resulta imposible establecer un entorno totalmente seguro.
!a gestin de riesgos se presenta entonces como una actividad clave para el resguardo de los activos de
informacin de una organizacin y en consecuencia protege la capacidad de cumplir sus principales
objetivos. Es un proceso constante que permite a la administracin balancear los costos operacionales y
econmicos causados por la interrupcin de las actividades y la prdida de activos, con los costos de las
medidas de proteccin a aplicar sobre los sistemas de informacin y los datos que dan soporte al
funcionamiento de la organizacin, reduciendo los riegos que presentan los activos de informacin a niveles
aceptables para la misma.
El proceso de gestin de riesgos involucra cuatro actividades cclicas"
la identificacin de activos y los riesgos a los que est#n expuestos
el an#lisis de los riesgos identificados para cada activo
la seleccin e implantacin de controles que reduzcan los riesgos
el seguimiento, medicin y mejora de las medidas implementadas
Esta breve gua se centrar# en las primeras dos actividades del proceso de gestin de riesgos, llegando
hasta la definicin de recomendaciones de controles a implementar que permitan reducir el riesgo al que el
sistema en estudio est# expuesto.
Pgina 1 de 7
TRATAMIENTO TRATAMIENTO
DE RIESGOS DE RIESGOS
EVALUACIN EVALUACIN
DE RIESGOS DE RIESGOS
IDENTIFICACIN IDENTIFICACIN
DE RIESGOS DE RIESGOS
ANLISIS ANLISIS
DE RIESGOS DE RIESGOS
SELECCIN E SELECCIN E
IMPLANTACIN IMPLANTACIN
SEGUIMIENTO SEGUIMIENTO
Y MEDICIN Y MEDICIN
Universidad Nacional de Lujn
Departamento de Seguridad Informtica
$ntes de continuar definiremos al riesgo como funcin de la probabilidad de que una amenaza aproveche o
explote una potencial vulnerabilidad en un activo de informacin, y de la magnitud del da%o resultante de tal
evento adverso en la organizacin.
I. Identificacin de activos de informacin
El primer paso en la gestin de los riesgos es la definicin del alcance que tendr# el estudio. En este
paso se definen los lmites del sistema en estudio a la vez que se detallan los recursos y la informacin que
constituyen el sistema, que se denominar#n activos de informacin, algo esencial para posteriormente
definir el riesgo. Desde ya, es necesario un amplio conocimiento del ambiente en cuestin.
El primer concepto a contemplar es el de activo de informacin. &e denominan Ati!os de In"or#$in a
todos aquellos recursos de valor para una organizacin que generan, procesan, almacenan o transmiten
informacin.
Esto comprende"
funciones de la organizacin,
informacin y datos,
recursos fsicos 'equipamiento, edificios(,
recursos humanos,
recursos de soft)are,
servicios, etc.
$sociado al concepto de activo est# el rol de Pro%iet$rio de In"or#$in, quin es responsable de
clasificar al activo de informacin de acuerdo con su grado de criticidad y de definir qu usuarios podr#n
acceder al mismo.
II. Clasificacin de activos de informacin
&e define la ritiid$d de un activo en funcin de cu#n necesario resulta para las actividades de un
#rea o la misin de la organizacin. Dado que en una organizacin no todos los activos de informacin
poseen el mismo valor, a la vez que un mismo activo puede poseer un valor diferente para distintas #reas,
se establece una valoracin estandarizada donde el propietario de la informacin clasifica cada activo seg*n
las tres caractersticas b#sicas de la seguridad de la informacin" la confidencialidad, la integridad, y la
disponibilidad a la que debe estar sometido.
+na posible escala para la clasificacin es la siguiente"
CONFIDENCIALIDAD VALOR
,nformacin que puede ser conocida y utilizada sin autorizacin por cualquier
persona, dentro o fuera de la +niversidad.
&
,nformacin que puede ser conocida y utilizada por todos los agentes de la
+niversidad.
'
,nformacin que slo puede ser conocida y utilizada por un grupo de agentes,
que la necesiten para realizar su trabajo.
(
,nformacin que slo puede ser conocida y utilizada por un grupo muy reducido
de agentes, cuya divulgacin podra ocasionar un perjuicio a la +niv. o terceros.
)
Pgina 2 de 7
Universidad Nacional de Lujn
Departamento de Seguridad Informtica
INTEGRIDAD VALOR
,nformacin cuya modificacin no autorizada puede repararse f#cilmente, o que
no afecta a las actividades de la +niversidad.
&
,nformacin cuya modificacin no autorizada puede repararse aunque podra
ocasionar un perjuicio para la +niversidad o terceros.
'
,nformacin cuya modificacin no autorizada es de difcil reparacin y podra
ocasionar un perjuicio significativo para la +niversidad o terceros.
(
,nformacin cuya modificacin no autorizada no podra repararse, impidiendo la
realizacin de las actividades.
)
DISPONI*ILIDAD VALOR
,nformacin cuya inaccesibilidad no afecta la actividad normal de la
+niversidad.
&
,nformacin cuya inaccesibilidad permanente durante una semana podra
ocasionar un perjuicio significativo para la +niversidad.
'
,nformacin cuya inaccesibilidad permanente durante la jornada laboral podra
impedir la ejecucin de las actividades de la +niversidad.
(
,nformacin cuya inaccesibilidad permanente durante una hora podra impedir
la ejecucin de las actividades de la +niversidad.
)
El valor m#ximo de las tres caractersticas determinar# la criticidad del activo de informacin analizado.
Si todos son & ++, Critiid$d &-N./$
Si e/ #01i#o es ' ++, Critiid$d '-*$2$
Si e/ #01i#o es ( ++, Critiid$d (-Medi$
Si e/ #01i#o es ) ++, Critiid$d )-A/t$
E2e#%/o3 Identi"i$in de $ti!os
ACTIVO
CONFIDEN-
CIALIDAD
INTEGRIDAD
DISPONI-
*ILIDAD
CRITICIDAD
$lta de movimientos mensuales ( ( ' (
-ase de Datos de .aberes ( ( ( (
/ed de 0elefona & ' ' '
Destructoras de papel & & & &
1 1 1 1 ...
III. Identificacin de vulnerabilidades y amenazas
El objetivo de este paso es identificar las vulnerabilidades en los activos y compilar un listado de
amenazas potenciales que son aplicables al sistema que est# siendo evaluado.
+na !./ner$4i/id$d es toda debilidad en un activo de informacin, dada com*nmente por la inexistencia o
ineficacia de un control. +na $#en$5$ es todo elemento que, haciendo uso o aprovechando una
vulnerabilidad, atenta o puede atentar contra la seguridad de un activo de informacin. !as amenazas
surgen a partir de la existencia de vulnerabilidades, e independientemente de que se comprometa o no la
seguridad de un sistema.
Pgina 3 de 7
Universidad Nacional de Lujn
Departamento de Seguridad Informtica
&on ejemplos de vulnerabilidades, entre muchas otras"
la falta de mantenimiento en las instalaciones.
la falta de capacitacin al personal.
la falta de manuales de procedimientos.
la inexistencia de respaldos de informacin y equipamiento redundante.
la falta de polticas de acceso a los sistemas inform#ticos.
la divulgacin o utilizacin de contrase%as inseguras.
la transmisin de informacin por medios inseguros.
los errores de programacin en las aplicaciones.
la falta de mobiliario de oficina con llave.
el acceso irrestricto al lugar de trabajo.
la eliminacin insegura de la informacin.
&on ejemplos de amenazas"
de origen natural" eventos tales como inundaciones, terremotos, tornados, incendios, tormentas
elctricas y otros desastres naturales.
de origen humano" eventos que son permitidos o causados por seres humanos, sean estos actos
involuntarios tales como errores en la operatoria, errores de programacin, ausencia de personal
tcnico responsable2 o bien acciones intencionales tales como la comisin de robo o fraude, el
acceso no autorizado a la informacin, la suplantacin de identidad, etc.
del entorno" tales como interrupciones prolongadas de servicios elctricos o de comunicaciones,
fallas por obsolescencia o mal funcionamiento de equipamiento, etc.
E2e#%/o3 Identi"i$in de !./ner$4i/id$des
ACTIVO CRITICIDAD VULNERA*ILIDAD
$lta de movimientos
mensuales
(
,nexistencia de copias de respaldo
Eliminacin insegura de la informacin
Errores de programacin en el sistema
1 1 1
E2e#%/o3 Identi"i$in de $#en$5$s
ACTIVO
CRITICI-
DAD
VULNERA*ILIDAD AMENA6A
$lta de
movimientos
mensuales
(
,nexistencia de copias de
respaldo
3allo en el disco rgido
-orrado accidental de la
informacin
Eliminacin insegura de la
informacin
Divulgacin no autorizada de
la informacin
Errores de programacin en el
sistema
/obo de informacin
3raude electrnico
1 1 ... ...
Pgina de 7
Universidad Nacional de Lujn
Departamento de Seguridad Informtica
IV. Valoracin de amenazas y determinacin del impacto
El paso siguiente para la medicin del nivel de riesgo es la determinacin del impacto adverso como
resultado de la ejecucin de una amenaza. Este impacto se puede describir en trminos de prdida o
degradacin de alguna de las tres caractersticas b#sicas" confidencialidad, integridad y disponibilidad.
4ara cada activo y amenaza debe estimarse la degr$d$in, es decir el porcentaje en que la amenaza
da%a al activo en estudio estableciendo un valor entre 5 6 'no lo da%a( y 755 6 'lo da%a absolutamente(
para cada una de las caractersticas de confidencialidad, integridad y disponibilidad.
P7rdid$ de Integrid$d3 &e refiere al requerimiento de que el activo o la informacin sea protegido
contra la modificacin no autorizada. &e pierde integridad si se realizan cambios no autorizados en
los sistemas o se pierde parte de los datos almacenados sea por un evento accidental o
intencionado.
P7rdid$ de Dis%oni4i/id$d3 El hecho de que la informacin o un sistema no est disponible para
sus usuarios, ya sea por la prdida de datos o la destruccin de elementos necesarios, puede
afectar a la efectividad operacional y consecuentemente al cumplimiento de la misin de una
organizacin.
P7rdid$ de Con"ideni$/id$d3 !a confidencialidad hace referencia a la proteccin de la informacin
contra la divulgacin no autorizada. El impacto producido por un evento de estas caractersticas,
sea en forma no autorizada, intencional o inadvertida, puede variar entre la prdida de confianza en
la institucin hasta la posibilidad de acciones legales contra la misma.
4or ejemplo, podra estimarse que tras un incendio controlado, un archivo de legajos se vera afectado un
85 6 en su integridad. En el caso de un sistema inform#tico, una falla elctrica podra afectar en un 755 6
la disponibilidad del mismo, sin afectar '5 6( su confidencialidad.
El i#%$to se calcula en base al m#ximo valor de degradacin que la amenaza produce sobre un activo, y
la criticidad del activo definida en los pasos anteriores, por ejemplo, mediante la multiplicacin de tales
valores.
E2e#%/o3 V$/or$in de $#en$5$s
AMENA6A
DEGRADACIN
IMPACTO
8TOTAL9
CONFID: INTEG: DISP:
3allo en el disco rgido de la 49 5,556 :5,556 85,556 ; x 856 < '
-orrado accidental de informacin 5,556 755,556 =5,556 ; x 7556 < (
1 1 1 1 ...
V. Determinacin del riesgo
El propsito de este paso es establecer el nivel de riesgo que cada amenaza conlleva al sistema. !a
determinacin del riesgo que cada par activo>amenaza resulta como funcin de"
la %ro4$4i/id$d de que ocurra el evento, es decir, que la amenaza explote la vulnerabilidad, y
la #$gnit.d del impacto que el evento produce sobre el activo en estudio.
Pgina ! de 7
Universidad Nacional de Lujn
Departamento de Seguridad Informtica
El cmputo de la probabilidad suele basarse en los valores histricos de frecuencia con la que ocurre 'o
podra ocurrir( un evento en forma anual. 4or ejemplo, si ocurren fallas elctricas al menos una vez al mes,
la frecuencia de dicha amenaza ser# 7;2 si ocurre una inundacin cada cuatro a%os, la frecuencia de dicha
amenaza ser# 7>:. El riesgo al que est# expuesto un activo surge de la multiplicacin de la frecuencia anual
por el impacto estimado en el paso anterior.
E2e#%/o3 Deter#in$in de/ riesgo
ACTIVO AMENA6A
FREC:
8ANUAL9
IMPACTO
8TOTAL9
RIESGO
$lta de
movimientos
mensuales
3allo en el disco rgido de
la 49
' ' 7 x 7 < '
-orrado accidental de la
informacin
) ( ? x ; < ;
1 1 1 1 ...
VI. Recomendacin de controles
!a salida del paso anterior constituye un detalle de los riesgos a los cuales el sistema est#
expuesto, a la vez que brinda un orden de prioridades de los riesgos a tratar" aquellos activos con un alto
nivel de riesgo son los que probablemente deber#n ser tratados en el corto plazo, buscando la forma de
contrarrestar las vulnerabilidades y amenazas2 los riesgos de nivel medio tambin son relevantes pero
suelen tratarse a m#s largo plazo2 finalmente los riesgos de bajo nivel suelen aceptarse directamente en los
casos donde la implementacin de controles implica un mayor coste que el costo de la prdida producida
por el evento adverso.
!a recomendacin de controles comprende la identificacin de medidas adecuadas que mitiguen o eliminen
los riesgos encontrados previamente. +n ontro/ o s$/!$g.$rd$ contribuye reduciendo el impacto que
produce una amenaza o bien la frecuencia con la que sta sucede. El objetivo es reducir el nivel de riesgo al
que el sistema en estudio est# expuesto, llev#ndolo a un nivel aceptable, y constituye la base inicial para la
actividad siguiente de seleccin e implantacin de controles.
$ la hora de determinar las recomendaciones de controles y alternativas de solucin deben de tenerse en
cuenta ciertos factores tales como"
@ la efectividad de las opciones recomendadas
@ la adecuacin a leyes y normas existentes
@ el impacto operacional de las modificaciones
@ la confiabilidad de tales controles
4or ejemplo, la incorporacin de energa a bateras permitira reducir la frecuencia de los cortes de energa
elctrica a slo ? por a%o2 la incorporacin de alarmas contra incendios permitira detectar tal evento en
forma temprana reduciendo la degradacin que se produzca sobre los activos afectados.
Pgina " de 7
Universidad Nacional de Lujn
Departamento de Seguridad Informtica
E2e#%/o3 Reo#end$in de ontro/es
ACTIVO VULNERA*ILIDAD AMENA6A SALVAGUARDAS
$lta de
movimientos
mensuales
,nexistencia de
copia de respaldo
-orrado accidental de la
informacin
A9opias de seguridad
A9apacitacin al usuario
A/estriccin de permisos
3allo en el disco rgido de
la 49
A9opias de seguridad
ABantenimiento preventivo
1 1 1 ...
3inalmente, la documentacin elaborada en el transcurso de esta serie de pasos constituir# un reporte de
suma utilidad para la toma de decisiones en lo que respecta a cambios operacionales y administrativos en
polticas, procedimientos, presupuestos y de utilizacin de sistemas inform#ticos.
Pgina 7 de 7