Tecnologas de Informacin y

Comunicacin I
Semestre I - 2016

AVANCE
Unidades de Aprendizaje

Unidad 1
Introduccin a
la Seguridad
Informatica

Unidad 2
Anlisis y
Gestion de
Riesgos

La Administracin de
Riesgos
Anlisis de riesgo
Roles y responsabilidades
Proceso de
administracin del riesgo

Unidad 3
Poltica y Plan
de Seguridad

Unidad 4
Control de
Acceso

Unidad 5
Mtodos y
modelos de
defensa

Unidad 2: Anlisis y Gestion de Riesgos

CONTENIDOS
La Administracin de Riesgos
Anlisis de riesgo
Roles y responsabilidades
Proceso de administracin del riesgo

Unidad 2: Anlisis y Gestion de Riesgos

Los tiempos actuales se caracterizan por:
Un explosivo aumento de las tecnologas de la informacin en los ltimos aos.
Un alto nivel de inversin en tecnologa.
Mayor grado de complejidad de la tecnologa.
Y es en este entorno creciente y complejo que los responsables de gestionar las herramientas
tecnolgicas deben poder diagnosticar los riesgos que puedan generarse.

Definicin de riesgo
La organizacin Internacional por la Normalizacin (ISO) define riesgo tecnolgico como:
Probabilidad de que una amenaza se materialice, utilizando vulnerabilidades
existentes de un activo o grupo de activos, generando perdidas o daos.

Unidad 2: Anlisis y Gestion de Riesgos

Modelo de Riesgo
De la definicin anterior se pueden identificar varios elementos:
o Probabilidad: Es la probabilidad de ocurrencia de una amenaza, puede ser cuantitativa o
cualitativa, no debe considerar la existencia de acciones paliativas de las amenazas.
o Amenazas: Siempre existen y son aquellas acciones que pueden ocasionar consecuencias
negativas en la empresa.
o Vulnerabilidades: Son ciertas condiciones inherentes a los activos que facilitan la
materializacin de las amenazas.
o Activos: Son aquellos que se relacionan con los sistemas de informacin por ejemplo
hardware, software, etc.
o Impactos: Son las consecuencias de la ocurrencia de las amenazas, son siempre negativos.

Unidad 2: Anlisis y Gestion de Riesgos

Anlisis de riesgo informtico
Es una Herramienta de diagnostico para poder establecer la exposicin real a los riegos por
parte de una organizacin, con el fin de generar controles que minimicen los efectos de los
riesgos.
Los resultados del anlisis de riesgo constituyen una gua para que la organizacin puede
tomar decisiones sobre si es necesario implantar mecanismos de seguridad.
El nivel de riesgo al que est sometido una organizacin nunca puede erradicarse
totalmente.
Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que son precisos
dedicar para minimizar los riesgos.
Tambin es importante establecer un nivel de riesgo aceptable.

Unidad 2: Anlisis y Gestion de Riesgos

Anlisis de riesgo informtico
Dnde aplico un anlisis de riesgos?

Sistemas
El producto

reas Importantes
Desarrollan procesos crticos de negocio
Comprometen el prestigio de la organizacin
Estn sujetas a regulaciones (Superintendencias, Entidades de gobierno)

Unidad 2: Anlisis y Gestion de Riesgos

Anlisis de riesgo informtico

El anlisis de Riesgos en cada caso puede ser desarrollado de una forma diferente
Cmo aterrizo la metodologa a la realidad de mi negocio?

Alternativas de Mtodos de Riesgo

Mtodos Generales
ISO 31.000
ISO 27.005

Unidad 2: Anlisis y Gestion de Riesgos

Anlisis de riesgo informtico

ISO 31.000

Unidad 2: Anlisis y Gestion de Riesgos

Anlisis de riesgo informtico

ISO 27005

Mantener y
mejorar
controles de
riesgo

Evaluar y valorar
el riesgo

Supervisar y
revisar el riesgo

Seleccionar,
implementar y
operar controles
para tratar el
riesgo

Unidad 2: Anlisis y Gestion de Riesgos

Anlisis de riesgo informtico

ISO 27005

Unidad 2: Anlisis y Gestion de Riesgos

Administracion de riesgo informtico

Una vez conocidos los riesgos la organizacin puede decidir qu medidas tomar:
Asumir el riesgo, ya que el costo de mitigar estos riegos es ms alto que corregir las
consecuencias de estos riesgos.
Mitigar el riesgo, mediante la implantacin y mantenimiento de controles de seguridad.
Transferir el riesgo, por ejemplo la contratacin de un seguro.
A las medidas o salvaguardas que se toman para disminuir un riesgo se les denomina controles.

Unidad 2: Anlisis y Gestion de Riesgos

Definiciones bsicas

Riesgo
Probabilidad
Impacto o Consecuencia
Evento

Amenaza
Vulnerabilidad

Incidente

Amenaza
Vulnerabilidad

Unidad 2: Anlisis y Gestion de Riesgos

Definiciones bsicas

Riesgo: Combinacin de la probabilidad de evento o incidente y su impacto en la organizacin

Probabilidad: La oportunidad de que algo ocurra. Es la medicin de la oportunidad

Impacto o Consecuencia: Efecto causado en los objetivos de la organizacin.

Evento: Una ocurrencia identificada en un sistema, servicio, o cualquier otro elemento. Esto
indica una posible brecha de cumplimiento de las polticas, o fallas en medidas ya implementadas

Incidente: Esta indicado por un simple o por mltiples eventos no esperados. Esto tiene una alta
probabilidad de comprometer la continuidad de las operaciones del negocio.

Amenaza: Un evento con la potencialidad de afectar negativamente la CID de la organizacin

Vulnerabilidad: Una debilidad que facilita la materializacin de una amenaza. La situacin

generada depende del contexto encontrado

Unidad 2: Anlisis y Gestion de Riesgos

Definiciones Avanzadas de Riesgo

Gestion del Riesgo

Estudio del riesgo

Anlisis de Riesgo
Evaluacin de Riesgo

Tratamiento del riesgo

Aceptacin del riesgo

Eludir el riesgo
Transferencia del riesgo
Mitigacin del Riesgo

Comunicacin del riesgo

Revisin del riesgo

Unidad 2: Anlisis y Gestion de Riesgos

Definiciones Avanzadas de Riesgo

Gestion del Riesgo:

Actividades Coordinadas para dirigir y controlar una organizacin en el manejo del riesgo
La cultura , procesos y estructura que permita manejar efectos adversos
Aplicacin sistemtica de las polticas de gestin, procedimientos y practicas de las tareas
asociadas a comunicar, consultar, establecer el contexto, identificar, analizar, evaluar, tratar,
monitorear y revisar el riesgo.

Estudio del riesgo: Proceso completo de anlisis de riesgo y evaluacin de riesgo.

Anlisis de riesgo: Uso sistemtico de informacin para identificar fuentes y estimaciones del
riesgo.

Evaluacin del riesgo: Proceso de comparar el riesgo estimado contra un CRITERIO DE

RIESGO, con el objetivo de determinar la significancia del riesgo.

Unidad 2: Anlisis y Gestion de Riesgos

Definiciones Avanzadas de Riesgo

Tratamiento del riesgo: Proceso de seleccin e implementacin de medidas para modificar un

riesgo estimado.

Aceptacin del riesgo: Es la decisin de aceptar el riesgo.

Eludir el riesgo: Es la decisin de no involucrarse con el riesgo.

Transferencia del riesgo: Es la decisin de compartir con un tercero los escenarios de perdida o
beneficio asociados a un riesgo

Mitigacin del riesgo: Medidas tomadas para reducir el efecto de una consecuencia o impacto
no deseado.

Comunicacin del riesgo: Intercambio de informacin acerca de un riesgo. Esta comunicacin

se realiza con los tomadores de decisiones o los participantes mas significativos.

Revisin del riesgo: Actividades estructuradas para determinar la adecuacin y efectividad de la

gestin del riesgo y sus polticas y procedimientos establecidos.

Unidad 2: Anlisis y Gestion de Riesgos

Administracion de riesgo informtico

Medicin de
Riesgos
Es necesario tratar el
riesgo?
Establecimiento de
prioridades

Manipulacin de
Riesgos

Prevencin
Reduccin
Transferencia
Aceptacin

Aceptacin de
Riesgos
El riesgo esta por
debajo de cierto valor
No es manejable
No es aconsejable
tratarlo
Decisiones
administrativas

Unidad 2: Anlisis y Gestion de Riesgos

Etapas del Anlisis de riesgo informtico

Definir los activos informticos a analizar.

Identificar las amenazas que pueden comprometer la seguridad de los activos.
Determinar la probabilidad de ocurrencia de las amenazas.

Determinar el impacto de las amenaza, con el objeto de establecer una priorizacin de las
mismas.
Recomendar controles que disminuyan la probabilidad de los riesgos.
Documentar el proceso.

Unidad 2: Anlisis y Gestion de Riesgos

Identificacin de riesgos

Hay elementos que nos ayudan a identificar un riesgo, estos son:

Informacin disponible
Todo tipo de informacin, en un formato que permita el anlisis sobre ella.
Anlisis de entorno
Determinar donde se encuentra situado el riesgo, para poder atacar las causas y proteger a las
reas potencialmente afectadas.
Revisin operacin
Verificar la forma de operar del riesgo, para poder determinar si el riesgo es efectivo o no.
Experiencia/historia/conocimientos
Reunir informacin relevante sobre experiencias o registros de informacin relacionada al riesgo.

Unidad 2: Anlisis y Gestion de Riesgos

Manejar los riesgos

Luego de haber identificado la magnitud de los riegos, se procede a realizar la bsqueda de los
elementos por medio de los cuales se podrn manejar dichos riesgos, segn los siguientes puntos:

Conocer
Se debe realizar un compendio de todos los riesgos y sus caractersticas a fin de poder determinar el nivel de impacto de cada uno de
ellos.

Evaluar
Se deben establecer mrgenes a objeto de llevar adelante una poltica de control adecuada.

Mitigar
Tiene por objetivo reducir los riesgos por medio de soluciones que apoyen al manejo de los mismos.

Transferir
Determinar el lmite de manejos de los riesgos, verificar que tipos de factores asociados a los riesgos pueden ser cubiertos por la
empresa.

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos
Cualquier actividad que el ser humano realice est expuesta a riesgos de diversa ndole
los cuales influyen de distinta forma en los resultados esperados.
La capacidad de identificar estas probables eventualidades, su origen y posible impacto
constituye una tarea difcil pero necesaria para el logro de los objetivos.
En los ltimos aos las tendencias internacionales han registrado un importante cambio
de visin en cuando a la gestin de riesgos: de un enfoque de gestin tradicional hacia
una gestin basada en la identificacin, monitoreo, control, medicin y divulgacin de los
riesgos.

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos

Gestionar eficazmente los riesgos para garantizar

resultados concordantes con los objetivos
estratgicos de la organizacin, quizs sea uno de
los mayores retos.
La gestin integral de los riesgos se vuelve parte
fundamental de la estrategia y factor clave de
xito en la creacin de valor econmico agregado.

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos

En este sentido, es imprescindible que las organizaciones cuenten con herramientas que permitan:
Definir criterios a partir de los cuales se admitirn riesgos; dichos criterios dependern de sus
estrategias, plan de negocios y resultados esperados.
Definir a travs de un mapa de riesgo, reas de exposicin a los riesgos inherentes a sus
actividades, en consecuencia establecer el riesgo mximo aceptable as como el rea no
aceptable.
Monitoreo y medicin de todas las categoras de riesgo que pueden impactar el valor de la
entidad en forma global, por unidad de negocios, por productos y por procesos.

Estos puntos estn relacionados con la identificacin y evaluacin de riesgos, la matriz de riesgos
constituye una herramienta til en el proceso de evaluacin continua de las estrategias y manejo de
riesgos.

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos
Qu es una Matriz de Riesgo?
Es una herramienta de control y de gestin utilizada para identificar las actividades (procesos
y productos) ms importantes de una empresa, el tipo y nivel de riesgos inherentes a estas
actividades y los factores internos y externos relacionados con estos riesgos (factores de
riesgo).

Debe ser una herramienta flexible que documente los procesos y evale de manera integral
el riesgo de una institucin, a partir de los cuales se realiza un diagnstico objetivo de la
situacin global de riesgo de una entidad.
Exige la participacin activa de las unidades de negocios, operativas y funcionales en la
definicin de la estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo
permite hacer comparaciones objetivas entre proyectos, reas, productos, procesos o
actividades. Todo ello constituye un soporte conceptual y funcional de un efectivo Sistema
Integral de Gestin de Riesgo

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos
Qu elementos deben considerarse en el
diseo de una matriz de riesgo?
A partir de los objetivos estratgicos y plan de
negocios, la administracin de riesgos debe
desarrollar un proceso para la identificacin
de las actividades principales y los riesgos a los
cuales estn expuestas; entendindose como
riesgo la eventualidad de que una determinada
entidad no pueda cumplir con uno o ms de los
objetivos.

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos
Una vez establecidas todas las actividades, se deben identificar las fuentes o factores
que intervienen en su manifestacin y severidad, es decir los llamados factores de
riesgo o riesgos inherentes.
El riesgo inherente es intrnseco a toda actividad, surge de la exposicin y la
incertidumbre de probables eventos o cambios en las condiciones del negocio o de la
economa que puedan impactar una actividad.
El siguiente paso consiste en determinar la probabilidad de que el riesgo ocurra y
un clculo de los efectos potenciales sobre el capital o las utilidades de la entidad.

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos
La valorizacin consiste en asignar a los riesgos calificaciones dentro de un rango, que podra
ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta(5)),
dependiendo de la combinacin entre impacto y probabilidad.
En la siguiente grfica se puede observar un ejemplo de esquema de valorizacin de riesgo
en funcin de la probabilidad e impacto de tipo numrico con escala:

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos
Una vez que los riesgos han sido valorizados se procede a evaluar la calidad de la
gestin, a fin de determinar cun eficaces son los controles establecidos por la
empresa para mitigar los riesgos identificados.
En la medida que los controles sean ms eficientes y la gestin de riesgos pro-activa, el
indicador de riesgo inherente neto tiende a disminuir. Por ejemplo una escala de
valoracin de efectividad de los controles podra ajustarse a un rango similar al
siguiente:

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos
Finalmente, se calcula el riesgo neto o residual, que resulta de la relacin entre el
grado de manifestacin de los riesgos inherentes y la gestin de mitigacin de riesgos
establecida por la administracin.
A partir del anlisis y determinacin del riesgo residual los administradores pueden
tomar decisiones como la de continuar o abandonar la actividad dependiendo del nivel
de riesgos; fortalecer controles o implantar nuevos controles; o podran tomar
posiciones de cobertura, contratando por ejemplo plizas de seguro. Esta decisin est
delimitada a un anlisis de costo beneficio y riesgo.

Unidad 2: Anlisis y Gestion de Riesgos

Matriz de Riesgos
Ejemplo para calcular el riesgo neto o residual utilizando escalas numricas de posicin de riesgo:

El cuadro se muestran los riesgos

inherentes a una actividad o lnea
de negocio, el nivel o grado de
riesgo ordenado de mayor a menor
nivel de riesgo (priorizacin); las
medidas de control ejecutadas con
su categorizacin promedio y
finalmente, se expone el valor del
riesgo residual para cada riesgo y un
promedio total que muestra el
perfil global de riesgo de la lnea de
negocio.