Universidad de Buenos Aires

MAGERIT
“Análisis de Riesgo Tecnológico”

Lic. Raúl Castellanos, CISM

 Definiciones

El “The Institute of Internal Auditors” (The IIA) define

al riesgo como:

“La Posibilidad de que ocurra un acontecimiento que

tenga un impacto en el alcance de los objetivos. El
riesgo se mide en términos de impacto y probabilidad”
 Definiciones
La “International Organization for Standarization” (ISO)
define al riesgo como:

“Combinación de la Probabilidad de un Evento y su

Consecuencia”

ISO aclara que el término riesgo es generalmente usado

siempre y cuando exista la posibilidad de pérdidas
(resultado negativo)
 Definiciones MAGERIT
Riesgo:
“estimación del grado de exposición a que una
amenaza se materialice sobre uno o más activos
causando daños o perjuicios a la Organización.”

Análisis de riesgos:
proceso sistemático para estimar la magnitud de los
riesgos a que está expuesta una Organización.

Gestión de riesgos:
selección e implantación de salvaguardas para
conocer, prevenir, impedir, reducir o controlar
los riesgos identificados.
Catalogo de Guía Técnica
Elementos

Método
MAGERIT

AGR
 Método MAGERIT

Estructuración Consejos
Análisis de Gestión de Del y
Riesgo Riesgo Proyecto Apéndices
Análisis de Riesgo
 Análisis de Riesgo

Identificación de Activos

Identificación de Amenazas

Medición de Impacto

Determinación del Riesgo

Salvaguardas

Riesgo Residual
 Activos de Información
Proceso de
Negocio

Datos
Hardware

Documentos
Software
Proceso de Proceso de
Negocio Negocio

Datos Datos
Hardware Hardware

Documentos Documentos
Software Software
 Amenazas
Definición:
Todo fenómeno, acción o evento, intencional o
accidental que produce un impacto negativo en los
activos.

Valoración:
Se valoran en función de la degradación que producen
en los activos, la frecuencia con que pueden actuar y la
intencionalidad.
 Impacto
Definición:
medida del daño sobre el activo derivado de la
materialización de una amenaza

Tipos de impacto
Impacto acumulado: calculado sobre un activo teniendo
en cuenta su valor acumulado (el propio mas el
acumulado de los activos que dependen de él)

Impacto repercutido: calculado sobre un activo teniendo

en cuenta su valor propio y las amenazas a que están
expuestos los activos de los que depende
 Determinación del Riesgo
Definición:
Se denomina riesgo a la medida del daño probable sobre
un sistema. Conociendo el impacto de las amenazas
sobre los activos, es directo derivar el riesgo sin más que
tener en cuenta la frecuencia de ocurrencia.
Riesgo Bruto
Corresponde al impacto y probabilidad de ocurrencia de
una amenaza en un supuesto donde no existen controles
ni salvaguardas implementadas.
Riesgo Residual
Corresponde al impacto y probabilidad de ocurrencia de
una amenaza en donde existen controles y medidas de
seguridad implementadas.
 Gestión de Riesgo

Interpretación del Riesgo

Residual

Selección de salvaguardas

Gestión de la Dirección –
Nivel de riesgo aceptable
 Interpretación del Riesgo Residual
Impacto y riesgo residual son una medida del estado
presente, entre la inseguridad potencial (sin
salvaguarda alguna) y las medidas adecuadas que
reducen impacto y riesgo a valores despreciables.

Si la diferencia entre el riesgo bruto y el riesgo residual es

nula, las salvaguardas existentes no cumplen ninguna
función.

Es importante entender que un valor residual es sólo un

número. Para su correcta interpretación debe venir
acompañado de la relación de lo que se debería hacer y
no se ha hecho.
 Selección de Salvaguardas
Hay que planificar el conjunto de salvaguardas pertinentes para
atajar tanto el impacto como el riesgo, reduciendo bien la
degradación del activo (minimizando el daño), bien reduciendo
la frecuencia de la amenaza (minimizando sus oportunidades).
salvaguardas técnicas: en aplicaciones, equipos y redes.
salvaguardas físicas: protegiendo el entorno de trabajo de las
personas y los equipos.
medidas de organización: de prevención y gestión de las
incidencias.
política de personal: que, a fin de cuentas, es el eslabón
imprescindible y más delicado.
Es de sentido común que no se puede invertir en salvaguardas
más allá del valor de los propios activos a proteger.
 Gestión de la Dirección
La dirección de la Organización sometida al análisis de
riesgos debe determinar el nivel de impacto y riesgo
aceptable. Esta decisión no es técnica. Puede ser una
decisión política o gerencial.
Cualquier nivel de impacto y/o riesgo es aceptable si lo
conoce y acepta formalmente la Dirección.
Si el impacto y/o el riesgo están por encima de lo
aceptable, se puede:
1. eliminar el activo; suena muy fuerte, pero a veces hay
activos que, simplemente, no vale la pena mantener.
2. introducir nuevas salvaguardas o mejorar la eficacia de
las presentes.
Estructuración del Proyecto

Planificación

Modelo de Valor de los
activos

Identificación de amenazas

Evaluación de impacto
potencial y residual

Toma de decisiones para
gestionar riesgo

Elaboración Plan de
Seguridad
 Planificación
Participantes:
– Comité de Dirección
– Comité de Seguimiento
– Equipo de Proyecto
– Grupos de Interlocutores
– Promotor
– Director de Proyecto
– Enlace Operacional

Planificación:
– Se establecen las consideraciones necesarias para arrancar el
proyecto AGR.
– Se investiga la oportunidad de realizarlo.
– Se definen los objetivos que ha de cumplir y el dominio (ámbito) que
abarcará.
– Se planifican los medios materiales y humanos para su realización.
– Se procede al lanzamiento del proyecto.
 Análisis de Riesgo
El análisis de riesgos es una aproximación metódica para
determinar el riesgo siguiendo unos pasos pautados:

1. Determinar los activos relevantes para la Organización, su

interrelación y su valor, en el sentido de qué perjuicio (coste)
supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos
activos.
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces
son frente al riesgo.
4. Estimar el impacto, definido como el daño sobre el activo
derivado de la materialización de la amenaza.
5. Estimar el riesgo, definido como el impacto ponderado con la
tasa de ocurrencia (o expectativa de materialización) de la
amenaza.
 Modelo de Valor de los Activos

Sobre todos los activos informáticos identificados, se realiza

una clasificación en base a la criticidad del activo para el
negocio, utilizando como medida a las tres componentes
principales de la Seguridad de la Información:

Integridad
Disponibilidad
Confidencialidad
 Clasificación de Activos Informáticos
Integridad:
Garantiza la exactitud y totalidad de la información y los procesos

Confidencialidad:
Garantiza que la información es accedida solo por personas
autorizadas para ello.

Disponibilidad:
Garantiza que la información y los procesos estarán disponibles
cuando así lo requiera la operación de la empresa.
La componente de integridad tiene la siguiente escala de valores:
Requerimientos
Descripción
Valor de Integridad

1 Bajo El negocio no se ve afectado por la pérdida de la integridad.

2 Promedio El negocio soporta hasta 1 semana para restablecer la integridad.

3 Importante El negocio soporta hasta 48 horas para restablecer la integridad.

4 Vital El negocio soporta hasta 24 horas para restablecer la integridad.

5 Crítico En negocio no funciona si toma más de 3 horas restablecer la integridad.

La componente de disponibilidad tiene la siguiente escala de valores:

Requerimientos
Descripción
Valor de Disponibilidad

1 Bajo El negocio no se ve afectado por la pérdida del activo informático.

2 Promedio El negocio soporta hasta 1 semana sin el activo informático.

3 Importante El negocio soporta hasta 48 horas sin el activo informático.

4 Vital El negocio soporta hasta 24 horas sin el activo informático.

5 Crítico En negocio no funciona sin el activo informático.

La componente de confidencialidad tiene la siguiente escala de valores:

Requerimientos de
Descripción
Valor Confidencialidad

Público Incluye toda aquella información que no representa riesgo significativo para la
1
compañía.

Interno Incluye toda aquella información que se utiliza en las actividades laborales del día a
3
día y que puede presentar riesgos mínimos para la compañía.

Confidencial Incluye toda aquella información que puede presentar riesgos para la compañía, y
cuyo acceso debe ser expresamente autorizado por el responsable y restringido a
4
un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas
habituales.

Estrictamente Incluye toda aquella información que puede presentar riesgos importantes para la
5
Confidencial Compañía.
 Clasificación de Activos Informáticos

Sobre todos los activos informáticos identificados, se realiza

una clasificación en base a la criticidad del activo para el
negocio, utilizando como medida a las tres componentes
principales de la Seguridad de la Información, Confidencialidad,
Integridad y Disponibilidad:
Amenazas
Amenazas
 Identificación de Amenazas

Las amenazas pueden ser clasificadas en tres grandes grupos:

Amenazas ambientales,
Amenazas humanas: Internas, Externas, Estructuradas, No
estructuradas
Amenazas tecnológicas.

Esta clasificación permite analizar, tomar medidas de seguridad e

implementar controles para tratar las amenazas en conjunto.
 Amenazas ambientales

Las amenazas ambientales tienen los siguientes riesgos

asociados:

E I
E I
A N N Tipos de Amenazas Riesgos Asociados
E E
E E
x Ambientales Inundación interna
x Inundación externa
x Fuego Interno
x Fuego Externo
x Daño sísmico
x Daño por erupción volcánica
 Amenazas humanas
Las amenazas humanas tienen los siguientes riesgos
asociados: E
E
I
I
A N N Tipos de Amenazas Riesgos Asociados
E E
E E

x x Humanas Extorsión / Secuestro

x x x x Hurto / Robo

x x Abuso de confianza

x x Malversación de fondos

x x Terrorismo / Sabotaje

x x Huelga de Empleados

x x x x Daños por alteración del orden publico

x x x x Uso no autorizado de recursos

x x Errores de operación, falla u omisión de controles

x x x Manejo inapropiado de datos sensibles

x Ataque de Denegación de servicio interno

x Ataque de Denegación de servicio externo

x x Intrusión externa

x x Uso de contraseñas débiles

x x Acceso físico no autorizado

x x x x Introducción de software malicioso, virus, etc.

x x x x Destrucción no autorizada de datos o software

x x x x Transferencia no autorizada de datos

x x x x Robo o acceso no autorizado de datos

x x x x Modificación no autorizada de software / hardware

 Amenazas tecnológicas

Las amenazas tecnológicas tienen los siguientes riesgos

asociados:

E I
E I
A N N Tipos de Amenazas Riesgos Asociados
E E
E E
x x x x Técnicas Cortes o alteraciones en el suministro eléctrico / UPS
x x Fallas en los sistemas de control ambiental
x Fallas en el hardware
x x Fallas en los sistemas de base
x x x x Fallas en las aplicaciones
x x Fallas en la red interna
x x x x Fallas en las conexiones con terceros
x x x x Vulnerabilidades de software
Evaluación
Evaluación de
de Riesgo
Riesgo Bruto
Bruto yy
Residual
Residual
 Determinación de la Matriz de Impacto
La matriz de impacto se define de acuerdo a las
características de la empresa:
Categoría Impacto en resultados Impacto en clientes Impacto en Operaciones Impacto Regulatorio Impacto en reputación

El incumplimiento
Insignificante Sin impacto en las Sin impacto en el valor o
Entre $0 a $ 0,01 millones Sin reclamo de clientes regulatorio no genera
(1) operaciones reputación de la marca
sanciones

Impacto menor en
operaciones, no percibido
El incumplimiento Hay un impacto menor en
Entre $0,01 y $0,25 Los reclamos de los por el cliente. Las
Menor (2) regulatorio genera la reputación y en el valor
millones clientes son aislados consecuencias pueden ser
sanciones leves de la marca; difusión leve
absorbidas dentro de las
operaciones normales

Impacto importante en El incumplimiento Hay un impacto importante

Los reclamos de los
operaciones, unidades de regulatorio genera en el corto plazo en la
clientes son importantes;
Moderado (3) Entre $0,25 y $10 millones negocio sin servicio por sanciones que no afectan reputación y en el valor de
hay pérdida menor de
hasta 8 horas, pudiera ser la capacidad de la la marca; difusión masiva y
clientes
percibido por el cliente organización para operar corta

Impacto mayor en Hay una pérdida mayor en

El incumplimiento
operaciones que afecta la participación de mercado
Los reclamos de los regulatorio resulta en
Significativo seriamente la capacidad de y en el valor de la marca,
Entre $10 a $100 millones clientes son masivos; hay sanciones que pudieran
(4) la compañía para atender a con publicidad adversa; las
pérdida de cartera afectar la capacidad de la
sus clientes; hasta 48 alianzas estratégicas están
organización para operar
horas sin servicio amenazadas

Hay una pérdida sustancial

Impacto catastrófico en en la participación de
operaciones que afecta mercado y en el valor de la
Hay pérdida masiva de
Catastrófico seriamente la capacidad de Suspensión de la marca y la reputación de la
Más de $100 millones clientes; hay litigios contra
(5) la compañía para continuar autorización para operar organización, con
las unidades de negocios
con el negocio; mas de 48 publicidad adversa
horas sin servicio prolongada; las alianzas
estratégicas se desintegran
 Determinación de la Matriz de Probabilidad

La matriz de probabilidad de ocurrencia se define en base a

criterios establecidos por la empresa:

Frecuencia
Probabilidad Descripción
anualizada
Se espera que ocurra en la mayoría de
las circunstancias
Muy Probable (5) 1
Una vez al año o mas de una vez al
año
Probablemente ocurrirá en la mayoría
Probable (4) de las circunstancias 0,75
Una vez cada 1 año y 4 meses
Podría ocurrir algunas veces
Posible (3) 0,5
Una vez cada 2 años
No es muy probable que ocurra
Incierto (2) 0,25
Una vez cada 4 años
Solo podría ocurrir en casos
Improbable (1) excepcionales 0,1
Cada diez años o mas
 Determinación de la Matriz de Riesgos

La matriz de riesgos se obtiene en base a la matriz de impacto

y a la matriz de probabilidad de ocurrencia:

Muy
Riesgo
1,00 Probable Riesgo Medio Riesgo Extremo Riesgo Extremo Riesgo Extremo
Alto
(5)
Probable Riesgo
0,75 Riesgo Bajo Riesgo Alto Riesgo Extremo Riesgo Extremo
(4) Medio
Posible Riesgo
0,50 Riesgo Bajo Riesgo Alto Riesgo Extremo Riesgo Extremo
(3) Medio
Incierto Riesgo
0,25 Riesgo Bajo Riesgo Alto Riesgo Extremo Riesgo Extremo
(2) Medio
Improbabl Riesgo
0,01 Riesgo Bajo Riesgo Medio Riesgo Alto Riesgo Extremo
e (1) Bajo

Probabilidad Anualizada Insignificante (1) Menor (2) Moderado (3) Significativo (4) Catastrófico (5)

Impacto
en
0,010 0,250 10 100 1000
millones
de USD
 Riesgo Bruto y Riesgo Residual

Riesgo Residual
Probabilidad de

Probabilidad de
Riesgo Bruto
ocurrencia

ocurrencia
Impacto

Impacto
Vulnerabilidades
Riesgos Asociados Controles Existentes
No. Conocidas

Extorsión / Secuestro 3 2 3,2 No hay controles 3 2 3,2

1
Hay guardia en el edificio,
La reposición de
2 alarma contra robo, acceso a
Hurto / Robo 4 2 4,2 4 1 4,1 servidores toma 24
oficinas con tarjeta magnética y
hs.
los servidores están asegurados
Existen controles cruzados en la
No hay
operación. Hay niveles de
Abuso de confianza 3 4 3,4 3 3 3,3 procedimientos de
autorización por monto de
3 chequeo al personal
transacción.
Existen controles cruzados en la
operación. Hay niveles de No Hay monitoreo de
autorización por monto de crédito, bancario y
Malversación de fondos 3 4 3,4 3 3 3,3
4 transacción. Solo el personal de de antecedentes del
Tesorería tiene acceso a la personal.
información de fondos.
Hay guardias en el acceso al El control en el
5 Terrorismo / Sabotaje 5 1 5,1 5 1 5,1
edificio. acceso es muy laxo

Hay un continuo monitoreo del

6 Huelga de Empleados 3 1 3,1 3 1 3,1
clima laboral
Riesgos por amenazas humanas
Riesgos por Amenazas Ambientales
Riesgos por amenazas tecnológicas
 Medidas y controles de Seguridad

Las medidas y controles de seguridad tienen como propósito:

Eliminar el riesgo,
Reducir el riesgo,
Aceptar el riesgo,
Trasladar / Transferir el riesgo,
Incrementar el riesgo,
Reducir el nivel de control o eliminar las respuestas a
riesgos.
 Plan de Seguridad
 Se traducen las decisiones en acciones concretas.
 Se tomarán en consideración todos los escenarios de impacto y
riesgo que se consideren críticos o graves.
 Se elaborará un conjunto de programas de seguridad que den
respuesta a todos y cada uno de los escenarios analizados.
 Un programa de seguridad es una serie de tareas agrupadas para
ganar eficiencia o por necesidades de interdependencia o por
objetivos comunes. Cada programa debe detallar:

Objetivo genérico

Salvaguardas a implantar

Relación de escenarios de riesgo que afronta

Unidad responsable de su ejecución

Recursos y costos
 Consejos y Apéndices

Consejos de valoración
de activos y amenazas,
selección de salvaguardas

Apéndices
•Glosario
•Marco Legal
•SGSI
•Certificación
•Herramientas
 Catalogo de Elementos
Activos
• Tipos y Clasificación
Dimensiones de Valoración
• Disponibilidad
• Integridad
• Confidencialidad
• Autenticidad de los usuarios
• Autenticidad de los datos
• Trazabilidad del servicio
• Trazabilidad de los datos
Criterios de Valoración
• Escalas estándar
Salvaguardas
• Para los servicios
• Para los datos
• Para el software
• Para el hardware
• Para las comunicaciones
• Para el personal
Amenazas
• Desastres naturales
• De origen industrial
• Errores y fallas no intencionales
• Ataques intencionados
• Correlación de errores y
ataques
• Amenazas por tipo de activo
Informes
• Modelo de valor
• Mapa de riesgos
• Evaluación de salvaguarda
• Estado de riesgo
• Informe de insuficiencias
• Plan de seguridad
 Guías Técnicas

Análisis mediante tablas Técnicas Generales

• Modelo Cualitativo • Análisis Coste-Beneficio

• Modelo Cuantitativo • Diagramas flujo de datos
• Modelo escalonado • Diagramas de procesos
• Planificación y diagramas
Árboles de Ataque GANTT, PERT, Pareto
• Valoracion Delphi
• Salvaguardas
• Riesgo Residual
 Ejemplo Árbol de Ataque

Veamos un ejemplo ilustrativo sobre como usar fraudulentamente (sin

pagar) un servicio de pago:
1. Objetivo: usar sin pagar (OR)
1. suplantar la identidad de un usuario legítimo
2. soslayar la identificación de acceso al servicio
3. abusar del contrato (AND)
1. ser un usuario legítimo
2. conseguir que no se facture el servicio (OR)
1. que no queden trazas de uso
2. que se destruyan las trazas antes de facturación (OR)
1. las destruyo yo
2. engaño al operador para que las borre
3. manipulo del sw para que no las sume
3. repudiar las trazas
4. dar datos de cargo falsos
Ejercicio
Ejercicio
Los activos informáticos pertenecen a una industria de
alimentos
La componente de integridad posee la siguiente valoración:
Requerimientos de
Valor Descripción
Disponibilidad
1 Bajo El negocio no se ve afectado por la pérdida de la integridad.
2 Promedio El negocio soporta hasta 1 semana para restablecer la integridad.
3 Importante El negocio soporta hasta 48 horas para restablecer la integridad.
4 Vital El negocio soporta hasta 24 horas para restablecer la integridad.
5 Crítico En negocio no funciona si toma más de 3 horas restablecer la integridad.

La componente de disponibilidad posee la siguiente valoración:

Requerimientos de
Valor
Disponibilidad
1 Bajo
2 Promedio
3 Importante
4 Vital
5 Crítico
Descripción
El negocio no se ve afectado por la pérdida del activo informático.
El negocio soporta hasta 1 semana sin el activo informático.
El negocio soporta hasta 48 horas sin el activo informático.
El negocio soporta hasta 24 horas sin el activo informático.
En negocio no funciona sin el activo informático.

La componente de confidencialidad posee la siguiente valoración:

Requerimientos de
Valor Descripción
Confidencialidad
Público Incluye toda aquella información que no representa riesgo significativo para la
1
compañía.
Interno Incluye toda aquella información que se utiliza en las actividades laborales del día
3
a día y que puede presentar riesgos mínimos para la compañía.
Confidencial Incluye toda aquella información que puede presentar riesgos para la compañía, y
cuyo acceso debe ser expresamente autorizado por el responsable y restringido a
4
un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas
habituales.
Estrictamente Incluye toda aquella información que puede presentar riesgos importantes para la
5
Confidencial Compañía.

1. Clasifique los siguientes activos informáticos utilizando las

escalas propuestas
Activo Informático Centro de Cómputos Plataforma Soportada I D C Total

Sistema de Manejo de WINDOWS

Personal Principal
UNIX
ERP - SAP Principal
UNIX
Proveedores Principal

Consultas automáticas de UNIX

Clientes por Teléfono Principal
WINDOWS
Correo Electrónico Principal
WINDOWS
Intranet Principal
Ejercicio Riesgos asociados con Amenazas Ambientales
Indique qué salvaguardas, controles o medidas de protección implementaría
para reducir la probabilidad en las amenazas 1, 2 y 3, y qué salvaguardas,
controles o medidas de protección implementaría para reducir el impacto de las
amenazas 4, 5 y 6, indicando el riesgo residual resultante.

Riesgo Residual
Probabilidad de

Probabilidad de
Riesgo Bruto
ocurrencia

ocurrencia
Impacto

Impacto
No. Riesgos Vulnerabilidades
Controles Existentes
Asociados Conocidas

Inundación interna 5 3 5,3

1

Inundación externa 4 2 4,2

2

3 Fuego Interno 5 4 5,4

4 Fuego Externo 5 3 5,3

5 Falta de suministro eléctrico 5 3 5,3

6 Daño por erupción volcánica 4 3 4,3