Académique Documents
Professionnel Documents
Culture Documents
MAGERIT
“Análisis de Riesgo Tecnológico”
Análisis de riesgos:
proceso sistemático para estimar la magnitud de los
riesgos a que está expuesta una Organización.
Gestión de riesgos:
selección e implantación de salvaguardas para
conocer, prevenir, impedir, reducir o controlar
los riesgos identificados.
Catalogo de Guía Técnica
Elementos
Método
MAGERIT
AGR
Método MAGERIT
Estructuración Consejos
Análisis de Gestión de Del y
Riesgo Riesgo Proyecto Apéndices
Análisis de Riesgo
Análisis de Riesgo
Identificación de Activos
Identificación de Amenazas
Medición de Impacto
Determinación del Riesgo
Salvaguardas
Riesgo Residual
Activos de Información
Proceso de
Negocio
Datos
Hardware
Documentos
Software
Proceso de Proceso de
Negocio Negocio
Datos Datos
Hardware Hardware
Documentos Documentos
Software Software
Amenazas
Definición:
Todo fenómeno, acción o evento, intencional o
accidental que produce un impacto negativo en los
activos.
Valoración:
Se valoran en función de la degradación que producen
en los activos, la frecuencia con que pueden actuar y la
intencionalidad.
Impacto
Definición:
medida del daño sobre el activo derivado de la
materialización de una amenaza
Tipos de impacto
Impacto acumulado: calculado sobre un activo teniendo
en cuenta su valor acumulado (el propio mas el
acumulado de los activos que dependen de él)
Planificación
Modelo de Valor de los
activos
Identificación de amenazas
Evaluación de impacto
potencial y residual
Toma de decisiones para
gestionar riesgo
Elaboración Plan de
Seguridad
Planificación
Participantes:
– Comité de Dirección
– Comité de Seguimiento
– Equipo de Proyecto
– Grupos de Interlocutores
– Promotor
– Director de Proyecto
– Enlace Operacional
Planificación:
– Se establecen las consideraciones necesarias para arrancar el
proyecto AGR.
– Se investiga la oportunidad de realizarlo.
– Se definen los objetivos que ha de cumplir y el dominio (ámbito) que
abarcará.
– Se planifican los medios materiales y humanos para su realización.
– Se procede al lanzamiento del proyecto.
Análisis de Riesgo
El análisis de riesgos es una aproximación metódica para
determinar el riesgo siguiendo unos pasos pautados:
Integridad
Disponibilidad
Confidencialidad
Clasificación de Activos Informáticos
Integridad:
Garantiza la exactitud y totalidad de la información y los procesos
Confidencialidad:
Garantiza que la información es accedida solo por personas
autorizadas para ello.
Disponibilidad:
Garantiza que la información y los procesos estarán disponibles
cuando así lo requiera la operación de la empresa.
La componente de integridad tiene la siguiente escala de valores:
Requerimientos
Descripción
Valor de Integridad
Público Incluye toda aquella información que no representa riesgo significativo para la
1
compañía.
Interno Incluye toda aquella información que se utiliza en las actividades laborales del día a
3
día y que puede presentar riesgos mínimos para la compañía.
Confidencial Incluye toda aquella información que puede presentar riesgos para la compañía, y
cuyo acceso debe ser expresamente autorizado por el responsable y restringido a
4
un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas
habituales.
Estrictamente Incluye toda aquella información que puede presentar riesgos importantes para la
5
Confidencial Compañía.
Clasificación de Activos Informáticos
Amenazas ambientales,
Amenazas humanas: Internas, Externas, Estructuradas, No
estructuradas
Amenazas tecnológicas.
E I
E I
A N N Tipos de Amenazas Riesgos Asociados
E E
E E
x Ambientales Inundación interna
x Inundación externa
x Fuego Interno
x Fuego Externo
x Daño sísmico
x Daño por erupción volcánica
Amenazas humanas
Las amenazas humanas tienen los siguientes riesgos
asociados: E
E
I
I
A N N Tipos de Amenazas Riesgos Asociados
E E
E E
x x x x Hurto / Robo
x x Abuso de confianza
x x Malversación de fondos
x x Terrorismo / Sabotaje
x x Huelga de Empleados
x x Intrusión externa
E I
E I
A N N Tipos de Amenazas Riesgos Asociados
E E
E E
x x x x Técnicas Cortes o alteraciones en el suministro eléctrico / UPS
x x Fallas en los sistemas de control ambiental
x Fallas en el hardware
x x Fallas en los sistemas de base
x x x x Fallas en las aplicaciones
x x Fallas en la red interna
x x x x Fallas en las conexiones con terceros
x x x x Vulnerabilidades de software
Evaluación
Evaluación de
de Riesgo
Riesgo Bruto
Bruto yy
Residual
Residual
Determinación de la Matriz de Impacto
La matriz de impacto se define de acuerdo a las
características de la empresa:
Categoría Impacto en resultados Impacto en clientes Impacto en Operaciones Impacto Regulatorio Impacto en reputación
El incumplimiento
Insignificante Sin impacto en las Sin impacto en el valor o
Entre $0 a $ 0,01 millones Sin reclamo de clientes regulatorio no genera
(1) operaciones reputación de la marca
sanciones
Impacto menor en
operaciones, no percibido
El incumplimiento Hay un impacto menor en
Entre $0,01 y $0,25 Los reclamos de los por el cliente. Las
Menor (2) regulatorio genera la reputación y en el valor
millones clientes son aislados consecuencias pueden ser
sanciones leves de la marca; difusión leve
absorbidas dentro de las
operaciones normales
Frecuencia
Probabilidad Descripción
anualizada
Se espera que ocurra en la mayoría de
las circunstancias
Muy Probable (5) 1
Una vez al año o mas de una vez al
año
Probablemente ocurrirá en la mayoría
Probable (4) de las circunstancias 0,75
Una vez cada 1 año y 4 meses
Podría ocurrir algunas veces
Posible (3) 0,5
Una vez cada 2 años
No es muy probable que ocurra
Incierto (2) 0,25
Una vez cada 4 años
Solo podría ocurrir en casos
Improbable (1) excepcionales 0,1
Cada diez años o mas
Determinación de la Matriz de Riesgos
Muy
Riesgo
1,00 Probable Riesgo Medio Riesgo Extremo Riesgo Extremo Riesgo Extremo
Alto
(5)
Probable Riesgo
0,75 Riesgo Bajo Riesgo Alto Riesgo Extremo Riesgo Extremo
(4) Medio
Posible Riesgo
0,50 Riesgo Bajo Riesgo Alto Riesgo Extremo Riesgo Extremo
(3) Medio
Incierto Riesgo
0,25 Riesgo Bajo Riesgo Alto Riesgo Extremo Riesgo Extremo
(2) Medio
Improbabl Riesgo
0,01 Riesgo Bajo Riesgo Medio Riesgo Alto Riesgo Extremo
e (1) Bajo
Probabilidad Anualizada Insignificante (1) Menor (2) Moderado (3) Significativo (4) Catastrófico (5)
Impacto
en
0,010 0,250 10 100 1000
millones
de USD
Riesgo Bruto y Riesgo Residual
Riesgo Residual
Probabilidad de
Probabilidad de
Riesgo Bruto
ocurrencia
ocurrencia
Impacto
Impacto
Vulnerabilidades
Riesgos Asociados Controles Existentes
No. Conocidas
Eliminar el riesgo,
Reducir el riesgo,
Aceptar el riesgo,
Trasladar / Transferir el riesgo,
Incrementar el riesgo,
Reducir el nivel de control o eliminar las respuestas a
riesgos.
Plan de Seguridad
Se traducen las decisiones en acciones concretas.
Se tomarán en consideración todos los escenarios de impacto y
riesgo que se consideren críticos o graves.
Se elaborará un conjunto de programas de seguridad que den
respuesta a todos y cada uno de los escenarios analizados.
Un programa de seguridad es una serie de tareas agrupadas para
ganar eficiencia o por necesidades de interdependencia o por
objetivos comunes. Cada programa debe detallar:
Objetivo genérico
Salvaguardas a implantar
Relación de escenarios de riesgo que afronta
Unidad responsable de su ejecución
Recursos y costos
Consejos y Apéndices
Consejos de valoración
de activos y amenazas,
selección de salvaguardas
Apéndices
•Glosario
•Marco Legal
•SGSI
•Certificación
•Herramientas
Catalogo de Elementos
Activos Amenazas
• Tipos y Clasificación • Desastres naturales
Dimensiones de Valoración • De origen industrial
• Disponibilidad • Errores y fallas no intencionales
• Integridad • Ataques intencionados
• Confidencialidad • Correlación de errores y
• Autenticidad de los usuarios ataques
• Autenticidad de los datos • Amenazas por tipo de activo
• Trazabilidad del servicio
• Trazabilidad de los datos
Criterios de Valoración
• Escalas estándar
Salvaguardas Informes
• Para los servicios • Modelo de valor
• Para los datos • Mapa de riesgos
• Para el software • Evaluación de salvaguarda
• Para el hardware • Estado de riesgo
• Para las comunicaciones • Informe de insuficiencias
• Para el personal • Plan de seguridad
Guías Técnicas
Riesgo Residual
Probabilidad de
Probabilidad de
Riesgo Bruto
ocurrencia
ocurrencia
Impacto
Impacto
No. Riesgos Vulnerabilidades
Controles Existentes
Asociados Conocidas