Administracin de

Riesgos
ISO/IEC 27002:2005
Luis Bartolini Siqueiros

Negocios habilitados por la

Seguridad
Impacto a los
Negocios
Probabilidad
de Ataque

Nivel de
Riesgo

Reducir el riesgo de la Seguridad

Evaluar el entorno
Mejorar el aislamiento y la resistencia
Desarrollar e implementar controles

Incrementar el Valor de Negocio

Conectarse con los clientes
Integrarse con los socios
Habilitar a los empleados

ROI
Conectado
Productivo
2

Cambiar el enfoque de la
Seguridad
DE

Ad-hoc y tctico

Irregular
Reactivo
Sin medicin
Absoluto

Administrado y
estratgico

Sistemtico
Adaptativo
Medible
Adecuado

Las actividades de seguridad y las medidas

del desempeo de la seguridad estarn
visiblemente alineadas con los impulsores
estratgicos y los factores crticos de xito

Componentes (organizacin) de la
Seguridad de Informacin
Poltica General de
Seguridad de Informacin
Programa Integral de
Seguridad de Informacin

Continuidad de
Negocio

Equipo de DRP

Estructura Organizacional

Infraestructura

Comit de Proteccin
de Informacin

Operacin y
Mantenimiento
de Seguridad
Seguimiento de
Amenazas y
Vulnerabilidades

Seguridad de Informacin

Procesos,
Polticas,
Estndares,
Procedimientos

Sub-Comit de SI de TI

Plan de
Respuesta a
Incidentes

Administracin de
Riesgos y Baselines

Concientizacin
y Capacitacin

Cumplimiento

Equipo de
Respuesta a
Incidentes

Evaluacin
de Riesgos

Programas
de Trabajo

Statement of
Aplicability

Seleccin de
Controles

Administracin de
Riesgos
Provee un marco de trabajo para que la
administracin trate efectivamente con la
incertidumbre y el riesgo y oportunidad
asociados y as mejore su capacidad para
construir valor
La seguridad es un asunto estratgico para la
supervivencia de una organizacin
El riesgo debe ser administrado en una base
diaria dentro de una organizacin
Un programa de seguridad a nivel empresarial
es una reflexin y ejecucin de una estrategia
de administracin de riesgos

Contexto Estratgico
Leyes y Regulaciones
Entorno Econmico

Ambiente Social
Ambiente Tecnolgico

Clientes

Competencia

Objetivos del
Negocio
Rendimiento Financiero,
Crecimiento Institucional,
Crecimiento competitivo, Calidad, Servicio al
Cliente, Eficiencia operacional, Productividad, Etc.

Estructura Organizacional
Procesos

Actividades

Lneas de negocio
Productos

Impacto Econmico - Reputacin organizacional

Imagen de productos o servicios
6

Administracin de
Riesgos
La evaluacin de riesgos es una parte muy
importante de la planeacin de la estrategia de
proteccin de informacin.
Provee una base para la implementacin de los
planes de proteccin de activos contra varias
amenazas.
Una vez hecha la evaluacin de riesgos, es
necesario realizar la planeacin proactiva y
reactiva de proteccin de informacin.

Administracin de Riesgos
Definicin
Es un proceso interactivo e iterativo
basado en el conocimiento, evaluacin y
manejo de los riesgos y sus impactos, con el
propsito de mejorar la toma de decisiones
organizacionales
Aplicable a cualquier situacin donde un
resultado no deseado o inesperado pueda ser
significativo o donde se identifiquen
oportunidades
8

Proceso de Administracin
de Riesgos

Modelo Sencillo de Control

de Riesgos
Realiza una

Agente
Afecta
directamente
a un

Que explota una

Amenaza

Y produce un

Vulnerabilidad
Que puede daar un
Y causar una

Que puede ser

manejada
con un

Riesgo

Activo

Exposicin

Control

10

Otro Modelo Dinmico de

Eventos

11

Riesgos de seguridad
Explotan

Amenazas
Proteccin
contra

Controles

Au
m

Vulnerabilidades

en
ta

Au

Requerimientos de
seguridad

l ec
b
sta

Exponen

Activos

Riesgo

Reduce

Implementan

a
nt
e
m

Tiene
Au
me
nt
a

Valor del activo

Impacto en la organizacin

12

Etapas del desarrollo de un Sistema

Administrativo de Seguridad de
Informacin

13

ISO/IEC 27002:2005 Clusulas de control

5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.

Poltica de seguridad
Organizacin de la seguridad de informacin
Administracin de activos
Seguridad de los recursos humanos
Seguridad fsica y ambiental
Administracin de las comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de sistemas de
informacin
Administracin de incidentes de seguridad de informacin
Administracin de la continuidad de negocios
Cumplimiento
14

Administracin de Riesgos
Beneficios para la Organizacin

Facilita el logro de los objetivos de la organizacin

Hace a la organizacin ms segura y consciente de
sus riesgos
Mejoramiento continuo del Sistema de Control Interno
Optimiza la asignacin de recursos
Aprovechamiento de oportunidades de negocio
Fortalece la cultura de autocontrol
Mayor estabilidad ante cambios del entorno

15

Administracin de Riesgos
Beneficios para el rea de Auditoria

Soporta el logro de los objetivos de la auditoria

Estandarizacin en el mtodo de trabajo
Integracin del concepto de control en las polticas
organizacionales
Mayor efectividad en la planeacin general de Auditoria.
Evaluaciones enfocadas en riesgos
Mayor cobertura de la administracin de riesgos
Auditorias ms efectivas y con mayor valor agregado

16

Planificacin del Anlisis y

Gestin de Riesgos
Especficamente en la administracin de TI.
y de procesos operativos apoyados con TI.
Tecnolgicos y de Informacin
Integridad, Confidencialidad y Disponibilidad
+ Efectividad, Eficiencia, Cumplimiento de
Normas
+ De negocio
Procesos de TI (Ejemplo COBIT) Subprocesos
Ej: Manejo y Administracin de Proyectos
Adquisicin y mantenimiento de sistemas de aplicacin
Administracin de la configuracin
Prestacin de servicio continuo

Proyecto de TI Etapas o actividades

Sistema de Informacin Mdulos, Interfase, E/P/S
17

Anlisis de Riesgos
Alguno
s
Riesgo
s

Ineficiencia en el uso de los recursos

Prdida de confidencialidad
Prdida de Integridad de informacin
Interrupcin en la continuidad del servicio
Acceso no autorizado
Prdida econmica

Heterogeneidad en la ejecucin de procesos

Ausencia de metodologas de procesos
Inadecuada clasificacin de la informacin
Error u omisin en el procesamiento
Cambios no autorizados
Hurto de activos (recursos informticos)
Incertidumbre para atender incidentes
Ausencia de planes de continuidad de Negocio
Suplantacin de usuarios

Alguna
s
Causas

18

Anlisis de Riesgos
Riesgos de TI

(un ejemplo con 2 procesos y 2 recursos)

Desarrollo y
Adquisicin
de Software

Operacin de
Instalaciones

Tcnicos y
Tecnolgicos

Relacionados con
la Informacin

Sub o sobre
dimensionamiento

Negacin del
servicio

Seleccin
inadecuada
de estrategias

Prdida de
Informacin

Diseo
Inadecuado

Cambios no
autorizados

Obsolescencia
Tecnolgica

Prdida de
Confidencialidad

Ineficiente uso
de los recursos

Prdida de
informacin

Prdida de
integridad o
Confiabilidad

Aceptacin de
sw no acorde con
las necesidades
Falta de oportunidad en entrada
en produccin

Acceso no
autorizado

Incumplimiento
de normas

19

Mapa de Riesgos
PROBABILIDAD DE OCURRENCIA

10
II

Riesgos de
atencin
peridica

Riesgos de
atencin
inmediata

IV

III

Riesgos
controlados

Riesgos de
seguimiento

5
IMPACTO DEL RIESGO

10
20

Anlisis de Riesgo
Haga uso de la informacin histrica que tenga
disponible.
Aplique un mtodo cuantitativo

Valorar Riesgo (Causa) = Probabilidad x Impacto

Cuando lo requiera elabore sus propias escalas de
medicin
Relacionados
con
Aplique mtodos
semi-cuantitativos
Relacionada con el Impacto
la Probabilidad

1
2
3
4
5

Rara vez ocurre

Poco probable
Algunas Veces
probable
muy probable

Prdida Financiera

Prdida de Imagen

Prdida de Disponibilidad

0 No hay prdida
1 de
1 a 10.000
2 de 10.000 a 50.000
3 de 50.000 a 100.000
4 de 100.000 a 500.000
5 ms de 500.000

0 No se afecta la imagen
1 ante los empleados
2 ante un cliente
3 ante una ciudad
4 ante el pas
5 ante el mundo

0 No se afecta
1 por algunos segundos
2 por algunos minutos
3 por algunas horas
4 por un da/semana
5 por una semana/mes

21

Seguridad en el Desarrollo y
Mantenimiento de Sistemas de
Informacin

22

Evaluacin y tratamiento
de riesgos

Evaluacin de riesgos de seguridad

Las evaluaciones de riesgos debern identificar,

cuantificar y priorizar los riesgos contra los criterios
para la aceptacin de riesgos y los objetivos
relevantes para la organizacin
Los resultados debern guiar y determinar la accin
administrativa apropiada y las prioridades para
administrar los riesgos e implementar los controles
seleccionados para proteger contra estos riesgos
Este es un proceso interactivo e iterativo para cubrir
las distintas reas o sistemas de la organizacin y el
progresivo logro de una seguridad ms completa
23

Evaluacin y tratamiento
de riesgos

Evaluacin de riesgos de seguridad

Se debe incluir la estimacin sistemtica de la

magnitud del riesgo (anlisis de riesgo) y la
comparacin de los riesgos estimados contra los
criterios de riesgo establecidos para determinar la
importancia de los riesgos (evaluacin de riesgos)
Se deben realizar metdica y peridicamente para
atender cambios en los requerimientos de seguridad y
en las situaciones de riesgo y producir resultados
comparables y reproducibles
Se debe hacer siempre con un alcance muy bien
definido; puede ser toda la organizacin o partes de
ella, un sistema de informacin, componentes de un
sistema, etc., donde sea practicable, realista y til
24

Priorizacin de Riesgos

Heterogeneidad en la ejecucin de procesos

Inadecuada clasificacin de la informacin
Desarrollo informal (sin metodologa) de sw
Ausencia de planes de continuidad de Negocio
Incertidumbre para atender incidentes
Cambios no autorizados
310
Error u omisin en el procesamiento
Hurto de activos (recursos informticos)
230
Suplantacin de usuarios

785
750
675
585
400
250
175
25

Evaluacin y tratamiento
de riesgos

Tratamiento de riesgos de seguridad

Antes la organizacin debe decidir los criterios para

determinar si los riesgos pueden o no ser aceptados
Para cada uno de los riesgos identificados en la
evaluacin se decidir un tratamiento. Opciones
posibles son:

Aplicar controles apropiados para reducir/mitigar los riesgos

Consciente y objetivamente aceptar los riesgos, probando
que claramente satisfacen la poltica de la organizacin y los
criterios de aceptacin de riesgos
Evitar los riesgos no permitiendo las acciones que los
provoquen
Transferir los riesgos a terceros, por ejemplo, proveedores o
aseguradores
26

Evaluacin y tratamiento
de riesgos

Tratamiento de riesgos de seguridad

En el caso de la reduccin/mitigacin de riesgos los

controles seleccionados debern asegurar un nivel
aceptable de riesgos en funcin de:

Los requerimientos y restricciones de la legislacin y

regulaciones nacional e internacional
Los objetivos organizacionales
Los requerimientos y restricciones de operacin
El costo de implementacin y operacin en relacin a los
riesgos implicados. Mantenerlo proporcional a los
requerimientos y restricciones de la organizacin
El balance entre la inversin requerida por los controles y los
daos probables consecuencia de las fallas de seguridad
27

Evaluacin y tratamiento
de riesgos

Tratamiento de riesgos de seguridad

Los controles pueden ser seleccionados de este u

otro estndar
No todos los controles son aplicables a todos los
sistemas u organizaciones
Los controles debern ser considerados en las etapas
de especificacin de requerimientos y diseo de
proyectos y sistemas
No hay seguridad completa, se deben implementar
medidas administrativas adicionales para monitorear,
evaluar y mejorar la eficiencia y efectividad de los
controles de seguridad para soportar los propsitos
de la organizacin
28

Identificacin de
Salvaguardas

29

Identificacin de
Salvaguardas

30

Visin de los
Controles de
Seguridad de
Informacin

31

Gestin de Riesgos
Elabore la lista de los mecanismos de control que
aplican a cada uno de los componentes de su objeto
analizado
Procedimientos formales de planeacin.
uso de estndares de programacin, identificacin, codificacin.
uso de mecanismos de autenticacin.
procedimientos documentados, divulgados y aplicados.
Esta ser ms
uso de metodologas de desarrollo de sw.
sencilla de
uso metodologas de definicin de requerimientos.
realizar si se
divide
procedimientos para el control de cambios.
adecuadamen
acuerdos explcitos de niveles de servicio.
te el objeto
mecanismos de encripcin
de anlisis en
redundancia en dispositivos y recursos crticos.
sus partes
clasificacin de la informacin
procedimientos de respaldo
sensores y alarmas de factores ambientales (humo, humedad, temperatura)
toma fsica de inventarios de recursos computacionales
verificadores de licencias
32

Gestin de Riesgos
Nivel de Exposicin = Riesgo Controles aplicados
Definir el nivel de exposicin le permitir conocer la
efectividad de los controles.
Sin embargo, tenga presente en relacin con la
efectividad de los controles los siguientes aspectos:

Internos
Manuales
Previos
Preventivos
Generales
Continuos
Peridicos

frente a los
frente a los
frente a los
frente a los
frente a los
frente a los
frente a los

Externos
Automticos
Posteriores
Correctivos y Detectivos
Especficos
Discretos (aplicacin)
Espordicos

33

MAGERIT

34

MAGERIT

35

Administracin de la Seguridad
de Informacin - etapas

El ANLISIS Y GESTIN DE RIESGOS, Fase nuclear de

medicin y clculo en el ciclo de gestin de la seguridad, es punto
de arranque del ciclo de Gestin de Seguridad y adems requiere
tcnicas de proceso especiales (propias del mbito de la
seguridad). Por estas causas, la Fase es objeto de un mtodo
especial, MAGERIT, mientras que las dems Fases del ciclo se
apoyan en tcnicas ms genricas y conocidas.
La Fase de Determinacin de OBJETIVOS, ESTRATEGIA y
POLTICA de Seguridad de los Sistemas de Informacin se nutre
de y nutre a su vez la Fase de Anlisis y Gestin de Riesgos. En el
ciclo inicial de la Gestin de Seguridad, un Anlisis y Gestin de
Riesgos de carcter global ayuda a determinar los objetivos,
estrategia y poltica, que influirn durante los ciclos sucesivos en el
Anlisis y Gestin de Riesgos ms detallado (que a su vez puede
modificarlos para ciclos sucesivos).

36

Administracin de la Seguridad
de Informacin - etapas

La Fase de Establecimiento de la PLANIFICACION de la

Seguridad de los Sistemas de Informacin deriva de la Fase de
Anlisis y Gestin de Riesgos como su consecuencia funcional
ms inmediata. Utiliza tcnicas generales de planificacin
(resultados, secuenciacin, hitos de decisin), pero adaptadas al
mbito de la seguridad.
La Fase de Determinacin de la ORGANIZACION de la
Seguridad de los Sistemas de Informacin deriva de la Fase de
Anlisis y Gestin de Riesgos como su consecuencia orgnica
ms inmediata. Utiliza tcnicas generales de organizacin
(compromiso gerencial, roles, responsabilidades, documentacin
normativa), aunque adaptadas al mbito de la seguridad.
La Fase de IMPLANTACION de SALVAGUARDAS y otras medidas de
Seguridad para los Sistemas de Informacin deriva de las Fases de
Planificacin y Organizacin, utilizando tcnicas generales de Gestin de
Proyectos y Gestin de Configuracin, aunque adaptadas al mbito de la
seguridad.
37

Administracin de la Seguridad
de Informacin - etapas

La Fase de CONCIENCIACIN de TODOS en la SEGURIDAD de

los Sistemas de Informacin deriva de las Fases de Planificacin y
Organizacin. Tiene en cuenta el papel fundamental del recurso
humano interno en todo proyecto de seguridad y utiliza tcnicas
generales de Gestin de Proyectos y Gestin de Formacin,
Comunicacin y Recursos Humanos, aunque adaptadas al mbito
de la seguridad.
La Fase de REACCIN a cada evento, de MANEJO y
REGISTRO de las incidencias y de RECUPERACIN de
Estados aceptables de Seguridad tiene un carcter bsicamente
operacional y utiliza por tanto tcnicas generales de Gestin
cotidiana y de Atencin a Emergencias adaptadas al mbito de la
seguridad.
La Fase de MONITORIZACIN, GESTIN de CONFIGURACIN
y de CAMBIOS en la Seguridad de los Sistemas de Informacin
tiene un carcter bsicamente de mantenimiento, con tcnicas
generales de monitorizacin, gestin de configuracin y gestin de
cambios adaptadas al mbito de la seguridad.
38

MAGERIT - Metodologa de
Anlisis y Gestin de Riesgos
de los Sistemas de
Informacin

39

Etapas del Anlisis y Gestin de Riesgos

Etapa 1. Planificacin del Anlisis y Gestin de
Riesgos
Establece las consideraciones necesarias para
arrancar el proyecto de anlisis y gestin de
riesgos;
permite investigar la oportunidad de realizarlo;
definir los objetivos que ha de cumplir y el
dominio (mbito) que abarcar;
planificar los medios materiales y humanos para
su realizacin; e
iniciar el lanzamiento del proyecto
40

Etapas del Anlisis y Gestin de Riesgos

ETAPA 1. PLANIFICACIN DEL ANLISIS Y GESTIN DE
RIESGOS
Actividad 1.1: Oportunidad de realizacin
- 1.1.1:(nica) Clarificar la oportunidad de realizacin
Actividad 1.2: Definicin de dominio y objetivos
- 1.2.1: Especificar los objetivos del proyecto
- 1.2.2: Definir el dominio y los lmites del proyecto
- 1.2.3: Identificar el entorno y restricciones generales
- 1.2.4: Estimar dimensin, coste y retornos del proyecto
Actividad 1.3: Planificacin del proyecto
- 1.3.1: Evaluar cargas y planificar entrevistas
- 1.3.2: Organizar a los participantes
- 1.3.3: Planificar el trabajo
Actividad 1.4: Lanzamiento del proyecto
- 1.4.1: Adaptar los cuestionarios
- 1.4.2: Seleccionar criterios de evaluacin y tcnicas para el proyecto
- 1.4.3: Asignar los recursos necesarios
- 1.4.4: Sensibilizar (campaa informativa)
41

Etapas del Anlisis y Gestin de Riesgos

Etapa 2. Anlisis de riesgos
Permite identificar y valorar los elementos que
intervienen en el riesgo;
obtener una evaluacin de ste en las distintas
reas del dominio; y
estimar los umbrales de riesgo deseables.

42

Etapas del Anlisis y Gestin de Riesgos

ETAPA 2. ANLISIS DE RIESGOS
Actividad 2.1: Acopio de informacin
- 2.1.1: Preparar la informacin
- 2.1.2: Realizacin de las entrevistas
- 2.1.3: Analizar la informacin recogida
Actividad 2.2: Identificacin y agrupacin de ACTIVOS
- 2.2.1: Identificar activos y grupos de activos
- 2.2.2: Identificar mecanismos de salvaguarda existentes
- 2.2.3: Valorar activos
Actividad 2.3: Identificacin y evaluacin de AMENAZAS
- 2.3.1: Identificar y agrupar amenazas
- 2.3.2: Establecer los rboles de fallos generados por amenazas
Actividad 2.4: Identificacin y estimacin de VULNERABILIDADES
- 2.4.1: Identificar vulnerabilidades
- 2.4.2: Estimar vulnerabilidades
43

Etapas del Anlisis y Gestin de Riesgos

ETAPA 2. ANLISIS DE RIESGOS (cont.)
Actividad 2.5: Identificacin y valoracin de IMPACTOS
- 2.5.1: Identificar impactos
- 2.5.2: Tipificar impactos
- 2.5.3: Valorar impactos
Actividad 2.6: Evaluacin del RIESGO
- 2.6.1: Evaluar el riesgo intrnseco
- 2.6.2: Analizar las funciones de salvaguarda existentes
- 2.6.3: Evaluar el riesgo efectivo

44

Etapas del Anlisis y Gestin de Riesgos

Etapa 3. Gestin de riesgos
Permite identificar las posibles funciones o servicios
de salvaguarda reductores del riesgo detectado;
seleccionar las salvaguardas aceptables en funcin de
las ya existentes y de las restricciones;
simular diversas combinaciones; y
especificar las finalmente elegidas.

45

Etapas del Anlisis y Gestin de Riesgos

ETAPA 3. GESTIN DE RIESGOS
Actividad 3.1: Interpretacin del Riesgo
- 3.1.1:(nica) Interpretar los riesgos
Actividad 3.2: Identificacin y estimacin de Funciones de
salvaguarda
- 3.2.1: Identificar funciones de salvaguarda
- 3.2.2: Estimar la efectividad de las funciones de salvaguarda
Actividad 3.3: Seleccin de Funciones de Salvaguarda
- 3.3.1: Aplicar los parmetros de seleccin
- 3.3.2: Evaluar el riesgo
Actividad 3.4: Cumplimiento de objetivos
- 3.4.1 (nica): Determinar el cumplimiento de los objetivos

46

Etapas del Anlisis y Gestin de Riesgos

Etapa 4. Seleccin de salvaguardas
Permite seleccionar los mecanismos de salvaguarda a
implantar;
elaborar una orientacin del plan de implantacin de los
mecanismos de salvaguarda elegidos;
establecer los mecanismos de seguimiento para la
implantacin;
recopilar los documentos de trabajo del proceso de
Anlisis y Gestin de Riesgos;
obtener los documentos finales del proyecto; y
realizar las presentaciones de los resultados a los
diversos niveles.

47

Etapas del Anlisis y Gestin de Riesgos

ETAPA 4. SELECCIN DE SALVAGUARDAS
Actividad 4.1: Identificacin de mecanismos de salvaguarda
- 4.1.1: Identificar mecanismos posibles
- 4.1.2: Estudiar mecanismos implantados
- 4.1.3: Incorporar restricciones
Actividad 4.2: Seleccin de mecanismos de salvaguarda
- 4.2.1: Identificar mecanismos a implantar
- 4.2.2: Evaluar el riesgo (mecanismos elegidos)
- 4.2.3: Seleccionar mecanismos a implantar
Actividad 4.3 Especificacin de los mecanismos a implantar
- 4.3.1 (nica): Especificar los mecanismos a implantar
Actividad 4.4: Planificacin de la implantacin
- 4.4.1 Priorizar mecanismos
- 4.4.2: Evaluar los recursos necesarios
- 4.4.3: Elaborar cronogramas tentativos
Actividad 4.5: Integracin de resultados
- 4.5.1 (nica): Integrar los resultados
48

Seleccin de
Salvaguardas

La identificacin de opciones de tratamiento del

riesgo puede conducirle a:

Implementacin de nuevos mecanismos de control.

Cambiar, modificar o eliminar controles existentes.
Combinar mecanismos de control.

Dependiendo del grado de complejidad de la opcin

elegida su implementacin puede llegar al punto de
convertirse en un proyecto.

Obligatoriedad del cambio de claves

Definicin de pistas de auditoria
Documentacin de Procesos
Plan de Continuidad Tecnolgico
Funcin de aseguramiento de la calidad
49

Seleccin de
Salvaguardas

En los planes de Implementacin es

conveniente considerar:

Respaldo de la gerencia
Responsables
Presupuestos
Compromiso con la fecha de finalizacin

50

Seleccin de
Salvaguardas
Reflexin sobre el proceso de Administracin de Riesgos

Seguimiento a los compromisos en el plan de

implementacin de opciones de tratamiento.
Revisin y ajuste de mtodos y tcnicas aplicadas.
Anlisis de los beneficios alcanzados (en el
negocio, en la administracin de TI, en la auditoria,
en los usuarios).
Es posible y conveniente continuar con otros
activos? (procesos, proyectos, reas).
Nivel de aprendizaje de la organizacin en relacin
con la administracin de sus riesgos.
51

DOCUMENTACIN

52

Documentacin de Etapas del Anlisis y Gestin

de Riesgos
En cada etapa del proceso se requiere incluir:
Objetivos
Audiencia
Recursos de informacin
Supuestos
Decisiones
La poltica de administracin de riesgo puede incluir.
Objetivos de la poltica y justificacin para la administracin de riesgos
Conexiones entre la poltica de administracin de riesgos y los planes
estratgicos y de negocios de la organizacin
Extensin y rango de los puntos a los que aplica la poltica
Gua sobre lo que puede ser considerado como riesgo aceptable
Quin es responsable de administrar los riesgos
Soporte experto disponible para asistir a aquellos responsables de
administrar los riesgos
Nivel de documentacin requerida
Plan de revisin del grado de cumplimiento de la poltica de
administracin de riesgo
53

Documentacin de Etapas del Anlisis y Gestin

de Riesgos
La documentacin tpica debera incluir:
Un registro de riesgos para cada riesgo identificado registrar:

Un plan de mitigacin de riesgo y accin que provea:

Fuente del riesgo

Naturaleza del riesgo
Controles existentes
Consecuencias y probabilidad
Medicin inicial de riesgo
Vulnerabilidad a factores externos/internos
Quien tiene la responsabilidad de implementar el plan
Los recursos que sern utilizados
La asignacin de presupuesto
Programa de implementacin
Detalles de las medidas de los mecanismos de control
Frecuencia de cumplimiento

Documentos de monitoreo y auditoria que incluyan:

Resultados de las auditorias/revisiones y otros procedimientos de monitoreo

Seguimiento de las revisiones de las recomendaciones y estatus de
implementacin
54

MEDICIN

55

ROSI (Return On Security Investment)

retorno sobre la inversin en seguridad
La cantidad total de dinero que una organizacin espera ahorrar en
un ao por implementar un control de seguridad
ROSI = (ALE antes del control) (ALE despus del control)
(costo anual del control)
ALE (Annual Lose Expectancy) Expectativa de prdida anual

La cantidad total de dinero que una organizacin perder en un ao si

no se hace nada para mitigar un riesgo

ALE = SLE X ARO

SLE (Single Loss Expectancy) Expectativa de una sola prdida

La cantidad total de ingresos que se pierden de una sola ocurrencia de

un riesgo

ARO (Annual Rate of Ocurrence) Tasa anual de ocurrencia

El nmero de veces que se espera que un riesgo ocurra durante un ao

56

ENFOQUE CUANTITATIVO VS
CUALITATIVO
57

Enfoques de la administracin de
riesgos

Beneficios

Cuantitativo

Cualitativo

Los riesgos son priorizados

por su valor financiero
Los resultados facilitan la
administracin en base al
ROSI
Los resultados pueden ser
expresados en trminos
especficos de negocios
La precisin tiende a
incrementarse con el tiempo
a medida que se gana
experiencia y se acumula
informacin histrica

Habilita la visibilidad y
entendimiento de la
categorizacin de riesgos
Es ms fcil de alcanzar el
consenso
No necesitan cuantificarse
la frecuencia de las
amenazas
No necesitan determinarse
los valores financieros de
los activos
Es ms fcil de involucrar a
gente no experta en
seguridad o computadoras

58

Enfoques de la administracin de
riesgos
Desventajas

Cuantitativo

Cualitativo

Los valores de impacto

asignados a los riesgos se
basan en opiniones
subjetivas
Los procesos para alcanzar
el consenso y resultados
crebles consumen mucho
tiempo
Los clculos pueden ser
complejos y consumidores
de tiempo
Los resultados slo se
presentan en trminos
monetarios
El proceso requiere
experiencia, los
participantes no pueden ser
educados con facilidad a
travs del proceso

No hay suficiente
diferenciacin entre los
riesgos importantes
Es difcil de justificar la
inversin en la
implementacin de los
controles debido a que no
hay bases para un anlisis
costo-beneficio
Los resultados son
dependientes de la calidad
del equipo de
administracin de riesgos
creado

59

Programa de Administracin
de Riesgos

60

CRITERIOS DE MADUREZ DE LA
ADMINISTRACIN DE RIESGOS
61

Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
0
No existe
La directiva (o el proceso) no est documentada y la organizacin,
anteriormente, no ha tomado conciencia del riesgo de negocios
asociado a esta administracin de riesgos. Por lo tanto, no ha habido
comunicados al respecto.
1
Ad hoc
Es evidente que algunos miembros de la organizacin han llegado a
la conclusin de que la administracin de riesgos tiene valor. No
obstante, los esfuerzos de administracin de riesgos se han llevado a
cabo de un modo ad hoc. No hay directivas o procesos
documentados y el proceso no se puede repetir por completo. En
general, los proyectos de administracin de riesgos parecen caticos
y sin coordinacin; los resultados no se han medido ni auditado.

62

Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
2
Repetible
Hay una toma de conciencia de la administracin de riesgos en la
organizacin. El proceso de administracin de riesgos es repetible
aunque inmaduro. El proceso no est totalmente documentado; no
obstante, las actividades se realizan peridicamente y la organizacin
est trabajando en establecer un proceso de administracin de
riesgos exhaustivo con la participacin de los directivos. No hay
cursos formales ni comunicados acerca de la administracin de
riesgos; la responsabilidad de la implementacin est en manos de
empleados individuales.

63

Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
3
Proceso definido
La organizacin ha tomado una decisin formal de adoptar la
administracin de riesgos incondicionalmente con el fin de llevar a
cabo su programa de seguridad de informacin. Se ha desarrollado
un proceso de lnea de base en el que se han definido los objetivos de
forma clara con procesos documentados para lograr y medir el xito.
Adems, todo el personal dispone de algunos cursos de
administracin de riesgos rudimentaria. Finalmente, la organizacin
est implementando de forma activa sus procesos de administracin
de riesgos documentados.

64

Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
4
Administrado
Hay un conocimiento extendido de la administracin de riesgos en
todos los niveles de la organizacin. Los procedimientos de
administracin de riesgos existen, el proceso est bien definido, la
comunicacin de la toma de conciencia es muy amplia, hay
disponibles cursos rigurosos y se han implementado algunas formas
iniciales de medicin para determinar la efectividad. Se han dedicado
recursos suficientes al programa de administracin de riesgos,
muchas partes de la organizacin disfrutan de sus ventajas y el
equipo de administracin de riesgos de seguridad puede mejorar
continuamente sus procesos y herramientas. Se utilizan herramientas
de tecnologa como ayuda para la administracin de riesgos, pero la
mayora de los procedimientos, si no todos, de evaluacin de riesgos,
identificacin de controles y anlisis de costo-beneficios son
manuales.
65

Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
5
Optimizado
La organizacin ha dedicado recursos importantes a la administracin
de riesgos de seguridad y los miembros del personal miran al futuro
intentando determinar los problemas y soluciones que habr en los
meses y aos venideros. El proceso de administracin de riesgos se
ha comprendido bien y se ha automatizado considerablemente
mediante el uso de herramientas (desarrolladas internamente o
adquiridas a proveedores de software independientes). La causa
principal de todos los problemas de seguridad se ha identificado y se
han adoptado medidas adecuadas para minimizar el riesgo de
repeticin. El personal dispone de cursos en distintos niveles de
experiencia.

66

EVALUACIN DEL NIVEL DE

MADUREZ DE LA ADMINISTRACIN
DE RIESGOS DE LA ORGANIZACIN
67

Evaluacin del Nivel de Madurez

de la Administracin de Riesgo
de la Organizacin
1. Las directivas y procedimientos de seguridad son claros, concisos,
completos y estn bien documentados.
2. Todos los cargos con responsabilidades que impliquen seguridad de
informacin estn articulados de forma clara y sus funciones y
responsabilidades se conocen bien.
3. Las directivas y procedimientos para proteger el acceso de terceros a
los datos de negocios estn bien documentados. Por ejemplo, los
proveedores remotos que llevan a cabo el desarrollo de aplicaciones
para una herramienta de negocios interna disponen de suficiente
acceso a los recursos de red para colaborar y realizar su trabajo de
una forma eficaz, pero slo tiene el acceso mnimo que necesitan.
4. Existe un inventario preciso y actualizado de los activos de tecnologa
de informacin (TI), como hardware, software y repositorios de datos.

68

Evaluacin del Nivel de Madurez

de la Administracin de Riesgo
de la Organizacin
5. Se han implementado controles adecuados para proteger los datos
de negocios frente al acceso no autorizado por parte de intrusos o
de personas de la organizacin.
6. Se han implementado programas de toma de conciencia de usuario
eficaces, como cursos y boletines relativos a directivas y prcticas
de seguridad de informacin.
7. El acceso fsico a la red de equipos y otros activos de tecnologa de
informacin est restringido mediante el uso de controles eficaces.
8. Se han incorporado nuevos sistemas informticos segn los
estndares de seguridad organizativa de un modo estandarizado
mediante herramientas automatizadas como imgenes de disco o
secuencias de comandos de creacin.

69

Evaluacin del Nivel de Madurez

de la Administracin de Riesgo
de la Organizacin
9. Un sistema de administracin de revisiones eficaz puede ofrecer
automticamente actualizaciones de software de gran parte de los
proveedores a la inmensa mayora de sistemas informticos de la
organizacin.
10.Se ha creado un equipo de respuesta a incidencias y se han
desarrollado y documentado procesos eficaces para afrontar las
incidencias de seguridad y realizar el seguimiento de las mismas.
Todas las incidencias se investigan hasta que se identifica la causa
principal y se resuelven los problemas.
11.La organizacin dispone de un exhaustivo programa antivirus que
incluye varios niveles de defensa, cursos de toma de conciencia
para los usuarios y procesos eficaces para responder a los ataques
de los virus.

70

Evaluacin del Nivel de Madurez

de la Administracin de Riesgo
de la Organizacin
12. Los procesos de creacin de usuarios estn bien documentados y, como
mnimo, parcialmente automatizados para que a los nuevos empleados,
proveedores y socios se les pueda proporcionar un nivel de acceso
adecuado a los sistemas de informacin de la organizacin de un modo
oportuno. Estos procesos tambin deben admitir la deshabilitacin y
eliminacin puntuales de las cuentas de usuario que ya no se necesiten.
13. El acceso a los equipos y la red se controla mediante autenticacin y
autorizacin de usuarios, listas de control de acceso restrictivo a los datos y
supervisin proactiva de las infracciones a las directivas.
14. Los desarrolladores de aplicaciones disponen de cursos y una toma de
conciencia clara de los estndares de seguridad para la creacin de
software y las pruebas de control de calidad del cdigo.
15. La continuidad de negocios y los programas de continuidad de negocios
estn definidos de forma clara, bien documentados y se han probado
peridicamente mediante simulaciones y pruebas.
71

Evaluacin del Nivel de Madurez

de la Administracin de Riesgo
de la Organizacin
16. Se han iniciado programas y estn en vigor para garantizar que todo el
personal desempea sus tareas conforme a los requisitos legales.
17. Se utilizan peridicamente revisiones y auditorias de terceros para
garantizar el cumplimiento con las prcticas estndar de seguridad para los
activos de negocios.
Se suman los puntos otorgados en cada uno de los criterios, la mxima
calificacin es 85, tomando en base los niveles de madurez

72

DEFINICIONES

73

Activo

Actividades coordinadas para dirigir y controlar una organizacin con

respecto al riesgo
Tpicamente incluye el anlisis, la evaluacin, el tratamiento, la
aceptacin y la comunicacin de riesgos

ALE (Annual Lose Expectancy) Expectativa de prdida anual

Cualquier cosa que tenga valor para la organizacin. Recursos del

sistema de informacin o relacionados con ste, necesarios para que la
organizacin funcione correctamente y alcance los objetivos propuestos
por su direccin

Administracin de riesgos

Definiciones

La cantidad total de dinero que una organizacin perder en un ao si

no se hace nada para mitigar un riesgo

Amenaza

Una causa potencial de un incidente indeseado, que puede resultar en

dao a un sistema u organizacin

74

Definiciones

Anlisis costo/beneficio

Anlisis de riesgos

El uso sistemtico de informacin para identificar fuentes y estimar el

riesgo

ARO (Annual Rate of Ocurrence) Tasa anual de ocurrencia

Un estimado y comparacin del valor y costo relativos asociados con

cada control propuesto de modo que el ms efectivo sea implementado

El nmero de veces que se espera que un riesgo ocurra durante un

ao

BIA (Business Impact Analysis) Anlisis del impacto al

negocio

Un ejercicio que determina el impacto de perder el soporte de cualquier

recurso en la organizacin, establece la escalacin de esa prdida en
el tiempo, identifica los recursos mnimos necesarios para la
recuperacin, y prioriza la recuperacin de los procesos y el sistema de
soporte

75

Definiciones

Clasificacin de datos

Concienciacin, informacin y formacin

La asignacin de un nivel de sensibilidad a los datos que resulta

de la especificacin de controles para cada nivelo de
clasificacin. Se asignan niveles de sensibilidad de datos de
acuerdo a categoras predefinidas a medida que los datos son
creados, agregados, mejorados, almacenados o transmitidos. El
nivel de clasificacin es una indicacin del valor o importancia de
los datos para la organizacin
Tipo de salvaguarda estructural (ligada a la estructura global de
la Organizacin). Su importancia est justificada por el papel
esencial que juega en la seguridad el factor humano (personal
propio y del relacionado establemente con la Organizacin)

Confidencialidad

La propiedad de que la informacin no sea hecha disponible o

revelada a individuos, entidades o procesos no autorizados

76

Definiciones

Contramedidas

Control

Medios de administrar el riesgo, incluye polticas, procedimientos,

guas, prcticas o estructuras organizacionales, que pueden ser
administrativas, tcnicas, gerenciales o legales.
Es tambin utilizado como sinnimo de salvaguarda o
contramedida

Correccin

El proceso utilizado para protegerse contra ataques

Tipo de salvaguarda que impide la propagacin del Impacto

debido a la amenaza materializada y limita as los efectos de sta

Defensa en profundidad

El enfoque de utilizar mltiples capas de seguridad para proteger

contra la falla de un componente individual de seguridad

77

Definiciones

Deteccin curativa o, monitorizacin

Deteccin preventiva

Tipo de salvaguarda preventiva que puede hasta llegar a ser disuasoria,

si su instalacin es conocida por el potencial agresor, consciente de que
podra ser descubierto

Disuasin

Tipo de salvaguarda previa a toda eficacia en la actuacin de las

salvaguardas curativas (muchas agresiones son detectadas tarde o
nunca)

Tipo de salvaguarda que empuja a que el potencial agresor humano

intencional reconsidere el inicio de la agresin, a partir de las
consecuencias que puedan sobrevenirle contra su propio inters

Estndares

Definicin de las mtricas utilizadas para determinar lo correcto de una

cosa o proceso; un conjunto de reglas o especificaciones que cuando
son tomadas juntas, definen un programa o equipo. Un estndar es
tambin una base reconocida para comparar o medir algo

78

Definiciones

Evaluacin de riesgos

Evento de Seguridad de Informacin

El uso de una vulnerabilidad para ocasionar un compromiso de las

actividades de negocio o de la seguridad de informacin

Exposicin

Es la ocurrencia identificada de un estado de un sistema, servicio o red

que indica una posible infraccin de una poltica de seguridad de
informacin o la falla de salvaguardas establecidas, o una situacin
previamente desconocida que puede ser relevante para la seguridad

Exploit

Es el proceso de comparar el riesgo estimado contra el criterio de riesgo

dado para determinar la importancia del riesgo

Una accin de amenaza por la cual se libera o expone informacin

sensible directamente a entidades no autorizadas

Gua

Una descripcin que clarifica qu debe ser hecho y cmo, para obtener
los objetivos fijados en las polticas

79

Definiciones

Impacto

Incidente de Seguridad de Informacin

La propiedad de que los datos no hayan sido alterados o destruidos de

manera no autorizada

Mitigacin

Est indicado por un nico evento o una serie de eventos no deseados o

inesperados de seguridad de informacin que tienen una significativa
probabilidad de comprometer las operaciones del negocio y amenazar la
seguridad de informacin

Integridad

Consecuencia que sobre un Activo tiene la materializacin de una

Amenaza

Reducir un riesgo tomando acciones diseadas (contramedidas y

controles) para contrarrestar la amenaza subyacente

Objetivo de control

Una definicin del resultado o propsito que se desea alcanzar

implementando procedimientos de control en una actividad de TI
particular
80

Definiciones

Poltica

Prevencin

Tipo de salvaguarda de proteccin que no impide el inicio de la

materializacin de la amenaza, sino su realizacin completa y por lo
tanto la consecucin plena del impacto

Procedimiento

Intencin y direccin general expresada formalmente por la Alta

Gerencia

Una descripcin detallada de los pasos necesarios para realizar

operaciones especficas en conformidad con los estndares aplicables,
una porcin de una poltica de seguridad que establece el proceso
general que ser realizado para cumplir un objetivo de seguridad

Programa de seguridad de informacin

La combinacin total de medidas tcnicas, operativas y de

procedimiento y las estructuras administrativas implementadas para
proveer la confidencialidad, integridad y disponibilidad de informacin en
base a los requerimientos de negocio y el anlisis de riesgos

81

Definiciones

Remediacin

Reputacin

La cantidad total de dinero que una organizacin espera ahorrar en un

ao por implementar un control de seguridad

Riesgo

La opinin que la gente tiene acerca de una organizacin; las

reputaciones de la mayora de las empresas tienen un valor real aunque
este es intangible y difcil de calcular

ROSI (Return On Security Investment) retorno sobre la

inversin en seguridad

Tipo de salvaguarda restauradora que repara los daos o reconstruye los

elementos daados para acercarse al estado de seguridad del Activo
agredido previo a la agresin

Combinacin de la probabilidad de un evento y sus consecuencias

(impactos)

Riesgo intrnseco

Riesgo definido o calculado antes de aplicar salvaguardas

82

Definiciones

Riesgo residual

Risk Assessment

Proceso completo de anlisis, evaluacin y priorizacin de

riesgos

Seguridad de Informacin

Riesgo que se da tras la aplicacin de salvaguardas dispuestas

en un escenario de simulacin o en el mundo real

Preservacin de la confidencialidad, integridad y disponibilidad

de la informacin; adems, se pueden involucrar otras
propiedades, tales como: Autentificacin, responsabilidad, no
repudiacin y fiabilidad

SLE (Single Loss Expectancy) Expectativa de una sola

prdida

La cantidad total de ingresos que se pierden de una sola

ocurrencia de un riesgo
83

Definiciones

Sistema de Informacin

Tratamiento de riesgos

Valor establecido como base para decidir por comparacin si el Riesgo

calculado es asumible o aceptable

Vulnerabilidad

Proceso de seleccin e implementacin de medidas para modificar los

riesgos

Umbral de riesgo

Conjunto de elementos fsicos, lgicos, elementos de comunicacin,

datos y personal que permiten el almacenamiento, transmisin y proceso
de la informacin

Una debilidad de un activo o grupo de activos que puede ser explotada

por una o ms amenazas. Posibilidad de materializacin de una amenaza

Vulnerabilidad efectiva

Vulnerabilidad del Activo respecto al tipo de Amenaza, teniendo en cuenta

las Salvaguardas aplicadas en cada momento a dicho Activo

84

Definiciones

Vulnerabilidad intrnseca

Vulnerabilidad del Activo respecto al tipo de Amenaza, sin

considerar las salvaguardas implantadas o existentes

Vulnerabilidad residual

Vulnerabilidad del Activo resultante de aplicar las salvaguardas

complementarias, aconsejadas como resultado del Anlisis y
Gestin de Riesgos

85

Tipos de Activos
1. Activos relacionados con el nivel del Entorno
Equipamientos y suministros (energa, climatizacin,
comunicaciones)
Personal (de direccin, de operacin, de desarrollo, otro)
Otros tangibles (edificaciones, mobiliario, instalacin fsica)
2. Activos relacionados con el nivel de los Sistemas de Informacin
Hardware (de proceso, de almacenamiento, de interfaz, servidores,
firmware, otros)
Software (de base, paquetes, produccin de aplicaciones,
modificacin de firmware)
Comunicaciones (redes propias, servicios, componentes de
conexin, etc.)
3. Activos relacionados con el nivel de la Informacin
Datos (informatizados, concurrentes al o resultantes del Sistema de
Informacin)
Meta-informacin (estructuracin, formatos, cdigos, claves de
cifrado)
Soportes (tratables informticamente, no tratables)
86

Tipos de Activos
4. Activos relacionados con el nivel de las Funcionalidades de la
organizacin
Objetivos y misin de la organizacin
Bienes y servicios producidos
Personal usuario y/o destinatario de los bienes o servicios
producidos
5. Otros Activos no relacionados con los niveles anteriores
Credibilidad (tica, jurdica, etc.) o buena imagen de una persona
jurdica o fsica,
Conocimiento acumulado,
Independencia de criterio o de actuacin,
Intimidad de una persona fsica,
Integridad material de las personas, etc.
87

Valuacin de Activos

El valor total del activo para la organizacin

El impacto financiero inmediato de la prdida del activo

El clculo o estimacin del valor del activo en trminos

financieros elevado al ao
Los ingresos generados por el activo multiplicados por la
exposicin calculada en por ciento por ao

El impacto indirecto al negocio por la prdida del activo

Gasto en publicidad para contrarrestar la publicidad negativa

provocada por un incidente

88

Tipos de Amenazas
Grupo A de Accidentes
A1: Accidente fsico de origen industrial: incendio, explosin,
inundacin por roturas, contaminacin por industrias cercanas o
emisiones radioelctricas
A2: Avera: de origen fsico o lgico, debida a un defecto de origen
o sobrevenida durante el funcionamiento del sistema
A3: Accidente fsico de origen natural: riada, fenmeno ssmico o
volcnico, meteoro, rayo, corrimiento de tierras, avalancha,
derrumbe, ...
A4: Interrupcin de servicios o de suministros esenciales:
energa, agua, telecomunicacin, fluidos y suministros diversos
A5: Accidentes mecnicos o electromagnticos: choque, cada,
cuerpo extrao, radiacin, electrosttica...
89

Tipos de Amenazas
Grupo E de Errores
E1: Errores de utilizacin ocurridos durante la recogida y
transmisin de datos o en su explotacin por el sistema
E2: Errores de diseo existentes desde los procesos de desarrollo
del software (incluidos los de dimensionamiento, por la posible
saturacin de los flujos en los sistemas).
E3: Errores de ruta, secuencia o entrega de la informacin en
trnsito
E4: Inadecuacin de monitorizacin, trazabilidad, registro del
trfico de informacin

90

Tipos de Amenazas
Grupo P de Amenazas Intencionales Presenciales
P1: Acceso fsico no autorizado con inutilizacin por
destruccin o sustraccin (de equipos, accesorios o
infraestructura)
P2: Acceso lgico no autorizado con intercepcin pasiva
simple de la informacin (requiere slo su lectura)
P3: Acceso lgico no autorizado con alteracin o sustraccin
de la informacin en trnsito o de configuracin (requiere
lectura y escritura); es decir, reduccin de la confidencialidad del
sistema para obtener bienes o servicios aprovechables (programas,
datos ...)
P4: Acceso lgico no autorizado con corrupcin o destruccin
de informacin en trnsito o de configuracin
P5: Indisponibilidad de recursos, sean humanos (huelga,
abandono, rotacin) o tcnicos (desvo del uso del sistema,
bloqueo).

91

Tipos de Amenazas
Grupo T de Amenazas Intencionales de Origen Remoto
T1: Acceso lgico no autorizado con intercepcin pasiva (para
anlisis de trfico...)
T2: Acceso lgico no autorizado con corrupcin o destruccin
de informacin en trnsito o de configuracin (requiere lectura
y escritura) y usando o no un reemisor o man in the middle: es
decir, reduccin de la integridad y/o disponibilidad del sistema sin
provecho directo (sabotaje inmaterial, infeccin vrica..)
T3: Acceso lgico no autorizado con modificacin (Insercin,
Repeticin) de informacin en trnsito
T4: Suplantacin de Origen (del emisor o reemisor, man in the
middle) o de Identidad
T5: Repudio del Origen o de la Recepcin de informacin en
trnsito

92

SOFISTICACIN DE LOS ATAQUES VS

CONOCIMIENTO DEL INTRUSO

93

Tiempos de Respuesta

94

Tipos de Vulnerabilidad
Vulnerabilidades organizativas
Exactitud y coherencia de la informacin manejada
Acceso al sistema por personas externas
Trascendencia de informacin del sistema al exterior
Disponibilidad de acceso al sistema (cadas, lentitud,...) Obtencin
de productos del sistema acceso de personas externas al recinto de
terminales
Vulnerabilidades tcnicas
Averas en terminales/impresoras: frecuencia/solucin
Cortes de fluido elctrico
Ubicacin de terminales e impresoras
Aprobacin del diseo y pruebas por el usuario
Control del soporte papel. Almacenamiento de ste

95

Tipos de Vulnerabilidad
Vulnerabilidades humanas
Posibilidad fsica de robo/inutilizacin de recursos
Errores en la introduccin de datos
Inasistencias de personal significativas
Dependencia de ciertas personas/rotacin del personal
Obtencin de informacin por personas ajenas
Conocimiento de las aplicaciones
Uso indebido de claves de usuario. Borre de antiguas
Cambio peridico de claves
Uso de medios de seguridad en terminales (llaves,...)
Intervencin de informticos en cambiar datos reales

96

Tipos de Impacto
Impactos con consecuencias cualitativas funcionales
El deterioro del estado de Autenticacin (SA) no suele ser evolutivo
(multiplicacin en cadena) pero produce directamente anulacin de
documentos y procedimientos e indirectamente inseguridad jurdica (muy
importante en la Administracin pblica)
El deterioro del estado de Confidencialidad (SC) no suele ser evolutivo y
tiene consecuencias de distintos rdenes, unas directas (divulgacin de
informacin no revelable o revelada anticipadamente, sustraccin puntual
o masiva) y otras indirectas (desconfianza, incomodidades, chantaje ...).
El deterioro del estado de Integridad (SI) puede ser evolutivo y tiene
consecuencias directas como la alteracin de informacin sensible o vital
en mayor o menor escala, e indirectas como la posible contaminacin de
programas (prdida, tratamiento errneo, etc).
El deterioro del estado de Disponibilidad (SD) puede ser evolutivo y
causar de inmediato desde la degradacin de la productividad del activo
como recurso o la interrupcin de su funcionamiento de forma ms o
menos duradera y profunda (de unos datos, de una aplicacin, de un
servicio o de todo un sistema). Indirectamente esto se traduce en cada
de margen por falta de resultados; as como en gastos suplementarios
para recuperar o mantener la funcionalidad precedente a la amenaza.
97

Tipos de Impacto
Una parte de los deterioros anteriores tienen Impactos con
consecuencias cuantitativas de diversos tipos
N1: Prdidas de valor econmico, ligadas a activos inmobiliarios o
inventariables, que comprenden todos los costes de reposicin de la
funcionalidad, incluyendo los gastos de tasar, sustituir, reparar o limpiar
lo daado: edificios y obras, instalaciones, computadores, redes,
accesorios, etc..
N2: Prdidas indirectas, valorables econmicamente y ligadas a
intangibles en general no inventariados: gastos de tasacin y
restauracin o reposicin de elementos no materiales del sistema:
datos, programas, documentacin, procedimientos, etc.
N3: Prdidas indirectas, valorables econmicamente y unidas a
disfuncionalidades tangibles: se aprecian por el coste del retraso o
interrupcin de funciones operacionales de la organizacin; la
perturbacin o ruptura de los flujos y ciclos productivos (de productos,
servicios o expedientes, por ejemplo), incluido el deterioro de la calidad
de stos; y la incapacidad de cumplimentar las obligaciones
contractuales o estatutarias.
N4: Prdidas econmicas relativas a responsabilidad legal (civil,
penal o administrativa) del propietario del sistema de informacin por
los perjuicios causados a terceros ((incluidas, por ejemplo, sanciones
98
de la Agencia de Proteccin de Datos).

Tipos de Impacto
Otros deterioros de los estados de seguridad tienen Impactos con
consecuencias cualitativas orgnicas de varios tipos
L1: Prdida de fondos patrimoniales intangibles: conocimientos
(documentos, datos o programas) no recuperables, informacin
confidencial, 'know-how' ...
L2: Responsabilidad penal por Incumplimiento de obligaciones
legales
L3: Perturbacin o situacin embarazosa polticoadministrativa (deontologa, credibilidad, prestigio, competencia
poltica ...)
L4: Dao a las personas

99

FIN
Muchas gracias!

100