EVALUACIÓN DE RIESGOS Y PLANEACIÓN

QUE VAMOS A TRABAJAR

 Momento 1:
 Actividad Lúdica, trabajo en equipo, entendimiento y resolución
de problemas
 Momento 2:
 Antecedentes de la evaluación y riesgos informáticos
 Conceptos Básicos
 Momento3:
 Construcción de un Mapa Mental partiendo de los conceptos
básicos
 Momento 4:
 Tipos de Riesgo.
 Momento 5:
 Ensayo sobre tipos de riesgo
 Momento 6:
 Socialización y reflexión
OBJETIVO
 Comprender y analizar los conceptos básicos
que permiten entender la evaluación del
riesgo informático y como estos son
implementados en un mundo real.
ANTECEDENTES

 Desde el surgimiento de la raza humana en el

planeta, la información ha estado presente bajo
diversas formas y técnicas. El hombre buscaba la
manera de representar sus hábitos y costumbres
en diversos medios para que pudieran ser
utilizados por él y por otras personas. La
información valiosa era registrada en objetos
preciosos y sofisticados, pinturas magníficas,
entre otros, que se almacenaban en lugares de
difícil acceso y sólo las personas autorizadas
accedían a ella.
ANTECEDENTES

 En la actualidad la información es el objeto de

mayor valor para las empresas. El progreso de la
informática y de las redes de comunicación nos
presenta un nuevo escenario, donde los objetos del
mundo real están representados por bits y bytes, que
ocupan lugar en otra dimensión y poseen formas
diferentes de las originales, no dejando de tener el
mismo valor que sus objetos reales, e incluso en
muchos casos, llegando a tener un valor superior. Por
ello la seguridad informática es muy importante ya
que afecta directamente a gobiernos, institutos,
empresas e individuos
ANÁLISIS DE RIESGOS
El análisis de riesgos informáticos es un proceso que
comprende la identificación de activos informáticos,
sus vulnerabilidades y amenazas a los que se
encuentran expuestos así como su probabilidad de
ocurrencia y el impacto de las mismas, a fin de
determinar los controles adecuados para aceptar,
disminuir, transferir o evitar la ocurrencia del riesgo.
RIESGO
Según Fernando Izquierdo Duarte : “El riesgo es un incidente
o situación ocurre en un sitio concreto durante un intervalo
de tiempo determinado, con consecuencias positivas o
negativas que podrían afectar el cumplimiento de los
objetivo ”
RIESGO
 Según Alberto Caicedo González: “ El riesgo es
una condición del mundo real en la cual hay una
exposición a la adversidad, conformada por una
combinación de circunstancias del entorno
donde hay posibilidades de perdida”
VULNERABILIDAD
El primer paso para analizar a fondo el término
vulnerabilidad es proceder a determinar su origen
etimológico. En este caso, tenemos que resaltar que
dicha palabra emana del latín pues está
conformada por tres partes latinas claramente
diferenciadas: el sustantivo vulnus, que puede
traducirse como “herida”; la partícula –abilis, que es
equivalente a “que puede”; y finalmente el sufijo –
dad, que es indicativo de “cualidad”. De ahí que
vulnerabilidad pueda determinarse como “la
cualidad que tiene alguien para poder ser herido
VULNERABILIDAD

Debilidad de un activo que puede ser

explotada por una amenaza para
materializar una agresión sobre dicho
activo.
VULNERABILIDAD

 En el ámbito de la informática y la tecnología en

general es frecuente que también se haga uso del
término vulnerabilidad. En este caso, se emplea para
referirse a todos los puntos débiles o frágiles que se
considera que tiene un programa determinado y que
pueden hacer que aquel sea atacado por virus de
diversa tipología”.
AMENAZA
 Una amenaza es un gesto, una
expresión o una acción que anticipa
la intención de dañar a un sistema
informático en caso de que la persona
o la organización para este caso en
particular amenazada no cumpla con
ciertas exigencias o representen un
riesgo a la integridad de la información.
El concepto también puede emplearse
con referencia al inminente desarrollo
de algo negativo.
AMENAZA (THREAT).

 Evento que puede desencadenar un

incidente en la organización,
produciendo daños o pérdidas
materiales o inmateriales en sus activos.
 PROBABILIDAD
 El primer paso para descubrir y analizar el
significado del término probabilidad es
establecer su origen etimológico. En este caso
hay que subrayar que el mismo se encuentra
en el latín, y más exactamente en la
palabra probabilitas, que está formada por la
unión del verbo probare que puede traducirse
como “comprobar”, el sufijo –bilis que
equivale a “posibilidad” y el también sufijo –
tat– que lo
 PROBABILIDAD

 La probabilidad, por lo tanto, puede

definirse como la razón entre la cantidad
de casos prósperos y la cantidad de
cuestiones posibles. La matemática,
la física y la estadística son algunas de las
áreas que permiten arribar a conclusiones
respecto a la probabilidad de eventos
potenciales. que viene a indicar es una
“cualidad”.
 INCERTIDUMBRE
 Incertidumbre es una expresión que manifiesta el
grado de desconocimiento acerca de una
condición futura, pudiendo implicar una
previsibilidad imperfecta de los hechos, es decir, un
evento en el que no se conoce la probabilidad de
que ocurra determina situación
INCERTIDUMBRE

 La incertidumbre puede ser derivada de la

ausencia de información, o bien por
desacuerdo acerca de la información con que
se cuenta, implicando la incertidumbre cierto
grado de desconocimiento. Por ejemplo no se
puede conocer de antemano el retorno que
tendrá una inversión. Etimológicamente está
conformada por el prefijo in (negación) y
certus (cierto), por lo que se define como la
carencia de un conocimiento certero, la duda
o falta de certeza sobre algo que nos inquieta.
ACTIVO (ASSET).

 Recurso del sistema de información necesario

para el funcionamiento apropiado de la
organización y la consecución de los objetivos
previstos. Los activos de información pueden estar
sujetos a amenazas tanto internas como externas.
Estos riesgos pueden afectar a uno o más de los
tres atributos fundamentales de un activo:
disponibilidad (availability), confidencialidad e
integridad.

CONFIDENCIALIDAD (RELIABILITY).

 Hace referencia a la habilidad para proteger,

haciéndolos no visibles o no disponibles, los
datos de aquellos que no están autorizados a
acceder a ellos.
DISPONIBILIDAD (AVAILABILITY).

 Es la capacidad de poder acceder a los activos

informativos en el momento en que se necesiten y
de poder usarlos correctamente (aquellos
debidamente autorizados).
GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN (INFORMATION SECURITY
MANAGEMENT)

 Es la parte de la gestión de IT (IT

gobernance) encargada de la
protección y la seguridad de los activos
informativos de una organización
(information assets).
IMPACTO.

 Consecuencia para un activo de la

materialización de una amenaza.
INTEGRIDAD

 Es la habilidad de prevenir la modificación de los

activos por aquellos que no están autorizados o
que estándolo los modifican de forma incorrecta.
Esta habilidad implica la posibilidad de revertir o
deshacer los cambios realizados.
SALVAGUARDA (COUNTERMEASURE).

 Acción, procedimiento o dispositivo

físico o lógico que reduce el riesgo.
ISMS. INFORMATION SECURITY
MANAGEMENT SYSTEM.

 Es la parte de la gestión de un sistema,

basada en un análisis de riesgos,
encargada de establecer, implementar,
operar, monitorizar, revisar, mantener y
mejorar la seguridad de la información.
Un ISMS sirve para asegurar la
confidencialidad, disponibilidad e
integridad de la información de la
organización
SEGURIDAD DE LA INFORMACIÓN
(INFORMATION SECURITY)

 según el estándar ISO 27001 es la preservación

de la confidencialidad, integridad y
disponibilidad (availability) de la información.
Otras propiedades implicadas son la
autenticidad, responsabilidad (accountability),
no-repudiación y confiabilidad (reliability).
SEGURIDAD

 En su sentido más general quiere decir

proteger nuestros activos, lo que implica
preservarlos de atacantes, de desastres
naturales, de condiciones ambientales
adversas, de interrupción del suministro
eléctrico, del robo o el vandalismo, etc. La
seguridad es al mismo tiempo el conjunto
de medidas tomadas contra posibles
ataques, espionaje, sabotaje, etc.
IRREFUTABILIDAD:

 (No-Rechazo o No Repudio) Que no se pueda

negar la autoría. Dependiendo de las fuentes de
amenaza, la seguridad dividirse en seguridad
lógica y seguridad física.
TIPOS DE RIESGO
RIESGOS DE INTEGRIDAD:

 Este tipo abarca todos los riesgos asociados

con la autorización, completitud y exactitud
de la entrada, procesamiento y reportes de
las aplicaciones utilizadas en una
organización. Estos riesgos aplican en cada
aspecto de un sistema de soporte de
procesamiento de negocio y están presentes
en múltiples lugares, y en múltiples
momentos en todas las partes de las
aplicaciones; no obstante estos riesgos se
manifiestan en los siguientes componentes
de un sistema:
INTERFACE DEL USUARIO:
 Los riesgos en esta área generalmente se
relacionan con las restricciones, sobre las
individualidades de una organización y su
autorización de ejecutar funciones
negocio/sistema; teniendo en cuenta sus
necesidades de trabajo y una razonable
segregación de obligaciones. Otros riesgos en
esta área se relacionan a controles que
aseguren la validez y completitud de la
información introducida dentro de un sistema
PROCESAMIENTO:
 Los riesgos en esta área generalmente se
relacionan con el adecuado balance de los
controles detectivos y preventivos que aseguran
que el procesamiento de la información ha sido
completado. Esta área de riesgos también
abarca los riesgos asociados con la exactitud e
integridad de los reportes usados para resumir
resultados y tomar decisiones de negocio.
RIESGOS DE RELACION:
 Los riesgos de relación se refieren al uso
oportuno de la información creada por una
aplicación. Estos riesgos se relacionan
directamente a la información de toma de
decisiones (Información y datos correctos de
una persona/proceso/sistema correcto en el
tiempo preciso permiten tomar decisiones
correctas
RIESGOS DE ACCESO:

 Estos riesgos se enfocan al inapropiado

acceso a sistemas, datos e información. Estos
riesgos abarcan: Los riesgos de segregación
inapropiada de trabajo, los riesgos asociados
con la integridad de la información de
sistemas de bases de datos y los riesgos
asociados a la confidencialidad de la
información. Los riesgos de acceso pueden
ocurrir en los siguientes niveles de la
estructura de la seguridad de la información.
RIESGOS DE UTILIDAD:

 Estos riesgos se enfocan en tres diferentes niveles de

riesgo:
 Los riesgos pueden ser enfrentados por el
direccionamiento de sistemas antes de que los
problemas ocurran.
 Técnicas de recuperación/restauración usadas para
minimizar la ruptura de los sistemas.
 Backups y planes de contingencia controlan desastres
en el procesamiento de la información.
RIESGOS EN LA INFRAESTRUCTURA:

 Estos riesgos se refieren a que en las

organizaciones no existe una estructura
información tecnológica efectiva (hardware,
software, redes, personas y procesos) para
soportar adecuadamente las necesidades futuras
y presentes de los negocios con un costo
eficiente. Estos riesgos están asociados con los
procesos de la información tecnológica que
definen, desarrollan, mantienen y operan un
entorno de procesamiento de información y las
aplicaciones asociadas (servicio al cliente, pago
de cuentas, etc.).
RIESGOS DE SEGURIDAD GENERAL:

 Los estándares IEC 950 proporcionan los requisitos de

diseño para lograr una seguridad general y que
disminuyen el riesgo:
 Riesgos de choque de eléctrico: Niveles altos de voltaje.
 Riesgos de incendio: Inflamabilidad de materiales.
 Riesgos de niveles inadecuados de energía eléctrica.
 Riesgos de radiaciones: Ondas de ruido, de láser y
ultrasónicas.
 Riesgos mecánicos: Inestabilidad de las piezas
eléctricas.
PREGUNTAS PARA ANÁLISIS DEL TIPO
DE RIESGO
La evaluación de riesgos y presentación de respuestas debe prepararse
de forma personalizada para cada organización; pero se puede
presupone algunas preguntas que ayudan en la identificación:

 "¿Qué puede ir mal?"

 "¿Con qué frecuencia puede ocurrir?"
 "¿Cuáles serían sus consecuencias?"
 "¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
 "¿Se está preparado para abrir las puertas del negocio sin sistemas, por
un día, una semana, cuanto tiempo?"
 "¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
PREGUNTAS PARA ANÁLISIS DEL TIPO
DE RIESGO
 "¿dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el
procesamiento de datos?"
 "¿Cuantas personas poseen o tienen acceso a información confidencial y/o sensitiva?"
 "¿La información confidencial y sensitiva permanece así en los sistemas?"
 "¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a
los avances tecnológicos esperados?"
 "¿A quien se le permite usar que recurso?"
 "¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese
recurso?"
 "¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
 "¿Cómo se actuará si la seguridad es violada?“
 "¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"
 "¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
CLASIFICACIÓN DEL TIPO DE RIESGO

 Una vez obtenida la lista de cada uno de los riesgos se efectuará un

resumen del tipo:
Tipo de Riesgo Factor

Robo de hardware Alto

Robo de información Alto

Vandalismo Medio

Fallas en los equipos Medio

Virus Informáticos Medio

Equivocaciones Medio

Accesos no autorizados Medio

Fraude Bajo
Fuego Muy Bajo

Terremotos Muy Bajo

CLASIFICACIÓN DEL TIPO DE RIESGO
Como puede apreciarse en la tabla, los riesgos se clasifican por su nivel de
importancia y por la severidad de su pérdida:

•Estimación del riesgo de pérdida del recurso (R i )

•Estimación de la importancia del recurso (I i )
Para la cuantificación del riesgo de perder un recurso, es posible asignar un
valor numérico de 0 a 10, tanto a la importancia del recurso (10 es el
recurso de mayor importancia) como al riesgo de perderlo (10 es el riesgo
más alto).

El riesgo de un recurso será el producto de su importancia por el riesgo de

perderlo:
CLASIFICACIÓN DEL TIPO DE RIESGO
 Luego, con la siguiente fórmula es posible calcular el riesgo general
de los recursos de la red:

 Otros factores que debe considerar para el análisis de riesgo de un

recurso de red son su disponibilidad, su integridad y su carácter
confidencial, los cuales pueden incorporarse a la fórmula para ser
evaluados.
CLASIFICACIÓN DEL TIPO DE RIESGO
Una vez conocidos los riesgos, los recursos que se deben proteger y
como su daño o falta pueden influir en la organización es necesario
identificar cada una de las amenazas y vulnerabilidades que pueden
causar estas bajas en los recursos. Como es de saber, existe una
relación directa entre amenaza y vulnerabilidad a tal punto que si una
no existe la otra tampoco.
Se suele dividir las amenazas existentes según su ámbito de acción:
 Desastre del entorno (Seguridad Física).
 Amenazas del sistema (Seguridad Lógica).
 Amenazas en la red (Comunicaciones).
 Amenazas de personas (Insiders-Outsiders).
CLASIFICACIÓN DEL TIPO DE RIESGO

 Se debería disponer de una lista de amenazas

(actualizadas) para ayudar a los administradores de
seguridad a identificar los distintos métodos,
herramientas y técnicas de ataque que se pueden
utilizar. Es importante que los Administradores actualicen
constantemente sus conocimientos en esta área, ya que
los nuevos métodos, herramientas y técnicas para
sortear las medidas de seguridad evolucionan de forma
continua.
TRABAJO PARA LA SIGUIENTE CLASE

 Magerit V3
 ISO 27000
 ISO 31000
 Mehari
 Octave
 Cuadro comparativo
 Haker Epico
 OWASP Top 10 - 2017