análisis de riesgos -...
TRANSCRIPT
Análisis de Riesgos Estándares para la administración de riesgos
En este documento se describen los diferentes estándares para
la administración del riesgo, enfocándose en los
procedimientos para la realización del análisis de riesgos
Johana Sosa
27/01/2012
Contenido
Análisis de Riesgos Cuantitativo.............................................................................................................. 3
Análisis de Riesgos Cualitativo ............................................................................................................... 6
1. NIST............................................................................................................................................ 7
Guía de gestión de riesgo para los sistemas de Tecnologías de la Información. [2] ............................ 7
Evaluación de riesgos ...................................................................................................................... 7
2. SEI ............................................................................................................................................ 18
Introducción a OCTAVE Allegro: Mejora del proceso de evaluación de los riesgos de la seguridad
de la información. [4]..................................................................................................................... 19
3. DAFP ........................................................................................................................................ 21
Guía de Administración del Riesgo [6] ........................................................................................... 21
4. CSAE ........................................................................................................................................ 31
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información. [8] ............................................................................................................................. 31
5. ISO/IEC 27005 .......................................................................................................................... 43
Tecnologías de la información – Técnicas de seguridad – Gestión de riesgo de seguridad de la
información. [10] ........................................................................................................................... 43
Metodologías seleccionadas ................................................................................................................... 49
Referencias ........................................................................................................................................ 50
Ilustraciones
ILUSTRACIÓN 1. PASOS ANÁLISIS DE RIESGO CUANTITATIVO. [13]............................................................................ 4
ILUSTRACIÓN 2. DIAGRAMA DE FLUJO METODOLOGÍA DE EVALUACIÓN DE RIESGOS. [2] ............................................ 8
ILUSTRACIÓN 3. PASOS METODOLOGÍA. ................................................................................................................. 32
ILUSTRACIÓN 4. COSTE DE LA INTERRUPCIÓN DE LA DISPONIBILIDAD. [8] ................................................................ 37
ILUSTRACIÓN 5. PASOS ANÁLISIS DE RIESGO.......................................................................................................... 44
Tablas
TABLA 1. RESULTADOS ANÁLISIS DE RIESGOS CUANTITATIVO ................................................................................. 6
TABLA 2. DEFINICIÓN DE LA PROBABILIDAD. [2] .................................................................................................... 13
TABLA 3. DEFINICIÓN DE LA MAGNITUD DEL IMPACTO. [2] ..................................................................................... 15
TABLA 4. MATRIZ NIVEL DEL RIESGO. [2] ............................................................................................................... 17
TABLA 5. ESCALA DEL RIESGO Y ACCIONES NECESARIAS. [2] .................................................................................. 17
TABLA 6. FORMATO DE IDENTIFICACIÓN DE RIESGOS. [6] ........................................................................................ 23
TABLA 7. MATRIZ DE CLASIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS. [6] ............................................. 25
TABLA 8. VALORACIÓN DEL RIESGO. [6] ................................................................................................................ 28
TABLA 9. FORMATO: MAPA DE RIESGOS. [6] .......................................................................................................... 30
TABLA 10. VALORES TÍPICOS DE OCURRENCIA. [8] ................................................................................................. 39
Análisis de Riesgos Cuantitativo
El objetivo de este análisis es asignar números reales y significativos a todos los elementos de este
proceso como costos de los controles, el valor de los activos, impacto del negocio, la amenaza de la
frecuencia de ocurrencia, la efectividad de los controles, probabilidad de que una amenaza ocurra entre
otras cosas. [30]
Aunque el análisis de riesgo cuantitativo no es posible hacerlo de forma perfecta ya que no es fácil
cuantificar elementos cualitativos, es importante realizarlo para tener otra perspectiva de los riesgos que
afectan a la información que se maneja en la organización.
A continuación se encuentran los pasos principales para llevar a cabo este análisis.
Ilustración 1. Pasos Análisis de Riesgo Cuantitativo. [13]
1. ASIGNAR UN VALOR AL ACTIVO.
Para este paso debe responder a las siguientes preguntas por cada activo:
¿Cuál es el valor del activo para la organización?
¿Cuánto cuesta mantener ese activo?
¿Cuántos beneficios trae ese activo para la organización?
¿Cuánto le valdría ese activo a la competencia?
¿Cuánto costaría el volver a crear o recuperar ese activo?
¿Cuánto costó adquirir o desarrollar ese activo?
¿Cuánta responsabilidad enfrenta si el activo es comprometido?
1. Asignar un valor al activo
2. Estimar la pérdida potencial por amenaza
3. Realizar un análisis de las amenazas
4. Deducir el potencial total de pérdidas anuales por amenaza
5. Reducir, transferir, evitar, o aceptar el riesgo
2. ESTIMAR LA PÉRDIDA POTENCIAL POR AMENAZA.
Para este paso debe responder las siguientes preguntas:
¿Qué daño físico puede ser una causa de amenaza y cuánto costaría?
¿Cuánta pérdida de productividad puede causar esa amenaza y cuánto podría costar?
¿Cuál es el costo de recuperación de esa amenaza?
¿Cuál es el valor de la pérdida si un dispositivo crítico fallara?
¿Cuál es la expectativa de una sola pérdida (SLE – siglas en inglés) para cada activo y para cada
amenaza?
La expectativa de una sola pérdida-SLE es una cantidad en dinero que es asignado a un evento que
representa la cantidad de perdida potencial de la organización si una amenaza se materializa. Se
calcula con la siguiente ecuación:
Expectativa de una sola pérdida (SLE) = Valor del activo x Factor de exposición (EF)
El factor de exposición (EF) representa el porcentaje de pérdida que una amenaza materializada
podría tener sobre un activo determinado
3. REALIZAR UN ANÁLISIS DE LAS AMENAZAS.
Para este análisis es necesario reunir información sobre la probabilidad de que cada amenaza se
materialice por las personas de cada departamento. Investigando en registros pasados y fuentes de
seguridad oficial que provea ese tipo de datos.
Teniendo esa información se debe calcular la tasa anual de ocurrencia (ARO – siglas en inglés), que
se refiere a cuantas veces la amenaza se puede materializar en un periodo de 12 meses. El rango
puede ir desde 0.0 (nunca) y 1.0 (al menos un vez al año)
4. DEDUCIR EL POTENCIAL TOTAL DE PÉRDIDAS ANUALES POR AMENAZA.
En este paso lo primero que se debe hacer es combinar el potencial de pérdida y la probabilidad,
calculando la expectativa de pérdida anual (ALE – siglas en inglés) por amenaza utilizando la
información calculada en los tres pasos anteriores con la siguiente ecuación:
Expectativa de pérdida anual (ALE) = Expectativa de una sola pérdida (SLE) x
tasa anual de ocurrencia (ARO)
Se debe escoger las medidas correctivas que contrarresten cada amenaza, y por último se lleva a cabo
un análisis costo/beneficio de las contramedidas identificadas.
5. REDUCIR, TRANSFERIR, EVITAR, O ACEPTAR EL RIESGO.
A continuación se explicaran las cuatro opciones:
Para reducir el riesgo se debe tener en cuenta controles que mitiguen las consecuencias si la
amenaza se materializa.
Al transferir un riesgo se le da la responsabilidad sobre ese riesgo a un tercero.
Para evitar el riesgo se debe suspender la actividad que lo cause.
Aceptar el riesgo es tomar la decisión de no gastar dinero para protegerse del mismo.
La siguiente tabla muestra cómo se deben guardar los resultados del análisis de riesgos realizado, y con
estos datos la organización puede tomar decisiones acertadas sobre qué amenazas se deben considerar
primero dependiendo de la gravedad de las mismas, la probabilidad de que ocurra, y cuánto se podría
perder si la amenaza se materializa. También podrá tener un aproximado de cuánto dinero debe gastar
para protegerse contra cada amenaza.
Activo Amenaza Expectativa de
una sola pérdida
(SLE)
Tasa anual de
ocurrencia
(ARO)
Expectativa de
pérdida anual
(ALE)
Tabla 1. Resultados Análisis de Riesgos Cuantitativo
Todo este proceso permite que la organización tome buenas decisiones de negocio, en lugar de invertir en
controles y protección sin una comprensión clara de lo que se está realizando.
Análisis de Riesgos Cualitativo
En este documento se encuentra la descripción de los diferentes pasos que realiza cada metodología para
realizar el proceso de análisis de riesgos.
1. NIST
Es el Instituto Nacional de Normas y Tecnología que administra la de Tecnología del Departamento de
Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia
industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren
la estabilidad económica y la calidad de vida. [1]
Guía de gestión de riesgo para los sistemas de Tecnologías de la Información. [2]
Evaluación de riesgos
La evaluación de riesgos es el primer proceso en la metodología de gestión de riesgos. Las organizaciones
utilizan la evaluación de riesgos para determinar el alcance de la amenaza potencial y el riesgo asociado
con un sistema de tecnología de la información a través del desarrollo del ciclo de vida del
sistema. El resultado de este proceso ayuda a identificar los controles adecuados para reducir o
eliminar los riesgos durante el proceso de mitigación de los mismos.
La metodología de evaluación de riesgos trabaja bajo nueve pasos principales, que se describen a
continuación
1. Caracterización del Sistema
2. Identificación de amenazas
3. Identificación de vulnerabilidades
4. Análisis de Control
5. Determinación de la probabilidad
6. Análisis de Impacto
7. Determinación de Riesgos
8. Recomendaciones de los controles
9. Documentación de Resultados
Los pasos 2, 3, 4 y 6 se pueden realizar en paralelo después de terminar el 1er paso. La siguiente figura
describe los pasos y las entradas y salidas de cada etapa.
Ilustración 2. Diagrama de flujo Metodología de evaluación de riesgos. [2]
1. Caracterización del sistema
En la evaluación de los riesgos de un sistema informático, el primer paso es definir el alcance del
esfuerzo. En este paso, los límites del sistema de tecnología de la información son identificados,
junto con los recursos y la información que conforman el sistema. En la caracterización de un
sistema de tecnología de información se establece el alcance del esfuerzo de la evaluación del riesgo,
se delinea la autorización operacional de los límites, y ofrece información (por ejemplo, hardware,
software, la conectividad del sistema, y responsable de la división o el apoyo personal), esencial para
definir el riesgo.
Es importante que todas las interfaces y las dependencias estén bien definidas antes de aplicar la
metodología.
La información relacionada al sistema se puede clasificar de la siguiente manera:
Hardware
Software
Las interfaces del sistema (por ejemplo, la conectividad interna y externa)
Los datos y la información
Las personas que apoyan y utilizan el sistema de TI
Misión del Sistema (por ejemplo, los procesos realizados por el sistema informático)
Criticidad en el Sistema y en los datos
Sensibilidad del Sistema y los datos
Los requisitos funcionales del sistema de TI
Los usuarios del sistema
Las políticas de seguridad del sistema que rigen el sistema informático (políticas de la
organización, requisitos federales, leyes, prácticas de la industria)
Sistema de seguridad de la arquitectura
Diagrama de la red
Protección de la información almacenada, la disponibilidad de datos, la integridad y la
confidencialidad
Flujo de información relacionada con el sistema informático
Los controles técnicos utilizados en el sistema
Gestión de los controles utilizados para el sistema de TI
Las políticas de funcionamiento utilizados para el sistema informático
Entorno de seguridad física del sistema informático
La seguridad ambiental
Para un sistema informático en desarrollo, es necesario definir las principales normas de seguridad y
atributos previstos para el futuro sistema de TI.
Hay diferentes técnicas para obtener la información relevante al sistema de IT dentro de sus límites
operacionales
Cuestionario. Para recopilar la información pertinente, el personal de evaluación de riesgos puede
desarrollar un cuestionario relativo a los controles de gestión y operativos previstos o utilizados
con el sistema informático. Este cuestionario deberá ser distribuido entre el personal que está
diseñando o apoyando el sistema de TI. El cuestionario también podría ser utilizado durante las
visitas en sitio y las entrevistas.
Entrevistas en el lugar. Entrevistas al personal de apoyo puede permitir que el personal de
evaluación de riesgos para recopilar información útil acerca de las TI sistema (por ejemplo, cómo
el sistema es operado y administrado). Visitas sobre el terreno permiten identificar también las
amenazas. Personal de evaluación para observar y recopilar información sobre las características
físicas, la seguridad ambiental y operacional del sistema de TI.
Revisión de documentos. Documentos de políticas (por ejemplo, documentación, legislación,
directivas), documentación del sistema (por ejemplo, la guía de usuario del sistema, manual del
sistema administrativo, el diseño del sistema y los requisitos del documento, documento de
adquisición), y documentación de seguridad (por ejemplo, Informe de auditoría anterior, el
informe de evaluación de riesgos, los resultados del sistema de prueba, sistema de seguridad
plan5, las políticas de seguridad) puede proporcionar una buena información acerca de la
controles de seguridad utilizados por para el sistema de TI.
Uso de la herramienta de análisis automatizado. Se pueden utilizar métodos técnicos para
recopilar información del sistema de manera eficiente. Por ejemplo, una herramienta de mapeo de
la red puede identificar los servicios que se ejecutan en un grupo grande.
Salida: Caracterización del sistema de TI evaluados, una buena imagen del entorno del sistema de
tecnología de información, y la delimitación de los límites del sistema
2. Identificación de amenazas
Una amenaza es un hecho que puede producir un daño. Una vulnerabilidad es una debilidad en un
sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de
acceso y consistencia del sistema o de sus datos y aplicaciones.
Lo primero que se debe identificar son las fuentes de amenazas para ello se encuentran los siguientes
tipos.
Las amenazas naturales-inundaciones, terremotos, tornados, deslizamientos, avalanchas,
tormentas eléctricas, y otros eventos.
Las amenazas o los acontecimientos humanos que están habilitados por o causados por los
seres humanos, como actos intencionales (La entrada inadvertida de datos) o acciones
deliberadas (red los ataques basados en, cargar software malicioso, sin autorización acceso a
información confidencial).
Las amenazas-ambientales a largo plazo fallo de alimentación, la contaminación, productos
químicos, derrames de líquidos. Una amenaza de código se define como cualquier
circunstancia o hecho que potencial de causar daño a un TI del sistema. Las fuentes de
amenazas comunes pueden ser naturales, humanos o del medio ambiente.
Al identificar las amenazas, o la lista de posibles fuentes de amenaza, se debe adaptar a la
organización y su entorno de procesamiento.
Salida: Una lista de amenazas que contenga una lista de fuentes de amenaza que podría explotar las
vulnerabilidades del sistema
3. Identificación de las vulnerabilidades
El análisis de la amenaza a un sistema informático debe incluir un análisis de las vulnerabilidades
asociadas con el sistema de medio ambiente. El objetivo de este paso es elaborar una lista de las
vulnerabilidades del sistema (defectos o puntos débiles) que podrían ser explotados por la amenaza
potencial de fuentes.
Los métodos recomendados para la identificación de las vulnerabilidades del sistema son
Uso de las fuentes de la vulnerabilidad
Mejoramiento de las pruebas de seguridad del sistema
Desarrollo de una lista de requerimientos de seguridad.
Las fuentes de la vulnerabilidad que deben ser considerados en un análisis de vulnerabilidades
incluyen:
Una previa documentación de análisis de riesgos de los sistemas TI evaluados
Los informes de auditoría del sistema de TI, los informes de anomalías del sistema, los
informes de revisión de seguridad, y los informes de prueba y evaluación del sistema
Las listas de vulnerabilidad, como la base de datos de vulnerabilidad NIST NVD
(http://nvd.nist.gov/)
Avisos de seguridad
Avisos de proveedores
Comercial equipo de incidentes / equipos de emergencia de respuesta.
Información de alertas y boletines de Garantía de la vulnerabilidad a los sistemas militares
Sistema de análisis de software de seguridad.
Otra forma de identificar las vulnerabilidades consiste en probar el sistema teniendo en cuenta la
criticidad de los recursos informáticos del sistema y su disponibilidad. Para estas pruebas se debe
considerar:
Herramientas automatizadas de escaneo de la vulnerabilidad: Se utiliza para explorar un grupo de
hosts o de una red que conoce los servicios vulnerables
Prueba y evaluación de Seguridad (ST & E): Se utiliza en la identificación de las vulnerabilidades
del sistema de TI durante el proceso de evaluación de riesgo. Incluye el desarrollo y ejecución de
un plan de prueba. El propósito de las pruebas del sistema de seguridad es probar la eficacia de
los controles de seguridad de un sistema de TI, ya que se han aplicado en un entorno operativo.
Prueba de penetración. Se utiliza para complementar el examen de los controles de seguridad y
asegurarse de que las diferentes facetas del sistema de TI están asegurados. Las pruebas de
penetración, cuando se emplea en el proceso de evaluación de riesgos, se puede utilizar para
evaluar la capacidad de un sistema informático para resistir los intentos deliberados para burlar la
seguridad del sistema. Su objetivo es poner a prueba el sistema de TI desde la perspectiva de una
fuente de amenaza y para identificar posibles fallos en los sistemas de protección sistemas de TI.
Por último dentro de este paso se debe desarrollar una lista de chequeo de requerimientos de
seguridad. que debe contener las normas de seguridad básicas que pueden ser utilizados para evaluar
de manera sistemática e identificar las vulnerabilidades de los, los procedimientos no automatizados,
los procesos y las transferencias de información asociado con un determinado sistema de TI en las
siguientes áreas de seguridad:
Seguridad de Gestión
Seguridad Operativa
Seguridad Técnica.
Salida: Lista de las vulnerabilidades del sistema que se pueden dar por las fuentes potencial de
amenazas
4. Análisis del control
El objetivo de este paso es analizar los controles que se han implementado o están a punto de
implementarse por la organización para minimizar o eliminarla la probabilidad de una amenaza del
sistema.
Para obtener una calificación de riesgo global que indica la probabilidad de que una vulnerabilidad
potencial puede ser ejercida dentro de la construcción del entorno de las amenazas asociadas, la
aplicación de los controles actuales o previstos que deben ser considerados.
Hay dos tipos principales de controles:
Controles técnicos: Son incorporados en hardware, software o firmware (por ejemplo, el
acceso mecanismos de control, identificación y autenticación de los mecanismos, métodos
de encriptación, la intrusión de software de detección).
Controles no técnicos: Son los controles operacionales y de gestión, tales como las políticas
de seguridad, los procedimientos operacionales y de personal, físico y ambiental.
También se cuenta con dos categorías de controles:
Controles preventivos: Inhiben los intentos de violar la política de seguridad, e incluyen por
ejemplo la ejecución de los controles de control de acceso, cifrado y autenticación.
Controles de detección: Advierten de violaciones o intento de violaciones de las políticas de
seguridad e incluyen controles tales como pistas de auditoría, los métodos de detección de
intrusos, y las sumas de comprobación.
Salida: Lista de los controles actuales o planeados usados para el sistema de TI para mitigar la
probabilidad de una vulnerabilidad en la que se ejerce y se reduce el impacto de un evento adverso
5. Determinación de la probabilidad
Para obtener una calificación de riesgo global que indica la probabilidad de que una vulnerabilidad
potencial puede materializarse dentro de la construcción del entorno de las amenazas asociadas, los
siguientes factores deben ser considerados:
Fuente de amenaza
Naturaleza de la vulnerabilidad
Existencia y eficacia de los controles actuales.
La probabilidad de que una vulnerabilidad potencial pueda suceder por una fuente de amenaza puede ser
definida como alto, medio o bajo.
Nivel de Probabilidad Definición de la probabilidad
Alta La fuente de amenaza es altamente motivada y suficientemente capaz. Los
controles para prevenir que la vulnerabilidad suceda son ineficientes.
Media La fuente de amenaza es motivada y capaz. Los controles pueden impedir
el éxito de que la vulnerabilidad suceda.
Baja La fuente de amenaza carece de motivación. Los controles están listos
para prevenir o para impedir significativamente que la vulnerabilidad
suceda.
Tabla 2. Definición de la probabilidad. [2]
Salida: Clasificación de la probabilidad (Alto, Medio, Bajo)
6. Análisis de impacto
El siguiente paso importante en la medición de nivel de riesgos es determinar los efectos
adversos resultantes al potencializarse una amenaza. Antes de comenzar el análisis de impacto, es
necesario tener la información de:
Misión del sistema (por ejemplo, los procesos realizados por el sistema informático)
Criticidad del sistema y los datos (por ejemplo, el valor del sistema o de importancia
para una organización)
Sensibilidad del sistema y los datos.
Esta información puede ser obtenida a partir de la documentación existente de la organización, tales
como el informe del impacto del análisis de la misión o el informe de evaluación de criticidad de
activos.
La siguiente lista ofrece una breve descripción de cada objetivo de seguridad y su consecuencia (o
impacto) de los que no se cumplan:
Pérdida de integridad. La integridad del sistema y los datos se refiere a la exigencia de que
información sea protegida. Si la pérdida de la integridad del sistema o los datos no se
corrige, el uso continuado de los datos dañados podría dar lugar a inexactitudes, errores,
fraude o decisiones erróneas. Además, la violación de la integridad puede ser el primer paso
en un ataque exitoso contra la disponibilidad o confidencialidad del sistema. Por todas estas
razones, la pérdida de integridad reduce la garantía de un sistema informático.
Pérdida de la disponibilidad. Si algo crítico de un sistema de TI no está disponible para sus
usuarios finales, la misión de la organización puede verse afectada. Pérdida de funcionalidad
del sistema y la eficacia operativa, por ejemplo, puede resultar en pérdida de tiempo
productivo.
Pérdida de la confidencialidad. La confidencialidad del sistema y los datos se refieren a la
protección de información de su divulgación no autorizada. Este impacto puede ir desde la
puesta en peligro de seguridad nacional a la divulgación de la Ley de privacidad de los datos.
Algunos impactos tangibles se pueden medir cuantitativamente, como con la pérdida de ingresos, el
costo de la reparación de los sistemas, o el nivel de esfuerzo requerido para corregir los problemas
causados por una acción de amenaza exitosa.
Otros impactos (por ejemplo, la pérdida de la confianza del público, la pérdida de credibilidad, el
daño a una organización de interés) no se pueden medir en unidades específicas, pero puede ser
calificado o descrito en términos de alta, mediano y bajo impacto.
Magnitud del impacto Definición del impacto
Alta La vulnerabilidad ejercida:
1. Puede resultar en la pérdida de un alto costo de los principales
activos tangibles o recursos
2. De manera significativa puede violar, dañar, o impedir la misión
de una organización, la reputación o los intereses
3. Puede resultar en la muerte humana o lesiones graves.
Media La vulnerabilidad ejercida:
1. Puede resultar en la pérdida costosa de activos materiales o
recursos
2. Pueda violar, dañar, o impedir la misión de una organización, la
reputación o los intereses
3. Puede resultar en lesiones.
Baja La vulnerabilidad ejercida:
1. puede resultar en la pérdida de algunos bienes, materiales o
recursos
2. Puede afectar notablemente la misión de una organización, la
reputación o los intereses.
Tabla 3. Definición de la magnitud del impacto. [2]
La evaluación del impacto puede hacerse de forma cualitativa y cuantitativa. La principal ventaja del
análisis del impacto cualitativo es la mejora en el tratamiento de las vulnerabilidades. La desventaja
del análisis cualitativo es que no proporciona mediciones específicas cuantificables de la magnitud
de los impactos, por lo tanto, hacer un análisis costo-beneficio de los controles recomendados es
difícil.
La principal ventaja de un análisis de impacto cuantitativo es que proporciona una medida de la
magnitud de los impactos, que pueden ser utilizados en el análisis costo-beneficio de los controles
recomendados. La desventaja es que, depende de los rangos numéricos utilizados para expresar la
medida, lo que requiere que el resultado sea interpretado de forma cualitativa. Algunos
factores adicionales que se deben considerar para determinar la magnitud del impacto son:
Una estimación de la frecuencia del ejercicio de la amenaza de código de la vulnerabilidad
durante un período de tiempo determinado (por ejemplo, 1 año)
El costo aproximado para cada ocurrencia de la amenaza teniendo en cuenta la fuente de la
vulnerabilidad
Un factor de ponderación sobre la base de un análisis subjetivo del impacto relativo de una
determinada amenaza en una vulnerabilidad específica.
Salida: Magnitud del impacto (alto, medio o bajo)
7. Determinación del riesgo
El propósito de este paso es evaluar el nivel de riesgo para el sistema de TI. La determinación del
riesgo para una determinada amenaza / vulnerabilidad se puede expresar en función de
La probabilidad de una determinada amenaza
La magnitud del impacto de una amenaza materializada
La adecuación de los controles de seguridad existentes o previstos para reducir o eliminar el
riesgo.
La determinación final de la misión de riesgo se obtiene multiplicando las calificaciones asignadas
por la probabilidad de la amenaza y el impacto de la amenaza.
Escala de riesgo:
Alto: 50 – 100
Medio: 10 – 50
Bajo: 1 – 10
Probabilidad de
amenaza
Impacto
Bajo (10) Medio (50) Alto (100)
Alto (1.0) Bajo
10 x 1.0 = 10
Bajo
50 x 1.0 = 50
Bajo
100 x 1.0 = 100
Medio (0.5) Bajo
10 x 0.5 = 5
Bajo
50 x 0.5 = 25
Bajo
100 x 0.5 = 50
Bajo (0.1) Bajo
10 x 0.1 = 1
Bajo
50 x 0.1= 5
Bajo
100 x 0.1 = 10
Tabla 4. Matriz nivel del riesgo. [2]
En la siguiente tabla se describen los niveles de riesgo. Esta escala de riesgo, con las calificaciones de
Alta, media y baja, representa el grado o nivel de riesgo a que un sistema informático, instalación o
procedimiento podría estar expuesto si una vulnerabilidad determinada se materializa. En la escala de
riesgo también se presentan acciones que las personas de la alta gerencia deben tomar para cada nivel de
riesgo.
Nivel de Riesgo Descripción del riesgo y acciones necesarias
Alta Si una observación es evaluada como alto riesgo, hay necesidad de una fuerte
necesidad de medida correctiva. Un sistema existente puede continuar la
operación, pero el plan de acción correctiva debe llevarse a cabo lo más pronto
posible
Media Si una observación es categorizada como un riesgo medio, hay necesidad de
acciones correctivas y de incorporar un plan para llevar a cabo esas acciones
dentro de un periodo de tiempo razonable.
Baja Si una observación es descrita como un riesgo bajo, se debe determinar si se
requieren acciones correctivas o se acepta el riesgo
Tabla 5. Escala del riesgo y acciones necesarias. [2]
Salida: Nivel del riesgo (Alto, Medio, Bajo)
8. Recomendaciones de los controles
Inicialmente se deciden que controles se van a utilizar ya sea para mitigar (reducir el nivel de riesgo
para el sistema informático y sus datos a un nivel aceptable) o eliminar los riesgos identificados.
es. Los siguientes factores se deben considerar a la hora de recomendar los controles y las
alternativas de solución o las alternativas para minimizar o eliminar los riesgos identificados:
Efectividad de las opciones recomendadas (por ejemplo, la compatibilidad con el sistema)
Legislación y regulación
La política de la organización
El impacto operacional
Seguridad y fiabilidad.
Cabe señalar que no todos los controles recomendadas se pueden implementar para reducir las
pérdidas. Para determinar cuáles son los controles necesarios y apropiados se debe tener en cuenta:
Análisis costo-beneficio: Demuestre que los costos de implementación de esos controles
pueden ser justificado por la reducción del nivel del riesgo.
Impacto operacional
Viabilidad: Evaluar que tan viable resulta introducir las opciones que se recomendaron.
Salida: Recomendación de control(es) y alternativas de solución para mitigar el riesgo
9. Documentación de resultados.
Una vez que la evaluación del riesgo se ha completado, los resultados deben ser documentados en un
documento oficial.
Un informe de evaluación de riesgos es un informe de gestión que ayuda a la gerencia a tomar
decisiones sobre la política, el presupuesto de procedimiento y la gestión de cambios que se deben
tener en cuenta con el sistema operativo.
Salida: Reporte de la evaluación del riesgo que describe las amenazas y vulnerabilidades, medidas
del riesgo y provee recomendaciones para la implementación de los controles.
2. SEI
El Instituto de Ingeniería de software es un centro de investigación y de desarrollo de la realización de
investigaciones de ingeniería de software en las líneas de adquisición, la arquitectura y de productos,
mejora de procesos y medición del desempeño, seguridad y sistema de sistemas y la fiabilidad financiado
con fondos federales. [3]
Introducción a OCTAVE Allegro: Mejora del proceso de evaluación de los riesgos de la seguridad
de la información. [4]
Hay cuatro áreas de actividad que se lleva a cabo a través de ocho pasos de la Metodología de Octava
Allegro. Las áreas de actividad son:
Establecer los controladores, donde la organización desarrolla los criterios de medición de riesgos
que son consistentes con los conductores de la organización.
Los activos perfil, donde los bienes que son el foco de la evaluación de riesgos se identifican y se
perfila y los contenedores de los activos se identifican.
Identificar las amenazas, donde las amenazas a los activos-en el contexto de sus envases se
identifican y documentado a través de un proceso estructurado.
Identificar y mitigar los riesgos, donde los riesgos se identifican y analizan sobre la base de
información sobre amenazas, y estrategias de mitigación que hagan frente a esos riesgos.
Los resultados de cada paso en el proceso son capturados en una serie de hojas de trabajo que luego se
utilizan como insumos para el siguiente paso en el proceso. Los distintos pasos de la metodología se
describen con más detalle a continuación.
1. Establecer criterios de medición del riesgo.
Se establecen los controladores de la organización que evalúan los efectos de un riesgo de la misión
de una organización y los objetivos de negocio. Estos conductores se reflejan en un conjunto de
criterios de medición de riesgo que se crea y se registra como parte de este primer paso.
El método OCTAVE Allegro proporciona un conjunto estándar de plantillas de hoja de trabajo para
crear estos criterios en varias áreas de impacto y establecer prioridades. Las áreas de impacto que se
consideran son:
Confidencialidad, Reputación/cliente
Financiero
Productividad
Salud y seguridad
Penalidades Legales
Definición de áreas de impacto del usuario
Se debe priorizar las áreas de impacto de la más importante a la menos importante
2. Desarrollar un perfil de Activos de Información.
La metodología OCTAVE Allegro se centra en los activos de información de la organización para lo
cual se realiza el proceso de creación de un perfil de esos activos. Un perfil es una representación de
una información de los activos que describe sus características únicas, cualidades, características y
valor. Para desarrollar el perfil se debe tener en cuenta las siguientes actividades:
Identificar el grupo de activos de información al cual se le va a realizar el perfil
Enfocarse en los activos de información más críticos
Obtener información necesaria para empezar a estructurar el proceso de análisis de riesgos
del activo
3. Identificar los contenedores de los activos de la información.
Los contenedores describen los lugares en los que la información es almacenada, transportada y
procesada.
Los activos de información residen no sólo en los contenedores dentro de los límites de una
organización, sino también a menudo en envases que no están bajo el control directo de la
organización. Los diferentes tipos de contenedores se describen a continuación:
Contenedores técnicos: Están bajo el control directo de la organización o los que son
administrados fuera de la organización.
Contenedores físicos: La información pues estar de dentro o fuera de la empresa.
Contenedor persona: Persona interna o externa de la organización que tiene el conocimiento
detallado del activo.
4. Identificar las áreas de interés
En este paso se realiza el proceso de identificación de riesgos con lluvia de ideas acerca de las
condiciones o situaciones que pueden poner en peligro los activos de información de la
organización. Estos escenarios del mundo real se refieren a las áreas de preocupación y pueden
representar amenazas y sus correspondientes resultados no deseados.
5. Identificar las situaciones de amenaza
En la primera mitad de la etapa 5, las áreas de interés identificadas en el paso anterior se expanden en
escenarios de amenaza. Una serie de escenarios de amenaza pueden ser representados visualmente en
una estructura de árbol comúnmente conocido como un árbol de amenaza.
6. Identificar los riesgos
En el anterior paso se identificaron las amenazas, y en este se identificarán las consecuencias en una
organización. Una amenaza puede tener múltiples impactos potenciales sobre una organización. Por
ejemplo, la interrupción de sistema de comercio electrónico de una organización puede afectar la
reputación de la organización con sus clientes, así como su posición financiera.
7. Analizar los riesgos
Se calcula una medida cuantitativa en que la organización se ve afectada por una amenaza.
Esto se realiza teniendo en cuenta el escenario de amenaza y su consecuencia. Luego se determinar
un valor de impacto (bajo, medio, moderado) para cada área de impacto. Por último se computa los
valores de impacto de cada área para analizar el riesgo y así ayudar a la organización a determinar la
mejor estrategia para manejar ese riesgo.
8. Seleccione enfoque de mitigación.
La organización determina cuál de los riesgos que han identificado requieren mitigación
desarrollando una estrategia para esto.
La organización debe ordenar cada uno de los riesgos que ha identificado por su calificación
ayudándole de manera ordenada a tomar decisiones sobre su estado de mitigación. A continuación se
debe asignar un enfoque de mitigación para cada uno de esos riesgos y por último desarrollar la
estrategia de mitigación que se decida para mitigar el riesgo.
Las hojas de trabajo han sido diseñadas para que puedan ser traducibles fácilmente a otros formatos
electrónicos.
3. DAFP
Es el departamento administrativo de la función pública de la República de Colombia, que lidera la
modernización y el mejoramiento continuo de las instituciones públicas y el desarrollo de sus
servidores para afianzar la confianza en el estado. [5]
Guía de Administración del Riesgo [6]
Identificación de riesgos
El proceso de la identificación del riesgo debe ser permanente e interactivo basado en el resultado del
análisis del Contexto Estratégico, en el proceso de planeación y debe partir de la claridad de los objetivos
estratégicos de la entidad para la obtención de resultados.
El Decreto 1599 de 2005 lo define como: Elemento de Control, que posibilita conocer los eventos
potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión,
estableciendo los agentes generadore2, las causas y los efectos de su ocurrencia.
La identificación de los riesgos se realiza a nivel del Componente de Direccionamiento Estratégico,
identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el
logro de los objetivos. Es la base del análisis de riesgos que permite avanzar hacia una adecuada
implementación de políticas que conduzcan a su control.
Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos, es a través de la
utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos,
definiendo en primera instancia las causas o factores de riesgo, tanto internos como externos, los riesgos,
presentando una descripción de cada uno de estos y finalmente definiendo los posibles efectos. Es
importante centrarse en los riesgos más significativos para la entidad relacionados con el desarrollo de los
procesos y los objetivos institucionales. Es allí donde, al igual que todos los servidores, la gerencia
pública adopta un papel proactivo en el sentido de visualizar en sus contextos estratégicos y misionales
los factores o eventos que pueden afectar el curso institucional, dada la especialidad temática que manejan
en cada sector o contexto socioeconómico.
Entender la importancia del manejo del riesgo implica conocer con más detalle los siguientes conceptos:
Proceso: Nombre del proceso
Objetivo del proceso: se debe transcribir el objetivo que se ha definido para el proceso al cual se
le están identificando los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal
desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.
Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores
de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen
la capacidad de originar un riesgo; se pueden clasificar en cinco categorías: personas, materiales,
Comités, instalaciones y entorno.
Descripción: se refiere a las características generales o las formas en que se observa o manifiesta
el riesgo identificado.
Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los
objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o
inmateriales con incidencias importantes tales como: daños físicos y los agentes generadores se
incluyen dentro de las causas del riesgo, en la metodología propuesta.
Fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y
de confianza, interrupción del servicio y daño ambiental.
PROCESO:
OBJETIVO DEL
PROCESO CAUSAS RIESGO DESCRIPCIÓN EFECTOS
Tabla 6. Formato de identificación de riesgos. [6]
1. Clasificación del riesgo
Durante el proceso de identificación del riesgo se recomienda hacer una clasificación de los mismos
teniendo en cuenta los siguientes conceptos:
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo
estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los
objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad
por parte de la alta gerencia.
Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como
técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información,
en la definición de los procesos, en la estructura de la entidad, la desarticulación entre
dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de
los compromisos institucionales.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y
transparencia en el manejo de los recursos, así como su interacción con las demás áreas
dependerá en gran parte el éxito o fracaso de toda entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.
Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología
disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de
la misión.
Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:
Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos
para la entidad.
Describir los riesgos identificados con sus características.
Precisar los efectos que los riesgos puedan ocasionar a la entidad.
2. Análisis del Riesgo
El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus
consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de
riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información
obtenida en el formato de identificación de riesgos y la disponibilidad de datos históricos y aportes de los
servidores de la entidad.
El Decreto 1599 de 2005, establece: “Elemento de Control, que permite establecer la probabilidad de
ocurrencia de los eventos (riesgos) positivos y/o negativos y el impacto de sus consecuencias (efectos),
calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y
manejo.”
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad
e Impacto. Por la primera se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o
de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el
riesgo, aunque éste no se haya materializado. Por Impacto se entiende las consecuencias que puede
ocasionar a la organización la materialización del riesgo.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:
- La Calificación del Riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el
impacto que puede causar la materialización del riesgo. La primera representa el número de veces que el
riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la
magnitud de sus efectos.
- La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los criterios definidos
para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible distinguir entre los
riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las
acciones requeridas para su tratamiento.
Con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que
contempla un análisis cualitativo, que hace referencia a la utilización de formas descriptivas para
presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia
(probabilidad). Tomando las siguientes categorías:
Impacto:
Leve
Moderada
Catastrófica
Probabilidad
Alta
Media
Baja
Así mismo, presenta un análisis cuantitativo, que contempla valores numéricos que contribuyen a la
calidad en la exactitud de la calificación y evaluación de los riesgos.
Tanto para el impacto como para la probabilidad se han determinado valores múltiplos de 5. La forma en
la cual la probabilidad y el impacto son expresados y combinados en la matriz que provee la evaluación
del riesgo.
Probabilidad Valor
Alta 3 15
Zona de riesgo
moderado.
Evitar el riesgo
30
Zona de riesgo
importante
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
60
Zona de riesgo
inaceptable
Evitar el riesgo
Reducir el riesgo
Compartir o transferir
Media 2 10
Zona de riesgo
tolerable.
Asumir el riesgo
Reducir el riesgo
20
Zona de riesgo
moderado
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
40
Zona de riesgo
importante
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
Baja 1 5
Zona de riesgo
aceptable
Asumir el riesgo
10
Zona de riesgo tolerable
Reducir el riesgo
Compartir o transferir
20
Zona de riesgo
moderado
Reducir el riesgo
Compartir o transferir
Impacto Leve moderado Catastrófico
Valor 5 10 20
Tabla 7. Matriz de clasificación, evaluación y respuesta a los riesgos. [6]
3. Calificación del Riesgo
Se debe calificar cada uno de los Riesgos según la matriz de acuerdo a las siguientes especificaciones:
Probabilidad Alta se califica con 3, Probabilidad Media con 2 y Probabilidad Baja con 1, de acuerdo al
número de veces que se presenta o puede presentarse el riesgo. Y el Impacto si es Leve con 5, si es
Moderado con 10 y si es Catastrófico con 20.
4. Evaluación del Riesgo
Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz, según la
celda que ocupa, aplicando los siguientes criterios:
Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificación 5), significa que su
Probabilidad es baja y su Impacto es leve, lo cual permite a la Entidad asumirlo, es decir, el
riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de
control diferentes a las que se poseen.
Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificación 60), su Probabilidad es
alta y su Impacto catastrófico, por tanto es aconsejable eliminar la actividad que genera el
riesgo en la medida que sea posible, de lo contrario se deben implementar controles de
prevención para evitar la Probabilidad del riesgo, de Protección para disminuir el Impacto o
compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras opciones
que estén disponibles.
Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante)
se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo
posible. Las medidas dependen de la celda en la cual se ubica el riesgo, así: los Riesgos de
Impacto leve y Probabilidad alta se previenen; los Riesgos con Impacto moderado y
Probabilidad leve, se reduce o se comparte el riesgo, si es posible; también es viable
combinar estas medidas con evitar el riesgo cuando éste presente una Probabilidad alta y
media, y el Impacto sea moderado o catastrófico.
Cuando la Probabilidad del riesgo sea media y su Impacto leve, se debe realizar un análisis del costo
beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo.
Cuando el riesgo tenga una Probabilidad baja y un impacto catastrófico se debe tratar de compartir el
riesgo y evitar la entidad en caso de que éste se presente.
Siempre que el riesgo sea calificado con Impacto catastrófico la Entidad debe diseñar planes de
contingencia, para protegerse en caso de su ocurrencia.
Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:
- Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad institucional
de la entidad, para cumplir su propósito.
- Medir el impacto las consecuencias del riesgo sobre las personas, los recursos o la coordinación de las
acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los procesos.
- Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes
sobre su tratamiento.
5. Valoración del riesgo
El Decreto 1599 de 2005 establece: Elemento de Control, que determina el nivel o grado de exposición de
la entidad pública al impacto del riesgo, permitiendo estimar las prioridades para su tratamiento.
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los
controles identificados en el Elemento de Control, denominado “Controles”, del Subsistema de Control de
Gestión, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar
esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes
procesos, los cuales permiten obtener información para efectos de tomar decisiones.
Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en:
Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o
materialización.
Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado
un evento no deseable; también permiten la modificación de las acciones que propiciaron su
ocurrencia.
El procedimiento para la valoración del riesgo es el siguiente:
Para adelantar la evaluación de los controles existentes es necesario describirlos estableciendo si son
preventivos o correctivos y responder a las siguientes preguntas:
¿Los controles están documentados?
¿Se está aplicando en la actualidad?
¿Es efectivo para minimizar el riesgo?
Una vez ha respondido todas las preguntas proceda a realizar la valoración, así:
- Calificados y evaluados los riesgos analícelos frente a los controles existentes en cada riesgo
- Pondérelos según la tabla establecida, teniendo en cuenta las respuestas a las preguntas anteriormente
formuladas (los controles se encuentran documentados, se aplican y son efectivos).
- Ubique en la Matriz de Calificación, Evaluación y Respuesta a los riesgos, el estado final de riesgo, de
acuerdo a los resultados obtenidos en la valoración del mismo.
CRITERIOS VALORACIÓN DEL RIESGO
No existen controles Se mantiene el resultado de la evaluación antes de
controles
Los controles existentes no son efectivos Se mantiene el resultado de la evaluación de
controles
Los controles existentes son efectivos pero no
están documentados
Cambia el resultado a una casilla inferior de la
matriz de evaluación antes de controles (el
desplazamiento depende de si el control afecta el
impacto o la probabilidad)
Los controles son efectivos y están documentados Pasa a escala inferior (el desplazamiento depende
de si el control afecta el impacto o la probabilidad)
Tabla 8. Valoración del Riesgo. [6]
Ejemplo
Un ejemplo de la determinación del nivel del riesgo y del grado de exposición al mismo:
Riesgo: Pérdida de información debido a la entrada de un virus en la red de información de la
entidad.
Probabilidad: Alta - 3, porque todos los computadores de la entidad están conectados a la red de
Internet e Intranet.
Impacto: Alto - 20, porque la pérdida de información conllevaría consecuencias graves para el
quehacer de la entidad.
Evaluación del Riesgo: de acuerdo a la matriz de calificación y evaluación sería de 60 y se
encontraría en la zona de riesgo inaceptable.
Controles existentes:
- Se hace backup o copias de seguridad, semanalmente. Control Preventivo
- Se vacunan todos los programas y equipos, diariamente. Control Preventivo
- Se guarda la información más relevante fuera de la red en un centro de información. Control Preventivo
- ¿Los controles están documentados? SI
- ¿Se está aplicando en la actualidad? SI
- ¿Es efectivo para minimizar el riesgo? SI
De acuerdo a la tabla se entiende que la valoración del riesgo es: Media y se ubica en la zona moderada
10 debido a la efectividad de los controles existentes, ya que los dos primeros controles apuntan a la
disminuir la probabilidad y el último a disminuir el impacto, por lo tanto las acciones que se implementen
entrarán a reforzar los controles establecidos y a valorar la efectividad de los mismos.
Se sugiere elaborar el mapa de riesgos por procesos al final esta etapa, ver el capítulo de Políticas de
Riesgos.
Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo llega a ser en vano, si
no culmina con una adecuada política de manejo y control de los mismos.
Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:
- Identificación de los controles existentes para los riesgos identificados y analizados.
- Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluación del
riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la
entidad en caso de materializarse.
- Elaborar el mapa de riesgos para cada proceso.
6. Determinación de las políticas de administración de riesgos
Para la consolidación de las Políticas de Administración de Riesgos se deben tener en cuenta todas las
etapas anteriormente desarrolladas en el ejercicio de la administración del riesgo.
El Decreto 1599 de 2005 establece: Elemento de Control, que permite estructurar criterios orientadores en
la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad pública.
Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de riesgos,
permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo, a su vez
transmite la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de
la entidad.
Se deben tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de
ellas independientemente, interrelacionadas o en conjunto.
Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la
primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios
sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y
acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los
insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas
de prevención), como el impacto (medidas de protección). La reducción del riesgo es
probablemente el método más sencillo y económico para superar las debilidades antes de aplicar
medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y
la implementación de controles.
Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras
organizaciones, como en el caso de los contratos de seguros o a través de otros medios que
permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo
compartido. Es así como por ejemplo, la información de gran importancia se puede duplicar y
almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo
lugar.
Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo
residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida
residual probable y elabora planes de contingencia para su manejo.
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser
factibles y efectivas, tales como: la implementación de las políticas, definición de estándares,
optimización de procesos y procedimientos y cambios físicos entre otros. La selección de las acciones
más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se
puede realizar con base en los siguientes criterios:
a) La valoración del riesgo
b) El balance entre el costo de la implementación de cada acción contra el beneficio de la misma.
Para la ejecución de las acciones, se deben identificar las áreas o dependencias responsables de llevarlas a
cabo, definir un cronograma y unos indicadores que permitan verificar el cumplimiento para tomar
medidas correctivas cuando sea necesario.
Con la realización de esta etapa se busca encauzar el accionar de la entidad hacia el uso eficiente de los
recursos, la continuidad en la prestación de los servicios, la protección de los bienes utilizados para servir
a la comunidad. Igualmente, se busca que la entidad tenga claridad sobre las políticas de Administración
del Riesgo, las acciones de manejo de riesgo y el compromiso de la Dirección y de los servidores de la
entidad.
7. Elaboración del Mapa de Riesgos por proceso y el institucional.
El mapa de riesgos contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la entidad,
permitiendo conocer las políticas inmediatas de respuesta ante ellos tendientes a evitar, reducir, dispersar
o transferir el riesgo; o asumir el riesgo residual, y la aplicación de acciones, así como los responsables, el
cronograma y los indicadores.
Nos obstante se considera recomendable, elaborar un mapa de riesgos por cada proceso para facilitar la
administración del riesgo, el cual debe elaborarse al finalizar la etapa de Valoración del Riesgo.
Riesgo Impacto Probabilidad Evaluación
Riesgo
Controles
existentes
Valoración
Riesgo
Opciones
manejo
Acciones Responsables Cronograma Indicador
Tabla 9. Formato: Mapa de Riesgos. [6]
Descripción del Mapa de riesgos
Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las
funciones de la entidad y le impidan el logro de sus objetivos.
Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.
Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con
criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo
determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos
que pueden propiciar el riesgo, aunque éste no se haya materializado.
Evaluación del Riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta a
los riesgos.
Controles existentes: especificar cuál es el control que la entidad tiene implementado para
combatir, minimizar o prevenir el riesgo.
Valoración del Riesgo: es el resultado de determinar la vulnerabilidad de la entidad al riesgo,
luego de confrontar la evaluación del riesgo con los controles existentes.
Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar
o transferir el riesgo; o asumir el riesgo residual
Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o
a reducir el riesgo y harán parte del plan de manejo del riesgo.
Responsables: son las dependencias o áreas encargadas de adelantar las acciones propuestas.
Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de
trabajo.
Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo de las acciones
implementadas.
4. CSAE
El Consejo Superior de Administración Electrónica es el órgano colegiado adscrito al Ministerio de la
Presidencia, encargado de la preparación, la elaboración, el desarrollo y la aplicación de la política y
estrategia del Gobierno en materia de tecnologías de la información, así como del impulso e implantación
de la Administración electrónica en la Administración General del Estado [7]
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información. [8]
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos
pautados:
Ilustración 3. Pasos Metodología.
1. determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de
qué perjuicio (coste) supondría su degradación.
Se denominan activos los recursos del sistema de información o relacionados con éste, necesarios
para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.
El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos
datos se pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan
para poder gestionar dichos datos.
Las aplicaciones informáticas (software) que permiten manejar los datos.
Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
Los soportes de información que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informático.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informáticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente citados.
Tipos de activos
No todos los activos son de la misma especie. Dependiendo del tipo de activo, las amenazas y las
salvaguardas son diferentes.
Si el sistema maneja datos de carácter personal, estos suelen ser importantes por sí mismos y requerir
una serie de salvaguardas frecuentemente reguladas por ley. En estos activos interesa determinar qué
tratamiento hay que imponerles. El hecho de que un dato sea de carácter personal impacta sobre
todos los activos involucrados en su tratamiento y custodia.
Algo similar ocurre con los datos sometidos a una clasificación de confidencialidad. Cuando se dice
que un cierto informe está clasificado como “reservado”, de forma que las copias están numeradas,
sólo pueden llegar a ciertas personas, no deben salir del recinto y deben ser destruidas
concienzudamente, etc. se están imponiendo una serie de salvaguardas porque lo ordena el
reglamento, sectorial o específico de la Organización.
Dependencias
Los activos más llamativos suelen ser los datos y los servicios; pero estos activos dependen de otros
activos más prosaicos como pueden ser los equipos, las comunicaciones o las frecuentemente
olvidadas personas que trabajan con aquellos. Por ello aparece como importante el concepto de
“dependencias entre activos” o la medida en que un activo superior se vería afectado por un incidente
de seguridad en un activo inferior.
Se dice que un “activo superior” depende de otro “activo inferior” cuando las necesidades de
seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras
palabras, cuando la materialización de una amenaza en el activo inferior tiene como consecuencia un
perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son
los pilares en los que se apoya la seguridad de los activos superiores.
Aunque en cada caso hay que adaptarse a la Organización objeto del análisis, con frecuencia se
puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las
inferiores:
capa 1: el entorno: activos que se precisan para garantizar las siguientes capas
o equipamiento y suministros: energía, climatización, comunicaciones
o personal: de dirección, de operación, de desarrollo, etc.
o otros: edificios, mobiliario, etc.
capa 2: el sistema de información propiamente dicho
o equipos informáticos (hardware)
o aplicaciones (software)
o comunicaciones
o soportes de información: discos, cintas, etc.
capa 3: la información
o datos
o meta-datos: estructuras, índices, claves de cifra, etc.
capa 4: las funciones de la Organización, que justifican la existencia del sistema de
información y le dan finalidad
o objetivos y misión
o bienes y servicios producidos
capa 5: otros activos
o credibilidad o buena imagen
o conocimiento acumulado
o independencia de criterio o actuación
o intimidad de las personas
o integridad física de las personas
Valoración
¿Por qué interesa un activo? Por lo que vale.
No se está hablando de lo que cuestan las cosas, sino de lo que valen. Si algo no vale para nada,
prescíndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo
que hay que averiguar pues eso es lo que hay que proteger.
El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema
de dependencias, acumulan el valor de los activos que se apoyan en ellos.
El valor nuclear suele estar en la información (o datos) que el sistema maneja, quedando los demás
activos subordinados a las necesidades de explotación y protección de la información. Por otra parte,
los sistemas de información explotan los datos para proporcionar servicios, internos a la
Organización o destinados a terceros, apareciendo una serie de datos necesarios para prestar un
servicio. Sin entrar en detalles técnicos de cómo se hacen las cosas, el conjunto de datos y servicios
finales permite caracterizar funcionalmente una organización. Las dependencias entre activos
permiten relacionar los demás activos con datos y servicios.
Dimensiones
De un activo puede interesar calibrar diferentes dimensiones:
Autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada
cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos
(autenticidad de quien accede a los datos para escribir o, simplemente, consultar)
Confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es
típica de datos.
Integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es
típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso,
faltar datos.
Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es
típica de los servicios.
En sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de
los actores es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos
(accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa
calibrar la:
Trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal
servicio? O sea, ¿quién hace qué y cuándo?
Trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y
qué hace con ellos?
Los aspectos de autenticidad y trazabilidad de los datos son críticos para satisfacer medidas
reglamentarias sobre ficheros que contengan datos de carácter personal.
¿Cuánto vale la “salud” de los activos?
Una vez determinadas qué dimensiones (de seguridad) interesan de un activo hay que proceder a
valorarlo. La valoración es la determinación del coste que supondría salir de una incidencia que
destrozara el activo. Hay muchos factores a considerar:
Coste de reposición: adquisición e instalación
Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
Lucro cesante: pérdida de ingresos
Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida
de actividad o en peores condiciones económicas
Sanciones por incumplimiento de la ley u obligaciones contractuales
Daño a otros activos, propios o ajenos
Daño a personas
Daños medioambientales
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de
niveles). Los criterios más importantes a respetar son:
Homogeneidad: es importante poder comparar valores aunque sean de diferentes
dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder
determinar si es más grave el daño en una dimensión o en otra
Relatividad: es importante poder relativizar el valor de un activo en comparación con otros
activos
Todos estos criterios se satisfacen con valoraciones económicas (coste dinerario requerido para
“curar” el activo) y es frecuente la tentación de ponerle precio a todo. Si se consigue, excelente.
Incluso es fácil ponerle precio a los aspectos más tangibles (equipamiento, horas de trabajo, etc.);
pero al entrar en valoraciones más abstractas (intangibles como la credibilidad de la Organización) la
valoración económica exacta puede ser escurridiza y motivo de agrias disputas entre expertos.
Valoración cualitativa
Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un
orden relativo respecto de los demás. Es frecuente plantear estas escalas como “órdenes de
magnitud” y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo. La limitación
de las valoraciones cualitativas es que no permiten comparar valores más allá de su orden relativo.
No se pueden sumar valores.
Valoración cuantitativa
Las valoraciones numéricas absolutas cuestan mucho esfuerzo; pero no adolecen de los problemas de
las valoraciones cualitativas. Sumar valores numéricos es absolutamente “natural” y la interpretación
de las sumas no es nunca motivo de controversia.
Si la valoración es dineraria, además se pueden hacer estudios económicos comparando lo que se
arriesga con lo que cuesta la solución respondiendo a las preguntas:
¿Vale la pena invertir tanto dinero en esta salvaguarda?
¿Qué conjunto de salvaguardas optimizan la inversión?
¿En qué plazo de tiempo se recupera la inversión?
¿Cuánto es razonable que cueste la prima de un seguro?
El valor de la interrupción del servicio
Casi todas las dimensiones mencionadas anteriormente permiten una valoración simple, cualitativa o
cuantitativa. Pero hay una excepción, la disponibilidad.
No es lo mismo interrumpir un servicio una hora o un día o un mes. Puede que una hora de detención
sea irrelevante, mientras que un día sin servicio causa un daño moderado; pero un mes detenido
suponga la terminación de la actividad. Y lo malo es que no existe proporcionalidad entre el tiempo
de interrupción y las consecuencias.
En consecuencia, para valorar la [interrupción de la] disponibilidad de un activo hay que usar una
estructura más compleja que se puede resumir en algún gráfico como el siguiente:
Ilustración 4. Coste de la interrupción de la disponibilidad. [8]
Donde aparece una serie de escalones de interrupción que terminan con la destrucción total o
permanente del activo. En el ejemplo anterior, paradas de hasta 6 horas se pueden asumir sin
consecuencias. Pero a las 6 horas se disparan las alarmas que aumentan si la parada supera los 2 días.
Y si la parada supera el mes, se puede decir que la Organización ha perdido su capacidad de operar:
ha muerto. Desde el punto de vista de los remedios, la gráfica dice directamente que no hay que
gastarse ni un euro por evitar paradas de menos de 6 horas. Vale la pena un cierto gasto por impedir
que una parada supere las 6 horas o los 2 días. Y cuando se valore lo que cuesta impedir que la
parada supere el mes, hay que poner en la balanza todo el valor de la Organización frente al coste de
las salvaguardas. Pudiera ser que no valiera la pena
2. Determinar a qué amenazas están expuestos aquellos activos
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las
amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a
nuestros activos y causar un daño.
Hay accidentes naturales (terremotos, inundaciones,...) y desastres industriales (contaminación, fallos
eléctricos,...) ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay
que permanecer indefensos. Hay amenazas causadas por las personas, bien errores, bien ataques
intencionados.
No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de
activo y lo que le podría ocurrir.
Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la
misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable
es el activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el activo
Frecuencia: cada cuánto se materializa la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que ocurriera.
La degradación se suele caracterizar como una fracción del valor del activo y así aparecen
expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña
fracción”. Cuando las amenazas no son intencionales, probablemente baste conocer la fracción
físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde.
Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el
atacante puede causar muchísimo daño de forma selectiva.
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede ser de terribles
consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy
bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable.
La frecuencia se modela como una tasa anual de ocurrencia, siendo valores típicos
100 Muy frecuente A diario
10 Frecuente Mensualmente
1 Normal Una vez al año
1/10 Poco frecuente Cada varios
años
Tabla 10. Valores típicos de ocurrencia. [8]
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
En los pasos anteriores no se han tomado en consideración las salvaguardas desplegadas. Se miden,
por tanto, los impactos y riesgos a que estarían expuestos los activos si no se protegieran en absoluto.
En la práctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que
ocurriría si se retiraran las salvaguardas presentes.
Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos
tecnológicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizándose
adecuadamente, otras requieres elementos técnicos (programas o equipos), otra seguridad física y, por
último, está la política de personal.
Las salvaguardas entran en el cálculo del riesgo de dos formas:
Reduciendo la frecuencia de las amenazas: Se llaman salvaguardas preventivas. Las ideales
llegan a impedir completamente que la amenaza se materialice.
Limitando el daño causado: Hay salvaguardas que directamente limitan la posible
degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que
la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta
recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la
amenaza se materializa; pero las consecuencias se limitan.
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que
pretenden conjurar. La salvaguarda ideal es 100% eficaz, lo que implica que:
Es teóricamente idónea
Está perfectamente desplegada, configurada y mantenida
Se emplea siempre
Existen procedimientos claros de uso normal y en caso de incidencias
Los usuarios están formados y concienciados
Existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que están de adorno y el 100% para aquellas que son perfectas,
se estimará un grado de eficacia real en cada caso concreto.
4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la
amenaza
Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una
amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las
amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. La única consideración
que queda hacer es relativa a las dependencias entre activos. Es frecuente que el valor del sistema de
información se centre en los servicios que presta y los datos que maneja, al tiempo que las amenazas
suelen materializarse en los medios.
Impacto acumulado
Es el calculado sobre un activo teniendo en cuenta
Su valor acumulado (el propio mas el acumulado de los activos que dependen de él)
Las amenazas a que está expuesto
El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor acumulado y de la degradación causada.
El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de
información, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo:
protección de los equipos, copias de respaldo, etc.
Impacto repercutido
Es el calculado sobre un activo teniendo en cuenta
Su valor propio
Las amenazas a que están expuestos los activos de los que depende
El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor propio y de la degradación causada.
El impacto es tanto mayor cuanto mayor es el valor propio de un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado.
El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una
presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos:
aceptar un cierto nivel de riesgo.
Agregación de valores de impacto
Los párrafos anteriores determinan el impacto que sobre un activo tendría una amenaza en una cierta
dimensión. Estos impactos singulares pueden agregarse bajo ciertas condiciones:
Puede agregarse el impacto repercutido sobre diferentes activos,
Puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí, ni
dependan de ningún activo superior común,
No debe agregarse el impacto acumulado sobre activos que no sean independientes, pues ello
supondría sobre ponderar el impacto al incluir varias veces el valor acumulado de activos
superiores,
Puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque conviene
considerar en qué medida las diferentes amenazas son independientes y pueden ser
concurrentes,
Puede agregarse el impacto de una amenaza en diferentes dimensiones.
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de
materialización) de la amenaza
Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las
amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de
ocurrencia.
El riesgo crece con el impacto y con la frecuencia.
Riesgo acumulado
Es el calculado sobre un activo teniendo en cuenta
Impacto acumulado sobre un activo debido a una amenaza
Frecuencia de la amenaza
El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor acumulado, la degradación causada y la frecuencia de la
amenaza.
El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de información,
permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: protección de los
equipos, copias de respaldo, etc.
Riesgo repercutido
Es el calculado sobre un activo teniendo en cuenta
Impacto repercutido sobre un activo debido a una amenaza
Frecuencia de la amenaza
El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor propio, la degradación causada y la frecuencia de la
amenaza.
El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una
presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos:
aceptar un cierto nivel de riesgo.
Agregación de riesgos
Los párrafos anteriores determinan el riesgo que sobre un activo tendría una amenaza en una cierta
dimensión. Estos riesgos singulares pueden agregarse bajo ciertas condiciones:
Puede agregarse el riesgo repercutido sobre diferentes activos,
Puede agregarse el riesgo acumulado sobre activos que no sean dependientes entre sí, ni
dependan de ningún activo superior común,
No debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues ello
supondría sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos
superiores,
Puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque conviene
considerar en qué medida las diferentes amenazas son independientes y pueden ser
concurrentes,
Puede agregarse el riesgo de una amenaza en diferentes dimensiones.
Con el objeto de organizar la presentación, se tratan primero los pasos 1, 2, 4 y 5, obviando el paso 3, de
forma que las estimaciones de impacto y riesgo sean “potenciales”: caso de que no hubiera salvaguarda
alguna desplegada. Una vez obtenido este escenario teórico, se incorporan las salvaguardas del paso 3,
derivando estimaciones realistas de impacto y riesgo.
5. ISO/IEC 27005
Es el mayor desarrollador mundial y editor de Normas Internacionales. ISO es una red de los institutos de
normas nacionales de 162 países, un miembro por país, con una Secretaría Central en Ginebra, Suiza, que
coordina el sistema. [9]
Tecnologías de la información – Técnicas de seguridad – Gestión de riesgo de seguridad de la
información. [10]
La norma ISO 27005 dentro de la evaluación de los riesgos de la seguridad de la información tiene como
actividades el análisis de riesgos y la evaluación del mismo. A continuación se encuentran las actividades
que se llevan a cabo para el análisis de riesgos:
Ilustración 5. Pasos Análisis de Riesgo.
Identificación del riesgo:
El propósito de esta actividad es determinar qué cosas pueden pasar que cause pérdidas
potenciales, al igual que saber cómo, dónde y por qué pueden suceder esas pérdidas. A
continuación se explicarán los pasos que se llevan a cabo en esta actividad.
1. Identificación de activos
- Entrada: Alcance y límites para la evaluación de los riesgos. Lista de constituyentes
con sus propietarios, localización, función, etc.
- Acción: El activo dentro del alcance establecido debe ser identificado.
- Un activo es algo que la organización valora y considera que necesita protección. Se
debe realizar esta identificación en un nivel de detalle que provea suficiente
información para la evaluación de los riesgos.
- Cada activo debe tener un propietario para tener a algún responsable
- Salida: Lista de activos a ser administrado por los riesgos y una lista de procesos de
negocio relacionados con los activos y su relevancia.
2. Identificación de amenazas
1. Identificación de Activos
2. Identificación de Amenazas
3. Identificación de Controles existentes
4. Identificación de Vulnerabilidades
5. Estimación Riesgo
5.1 Evaluación Consecuencias
5.2Evaluación Probabilidades
5.3 Estimación Nivel Riesgo
- Entrada: Información sobre amenazas obtenida de la revisión de incidentes,
propietario de los activos, los usuarios y de otras fuentes, incluidos los catálogos de
las amenazas externas
- Acción: Las amenazas y sus fuentes deben ser identificadas.
- Las amenazas pueden ser accidentales (A), deliberadas (D) o ambientales (E).
- D se utiliza para todas las acciones deliberadas dirigidas a los activos de información.
- A se utiliza para todas las acciones humanas que accidentalmente puede dañas los
activos de información.
- E se utiliza para todos los incidentes que no están basados en acciones humanas.
- Hay diferentes tipos de amenazas, ejemplo: acciones no autorizadas, daños físicos,
fallos técnicos.
- Algunas amenazas pueden afectar varios activos pero con diferente tipo de impacto.
- La identificación de las amenazas y de la probabilidad de ocurrencia debe ser
obtenido de los propietarios o usuarios del activo, personal de recursos humanos,
gestión de instalaciones, especialistas en la seguridad de la información, expertos en
seguridad física, departamento legal, autoridades meteorológicas, compañías de
seguros y autoridades de gobierno nacional. No se debe olvidar considerar los
aspectos de ambiente y cultura.
- Salida: Una lista de amenazas con la identificación del tipo de amenaza y su fuente.
3. Identificación de controles existentes
- Entrada: Documentación de controles y el plan de implementación del tratamiento de
los riesgos
- Acción: Controles existentes y planeados deben ser identificados
- Es importante identificar los controles existentes para evitar trabajo y costo
innecesario. También es importante revisar que esos controles están funcionando
correctamente.
- Se debe tener una medida de eficacia del control para poder identificar el control
efectivamente. Se puede mirar como ése control reduce la probabilidad y facilita la
explosión de la vulnerabilidad o el impacto del incidente.
- Los siguiente son actividades que ayudan a la identificación de controles existentes y
planeados:
o Revisar documentos que tengan información acerca de controles. Si se cuenta
con los procesos de la administración de la seguridad de la información bien
documentados, los controles y su estado de implementación debe estar
disponible.
o Revisar con las personas responsables de la seguridad de la información y los
usuarios que los controles están implementados para los procesos de
información.
o Llevar a cabo una revisión en el lugar de los controles físicos, comparando
los implementados con la lista de los controles que deberían estar ahí y
revisar que los implementados estén funcionando correctamente y
efectivamente
o Revisar resultados de auditorías internas
- Salida: Una lista de todos los controles existentes y planeados, su implementación y
estado de uso
4. Identificación de vulnerabilidades
- Entrada: Lista de amenazas identificadas, lista de activos y controles existentes.
- Acción: Vulnerabilidades que pueden ser explotadas por una amenaza que cause
daño a un activo o sencillamente que deben ser identificados por la organización.
- Las vulnerabilidades se pueden identificar en diferentes áreas como organización,
procesos y procedimientos, adm. de rutinas, personal, ambiente físico, configuración
de sistemas de información, hardware, software o equipos de comunicación y
dependencias o partes externas.
- Una vulnerabilidad como tal no causa daño si no se presenta una amenaza. Por esta
razón, si existe una vulnerabilidad que no tenga ninguna amenaza no necesitará
ningún control, sin embargo se debe monitorear por si un cambio ocurre.
- Salida: Una lista de vulnerabilidades en relación con los activos, amenazas y
controles; una lista de vulnerabilidades que no se relaciones con ninguna amenaza
identificada para revisión.
5. Identificación de consecuencias
- Entrada: Lista de activos, lista de procesos de negocio y lista de amenazas y
vulnerabilidades propiamente relacionada con los activos y su relevancia
- Acción: Identificar las consecuencias que la pérdida de confidencialidad, integridad y
disponibilidad pueden tener sobre los activos.
- Las consecuencias pueden ser pérdida de efectividad, condiciones de operaciones
adversas, pérdida del negocio, reputación, daños, etc.
- Salida: Lista de escenarios de incidentes con sus consecuencias relacionadas a los
activos y procesos del negocio
Estimación del riesgo:
Para la realización de la estimación del riesgo se deben tener en cuenta las siguientes
metodologías que son estimación cualitativa y estimación cuantitativa.
Estimación cualitativa: Se utiliza una escala de atributos calificados para describir la
magnitud de consecuencias potenciales (bajo, medio, alto) y la probabilidad de que esas
consecuencias puedan ocurrir. Una de las ventajas de utilizar esta estimación es la
facilidad de entendimiento por todo el personal dentro de la organización. La desventaja
es la dependencia de la elección de la escala por alguien. Esta estimación se debe tener en
cuenta:
- Como una proyección de la actividad inicial para identificar los riesgos que requieran
un análisis más detallado.
- Donde ese tipo de análisis es apropiado para las decisiones
- Donde el dato numérico o fuentes están inadecuadas para una estimación cuantitativa
Estimación cuantitativa: Usa una escala con valores numéricos tanto para las
consecuencias como para la probabilidad, usando datos de diferentes fuentes. La calidad
de este análisis depende en la precisión y completitud de los valores numéricos y la
valides del modelo utilizado. Generalmente utiliza datos de incidentes históricos. La
ventaja es que se puede relacionar directamente con los objetivos de seguridad de la
información y los objetivos concernientes a la organización. La desventaja es la falta de
datos sobre los nuevos riesgos o debilidades de seguridad de la información
Los pasos que se deben realizar para la estimación del riesgo se explican a continuación.
1. Evaluación de las consecuencias
- Entrada: Lista de escenarios de incidentes relevantes que hayan sido
identificados, las amenazas identificadas, vulnerabilidades, activos afectados,
consecuencias de los activos y los procesos de negocio
- Acción: Evaluar el impacto del negocio sobre la organización que sucedió por un
incidente, teniendo en cuenta las consecuencias del incumplimiento de la
seguridad de la información (pérdida de confidencialidad, integridad o
disponibilidad de los activos)
- Las consecuencias o el impacto del negocio puede ser determinado al modelar los
resultados de un evento o de un conjunto de eventos, o también por la
investigación de estudios experimentales o datos pasados.
- Salida: Lista de consecuencias evaluadas de un incidente en un escenario
expresado con respecto a los activos y los criterios de impacto.
2. Evaluación de la probabilidad de incidentes
- Entrada: Lista de escenarios de incidentes relevantes identificados incluidos
amenazas identificadas, activos afectados, vulnerabilidades explotadas y
consecuencias de los activos y procesos del negocio. Lista de todos los controles
existentes y planeados, la efectividad de cada uno, implementación y estado de
uso.
- Acción: Evaluar la probabilidad de un incidente en un escenario.
- Después de identificar los escenarios de incidentes es necesario evaluar la
probabilidad para cada uno y el impacto ocurrido. Se debe tener en cuenta que
tan seguido ocurre la amenaza y que tan fácil la vulnerabilidad puede explotar,
considerando
Experiencias y estadísticas aplicadas para la probabilidad de las
amenazas
Para fuentes de amenazas deliberadas: motivación, capacidades y
recursos disponibles para posibles atacantes, al igual que la percepción
del atractivo y vulnerabilidades de los activos para un posible atacante
Para fuentes de amenazas accidentales: factores geográficos, la
posibilidad de condiciones extremas en el clima y factores que puedan
influenciar errores humanos y el mal funcionamiento de los equipos
Vulnerabilidades (individuales y de agregación)
Controles existentes y cómo efectivamente se reduce la vulnerabilidad
- Salida: Probabilidad de un incidente en un escenario. (Cuantitativo o cualitativo)
3. Nivel de la estimación del riesgo
- Entrada: Lista de escenarios incidentes con sus respectivas consecuencias
relacionadas con los activos y procesos del negocio y su probabilidad.
- Acción: Estimación del nivel de riesgo para todos los escenarios de incidentes
relevantes
- Salida: Lista de riesgos con el valor del nivel asignado
Metodologías seleccionadas
Las metodologías que se van a proponer en la guía metodológica son:
Guía de gestión de riesgo para los sistemas de Tecnologías de la Información. NIST: El propósito
es proveer una guía que desarrolle un programa de administración de riesgos efectivo y que ayude
a las organizaciones a manejar mejor las tecnologías de información relacionadas con la gestión
de los riesgos
MAGERIT V2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información:
Es un método formal para investigar los riesgos que soportan los Sistemas de Información y para
recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. Tiene los
siguientes puntos a favor [11].
Está reconocida por ENISA (European Network and Information Security Agency)
Sirve a las organizaciones que trabajen con información digital y sistemas informáticos.
Permite saber cuánto valor está en juego y ayuda a protegerlo.
Persigue una aproximación metódica que no deja lugar a la improvisación, ni una
dependencia de la arbitrariedad del analista.
ISO 27005Tecnologías de la información – Técnicas de seguridad – Gestión de riesgo de
seguridad de la información: Busca proveer una guía para la administración de los riesgos de la
seguridad de la información en una organización. Es labor de la organización definir el enfoque
de administración de riesgos que quiera o necesite darle. [12]
Este estándar es aplicable a cualquier tipo de organización.
Se eligieron estas metodologías por su reconocimiento a nivel mundial que lograron al encargarse de
cubrir aspectos relacionados con la seguridad de la información y que sirven de apoyo para desarrollar
políticas, controles y procedimientos. Otra de las razones fueron las organizaciones responsables de esas
metodologías, ya que son organizaciones con experiencia en lo que hacen.
Referencias
[1] http://www.nist.gov/index.html
[2] Guía de gestión de riesgo para los sistemas de Tecnologías de la Información. NIST.
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
[3] http://www.sei.cmu.edu/
[4] Introducción a OCTAVE Allegro: Mejora del proceso de evaluación de los riesgos de la seguridad
de la información. Alberts, Christopher J. & Dorofee, Audrey J. OCTAVE Criteria V2.0 (CMU/SEI-
2001-TR-016, ADA3399229). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon
University, 2001. http://www.sei.cmu.edu/publications/documents/01.reports/01tr016.html.
http://www.sei.cmu.edu/library/abstracts/reports/07tr012.cfm?DCSext.abstractsource=SearchResults
[5] http://portal.dafp.gov.co:7778/portal/page/portal/home/quienes_somos/mision_vision
[6] Guía de administración del riesgo
[7] [http://www.csi.map.es/csi/nuevo/csae_1.htm]
[8] MAGERIT V2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
[9] http://www.iso.org/iso
[10] ISO/IEC 27005. Tecnologías de la información – Técnicas de seguridad – Gestión de riesgo de
seguridad de la información
[11]
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es
&iniciativa=184
[12] http://www.27000.org/iso-27005.htm
[13] CISSP - Certified Information Systems Security Professional. All in one exam guide. 4th Edition.
McGraw-Hill. Nov. 2007.