7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 1/38
Ing. Juan Carlos Molina García
Especialista Arquitecto Empresarial
Magíster en Ingeniería de Sistemas y Computación
Análisis de Riesgos sobre la
Información de SI
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 2/38
Análisis de Riesgos sobre la
Información de SI
¿Por qué medir el riesgo?
“La medición es el primer paso para el control y la mejora. Si
algo no se puede medir, no se puede entender. Si no se
entiende, no se puede controlar no se puede mejorar.”
H. James Harrinton
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 3/38
Análisis de Riesgos sobre la
Información de SI
El riesgo es una función de la probabilidad que una amenazaactúe sobre una vulnerabilidad, y el impacto resultante es el
evento adverso (puede generar perdidas)
Riesgo = F(Impacto, Probabilidad)
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 4/38
Análisis de Riesgos sobre la
Información de SI
Amenza
Cualquier circustancia o evento con el potencial de impactar
adversamente los activos de una organización
Criminales
Sucesos Físicos Negligencia y malas decisiones
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 5/38
Análisis de Riesgos sobre la
Información de SI
Vulnerabilidad
Debilidad de un sistema de información, procedimiento de
seguridad, control interno o implementación, que pueda ser
explotada por un fuente de amenaza.
NIST SP 800-39
Ambientales/Físicas
Económicas
Socio-Educativa
Institucional/ Política
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 6/38
Análisis de Riesgos sobre la
Información de SI
Ejemplo vulnerabilidad
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 7/38
Análisis de Riesgos sobre la
Información de SI
Impacto Estimación de una consecuencia ocasionada por un nuevo
evento
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 8/38
Análisis de Riesgos sobre la
Información de SI
Probabilidad Estimación de la ocurrencia de una evento teniendo en cuenta la
frecuencia de los hechos, históricos, la motivación, capacidad y
los recursos con que se cuentan los posibles atacantes, la
percepción de qué tan atractivo es el activo y susvulnerabilidades, entre otros.
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 9/38
Análisis de Riesgos sobre la
Información de SI
Gestión de Riesgos Aplicación sistemática de políticas de administración,
procedimientos y prácticas a las actividades de identificar,
analizar, tratar y monitorear el riesgo.
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 10/38
Análisis de Riesgos sobre la
Información de SI
Beneficios Decisiones más efectivas
Asignación de recursos más eficiente
Toma de decisiones transparente
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 11/38
Análisis de Riesgos sobre la
Información de SI
Proceso de Gestión de Riesgos
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 12/38
Análisis de Riesgos sobre la
Información de SI Marcos de Referencia
AZ/NZ 4360: estándar australiano y neozelandés de administración de riesgos.
NTC 5254: norma colombiana de gestión de riesgos
ISO 31000: administración del riesgo
ISO 27000: seguridad en sistemas de información
NIST 800-30/800-39: manejo de riesgos en tecnologías de información y gestión deriesgos(USA)
RISK IT: Framework que provee la vista de todos los riesgos relacionados con las TI(ISACA)
MAGERIT: metodología de análisis y gestión de riesgos de los Sistemas de Información
(Española)
OCTAVE: herramientas, técnicas y métodos para la planeación de estratégica de los
riesgos( Carnegie Mellon University)
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 13/38
Análisis de Riesgos sobre la
Información de SI
No interesa el método, siempre debe: Identificar el activo de Información
Identificar vulnerabilidades
Identificar amenazas
Valorar el impacto de la perdida de integridad, confidencialidad
y disponibilidad del negocio
Valorar la posibilidad realista que exista la falla
Estimar el riesgo
Definir la opción de tratamiento(evitar, reducir, transferir,
aceptar)
Tomar las acciones definidas.
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 14/38
Análisis de Riesgos sobre la
Información de SI
C u a l
i t a t i v o • Subjetivo
• Menor precisión
• No hay análisis decosto beneficio
• Poco complejo• Uso de observación
• Fácil de comunicar C u a n t
i t a t i v o • Objetivo
• Mayor precisión
• Análisis de costo beneficio
• Complejo• Uso de fórmulas
matemáticas
• Difícil de comunicarSemi cuantitativo
Tipos de análisis de riesgos
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 15/38
Análisis de Riesgos sobre la
Información de SI
Análisis de riesgos cuantitativos Valor de activo(V)
Costo de reposición del activo, perdida de productividad, remplazo de
datos, propiedad intelectual, demandas, multas, sanciones, etc. Valor del
impacto. Factor de exposición (FE)
Es la proporción del valor de un activo que tiene probabilidad de ser
destruido por un riesgo en particular, expresada como porcentaje.
Single-time Loss Expantancy-Expectativa de Pérdida única
Cuando ocurre una amenaza, cuál es la perdida monetaria del activo.
Considere el valor del activo (V) por la exposición de la ocurrencia de la
amenaza, será igual a SLE.
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 16/38
Análisis de Riesgos sobre la
Información de SI
Análisis de riesgos cuantitativos Annualized Rate of Ocurrance (ARO)
Cual es la probabilidad de la ocurrencia en una año
Annualized loss Exposure(ALE)
Valor representado por el proceso clásico de análisis de riesgoindicando la expectativa de pérdida para cada amenaza dada
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 17/38
Análisis de Riesgos sobre la
Información de SI
Análisis de riesgos cuantitativos
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 18/38
Análisis de Riesgos sobre la
Información de SI
Análisis de riesgos cuantitativos Ejemplo
El costo de un servidor es de 4000
El factor de exposición de servidor en caso de desastre es de 25%
La probabilidad de la ocurrencia de la amenaza es de una vez en 10 añosObjetivo: Costo de protección en el período<ALE
¿Cual es el valor del activo?¿FE?¿SLE?¿ARO?¿ALE?
$4000; 25%;1000;0.1;100
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 19/38
Análisis de Riesgos sobre la
Información de SI
Análisis de riesgos cualitativos La magnitud del impacto y la probabilidad se describen en
forma detallada.
Se emplea en los siguientes casos:
Evaluación inicial para identificar riesgos que se van a evaluar másadelante
Cuando se consideran aspectos intangibles
Cuando no se cuenta con información suficiente y adecuada.
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 20/38
Análisis de Riesgos sobre la
Información de SI
Análisis de riesgos cualitativos
Ejemplos
Es muy probable que se genere un impacto negativo en la
imagen de la organización a nivel nacional.
La probabilidad de que la organización pierda credibilidad
ante sus cliente es casi nula
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 21/38
Análisis de Riesgos sobre la
Información de SI
Análisis de riesgos semi cuantitativos Se asignan valores a las escalas empleadas en el análisis
cualitativo
Los valores son representativos, no reales.
Se busca establecer prioridades entre los niveles de riesgo
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 22/38
Análisis de Riesgos sobre la
Información de SI
Gestión de riesgos
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 23/38
Análisis de Riesgos sobre la
Información de SI
Gestión de riesgos – Planear
Identificación de activos
Valoración de activos
Identificación de amenzas yvulnerabilidades
Valoración de la probabilidad de losescenarios de riesgo
Identificación y valoración decontroles
Cálculo de riesgos
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 24/38
Análisis de Riesgos sobre la
Información de SI
Planear Identificar activo de información
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 25/38
Análisis de Riesgos sobre la
Información de SI
Planear Valoración de Impacto
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 26/38
Análisis de Riesgos sobre la
Información de SI
Planear Valoración de Impacto
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 27/38
Análisis de Riesgos sobre la
Información de SI
Planear Amenzas y Vulnerabilidades
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 28/38
Análisis de Riesgos sobre la
Información de SI
Planear Valoración de la probabilidad
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 29/38
Análisis de Riesgos sobre la
Información de SI
Amenazas y vulnerabilidades
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 30/38
Análisis de Riesgos sobre la
Información de SI
Control Medio para gestionar el riesgo, incluyendo políticas,
procedimientos, directrices, prácticas o estructuras de la
organización que pueden ser de naturaleza administrativa,
técnica, de gestión o legal. Pueden mitigar la probabilidad y/o el impacto
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 31/38
Análisis de Riesgos sobre la
Información de SI
Valoración de Controles
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 32/38
Análisis de Riesgos sobre la
Información de SI
Niveles de Riesgo Riesgo inherente / neto: sin controles
Riesgo residual : remanente luego de definir acciones(controles,
salvaguardas)
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 33/38
Análisis de Riesgos sobre la
Información de SI
Riesgo Inherente
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 34/38
Análisis de Riesgos sobre la
Información de SI
Cálculo del riesgo inherente
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 35/38
Análisis de Riesgos sobre la
Información de SI
Riesgo residual
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 36/38
Análisis de Riesgos sobre la
Información de SI
Riesgo residual
Se puede detallar el
impacto en cada activo
Se puede detallar el
factor que se está
mitigando
7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf
http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 37/38
Análisis de Riesgos sobre la
Información de SI
Top Related