Gestin de Riesgo

Introduccin
La Gestin de Riesgo es un mtodo que se puede aplicar en diferentes
contextos donde se debe incluir y trabajar con las consideraciones de la
seguridad.
El propsito es mostrar como se puede aplicar el enfoque de la Gestin
de Riesgo en la Seguridad Informtica y particularmente en el mbito de
las organi!aciones sociales o empresas. "l mismo tiempo se#ala los
puntos cr$ticos y cla%es que se debe reconsiderar& para que la gestin de
riesgo sea ms exitosa.
1. Defnicin de Seguridad Informtica
La Seguridad Informtica se re'ere a las caracter$sticas y condiciones de
sistemas de procesamiento de datos y su almacenamiento& para
garanti!ar su confdencialidad, integridad y disponibilidad
Considerar aspectos de seguridad signifca
a( conocer el peligro&
b( clasi'carlo
y c( protegerse
de los impactos o da#os de la mejor manera posible. Esto signi'ca que
solamente cuando estamos consientes de las potenciales amena!as&
agresores y sus intenciones da#inas )directas o indirectas( en contra de
nosotros& podemos tomar medidas de proteccin adecuadas& para que
no se pierda o da#e nuestros recursos %aliosos.
En este sentido& la Seguridad Informtica sire para la proteccin de
la informacin, en contra de amena!as o peligros, para eitar
da"os y para minimi!ar riesgos, relacionados con ella.
*. Gestin de Riesgo en la Seguridad Informtica
La Gestin de Riesgo es un mtodo para determinar, anali!ar,
alorar y clasifcar el riesgo, para posteriormente implementar
mecanismos #ue permitan controlarlo.
En su forma general contiene cuatro fases
$nlisis+ ,etermina los componentes de un sistema que requiere
proteccin& sus %ulnerabilidades que lo debilitan y las amena!as
que lo ponen en peligro& con el resultado de re%elar su grado de
riesgo.
Clasifcacin+ ,etermina si los riesgos encontrados y los riesgos
restantes son aceptables.
Reduccin+ ,e'ne e implementa las medidas de proteccin.
"dems sensibili!a y capacita los usuarios conforme a las
medidas.
Control+ "nali!a el funcionamiento& la efecti%idad y el
cumplimiento de las medidas& para determinar y ajustar las
medidas de'cientes y sanciona el incumplimiento.
-odo el proceso est basado en las llamadas pol$ticas de seguridad&
normas y reglas institucionales& que forman el marco operati%o del
proceso& con el propsito de
.otenciar las capacidades institucionales& reduciendo la
%ulnerabilidad y limitando las amena!as con el resultado de
reducir el riesgo.
/rientar el funcionamiento organi!ati%o y funcional.
Garanti!ar comportamiento 0omogneo.
Garanti!ar correccin de conductas o prcticas que nos 0acen
%ulnerables.
1onducir a la co0erencia entre lo que pensamos& decimos y
0acemos.
%. Seguridad de la Informacin y &roteccin de Datos
En la Seguridad Informtica se debe distinguir dos propsitos de
proteccin& la Seguridad de la Informacin y la &roteccin de
Datos.
Se debe distinguir entre los dos& porque forman la base y dan la ra!n&
justi'cacin en la seleccin de los elementos de informacin que
requieren una atencin especial dentro del marco de la Seguridad
Informtica y normalmente tambin dan el moti%o y la obligacin para
su proteccin.
Sin embargo 0ay que destacar que& aunque se diferencia entre la
Seguridad de la Informacin y la .roteccin de ,atos como moti%o o
obligacin de las acti%idades de seguridad& las medidas de proteccin
aplicadas normalmente sern las mismas.
.ara ilustrar un poco la diferencia entre los dos& se recomiendo 0acer el
siguiente ejercicio.
Ejercicio: Seguridad de la Informacin y Proteccin de Datos
Este ejercicio sirve para mostrar la diferencia entre la Seguridad de la Informacin y la
Proteccin de Datos y su importancia para la decisin y justificacin, cuales de los
elementos de informacin requieren una mayor atencin en su cuido.
La lista de los elementos usados y los resultados obtenidos en el ejercicio salen como
resumen de los talleres Sensibili!acin y evaluacin de riesgo para el manejo seguro de la
Informacin" y solo son de car#cter demostrativo, tampoco son completos.
Suponiendo que todos contamos con una cuenta bancaria, se $ace la pregunta a los
participantes Cules son los datos, informaciones que maneja el banco sobre m! y se
presenta las respuestas en tarjetas.
%&onsejo metodolgico' una respuesta por tarjeta(
) continuacin preguntamos,
Cules de los elementos se considera como Informacin confidencial!,
las cuales el banco deber*a tratar de tal manera, que no terminen en manos ajenas.
%&onsejo metodolgico' es importante que se aplique una "isin crtica, porque a primera
vista todos los elementos nos parecen privados", sin embargo, refle+ionando un poco
sobre nuestro propio estilo de difusin de la informacin, nos damos cuenta que muc$os de
los elementos mencionados, se maneja en un #mbito bastante p,blico(.
&omo ,ltimo paso
Cules de los elementos son de inter#s $ro$io del banco, $ara que sea ca$a% de
manejar mi cuenta! y los marcamos por ejemplo con un punto rojo.
Conclusiones:
E+iste una divergencia en la percepcin de la gente, cuales de los elementos deben
ser calificados como confidencial y por tanto recibir un tratamiento m#s cuidadoso
por parte de la institucin que lo maneja %el banco(.
Los elementos que se puede considerar como confidenciales, del punto de vista de
la persona que aparece en ellos, y por consecuencia merecen un manejo m#s
cuidadoso por parte del banco, no coinciden con los elementos que son cr*ticos para
este, para garanti!ar el buen manejo de mis recursos econmicos. Entonces $ay una
probabilidad que e+ista una diferencia en la opinin, entre el propietario de la
cuenta y el banco, sobre la importancia y atencin en el manejo de los diferentes
elementos informativos.
Dentro del marco de la Seguridad Inform#tica, los elementos que definimos como
confidenciales, requieren una atencin especial, porque est#n ligados al concepto de
la Proteccin de Datos y los que son de inter-s propio del banco %con punto rojo( a
lo de la Seguridad de la Informacin.
En la Seguridad de la Informacin el objeti%o de la proteccin son los
datos mismos y trata de e%itar su perdida y modi'cacin non2autori!ado.
La proteccin debe garanti!ar en primer lugar la con'dencialidad &
integridad y disponibilidad de los datos& sin embargo existen ms
requisitos como por ejemplo la autenticidad entre otros.
El moti%o o el motor para implementar medidas de proteccin& que
responden a la Seguridad de la Informacin& es el propio inters de la
institucin o persona que maneja los datos& porque la perdida o
modi'cacin de los datos& le puede causar un da#o )material o
inmaterial(. Entonces en referencia al ejercicio con el banco& la perdida o
la modi'cacin errnea& sea causado intencionalmente o simplemente
por negligencia 0umana& de alg3n rcord de una cuenta bancaria& puede
resultar en perdidas econmicas u otros consecuencias negati%as para la
institucin.
En el caso de la &roteccin de Datos& el objeti%o de la proteccin no
son los datos en si mismo& sino el contenido de la informacin
sobre personas, para e%itar el abuso de esta.
Esta %e!& el moti%o o el motor para la implementacin de medidas de
proteccin& por parte de la institucin o persona que maneja los datos&
es la obligacin jur$dica o la simple tica personal& de e%itar
consecuencias negati%as para las personas de las cuales se trata la
informacin.
En muc0os Estados existen normas jur$dicas que regulan el tratamiento
de los datos personales& como por ejemplo en Espa#a& donde existe la
4Ley /rgnica de .roteccin de ,atos de 1arcter .ersonal5 que tiene
por objeti%o garanti!ar y proteger& en lo que concierne al tratamiento de
los datos personales& las libertades p3blicas y los derec0os
fundamentales de las personas f$sicas& y especialmente de su 0onor&
intimidad y pri%acidad personal y familiar. Sin embargo el gran problema
aparece cuando no existen leyes y normas jur$dicas que e%itan el abuso
o mal uso de los datos personales o si no estn aplicadas
adecuadamente o arbitrariamente.
Existen algunas profesiones que& por su carcter profesional& estn
reconocidos o obligados& por su juramento& de respetar los datos
personales como por ejemplo los mdicos& abogados& jueces y tambin
los sacerdotes.
.ero independientemente& si o no existen normas jur$dicas& la
responsabilidad de un tratamiento adecuado de datos
personales y las consecuencias #ue puede causar en el caso de
no cumplirlo, recae sobre cada persona #ue mane'a o tiene
contacto con tal informacin, y deber$a tener sus ra$ces en cdigos
de conducta y 'nalmente la tica profesional y 0umana& de respetar y
no perjudicar los derec0os 0umanos y no 0acer da#o.
Si reisamos otra e! los resultados del e'ercicio con el banco y
en particular los elementos #ue clasifcamos como
(Informacin Confdencial), nos podemos preguntar,
*de #ue manera nos podr+a per'udicar un supuesto mal mane'o
de nuestros datos personales, por parte del banco, con la
consecuencia de #ue terminen en manos a'enas,
&ues, no -ay una respuesta clara en este momento sin conocer
cul es la amena!a, es decir #ui.n tuiera un inter.s en
estos datos.
/. Retos de la Seguridad
La e'ciente integracin de los aspectos de la Seguridad Informtica en
el mbito de las organi!aciones sociales y empresas enfrenta algunos
retos muy comunes que estn relacionados con el funcionamiento y las
caracter$sticas de estas.
Los temas trans%ersales no reciben la atencin que merecen y
muc0as %eces quedan completamente fuera de las
consideraciones organi!ati%as+ .ara todas las organi!aciones y
empresas& la propia Seguridad Informtica no es un 'n& sino un
tema trans%ersal que normalmente forma parte de la estructura
interna de apoyo.
0adie ie o traba'a para su seguridad, sino la implementa
para cumplir sus ob'etios.
1arencia o mal manejo de tiempo y dinero+ Implementar medidas
de proteccin signi'ca in%ertir en recursos como tiempo y dinero.
El proceso de monitoreo y e%aluacin& para dar seguimiento a los
planes operati%os est de'ciente y no integrado en estos+
Implementar procesos y medidas de proteccin& para garanti!ar la
seguridad& no es una cosa que se 0ace una %e! y despus se
ol%ide& sino requiere un control continuo de cumplimiento&
funcionalidad y una adaptacin peridica& de las medidas de
proteccin implementadas& al entorno cambiante.
-odas ests circunstancias juntas& terminan en la triste realidad& que la
seguridad en general y la Seguridad Informtica en particular no recibe
la atencin adecuada. El error ms com3n que se comete es que no se
implementa medidas de proteccin& 0asta que despus del desastre& y
las escusas o ra!ones del porque no se 0i!o60ace nada al respecto
abundan.
Enfrentarse con esta realidad y e%itando o reduciendo los da#os a un
ni%el aceptable& lo 0ace necesario trabajar en la 4Gestin de Riesgo4& es
decir
a( conocer el peligro&
b( clasi'carlo y
c( protegerse de los impactos o da#os de la mejor manera posible.
.ero una buena Gestin de riesgos no es una tarea 3nica sino un
proceso dinmico y permanente que tiene que estar integrado en los
procesos )cotidianos( de la estructura institucional& que debe incluir a
todas y todos los funcionarios
277la falla es el eslabn ms dbil de la cadena882
y que requiere el reconocimiento y apoyo de las directi%a.
Sin estas caracter$sticas esenciales no estn garanti!ados& las medidas
de proteccin implementadas no funcionarn y son una perdida de
recursos.
9. 1lementos de Informacin
Los Elementos de informacin son todos los componentes que
contienen& mantienen o guardan informacin. ,ependiendo de la
literatura& tambin son llamados $ctios o Recursos.
Son estos los "cti%os de una institucin que tenemos que proteger& para
e%itar su perdida& modi'cacin o el uso inadecuado de su contenido&
para impedir da#os para nuestra institucin y las personas presentes en
la informacin.
Generalmente se distingue y di%ide tres grupos
Datos e Informacin+ son los datos e informaciones en si mismo
Sistemas e Infraestructura+ son los componentes donde se
mantienen o guardan los datos e informaciones
&ersonal+ son todos los indi%iduos que manejan o tienen acceso a
los datos e informaciones y son los acti%os ms dif$ciles de
proteger& porque son m%iles& pueden cambiar su a'liacin y son
impredecibles
:. $mena!as y 2ulnerabilidades
$mena!as
;na "mena!a es la posibilidad de ocurrencia de cualquier tipo de e%ento
o accin que puede producir un da#o )material o inmaterial( sobre los
elementos de un sistema& en el caso de la Seguridad Informtica& los
Elementos de Informacin. ,ebido a que la Seguridad Informtica tiene
como propsitos de garanti!ar la con'dencialidad& integridad&
disponibilidad y autenticidad de los datos e informaciones& las amena!as
y los consecuentes da#os que puede causar un e%ento exitoso& tambin
0ay que %er en relacin con la con'dencialidad& integridad&
disponibilidad y autenticidad de los datos e informaciones.
,esde el punto de %ista de la entidad que maneja los datos& existen
amena!as de origen externo como por ejemplo las agresiones tcnicas&
naturales o 0umanos& sino tambin amena!as de origen interno& como la
negligencia del propio personal o las condiciones tcnicas& procesos
operati%os internos )<ota+ existen conceptos que de'enden la opinin
que amena!as siempre tienen carcter externo8(
Generalmente se distingue y di%ide tres grupos
Criminalidad+ son todas las acciones& causado por la inter%encin
0umana& que %iolan la ley y que estn penadas por esta. 1on
criminalidad pol$tica se entiende todas las acciones dirigido desde
el gobierno 0acia la sociedad ci%il.
Sucesos de origen f+sico+ son todos los e%entos naturales y
tcnicos& sino tambin e%entos indirectamente causados por la
inter%encin 0umana.
0egligencia y decisiones institucionales+ son todas las
acciones& decisiones u omisiones por parte de las personas que
tienen poder e in=uencia sobre el sistema. "l mismo tiempo son
las amena!as menos predecibles porque estn directamente
relacionado con el comportamiento 0umano.
Existen amena!as que dif$cilmente se dejan eliminar )%irus de
computadora( y por eso es la tarea de la gestin de riesgo de pre%erlas&
implementar medidas de proteccin para e%itar o minimi!ar los da#os en
caso de que se realice una amena!a.
.ara mostrar algunas de las amena!as ms preocupantes& consultamos
dos estad$sticas& el primer grafo sale de la 4Encuesta sobre Seguridad y
1rimen de 1omputacin > *??@A del Instituto de Seguridad de
1omputacin )1SI por sus siglas en ingls( que base en BCC respuestas
de diferentes entidades pri%adas y estatales en los EE.;;
El segundo tiene su origen en una encuesta que se 0i!o en el a#o *??D&
con CB organi!aciones sociales a ni%el centroamericano
"mbos grafos& muestran el porcentaje de todos los encuestados que
sufrieron ese tipo de ataque.
1omo se obser%a& existen algunas similitudes respecto a las amena!as
ms preocupantes
"taques de %irus )E9?F(
Robo de celulares& porttiles y otros equipos )EB?F(
.ero tambin existen otras amena!as que& aunque no apare!can en
ambas encuestas& son muy alarmantes y que se debe tomar en
consideracin
Galta de respaldo de datos
.erdida de informacin por rotacin& salida de personal
"buso de conocimientos internos
Hal manejo de equipos y programas
"cceso no2autori!ado
etc
2ulnerabilidades
La Iulnerabilidad es la capacidad& las condiciones y caracter$sticas del
sistema mismo )incluyendo la entidad que lo maneja(& que lo 0ace
susceptible a amena!as& con el resultado de sufrir alg3n da#o. En otras
palabras& es la capacitad y posibilidad de un sistema de responder o
reaccionar a una amena!a o de recuperarse de un da#o
Las %ulnerabilidades estn en directa interrelacin con las amena!as
porque si no existe una amena!a& tampoco existe la %ulnerabilidad o no
tiene importancia& porque no se puede ocasionar un da#o.
,ependiendo del contexto de la institucin& se puede agrupar las
%ulnerabilidades en grupos caracter$sticos+ $mbiental& 3+sica&
1conmica& Social& 1ducatio& Institucional y &ol+tica.
D. $nlisis de Riesgo
El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene
como propsito determinar los componentes de un sistema que
requieren proteccin& sus %ulnerabilidades que los debilitan y las
amena!as que lo ponen en peligro& con el 'n de %alorar su grado de
riesgo.
Clasifcacin y 3lu'o de Informacin
La clasi'cacin de datos tiene el propsito de garanti!ar la proteccin de
datos )personales( y signi'ca de'nir& dependiendo del tipo o grupo de
personas internas y externas& los diferentes ni%eles de autori!acin de
acceso a los datos e informaciones. 1onsiderando el contexto de nuestra
misin institucional& tenemos que de'nir los ni%eles de clasi'cacin
como por ejemplo+ con'dencial& pri%ado& sensiti%o y p3blico. 1ada ni%el
de'ne por lo menos el tipo de persona que tiene derec0o de acceder a
los datos& el grado y mecanismo de autenticacin.
;na %e! clasi'cada la informacin& tenemos que %eri'car los diferentes
=ujos existentes de informacin internos y externos& para saber quienes
tienen acceso a que informacin y datos.
1lasi'car los datos y anali!ar el =ujo de la informacin a ni%el interno y
externo es importante& porque ambas cosas in=uyen directamente en el
resultado del anlisis de riesgo y las consecuentes medidas de
proteccin. .orque solo si sabemos quienes tienen acceso a que datos y
su respecti%a clasi'cacin& podemos determinar el riesgo de los datos& al
sufrir un da#o causado por un acceso no autori!ado.
$nlisis de Riesgo
Existen %arios mtodos de como %alorar un riesgo y al 'nal& todos tienen
los mismos retos 2las %ariables son dif$ciles de precisar y en su mayor$a
son estimaciones2 y llegan casi a los mismos resultados y conclusiones.
En el mbito de la Seguridad Informtica& el mtodo ms usado es el
"nlisis de Riesgo.
La %aloracin del riesgo basada en la formula matemtica
Riesgo 4 &robabilidad de $mena!a 5 6agnitud de Da"o
.ara la presentacin del resultado )riesgo( se usa una gr'ca de dos
dimensiones& en la cual& el eje2x )0ori!ontal& abscisa( representa la
4.robabilidad de "mena!a5 y el eje2y )%ertical& ordenada( la 4Hagnitud
de ,a#o5. 7a &robabilidad de $mena!a y 6agnitud de Da"o
pueden tomar condiciones entre Insigni'cante )J( y "lta )B(. En la
practica no es necesario asociar %alores aritmticos a las condiciones de
las %ariables& sin embargo facilita el uso de 0erramientas tcnicas como
0ojas de calculo.
<ota+ La escala )B condiciones( de la .robabilidad de "mena!a y
Hagnitud de ,a#o no es 'jo y puede ser adaptada y a'nada a las
necesidades propias. En diferentes literaturas& particularmente la
.robabilidad de "mena!a puede tomar 0asta seis diferentes condiciones.
1omo mencion& el reto en la aplicacin del mtodo es precisar o
estimar las condiciones )%alores( de las dos %ariables& porque no basen
en parmetros claramente medibles. Sin embargo& el anlisis de riesgo
nos permite ubicar el riesgo y conocer los factores que in=uyen&
negati%a2 o positi%amente& en el riesgo.
En el proceso de anali!ar un riesgo tambin es importante de reconocer
que cada riesgo tiene sus caracter$sticas+
,inmico y cambiante )Interaccin de "mena!as y Iulnerabilidad(
,iferenciado y tiene diferentes caracteres )caracteres de
Iulnerabilidad(
<o siempre es percibido de igual manera entre los miembros de
una institucin que tal%e! puede terminar en resultados
inadecuados y por tanto es importante que participan las personas
especialistas de los diferentes elementos del sistema
)1oordinacin& "dministracin 'nanciera& -cnicos& 1onserje&
Soporte tcnico externo etc.(
El modelo se pude aplicar a los diferentes elementos de manera aislado&
sino tambin al sistemas completa& aunque en el primer caso& el
resultado 'nal ser ms preciso pero tambin requiere ms esfuer!o.
Entre ms alta la .robabilidad de "mena!a y Hagnitud de ,a#o& ms
grande es el riesgo y el peligro al sistema& lo que signi'ca que es
necesario implementar medidas de proteccin.
&robabilidad de $mena!a
Se 0abla de un "taque& cuando una amena!a se con%irti en realidad& es
decir cuando un e%ento se reali!. .ero el ataque no dice nada sobre el
xito del e%ento y s$ o no& los datos e informaciones fueron perjudicado
respecto a su con'dencialidad& integridad& disponibilidad y autenticidad.
.ara estimar la .robabilidad de "mena!a nos podemos 0acer algunas
preguntas
*Cul es el inter.s o la atraccin por parte de indiiduos
e5ternos, de atacarnos, "lgunas ra!ones pueden ser que
manejamos informacin que contiene no%edades o in%entos&
informacin comprometedora etc& tal %e! tenemos competidores
en el trabajo& negocio o simplemente por el imagen o posicin
p3blica que tenemos.
*Cules son nuestras ulnerabilidades, Es importante
considerar todos los grupos de %ulnerabilidades. -ambin se
recomienda incluir los expertos& especialistas de las diferentes
reas de trabajo para obtener una imagen ms completa y ms
detallada sobre la situacin interna y el entorno.
*Cuntas eces ya -an tratado de atacarnos, "taques
pasados nos sir%en para identi'car una amena!a y si su ocurrencia
es frecuente& ms grande es la probabilidad que pasar otra %e!.
En el caso de que ya tenemos implementadas medidas de
proteccin es importante lle%ar un registro& que muestra los casos
cuando la medida se aplico exitosamente y cuando no. .orque de
tal manera& sabemos en primer lugar si toda%$a existe la amena!a
y segundo& cul es su riesgo actual.
1onsiderando todos los puntos anteriores& nos permite clasi'car la
.robabilidad de "mena!a. Sin embargo& antes tenemos que de'nir el
signi'cado de cada condicin de la probabilidad )Kaja& Hediana& "lta(.
Las de'niciones mostradas en la imagen anterior solo son un ejemplo
aproximado& pero no necesariamente re=eja la realidad y la opinin
com3n y por tanto se recomienda que cada institucin de'na sus
propias condiciones.
6agnitud de Da"o
Se 0abla de un Impacto& cuando un ataque exitoso perjudic la
con'dencialidad& integridad& disponibilidad y autenticidad de los datos e
informaciones.
Estimar la Hagnitud de ,a#o generalmente es una tarea muy compleja.
La manera ms fcil es expresar el da#o de manera cualitati%a& lo que
signi'ca que aparte del da#o econmico& tambin se considera otros
%alores como da#os materiales& imagen& emocionales& entre otros.
Expresarlo de manera cuantitati%a& es decir calcular todos los
componentes en un solo da#o econmico& resulta en un ejercicio aun
ms complejo y extenso.
"unque cono!camos bien el impacto de un ataque exitoso& sus
consecuencias pueden ser m3ltiples& a %eces son impre%isibles y
dependen muc0o del contexto donde manejamos la informacin& sea en
una /<G )derec0os 0umanos& centro de informacin etc.(& en una
empresa pri%ada )banco& cl$nica& produccin etc.(& en una institucin
Estatal o en el mbito pri%ado. /tro factor decisi%o& respecto a las
consecuencias& es tambin el entorno donde nos ubicamos& es decir
cuales son las Leyes y prcticas comunes& culturales que se aplica para
sancionar el incumplimiento de las normas.
;n punto muy esencial en el anlisis de las consecuencias es la
diferenciacin entre los dos propsitos de proteccin de la Seguridad
Informtica& la Seguridad de la Informacin y la .roteccin de datos&
porque nos permite determinar& quien %a a sufrir el da#o de un impacto&
nosotros& otros o ambos. En todo caso& todos nuestros comportamientos
y decisiones debe ser dirigidos por una conciencia responsable& de no
causar da#o a otros& aunque su realidad no tenga consecuencias
negati%as.
/tras preguntas que podemos 0acernos para identi'car posibles
consecuencias negati%as causadas por un impacto son+
*15isten condiciones de incumplimiento de
confdencialidad 8interna y e5terna9, Esto normalmente es el
caso cuando personas non2autori!ados tienen acceso a
informacin y conocimiento ajeno que pondr en peligro nuestra
misin.
*15isten condiciones de incumplimiento de obligacin
'ur+dicas, contratos y conenios, <o cumplir con las normas
legales fcilmente puede culminar en sanciones penales o
econmicas& que perjudican nuestra misin& existencia laboral y
personal.
*Cul es el costo de recuperacin, <o solo 0ay que considerar
los recursos econmicos& tiempo& materiales& sino tambin el
posible da#o de la imagen p3blica y emocional.
1onsiderando todos los aspectos mencionados& nos permite clasi'car la
Hagnitud del ,a#o. Sin embargo& otra %e! tenemos que de'nir primero
el signi'cado de cada ni%el de da#o )Kaja& Hediana& "lta(. Las
de'niciones mostradas en la imagen anterior solo son un ejemplo
aproximado& pero no necesariamente re=eja la realidad y la opinin
com3n y por tanto se recomienda que cada institucin de'na sus propios
ni%eles.
@. 6atri! para el $nlisis de Riesgo
Introduccin
La Hatri! para el "nlisis de Riesgo& es producto del proyecto y fue
punto cla%e en anali!ar y determinar los riesgos en el manejo de los
datos e informacin de las organi!aciones sociales participantes. La
Hatri!& que bas en una 0oja de calculo& no dar un resultado detallado
sobre los riesgos y peligros de cada recurso )elemento de informacin(
de la institucin& sino una mirada aproximada y generali!ada de estos.
Lay que tomar en cuenta que el anlisis de riesgo detallado& es un
trabajo muy extenso y consumidor de tiempo& porque requiere que se
compruebe todos los posibles da#os de cada recurso de una institucin
contra todas las posibles amena!as& es decir terminar$amos con un
sinn3mero de grafos de riesgo que deber$amos anali!ar y clasi'car. .or
otro lado& 0ay que reconocer que la mayor$a de las organi!aciones
sociales y empresas& ni cuentan con personal tcnico espec$'co para los
equipos de computacin& ni con recursos econmicos o muc0o tiempo
para dedicarse o preocuparse por la seguridad de la informacin que
manejan y en muc0as ocasiones tampoco por la formacin adecuada de
sus funcionarios en el manejo de las 0erramientas informticas.
Entonces lo que se pretende con el enfoque de la Hatri! es locali!ar y
%isuali!ar los recursos de una organi!acin& que estn ms en peligro de
sufrir un da#o por alg3n impacto negati%o& para posteriormente ser
capa! de tomar las decisiones y medidas adecuadas para la superacin
de las %ulnerabilidades y la reduccin de las amena!as.
3undamento de la 6atri!
La Hatri! la bas en el mtodo de "nlisis de Riesgo con un grafo de
riesgo& usando la formula Riesgo 4 &robabilidad de $mena!a 5
6agnitud de Da"o
La .robabilidad de "mena!a y Hagnitud de ,a#o pueden tomar los
%alores y condiciones respecti%amente
J M Insignifcante )incluido <inguna(
* M :a'a
C M 6ediana
B M $lta
El Riesgo& que es el producto de la multiplicacin .robabilidad de
"mena!a por Hagnitud de ,a#o& est agrupado en tres rangos& y para
su mejor %isuali!acin& se aplica diferentes colores.
:a'o Riesgo M J > : )%erde(
6edio Riesgo M @ > N )amarillo(
$lto Riesgo M J* > J: )rojo(
;so de la 6atri!
La Hatri! %erdadera la bas en un arc0i%o con %arias 0ojas de calculo
que superan el tama#o de una simple pantalla de un monitor. Entonces
por ra!ones demostrati%as& en las siguientes imgenes solo se muestra
una fraccin de ella.
La Hatri! contiene una coleccin de diferentes "mena!as )campos
%erdes( y Elementos de informacin )campos rojos(. .ara llenar la Hatri!&
tenemos que estimar los %alores de la .robabilidad de "mena!a )campos
a!ules( por cada "mena!a y la Hagnitud de ,a#o )campos amarillas( por
cada Elemento de Informacin.
.ara la estimacin de la .robabilidad de amena!as& se trabaja con un
%alor generali!ado& que )solamente( est relacionado con el recurso ms
%ulnerable de los elementos de informacin& sin embargo usado para
todos los elementos.
Si por ejemplo existe una gran probabilidad de que nos pueden robar
documentos y equipos en la o'cina& porque ya entraron %arias %eces y
no contamos toda%$a con una buena %igilancia nocturna de la o'cina& no
se distingue en este momento entre la probabilidad si robarn una
porttil& que est en la o'cina )con gran probabilidad se %an a lle%arla(&
o si robarn un documento que est encerrado en una caja fuerte
escondido )es menos probable que se %an a lle%ar este documento(.
Este proceder ob%iamente introduce algunos resultados falsos respecto
al grado de riesgo )algunos riesgos saldrn demasiado altos(& algo que
posteriormente tendremos que corregirlo. Sin embargo& excluir algunos
resultados falsos toda%$a es muc0o ms rpido y barato& que 0acer un
anlisis de riesgo detallado& sobre todo cuando el enfoque solo es
combatir los riesgos ms gra%es.
En el caso de que se determine los %alores para la .robabilidad de
"mena!a y Hagnitud de ,a#o a tra%s de un proceso participati%o de
trabajo en grupo )grande(& se recomienda primero llenar los 'c0as de
apoyo para los Elementos de Informacin y .robabilidad de "mena!a& y
una %e! consolidado los datos& llenar la matri!.
,ependiendo de los %alores de la .robabilidad de "mena!a y la
Hagnitud de ,a#o& la Hatri! calcula el producto de ambos %ariables y
%isuali!a el grado de riesgo.
,ependiendo del color de cada celda& podemos sacar conclusiones no
solo sobre el ni%el de riesgo que corre cada elemento de informacin de
sufrir un da#o signi'cati%o& causado por una amena!a& sino tambin
sobre las medidas de proteccin necesarias
.roteger los datos de RR.LL& Ginan!as contra %irus
.roteger los datos de Ginan!as y el 1oordinador contra robo
E%itar que se compartan las contrase#as de los porttiles
Etc& etc
-ambin& como se mencion anteriormente& existen combinaciones que
no necesariamente tienen muc0o sentido y por tanto no se las considera
para de'nir medidas de proteccin
.roteger el .ersonal )1oordinador y .ersonal tcnico( contra Iirus
de computacin
E%itar la falta de corriente
Etc& etc

1lementos de la 6atri!
La Hatri! la bas en una 0oja de calculo
La Hatri! est compuesto por : 0ojas
1<Datos+ Es la 0oja para %alorar el riesgo para los Elementos de
Informacin 4,atos e Informaciones5& llenando los campos
4Hagnitud de ,a#o5 y 4.robabilidad de "mena!a5 conforme a sus
%alores estimados )solo estn permitidos %alores entre J y B(. Los
%alores de .robabilidad de "mena!a solo se aplica en est 0oja&
porque las dems 0ojas& 0acen referencia a estos.
=<Sistemas+ Es la 0oja para %alorar el riesgo para los Elementos
de Informacin 4Sistemas e Infraestructura5. Lay que llenar solo
los %alores de Hagnitud de ,a#o& debido a que los %alores de
.robabilidad de "mena!a estn copiados automticamente desde
la 0oja 4JO,atos5. Igual como en 4JO,atos5& los tres campos de
41lasi'cacin5 )"cceso exclusi%o& "cceso ilimitado& 1osto de
recuperacinP(.
%<&ersonal+ Es la 0oja para %alorar el riesgo para los Elementos
de Informacin 4.ersonal5. Igual como en 4*OSistemas5& solo 0ay
que llenar los %alores de Hagnitud de ,a#o. /tra %e!& los tres
campos de 41lasi'cacin5 )Imagen p3blicaP& .er'l medioP& .er'l
bajoP( solo sir%en como campo de apoyo.
$nlisis<&romedio+ Esta 0oja muestra el promedio aritmtico de
los diferentes riesgos& en relacin con los diferentes grupos de
amena!as y da#os. La idea de esta 0oja es ilustrar& en que grupo
)combinacin de .robabilidad de "mena!a y Hagnitud de ,a#o(
0ay mayor o menor peligro. <o 0ay nada que llenar en esta 0oja.
$nlisis<3actores+ Esta 0oja tiene el mismo propsito como la
0oja 4"nlisisO.romedio5& con la diferencia que esta %e! el
promedio aritmtico de los grupos est mostrado en un grafo&
dependiendo de la .robabilidad de "mena!a y Hagnitud de ,a#o.
La linea amarilla muestra el traspaso de la !ona Kajo Riesgo a
Hediano Riesgo y la linea roja& el traspaso de Hediano riesgo a
"lto Riesgo. La idea de esta 0oja es ilustrar el ni%el de peligro por
grupo y la in=uencia de cada factor ).robabilidad de amena!a&
Hagnitud de ,a#o(.
3uente+ Esta 0oja se usa solo para la de'nicin de algunos %alores
generales de la matri!.
$daptacin de la 6atri! a las necesidades indiiduales
La Hatri! trabaja con una coleccin de diferentes "mena!as y Elementos
de informacin. "mbas colecciones solo representan una aproximacin a
la situacin com3n de una organi!acin& pero no necesariamente
re=ejan la realidad de una organi!acin especi'ca. Entonces si 0ay
necesidad de adaptar la Hatri! a la situacin real de una organi!acin&
solo 0ay que ajustar los %alores de las $mena!as en la 0oja 41<Datos5
)solo en esta( y los 1lementos de informacin en su -o'a
correspondiente. .ero ojo& si 0ay que insertar& quitar 'las o columnas&
se recomienda 0acerlo con muc0o cuidado& debido a que se corre el
peligro de introducir errores en la presentacin y el calculo de los
resultados.
>. Clasifcacin de Riesgo
El objeti%o de la clasi'cacin de riesgo es determinar 0asta que grado es
factible combatir los riesgos encontrados. La factibilidad normalmente
depende de la %oluntad y posibilidad econmica de una institucin& sino
tambin del entorno donde nos ubicamos. Los riesgos que no queremos
o podemos combatir se llaman riesgos restantes y no 0ay otra solucin
que aceptarlos.
Implementar medidas para la reduccin de los riesgos signi'ca reali!ar
in%ersiones& en general econmicas. El reto en de'nir las medidas de
proteccin& entonces est en encontrar un buen equilibrio entre su
funcionalidad )cumplir con su objeti%o( y el esfuer!o econmico que
tenemos que 0acer para la implementacin y el manejo de estas.
,e igual manera como debemos e%itar la escase! de proteccin& porque
nos deja en peligro que pueda causar da#o& el exceso de medidas y
procesos de proteccin& pueden fcilmente parali!ar los procesos
operati%os e impedir el cumplimiento de nuestra misin. El caso extremo
respecto al exceso de medidas ser$a& cuando las in%ersiones para ellas&
superen el %alor del recurso que pretenden proteger.
Entonces el estado que buscamos es& que los esfuer!os econmicos que
reali!amos y los procesos operati%os& para mantener las medidas de
proteccin& son su'cientes& ajustados y optimi!ados& para que
respondan exitosamente a las amena!as y debilidades
)%ulnerabilidades( que enfrentamos.
1on Riesgo restante se entiende dos circunstancias& por un lado son
estas amena!as y peligros que& aunque tenemos implementados
medidas para e%itar o mitigar sus da#os& siempre nos pueden afectar& si
el ataque ocurre con una magnitud superior a lo esperado. .odemos
protegernos de cierto modo contra los impactos de un terremoto com3n&
sin embargo cuando ocurre con una fuer!a superior o antes no conocido&
el impacto general ser muc0o ms grande y muy probablemente
afectar tambin a nosotros.
La otra situacin es cuando aceptamos conscientemente los posibles
impactos y sus consecuencias& despus de 0aber reali!ado el anlisis de
riesgo y la de'nicin de las medidas de proteccin. Las ra!ones para
tomar esta decisin pueden ser %arias& sea que e%itar los da#os no est
dentro de nuestra posibilidad y %oluntad econmica o porque no
entendemos que no tenemos su'ciente poder sobre el entorno. Sea lo
que sea la ra!n& el punto importante es que sabemos sobre la amena!a
y decidimos %i%ir con ella y su posible consecuencia.
J?.Reduccin de Riesgo
La reduccin de riesgo se logra a tra%s de la implementacin de
Hedidas de proteccin& que basen en los resultados del anlisis y de la
clasi'cacin de riesgo.
Las medidas de proteccin estn di%ididos en medidas f+sicas y
t.cnicas& personales y organi!atias.
En referencia al "nlisis de riesgo& el propsito de las medidas de
proteccin& en el mbito de la Seguridad Informtica& solo tienen un
efecto sobre los componentes de la .robabilidad de "mena!a& es decir
aumentan nuestra capacidad f$sica& tcnica& personal y organi!ati%a&
reduciendo as$ nuestras %ulnerabilidades que estn expuestas a las
amena!as que enfrentamos. Las medidas normalmente no tienen ning3n
efecto sobre la Hagnitud de ,a#o& que depende de los Elementos de
Informacin y del contexto& entorno donde nos ubicamos. Es decir& no se
trata y muy dif$cilmente se puede cambiar el %alor o la importancia que
tienen los datos e informaciones para nosotros& tampoco %amos a
cambiar el contexto& ni el entorno de nuestra misin.
La fuer!a y el alcance de las medidas de proteccin& dependen del ni%el
de riesgo
$lto riesgo+ Hedidas deben eitar el impacto y da"o.
6edio riesgo+ Hedidas solo mitigan la magnitud de da"o pero
no e%itan el impacto.
1onsiderando que la implementacin de medidas de proteccin estn en
directa relacin con in%ersiones de recursos econmicos y procesos
operati%os& es ms que ob%io& que las medidas& para e%itar un da#o&
resultarn )muc0o( ms costosas y complejas& que las que solo mitigan
un da#o.
.ara que las medias sean exitosas& es esencial que siempre %eri'camos
su factibilidad& es decir que tcnicamente funcionan y cumplen su
propsito& que estn incorporadas en los procesos operati%os
institucionales y que las personas se apropian de ests. Es indispensable
que estn respaldadas& aprobadas por aplicadas por la coordinacin&
porque sino& pierden su credibilidad. -ambin signi'ca que deben ser
dise#adas de tal manera& que no parali!an o obstaculi!an los procesos
operati%os porque deben apoyar el cumplimiento de nuestra misin& no
impedirlo.
/tro punto cla%e es& que las personas que deben aplicar y apropiarse de
las medias saben sobre su existencia& propsito e importancia y son
capacitadas adecuadamente en su uso& de tal manera& que las %en como
una necesidad institucional y no como otro cortapisa laboral.
,ebido a que la implementacin de las medidas no es una tarea aislada&
3nica& sino un proceso continuo& su manejo y mantenimiento debe estar
integrado en el funcionamiento operati%o institucional& respaldado por
normas y reglas que regulan su aplicacin& control y las sanciones en
caso de incumplimiento.
11. Control de Riesgo
El propsito del control de riesgo es anali!ar el funcionamiento& la
efecti%idad y el cumplimiento de las medidas de proteccin& para
determinar y ajustar sus de'ciencias.
Las acti%idades del proceso& tienen que estar integradas en el plan
operati%o institucional& donde se de'ne los momentos de las
inter%enciones y los responsables de ejecucin.
Hedir el cumplimiento y la efecti%idad de las medidas de proteccin
requiere que le%antemos constantemente registros sobre la ejecucin de
las acti%idades& los e%entos de ataques y sus respecti%os resultados.
Estos tenemos que anali!ados frecuentemente. ,ependiendo de la
gra%edad& el incumplimiento y el sobrepasar de las normas y reglas&
requieren sanciones institucionales para los funcionarios.
En el proceso continuo de la Gestin de riesgo& las conclusiones que
salen como resultado del control de riesgo& nos sir%en como fuente de
informacin& cuando se entra otra %e! en el proceso de la "nlisis de
riesgo.