Securing Business

Anlisis y Gestin de Riesgos de Seguridad de

la Informacin
Ing. Nancy Vilchez L.
CRISC, CGEIT, ISO 27002, LA ISO 27001,
COBIT-F, ITIL
Clase II

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Anlisis de Riesgos
Es el proceso mediante el cual se identifican las
amenazas y vulnerabilidades de los principales activos
de informacin y mediante la estimacin del impacto y
probabilidad de ocurrencia de las principales amenazas
es posible determinar cualitativamente la magnitud del
riesgo.

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Qu Afecta en los activos

de informacin?
ACTIVO

AMENAZA

VULNERABILIDAD

Securing Business

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Valor CID

RIESGO EFECTIVO
PROBABILI
IMPACTO
DAD

NIVEL DE
RIESGO

NOMBRE DEL
RIESGO

CODIGO
DE
RIESGO

Securing Business

Anlisis de Riesgos

a)
b)
c)
d)

Identificacin y evaluacin de activos

Identificar las amenazas correspondientes
Identificar las vulnerabilidades
Determinar el impacto y la probabilidad de
ocurrencia de una amenaza
e) Determinar los controles a mejorar e implementar

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Identificacin de Amenazas y Vulnerabilidades

Securing Business

Amenaza: es un evento que potencialmente puede

causar dao. Por ejemplo: Fuego / Incendio
Vulnerabilidad: es una debilidad que puede ser
explotada por una amenaza por ejemplo: Material
inflamable en las oficinas.

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Determinacin del Impacto

Impacto: Es la consecuencia de la explotacin de una

vulnerabilidad por una amenaza debido a la falta o falla
de controles, generando prdida en confidencialidad,
integridad y disponibilidad de la informacin u otros
activos.

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Determinacin del Impacto

Para determinar el Nivel de Criticidad, se califica

como afecta la amenaza identificada a la
preservacin de la Confidencialidad, Integridad y
Disponibilidad del activo en los trminos de Alto,
Medio y Bajo. 1: Bajo 2: Medio 3: Alto.

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Confidencialidad

Conseguir que la informacin no sea accesible a

personas extraas o no autorizadas.

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Criterios de Valorizacin:
Confidencialidad

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Integridad

Conseguir que la informacin no sea manipulada,

destruida o corrompida por accidentes o acciones
intencionadas.

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Criterios de Valorizacin: Integridad

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Disponibilidad

Securing Business

Conseguir que la informacin est disponible para los

usuarios cuando sea solicitada o requerida.

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Criterios de Valorizacin: Disponibilidad

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Determinacin del Impacto

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Impacto del Riesgo

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Probabilidad

Securing Business

Es la posibilidad de que un evento cualquiera ocurra o no.

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Probabilidad de Ocurrencia

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Valorizacin del Riesgo

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Mapa del Riesgo

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Securing Business

Mapa del Riesgo

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

Ejemplo

ACTIVO

AMENAZA

AM29 - Falla de
equipo

Securing Business

SV001

AM30 - Mal
funcionamiento
del equipo

VULNERABILIDAD

Qu Afecta en los activos de

informacin?

RIESGO EFECTIVO

Valor CID

IMPACTO PROBABILIDAD

3
VU1 - Mantenimiento
insuficiente / instalacin
fallida de medios de
almacenamiento
2

SIGNIFICATIVO

MODERADO

AM30 - Mal
funcionamiento
del equipo

VU5 - Falta de control

eficiente del cambio de
configuracin

CATASTRFICO

AM43 - Hacking

VU40 - Arquitectura de
red insegura

MODERADO

MODERADO

SIGNIFICATIVO

VU17 - Software
1
ampliamente distribuido

MENOR

SV002

AM35 - Uso de
software
falsificado o
copiado
Sistema
Contable

AM27 Adulteracin del

software
AM31 Saturacin del
sistema de
informacin

VU30 - Descarga y uso

incontrolado de
software

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.

NIVEL DE NOMBRE CODIGO DE

RIESGO DEL RIESGO RIESGO
Dao por
RI-001
Extremo mantenimient
o inadecuado
Dao por
mantenimient
RI-002
Mediano
o inadecuado
Dao por
Extremo mantenimient
o inadecuado
Deficiencia
en
Alto
arquitectura
de red
Dao por
efectuar
Alto
acciones no
autorizadas
Dao por
efectuar
Extremo
acciones no
autorizadas
Dao por
efectuar
Alto
acciones no
autorizadas

RI-003

RI-004

RI-005

RI-006

RI-007

Securing Business

Taller

www.isec-global.com
COPYRIGHT 2000-2012 / I-SEC INFORMATION SECURITY INC.