UNIVERSID

AD AUDITORA DE SISTEMAS

TEMA:

o METODOLOGAS DE ANLISIS DE RIESGOS

o GESTIN DE RIESGOS ISO/IEC 27005
o CONTINUIDAD DE NEGOCIOS ISO/IEC 22301

ALUMNA

CARDENAS OLIVEIRA YNA JAQUELINE

IQUITOS PER
 1. METODOLOGAS DE ANLISIS DE RIESGOS

El anlisis de riesgos es la herramienta a travs de la cual se puede

obtener una visin clara y priorizada de los riesgos a los que se
enfrenta una entidad: tiene como propsito identificar los principales
riesgos a los que una entidad est expuesta, ya sean desastres
naturales, fallos en infraestructura o riesgos introducidos por el propio
personal. En este sentido pretende identificar los riesgos ms
significativos que pueden afectar a la operativa de la entidad y
priorizar medidas a implantar para minimizar la probabilidad de
materializacin de dichos riesgos o el impacto en caso de
materializarse.

1.1. Metodologas para el anlisis de riesgos en Seguridad

Informtica

Existen diferentes mtodos para el anlisis de riesgos de la seguridad

informtica. Algunos de los mtodos o metodologas son:

o Metodologa MAGERIT.
o Metodologa CORAS
o Metodologa NIST SP 800-30.
o Metodologa OCTAVE.

1.1.1. Metodologa MAGERIT

Magerit es una metodologa que se esfuerza por enfatizarse en dividir

los activos de la organizacin en variados grupos, para identificar ms
riesgos y poder tomar contramedidas para evitar as cualquier
inconveniente.

La razn de ser de MAGERIT est directamente relacionada con la

generalizacin del uso de las tecnologas de la informacin, que
supone unos beneficios evidentes para los ciudadanos; pero tambin
da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza.

En el periodo transcurrido desde la publicacin de la primera versin

de Magerit (1997) hasta la fecha, el anlisis de riesgos se ha venido
consolidando como paso necesario para la gestin de la seguridad.

La Evaluacin del riesgo es fundamental para llevar a cabo planes de

seguridad y de contingencia dentro de la organizacin, para poder
gestionarlos y hacerse riguroso frente a posibles ataques a los datos
y la informacin tanto de la organizacin, como de los servicios que
presta.

La metodologa MAGERIT es una de las ms utilizadas ya que se

encuentra en espaol. MAGERIT est basado en tres submodelos.

Los submodelos son:

Submodelo de elementos: Es este submodelo se clasifican 6

elementos bsicos que son: activos, amenazas,
vulnerabilidades, impacto, riesgo, salvaguarda.
Submodelo de eventos: Aqu se clasifican los elementos
anteriores en tres formas: dinmico fsico, dinmico
organizativo y esttico.
Submodelo de procesos: Se definen en 4 etapas: anlisis de
riesgo, planificacin, gestin de riesgo y seleccin de
salvaguardas.

La metodologa consta de tres volmenes:

Volumen I Mtodo, es el volumen principal en el que se

explica detalladamente la metodologa.
Volumen II Catlogo de elementos, complementa el
volumen principal proporcionando diversos inventarios de
utilidad en la aplicacin de la metodologa. Los inventarios que
incluye son:
Tipos de activos o
Dimensiones y criterios de valoracin o
Amenazas
Salvaguardas

Volumen III Gua de tcnicas, complementa el volumen

principal proporcionando una introduccin de algunas de
tcnicas a utilizar en las distintas fases del anlisis de riesgos.
Las tcnicas que recoge son:
Anlisis mediante tablas
Anlisis algortmico
rboles de ataque
Tcnicas generales o
Anlisis coste-beneficio
Diagramas de flujo de datos (DFD)
Diagramas de procesos
Tcnicas grficas
Planificacin de proyectos
1.1.2. Metodologa CORAS

(Construct a platform for Risk Analysis of Security critical

system)

Desarrollado a partir de 2001 por SINTEF, un grupo de investigacin

noruego financiado por organizaciones del sector pblico y privado.
Se desarroll en el marco del Proyecto CORAS (IST-2000-25031)
financiado por la Unin Europea [STOL01] [STOL02A] [STOL02B]
[STOL06] [STOL07A] [STOL07B] [HOGG07A].

El mtodo CORAS proporciona:

o Una metodologa de anlisis de riesgos basado en la elaboracin

de modelos, que consta de siete pasos, basados
fundamentalmente en entrevistas con los expertos.
o Un lenguaje grfico basado en UML (Unified Modelling
Language) para la definicin de los modelos (activos,
amenazas, riesgos y salvaguardas), y guas para su utilizacin a
lo largo del proceso. El lenguaje se ha definido como un perfil
UML.
o Un editor grfico para soportar la elaboracin de los modelos,
basado en Microsoft Visio.
o Una biblioteca de casos reutilizables.
o Una herramienta de gestin de casos, que permite su gestin y
reutilizacin.
 o Representacin textual basada en XML (eXtensible Mark-up
Language) del lenguaje grfico.
o Un formato estndar de informe para facilitar la comunicacin
de distintas partes en el proceso de anlisis de riesgos.

Los siete pasos del mtodo CORAS pueden representarse

grficamente de la siguiente forma:

Los siete pasos del mtodo CORAS son:

o Presentacin: Reunin inicial, para presentar los objetivos y el

alcance del anlisis y recabar informacin inicial.
o Anlisis de alto nivel: Entrevistas para verificar la comprensin de
la informacin obtenida y la documentacin analizada. Se
identifican amenazas, vulnerabilidades, escenarios e incidentes.
o Aprobacin: Descripcin detallada de los objetivos, alcance y
consideraciones, para su aprobacin por parte del destinatario del
anlisis de riesgos.
o Identificacin de riesgos: Identificacin detallada de amenazas,
vulnerabilidades, escenarios e incidentes.
o incidentes identificados en el paso anterior.
o Evaluacin de riesgo: Emisin del informe de riesgos, para su
ajuste fino y correcciones.
o Tratamiento del riesgo: Identificacin de las salvaguardas
necesarias, y realizacin de anlisis coste/beneficio.

1.1.3. Metodologa OCTAVE

Mtodo de evaluacin y de gestin de los riesgos para garantizar la

seguridad del sistema informativo, desarrollado por el estndar
internacional ISO270001.
El ncleo central de OCTAVE es un conjunto de criterios (principios,
atributos y resultados) a partir de los cuales se pueden desarrollar
diversas metodologas.

Octave Tiene dos objetivos especficos que son:

o Desmitificar la falsa creencia: La Seguridad Informtica es un

asunto meramente tcnico.
o Presentar los principios bsicos y la estructura de las mejores
prcticas internacionales que guan los asuntos no tcnicos.

Octave divide los activos en dos tipos que son:

o Sistemas, (Hardware. Software y Datos)

o Personas

La metodologa OCTAVE est compuesta en tres fases:

o Visin de organizacin: Donde se definen los siguientes

elementos: activos, vulnerabilidades de organizacin, amenazas,
exigencias de seguridad y normas existentes.
o Visin tecnolgica: se clasifican en dos componentes o elementos:
componentes claves y vulnerabilidades tcnicas.
o Planificacin de las medidas y reduccin de los riesgos: se
clasifican en los siguientes elementos: evaluacin de los riesgos,
estrategia de proteccin, ponderacin de los riesgos y plano de
reduccin de los riesgos.

Las fases del proceso OCTAVE pueden resumirse en el siguiente

grfico:

2. GESTIN DE RIESGOS ISO/IEC 27005

2.1. ISO/IEC 27005 Gestin de riesgos de seguridad de la
Informacin

Esta norma contiene recomendaciones y directrices generales para

la gestin de riesgos en sistemas de seguridad de la Informacin.

Es compatible con los conceptos generales especificados en la norma

ISO/IEC 27001 y est diseada como soporte para aplicar
satisfactoriamente un SGSI basado en un enfoque de gestin de
riesgos.

La norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2

"Gestin de seguridad de la informacin y la tecnologa de las
comunicaciones". La norma fue publicada por primera vez en junio de
2008, aunque hay una nueva versin mejorada en el 2011.

El riesgo se define como una amenaza que explota la vulnerabilidad

de un activo pudiendo causar daos. El riesgo IT est relacionado con
el uso, propiedad, operacin, distribucin y la adopcin de
las tecnologas de la Informacin en una organizacin. Aunque no
existe un mtodo concreto de cmo gestionar riesgos, se recomienda
usar un proceso estructurado, sistemtico y riguroso de anlisis de
riesgos para la creacin del plan de tratamiento de riesgos.

Los indicadores de riesgo muestran si la organizacin est sujeta o

tiene una alta probabilidad de ser sometida a un riesgo que excede el
riesgo permitido.

2.2. Gestin de Riesgos en Tecnologas de la Informacin

Gestin del Riesgo es una actividad recurrente que se refiere al

anlisis, planificacin, ejecucin, control y seguimiento de las
medidas implementadas y la poltica de seguridad impuesta.

La actualizacin de establecimiento, mantenimiento y continua

mejora de un SGSI ofrecen una clara indicacin de que una empresa
est utilizando un enfoque sistemtico para la identificacin,
evaluacin y gestin de riesgos de seguridad de la informacin.

2.2.1. Identificacin de riegos

Un evento solo es un riesgo si existe un grado de incertidumbre

asociado con l, por ejemplo: El valor de un activo puede cambiar su
valor durante la ejecucin de un proyecto, por experiencia esto es
cierto, pero cunto puede cambiar? no lo sabemos, por lo tanto es
un riesgo que debemos evitar en un proyecto pequeo.
 Por lo tanto debemos estar seguros de identificar el riesgo en realidad
y no sus causas o efectos.

Si consideramos otro ejemplo, debemos instalar una determinada

aplicacin de software en varias sucursales de una empresa, pero no
todas las oficinas poseen la misma capacidad de almacenamiento o
las ltimas actualizaciones de sistemas operativos

Es un riesgo la instalacin? No, es un requerimiento

Es un riesgo de que alguna sucursal termine sin usar la
aplicacin? No, este es un efecto en este proyecto, sin embargo
puede ser un riesgo futuro que la sucursal no tenga la
aplicacin.
Es un riesgo que la aplicacin no se pueda instalar por algn
motivo? Si, es incierto, solo lo sabremos cuando lo intentemos
Ejemplos de Riesgos en IT
Correr aplicaciones en condiciones vulnerables
Sistemas operativos, vulnerables y sin actualizaciones
Disear aplicaciones inapropiadas, incompletas, con bugs y
errores recurrentes
Tecnologas obsoletas
Mal rendimiento de la infraestructura IT

2.2.2. Evaluacin de los riesgos

Es necesario establecer un vnculo entre los escenarios de riesgos IT

y el impacto empresarial que estos generaran, para as comprender
el efecto de los eventos adversos que se pueden desencadenar.

La evaluacin de riesgos se ejecuta en los puntos discretos de tiempo

(por ejemplo una vez al ao, en la demanda, etc) y - hasta que el
rendimiento de la prxima evaluacin - proporciona una visin
temporal de los riesgos evaluados.

La evaluacin de riesgos se realiza a menudo en ms de una

iteracin, la primera es una evaluacin de alto nivel para identificar
los riesgos altos, mientras que las iteraciones posteriores detallan en
el anlisis de los riesgos principales y tolerables. Varios factores
ayudan a seleccionar eventos con cierto grado de riesgo:

Probabilidad
Consecuencias
Ocurrencia
Urgencia
 Maleabilidad
Dependencia
Proximidad

Adicionalmente la evaluacin de riesgos requiere los siguientes

puntos:

Un estudio de vulnerabilidades, amenazas, probabilidad,

prdidas o impacto, y la supuesta eficiencia de las medidas de
seguridad. Los directivos de la organizacin utilizan los
resultados de la evaluacin del riesgo para desarrollar los
requisitos de seguridad y sus especificaciones.
El proceso de evaluacin de amenazas y vulnerabilidades,
conocidas y postuladas para estimar el efecto producido en caso
de prdidas y establecer el grado de aceptacin y aplicabilidad
en las operaciones del negocio.
Identificacin de los activos y facilidades que pueden ser
afectados por amenazas y vulnerabilidades.
Anlisis de los activos del sistema y las vulnerabilidades para
establecer un estimado de prdida esperada en caso de que
ocurran ciertos eventos y las probabilidades estimadas de la
ocurrencia de estos. El propsito de una evaluacin del riesgo
es determinar si las contramedidas son adecuadas para reducir
la probabilidad de la prdida o el impacto de la prdida a un
nivel aceptable.

Una herramienta de gestin que proporcione un enfoque

sistemtico que determine el valor relativo de:
La sensibilidad al instalar activos informticos
La evaluacin de vulnerabilidades
La evaluacin de la expectativa de prdidas
La percepcin de los niveles de exposicin al riesgo
La evaluacin de las caractersticas de proteccin
existentes
Las alternativas adicionales de proteccin
La aceptacin de riesgos
La documentacin de las decisiones de gestin.

Decisiones para la implementacin de las funciones de proteccin

adicionales se basan normalmente en la existencia de una relacin
razonable entre costo/beneficio de las salvaguardia y la sensibilidad /
valor de los bienes que deben protegerse. Las evaluaciones de
 riesgos pueden variar de una revisin informal de una instalacin a
escala microprocesador pequeo para un anlisis ms formal y
plenamente documentado (por ejemplo, anlisis de riesgo) de una
instalacin a escala de ordenadores. Metodologas de evaluacin de
riesgos pueden variar desde los enfoques cualitativos o cuantitativos
a cualquier combinacin de estos dos enfoques.

2.2.3. Anlisis de Riesgo

Este es el paso principal en el marco de la norma ISO/IEC 27005. La

mayor parte de las actividades primarias se prev que el primer
proceso de evaluacin de riesgos. Este paso implica la adquisicin de
toda la informacin pertinente sobre la organizacin y la
determinacin de los criterios bsicos, finalidad, alcance, lmites y
organizacin de las actividades de gestin de riesgos. El objetivo es
por lo general el cumplimiento de los requisitos legales y proporcionar
la prueba de la debida diligencia el apoyo de un SGSI que puede ser
certificado. El alcance puede ser un plan de notificacin de incidentes,
un plan de continuidad del negocio.

Los criterios incluyen la evaluacin del riesgo, aceptacin de riesgos y

criterios de evaluacin de impacto. Estos estn condicionados por:

requisitos legales y reglamentarios

el valor estratgico para el negocio de los procesos de

informacin
expectativas de los interesados
consecuencias negativas para la reputacin de la
organizacin
Establecer el alcance y los lmites, la organizacin debera ser
estudiado: su misin, sus valores, su estructura y su estrategia, sus
lugares y el medio ambiente cultural. Las limitaciones
(presupuestarias, culturales, polticos, tcnicos) de la organizacin
deben ser recogidas y documentados como gua para los pasos a
seguir.

Escenarios de riesgo

Escenarios de riesgo es el corazn del proceso de evaluacin de

riesgos. Los escenarios pueden derivarse de dos maneras diferentes y
complementarias:

Enfoque de arriba hacia abajo de los objetivos generales de la

empresa a los escenarios de riesgo ms probable es que puede tener
un impacto.
 Enfoque de abajo hacia arriba, donde se aplica una lista de
escenarios de riesgo genricos a la situacin
Cada uno de los escenarios de riesgo se analiza para determinar la
frecuencia y el impacto, sobre la base de los factores de riesgo.

Respuesta a los Riesgos

El propsito de definir una respuesta al riesgo es llevar el riesgo en

nivel que se pueda tolerar. es decir, el riesgo residual debe ser dentro
de los lmites de tolerancia al riesgo. El riesgo puede ser manejado de
acuerdo cuatro estrategia principales (o una combinacin de ellos):

Evitar el riesgo aislando las actividades que dan lugar al

riesgo
Mitigar el riesgo adoptando medidas que detectan y
reducen el impacto del riesgo
Transferir riesgos a otras reas menos susceptibles o a
otras entidades con mas experiencia (outsourcing)
Aceptar riesgos que se corren deliberadamente y que no
se pueden evitar, sin embargo es necesario identificarlos,
documentarlos y medirlos

3. CONTINUIDAD DE NEGOCIOS ISO/IEC 22301

3.1. Qu es ISO 22301?

ISO 22301 es el nuevo estndar internacional para la Gestin de
la Continuidad del Negocio. Ha sido creada en respuesta a un
fuerte inters internacional en el estndar Britnico BS 25999-2 y
otros estndares regionales. Si usted cumple con los requisitos
para obtener la certificacin, su organizacin ser reconocida
globalmente.
ISO 22301 identifica los fundamentos de un sistema de gestin de
la continuidad estableciendo el proceso, los principios y la
terminologa de la gestin de la continuidad del negocio.
ste estndar proporciona una base para entender, desarrollar e
implementar la continuidad del negocio dentro de su organizacin
y le da la confianza en la relacin business-to-business y
business-to-customer. Implemente el estndar y certifique a su
organizacin para asegurar a las partes interesadas que su
empresa est totalmente preparada y puede cumplir con los
requisitos internos, reglamentarios y del cliente.
 La norma proporciona a las organizaciones un marco para
garantizar que puedan seguir operando durante las circunstancias
ms difciles e inesperadas protegiendo a su personal,
preservando su reputacin y ofreciendo la capacidad de seguir
operando.

3.2. Por qu elegir ISO 22301?

Para demostrar que su organizacin puede seguir operando,

incluso en situaciones de interrupcin. Un sistema de gestin de la
continuidad del negocio (BCMS) alineado con la norma ISO 22301
es adecuado para cualquier organizacin de cualquier tamao en
todos los sectores, desde pblicas a privadas, manufactura y
servicios. Proporciona un lenguaje comn para las organizaciones
globales, especialmente aquellas con cadenas de suministro largas
y complejas.
La norma es particularmente relevante para las organizaciones
que operan en entornos de alto riesgo donde la capacidad de
seguir operando es de suma importancia para los negocios,
clientes y partes interesadas, incluyendo servicios pblicos,
finanzas, telecomunicaciones, transporte y sector pblico.
ISO 22301 le ayudar a:
establecer, implementar, mantener y mejorar sus BCMS
cumplir con los requisitos de su poltica de continuidad de
negocio
dar confianza a las partes interesadas clave respecto de la
conformidad y su compromiso con las mejores prcticas
reconocidas internacionalmente
3.3. DOCUMENTACIN REQUERIDA POR EL ISO 22301:2012

El nuevo modelo exige cierta documentacin obligatoria. La

documentacin obligatoria que una empresa de acuerdo a su alcance
debe desarrollar es la siguiente:

Lista de requisitos legales, normativos y de otra ndole.

Alcance del SGCN.

Poltica de la continuidad del negocio.
Objetivos de la continuidad del negocio.
Evidencia de competencias del personal.
Registros de comunicacin con las partes interesadas.
Anlisis del impacto en el negocio.
Evaluacin de riesgos, incluido un perfil del riesgo.
Estructura de respuesta a incidentes.
 Planes de continuidad del negocio.
Procedimientos de recuperacin.
Resultados de acciones preventivas.
Resultados de supervisin y medicin.
Resultados de la auditora interna.
Resultados de la revisin por parte de la direccin.
Resultados de acciones correctivas.

3.4. PRINCIPALES ADICIONES AL ISO 22301:2012

El nuevo estndar tiene 106 requerimientos versus 56 que tiene el BS

25999-2:2007. El modelo tiene una serie de clusulas adicionales que
a continuacin se detallan:

Clusula 4: Contexto de la Organizacin

Esta clusula introduce los requerimientos necesarios para establecer

el contexto del SGCN tal como debe aplicar a los requerimientos y
necesidades de la organizacin dentro de un alcance determinado.

La clusula tambin requiere que la organizacin determine su

apetito al riesgo, as como los aspectos legales y regulatorios que
apliquen a la organizacin.

El ISO 22301 requiere que la organizacin determine qu ser

cubierto por la continuidad del negocio, as como tambin que ser
excluido. La organizacin tiene la exigencia de comunicar a partes,
tanto internas como externas, el alcance del SGCN.
Clusula 5: Liderazgo

Esta clusula hace un buen resumen de las exigencias a la alta

gerencia de la empresa, en relacin a su rol en el SGCN. Hay nuevos
requerimientos para la alta gerencia, tales como:

Asegurarse que el SGCN es compatible con la direccin estratgica de

la organizacin.

Integracin de los requerimientos del SGCN en los procesos de

negocios.

Comunicando la importancia de una eficaz gestin de la continuidad

del negocio.

Clusula 6: Planeacin

Esta clusula requiere que la organizacin claramente defina los

objetivos de continuidad del negocio y desarrolle proyectos para
alcanzarlos. Estos objetivos deben estar relacionados a la poltica de
continuidad del negocio y deben ser conmensurables. Al establecer
los objetivos se debe considerar el nivel mnimo de productos y
servicios que seran aceptables para que la organizacin pueda
alcanzar sus objetivos globales de negocio.
Clusula 7: Soporte

La clusula 7 detalla el soporte requerido para establecer,

implementar y mantener un eficaz SGCN. Esto cubre los recursos
requeridos, las competencias humanas, toma de conciencia y
comunicaciones con partes interesadas, as como requerimientos para
la gestin documentaria.

Esta seccin al cubrir toma de conciencia, es bastante especfica, ya

que exige que todas las personas bajo el control de la organizacin
estn conscientes de la poltica de continuidad del negocio, entender
su contribucin al logro de eficacia del SGCN y las implicancias de no
tener conformidad con sus requerimientos. Tambin las personas
deben conocer su rol en un momento de alteracin.

La mayor adicin en la clusula 7 es el tema de comunicaciones. Un

punto importantsimo al gestionar cualquier alteracin en la
organizacin.

Clusula 8: Operacin

Clausula 8.1 La clusula planificacin operacional y control es nueva.

Esta clusula requiere que la organizacin asegure la existencia de
procesos que hayan sido desarrollados para gestionar que los riesgos
al SGCN estn correctamente implementados.
Clusula 8.2.2 El Business Impact Analysis, introduce un nuevo
trmino, esquemas de tiempo priorizados. Este trmino se relaciona
con el conocido Recovery Time Objective (RTO) y define el orden y
los tiempos para la recuperacin de actividades crticas que soportan
los productos y servicios claves.

El trmino Maximum Tolerable Period of Disruption (MTPD), el cual

es definido en la seccin 3 del estndar, no es usado en la norma.
Pero en la clusula 8.2.2 (c) plantea que la organizacin debe
establecer esquemas de tiempo priorizados para reanudar
operaciones que apoyan los productos/servicios claves, en un nivel
especfico aceptable, tomando en consideracin el tiempo en el cual,
los impactos, de no reanudar operaciones se convertiran en
inaceptables. Como se puede apreciar, el concepto del MTPD sigue
vigente.

Clusula 8.2.3 La evaluacin del riesgo le presta atencin de que

ciertos aspectos financieros y obligaciones gubernamentales
requieren de comunicacin, a distintos niveles de detalle, de los
riesgos que pudieran alterar las actividades priorizadas.

Clusula 8.4.2 La estructura para respuesta a incidentes ha

expandido sus requerimientos, especficamente la necesidad para
identificar impactos de amenazas que justifican la iniciacin de una
respuesta formal y la necesidad de utilizar la salvaguarda de vidas
humanas como primera prioridad, al establecer comunicados internos
y/o externos.

Clusula 8.4.5 Recuperacin es un nuevo requerimiento. El estndar

plantea que la organizacin debe tener procedimientos
documentados para poder restablecer y retornar las actividades del
negocio de medidas temporales creadas para soportar los
requerimientos normales de la organizacin.

3.5. IMPLANTACIN DEL ISO 22301:2012

Cuando una organizacin desea iniciar la implantacin del modelo ISO

22301:2012 siempre se genera la interrogante de por dnde
empezar? Ser conveniente iniciar con el Business Impact Analysis?
O con la estructura para responder a incidentes? En fin, hay una
serie de opciones disponibles.

La manera adecuada es ir de lo general a lo particular. En la figura N

4, se han categorizado las clusulas de la norma en globales y
focales. Para el inicio del proceso de implantacin es recomendable
atender primero a las clusulas globales y luego iniciar las focales.
Las clusulas globales, permiten crear la plataforma inicial en la
construccin del SGCN. Las clusulas focales son la parte netamente
tcnica de la norma y requieren para su desarrollo de la
infraestructura que desarrollan las globales.