OBJETIVOS DEL PROYECTO

El propsito de este proyecto es la definicin e implementacin de una metodologa de

administracin de riesgos que permita el poder identificar analizar y minimizar los riesgos
particulares de una compaa basado en sus objetivos de negocio, siendo este proceso el
corazn del programa de seguridad de dicha compaa.
Beneficios:
Contar con una forma estructurada para el manejo de los riesgos de TI
Identificacin de los activos crticos de la empresa
Centralizacin de riesgos en un solo proceso
Cumplimiento pro-activo de auditorias de seguridad de la informacin
Eliminacin de controles de auditoria duplicados
Priorizacin para remediacin de riesgos
Optimizacin de compra de controles de seguridad basado en anlisis costo beneficio
Creacin de polticas de seguridad en base a los resultados de la evaluacin de riesgo (No
mejores practicas)

Metodologa de trabajo
Controles de seguridad evaluados

Control de acceso
Concientizacin y entrenamiento
Auditoria y asignacin de responsabilidades
Administracin de configuraciones
Planes de contingencia
Identificacin y autenticacin
Respuesta a incidentes
Mantenimiento
Planeacin
Seguridad personal
Evaluacin de riesgos
Adquisicin de sistemas y servicios
Proteccin de sistemas y comunicaciones
Integridad de sistemas de informacin
Controles de seguridad de acuerdo a NIST Instituto Nacional de Estndares y Tecnologa de estados
unidos de Amrica, La misin del Instituto es promover la innovacin y la competitividad de la industria
en base a la medicin, estndares y la tecnologa en formas que mejoren la seguridad de la informacin

Metodologa de trabajo
Actores y tcnicas utilizadas
Rol

Tcnicas

Descripcin

Seguridad SAP

Cuestionario de evaluacin de
riesgos

El equipo de evaluaciones utilizo

cuestionarios de NIST, Octave* e
ISO27000*, los cuestionarios
ayudaron al equipo a identificar
riesgos.

Entrevistas

Se dieron entrevistas para tener el

detalle de algunos puntos de los
cuestionarios

Revisin de documentacin

Se revisaron diagramas de red,

polticas de seguridad,
documentacin de sistemas

Herramientas para evaluacin

Se corrieron varias herramientas

para revisar configuraciones e
identificar vulnerabilidades en las
aplicaciones.

Seguridad Informtica
Auditoria Interna
Jurdico
Telecomunicaciones
Auditoria Externa
Auditor de seguridad
Basis

*OCTAVE.- (Operationally Critical Threat, Asset, and Vulnerability Evaluation) es una suite de herramientas, tcnicas y
mtodos basados en riesgo sobre la seguridad de la informacin, evaluacin estratgica y la planificacin de CertUit,
OCTAVE fue desarrollado por el equipo de respuesta a incidentes (CERT) en Estados Unidos.
*ISO27000.- ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o
pequea.

Metodologa de trabajo
Criterio de Narrativa de impacto

Impacto

Descripcion

Alto

La prdida de confidencialidad, integridad o disponibilidad podra propiciar que se tenga un

grave o catastrfico efecto adverso en las operaciones, los activos, o las personas dentro de
la organizacin. Estos efectos podran ser:
Una severa degradacin que no permita a la organizacin realizar sus principales
actividades, danos mayores a los activos de la organizacin, perdidas financieras mayores,

Medio

La prdida de confidencialidad, integridad o disponibilidad podra propiciar que se tenga un

serio efecto negativo sobre las operaciones, los activos y las personas dentro de la
organizacin. Estos efectos podran ser:
Una degradacin significante donde la organizacin es capaz de realizar sus actividades
principales pero la efectividad de sus tareas son reducidas, perdidas financieras
significativas, dao significativo a activos de la empresa

Bajo

La prdida de confidencialidad, integridad o disponibilidad podra propiciar que se tenga un

limitado efecto negativo sobre las operaciones, los activos y las personas dentro de la
organizacin. Estos efectos podran ser:
Perdidas financieras menores o nulas, danos menores a los activos de la empresa,
degradacin muy pequea que tiene pocas repercusiones en el negocio

Metodologa de trabajo
Calculo del riesgo
Probabilidad

Descripcin

Alto

Existen muchos motivos para que se de la amenaza y es fcil de explotar, los controles de
seguridad son ineficientes o no existen.

Medio

Existen motivos para que se de la amenaza y no es tan fcil de explotar, algunos controles de
seguridad se encuentran en sitio y pudieran impedir que se explote una vulnerabilidad.

Bajo

No existen motivos para que se de la amenaza y es muy difcil de explotar la vulnerabilidad o

existen controles que impiden la explotacin de la vulnerabilidad

Riesgo = Probabilidad por Impacto

Escala de riesgo: Alto (>50 a 100), Medio (10 a 50), Bajo (1 a 10).

Metodologa de trabajo
Detallada

Metodologa de trabajo
Ejemplo de matriz de evaluacion de riesgos final

Metodologa de trabajo
Ejemplo de resultados de evaluacion del riesgo

Madures del programa de seguridad en CertUit

Actualmente se tiene un 44% de madurez en

seguridad de la informacin dentro de CertUit esto
significa que se tienen controles bsicos de
seguridad, los cuales fueron implementados por
evento en la operacin del da a da, sin un
seguimiento formal en base a un programa de
seguridad que permitiera soportar los objetivos de
negocio de CertUit , existen algunas polticas de
seguridad y procedimientos aislados, no se cuenta
con procesos formales para seguridad de la
informacin

Al finalizar el ao el programa de seguridad

permitir formalizar el seguimiento de la seguridad
de la informacin dentro de CertUit para poder
contar con controles de seguridad implementados
en base a una evaluacin de riesgos y soportados
por una polticas de seguridad y procesos tomando
en cuenta objetivos de negocio. Se espera subir el
porcentaje de madurez a cuando menos el 70% de
madurez y al terminar el 2013 establecer una
madurez de el 90%

MODELO CONCEPTUAL DE LA SOLUCION

ur
M ad

ez

trol
n
o
c

as
Orientado a
om
d
n
cliente
ma
Orientado a
To
Servicio *

Controlado
Orientado a
tecnologia
Motivado
r
Tecnolgi
co
Ad hoc

Disponibilidad

Utilizaci
n de
estndar
es
comunes:
COBIT,
ISO
27001
Baselines
Eficiencia

para
produccin

Administr
acin de
riesgos
aplicada
a los
servicios
que
ofrece el
rea de
TI

Definir
desempeo

Administr
acin de
riesgos
especifica
para
clientes
(cuales
son los
riesgos
para
nuestros
clientes)
SLA

Traducir
peticiones
del cliente

Orientado a
Negocios

Orientado a tecnologa.- AR no existe, la

organizacin simplemente reacciona a incidentes
Controlado.- AR se basa solamente en validar
baseline y que estn adecuadamente
implementados

Administr
acin de
riesgos
enfocada
en la
relacin
del
mercado
y la
industria

Orientado a Servicios.- AR se concentra en los

servicios ofrecidos y sus riesgos asociados
Orientado al cliente.- El proceso de AR existe
entre el proveedor de servicios y el cliente.
Orientado al negocio.- AR esta basada en los
estndares de la industria y su evolucin

Contribuir
activamente

Sumando instrumentos al dashboard de seguridad y SLAs

Lo mas apropiado para ISM debera de ser alcanzar una madurez orientada al cliente para apoyar sus
objetivos de negocio

SIGUIENTES PASOS

Declarar el riesgo a la alta direccin y definir el riesgo aceptado por la misma

Desarrollar anlisis de riesgo (Costo beneficio)

Crear matriz de seguimiento para la remediacin del riesgo no aceptado por la alta direccin

Actualizar polticas de seguridad en base a los resultados de la evaluacin de riesgos

BACKUP

Process & IT Risk Management