Administración de Riesgos

en Seguridad Informática
 ¿Qué es Administración de Riesgos?

Proceso iterativo
basado en el
conocimiento,
valoración,
tratamiento y
monitoreo de los RIESGOS
riesgos y sus impactos
en el negocio
 ¿Qué es Administración de Riesgos?

Aplicable a cualquier
situación donde un
resultado no deseado o Proceso Proyecto

inesperado podría ser

significativo en el
Unidad Sistema de
logro de los objetivos o Organizacional Información

donde se identifiquen
oportunidades de Oportunidad Ubicación
negocio Geográfica
Proceso de Administración de Riesgos

1. Establecer Marco General

2. Identificar Riesgos

Monitorear
3. Análisis de Riesgos
y Revisar

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

Administración de Riesgos
1. Establecer Marco General

1.1. Entender el Entorno

1.2. Entender la Oganización

1.3. Identificar Criterios de Calificación

1.4. Identificar Objetos Críticos

 Administración de Riesgos
1. Establecer Marco General

1.1. Entender el Entorno

1.2. Entender la Oganización

Análisis Externo Criterios de Calificación

1.3. Identificar

Aspectos financieros,
operacionales, competitivos,Objetos Críticos Objetivos
1.4. Identificar
políticos (percepción / imagen),
sociales, clientes, culturales y Estrategias
legales

Stakeholders
 Administración de Riesgos
1. Establecer Marco General
Metodología
1.1. Entender el Entorno
Políticas
Criterios de Calificación y Tablas de Valoración
1.2. Entender la Oganización
Universo de Objetos y Objetos Críticos Priorizados

1.3. Identificar Criterios de Calificación

1.4. Identificar Objetos Críticos

 Administración de Riesgos
¿Qué y Cómo calificar - priorizar?

Criterio 1

Criterio n
Criterio 2
Criterio 3
Criterio 4
Criterio 5
Criterio 6
Criterio 7
Criterio 8
Objeto 1
Objeto 2
Objeto 3

Objeto n
 Administración de Riesgos
¿Qué calificar - Objetos?

Cómo dividir la organización?

 Interés de la Dirección
 Procesos – Subprocesos Lista de Objetos
a los cuáles se les
 Proyectos puede realizar
 Unidades Orgánicas Administración
 Sistemas - Aplicaciones de Riesgos
 Geográficamente
 Administración de Riesgos
¿Qué calificar - Objetos?
 Basado en Procesos (Negocio – COBIT)
Planeación estratégica de sistemas
Desarrollo de sistemas
Evolución o mantenimiento de sistemas
 Basado en Sistemas
Integración de paquetes de software
Capacitación
Proceso de datos en ambientes de trabajo en batch
 Basado en Proyectos
Atención a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Administración de proyectos

 Basado en
Administración deInfraestructura
la infraestructura informática
Dirección y control del área de tecnología de información
Administración de recursos materiales (equipo, tecnología e instalaciones)
Administración de recursos humanos
Administración de recursos financieros
 Administración de Riesgos
¿Qué calificar - Objetos?
 Basado en Procesos (Negocio – COBIT)

 Basado en Sistemas
Para un sistema en particular
Programas – Archivos - Procedimientos
Eventos - Entrada – Comunicación – Proceso – Salida - Distribución
 Basado en Proyectos

 Basado en Infraestructura
 Administración de Riesgos
¿Qué calificar - Objetos?
 Basado en Procesos (Negocio – COBIT)

 Basado en Sistemas

 Basado en Proyectos
A Productos
Análisis al Proceso
 Basado en Infraestructura
 Administración de Riesgos
¿Qué calificar - Objetos?
 Basado en Procesos (Negocio – COBIT)

 Basado en Sistemas
Datos Sistemas de Información (Aplicaciones)
Tecnología (Equipos – SW de base y SMBD – SW de Productividad –
Metodologías)
 Basado en Proyectos
Instalaciones Recursos Humanos
Elementos de Administración
Recursos Financieros Proveedores

 Basado en Infraestructura
 Administración de Riesgos
¿Cómo calificar – Criterios?
De Negocio •• Pérdida financiera
Pérdida de imagen
• Discontinuidad del negocio
• Incumplimiento de la misión
• Calidad del Control Interno
IIA • Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)
• Integridad de la Dirección (códigos de ética)
• Exposición financiera • Cambios recientes en procesos (políticas, sistemas, o
• Pérdida y riesgo potencial dirección)
• Requerimientos de la dirección • Tamaño de la Unidad (Utilidades, Ingresos, Activos)
• Cambios importantes en operaciones, • Liquidez de activos
programas, sistemas y controles • Cambio en personal clave
• Oportunidades de alcanzar beneficios • Complejidad de operaciones
operativos • Crecimiento rápido
• Capacidades del persona • Regulación gubernamental
• Condición económica deteriorada de una unidad
• Presión de la Dirección en cumplir objetivos
• Nivel de moral de los empleados
• Exposición política / Publicidad adversa
• Distancia de la oficina principal
 Administración de Riesgos
¿Cómo calificar? – Criterios Seguridad Informática

Confidencialidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD

Integridad
“SOLO PERSONAS Disponibilidad
AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”

Previene la divulgación no autorizada de datos

Administración de Riesgos
– Criterios
¿Cómo calificar? Los Seguridad Informática
activos pueden ser modificados solo por partes
autorizadas o solo en formas autorizadas
La modificación incluye escribir, cambiar, cambiar
estados, borrar y crear
PRECISIÓN, EXACTITUD, NO MODIFICADO,
MODIFICADO SOLO EN FORMAS
ACEPTABLES, MODIFICADO SOLO POR
PERSONAS AUTORIZADAS, MODIFICADO
Confidencialidad
SOLO POR PROCESOS AUTORIZADOS,
CONSISTENCIA, CONSISTENCIA INTERNA,
SIGNIFICADO Y RESULTADOS CORRECTOS

ACCIONES AUTORIZADAS, SEPARACIÓN Y

PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y
Integridad Disponibilidad
CORRECCIÓN DE ERRORES

“CONTROL RIGUROSO DE QUIEN PUEDE

ACCEDER CUALES RECURSOS EN QUE
FORMAS”

Previene la modificación no autorizada de datos

 Administración de Riesgos
¿Cómo calificar? – Criterios Seguridad Informática
Los activos son accesibles a partes autorizadas
Aplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS
EN FORMA UTIL, CAPACIDAD PARA
CUMPLIR LAS NECESIDADES DE
SERVICIO, TIEMPO DE ESPERA
LIMITADO, TIEMPO DE SERVICIO Confidencialidad
ADECUADO

RESPUESTA OPORTUNA, TOLEREANCIA

A FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso
simultáneo, administración de concurrencia y
Integridad
acceso exclusivo) Disponibilidad
NEGACIÓN O REPUDIACIÓN DEL
SERVICIO

Previene la negación de acceso autorizado a

datosINDEPENDENCIA - TRASLAPO
 Administración de Riesgos
2. Identificar Riesgos
2.1. Establecer el Contexto de Administración de Riesgos

2.2. Desarrollar Criterios de Valoración de Riesgos

2.3. Definir la Estructura

2.4. Identificar riesgos

2.5. Identificar causas

Administración de Riesgos
Seguridad Informática - Activos

Hardware

Software Datos

Medios de almacenamiento
Redes
Acceso
Gente clave
 Administración de Riesgos
Seguridad en Redes – Activos (Componentes)

 Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router, bridge,
hub, gateway, modem), dispositivos periférico, cables, fibras

 Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo

 Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-
mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
 Administración de Riesgos
Seguridad en Redes - Riesgos

R1 = Acceso no autorizado a la red o sus recursos

R2 = Divulgación no autorizada de información
R3 = Modificación no autorizada a datos y/o software
R4 = Interrupción de las funciones de la red (no
disponibilidad de datos o servicios)
R4a = incluyendo perdida o degradación de las
comunicaciones
R4b = incluyendo destrucción de equipos y/o datos
R4c = incluyendo negación del servicio
R5 = Acciones engañosas en la red (no saber quien)
Information Security Risks
 Physical Damage: Fire, water, power loss, vandalism
 Human Error: Accidental or intentional action
 Equipment malfunction: Failure of system
 Inside and outside attacks: Hacking , cracking
 Misuse of data:Sharing trade secrets
 Loss od data: Intentional or unintentional loss
 Application error: Computation errors, input errors
 Administración de Riesgos
2. ¿Cómo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"

Consecuencia
Resultado de un evento o
situación expresado
cualitativa o
cuantitativamente
Evento
Situación que podría llegar a
ocurrir en un lugar
determinado en un momento
dado
Causa
Evento primario fundamento
u orígen de una consecuencia
 Administración de Riesgos
2. ¿Cómo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"

Consecuencia, Evento,
Impacto, Amenaza
Exposición
o Resultado

+ Causa,
Evento primario
o Situación
 Administración de Riesgos
Seguridad en redes – Impactos Significativos

 Violación de la privacidad
 Demandas legales
 Perdida de tecnología propietaria
 Multas
 Perdida de vidas humanas
 Desconcierto en la organización
 Perdida de confianza
Administración de Riesgos
Seguridad Informática - Amenazas

 Naturales
 Accidentales

 Deliberadas
 Administración de Riesgos
Seguridad Informática – Amenazas Naturales

Origen Amenaza directa Impacto inmediato

Terremotos, Interrupción de potencia, R4, R4a, R4b
tormentas temperatura extrema debido
eléctricas a daños en construcciones,

Fenómenos Perturbaciones R4, R4a

astrofísicos electromagnéticas

Fenómenos Muerte de personal crítico R4, R4c

biológicos
 Administración de Riesgos
Seguridad Informática – Amenazas Accidentales

Origen Amenaza directa Impacto inmediato

Error del Usuario Borrado de archivos, Formateo de R3, R4
drive, mal empleo de equipos, errores
de entrada

Error del Configuración inapropiada de R1: R2, R3, R4, R5

Administrador parámetros, borrado de información

Fallas de equipos Problemas técnicos con servidores de R3, R4, R4b

archivos, servidores de impresión,
dispositivos de comunicación,
estaciones cliente, equipo de soporte
(cintas de back-up, control de acceso,
derrame de café)
Administración de Riesgos
Seguridad Informática – Involucrados

•Amateurs
•Hackers
• Empleados maliciosos
• Rateros
•Crackers
• Vándalos
•Criminales
•Espías (gobiernos
foráneos)
• Terroristas
 Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Características o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daños o perdidas (facilitan la
ocurrencia de una amenaza)

• Interrupción: un activo se pierde, no está disponible, o no se

puede utilizar
• Intercepción: alguna parte (persona, programa o sistema de
computo) no autorizada accede un activo
• Modificación: una parte no autorizada accede y manipula
indebidamente un activo
• Fabricación: Fabricar e insertar objetos falsos en un sistema
computacional
 Administración de Riesgos
Seguridad Informática – Vulnerabilidades

Interrupción (Negación del Servicio) Intercepción (Robo)

Hardware
Actos Involuntarios/Accidentales – Intencionales/Voluntarios que
limitan la disponibilidad
Software Datos

Destrucción
Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas,
Ataques físicos, Bombas

Robo
 Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Borrado accidental o destrucción de
programas

Robo - Copia ilícita de programas

Hardware
Causar fallas o errores
Salvar una copia mala de un
Software programa Datos
destruyendo una buena,
Programas modificados (cambio de
bits, de instrucciones – bombas
Interrupción (Borrado) lógicas, efectos colaterales)
Intercepción Caballos de Troya, Virus, Puerta
Modificación falsa, Fuga de Información
 Administración de Riesgos
Robo
Seguridad Informática – Vulnerabilidades

Confidencialidad – líneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compra
Hardware

Programas maliciosos – Técnica de

salami, utilidades del sistema de
Software Datos
archivos, facilidades de
comunicación defectuosas
Interrupción (Perdida)

Reprocesamiento de datos Intercepción

Modificación
utilizados, adicionar registros en
Fabricación
una base de datos
 Administración de Riesgos
3. Analizar Riesgos
3.1. Valorar Riesgo Inherente

3.2. Determinar Controles Existentes

3.3. Identificar Nivel de Exposición

Valorar el posible daño que puede ser causado

Administración de Riesgos
¿Cómo valorar riesgo?

Probabilidad x Impacto
Frecuencia x Impacto

$ Inherente
Nivel de exposición
Residual
 Administración de Riesgos
Controles en Seguridad

Controles
Administrativos

Politícas, Estándares,
Procedimientos,
Guías,
Controles Técnicos
Entrenamiento
Acceso lógico,
controles,
encripción,
dispositivos de seguridad, Controles físicos
Identificación y autenticación
Protección de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
 Administración de Riesgos
Controles en Seguridad
Medidas protectoras – acciones, dispositivos, procedimientos o
técnicas – que reducen una vulnerabilidad
Conf. Integ. Disp. Interr. Interc. Mod. Fab.

Encripción
Administración de la
Configuración (Control de
Cambios a Programas)

Políticas
Controles de Hardware
Controles Físicos (candados y
guardas)
 Valorar prioridades de riesgo
VALORAR Y
PRIORIZAR
RIESGOS SI
Riesgo aceptable? Aceptar

Riesgo residual no aceptable NO

IDENTIFICAR
OPCIONES DE Reducir Transferir Evitar
Reducir
TRATAMIENTO probabilidad total o
consecuencia
parcialmente

Considerar factibilidad, costos y beneficios, y niveles de riesgo

EVALUAR
OPCIONES DE Recomendar estrategias de tratamiento
TRATAMIENTO
Monitorear
Seleccionar estrategia de tratamiento
y Revisar
PREPARAR
PLANES DE Preparar planes de tratamiento para reducir, transferir o
TRATAMIENTO evitar el riesgo, financiando cuando sea apropiado

Transferir Evitar
Reducir Reducir
total o
probabilidad consecuencia
IMPLEMENTAR parcialmente
PLANES DE Porción Porción
TRATAMIENTO retenida transferida
NO SI
Riesgo residual aceptable? Retener

Asegurar la efectividad costo/beneficio de los controles

 Administración de Riesgos
¿Dónde invertir?
Principio de la Adecuada Protección: Los ítems deben ser protegidos
solo hasta que ellos pierden su valor y deben ser protegidos de
manera consistente con su valor

Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Valor del activo
Hardware Duración del Activo
Esfuerzo de detección de incidentes
Impacto en los objetivos del
Software Datos negocio
Efectividad de la medida
Nivel de sofisticación
Facilidad de uso
Bibliografía

 Security in Computing – Charles P. Pfleeger –

Prentice Hall

 Network Security - Analysis and Implementation -

January 1996 - MG-1 - http://www.cse.dnd.ca -
Government of Canadá, Communications Security
Establishment (CSE)