Universidad Nacional Mayor de San Marcos - UNMSM

Facultad de Ingeniera de Sistemas e Informtica - FISI

Document1 Pgina 1 de 5


Un Proceso de Gestin de Riesgos de Seguridad de la Informacin

1. Introduccin

El documento presenta un proceso de gestin de riesgos de seguridad en los activos de
informacin, definido siguiendo los lineamientos del estndar Australiano / Neozelands
AS/NZS 4360:2004
1
y del espaol MAGERIT
2
Metodologa de anlisis y gestin de
riesgos de los sistemas de informacin. El mismo que permite cumplir con la exigencia del
estndar ISO/IEC 27001:2005, en sus clusulas 4.2.1.c - g.

Como se ilustra en la Figura 1, el proceso comprende el establecimiento del contexto y la
identificacin, anlisis y evaluacin (denominados en conjunto valuacin o assessment), y
tratamiento de los riesgos; complementndose con la comunicacin y el seguimiento de
riesgos.


Figura 1. Proceso de Gestin de Riesgos de Activos de Informacin.

El proceso es conducido por el gestor de seguridad, con excepcin del tratamiento de
riesgos (implementacin, uso y monitoreo de los controles), donde la labor mayoritaria est
a cargo del equipo de ingeniera en seguridad. Luego de establecer el contexto, la valuacin
comprende:
Valorar los activos en funcin del costo que supondra para la organizacin
recuperarse de un fallo en alguna de sus dimensiones de seguridad,
Determinar a qu amenazas estn expuestos los activos,
Identificar las vulnerabilidades de los activos ante las amenazas potenciales,
Identificar los controles para cerrar las vulnerabilidades,
Estimar la probabilidad de que una amenaza se materialice
Estimar el impacto derivado de la materializacin de la amenaza (en este caso se
realiza en el BIA),
Estimar el riesgo, resultante de la probabilidad por el impacto.





1
Modelo de proceso de gestin de riesgos (Australiano / Neozelands)
2
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin (Espaola)
Universidad Nacional Mayor de San Marcos - UNMSM
Facultad de Ingeniera de Sistemas e Informtica - FISI
Document1 Pgina 2 de 5

2. Establecimiento del contexto

En este caso la gestin de riesgos se realiza en el marco de un Sistema de Gestin de
Seguridad de la Informacin (SGSI), de manera que su alcance est delimitado por su
conjunto de activos de informacin, donde los Servicios TI constituyen un subconjunto
relevante, debido a que cada vez ms los procesos empresariales dependen de estos. En
este documento, la mayora de ejemplos estn relacionados con servicios / activos TI,
considerados de mayor complejidad que los activos de informacin no tecnolgicos.
3. Identificacin de riesgos

Una de las entradas importantes para la valuacin de riesgos es el inventario de activos
actualizado, donde se debe mantener la relacin entre procesos y activos de informacin.

3.1 Inventario de Activos

Tomando como ejemplos de activos de informacin a los servicios TI, el inventario de
activos de informacin puede ser visto como una matriz, donde las filas representan los
servicios (S
i
) y las columnas los activos (A
j
), y la pertenencia o no del activo A
j
, en el
servicio S
i
, se indica con el valor 1 0, en la interseccin o celda correspondiente. Para
fines prcticos se utiliza la notacin S
i
= (A
i1
, A
i2
, , A
ij
, , A
im
) para denotar que el servicio
S
i
est constituido por m activos. La Tabla presenta un formato ejemplo de inventario de
activos.
Tabla 2. Inventario de activos de informacin


Un incidente de seguridad en un activo tiende a comprometer al servicio, y a su vez al
proceso, que finalmente impacta en el desempeo de la organizacin. El Impacto de un
proceso k, I(P
k
), en el negocio, usualmente se determina mediante el proceso de anlisis de
impacto en el negocio (o BIA por sus siglas en ingls). Siendo recomendable que este sea
heredado por los activos, para la determinacin de su riesgo, es decir: I(P
k
) I(S
i
) I(A
ij
).

En adicin al inventario de activos, para la valuacin de riesgos son de gran importancia los
informes de vulnerabilidades, informes de seguimiento de riesgos y repositorio de
incidentes. El resultado es el Informe de Anlisis de Riesgos, que establece el modo de
tratamiento y los controles a ser implementados para cada uno de los activos.

3.2 Amenazas y vulnerabilidades

Los activos son protegidos de acuerdo a su valor, determinado a partir de sus dimensiones
de seguridad (Disponibilidad, Integridad y Confidencialidad). Como se aprecia en la Figura 2,
estn expuestos a eventos adversos o amenazas, que pueden materializarse explotando
vulnerabilidades o debilidades, con determinada frecuencia o probabilidad, segn la eficacia
de los controles o salvaguardas vigentes.

Universidad Nacional Mayor de San Marcos - UNMSM
Facultad de Ingeniera de Sistemas e Informtica - FISI
Document1 Pgina 3 de 5



Figura 2. Elementos de riesgos

El proceso propuesto utiliza el catlogo de amenazas de MAGERIT, y las vulnerabilidades y
controles (vigentes y recomendables) identificados por los administradores de activos, con
base en su experiencia e informacin de los fabricantes. Las amenazas, que pueden afectar
a ms de un tipo de activo, caen en una de las categoras consignadas en la Tabla 3.

Tabla 3. Categoras de Amenazas
N Desastres naturales
I De origen industrial
E Errores y fallos no intencionados
A Ataques intencionados
4. Anlisis de riesgos

Con la informacin obtenida en la identificacin y haciendo uso del formato de trabajo
ilustrado en la Tabla 4, el equipo de valuacin de riesgos (especialistas en riesgos y
administradores de activos) determina la frecuencia e impacto, calcula el riesgo actual,
establece los controles recomendados, y determina el riesgo residual, resultante luego de
que se implementen los controles.

El Riesgo de un activo resulta del producto de la Frecuencia (o Probabilidad) por el Impacto,
mientras que el riesgo de un servicio, denominado riesgo repercutido (RR), es obtenido a
partir de sus activos, por medio de una funcin, tal como promedio, promedio ponderado o
mximo. La Frecuencia es el estimado de cada cunto tiempo puede materializarse una
amenaza, y el Impacto es el resultado del valor por la degradacin, donde la degradacin es
que tan perjudicado sale el activo (entre 0 y 100%) [2]. Las escalas para la probabilidad e
impacto se ilustran en la Figura 3.

4.1 Determinacin del impacto

En esta propuesta el impacto de un activo de informacin es heredado de uno de los
procesos al cual asiste (el de valor ms alto), determinado durante en el proceso de anlisis
de impacto al negocio (o Business Impact Analysis - BIA); es decir, el impacto ocasionado
en el negocio por deficiencias en un proceso, debido a un incidente en el activo.

La misin del BIA es determinar el impacto de los procesos en el negocio, como
consecuencia de la afectacin de la disponibilidad, integridad o confidencialidad de los
Universidad Nacional Mayor de San Marcos - UNMSM
Facultad de Ingeniera de Sistemas e Informtica - FISI
Document1 Pgina 4 de 5

activos de informacin que lo soportan. Este se aplica a todas los procesos de la
organizacin y se lleva a cabo al menos una vez al ao o cuando hayan cambios
significativos en los procesos. El proceso se lleva a cabo con la participacin de los dueos
o responsables de cada uno de los procesos, y el patrocinio de la alta direccin.

La entrada del BIA es la matriz de procesos vs. activos de informacin, donde se utiliza una
escala de valoracin del nivel de dependencia del proceso (0 a 3). El producto resultante es
el informe BIA, que incluye la relacin de activos de informacin ordenados en forma
descendente por criticidad, el cual es utilizado para priorizar la proteccin.

Para llevarse a cabo, es necesario definir las reas de impacto, con un peso relativo, por
ejemplo: Objetivos estratgicos (30%), Objetivos del proceso (10%), Financiero (30%),
Imagen o reputacin (10%) y Situacin del personal (20%). Asimismo, una escala de
valoracin del impacto para cada una de estas reas.

4.2 Determinacin de la Frecuencia (F) / Probabilidad

Tanto F y F se determinan con base en juicio experto, haciendo uso de del formato ilustrado
en la Tabla 4. Las amenazas son las propuestas en MAGERIT.

Tabla 4. Formato de anlisis de riesgos de activos de informacin


4.3 Clculo del riesgo

Como se aprecia en la Figura 3, el riesgo es el resultado de la probabilidad por el impacto.


Figura 3. Factores para determinacin del riesgo
Universidad Nacional Mayor de San Marcos - UNMSM
Facultad de Ingeniera de Sistemas e Informtica - FISI
Document1 Pgina 5 de 5

5. Evaluacin de riesgos
Con los resultados obtenidos en el anlisis se procede a la evaluacin. Para cada activo, el
proceso concluye si el riesgo es aceptable, caso contrario, se define el tratamiento (evitar,
transferir o mitigar) y se establecen los controles (salvaguardas) necesarios. En el caso de
mitigacin, los controles pueden ser preventivos o correctivos, en el ltimo caso, ser
necesario definir un Plan de Continuidad de Servicios TI (denominado tradicionalmente PRD
- Plan de Recuperacin ante Desastres). En esta actividad se concluye el informe de
evaluacin de riesgos TI, el cual es utilizado por el proceso Gestin de seguridad TI para
elaborar el plan de tratamiento de riesgos.
6. Tratamiento de riesgos
Con base en el informe de riesgos de TI, el equipo de seguridad informtica elabora el plan
de tratamiento de riesgos TI. Luego procede a la implementacin, ejecucin y monitoreo de
los controles establecidos. Este equipo elabora y remite mensualmente el informe de estado
de los controles, a las Subgerencias de Servicios y Riesgos de TI.
7. Seguimiento y control de riesgos
Con base en el informe de riesgos de TI, el plan de seguridad de TI y los informes de estado
de la seguridad, se evala el avance de la implementacin y la eficacia de los controles
vigentes. La eficacia se mide a travs de pruebas de vulnerabilidades o ethical hacking,
realizadas en forma coordinada o inopinada.
8. Comunicacin de riesgos
Esta actividad comprende la presentacin y sustentacin de informes a las jefaturas
correspondientes. Asimismo, la sensibilizacin y educacin en gestin de riesgos y
seguridad de la informacin a usuarios y tcnicos.
9. Nivel de aceptacin del riesgo
Como se ilustra en la Figura 4, los activos con riesgo extremo e intolerable deben ser
llevados al menos al nivel tolerable. Y en el caso de activos crticos deben ser llevados al
nivel aceptable.

Figura 4. Mapa de riesgos.
10. Referencias
1. AS/NZS 4360:2004
2. Estndar ISO/IEC 27001:2005
3. Estndar ISO/IEC 27002:2005
4. Estndar ISO/IEC 27005:2008
5. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las
Administraciones Pblicas MAGERIT.