Beruflich Dokumente
Kultur Dokumente
Marcos de Referencia
ISO/DIS 31000
IEC/DIS 31010
BS 31100
ISO/IEC 27005
ITGI- Risk IT Framework
Basilea II
Octave
NIST SP 800-30
AS/NZ 4360
Magerit
BS 7799-3
Microsoft SRMG
CRAM
M_o_R
Riesgo Aceptable
Para la aceptacin definitiva de los riesgos la organizacin
debe tener en cuenta:
La poltica organizacional
Sensibilidad y criticidad de los activos involucrados
Trminos Comunes
Amenaza
Vulnerabilidad
Impacto
Apetito del Riesgo
Control
Respuesta al Riesgo
Probabilidad
Riesgo Inherente
Riesgo Residual
Valuacin
Clasificacin de Activos
Informacin Crtica
Informacin Sensible
Cuantitativo/Objetivo
Cualitativo/Subjetivo
Enfoca lo amplio que se desee
Plan de trabajo flexible y reactivo
Se concentra en la identificacin de eventos
Incluye valores intangibles
Cualitativo/Subjetivo
La evaluacin es un proceso subjetivo
Depende fuertemente de la habilidad y calidad del personal
involucrado.
Puede existir riesgos significantes desconocidos.
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Monitorear y Revisar
Evaluar
los
Riesgos
Tratar
los
Riesgos
Comunicar y Consultar
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Tratar
los
Riesgos
Monitorear y Revisar
ESTABLECER EL
CONTEXTO
Establecer el contexto
Esto se desarrolla dentro de la estructura del contexto
organizacional y de administracin de riesgos de una organizacin.
estratgico,
Establecer el contexto
Comunicar y Consultar
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Tratar
los
Riesgos
Monitorear y Revisar
Identificacin de riesgos
Representa una etapa crtica la Identificacin por lo tanto se necesita de un
proceso sistemtico bien estructurado, porque los riesgos potenciales que no se
identifiquen en esta etapa son excluidos de un anlisis posterior.
Qu puede suceder?
Desarrollar una lista amplia de eventos que podran afectar a cada elemento de
la estructura definida.
Comunicar y Consultar
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Tratar
los
Riesgos
Monitorear y Revisar
Anlisis de riesgos
El anlisis de riesgo involucra prestar consideracin a las fuentes de riesgos, sus
amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo
combinando estimaciones de consecuencias, amenazas y probabilidades en el
contexto de las medidas de control existente.
Determinar los controles existentes: Identificar la administracin, sistemas
tcnicos y procedimientos existentes para controlar los riesgos y evaluar sus
fortalezas y debilidades.
Anlisis de Riesgos
DETERMINACION
DEL
ENTORNO
ACTUAL
IDENTIFICACION
DE
AMENAZAS
IDENTIFICACION
DE
VULNERABILIDAD
DETERMINACION
DE
PROBABILIDAD
ANALISIS DE
IMPACTO
VALORACION
DEL
RIESGO
DETERMINACION
DEL
ENTORNO
ACTUAL
DETERMINACION
DEL
ENTORNO
ACTUAL
Revisin de documentos
IDENTIFICACION
DE
AMENAZAS
Identificacin de Amenazas
IDENTIFICACION
DE
AMENAZAS
Identificacin de Amenazas
Errores
Accidentes
Dao/Ataque malicioso
Incidentes/Fenmenos naturales
Fraude
Robo
Falla en quipo/Software
Prdida de servicios
Fuga de informacin
Sabotaje
Terrorismo
IDENTIFICACION
DE
AMENAZAS
Identificacin de Amenazas
Resultado
Relacin de Amenazas potenciales
por cada recurso particular,
indicando su naturaleza,
caractersticas, etc.
IDENTIFICACION
DE
VULNERABILIDAD
Identificacin de Vulnerabilidades
IDENTIFICACION
DE
VULNERABILIDAD
Identificacin de Vulnerabilidades
Tcnicas de Extraccin
Herramientas
automatizadas
de
Escaneo
de
Vulnerabilidades
Ethical Hacking
Test de control de calidad (scripts,
procedimientos, etc)
checklist,
IDENTIFICACION
DE
VULNERABILIDAD
Identificacin de Vulnerabilidades
Software defectuoso
Administracin inadecuada
Personal insuficiente
Falta de conocimiento
Falta de mantenimiento
Tecnologa no probada
Falta de redundancia
IDENTIFICACION
DE
VULNERABILIDAD
Identificacin de Vulnerabilidades
Resultado
de
cada
activo
respecto
su
DETERMINACION
DE
PROBABILIDAD
Determinacin de Probabilidad
Determinacin de los valores de la probabilidad por activoamenaza, considerar en la determinacin los controles
existentes.
PROBABILIDAD
DEFINICIONES
Insignificante
Improbable de ocurrir
Muy bajo
Bajo
Medio
Alto
Muy alto
Extremo
DETERMINACION
DE
PROBABILIDAD
Determinacin de Probabilidad
Resultado
Listado de activos valorados
respecto a su amenaza y
probabilidad de ocurrencia
ANALISIS DE
IMPACTO
Anlisis de Impacto
ANALISIS DE
IMPACTO
Anlisis de Impacto
Violaciones de la confidencialidad
ANALISIS DE
IMPACTO
Anlisis de Impacto
Resultado
Listado de la valoracin de los
activos.
Cuantificacin del impacto
financiero.
VALORACION
DEL
RIESGO
VALORACION
DEL
RIESGO
VR = V x P x I
- VR: Valor del Riesgo
- P: Probabilidad
- I : Impacto
- V: Vulnerabilidad
Matrices de Riesgo
ACTIVOS
Base de Datos de
Cobranzas
Base de Datos de
Finanzas
Base de Datos de
Marketing
AMENAZA
PROBABILIDAD
Fraude
Muy Alta
Incumplimiento
legales
Alta
Fuga de
informacin
Medio
IMPACTO
RIESGO
Seria
Extremo
Significativa
Alto
Menor
Bajo
Matrices de Riesgo
Activo
Amenaza
Base de Datos
Finanzas
Fraude
Base de Datos
Marketing
Robo
Proceso
Negociaciones
0,2
0,01
100000
200
Fidelizacion de Clientes
0,1
0,01
50000
50
Matrices de Riesgo
PROBABILIDAD
IMPACTO
ALTO
MEDIO
BAJO
BAJO
MEDIO
ALTO
PROBABILIDAD
Matrices de Riesgo
ALTA
MEDIA
BAJA
15
Zona de Riesgo Moderado
30
Zona de Riesgo Importante
60
Zona de Riesgo Inaceptable
10
Zona de Riesgo Tolerable
20
Zona de Riesgo Moderado
40
Zona de Riesgo Importante
5
Zona de Riesgo Aceptable
5
LEVE
10
Zona de Riesgo Tolerable
10
MODERADO
20
Zona de Riesgo Moderado
20
CATASTROFICO
IMPACTO
PROBABILIDAD
Matrices de Riesgo
Casi Cierto
5
5 - 20%
10 - 40%
15 - 60%
20 - 80%
25 - 100%
Probable
4
4 - 16%
8 - 32%
12 - 48%
16 - 64%
20 - 80%
Posible
3
3 - 12%
6 - 24%
9 - 36%
12 - 48%
15 - 60%
Improbable
2
2 - 8%
4 - 16%
6 - 24%
8 - 32%
10 - 40%
Raro
1
1 - 4%
2 - 8%
3 - 12%
4 - 16%
5 - 20%
Insignificante
1
Menor
2
Moderada
3
Mayor
4
Catastrfico
5
IMPACTO
Matrices de Riesgo
ZONA DE RIESGO
RIESGO EXTREMO
RIESGO ALTO
RIESGO MODERADO
RIESGO BAJO
Valor
Entre 1% - 15%
Conceptos
Factor de Exposicin (EF): Porcentaje de prdida o impacto
causada por una amenaza. Este valor es necesario para el clculo
del SLE
0% < EF < 100 %
Conceptos (Cont)
Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el
cual un evento ocurre dentro del periodo de un ao.
El ARO es considerado como cantidad o probabilidad (segn el
anlisis)
Expectativa de Prdida Anualizada (ALE): Representa la prdida
anual producida por una amenaza individual.
ALE = SLE * ARO
Ejemplo
Amenaza Valor del Activo
Fuego
$ 1.0 M
Robo
$ 1.0 M
x
FE
x 0.5
x 0.00005
=
SLE
= $ 500,000
= $ 50
x
x
x
ARO
0.1
1000
=
ALE
= $ 50,000
= $ 50,000
Comunicar y Consultar
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Tratar
los
Riesgos
Monitorear y Revisar
Evaluacin de Riesgos
Comunicar y Consultar
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Tratar
los
Riesgos
Monitorear y Revisar
SI
Aceptable
NO
Mitigar
Transferir
Evitar
NO
Riesgo
Aceptable?
SI
Aceptable
Monitorear y Revisar
Comunicar y Consultar
Riesgo
Aceptable?
CONTROLES
Polticas,
procedimientos,
prcticas
y
estructuras
organizacionales que estn diseados para brindar una confianza
razonable de que se alcanzarn los objetivos del negocio y que
se evitarn, detectarn y corregirn los incidentes
Controles
Administrativos
Polticas, estndares,
procedimientos,
guas, seleccin de
Personal,
Entrenamiento y
Educacin de Seguridad
Controles
Tcnicos
Controles de acceso
Lgico, Encriptacin,
Dispositivos de seguridad,
Identificacin y
Autenticacin
Controles
Fsicos
Proteccin de las
Facilidades, guardias
de seguridad, cerraduras,
Control ambiental,
Deteccin de Intrusos
Controles Fsicos
Controles Tcnicos
Controles Administrativos
Activos, Informacin
de la Organizacin
Evitar el riesgo
Mitigar los riesgos
Transferir los riesgos
Retener o Aceptar los riesgos
Seleccin de Controles
(Anexo A)
Planeamiento de contingencia
Arreglos contractuales
Condiciones contractuales
Caractersticas de diseo
Planes de recuperacin de desastres
Planeamiento de control de fraudes
Minimizar la exposicin a fuentes de riesgo
Planeamiento de cartera
Poltica y control de precios
Separacin o reubicacin de una actividad y recursos
Relaciones pblicas
Otros.
Costo de Controles
(Anexo D)
Riesgo Residual
RIESGO
EVALUADO
CONTROLES
CONTROLES
IMPLEMENTADOS
APROBADOS
RIESGO RESIDUAL
Riesgo Aceptable
Matriz de Controles
Comunicar y Consultar
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Tratar
los
Riesgos
Monitorear y Revisar
Monitorear y Revisar
Monitorear y Revisar
Comunicar y Consultar
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Tratar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
Comunicar y Consultar
Documentacin
1.
- Controles existentes
2.
Consecuencia y probabilidad
- Procesos Interdependientes
- Clasificacin inicial del riesgo
3.
4.