Sesin 05

Anlisis y Gestin de Riesgos

MTODOS Y MEDIOS DE PROTECCIN DE LA INFORMACIN
ggomez@esan.edu.pe

Gianncarlo Gmez Morales

1 ggomez@esan.edu.pe
 Agenda

Conceptos generales.
Componentes del riesgo.
Gestin del riesgo segn el ISO 27001 y
31000.

Av. Petit Thouars 385

+51 315 9610

Gianncarlo Gmez Morales

2 ggomez@esan.edu.pe
 01 Conceptos generales

Gianncarlo Gmez Morales

3 ggomez@esan.edu.pe
 Activo

Cualquier recurso de Software, Hardware, datos o informacin, datos

personales, ubicaciones fsicas, personal o comunicaciones relevantes
para un proceso.

Ejemplo

Servidores, bases de datos de clientes, red de datos, analista nivel I,

aplicativo TeVeo, informacin del personal, etc.

Gianncarlo Gmez Morales

4 ggomez@esan.edu.pe
 Vulnerabilidad

Debilidad, factor de riesgo interno de un elemento expuesto a una

amenaza de ser susceptible a sufrir un dao y de encontrar
dificultades en recuperarse posteriormente.

Ejemplo:

Cuentas de usuarios sin contrasea.

No hay un software de control de accesos.
No contar con un plan de recuperacin de desastres.

Gianncarlo Gmez Morales

5 ggomez@esan.edu.pe
 Amenaza

Posibilidad de que se produzca una determinada vulnerabilidad de

forma satisfactoria. Una fuente de amenazas no plantea un riesgo
cuando no hay vulnerabilidades que puedan ser activadas.
Es una circunstancia o evento con la capacidad de causar dao a un
sistema.

Ejemplo:

Terremotos que destruyan el centro de cmputo (naturales).

Gianncarlo Gmez Morales

6 ggomez@esan.edu.pe
 Impacto

Es la materializacin de un riesgo; una medida del grado de dao o

cambio sobre un activo.

Ejemplo:

Retraso en la ejecucin y conclusin de actividades de negocio.

Prdida de oportunidad y efectividad en la operacin.

Gianncarlo Gmez Morales

7 ggomez@esan.edu.pe
 Probabilidad de Ocurrencia

Posibilidad de que algn hecho se produzca.

En la terminologa de la gestin del riesgo, la palabra "probabilidad" se
utiliza para indicar la posibilidad de que algn hecho se produzca, que
esta posibilidad est definida, medida o determinada objetiva o
subjetivamente, cualitativa o cuantitativamente, y descrita utilizando
trminos generales o de forma matemtica (tales como una
probabilidad o una frecuencia sobre un periodo de tiempo dado).

Gianncarlo Gmez Morales

8 ggomez@esan.edu.pe
 Riesgo

Segn el ISO 31000, el riesgo es el efecto de la incertidumbre sobre la

consecucin de los objetivos.
El estndar IEEE 1228-1994(Standard For Software Safety Plan) define
un riesgo como una mtrica que combina la probabilidad de que un
peligro cause un accidente y la severidad de dicho accidente.
Un riesgo de un proyecto o activo o activo es un evento o condicin
incierto que, si se produce, tendr un efecto positivo o negativo sobre
al menos un objetivo del proyecto o activo o activo, como tiempo,
coste, alcance o calidad.

Gianncarlo Gmez Morales

9 ggomez@esan.edu.pe
 02 Componentes del Riesgo

Gianncarlo Gmez Morales

10 ggomez@esan.edu.pe
 Componentes del Riesgo

Los 4 componentes del riesgo son:

Coste: Se mantendr el presupuesto del proyecto o activo?

Agenda: Se mantendr la agenda del proyecto o activo?
Rendimiento: El producto software cumplir sus requisitos?
Soporte: El producto software ser fcil de corregir, adaptar y
mejorar?

Gianncarlo Gmez Morales

11 ggomez@esan.edu.pe
 Exposicin al Riesgo
Exposicin de riesgo = Probabilidad de riesgo * Prdida en caso de que le evento ocurra

Por ejemplo, si consideramos una situacin en la que una

organizacin tiene una probabilidad de perder un contrato con un
cliente del 20% y la prdida de los beneficios sera de 30.000 soles. En
este caso la exposicin al riesgo sera: 0.2 * 30.000= 6000.

La exposicin al riesgo ayuda a decidir qu riesgos son ms crticos

combinando la probabilidad de ocurrencia de un riesgo con su valor
(prdida).

Gianncarlo Gmez Morales

12 ggomez@esan.edu.pe
 Riesgos Basados en el rea de impacto
Basados en el rea de impacto, los riesgos en un proyecto o activo pueden clasificarse en 3 categoras:

Riesgos de proyecto o activo: estos riesgos amenazan el presupuesto

y agenda del proyecto o activo. Esto es debido a suposiciones
relacionadas con el personal, comunicacin con clientes,
productividad.
Riesgos tcnicos: estos riesgos amenazan tanto la calidad y el periodo
de desarrollo del trabajo tcnico como la calidad de diseo,
obsolescencia tcnica... Los riesgos tcnicos ocurren cuando el
problema que se intenta solucionar es ms complejo de lo anticipado.
Riesgos de negocio: estos riesgos amenazan la viabilidad bsica del
producto y pueden causar la cancelacin del proyecto o activo o la
construccin de un producto que no es necesario. Los riesgos de
negocio ocurren por las restricciones impuestas por la gestin o por el
mercado.

Gianncarlo Gmez Morales

13 ggomez@esan.edu.pe
 Basados riesgos comunes

Riesgos especficos del proyecto o activo: riesgos que son asociados

con caractersticas especificas del proyecto o activo como su
tecnologa, personas y clientes.
Riesgos genricos: riesgos que son una amenaza potencial a todos los
proyecto o activos dentro de una organizacin.

La identificacin de riesgos incluye la identificacin de riesgos genricos

que sean relevantes para un proyecto o activo junto con la identificacin
de cualquier riesgo especfico para el proyecto o activo.

Gianncarlo Gmez Morales

14 ggomez@esan.edu.pe
 Basados en factores

Tamao del producto: tamao del producto a construir o modificar.

Impacto del negocio: restricciones impuestas por la Direccin o el
mercado.
Caractersticas del cliente: sofisticacin del cliente y la habilidad para
comunicarse con los desarrolladores.
Definicin del proceso: grado en el que el proceso software ha sido
definido y seguido por la organizacin.
Desarrollo de mtodos y herramientas: habilidad y calidad de las
herramientas utilizadas para construir un producto.
Tecnologa a construir: complejidad de construccin del producto y las
novedades de las tecnologas a usar.
Experiencia y nmero de personal: experiencia tcnica de las
personas que trabajan en el proyecto o activo.

Gianncarlo Gmez Morales

15 ggomez@esan.edu.pe
 Gestin del Riesgo segn el ISO 27001 y el
03
ISO 31000

Gianncarlo Gmez Morales

16 ggomez@esan.edu.pe
 ISO 31000:2009

ISO 31000 es la norma internacional para la gestin del riesgo.

Al proporcionar principios integrales y directivas, esta norma ayuda a
las organizaciones con su anlisis y evaluacin de riesgos. Sea que
trabaje en una empresa pblica, privada o comunitaria, se puede
beneficiar de ISO 31000, porque se aplica a la mayora de las
actividades comerciales, incluyendo la planeacin, operaciones de
gestin y procesos de comunicacin. Mientras que todas las
organizaciones manejan el riesgo en cierta medida, las
recomendaciones de mejores prcticas de esta norma internacional
se desarrollaron para mejorar las tcnicas de gestin y garantizar la
seguridad y proteccin en todo momento en el lugar de trabajo.

Gianncarlo Gmez Morales

17 ggomez@esan.edu.pe
 Relaciones entre los componentes del marco de trabajo de la gestin del riesgo
Clusula 04

Gianncarlo Gmez Morales

18 ggomez@esan.edu.pe
 Proceso de gestin del riesgo
Clusula 05

Gianncarlo Gmez Morales

19 ggomez@esan.edu.pe
 Actores

PROPIETARIO DEL ACTIVO PROPIETARIO DEL RIESGO

Persona o entidad con la responsabilidad Persona o entidad con la responsabilidad
sobre el activo y no necesariamente para gestionar el riesgo.
quien tiene derechos propietarios sobre
el mismo.

Gianncarlo Gmez Morales

20 ggomez@esan.edu.pe
 Proceso de Anlisis y Gestin del Riesgo

Gianncarlo Gmez Morales

21 ggomez@esan.edu.pe
 Determinacin del Alcance
Antes de iniciar el diseo y la implementacin del marco de trabajo de la gestin del riesgo, es importante evaluar y entender el
contexto externo y el contexto interno de la organizacin, dado que ambos pueden influir significativamente en el diseo del marco
de trabajo.

El XYZ, considerando los factores internos y externos, las partes interesadas y sus expectativas, ha definido el
alcance del SGSI en:

Proceso A Proceso B Proceso C

Desde sus oficinas ubicadas en DD y EE

Gianncarlo Gmez Morales

22 ggomez@esan.edu.pe
 Inventario de Activos
Segn el alcance seleccionado, se debe realizar un listado de todos los activos que intervienen en dicho proceso

PROCESO DESCRIPCION ACTIVOS

Oficina de AAA
Oficina BBBB
Oficina CCC
Oficina DDD
Oficina EEEE
Oficina FFF
Oficina GGG
Centro de Datos
Red de Datos
Central Telefnica
SrvAAA
Comprende la SrvBBB
PROCESO XXX SrvCCC
SrvDDD
SisCCC
SFFF
ARRR
Unidad WWW
Internet
Unidad DDD
Telefona
Electricidad
SIAF
Correo electrnico
Expediente de ZZZ
Expediente de YYY
Informacin del XXX
Informacin WWW
Gianncarlo Gmez Morales
23 ggomez@esan.edu.pe
 Clasificacin de Activos y asignacin de propietarios

SERVICIOS [S]
DATOS DE CARCTER PERSONAL [DP] DATOS/INFORMACION [D] UBICACIN FSICA [U]

SOFTWARE [SW] HARDWARE [HW] PERSONAL[P]

RED COMUNICACIONES [COM]

Gianncarlo Gmez Morales

24 ggomez@esan.edu.pe
 Clasificacin de Activos y asignacin de propietarios

N DOMINIO ACTIVO PROPIETARIO

1 U Oficina de AAA GAF
2 U Oficina BBBB GCC
3 U Oficina CCC GFS
4 U Oficina DDD GPRC
5 U Oficina EEEE GPSU
6 U Oficina FFF GAL
7 U Oficina GGG ST
8 U Centro de Datos GTICE
9 COM Red de Datos GTICE
10 HW Central Telefnica GTICE
11 HW SrvAAA GTICE
12 HW SrvBBB GTICE
13 HW SrvCCC GTICE
14 HW SrvDDD GTICE
15 SW SisCCC GTICE
16 SW SFFF GTICE
17 SW ARRR GTICE

Gianncarlo Gmez Morales

25 ggomez@esan.edu.pe
 Valoracin de Activos
Ahora, se deber determinar los valores de cada uno de los activos en base a su nivel de confidencialidad, disponibilidad e Integridad,
considerando los siguientes valores de impacto:

Matriz de Impacto
NIVEL DESCRIPTOR DESCRIPCIN
1 Insignificante Si el hecho llegara a presentarse, tendra consecuencias o efectos mnimos sobre la entidad.

2 Menor
3 Daino
4 Severo
5 Critico
Si el hecho llegara a presentarse, tendra bajo impacto o efecto sobre la entidad.
Si el hecho llegara a presentarse, tendra medianas
consecuencias o efectos sobre la entidad.
Si el hecho llegara a presentarse, tendra altas consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendra desastrosas
consecuencias o efectos sobre la entidad

Gianncarlo Gmez Morales

26 ggomez@esan.edu.pe
 Valoracin de Activos

N DOMINIO ACTIVO C D I TOTAL

1 U Oficina de AAA 4 3 2 3
2 U Oficina BBBB 4 3 2 3
3 U Oficina CCC 5 5 5 5
4 U Oficina DDD 4 3 1 3
5 U Oficina EEEE 4 3 2 3
6 U Oficina FFF 5 5 5 5
7 U Oficina GGG 3 3 2 3
8 U Centro de Datos 5 5 5 5
9 COM Red de Datos 5 5 4 5
10 HW Central Telefnica 4 4 4 4
11 HW SrvAAA 2 5 2 3

Gianncarlo Gmez Morales

27 ggomez@esan.edu.pe
 Clculo del riesgo
Para realizar la evaluacin del riesgo determinaremos dos variables, la probabilidad de ocurrencia y el impacto que causara si el
riesgo se plasmara, segn el ISO 3100 el clculo del riesgo se determina con estas dos variables:

RIESGO = PROBABILIDAD DE OCURRENCIA * VALORACION DEL IMPACTO

Para ello utilizaremos los siguientes valores:

NIVEL DESCRIPTOR DESCRIPCIN FRECUENCIA

1 Raro El evento ocurre solo en circunstancias excepcionales. No se ha presentado en los ltimos 3 aos

2 Improbable El evento puede ocurrir en algn momento Al menos de una vez en los ltimos 3 aos.

3 Posible
4 Probable
5 Casi Seguro
El evento podra ocurrir en algn momento Al menos de una vez en los ltimos 2 aos.
El evento probablemente ocurrir en todas las
Al menos de una vez en el ltimo ao.
circunstancias
Se espera que el evento ocurra en la mayora de las
Ms de una vez al ao.
circunstancias

NIVEL DESCRIPTOR DESCRIPCIN

1 Insignificante Si el hecho llegara a presentarse, tendra consecuencias o efectos mnimos sobre la entidad.

2 Menor
3 Daino
4 Severo
5 Critico
28
Si el hecho llegara a presentarse, tendra bajo impacto o efecto sobre la entidad.
Si el hecho llegara a presentarse, tendra medianas
consecuencias o efectos sobre la entidad.
Si el hecho llegara a presentarse, tendra altas consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendra desastrosas
consecuencias o efectos sobre la entidad Gianncarlo Gmez Morales
ggomez@esan.edu.pe
 Criterios de aceptacin del Riesgo
El tratamiento del riesgo implica la seleccin y la implementacin de una o varias opciones para modificar los riesgos.
Una vez realizada la implementacin, los tratamientos proporcionan o modifican los controles.

Gianncarlo Gmez Morales

29 ggomez@esan.edu.pe
 Criterios de aceptacin del Riesgo
Para facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta una matriz que contempla un anlisis cualitativo,
para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Las categoras
relacionadas con el impacto son: insignificante, menor, Daino, Severo y Critico. Las categoras relacionadas con la probabilidad son
Raro, Improbable, Posible, Probable y Casi seguro.

IMPACTO
PROBABILIDAD
Insignificante [1] Menor [2] Daino [3] Severo [4] Critico [5]
Raro [1] B [1] B [2] M [3] M [4] M [5]
Improbable [2] B [2] M [4] M [6] M [8] M [10]
Posible [3] M [3] M [6] A [9] A [12] A [15]
Probable [4] M [4] M [8] A [12] A [16] E [20]
Casi seguro [5] M [5] M [10] A [15] A [20] E [25]

Y se definen las siguientes zonas de riesgos y sus criterios de aceptacin respectivos:

B Zona de riesgo baja Asumir el riesgo

Zona de riesgo
M Asumir el riesgo, evaluar reducir el riesgo
moderada
A Zona de riesgo Alta Reducir el riesgo, evitar, compartir o transferir

E Zona de riesgo extrema Reducir el riesgo, evitar, compartir o transferir

Gianncarlo Gmez Morales

30 ggomez@esan.edu.pe
 Clculo del Riesgo

MEDICION DEL
AMENAZA OCURRENCIA
RIESGO

IMPACTO DE PROBABILIDAD ZONA DE

N ACTIVO AMENAZA VALOR VALOR TOTAL
AMENAZA DE OCURRENCIA RIESGO
1 Acceso no autorizado Critico 5 Posible 3 15 A
2 Desastres debidos a la actividad humana Daino 3 Improbable 2 6 M
Oficina de AAA
3 Incendios e inundaciones Severo 4 Posible 3 12 A
4 Robo Critico 5 Probable 4 20 E
5 Acceso no autorizado Daino 3 Raro 1 3 M
6 Desastres debidos a la actividad humana Menor 2 Raro 1 2 B
Oficina BBBB
7 Incendios e inundaciones Daino 3 Posible 3 9 A
8 Robo Severo 4 Probable 4 16 A
9 Acceso no autorizado Daino 3 Raro 1 3 M
10 Desastres debidos a la actividad humana Menor 2 Raro 1 2 B
Oficina CCC
11 Incendios e inundaciones Daino 3 Posible 3 9 A
12 Robo Daino 3 Probable 4 12 A

Gianncarlo Gmez Morales

31 ggomez@esan.edu.pe
 Plan de tratamiento del Riesgo

2016 2017

ZONA DE DUEO
AMENAZA ACTIVO SALVAGUARDAS JUL AGO SET OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL
RIESGO RIESGO

Oficina de AAA A Colocar cerraduras y

Acceso no autorizado Oficina DDD A AAA llaves en las puertas de
Oficina EEEE A las oficinas

Red de Datos A
Central Telefnica A
SrvAAA A
SrvBBB A
SrvCCC A
SrvDDD A
Compra de un NGF (Next
Ataque destructivo SisCCC A BBB
Generation Firewall)
SFFF A
ARRR A
Unidad WWW A
Internet A
Unidad DDD A
Electricidad A

Gianncarlo Gmez Morales

32 ggomez@esan.edu.pe
 Consultas?
ggomez@esan.edu.pe
+51 992247107

Gianncarlo Gmez Morales

33 ggomez@esan.edu.pe