Servicio de Consultoría Sistema

de Gestión de Seguridad de la
Información (SGSI)
 Proceso de Identificación, Análisis

y Evaluación de Riesgos de Seguridad de la

Información
 Agenda

• Análisis y Evaluación de Riesgos

• Inventario de Activos de Información

• Conceptos

• Identificar Amenazas y Vulnerabilidades

• Determinación del Impacto. Criterios de Valorización: Confidencialidad, Integridad, Disponibilidad

• Determinación de la Probabilidad de Ocurrencia

• Valorización del Riesgo

• Mapa del Riesgo y Nivel de Riesgo

• Matriz de Riesgos de Seguridad de la Información

• Preguntas
 Análisis y Evaluación de Riesgos

• Es el proceso mediante el cual se identifica y determina

el valor de los activos de información, se identifican las
amenazas y las vulnerabilidades que existen (o podrían
existir) y mediante la estimación del impacto y
probabilidad de ocurrencia se determina cualitativamente
la magnitud del riesgo.

• Principales conceptos:

Activo Un activo es algo que tiene valor o utilidad para la organización, sus
actividades y su continuidad y, por tanto debe ser protegido
Activo de Es aquel elemento que genere, transmita, almacene y destruya la
Información información
Propietario del Personal responsable de controlar la producción, desarrollo,
activo mantenimiento, uso y seguridad del activo de información. Tiene autoridad
formal y no significa que tenga derechos de propiedad sobre el activo
• Etapas:

1. Identificación y evaluación de activos de información

2. Identificar las amenazas correspondientes
3. Identificar las vulnerabilidades
4. Determinar el impacto y la probabilidad de ocurrencia
de una amenaza
5. Determinar los controles a mejorar e implementar
 Inventario de Activos de Información

INVENTARIO DE ACTIVOS DE INFORMACIÓN

Gerencia/Área: Fecha: / /
Proceso: Versión: 1.0

CLASIFICA
DETALLE DEL PROPIETARIO DEL TIPO DEL CIÓN DE UBICACIÓN TIPO DE VALOR DEL
CÓD. NOMBRE DEL ACTIVO CUSTODIO DEL ACTIVO CATEGORÍA DEL ACTIVO SUBPROCESO
ACTIVO ACTIVO ACTIVO INFORMACI ESPECÍFICA USO ACTIVO
ÓN
 Lista General de Activos de Información
TIPO DE EJEMPLO
ACTIVO CATEGORIA
Archivos de documentos
Información electrónica
Información Documentos que ingresan por mesa de
Información electrónica y/ó impresa partes

Software base o sistema operativo Linux, Windows

Antivirus, Firefox
Software comercial o herramientas, utilitarios
Software desarrollado por terceros
Software
Software desarrollado internamente
MySQL, Oracle
Software de administración de base de datos
Otro software
Equipo de Procesamiento Pc, Laptop
Equipo de Comunicación Switch
Físico
Medio de Almacenamiento Removible Disco Duro
Otro Equipo Token
Gerentes Centrales, Gerentes, Jefes
Responsable de Toma de Decisiones
Usuario
Personas
Personal de Operaciones y Mantenimiento
Desarrolladores
Otras personas
Servicios Generales Courier, Estadístico
Telefonía, Energía Eléctrica, Agua
Servicios Públicos
Servicios
Procesamiento y Comunicaciones
Otros Servicios
 Clasificación de Información
Clasificación de
Definición
Información
Activos de información cuyo contenido no debe ser divulgado ni distribuido a personas que no sean autorizadas y cuya
Confidencial
difusión genere un impacto importante en la institución entre ellas: pérdida económica, sanción legal o pérdida de imagen.
Uso Interno Activos de información cuyo contenido sólo debe ser de uso y divulgación para el personal interno de la institución.

Público Información no sensible de acceso público y que su divulgación no genere impacto en la institución.

Tipo de Uso
Tipo de Uso
Diario
Semanal
Mensual
Semestral
Anual

Valoración de los Activos de Información

Valor del
Definición
Activo
Activo importante para el SAT.
Alto
Su disponibilidad es necesaria para los procesos críticos de la institución.
Constituye un soporte para los activos importantes del SAT.
Medio La información puede estar replicada en varias fuentes o existen medios alternos.
No compromete los procesos críticos del SAT.
Activos secundarios, que constituyen información para la toma de decisiones de un área específica.
Bajo
No compromete ningún proceso del SAT.
 Conceptos
Amenaza Causa potencial de daño a un activo. Es lo que no puedo controlar p.e:
Fuego/Incendio
Vulnerabilidad Debilidad de un activo que puede ser aprovechada por una amenaza.
Debilidad de la organización que puedo controlar p.e: Material Inflamable
en las oficinas
Confidencialidad A la Información solo pueden acceder las personas autorizadas para ello

Integridad La información ha de estar exacta y completa en todo momento

Disponibilidad La información debe estar lista para acceder a ella o utilizarla cuando se
necesita
Impacto Consecuencias de la explotación de una vulnerabilidad por una amenaza
debido a una falta o falla de controles, generando pérdida en
confidencialidad, integridad y disponibilidad de la información u otros
activos
Probabilidad Posibilidad de que un evento cualquiera ocurra o no

Riesgo en la El potencial de que una amenaza dada explote las vulnerabilidades de un

seguridad de la activo o grupo de activos y cause así daño a la organización
información
 Matriz de Riesgos de Seguridad de la Información

MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Gerencia/Área: Fecha: / /
Proceso: Versión: 1.0

¿Qué afecta en los

activos de RIESGO EFECTIVO
CONTROLES
N° ACTIVO AMENAZA VULNERABILIDAD información?
EXISTENTES
PROBABI NIVEL DE CÓDIGO DE NOMBRE
C I D Valor CID IMPACTO
LIDAD RIESGO RIESGO DEL RIESGO
 Identificar Amenazas
Para cada activo de información identificado se deben
especificar las amenazas que le son propias a su naturaleza
(ver Tabla de Amenazas).

Identificar Vulnerabilidades
Se identifican vulnerabilidades que tenga el activo de
información, la cual pueda permitir que la amenaza se
materialice (ver Tabla de Vulnerabilidades).

Identificar Controles
Identificar controles existentes que ayuden a salvaguardar el
proceso ante las amenazas-vulnerabilidades identificadas para
los activos de información. Eventualmente los controles
lograrán aportar seguridad a más de un activo de información
identificado.
 Determinación del Impacto

Criterios de Valorización: Confidencialidad

Valor Clasificación Definición Consecuencia

La divulgación no autorizada produce:
Es la información o recurso que debe ser
- Pérdida de la ventaja competitiva.
divulgada sólo a fuentes autorizadas,
- Uso malicioso en contra de la institución.
controladas y debidamente identificadas.
3 Alta - Pérdidas financieras que no pueden ser absorbidas por la
Debe ser modificada y leída por un grupo
institución.
reducido de personas autorizadas y
- Demandas legales que dañan la imagen y confianza
claramente identificadas.
pública de la institución.
La divulgación no autorizada produce:
- Pérdida potencial de la ventaja competitiva.
Es la información que debe ser divulgada
- Uso malicioso en contra de la imagen o situaciones
sólo al personal de las áreas que la
2 Media puntuales.
manejan y modificada sólo por personas
- Pérdidas financieras que pueden ser absorbidas por la
autorizadas e individualizadas
Gerencia.
- No se producen demandas legales.
Es la información que puede ser
divulgada a público general, pero que sólo La divulgación no autorizada no representa perjuicio para la
1 Baja
puede ser modificada por personas institución.
autorizadas.
 Criterios de Valorización: Integridad

Valor Clasificación Criterio Consecuencia

La falta de integridad produce daños de gran magnitud los
que se pueden expresar como:
Es la información o recurso que al ser - Pérdidas económicas (pérdida, incumplimiento de metas).
modificado, intencional o casualmente, por - Falla de los procesos informáticos (incapacidad de
3 Alta personas o procesos autorizados o no ejecutarlos por un período de tiempo más allá de lo estimado
autorizados provoca daños de gran como manejable).
magnitud. - Daño de la imagen de la institución (daño a nivel nacional e
internacional que no se puede reparar en el corto plazo).
- Pérdida de la confianza de los usuarios.
La falta de integridad produce daños de mediana magnitud
los que se pueden expresar como:
- Pérdidas económicas (menor ganancia, incumplimiento de
Es la información o recurso que al ser
metas en menor escala).
modificado, intencional o casualmente, por
- Falla de los procesos informáticos (incapacidad de
2 Media personas o procesos autorizados o no
ejecutarlos por un periodo de tiempo que está en el límite
autorizados provoca daños de mediana
superior de lo estimado como manejable).
magnitud.
- Daño de la imagen de la Institución (daño a nivel nacional,
se puede reparar en el corto plazo).
- Pérdida de la confianza de los usuarios.

La falta de integridad produce daños de pequeña magnitud

los que se pueden expresar como:
- Pérdidas económicas (no impacta las ganancias, se
Es la información o recurso que al ser cumplen las metas).
modificado, intencional o casualmente, por - Falla de los procesos informáticos (incapacidad de
1 Baja personas o procesos autorizados o no ejecutarlos por un período de tiempo pero este es
autorizados provoca daños de pequeña manejable).
magnitud. - Daño de la imagen de la Institución (daño a nivel nacional
que puede no ser percibido y se puede reparar
prontamente).
- Pérdida de la confianza de los usuarios.
 Criterios de Valorización: Disponibilidad

Valor Clasificación Definición Consecuencia

La falta de disponibilidad por períodos prolongados
produce:
Es información o activo indispensable - Incumplimiento a los acuerdos de nivel de servicio. La
para la continuidad de la Institución. transición entre el recurso principal y el alternativo no debe
3 Alta El recurso principal y el alternativo no impactar el acuerdo de servicio.
pueden faltar por un período prolongado - Perjuicios legales que afectan la imagen de la Institución.
de tiempo en horarios críticos. - Perjuicios económicos que no pueden ser absorbidos por
la Institución.
- Problemas sindicales.

La disponibilidad de la información es La falta de disponibilidad produce:

necesaria para la continuidad de la - Que los niveles de servicio acordados se puedan ver
institución, pero existen canales afectados en la transición entre el medio principal y el
alternativos para contrarrestar una alternativo.
2 Media pérdida de disponibilidad en un tiempo - Perjuicios legales que no comprometen la imagen de la
razonable. institución.
El recurso principal y el alternativo pueden - Perjuicios económicos que pueden ser absorbidos por la
quedar fuera de servicio por un periodo institución.
mínimo de tiempo en horarios críticos. - No hay problemas sindicales.

La falta de disponibilidad produce:

Es información o activos de apoyo o
- Que los niveles de servicio acordados para los procesos
secundarios para el negocio.
operativos importantes, no se ven afectados.
La información se encuentra duplicada en
1 Baja - Problemas administrativos y operativos no significativos.
varias fuentes.
- Perjuicios económicos que no son significativos.
Si no está disponible no compromete
- No hay perjuicios legales.
procesos operativos importantes.
- No hay problemas sindicales.
 Impacto del Riesgo

Aspecto de Seguridad afectado por el riesgo

IMPACTO
C I D
1 1 1 No Significativo
1 1 2 Menor
1 1 3 Significativo
1 2 1 Menor
1 2 2 Moderado
1 2 3 Significativo
1 3 1 Significativo
1 3 2 Significativo
1 3 3 Catastrófico
2 1 1 Menor
2 1 2 Moderado
2 1 3 Significativo
2 2 1 Moderado
2 2 2 Moderado
2 2 3 Significativo
2 3 1 Significativo
2 3 2 Significativo
2 3 3 Catastrófico
3 1 1 Significativo
3 1 2 Significativo
3 1 3 Catastrófico
3 2 1 Significativo
3 2 2 Significativo
3 2 3 Catastrófico
3 3 1 Catastrófico
3 3 2 Catastrófico
3 3 3 Catastrófico
 Nivel de Impacto

Nivel Descripción Impacto en la Institución

Impacta en forma severa en el SAT al punto de comprometer la confidencialidad o integridad de
información crítica de la institución o la continuidad de las operaciones por paralización de los servicios
5 Catastrófico
críticos más allá de los tiempos tolerables por el negocio. El impacto es a toda la institución y su efecto
repercute en todo el personal involucrado.
Impacta en forma grave a un área o servicio específico del SAT, se puede llegar a comprometer
4 Significativo documentos internos clasificados como confidenciales, paralizar o retrasar procesos claves del SAT por un
tiempo considerable. Su efecto está limitado dentro del SAT.
El impacto sobre la confidencialidad, integridad y disponibilidad de la información es limitado en tiempo y
3 Moderado alcance. Su efecto es para un proceso de soporte o actividad específica que puede subsanarse en corto
plazo.
2 Menor El impacto es leve y se puede prescindir del mismo en un tiempo limitado.
1 No Significativo No representa un impacto importante para el SAT.
 Determinación de la Probabilidad de Ocurrencia

Valor Clasificación Definición

1 Muy Baja El evento no ocurre nunca o casi nunca. Ha ocurrido 1 vez al menos.
Si bien el evento puede ocurrir el periodo entre uno y otro evento puede ser muy grande. 2 veces al
2 Baja menos.
3 Moderada Es posible que ocurra el evento con una frecuencia baja. 3 o 4 veces al año.
Existen antecedentes de que el evento ocurrirá, dentro de un plazo de tiempo que implique una acción
4 Alta para enfrentarlo pero la frecuencia no es alta. 1 vez al mes
El evento se sabe que ocurre con cierto grado de certeza y que la frecuencia es alta. 1 vez a la semana o
5 Muy Alta más.
 Valorización del Riesgo

Tabla de Valorización de Riesgos

Impacto Probabilidad Riesgo
Catastrófico 5 Muy Alta 5 Extremo 25
Significativo 4 Muy Alta 5 Extremo 20
Moderado 3 Muy Alta 5 Extremo 15
Menor 2 Muy Alta 5 Alto 10
No Significativo 1 Muy Alta 5 Mediano 5
Catastrófico 5 Alta 4 Extremo 20
Significativo 4 Alta 4 Extremo 16
Moderado 3 Alta 4 Alto 12
Menor 2 Alta 4 Mediano 8
No Significativo 1 Alta 4 Bajo 4
Catastrófico 5 Moderada 3 Extremo 15
Significativo 4 Moderada 3 Alto 12
Moderado 3 Moderada 3 Alto 9
Menor 2 Moderada 3 Mediano 6
No Significativo 1 Moderada 3 Bajo 3
Catastrófico 5 Baja 2 Alto 10
Significativo 4 Baja 2 Mediano 8
Moderado 3 Baja 2 Mediano 6
Menor 2 Baja 2 Bajo 4
No Significativo 1 Baja 2 No Significativo 2
Catastrófico 5 Muy Baja 1 Mediano 5
Significativo 4 Muy Baja 1 Bajo 4
Moderado 3 Muy Baja 1 Bajo 3
Menor 2 Muy Baja 1 No significativo 2
No Significativo 1 Muy Baja 1 No significativo 1
 Mapa del Riesgo
Significativo Catastrófico

MEDIANO ALTO EXTREMO EXTREMO EXTREMO

5

BAJO MEDIANO ALTO EXTREMO EXTREMO

4
IMPACTO

Moderado

BAJO MEDIANO ALTO ALTO EXTREMO

3
Menor

NO SIGNIFICATIVO BAJO MEDIANO MEDIANO ALTO

2
Significativo
NO

NO SIGNIFICATIVO NO SIGNIFICATIVO BAJO BAJO MEDIANO

1

1 2 3 4 5
Muy Baja Baja Moderada Alta Muy Alta
PROBABILIDAD
 Nivel de Riesgo

Rango de Riesgo Nivel de Riesgo Descripción de las Consecuencias

Puede afectar seriamente al SAT, en términos de paralización de las operaciones a la imagen del SAT.
Extremo Requiere acción correctiva inmediata más allá del tiempo tolerable, pérdidas considerables o demandas
Del 15 a 25 legales y daño considerable.
Puede afectar los niveles de operación y servicio del SAT, incumplimiento de metas, y divulgación no
Alto autorizada de información fuera del SAT. Requiere una acción correctiva sujeta a la discreción de la
Del 9 a 12 Gerencia en términos de plazos y compromisos.
Afecta a los activos de información de soporte a los activos principales, puede afectar la disponibilidad en
Mediano áreas específicas del SAT. La divulgación no autorizada no representa perjuicio importante para el SAT.
Del 5 a 8 Su aceptación está sujeta a la revisión de la Gerencia.
Del 3 a 4 Bajo No causa un efecto considerable en el SAT. Usualmente son aceptados sin revisión.
Del 1 a 2 No Significativo El efecto para el SAT es insignificante. Usualmente no se les considera para la gestión de riesgos.
Preguntas
Muchas
Gracias