ANLISIS Y GESTIN DE

RIESGOS EN UN SISTEMA
INFORMTICO.

ndice
1.Recursos del Sistema
2.Amenazas
3.Vulnerabilidades
4.Incidentes de Seguridad
5.Impactos
6.Riesgos
7.Defensas, Salvaguardas o
Medidas de Seguridad
8.Trasferencia del Riesgo a
Terceros
9.Referencias de Inters

1. Recursos del Sistema

Los recursos son los activos a proteger del sistema
informtico de la organizacin.
Principales recursos a la hora de analizar y gestionar
riesgos:
-Recursos de hardware: servicios y estaciones de trabajo,
ordenadores porttiles, impresoras, escneres y otros
perifricos.
-Recursos software: sistemas operativos, herramientas
ofimticas, software de gestin, herramientas de programacin,
aplicaciones desarrolladas a medida, etc.
-Elementos de comunicaciones: dispositivos de conectividad
(hubs, switches, routers), armarios con paneles de conexin,
cableado, puntos de acceso a la red, lneas de comunicacin con
el exterior, etc.
-Informacin que se almacena, procesa y distribuye a travs del
sistema (activo de naturaleza intangible).
-Locales y oficinas donde se ubican los recursos fsicos y desde
los que acceden al sistema los usuarios finales.
-

2. Amenazas
Una Amenaza es cualquier evento accidental o intencionado
que pueda ocasionar algn dao en el sistema informtico,
provocando prdidas materiales, financieras o de otro tipo a la
organizacin.
Se puede establecer a la hora de estudiar las amenazas a la
seguridad:
-Amenazas naturales: inundacin, incendio, tormenta, fallo
elctrico, explosin, etc.
-Amenazas de agentes externos: virus informticos, ataques de
una organizacin criminal, sabotajes terroristas, disturbios y
conflictos sociales, intrusos en la red, robos, estafas, etc.
-Amenazas de agentes internos: empleados descuidados con
una formacin inadecuada o descontentos, errores en la
utilizacin de las herramientas y recursos del sistema, etc.

2. Amenazas
Tambin podramos definir una clasificacin alternativa,
teniendo en cuenta el grado de intencionalidad de la amenaza:
-Accidentes: averas del hardware y fallos de software, incendio,
inundacin, etc.
-Errores: errores de utilizacin, de explotacin, de ejecucin de
determinados procedimientos, etc.
-Actuaciones malintencionadas: robos, fraudes, sabotajes,
intentos de intrusin, etc.
Se puede emplear una escala cuantitativa o cualitativa para
definir distintos niveles para la ocurrencia de una amenaza: Muy
Baja, Baja, Media, Alta y Muy Alta.

3. Vulnerabilidades
Una vulnerabilidad es cualquier debilidad en el sistema
informtico que puede permitir a las amenazas causarle daos y
producir prdidas en la organizacin.
Se corresponden con fallos en los sistemas fsicos y lgicos,
aunque tambin pueden tener su origen en los defectos de
ubicacin , instalacin, configuracin y mantenimiento de los
equipos.
Se suele emplear una escala cuantitativa o cualitativa para
definir el nivel de vulnerabilidad de un determinado equipo o
recurso: baja, media y alta.

4. Incidentes de Seguridad

Una incidente de seguridad es cualquier evento que tenga o

pueda tener como resultado la interrupcin de los servicios
suministrados por un sistema informtico y posibles prdidas
fsicas, de activos o financieras. Es decir, se considera que un
incidente es la materializacin de una amenaza.

5. Impactos
El impacto es la medicin y valoracin del dao que podra
producir a la organizacin un incidente de la seguridad.
Tambin en este caso se puede emplear una escala
cuantitativa o cualitativa para medir el impacto del dao en la
organizacin: bajo, moderado y alto.

6. Riesgos
El riesgo es la probabilidad
de que una amenaza se
materialice sobre una
vulnerabilidad del sistema
informtico, causando un
determinado impacto en la
organizacin.
El nivel de riesgo depende
del anlisis previo de
vulnerabilidades del sistema,
de las amenazas y del posible
impacto que stas pueden
tener en el funcionamiento de
la organizacin.
Se han propuesto distintas
metodologas como CRMM, para

6. Riesgos
Ejemplo prctico de evaluacin del nivel de riesgo:
- Activo: servidor de ficheros de la organizacin.
-Amenaza: fallo hardware en un servidor, con una probabilidad de
ocurrencia baja.
- Vulnerabilidad del sistema: alta, ya que no se dispone de un
servidor alternativo ni de medidas redundantes (como los discos
Raid, etc).
- Impacto: indisponibilidad durante 24 horas del activo afectado,
por lo que se puede considerar como un impacto de nivel alto.
- Nivel de riesgo: se obtiene a partir de las tablas de valoracin
que se hayan adoptado, teniendo en cuenta que la amenaza es
Otras
y metodologas
que permiten
baja laherramientas
vulnerabilidad
es alta y el impacto
es alto. evaluar el riesgo:
-OCTAVE, metodologa de anlisis y evaluacin de riesgos.
- RiskWatch, software de evaluacin de riesgo que contempla los
controles previstos por la norma ISO 17799.
- COBRA, software de evaluacin de riesgo que tambin contempla
los controles previstos por la norma ISO 17799.

7. Defensas, Salvaguardas o Medidas de

Seguridad

Una defensa, salvaguarda o medida de seguridad es cualquier

medio empleado para eliminar o reducir un riesgo. Su objetivo es
reducir las vulnerabilidades de los activos, la probabilidad de
ocurrencia de las amenazas y el nivel de impacto en la
organizacin.
Una medida de seguridad activa, es cualquier medida utilizada
para anular o reducir el riesgo de una amenaza. A su vez, se
pueden clasificarse en medidas de prevencin y medidas de
deteccin.
Una medida de seguridad pasiva es cualquier medida
empleada para reducir el impacto cuando se produzca un
incidente de seguridad. Tambin conocidas como medidas de
correccin.

7. Defensas, Salvaguardas o Medidas de

Seguridad
Se puede distinguir tambin entre defensas fsicas y defensas
lgicas:
-Defensas fsicas: medidas que implican el control de acceso fsico
a los recursos y de las condiciones ambientales en que tienen que
ser utilizados (temperatura, humedad, suministro elctrico,
interferencias, etc.).
-Defensas lgicas: se encuentran relacionadas con la proteccin
conseguida mediante distintas herramientas y tcnicas
informticas (autenticacin de usuarios, control de acceso a
ficheros, encriptacin de los datos sensibles, etc.).

8. Trasferencia del Riesgo a Terceros

Como alternativa a la implantacin de una serie de medidas de
seguridad, una organizacin tambin podra considerar la
transferencia del riesgo a un tercer, ya sea mediante la
contratacin de una pliza de seguros especializada o bien a
travs de la subcontratacin de un proveedor especializado en
ofrecer determinados servicios de seguridad informtica.
Las plizas tradicionales de responsabilidad civil y cobertura
de daos suelen excluir expresamente las prdidas ocasionadas
por fallos y ataques informticos: virus, hackers y crackers, etc.
Sin embargo, contemplan la cobertura de los daos propios de la
organizacin derivados de ataques y otros incidentes de
seguridad: prdidas econmicas derivadas de las reparaciones y
sustituciones de equipos y sistemas, daos ocasionados por la
interrupcin en el negocio, contratacin de consultores
Por ltimo, la organizacin tambin podra considerar
informticos y legales para mitigar los daos, etc.
conveniente recurrir a una empresa externa especializada para la
revisin de la seguridad de los servicios pblicos que ofrece a
travs de Internet: Website, servidor FTP, servidor DNS.

9. Referencias de Inters