Gestion Del Riesgo

GRC6501 Gestion de Riesgos en Redes Corp.
Gestion del Riesgo

Unidad de Aprendizaje N1
Gestion de Riesgos y Continuidad Operativa
Experiencia de Aprendizaje 2:
Gestion del Riesgo y Cumplimiento
Gestin de Riesgo y Cumplimiento
Introduccin:
El principal objetivo de la Gestion de Riesgos es alcanzar el
equilibrio optimo entre la minimizacin de vulnerabilidades y
perdidas y las ganancias y oportunidades de la organizacin.
En otras palabras llevar el riesgo a niveles que sean aceptables
por la organizacin
La Gestin de Riesgos debe vigilar que ste no tenga impacto
significativo en los procesos crticos de negocio.
Como es sabido, el riesgo es inherente a toda actividad, por lo
tanto se debe realizar una gestin para garantizar la preservacin
de la compaa.
Grfico del Riesgo en funcin de los costos
Herramientas de la Gestin de Riesgos:
La principal herramienta con la que opera la Gestion de Riesgos
son los controles de seguridad, dado que, cada vez que se
aplica un control, ya sea una poltica, un procedimiento o un
control tecnolgico, se disminuye el riesgo.
Dado que la puesta en marcha de cada control de seguridad
tiene un costo de implementacin y costo de mantencin, es
muy importante analizar el retorno de inversin (ROI) en cada
caso.
Adems la evaluacin de riesgos puede ser cualitativa o
cuantitativa.
Introduccin:
Gestion de Riesgos Cuantitativa: es aquella que se puede
medir en forma numrica, que a su vez indica la magnitud del
impacto asociado. Generalmente se traduce en la perdida
financiera asociada si el riesgo se materializa.
Gestion de Riesgos Cualitativa: es aquella que no se puede
medir en forma numrica, slo conceptualmente, es decir
basado en la experiencia o sensibilidad de los activos de
informacin. Generalmente se utiliza una escala de:
Alto
Medio
Bajo
Activo de informacin: son todos recursos considerados
valiosos por la compaa y debe ser protegidos. Un activo
puede ser un archivo, un servidor, una base de datos,
documentos, etc.
Amenaza: es una accin posible que podra causar dao y
puede ocurrir con una determinada probabilidad. Un ejemplo
de amenaza son los huracanes, terremotos y en el mundo
informtico, virus o ataques.
Vulnerabilidad: es una falla de un sistema informtico que al
ser explotada, puede causar dao a la informacin.
Medicin del Riesgo:
La formula mas utilizada para la medicin del riesgo es:
Riesgo = Amenaza x Vulnerabilidad x Impacto
Donde:
Amenaza:
Nos da una idea de la probabilidad de ocurrencia.
Vulnerabilidad:
Nos da una idea del valor de la falla y de su grado de exposicin.
Impacto:
Nos da una idea del valor del dao que se podra causar.
Impacto: es una medida del dao que puede causar una amenaza y es
expresada en valor monetario. As como un huracn, no causa el mismo
dao, en general, a dos pueblos cercanos, se comprobara mas adelante,
el impacto no depende de la amenaza solamente, sino del activo de
informacin que se debe proteger.
Ejemplo:
Un terremoto afecta a dos edificios contiguos, en uno de ellos se
alcanza a realizar la evacuacin de los empleados y en el otro no,
claramente el impacto en perdida de vidas humanas ser distinto
en ambos casos.
Esto adems nos deja en claro la importancia de la prevencin en
la Gestion de Riesgos.
Matriz de Riesgo:
Es un modelo grafico para representar los riesgos de una
compaa y su magnitud.
Su principal aporte es que presenta en una sola vista todos los
riesgos que han sido detectados, su magnitud respectiva y
permite realizar un plan de mitigacin de riesgos, partiendo
por aquellos que son de mayor valor.
Es importante que todos los riesgos estn graficados en la matriz,
de esta forma se tendr una muy buena aproximacin del
riesgo de la compaa y un gerente de alto nivel podr tomar
mejores decisiones de cmo enfrentar el riesgo con una mirada
global.
Ejemplo de Matriz de Riesgo
Calculo del riesgo:
Una vez realizado el anlisis, se debe calcular el riesgo para
obtener una medicin numrica del mismo.
Para esto se utiliza la formula de:
ARO (Annual Rate of Occurrence): es el numero de veces
que ocurre un incidente en el plazo de un ao
SLE (Single Loss Expentancy): es el costo en el que incurre la
organizacin cuando se materializa el incidente.
ALE (Annual Loss Expentancy): es el costo anual del riesgo y
se obtiene de la siguiente formula
ALE = ARO * SLE
SLE = Valor del Activo * Factor de Exposicin
Factor de exposicin: corresponde al porcentaje de tiempo
que esta expuesto el activo a ser vctima de un incidente.
Un ejemplo de esto es el caso de notebooks, que no tienen
exposicin de ser robados, mientras estn en las
dependencias de la organizacin, pero si, una vez que los
usuarios los sacan y los llevan a sus casas.
En este caso, si el notebook esta 9 horas dentro de las
dependencias y 15 horas fueras, el factor de exposicin ser
15/24, es decir:
FE = 62,5%
Ejemplo del calculo de riesgo:
En una organizacin se producen 11 robos por ao de
computadores porttiles, el costo de cada computador es de
USD 2.500 y la perdida por impacto, dado que cada notebook
maneja informacin confidencial, se estima en USD 25.000
dado que la informacin no esta cifrada.
Para este caso considerar factor de exposicin 100%
ARO: 11
SLE: 2.500 + 25.000 = USD 27.500
ALE = ARO x SLE = USD 302.500
Cuando se evala una perdida por riesgo, debe ser considerado
el costo total de propiedad o TCO (Total Cost Ownership)
El TCO incluye todos los costos que forman parte de un activo,
esto es:
Costo de adquisicin
Costo de mantenimiento
Costo de utilizacin (mano de obra)
Costo de evaluacin
Costo de monitoreo
Costo de capacitacin
Costo de desactivacin
Ejemplo de calculo de TCO:
Una compaa adquiere un software para cifrar los discos duros de la
compaa, con el objeto de proteger la informacin almacenada en
ellos para 1.000 ejecutivos de la empresa. Cada licencia tiene un costo
de USD 100 mas una mantencin anual del 20%. La instalacin de
cada maquina demora 4 horas y el costo de cada hora de este servicio
es de USD 50. Requiere adems una mantencion de 3 horas al ao.
Calcular el TCO a 3 aos
Costo de las licencias: 100.000 + 20.000 x 3 = USD 160.000
Costo de instalacin: 1.000 x 4 x 50 = USD 200.000
Costo de mantencion: 3 x 50 x 3 x 1.000 = USD 450.000
TCO = USD 810.000/3 = USD 270.000 anual.
Retorno de Inversin (ROI):
El ROI se calcula de la diferencia entre TCO y ALE, dado que es
el dinero que se recupera tras implementar el control que
mitiga el riesgo.
En nuestro ejemplo:
ALE = USD 302.500
TCO = USD 270.000
ROI = USD 32.500
Si da el caso que ALE es menor que TCO, claramente no
conviene realizar la inversin y es mejor aceptar el riesgo.
Ciclo de Gestion de Riesgo:
Etapas del ciclo de Gestion de Riesgo:
Establecimiento y alcance de limites: consiste en la
determinacin de los parmetros globales del rendimiento de
la gestin de riesgo.
Evaluacin del riesgo: identificar, analizar y evaluar los riesgos
de los procesos.
Tratamiento del riesgo: seleccin de estrategia para el manejo
de los riesgos identificados
Aceptacin del riesgo residual: la aprobacin de no aplicar
controles al riesgo aceptado por la organizacin
Monitoreo del riesgo: medicin de las variables definidas del
riesgo para tomar acciones.
Opciones de la Gestin de Riesgo:
Aceptar el riesgo: esta opcin se considera cuando el costo de mitigar el
riesgo es demasiado alto en proporcin al valor del activo que se desea
proteger.
Mitigar el riesgo: corresponde a la implementacin o mejora de un
control, de tal forma que reduzca el riesgo una vez aplicado. El control
puede mitigar el riesgo directamente o el impacto asociado a este.
Transferir el riesgo: corresponde al pago a un tercero para que acepte el
riesgo o parte de este, el ejemplo mas clsico es la contratacin de un
seguro o un contrato con un tercero con un SLA comprometido, al cual
se le asigna una multa de no cumplimiento.
Eliminar el riesgo: si bien el riesgo no es posible de eliminar, se utiliza
esta opcin cuando se elimina el activo asociado.
Impacto:
Es la medida ms importante del riesgo y corresponde a la
perdida monetaria de la cual seria victima la compaa si el
riesgo se materializa.
El Impacto se puede representar de las siguientes maneras:
Prdida directa en dinero
Responsabilidad legal
Perdida de reputacin
Disminucin del valor de la accin
Prdida de negocios
Prdida de participacin de mercado.
Metodologa evaluacin de riesgo NIST:
Caracterizacin del sistema
Identificacin de las amenazas
Identificacin de las vulnerabilidades
Anlisis de controles existentes
Determinacin de la probabilidad de ocurrencia de la
amenaza
Anlisis del Impacto
Determinacin de los riesgos
Recomendacin de controles nuevos
Documentacin de los resultados
Identificacin del Riesgo:
A continuacin se describen los tems mas importantes a
considerar para la fase de Identificacin de riesgos.
Su origen: agentes, amenazas, empleados no capacitados
Actividad o incidente: difusin no autorizada
Consecuencias: no disponibilidad de servicio, perdida de
imagen
Razn: intervencin humana, falta de competencia
Controles: polticas o control de acceso
Tiempo: en que plazos o situacin temporal, propenso los
lunes por la maana
Lugar: sala de equipos, oficina administrativa
Evaluacin de activos de informacin:
Para determinar el valor de un activo, se utiliza
principalmente el costo de su reemplazo, en caso de no contar
con este dato, se considera el costo resultante de las
sanciones derivadas de la exposicin de la informacin.
Otra forma importante es considerar el dao a la imagen o
perdidas producidas por el dao a la informacin.
En general, el valor de los activos de informacin debe
basarse en el rango total de perdidas e impactos potenciales.
Clasificacin de activos de Informacin:
El principal objetivo de realizar esta actividad es poder
determinar la criticidad de dichos activos.
El programa de Gestion de Riesgos debe brindar una
proteccin adecuada a los activos en funcin de valor o
criticidad para la organizacin.
El proceso de identificacin de los activos debe considerar:
Su ubicacin
Su propietario
Sus usuarios
Su custodio
Valoracin y anlisis de impacto:
Un enfoque muy utilizado, es evaluar el impacto en los
procesos de negocio que tiene la prdida de los atributos de
informacin de dicho activo, esto es:
Confidencialidad
Integridad
Disponibilidad
Este ejercicio se realiza en el marco del anlisis de impacto al
negocio (BIA)
Ejemplo de anlisis de impacto basado en CDI
Activo: base de datos de clientes
Escala: Alto, medio y bajo
Atributo de la Informacin
Proceso Disponibilidad Integridad Confidencialidad
Facturacion Bajo Bajo Bajo
Venta Alto Alto Bajo
Telemarketing Alto Alto Medio
Compra a terceros Medio Bajo Bajo

RTO (Tiempo Objetivo de Recuperacin): es el tiempo mximo
que puede estar un proceso sin un activo de informacin
operativo.
Este parmetro tambin se utiliza para clasificar un activo de
informacin en funcin de su criticidad.
Este parmetro esta dado generalmente por el SLA
(Compromiso de Nivel de Servicio), que es el tiempo mximo
que un proceso puede estar sin operar, antes que se vuelva
critico para el negocio.
Este factor impacta directamente en el flujo del proceso, dado
que puede ser variable en funcin del ciclo de vida del mismo.
Ejemplo de RTO:
Clasificacin de activos en funcin de RTO
Gestin de riesgos basada en procesos:
Los procesos son un conjunto de actividades coordinadas con
un propsito comn, que apoyan la operacin del negocio.
Ejemplo de proceso:
Control de cambio: proceso en el cual se valida un cambio
de configuracin en algn sistema, que debe contar con
una serie de aprobaciones y un plan de ejecucin.
La mejor forma de esquematizar un proceso, es a travs de
un diagrama de flujo.
Ejemplo de proceso:
Gestin de riesgos basado en proceso:
Dentro del proceso analizado, se determina cuales son las actividades
que podran producir riesgo:
En el ejemplo anterior:
Contar con un respaldo del cambio a realizar
Tener un plan de contingencia o roll back
Considerar el RTO
Validar qu otros sistemas colaterales se vern afectados
Cuales son las mtricas que se utilizaran para validar el cambio de
acuerdo con la gestin de riesgo.
Validar que controles de seguridad se vern afectados por el
cambio.
Medir el riesgo residual una vez realizado el cambio
Integracin de los procesos con el ciclo de Vida de la Seguridad:
Es fundamental que la gestin de riesgos este ligada al ciclo de
vida de los procesos de TI, pues es en la fases de estos procesos
donde se producen la mayor cantidad de incidentes,
principalmente por:
Falta de planificacin
Mtricas no adecuadas
Escasa consideracin sobre el RTO
Falta de validacin con las unidades de negocio
Errores en la programacin o desarrollo de aplicaciones
Problemas de permisos de usuarios
La gestin de riesgos basada en procesos, propone que se
inserte dentro del ciclo de vida del proceso, la evaluacin y
calificacin del riesgo en cada una de sus fases.
De esta forma, la gestin del riesgo operar como parte
natural de cada proceso TI.
Segn muchos estudios, esta demostrado que entre mas
temprana sea la mitigacin de riesgos en un proceso de
desarrollo TI, el costo de mitigacin ser menor.
Ha habido casos en que corregir es tan costoso como realizar el
proceso de nuevo.
Ejemplo de costos en el proceso de desarrollo TI
Fuente: OWASP 2014

SDLC: proceso de Desarrollo de aplicaciones (Software
Delivery Life Cycle)
Proceso destinado a regular el desarrollo de aplicaciones
dentro de una organizacin.
Este proceso permite identificar cada una de las fases que
son esenciales en el desarrollo de un sistema.
Adems debe estar indexado a la gestin de riesgo en
cada una de sus etapas, dado que cualquier desarrollo
puede incurrir en riesgos si no se controla
adecuadamente.
Esquema grfico de SDLC
Ejemplo de un SDLC:
Segn el NIST en su publicacin 800-30 las fases de un SDLC son:
1.- Iniciacin
2.- Desarrollo
3.- Implementacin
4.- Mantencion
5.- Eliminacin
Referencia:
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublic
ation800-30r1.pdf
Medicin de riesgo para un proceso:
El monitoreo de riesgos dentro de un proceso, debe ser constante y
preciso, para esto es fundamental definir adecuadamente los KRI
(indicadores claves de riesgo)
Las principales fuentes para definicin de los KRI son:
La experiencia
Comparacin con la industria
Regulaciones
Aversin al riesgo de la compaa
Mtricas propuestas por OWASP para un SDLC:
https://www.owasp.org/index.php/Application_Security_Guide_F
or_CISOs
Resumen:
Introduccin
Tipos de Gestin de riesgos
Cuantitativa
Cualitativa
Activos de informacin
Medicin del riesgo
Matriz de riesgo
Clculo de riesgo
TCO
Resumen (cont.):
Ciclo de gestin de riesgo
Etapas
Opciones
Metodologa NIST
RTO
Gestion de riesgos basada en procesos
Ciclo de vida de la Seguridad de la Informacin
SDLC
Medicin de riesgo para un proceso
Pregunta 1
El objetivo principal de la Gestion de Riesgos es:
a) Eliminar todas aquellas vulnerabilidades que sea

posible
b) Determinar la mejor forma de transferir el riesgo
c) Gestionar el riesgo hasta un nivel aceptable
d) Implementar controles eficaces
Pregunta 2
Para tratar los cambios en el riesgo, un programa eficaz
de gestin de riesgos debe:
a) Garantizar que se cuenta con procesos de monitoreo

continuo
b) Establecer niveles mnimos de seguridad adecuados a
los recursos de informacin
c) Implementar un proceso completo de clasificacin de
informacin
d) Cambiar las polticas de seguridad en forma oportuna
para tratar los riesgos cambiantes
Pregunta 3
La clasificacin de informacin es importante para
gestionar el riesgo adecuadamente porque:
a) Garantiza la responsabilidad sobre los recursos de
informacin
b) Es un requerimiento legal de conformidad con las
regulaciones
c) No existe otra forma de validar los atributos de la
informacin (CDI)
D) Se utiliza para identificar la criticidad y la sensibilidad
de la informacin para la compaa
Pregunta 4
Cul de las siguientes opciones es el primer paso
para seleccionar los controles adecuados para una
nueva aplicacin de negocios?
a) Anlisis de impacto al negocio (BIA)

b) Anlisis costo-beneficio
c) Evaluacin de riesgos
d) Anlisis de retorno de la inversin (ROI)

Gestion Del Riesgo

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Gestion Del Riesgo

Hochgeladen von

Copyright:

Verfügbare Formate

GRC6501 Gestion de Riesgos en Redes Corp.

Gestion del Riesgo

Proceso Disponibilidad Integridad Confidencialidad

Facturacion Bajo Bajo Bajo

Venta Alto Alto Bajo

Telemarketing Alto Alto Medio

Compra a terceros Medio Bajo Bajo

Fuente: OWASP 2014

a) Eliminar todas aquellas vulnerabilidades que sea

a) Garantizar que se cuenta con procesos de monitoreo

a) Anlisis de impacto al negocio (BIA)

Das könnte Ihnen auch gefallen