Herramientas de análisis

y gestión de riesgos en la
seguridad
ALBURQUERQUE FERNANDO
LÓPEZ FRANCISCO
ALVARADO TINTÍN
Definición

 El análisis y gestión de Riesgo es un método para determinar, analizar,

valorar y clasificar el riesgo, para posteriormente implementar
mecanismos que permitan controlarlo.
Beneficios
 Manejar apropiadamente las amenazas y riesgos críticos
 Mantener una estrategia de protección y reducción de riesgos
 Minimizar el impacto y la reducción de costes
Análisis y gestión de riesgos en la
seguridad

 Análisis: Determina los componentes de un

sistema que requiere protección, sus
vulnerabilidades que lo debilitan y las amenazas
que lo ponen en peligro.
 Clasificación: Determina si los riesgos encontrados
y los riesgos restantes son aceptables.
 Reducción: Define e implementa las medidas de
protección. Además sensibiliza y capacita los
usuarios conforme a las medidas.
 Control: Analiza el funcionamiento, la efectividad
y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y
sanciona el incumplimiento
Políticas de seguridad

 Las políticas de seguridad empieza por la alta gerencia, que es la que

tiene que apoyar sin vacilaciones las políticas a seguir en materia de
seguridad informática.
 Sus políticas deben ser flexibles, para ir adaptándola a los cambios de la
propia organización, a la evolución de las tecnologías y a las nuevas
vulnerabilidades que puedan surgir en un mundo cambiante y evolutivo como
el que hoy vivimos.
 Una vez establecidas las políticas, la cultura de seguridad exige que se den a
conocer a la organización; es aquí donde se debe tener el conocimiento y la
diligencia de saber explicar y hacer comprender el por qué se ha marcado
esa política concreta y no otra.
Políticas de seguridad

 “Fuerza, valor, equilibrio y sensatez. Fuerza, para poder implantar las

medidas de seguridad necesarias. Valor, para hacer que todos las
cumplan. Equilibrio, para conseguir que estas medidas compaginen la
seguridad con la agilidad en el trabajo. Sensatez, para que sean sólo las
necesarias para conseguir los objetivos definidos en la política de
seguridad (Sebastia, s.f).
Herramientas de análisis y gestión de
riesgos en la seguridad

 Las herramientas de gestión de riesgos soportan el análisis y la gestión de riesgos de un

sistema de información siguiendo el siguiente esquema:

Herramientas mas utilizadas

Pilar
Pilar basic
MARGERIT
 PILAR

 También llamado PROCEDIMIENTO INFORMATICO Y LOGICO DE ANALISIS

DE RIESGOS por sus siglas
 PILAR reducida a la mínima expresión para realizar análisis de riesgos muy
rápidos. El resultado del análisis puede cargarse en PILAR para un estudio
más detallado.

PILAR Basic - Análisis y Gestión de Riesgos

 empresa pequeña y mediana
 Administración local
MAGERIT

 En otras palabras, MAGERIT implementa el Proceso de Gestión de Riesgos

dentro de un marco de trabajo para que los órganos de gobierno tomen
decisiones teniendo en cuenta los riesgos derivados del uso de
tecnologías de la información.
Diferencias

Vulnerabilidad
Es un fallo o debilidad en el sistema de información que pone en peligro
la seguridad, y por consiguiente comprometer la integridad,
disponibilidad o confidencialidad de los datos.

Amenazas
Hace referencia a la acción que aprovecha una vulnerabilidad para
poner en riesgo la seguridad de un sistema de información.

Riesgos
El riesgo es la probabilidad de que se produzca un incidente de
seguridad, materializándose una amenaza y causando pérdidas o
daños.
Plan de Contingencia

 Consiste en la identificación de aquellos sistemas de información y

recursos informáticos aplicados que son susceptibles de deterioro,
violación o pérdida y que pueden ocasionar graves trastomos para el
desenvolvimiento normal de la organización.
 Es conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir,
planificar-hacer-comprobar-actuar)
Objetivos de un plan de Contingencia

En cuanto a los objetivos con la mayor brevedad posible las funciones mas
importantes serian:
 Minimizar el impacto
 Garantizar la correcta recuperación de los sistemas y procesos
 Conservar los objetivos estratégicos de la empresa
Ejemplo de Plan de Contingencia

 Supongamos que trabajamos en una empresa de desarrollo de Software

 IDENTIFICAR LOS ACTIVOS DE LA EMPRESA
 Oficinas centrales → Centro de proceso de datos → Computadoras y
almacenamiento → Información de pedidos y facturación → Imagen
corporativa
AMENAZA
posible Incendio. (los activos afectados son los anteriores y los futuros).
 IMPACTO
 Perdida de un 20% de clientes.
 Imposibilidad de facturar durante un mes.
 Imposibilidad de admitir pedidos durante un mes.
 Reconstrucción manual de pedidos y facturas a partir de otras fuentes.
 Inversiones en compra de equipamiento y mobiliario.
 Rehabilitación del local y sobrecargar otras sucursales
 El plan de contingencias contendría someramente las siguientes
contramedidas:

 Medidas técnicas:
 Extintores contra incendios.
 Detectores de humo.
 Salidas de emergencia.
 Equipos informáticos de respaldo.
Contramedidas humanas

 Medidas humanas:
 Formación para actuar en caso de incendio.
 Designación de un responsable de sala.
 Asignación de roles y responsabilidades para la copia de respaldo.
Subplanes de contingencias
 Plan de emergencia:
 Activación del precontrato de alquiler de equipos informáticos.
 Restauración de las copias de respaldo.
 Reanudación de la actividad.

 Plan de recuperación:
 Evaluación de daños.
 Traslado de datos desde la ubicación de emergencia a la habitual.
 Reanudación de la actividad.
 Desactivación del precontrato de alquiler.
 Reclamaciones a la compañía de seguros.
Normas ISO 27000
MODELOS DE SEGURIDAD

 MODELOS DE SEGURIDAD ITIL

Biblioteca de infraestructura de tecnologias de informacion abreviada ITIL, se presenta
como un resumen o documento bastante extenso con el cual podemos conocer los
mejores procedimientos de gestión que las organizaciones pueden usar para operar sus
TI(tecnología de informacion). Con la ayuda de este resumen las empresas pueden lograr
operaciones más eficientes y de mayor calidad.
Su propósito fue desarrollada al reconocer que las organizaciones depende cada vez mas
de la informatica para alcanzar sus objetivos corporativos.
MODELOS DE SEGURIDAD

VENTAJAS MODELOS DE SEGURIDAD ITIL

 Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos
de contacto acordados.
 Los servicios se detallan en lenguaje del cliente y con mas detalles.
 Se maneja mejor la calidad y los costos de los servicios.
MODELOS DE SEGURIDAD

MODELOS DE SEGURIDAD COBIT

 Objetivos de control para la información y tecnologías relacionadas.
 Es un modelo para auditar la gestión y control de los sistemas de información y
tecnología, orientado a todos los sectores de una organización, es decir, administradores
IT, usuarios y auditores involucrados e n el proceso.
 Es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la
seguridad IT y que abarca controles específicos de IT desde una perspectiva de
negocios.
MODELOS DE SEGURIDAD

VENTAJAS MODELOS DE SEGURIDAD COBIT

 IT entregara información de mayor calidad y en menor tiempo.
 Todos los riesgos asociados a IT serán gestionados con mayor efectividad.
 Visión comprensible de TI para su administración.
 MODELOS DE SEGURIDAD

MODELOS DE SEGURIDAD ISM3

 El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro
de las organizaciones, un método de gestión eficaz de la seguridad y para establecer
transacciones y relaciones de confianza entre las empresas.
 Es un estándar para la creación de sistema de gestión de la seguridad de la información.
 ISM3 ve como objetivo de la seguridad de la información en garantizar la consecución de
objetivos de negocio.
MODELOS DE SEGURIDAD

VENTAJAS MODELOS DE SEGURIDAD ISM3

 Aumento de la seguridad efectiva de los Sistemas de información.
 Correcta planificación y gestión de la seguridad.
 Mejora continua a través del proceso de auditoría interna.
 Incremento de los niveles de confianza de los clientes y socios de negocios.
 Aumento del valor comercial y mejora de la imagen de la organización.
Bibliografia

 Seguridad en equipos informáticos Álvaro Gómez Vieites

 Auditoría de seguridad informática Álvaro Gómez Vieites
 Hackers 6: secretos y soluciones de seguridad en redes Stuart McClure,
Joel Scambray,
and George Kurtz
 Sebastia, J. S. (s.f). La seguridad Informatica: ¿Qué preocupa? SIC (61)