ANLISIS DE RIESGOS INFORMTICOS Mi.08.11.

17

Anlisis de riesgo informtico

El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos
informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como
su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas financieras o
administrativas a una empresa u organizacin, se tiene la necesidad de poder estimar la
magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicacin de
controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto
formando una arquitectura de seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

ndice
[ocultar]

1Introduccin
2Proceso de anlisis de riesgos informticos
3Consideraciones
4Elementos relacionados
5Herramientas de apoyo
6Regulaciones y normas que tratan el riesgo
7Metodologas de anlisis de riesgos
8Herramientas comerciales
9Vase tambin
10Referencias
o 10.1Bibliografa

Introduccin[editar]
Los riesgos de seguridad de informacin deben ser considerados en el contexto del negocio, y
las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo,
produccin, operaciones, administracin, TI, finanzas, etctera y los clientes deben ser
identificados para lograr una imagen global y completa de estos riesgos.
Cada organizacin tiene una misin. En esta era digital, las organizaciones que utilizan
sistemas tecnolgicos para automatizar sus procesos o informacin deben de ser conscientes
de que la administracin del riesgo informtico juega un rol crtico.
La meta principal de la administracin del riesgo informtico debera ser proteger a la
organizacin y su habilidad de manejar su misin no solamente la proteccin de los
elementos informticos. Adems, el proceso no solo debe de ser tratado como una funcin
tcnica generada por los expertos en tecnologa que operan y administran los sistemas, sino
como una funcin esencial de administracin por parte de toda la organizacin.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad,
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a
grandes rasgos que la administracin de riesgos es el proceso de identificacin, evaluacin y
toma de decisiones para reducir el riesgo a un nivel aceptable.
El anlisis de riesgo informtico es un elemento que forma parte del programa de gestin de
continuidad de negocio (Business Continuity Management)
En el anlisis de riesgo informtico es necesario identificar si existen controles que ayudan a
minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir,
la vulnerabilidad ser de riesgo no controlado.
Dentro de la evaluacin del riesgo es necesario realizar las siguientes acciones: Calcular el
impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el
riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de
forma cuantitativa (asignando pesos) de forma cualitativa (matriz de riesgos)

Proceso de anlisis de riesgos informticos[editar]

El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce
como matriz de riesgo. En este documento se muestran los elementos identificados, la manera
en que se relacionan y los clculos realizados. Este anlisis de riesgo es indispensable para
lograr una correcta administracin del riesgo. La administracin del riesgo hace referencia a la
gestin de los recursos de la organizacin. Existen diferentes tipos de riesgos como el riesgo
residual y riesgo total as como tambin el tratamiento del riesgo, evaluacin del riesgo y
gestin del riesgo entre otras. La frmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta frmula determinaremos su tratamiento y despus de aplicar los controles
podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluacin del riesgo incluye las
siguientes actividades y acciones:

Identificacin de los activos.

Identificacin de los requisitos legales y de negocio que son relevantes para la
identificacin de los activos.
Valoracin de los activos identificados, teniendo en cuenta los requisitos legales y de
negocio identificados anteriormente, y el impacto de una prdida de confidencialidad,
integridad y disponibilidad.
Identificacin de las amenazas y vulnerabilidades importantes para los activos
identificados.
Evaluacin del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Clculo del riesgo.
Evaluacin de los riesgos frente a una escala de riesgo preestablecidos.
Despus de efectuar el anlisis debemos determinar las acciones a tomar respecto a los
riesgos residuales que se identificaron. Las acciones pueden ser:

Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un
tercero.
Aceptar el riesgo.- Se determina que el nivel de exposicin es adecuado y por lo tanto se
acepta.

Consideraciones[editar]
No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,
creando normas basadas en estndares, analizando brechas y puntos ciegos en la seguridad
lgica y en la seguridad de sistemas de informacin.
Es fundamental la creacin de escenarios de conflicto en forma continua participando la
gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de seguridad.

Elementos relacionados[editar]
Activo. Es un objeto o recurso de valor empleado en una empresa u organizacin

Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u

organizacin produciendo prdidas o daos potenciales en sus activos.

Vulnerabilidad. Es una debilidad que puede ser explotada con la materializacin de una o
varias amenazas a un activo.

Riesgo. Es un incidente o situacin, que ocurre en un sitio concreto en un intervalo de

tiempo determinado, con consecuencia negativas o positivas que pueden afectar el
cumplimiento de los objetivos

Anlisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo
forman a fin de terminar la relacin entre sus principios y elementos.

Control. Es un mecanismo de seguridad de prevencin y correccin empleado para

disminuir las vulnerabilidades
Este proceso administracin de riesgo es un proceso continuo dado que es necesario evaluar
peridicamente si los riesgos encontrados y si estos tienen una afectacin, hay que hacer
calculo en las diferentes etapas del riesgo. La mecnica que se ve inversa el mayor nmero
de las organizaciones hoy en da es en el esfuerzo del da a da. Es por eso realizar anlisis
de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la
organizacin. AA

Herramientas de apoyo[editar]
Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de
evaluar los riesgos, principalmente en el proceso de evaluacin de los mismos. Una vez
terminado este proceso se debe documentar toda la informacin recabada para su anlisis
posterior. La herramienta que debemos seleccionar debe contener al menos un mdulo de
recoleccin de datos, de anlisis de los mismos y otro de reportes. La importancia de un buen
anlisis y una buena presentacin de los datos analizados nos llevarn a una efectiva
interpretacin de la situacin actual de los riesgos y por ende, la seleccin de los controles
que debemos implementar ser la ms acertada en el proceso de seleccin, ahorrando costos
en productos y costos de operacin adems del ahorro de tiempo.

Regulaciones y normas que tratan el riesgo[editar]

Comunicacin A 4609 del BCRA para entidades Financieras
Requisitos mnimos de gestin, implementacin y control de los riesgos relacionados con
tecnologa informtica y sistemas de informacin.
ISO/IEC 27001
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestin de la Seguridad de la Informacin (SGSI)
ISO/IEC 27005
Esta Norma proporciona directrices para la Gestin del riesgo de Seguridad de la
Informacin en una Organizacin. Sin embargo, esta Norma no proporciona ninguna
metodologa especfica para el anlisis y la gestin del riesgo de la seguridad de la
informacin.
Basilea II
Estndar internacional que sirva de referencia a los reguladores bancarios, con objeto de
establecer los requerimientos de capital necesarios, para asegurar la proteccin de las
entidades frente a los riesgos financieros y operativos.
Ley Sarbanes Oxley (SOX)
Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos
que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de
medidas tendientes a asegurar la efectividad de los controles internos sobre reportes
financieros.
PCI DSS
Impulsada por las principales marcas de tarjetas de pago, este estndar busca garantizar la
seguridad de los datos de titulares de tarjetas de pago en su procesado, almacenamiento y
transmisin.

Metodologas de anlisis de riesgos[editar]

ITIL: Information Technology Infraestructure Library proporciona un planteamiento
sistemtico para la provisin de servicios de TI con calidad. (Jan van Bon, 2008)
COBIT 5: Significa (Objetivos de control para la informacin y tecnologas relacionadas) es
una metodologa publicada en 1996 por el Instituto de Control de TI y la ISACA
(Asociacin de Auditora y Control de Sistemas de Informacin).
ISO 31000: Esta normativa establece principio y guas para disear, implementar
mantener la gestin de los riesgos en forma sistemtica y de transparencia de toda forma
de riesgo, por ejemplo: financiera, operativa, de mercadeo, de imagen, y de seguridad de
informacin.
Citicus One: software comercial de Citicus, implementa el mtodo FIRM del Foro de
Seguridad de la Informacin;
CRAMM: CCTA Risk Assessment and Management Methodology fue originalmente
desarrollado para uso del gobierno de UK pero ahora es propiedad de Siemens;
ISO TR 13335: fue el precursor de la ISO/IEC 27005;
MAGERIT Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
est disponible tanto en espaol como en ingls.
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation Metodologa
de Anlisis y Gestin de Riesgos desarrollada por el CERT;
NIST SP 800-39 Gestin de Riesgos de los Sistemas de Informacin, una perspectiva
organizacional;
NIST SP 800-30: Gua de Gestin de Riesgos de los Sistemas de Tecnologa de la
Informacin, es gratuito;
 Mehari: Mtodo de Gestin y Anlisis de Riesgos desarrollado por CLUSIF (Club de la
Scurit de l'Information Franais);
AS/NZS: Norma de Gestin de Riesgos publicada conjuntamente por Australia y Nueva
Zelanda y ampliamente utilizada en todo el mundo.

Herramientas comerciales[editar]
GxSGSI: Herramienta de Anlisis y Gestin de Riesgo basada en Magerit
y homologada por la Agencia Europea de Seguridad de la Informacin (ENISA).1
R-Box: Solucin para la Gestin de la Seguridad de la Informacin y cumplimiento de
estndares. Mdulo de Anlisis y Gestin de Riesgo.2
Focal Point: plataforma para la gestin de riesgo tecnolgico y operacional. Soporta
directrices regulatorias como MAAGTICSI, ISO 27001:2013, entre
otras. http://aluxit.com/soluciones.html
SECITOR: Herramienta de Anlisis y Gestin de Riesgos de alto nivel que permite la
gestin integral de la Seguridad de la Informacin siendo un sistema multimarco (ISO
27001, Proteccin de datos, ENS, ISO 19001, etc), adems de una monitorizacin en
tiempo real de la seguridad de la organizacin. http://www.secitor.com/