20091024 Gestión de Riesgos
Transcript of 20091024 Gestión de Riesgos
Gestión de Riesgos
www.isaca.org 11
Mario Ureña Cuate, CISA, CISM, CGEIT, CISSPAuditor Líder BS25999, ISO27001
Pag.1
Agenda• Introducción• Gestión de riesgos• Marcos de referencia para la gestión de riesgos• Principios de la gestión de riesgos• ISO 31000 – Gestión de Riesgos – Principios y guías (DRAFT)• BS 31100 – Gestión de Riesgos – Código de práctica
www.isaca.org 22Pag.2
• BS 31100 – Gestión de Riesgos – Código de práctica• ISO 27005 – Gestión de Riesgos de Seguridad de la Información• Risk IT Framework• Ejemplos• Opciones de tratamiento de riesgos• Conclusiones
Introducción
• En la actualidad, son cada vez más las organizacionesque dedican recursos de personal, tiempo y dinero parala gestión de riesgos de TI, pero con tantos modelos,metodologías y técnicas disponibles:
www.isaca.org 44Pag.4
• ¿Por dónde empezar?• ¿Cuál de ellas es mejor?• ¿Debo utilizar un enfoque cualitativo o cuantitativo?• ¿Quién lo debe ejecutar?• ¿Con qué granularidad?• ¿Cómo tratar el riesgo?
Introducción
• … ¿Cuáles son los riesgos de los cuales me tengo queproteger?…
• … ¿Cuál es el nivel de riesgo que debo tomar paramaximizar mis ganancias?
www.isaca.org 55Pag.5
maximizar mis ganancias?
• … ¿Eso es un riesgo o es una amenaza?
• … ¿El control lo aplico a la vulnerabilidad, a la amenazao a los dos?
Introducción
• Diferentes tipos de riesgos:
– Riesgo de TI– Riesgo de Seguridad de la Información– Riesgo Operativo
www.isaca.org 66Pag.6
– Riesgo Operativo– Riesgo de Continuidad del Negocio– Riesgo de Proyecto– Riesgo Financiero– Riesgo de Auditoría– Etc.
Introducción
Nivel de granularidad:
• Empresa A: Total de escenarios de riesgos: 50
• Empresa B: Total de escenarios de riesgos: >5,000,000
www.isaca.org 77Pag.7
• Empresa B: Total de escenarios de riesgos: >5,000,000
Introducción
Hay de escenarios a ESCENARIOS:
escenario:
www.isaca.org 88Pag.8
Epidemia de influenza - Abril 2009
Introducción
Hay de escenarios a ESCENARIOS:
ESCENARIO:
www.isaca.org 99Pag.9
Epidemia de influenza + Sismo 5.7 grados 27 de abril 2009
Introducción
Escenario:Epidemia
Estrategia:
Parte del personal laborando en oficinas
Escenario:Sismo
Estrategia:
Desalojo y concentración en puntos de reunión
Posible Contagio
www.isaca.org 1010Pag.10
Epidemia
Estrategia:
Parte del personal laborando desde casa
comunicándose vía Internet y teléfono
Escenario:Saturación de líneas
telefónicas
Escenario:Perdida de
comunicaciones Interrupción de la continuidad del
negocio
Introducción
El caso de mi amigo.
www.isaca.org 1111Pag.11
Proveedor de servicios de hospedaje y respaldo.
Introducción
ESCENARIO-TOTE (Por ponerle un nombre)
www.isaca.org 1212Pag.12
Hackeo de página web + Pérdida de respaldos+
Epidemia de Influenza + Sismo 5.7 grados +
Pérdida de comunicaciones + Fallas de Energía = ?
Introducción
“… Solamente miré hacia el cielo, esperando ver pasar a los cuatro
www.isaca.org 1313Pag.13
pasar a los cuatro jinetes...”
Mi amigo
Abril 27, 2009
Introducción
¿Cómo evitar que ocurran eventos no deseados?
www.isaca.org 1414Pag.14
Y en caso de que ocurran…
¿Cómo disminuir su impacto en la organización?
Marcos de referencia
• ISO/DIS 31000 (DRAFT)• IEC/DIS 31010• ISO/D Guide 73• BS 31100• ISO/IEC 27005
• CRAMM• MAGERIT• TRA Working Guide• Microsoft – SRMG• BS 7799-3
www.isaca.org 1616Pag.16
• ISO/IEC 27005• ITGI - The Risk IT Framework• Basilea II• OCTAVE• NIST SP800-30• AS/NZS 4360• M_o_R
• BS 7799-3• AIRMIC, ALARM, IRM –
ARMS• UNE 71504
Marcos de referencia
• ISO/DIS 31000 (DRAFT)• IEC/DIS 31010• ISO/D Guide 73• BS 31100• ISO/IEC 27005
• CRAMM• MAGERIT• TRA Working Guide• Microsoft – SRMG• BS 7799-3
www.isaca.org 1717Pag.17
• ISO/IEC 27005• ITGI - The Risk IT Framework• Basilea II• OCTAVE• NIST SP800-30• AS/NZS 4360• M_o_R
• BS 7799-3• AIRMIC, ALARM, IRM –
ARMS• UNE 71504
ISACA - Guías relacionadas
– COBIT 4.1 – Process PO9– Assurance Guide– Control Objectives for Basel II– IT Governance Series – IT Risk Management
www.isaca.org 1818Pag.18
– IT Governance Series – IT Risk Management– Security Baseline– Control Objectives for Sarbanes Oxley
Principios de la gestión de riesgos
ISO/DIS 31000. La gestión de riesgos:a) crea valorb) es una parte integral de los procesos de la organizaciónc) forma parte de la toma de decisionesd) explícitamente atiende la incertidumbre
www.isaca.org 1919Pag.19
e) es sistemática, estructurada y oportunaf) está basada en la mejor información disponibleg) está adaptada a la organizaciónh) toma en cuenta factores humanos y culturalesi) es transparente e inclusivaj) es dinámica, iterativa y responde al cambiok) facilita la mejora continua
Principios de la gestión de riesgos
BS 31100. La gestión de riesgos:i) debe ser adaptada a la organizaciónii) debe tomar en cuenta la cultura organizacional, factores humanos
y comportamientoiii) debe ser sistemática y estructuradaiv) debe operar en un lenguaje común
www.isaca.org 2020Pag.20
iv) debe operar en un lenguaje comúnv) debe basarse en la mejor información disponiblevi) debe atender explícitamente la incertidumbrevii) debe ser parte de la toma de decisionesviii) debe proteger todo lo que sea valiosoix) debe ser transparente e inclusivax) debe ser dinámica, iterativa y responder a cambiosxi) debe considerar la revisión en la aplicación de los principios
Principios de la gestión de riesgos
Risk IT. La gestión de riesgos de TI:
• siempre está conectada a los objetivos del negocio• alinea la gestión de riesgos del negocio relacionados con TI con la
gestión de riesgos de toda la organización
www.isaca.org 2121Pag.21
• balancea los costos y beneficios de gestionar riesgos• promueve una comunicación de riesgos de TI justa y abierta• establece el tono adecuado desde arriba, mientras define y refuerza
la responsabilidad personal para operar con niveles de toleranciaaceptables y bien definidos
• es un proceso continuo y forma parte de las actividades diarias
ISO DIS / 31000
• Propósito:
• Proveer los principios y guías generales para laimplementación de la gestión de riesgos.
www.isaca.org 2222Pag.22
implementación de la gestión de riesgos.
• No es utilizado con propósitos de certificación.
ISO DIS / 31000
• Es genérico y no es específico de alguna industria o sector.
• Aún cuando el estándar provee guías generales no es su intenciónimponer uniformidad en las organizaciones, respecto a la gestión deriesgos.
www.isaca.org 2323Pag.23
• El diseño e implementación de la gestión de riesgos depende de lasnecesidades específicas de la organización, objetivos particulares,contexto, estructura, productos, servicios, proyectos, procesosoperativos y prácticas específicas empleadas.
ISO DIS / 31000
• Éste estándar intenta armonizar los procesos de gestión de riesgosen estándares existentes y futuros.
• Provee un enfoque común soportando estándares orientados ariesgos o sectores específicos.
www.isaca.org 2424Pag.24
• El ISO 31000 no pretende reemplazar los estándares ya existentes.
ISO DIS / 31000
• Componentes Compromiso de la gerencia
Diseño del marco de referencia
www.isaca.org 2525Pag.25
referencia
Implementar la gestión de riesgos
Monitorear y revisar
Mejora continua
ISO DIS / 31000
• ComponentesCompromiso de la
gerencia
Diseño del marco de referencia
- Entender a la organización y su contexto- Política de gestión de riesgos- Integración dentro de los procesos de la organización- Responsabilidad
www.isaca.org 2626Pag.26
- Responsabilidad- Recursos- Establecer mecanismos de comunicación y reporte interno- Establecer mecanismos de comunicación y reporte externo
Implementar la gestión de riesgos
- Implementar el marco de referencia- Implementar el proceso de gestión de riesgos
Monitorear y revisar
Mejora continua
ISO DIS / 31000
Establecer el contexto
Identificación riesgos
Com
unicación y consulta
Monitoreo y revisión
Inicio• Proceso
www.isaca.org 2727Pag.27
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Com
unicación y consulta
Monitoreo y revisión
BS 31100
• Publicado en Octubre 2008.
• Propósito:
• Provee las bases para el entendimiento, desarrollo,
www.isaca.org 2828Pag.28
• Provee las bases para el entendimiento, desarrollo,implementación y mantenimiento de la gestión deriesgos.
BS 31100
• Ha sido preparado para ser consistente con el ISO31000 y también considera los siguientes documentos:
– HM Treasury’s Orange Book– OGC - M_o_R: Guidance for Practitioners
www.isaca.org 2929Pag.29
– OGC - M_o_R: Guidance for Practitioners– COSO – Enterprise Risk Management – Integrated Framework– IRM/AIRMIC/ALARM - Risk Management Standard
BS 31100
• ComponentesMandato y
compromiso
Diseño del marco de Mantenimiento
www.isaca.org 3030Pag.30
marco de referencia
Implementar la gestión de
riesgos
Monitorear y revisar
Mantenimiento y mejora
ISO 27005
• Publicado en Junio 2008.
• Propósito:
• Provee guías para la gestión de riesgos de seguridad de la
www.isaca.org 3232Pag.32
información.
• Soporta los principales conceptos especificados en ISO/IEC 27001y ha sido diseñado para asistir en la implementación satisfactoria deseguridad de la información basada en un enfoque de gestión deriesgos.
ISO 27005
• Para un entendimiento completo de éste estándar, serequiere el conocimiento de los conceptos, modelos,procesos y terminologías descritas en ISO/IEC 27001.
• Aplica a todo tipo de organización que intente gestionar
www.isaca.org 3333Pag.33
• Aplica a todo tipo de organización que intente gestionarriesgos que pudieran comprometer la seguridad de lainformación de la organización.
ISO 27005
ISO
• Integración de ISO 27005 con otros estándares
www.isaca.org 3434Pag.34
ISO 27005
ISO 27001
Otros estándares y prácticas de gestión de
riesgos
ISO
310
00
ISO 27005
• Proceso
Est
able
cer e
l con
text
o
Iden
tific
ació
n rie
sgos
Est
imac
ión
de r
iesg
os
Eva
luac
ión
de r
iesg
os
Trat
amie
nto
de r
iesg
os
Ace
ptac
ión
de r
iesg
os
Activos AmenazasVulnerabilidades Controles
Consecuencias
Red
ucir
www.isaca.org 3535Pag.35
Est
able
cer e
l con
text
o
Iden
tific
ació
n rie
sgos
Est
imac
ión
de r
iesg
os
Eva
luac
ión
de r
iesg
os
Trat
amie
nto
de r
iesg
os
Ace
ptac
ión
de r
iesg
os
Comunicación de riesgos
Monitoreo y revisión de riesgos
Inicio
Ret
ener
Evi
tar
Tra
nsf.
The Risk IT Framework
• Desarrollado por el IT Governance Institute
www.isaca.org 3636Pag.36
• Iniciativa de Risk IT
• Complementa a COBIT y Val IT
The Risk IT Framework
• Propósito:
• El marco de referencia de “Risk IT” explica el riesgo deTI y permitirá a los usuarios:– Integrar la gestión de riesgos de TI con la gestión de riesgos
www.isaca.org 3737Pag.37
– Integrar la gestión de riesgos de TI con la gestión de riesgosempresarial.
– Tomar decisiones bien informadas respecto a la extensión delriesgo, el apetito de riesgo y la tolerancia al riesgo de laorganización.
– Entender como responder al riesgo
The Risk IT Framework
• Definición de riesgo de TI:
• El riesgo de TI es riesgo del negocio – específicamente,el riesgo del negocio asociado con el uso, propiedad,operación, involucramiento, influencia y adopción de TI
www.isaca.org 3838Pag.38
operación, involucramiento, influencia y adopción de TIen la organización. Consiste de eventos relacionadoscon TI que potencialmente podrían impactar al negocio.Incluye frecuencia y magnitud, y crea retos para elcumplimiento de metas y objetivos estratégicos, asícomo incertidumbre en la búsqueda de oportunidades.
The Risk IT Framework
• El riesgo de TI puede categorizarse en:
• Riesgo en la entrega de servicios de TI, asociado con eldesempeño y disponibilidad de servicios de TI, y que puedeprovocar la destrucción o reducción del valor para la organización.
www.isaca.org 3939Pag.39
• Riesgo en la entrega de soluciones de TI / realización de beneficios,asociado con la contribución de TI a soluciones del negocio nuevaso mejoradas usualmente en la forma de proyectos y programas.
• Riesgo de realización de beneficios de TI, asociado con la perdidade oportunidades para usar la tecnología en la mejora de laeficiencia o efectividad de los procesos del negocio.
The Risk IT Framework
Habilitar beneficios / valor de TI
Entrega de programas y
Valor del negocioValor del negocio
No GanarNo Ganar GanarGanar
www.isaca.org 4040Pag.40
Entrega de programas y proyectos de TI
Entrega de operaciones y servicios de TI
Valor del negocioValor del negocio
PerderPerder PreservarPreservar
The Risk IT Framework
• Impacto al negocio
“4A” (Westerman / Hunter)
www.isaca.org 4343Pag.43
Agility - AgilidadAccuracy - Precisión
Access - AccesoAvailability - Disponibilidad
The Risk IT Framework
• Impacto al negocio
COBIT – Criterios de información
EfectividadEficiencia
www.isaca.org 4444Pag.44
EficienciaConfiabilidad
IntegridadConfidencialidad
DisponibilidadCumplimiento
The Risk IT Framework
• Impacto al negocio
BSC (COBIT – Objetivos del negocio)
www.isaca.org 4545Pag.45
Perspectiva FinancieraPerspectiva del Cliente
Perspectiva InternaPerspectiva de Aprendizaje y Crecimiento
The Risk IT Framework
• Impacto al negocio
BSC (Criterios de impacto extendidos)
Valor de accionesCuota de mercado
www.isaca.org 4646Pag.46
Cuota de mercadoIngresos / Ganancias
Costo de capitalSatisfacción del cliente
Impacto regulatorioRecursos
Ventaja competitivaReputación
Ejemplo 1 - Identificación
IDENTIFICADOR RIESGO
1 Uso no autorizado de equipos
2 Falla en equipos de telecomunicación
3 Fallas de energía eléctrica
www.isaca.org 5151Pag.51
4 Saturación de Sistemas de Información
5 Infección por virus informático
… …
N Riesgo N
Ejemplo 1 - Identificación1. Fuego2. Daño por agua3. Contaminación4. Accidentes graves5. Destrucción de equipo o medios6. Terremoto /sismo /temblor7. Deslave8. Derrame químico9. Explosión10. Incendio11.Epidemia12.Lluvias intensas
26.Robo de equipo27.Recuperación de medios reciclados28.Divulgación de información29.Recepción de datos de fuentes no
confiables30.Manipulación no autorizada de
información31.Detección de ubicación física32.Falla de equipos33.Malfuncionamiento de equipos34.Saturación de sistemas de
información
49.Amenaza de bomba50.Bloqueo de instalaciones por
manifestaciones públicas51.Huelga52. Impacto de aeronave53.Acciones de empleados
descontentos contra la organización54. Infecciones por virus informático y
código malicioso55.Sabotaje56.Hackers y otros agresores externos57.Desconocimiento del usuario
www.isaca.org 5252Pag.52
12.Lluvias intensas13.Tormenta de Granizo14.Ciclón tropical15. Inundación16.Tormenta eléctrica17.Fallas en aire acondicionado18.Fallas en provisión de agua19.Fallas en equipos de
telecomunicación20.Fallas de energía eléctrica21. Intercepción de información22.Espionaje remoto23.Espionaje24.Robo de documentos25.Robo de medios de información
información35.Malfuncionamiento de software36.Uso no autorizado de equipo37.Copia fraudulenta de software38.Uso de software fraudulento39.Corrupción de datos40.Procesamiento ilegal de datos41.Errores humanos42.Abuso de privilegios43.Denegación de acciones44.Repudio de transacciones45. Indisponibilidad del personal46.Secuestro de funcionarios47.Chantaje48.Terrorismo
57.Desconocimiento del usuario58.Agresores internos59.Phishing / Engaños intencionales60.Spyware / Adware61. Insuficiencia de infraestructura de
seguridad62.Software Deficiente63.Negligencia del usuario64.Spam65.Hardware Deficiente66. Interrupción del negocio de
proveedores67.Cambios significativos en el entorno
económico
Ejemplo 1 - Análisis
Posibilidad de Ocurrencia Valor
Casi cierto 5
Muy posible 4
Posible 3
Raro 2
Casi imposible 1
www.isaca.org 5353Pag.53
Casi imposible 1
Impacto Valor
Catastrófico 5
Mayor 4
Medio 3
Menor 2
Insignificante 1
Ejemplo 1 - Análisis
ID Evento de amenaza (riesgo)
PO
SIB
ILID
AD
Ca
si i
mp
osi
ble
Ra
ro
Po
sib
le
Mu
y p
osi
ble
Ca
si c
iert
o
IMP
AC
TO
Insi
gn
ific
an
te
Me
no
r
Me
dio
Ma
yo
r
Ca
tast
rófi
co
1 2 3 4 5 1 2 3 4 5
1 Uso no autorizado de equipos � �
www.isaca.org 5454Pag.54
1 Uso no autorizado de equipos � �
2 Falla en equipos de telecomunicación � �
3 Fallas de energía eléctrica � �
4 Saturación de sistemas de información � �
5 Infección por virus informático � �
… …
N Riesgo N � �
Ejemplo 1 - Evaluación
ID RIESGO P I R (P x I)
1 Uso no autorizado de equipos 2 3 6
2 Falla en equipos de telecomunicación 4 4 16
3 Fallas de energía eléctrica 4 3 12
4 Saturación de Sistemas de Información 3 2 6
www.isaca.org 5555Pag.55
4 Saturación de Sistemas de Información 3 2 6
5 Infección por virus informático 4 3 12
… … … … …
N Riesgo N 1 1 1
Ejemplo 1 - Evaluación
ID RIESGO P I R (P x I) Prioridad
1 Uso no autorizado de equipos 2 3 6 3
2 Falla en equipos de telecomunicación 4 4 16 1
3 Fallas de energía eléctrica 4 3 12 2
4 Saturación de Sistemas de Información 3 2 6 3
www.isaca.org 5656Pag.56
4 Saturación de Sistemas de Información 3 2 6 3
5 Infección por virus informático 4 3 12 2
… … … … … …
N Riesgo N 1 1 1 N
Control de operaciones
IMP
AC
TO
Cat
astr
ófic
o5 6 7 8 9
May
or
4 5 6 7 8
Med
io
3 4 5 6 7
EMPRESA ABC
1
2
35
www.isaca.org 5757Pag.57
IMP
AC
TO
Men
or
2 3 4 5 6
Insi
gnifi
cant
e
1 2 3 4 5
Casi Imposible Raro Posible Muy Posible Casi Cierto
POSIBILIDAD
4
N
Ejemplo 2 - Identificación
Impactos
RIESGO
www.isaca.org 5858Pag.58
Activo
Eventos
AmenazasVulnerabilidades
Ejemplo 2 - Identificación
www.isaca.org 6060Pag.60
VULNERABILIDADESVULNERABILIDADESVULNERABILIDADESVULNERABILIDADES
Ejemplo 2 - Identificación
www.isaca.org 6161Pag.61
AMENAZASAMENAZASAMENAZASAMENAZAS
AGENTEAGENTEAGENTEAGENTE
Ejemplo 2 - Identificación
www.isaca.org 6262Pag.62
EVENTOEVENTOEVENTOEVENTO
AMENAZASAMENAZASAMENAZASAMENAZAS
Ejemplo 2 - Identificación
�� Personas
SistemasAplicaciones
Mobiliario
Ejemplos de activos:
www.isaca.org 6464Pag.64
Equipos de cómputo
DocumentosRegistrosManualesDirectorios
TeléfonoFax
Instalaciones
Servicios
Otros
Ejemplo 2 - Identificación
Sistemas / Aplicaciones
Procesos
Gente / Entidades
Tec
nolo
gía
de In
form
ació
n
www.isaca.org 6565Pag.65
Física / Instalaciones
Red / Comunicaciones
Plataformas / S.O.
Información / Datos / Documentos
Tec
nolo
gía
de In
form
ació
n
Ejemplo 2 - Identificación
• Identificar vulnerabilidades
– Inherentes al activo.– Relacionadas con la falta, insuficiencia,
www.isaca.org 6666Pag.66
– Relacionadas con la falta, insuficiencia, inefectividad o fallas de los controles sobre el activo.
Ejemplo 2 - Identificación
V=Se encuentra en un área que se puede inundar.
V=Inflamable.
V=No se encuentran concentradas
www.isaca.org 6767Pag.67
V=No se encuentran concentradas en un mismo lugar.
V=Almacenamiento desprotegido.
V=Consumible.
V=Puede sufrir daños físicos.
A=Facturas
Ejemplo 2 - Identificación
• Identificar amenazas:
– Naturales.– No intencionales.
www.isaca.org 6868Pag.68
– No intencionales.– Intencionales físicas.– Intencionales no físicas.
Ejemplo 2 - Identificación
• Ejemplos de amenazas:
– Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones, tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupción volcánica, granizo, tornado, lluvia acida, plagas, etc.
www.isaca.org 6969Pag.69
– No intencionales: Incendios, fugas, derrames, explosiones, apagones, falla de equipos, ruido, etc.
– Intencionales físicas: Explosiones, incendios, robo, manifestaciones, plantones, terrorismo, etc.
– Intencionales no físicas: Infección por virus, SPAM, hackeo, robo de información, espionaje industrial, ingeniería social, fraude, etc.
Ejemplo 2 - Identificación• El CENAPRED* (México) clasifica las amenazas naturales en las
siguientes categorías:
• Hidrometeorológicas– Precipitación pluvial– Tormenta de granizo– Tormenta de nieve– Heladas– Ciclón tropical
• Geológicas– Terremoto / sismo / temblor– Maremoto / tsunami– Volcán– Deslave
www.isaca.org 7070Pag.70
– Ciclón tropical– Escurrimiento– Inundación– Sequía– Erosión– Viento– Marea de tormenta– Temperatura extrema– Humedad extrema– Huracán / Tifón– Tormenta eléctrica– Tormenta de arena– Tornado– Lluvia acida
• Químicas– Derrame– Fuga– Explosión– Fuego / Incendio
• Sanitarias– Contaminación– Desertificación– Epidemias
• Otras– Partículas de polvo
* CENAPRED = Centro Nacional de Prevención de Desastres. www.cenapred.gob.mx
Ejemplo 2 - Identificación
V=Se encuentra en un área que se puede inundar.
E=Inundación A=Agua
V=Inflamable. E=Incendio A=Fuego
V=No se encuentran concentradas en un mismo lugar.
E=Pérdida A=Empleado
www.isaca.org 7272Pag.72
en un mismo lugar.E=Pérdida
V=Almacenamiento desprotegido. E=RoboA=Empleado
A=Visitantes
V=Consumible. E=Uso A=Personal
V=Puede sufrir daños físicos. E=DañoA=Personal
A=Impresora
A=Facturas
Ejemplo 2 - Análisis
• Valor de activo• Vulnerabilidad
• Severidad• Exposición
• Amenaza (Agente y Evento)
www.isaca.org 7373Pag.73
• Motivación• Capacidad
• Impacto• Posibilidad de Ocurrencia
Ejemplo 2 – Análisis (Vulnerabilidades)Valor Severidad Exposición
1
Severidad Menor: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de pérdida o daño en el activo.
Exposición Menor: Los efectos de la vulnerabilidadson mínimos. No incrementa la probabilidad de que vulnerabilidades adicionales sean explotadas.
2
Severidad Moderada: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un
Exposición Moderada: La vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de la vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales.
www.isaca.org 7474Pag.74
SeveridadExposición
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
recursos para explotar la vulnerabilidad y tiene un potencial moderado de pérdida o daño en el activo.
adicionales.
3
Severidad Alta: Se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo.
Exposición Alta: La vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales.
Ejemplo 2 – Análisis (Amenazas)Valor Capacidad Motivación
1
Poca o nula capacidad de realizar el ataque.
Poca o nula motivación. No se estáinclinado a actuar.
2
Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tiene suficientes recursos, pero conocimiento y
Nivel moderado de motivación. Se actuará si se le pide o provoca.
www.isaca.org 7575Pag.75
CapacidadMotivación
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
suficientes recursos, pero conocimiento y habilidades limitadas
3
Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque
Altamente motivado. Casi seguro que intentará el ataque.
Ejemplo 2 – Análisis (Impacto)Valor Descripción
1 La brecha puede resultar en poca o nula pérdida o daño.
2 La brecha puede resultar en una pérdida o daño menor.
3La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden verse afectados negativamente.
4La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden fallar o interrumpirse.
www.isaca.org 7676Pag.76
negocio pueden fallar o interrumpirse.
5 La brecha puede resultar en altas pérdidas.
Rango (suma de valores por pérdida de confidencialidad, integridad y disponibilidad)
Valor Impacto
3-5 Bajo (1)
6-10 Medio (2)
11-15 Alto (3)
Confidencialidad
Integridad
Disponibilidad
Ejemplo 2 - Análisis
Proceso ActivoProceso 01 SISTEMA XProceso 28 REDFacturación FACTURAS
www.isaca.org 7777Pag.77
Confidencialidad Integridad Disponibilidad Total1 Valor1 Valor25 3 3 11 Alto 34 3 4 11 Alto 34 5 4 13 Alto 3
Sensibilidad de los activos
…
Ejemplo 2 - Análisis
Proceso ActivoProceso 01 SISTEMA XProceso 28 REDFacturación FACTURAS
www.isaca.org 7878Pag.78
…
Vulnerabilidades Severidad Exposición Valor3V1-EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO 3 3 5V57-SUSCEPTIBILIDAD A FALLAS 2 3 4V10 - ALMACENAMIENTO DESPROTEGIDO 2 3 4
Análisis de vulnerabilidades
Ejemplo 2 - Análisis
Proceso ActivoProceso 01 SISTEMA XProceso 28 REDFacturación FACTURAS
…
www.isaca.org 7979Pag.79
…
Agentes de amenaza Eventos de amenaza Capacidad Motivación Valor4A1-VIRUS INFORMÁTICO E1-INFECCIÓN POR VIRUS INFORMÁTICO 3 3 5A53-DISPERSORES DE AGUA E34-FALLA EN COMPONENTE DE TECNOLOGÍA 2 1 2A3-VISITANTES E14 - ROBO 3 2 4
Análisis de amenazas
Ejemplo 2 - Análisis
Proceso ActivoProceso 01 SISTEMA XProceso 28 REDFacturación FACTURAS
www.isaca.org 8080Pag.80
…
Posibilidad
3
1
3
Ejemplo 2 - Evaluación
Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total5 5 3 11 8252 4 1 11 88
Riesgo = Amenaza x Vulnerabilidad x Probabilidad x ImpactoPosibilidad
Posibilidad
www.isaca.org 8181Pag.81
2 4 1 11 884 4 3 13 624
Ejemplo 2 - Evaluación
UMBRALES DE RIESGO
LIMITE INFERIOR LÍMITE SUPERIOR
ALTO 751 1125
www.isaca.org 8282Pag.82
MEDIO 376 750
BAJO 1 375
Opciones de tratamiento
Fuente Opciones de tratamiento de riesgos de TI
Risk IT EvitarTransferir
CompartirMitigar Aceptar ---
ISO 27005 Evitar Transferir Reducir Retener ---
www.isaca.org 8383Pag.83
BS 31100 Evitar Transferir Modificar Retener Buscar
ISO 31000
Evitar
Remover la fuente del
riesgo
Compartir
Cambiar la naturaleza y magnitud de posibilidad
Cambiar las consecuencias
Retener por decisión
Buscar una oportunidad
Gracias
Mario Ureña CuateCISA, CISM, CGEIT, CISSP
www.isaca.org 8585Pag.85
CISA, CISM, CGEIT, CISSPAuditor Líder BS25999, ISO27001