1.02 - Analisis de Riesgos TI

Análisis de Riesgos TI
Felipe Arancibia B.
Seguridad y Auditoría Informática
Unidad I: RED TEAM: Riesgos, Vulnerabilidades y
Amenazas
CONCEPTOS FUNDAMENTALES DE
RIESGO
Amenaza: Evento considerado como una posible fuente de
materialización del riesgo.
Exposición: Nivel o grado de disponibilidad o exhibición de un

objeto o recurso, a la materialización del riesgo, por falta de un
ambiente de control adecuado.
Vulnerabilidad: Es el grado de impacto que puede sufrir un

determinado objeto por la exposición de éste a los riesgos.
CONCEPTOS FUNDAMENTALES DE
RIESGO
Riesgo: Identificación de una contingencia o proximidad de daño. La
probabilidad de que una amenaza llegue a ocurrir por una
vulnerabilidad.
Ocurrencia: Nivel cuantitativo de efecto relativo o probabilístico

de materialización del riesgo, de acuerdo a hechos estadísticos o
históricos.
TIPOS DE RIESGO
Riesgos de la
información
Riesgos del entorno
emanada
Riesgos
operacionales
-Cambios en la economía -Gestión estratégica

- Disminución en la -Riesgos de integridad
- Gestión operativa
participación de mercado -Riesgos de fraude
- Gestión financiera
-Ingreso de nuevos -Riesgos tecnológicos
competidores -Riesgos financieros, etc.
CLASIFICACIÓN DEL RIESGO
LOS RIESGOS PODEMOS…
Evitarlos Transferirlos
Riesgo
Reducirlos Asumirlos
¿QUÉ ES LA ADMINISTRACIÓN DE
RIESGOS?
Herramienta gerencial que apoya a la

toma de decisiones organizacionales
facilitando con ello el cumplimiento de
los objetivos de negocio.
RIESGOS?
Proceso iterativo basado en el

conocimiento, valoración, tratamiento
y monitoreo de los riesgos, y sus
impactos en el negocio.
RIESGOS
RIESGOS?
Proceso Proyecto
Aplicable a cualquier situación donde
un resultado no deseado o inesperado
podría ser significativo en el logro de Unidad Sistema de
los objetivos, o donde se identifiquen Organizacional Información
oportunidades de negocio.
Oportunidad Ubicación
Geográfica
PROCESOS DE LA ADMINISTRACIÓN DE
RIESGOS
1. Establecer Marco General
2. Identificar Riesgos
Monitorear
3. Análisis de Riesgos
y Revisar
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo

ADMINISTRACIÓN DE RIESGOS:
1.1. Entender el Entorno
1.2. Entender la Organización
1.3. Identificar Criterios de Calificación
1.4. Identificar Objetos Críticos

1.1. Entender el Entorno
1.2. Entender la Organización
Análisis Externo
Aspectos financieros, operacionales,

competitivos, políticos (percepción
/ imagen), sociales, clientes,
culturales y legales.
Stakeholders
Metodología
Políticas
Criterios de Calificación y Tablas de Valoración
Universo de Objetos y Objetos Críticos Priorizados
1.3. Identificar Criterios de Calificación
1.4. Identificar Objetos Críticos

Qué es y cómo calificar - Priorizar
Que calificar – Objetos?
¿Cómo dividir la organización?
Interés de la Dirección
Lista de Objetos
Procesos – Subprocesos
a los cuáles se les
Proyectos
puede realizar
Unidades orgánicas Administración
Sistemas – Aplicaciones de Riesgos
Geográficamente
Basado en Procesos (Negocio – COBIT)
Planeación estratégica de sistemas.
Desarrollo de sistemas.
Evolución o mantenimiento de sistemas.
Integración de paquetes de software.
Capacitación.
Proceso de datos en ambientes de trabajo en Batch.
Atención a Requerimientos de Usuarios.
Administrar servicios de terceros (incluye outsourcing).
Administración de Proyectos.
Administración de la Infraestructura Informática:

Dirección y Control del área de Tecnología de Información.
Administración de Recursos Materiales (Equipo, Tecnología e Instalaciones).
Administración de Recursos Humanos.
Administración de Recursos Financieros.
Basado en Sistemas:
Para un sistema en particular.
Programas – Archivos – Procedimientos – Eventos – Entrada – Comunicación – Proceso –
Salida – Distribución
Basado en Proyectos:
A Productos.
Análisis al Proceso.
Basado en Infraestructura:
Datos.
Sistemas de Información (Aplicaciones).
Tecnología (Equipos – SW de Base – SGBD – SW de Productividad – Metodologías).
Instalaciones.
Recursos Humanos.
Elementos de Administración.
Recursos Financieros.
Proveedores.
Como calificar – Objetos?
De Negocio •• Pérdida financiera

Pérdida de imagen
• Discontinuidad del negocio
• Incumplimiento de la misión
• Calidad del Control Interno
IIA • Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)
• Integridad de la Dirección (códigos de ética)
• Exposición financiera • Cambios recientes en procesos (políticas, sistemas, o
• Pérdida y riesgo potencial dirección)
• Requerimientos de la dirección • Tamaño de la Unidad (Utilidades, Ingresos, Activos)
• Cambios importantes en operaciones, • Liquidez de activos
programas, sistemas y controles • Cambio en personal clave
• Oportunidades de alcanzar beneficios • Complejidad de operaciones
operativos • Crecimiento rápido
• Capacidades del persona • Regulación gubernamental
• Condición económica deteriorada de una unidad
• Presión de la Dirección en cumplir objetivos
• Nivel de moral de los empleados
• Exposición política / Publicidad adversa
• Distancia de la oficina principal
Como calificar – Criterios Seguridad
Informática
Confidencialidad
Integridad Disponibilidad
Informática
Confidencialidad:
Los activos de un sistema computacional son accedidos solo por personas

autorizadas.
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo

conociendo la existencia de un objeto.
SECRETO, RESERVA, PRIVACIDAD.
“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”.
Previene la divulgación no autorizada de datos.

Informática
Integridad:
Los activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadas.
La modificación incluye escribir, cambiar, cambiar estados, borrar y crear.
PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES,

MODIFICADO SOLO POR PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS
AUTORIZADOS, CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS
CORRECTOS.
ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS,Y DETECCIÓN Y

CORRECCIÓN DE ERRORES.
“CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER A CUALES RECURSOS EN QUE FORMAS”.
Previene la modificación no autorizada de datos.

Informática
Disponibilidad:
Los activos son accesibles a partes autorizadas.
Aplica a datos y servicios.
PRESENCIA DE OBJETOS O SERVICIOS EN FORMA ÚTIL, CAPACIDAD PARA CUMPLIR LAS

NECESIDADES DE SERVICIO, TIEMPO DE ESPERA LIMITADO, TIEMPO DE SERVICIO
ADECUADO.
RESPUESTA OPORTUNA, TOLERANCIA A FALLAS, UTILIDAD, CONCURRENCIA

CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y acceso
exclusivo).
NEGACIÓN O REPUDIACIÓN DEL SERVICIO.
Previene la negación de acceso autorizado a datos.

2.1. Establecer el Contexto de Administración de Riesgos
2.2. Desarrollar Criterios de Valoración de Riesgos
2.3. Definir la Estructura
2.4. Identificar riesgos
2.5. Identificar causas

Seguridad Informática - Activos
Hardware
Software Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Seguridad en Redes – Activos
(Componentes)
Hardware:
Servidores, estaciones de trabajo, dispositivos de comunicación (router, switch, Access
Point), dispositivos periféricos, cableado.
Software:
Sistemas operativos de red, sistemas operativos de escritorio, aplicaciones, herramientas
(administrativas, respaldo, mantenimiento), software bajo desarrollo.
Datos:
De la organización: bases de datos, hojas electrónicas, procesamiento de palabras, e-mail.
De la red: Privilegios de acceso a usuarios, password de usuarios, registros de auditoría,
configuración y parámetros de la red.
De los usuarios: datos procesados personal, archivos de propiedad del usuario.
Seguridad en Redes – Riesgos
R1 = Acceso no autorizado a la red o sus recursos.
R2 = Divulgación no autorizada de información.
R3 = Modificación no autorizada a datos y/o software.
R4 = Interrupción de las funciones de la red (no
disponibilidad de datos o servicios).
R5 = Acciones engañosas en la red (no saber quien).
Riesgos de Seguridad de la
Información
Daño Físico: incendio, agua, perdida de energía eléctrica,
vandalismo.
Errores humanos: Acción accidental o intencionada.
Falla de Equipamiento: Falla del sistema.
Ataques internos y/o externos: Hacking, Cracking.
Mal uso de información: Exponer secretos de la empresa.
Perdida de información: Perdida intencional o sin intención de los
datos.
Errores de aplicación: Errores del computador, errores de
entrada.
2. Cómo escribir riesgos
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"
Consecuencia Evento
Resultado de un evento o Situación que podría llegar a
situación expresado ocurrir en un lugar
cualitativa o determinado en un momento
cuantitativamente dado
Causa
Evento primario fundamento
u orígen de una consecuencia
2. Cómo escribir riesgos
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"
Consecuencia, Evento,
Impacto, Amenaza
Exposición
o Resultado
+ Causa,
Evento primario
o Situación
Seguridad en Redes –
Impactos Significativos
Violación de la Privacidad.
Demandas legales.
Perdida de tecnología propietaria.
Multas.
Perdida de vidas humanas.
Desconcierto en la organización.
Perdida de confianza.
Seguridad Informática – Amenazas
Naturales
Accidentadas
Deliberadas
Seguridad Informática –
Amenazas Naturales
Origen Amenaza directa Impacto inmediato

Terremotos, Interrupción de potencia, R4, R4a, R4b
tormentas temperatura extrema debido
eléctricas a daños en construcciones,
Fenómenos Perturbaciones R4, R4a

astrofísicos electromagnéticas
Fenómenos Muerte de personal crítico R4, R4c

biológicos
Amenazas Accidentales
Origen Amenaza directa Impacto inmediato

Error del Usuario Borrado de archivos, Formateo de R3, R4
drive, mal empleo de equipos, errores
de entrada
Error del Configuración inapropiada de R1: R2, R3, R4, R5

Administrador parámetros, borrado de información
Fallas de equipos Problemas técnicos con servidores de R3, R4, R4b

archivos, servidores de impresión,
dispositivos de comunicación,
estaciones cliente, equipo de soporte
(cintas de back-up, control de acceso,
derrame de café)
Involucrados
•Amateurs
•Hackers
• Empleados maliciosos
• Ladrones
•Crackers
• Vándalos
•Criminales
•Espías (gobiernos
foráneos)
• Terroristas
Vulnerabilidades
Características o debilidades en el sistema de seguridad que pueden ser
explotadas para causar daños o pérdidas (facilitan la ocurrencia de una
amenaza).
Interrupción: Un activo se pierde, no está disponible, o no se puede

utilizar.
Intercepción: alguna parte (persona, programa o sistema de
procesamiento) no autorizada accede a un activo.
Modificación: una parte no autorizada accede y manipula indebidamente
un activo.
Fabricación: Fabricar e insertar objetos falsos en un sistema
computacional.
Vulnerabilidades
Características o debilidades en el sistema de seguridad que pueden ser
explotadas para causar daños o pérdidas (facilitan la ocurrencia de una
amenaza).
Interrupción: Un activo se pierde, no está disponible, o no se puede

utilizar.
Intercepción: alguna parte (persona, programa o sistema de
procesamiento) no autorizada accede a un activo.
Modificación: una parte no autorizada accede y manipula indebidamente
un activo.
Fabricación: Fabricar e insertar objetos falsos en un sistema
computacional.
Vulnerabilidades
Vulnerabilidades
Vulnerabilidades
3.1. Valorar Riesgo Inherente
3.2. Determinar Controles Existentes
3.3. Identificar Nivel de Exposición
Valorar el posible daño que puede ser causado

¿Cómo valorar Riesgos?
Probabilidad x Impacto
Frecuencia x Impacto
$ Inherente
Nivel de exposición
Residual
Controles en Seguridad
Controles
Administrativos
Politícas, Estándares,
Procedimientos,
Guías,
Controles Técnicos
Entrenamiento
Acceso lógico,
controles,
encripción,
dispositivos de seguridad, Controles físicos
Identificación y autenticación
Protección de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
Controles en Seguridad
Medidas protectoras – acciones, dispositivos, procedimientos o

técnicas – que reducen una vulnerabilidad
Conf. Integ. Disp. Interr. Interc. Mod. Fab.
Encripción
Administración de la
Configuración (Control de
Cambios a Programas)
Políticas
Controles de Hardware
Controles Físicos (candados y
guardas)
Valorar prioridades de riesgo
VALORAR Y
PRIORIZAR SI
RIESGOS Riesgo aceptable? Aceptar
Riesgo residual no aceptable NO

IDENTIFICAR
OPCIONES DE Reducir Transferir Evitar
Reducir
TRATAMIENTO probabilidad total o
consecuencia
parcialmente
Considerar factibilidad, costos y beneficios, y niveles de riesgo
EVALUAR
OPCIONES DE Recomendar estrategias de tratamiento
TRATAMIENTO
Monitorear
Seleccionar estrategia de tratamiento
y Revisar
PREPARAR
PLANES DE Preparar planes de tratamiento para reducir, transferir o
TRATAMIENTO evitar el riesgo, financiando cuando sea apropiado
Transferir Evitar
Reducir Reducir
total o
probabilidad consecuencia
IMPLEMENTAR parcialmente
PLANES DE Porción Porción
TRATAMIENTO retenida transferida
NO SI
Riesgo residual aceptable? Retener
Asegurar la efectividad costo/beneficio de los controles

¿Dónde invertir?
Principio de la Adecuada Protección: Los ítems deben ser protegidos

solo hasta que ellos pierden su valor y deben ser protegidos de
manera consistente con su valor
Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Valor del activo
Hardware Duración del Activo
Esfuerzo de detección de incidentes
Impacto en los objetivos del
Software Datos negocio
Efectividad de la medida
Nivel de sofisticación
Facilidad de uso

1.02 - Analisis de Riesgos TI

Cargado por

Copyright:

Formatos disponibles

1.02 - Analisis de Riesgos TI

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1.02 - Analisis de Riesgos TI

Cargado por

Copyright:

Formatos disponibles

Análisis de Riesgos TI

 Exposición: Nivel o grado de disponibilidad o exhibición de un

 Vulnerabilidad: Es el grado de impacto que puede sufrir un

 Ocurrencia: Nivel cuantitativo de efecto relativo o probabilístico

-Cambios en la economía -Gestión estratégica

 Herramienta gerencial que apoya a la

 Proceso iterativo basado en el

1. Establecer Marco General

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

1.1. Entender el Entorno

1.2. Entender la Organización

1.3. Identificar Criterios de Calificación

1.4. Identificar Objetos Críticos

1.1. Entender el Entorno

1.2. Entender la Organización

 Aspectos financieros, operacionales,

1.3. Identificar Criterios de Calificación

1.4. Identificar Objetos Críticos

 Administración de la Infraestructura Informática:

De Negocio •• Pérdida financiera

 Los activos de un sistema computacional son accedidos solo por personas

 El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo

 SECRETO, RESERVA, PRIVACIDAD.

 “SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”.

 Previene la divulgación no autorizada de datos.

 La modificación incluye escribir, cambiar, cambiar estados, borrar y crear.

 PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES,

 ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS,Y DETECCIÓN Y

 “CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER A CUALES RECURSOS EN QUE FORMAS”.

 Previene la modificación no autorizada de datos.

 Los activos son accesibles a partes autorizadas.

 Aplica a datos y servicios.

 PRESENCIA DE OBJETOS O SERVICIOS EN FORMA ÚTIL, CAPACIDAD PARA CUMPLIR LAS

 RESPUESTA OPORTUNA, TOLERANCIA A FALLAS, UTILIDAD, CONCURRENCIA

 NEGACIÓN O REPUDIACIÓN DEL SERVICIO.

 Previene la negación de acceso autorizado a datos.

2.1. Establecer el Contexto de Administración de Riesgos

2.2. Desarrollar Criterios de Valoración de Riesgos

2.3. Definir la Estructura

2.4. Identificar riesgos

2.5. Identificar causas

 Perdida de tecnología propietaria.

 Perdida de vidas humanas.

Origen Amenaza directa Impacto inmediato

Fenómenos Perturbaciones R4, R4a

Fenómenos Muerte de personal crítico R4, R4c

Origen Amenaza directa Impacto inmediato

Error del Configuración inapropiada de R1: R2, R3, R4, R5

Fallas de equipos Problemas técnicos con servidores de R3, R4, R4b

 Interrupción: Un activo se pierde, no está disponible, o no se puede

 Interrupción: Un activo se pierde, no está disponible, o no se puede

3.1. Valorar Riesgo Inherente

3.2. Determinar Controles Existentes

3.3. Identificar Nivel de Exposición

Valorar el posible daño que puede ser causado

Medidas protectoras – acciones, dispositivos, procedimientos o

Riesgo residual no aceptable NO

Considerar factibilidad, costos y beneficios, y niveles de riesgo

Exposición: Nivel o grado de disponibilidad o exhibición de un

Vulnerabilidad: Es el grado de impacto que puede sufrir un

Ocurrencia: Nivel cuantitativo de efecto relativo o probabilístico

Herramienta gerencial que apoya a la

Proceso iterativo basado en el

Aspectos financieros, operacionales,

Administración de la Infraestructura Informática:

Los activos de un sistema computacional son accedidos solo por personas

El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo

SECRETO, RESERVA, PRIVACIDAD.

“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”.

Previene la divulgación no autorizada de datos.

La modificación incluye escribir, cambiar, cambiar estados, borrar y crear.

PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES,

ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS,Y DETECCIÓN Y

“CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER A CUALES RECURSOS EN QUE FORMAS”.

Previene la modificación no autorizada de datos.

Los activos son accesibles a partes autorizadas.

Aplica a datos y servicios.

PRESENCIA DE OBJETOS O SERVICIOS EN FORMA ÚTIL, CAPACIDAD PARA CUMPLIR LAS

RESPUESTA OPORTUNA, TOLERANCIA A FALLAS, UTILIDAD, CONCURRENCIA

NEGACIÓN O REPUDIACIÓN DEL SERVICIO.

Previene la negación de acceso autorizado a datos.

Perdida de tecnología propietaria.

Perdida de vidas humanas.

Interrupción: Un activo se pierde, no está disponible, o no se puede

Interrupción: Un activo se pierde, no está disponible, o no se puede