1. Seguridad Inform´atica
Tema 2. An´alisis de Riesgos
Francisco Medina L´opez – paco.medina@comunidad.unam.mx
Facultad de Contadur´ıa y Administraci´on
Universidad Nacional Aut´onoma de M´exico
2021-1
2. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
3. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
4. Importancia de la Administraci´on del Riesgo
INFOSEC ROCK STAR. How to accelerate your carrer because geek will only get you so far,Ted Demopoulous
5. Fuentes de requisitos de seguridad de la informaci´on
1 Evaluaci´on de los riegos para la organizaci´on, teniendo en
cuenta las estrat´egias y objetivos del negocio.
2 Requisitos legales y contractuales que una organiaci´on ,
sus socios comerciales y proveedores de servicios tienen que
satisfacer, y su entorno sociocultural.
3 Conjunto de principios, objetivos y requerimientos del
negocio para el manejo, procesamiento, almacenamiento,
comunicaci´on y archivo de informaci´on que una organizaci´on
desarrolla para dar soporte a sus operaciones.
6. Riesgo
Definici´on
Posibilidad de que un agente de amenaza se aproveche de una
vulnerabildad y de su correspondiente impacto en el negocio.
Ejemplos:
• Sin un firewall tiene varios puertos abiertos, hay mayor
probabilidad de que un instruso utilice uno de los puertos para
acceder a la red de una manera no autorizada.
• Si lo usuarios no est´an educados en los procesos y
procedimientos, hay una mayor probabilidad de que un
empleado pueda cometer una falta mal intencionada o no y
destruir datos.
7. Elementos del riesgo
Impacto
P´erdida ocasionada por la materializaci´on del riesgo. Si no hay
efectos negativos no hay riesgo.
Grado de materializaci´on
Certeza sobre la ocurrencia del riesgo.
9. ¿Qu´e es la Administraci´on de Riesgo?
Definici´on
Proceso de planificar, organizar, dirigir, y controlar las
actividades de una organizaci´on con el fin de minimizar los efectos
negativos del riesgo sobre el capital y los ingresos de una
organziaci´on.
• La administraci´on de riesgos es un proceso continuo que se
aplica a todos los aspectos de los procesos operativos de una
organizaci´on.
• La tarea de supervisar este proceso la lleva a cabo un
especialista en seguridad de la informaci´on, que puede ser el
Oficial de Seguridad de la Informaci´on (CISO, Chief
Information Security Officer).
10. Est´andares relativos a la administraci´on del riesgo
• ISO / IEC 31000:2018 Gesti´on del Riesgo – Directrices.
• ISACA’s Risk IT Framework.
• The open Group’s Factor Analysis for Information Risk
(FAIR) model.
• Operationally Critical Threat, Asset, and Vulnerability
Evaluation (OCTAVE).
• MAGERIT metodolog´ıa de car´acter p´ublico perteneciente al
Ministerio de Administraciones P´ublicas de Espa˜na.
• NIST Publicaci´on Especial 800-30.
• Facilitated Risk Analysis and Assesment Process (FRAAP).
12. Establecer alcance, contexto y criterios
Prop´osito
Definir el alcance del proceso, y comprender los contextos externo
e interno.
13. Evaluaci´on del riesgo
Definici´on
Proceso global de identificaci´on, an´alisis y valoraci´on del riesgo.
Objetivos:
1 Encontrar, reconocer y describir los riesgos que impiden a una
organizaci´on lograr sus objetivos (Identifcar riesgos),
2 Comprender la naturaleza del riesgo y sus caracter´ısticas
incluyendo el nivel de riesgo (Analizar riesgos) y
3 Comparar los resultados del an´alisis de riesgos con los criterios
del riesgo establecido para determinar cuando se requiere una
acci´on adicional (Valorar riesgos).
14. Tratamiento del riesgo
Definici´on
Implementar opciones para abordar el riesgo.
Es un proceso iterativo que implica:
• Formular y seleccionar opciones para el tratamiento del riego;
• Planificar e implementar el tratamiento del riesgo;
• Evaluar la eficacia del tratamiento;
• Decidir si el riesgo residual es aceptable.
15. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
16. Amenazas
Definici´on
Posible causa de un incidente no deseado que puede resultar en
da˜nos a un sistema u organizaci´on.
• La entidad que se aprovecha de una vulnerabildad se
denomina agente de amenaza.
• Un intruso que accede a la red a trav´es de un puerto en el
firewall.
• Un proceso de acceso a los datos de manera que viola la
pol´ıtica de seguridad.
• Un tornado acabando con una instalaci´on.
• Un empleado haciendo un error involuntario que podr´ıa
exponer informaci´on confidencia.
20. Vulnerabilidad
Definici´on
Debilidad de un activo o grupo de activos que puede ser explotado
por una o m´as amenazas.
• Se caracteriza por la ausencia o debilidad de un control que
podr´ıa ser explotada.
• Un servicio que se ejecuta en un servidor.
• Aplicaciones sin parches o sistemas operativos sin
actualizaciones.
• Un puerto abierto en un firewall.
• M´odem inal´ambrico sin restricciones.
• Falta de seguridad f´ısica que permite que cualquiera pueda
entrar en cuarto de servidores.
• D´ebil administraci´on de contrase˜nas de servidores y estaciones
de trabajo.
21. Fuentes de divulgaci´on de vulnerabilidades
• The NVD: https://nvd.nist.gov/vuln/search
• CVE Details: https://www.cvedetails.com/
26. Tipos de vulnerabilidades m´as frecuentes
• Vulnerabilidades de configuraci´on;
• Validaci´on de entrada;
• Salto de directorio;
• Inyecci´on de comandos en el sistema operativo;
• Inyecci´on SQL;
• Error de b´ufer;
• Fallo de autenticaci´on;
• Error en la gesti´on de recursos;
• Error de dise˜no;
27. Malware
Definici´on
Programas dise˜nados para acceder a un sistema inform´atico de
forma no autorizada y provocar da˜nos a este.
Objetivos:
• Destrucci´on o modificaci´on de informaci´on.
• Robo de informaci´on y claves de acceso.
• Propagaci´on a otros equipos de una misma red o a trav´es de
internet.
• Introducir publicidad de forma masiva.
• Comprometer la integridad de las aplicaciones y sistemas
operativos.
31. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
32. Probabilidad
Definici´on
Estimaci´on de posibilidades de que se materialce el riesgo o, lo que
es lo mismo, que se produzca una amenaza real.
• La probabilidad de ocurrencia de una amenaza est´a
determinada por un an´alisis de vulnerabilidades.
33. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
34. Clasificaci´on de Activos
Definici´on
Cualqueir cosa que tenga valor para la organizaci´on.
1 Tangibles
• Datos
• Software
• Computadoras, equipos de comunicaciones, cableado.
2 Intangibles
• Privacidad
• Seguridad y salud de los empleados
• Imagen y reputaci´on
• Continuidad de las actividades
• Moral del empleado
35. Valor de los activos
• La importance de los activos de un sistema de informaci´on
depender´a de su valoraci´on. Si un activo no tiene valor, es
completamnte prescindible.
• Por otra parte, si un activo es necesario para el correcto
funcionamiento del sistema, es que tiene cierto valor.
• La valoraci´on del activo viene definida como el costo que
implicar´a recuperarse de un fallo del activo provocado por
alguna incidencia.
36. Factores para valorar un activo
1 Costo del personal espacializado necesario para recuperar el
activo (Costo de mano de obra).
2 Los ingresos perdidos por el fallo del activo.
3 Costo de adquisici´on e instalaci´on de un activo nuevo en caso
de que el anterior haya resultado inservible (Costo de
recuperaci´on).
4 P´erdida de percepci´on de confianza y calidad de los clientes y
proveedores provocados por una interrupci´on del servicio
provocada por el fallo del activo.
5 Infracciones cometidas y sanciones correspondientes al
incumplimiento de requierimientos legales o de obligaciones
contractuales debidas al fallo del activo.
6 Da˜nos y efectos perjudiciales provocados por el activo a otros
activos, tanto propios como ajenos a la organizaci´on.
7 Da˜nos medioambientales causados por el activo.
8 Da˜nos a otras personas causadas por el activo.
37. Ejemplo: P´erdida de percepci´on de confianza
Fuente: Grupo de Facebook ”Facultad de Contadur´ıa y Administraci´on (FCA-UNAM)”.
39. Dimensiones de valoraci´on de los activos
1 Disponibilidad
• ¿Cu´al ser´ıa la importancia del activo si no estuviera disponible?
2 Integridad
• ¿Qu´e importancia tendr´ıa que el activo sufriera modificaciones?
3 Confidencialidad
• ¿Cu´al ser´ıa la importancia del conocimiento del activo por
usuarios no autorizados?
4 Autenticidad
• ¿Cu´al ser´ıa la importancia del acceso al activo por parte de
personas no autorizadas?
5 Trazabilidad
• ¿Cu´al ser´ıa la importancia de la falta de constancia de la
utilizaci´on del activo?
40. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
41. Introducci´on
1 An´alisis Cualitativo de Riesgos
• Utiliza elementos de la organizaci´on como opini´on, mejores
pr´acticas, intuici´on, experiencia, etc. para ponderar el riesgo y
sus componentes.
• Aplicable a todas las situaciones
2 An´alisis Cuantitativo de Riesgos
• Asigna valores monetarios (objetivos) a cada componente de la
evaluaci´on de riesgos y a cada potencial p´erdida.
42. An´alisis Cualitativo de Riesgos
Definici´on
Modelo basado en escenarios mas que en c´alculos.
• En lugar de asignar el costo exacto respecto de las posibles
p´erdidas, en este escenario se ponderan en escala, los riesgos,
costos y efectos de una amenaza en relaci´on del activo.
• Este tipo de procesos, conjuga: juicio, experiencia e intuici´on.
• T´ecnicas y M´etodos utilizados:
• Lluvia de ideas (Brainstorming), T´enicas Delphi, Cuestionarios,
Listas (Checklist), Entrevistas, . . .
43. Pasos del An´alisis Cualitativo de Riesgos
1 Definici´on de:
• Niveles de probabilidad de ocurrencia de las amenazas
• Niveles de impacto de las amenazas
• Niveles de riesgo (en funci´on a las anteriores)
2 Clasificaci´on de las amenazas en cuanto a su probabilidad de
ocurrencia e impacto.
3 Estimaci´on del riesgo
46. An´alisis Cuantitativo de Riesgos
Definici´on
Asigna valores monetarios a cada componente de la evaluaci´on de
riesgos y a cada potencial p´erdida.
Pasos:
1 Asignar valores a los activos.
2 Estimar la p´erdida potencial por cada amenaza.
3 Analizar las amenazas.
4 Estimar la p´erdida anual.
49. Ejemplo: Matriz an´alisis de riesgo
Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/
50. Resultados del An´alisis Cuantitativo de Riesgos?
• Valor de los activos (en dinero).
• Posibles amenazas a los activos.
• Probabilidad de ocurrencia de cada amenaza.
• Posible p´erdida anual por cada amenaza.
52. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
53. Estimar la p´erdida potencial por cada amenaza
• Factor de Exposici´on (EF): Porcentaje de p´erdida que una
amenaza podr´ıa tener sobre un determinado activo.
• Expectativa de P´erdida Individual (SLE): Valor monetario
asociado a un evento determinado. Representa la p´erdida
producida por una amenaza determinada en forma individual.
54. Tasa de Ocurrencia Anual (ARO)
• Tasa de Ocurrencia Anual (ARO): Representa la frecuencia
estimada de ocurrencia de un evento (amenaza), dentro del
periodo de un a˜no.
55. Estimar la p´erdida anual
• Expectativa de P´erdida Anualizada (ALE): Representa la
p´erdida anual producida por una amenaza determinada
individual..
57. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
58. Estrategias para tratar los Riesgos
1 Mitigar: Implementar controles para reducir el nivel de riesgo.
2 Aceptar: Se acepta el riesgo en su nivel actual.
3 Transferir: Compartir el riesgo con partes externas.
4 Evitar: Cancelar la actividad que genera el riesgo.
59. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo
60. Control o contramedida
Definici´on
Cualquier tipo de mecanismo que permita identificar, proteger,
detectar, responder o minimizar el riesgo asociado con la
ocurrencia de una amenaza espec´ıfica.
Objetivo:
• Reducir los efectos producidos por las amenazas de seguridad
(threats) y vulnerabilidades (vulnerabilities) a un nivel
tolerable para una organizaci´on.
Los controles o contramedidas pueden ser:
• Preventivos / De detecci´on / Correctivos / De respuesta / De
recuperaci´on.
• F´ısicos / T´ecnicos (L´ogicos) / Administrativos
61. Tratamiento de los Riesgos
Cada organizaci´on debe definir y efectuar un proceso de
tratamiento de los riesgos de seguridad para:
• Seleccionar las opciones adecuadas de tratamiento de riesgos
de seguridad de la informaci´on teniendo en cuenta los
resultados de la apreciaci´on de riesgos.
• Determinar todos los controles que sean necesarios para
implementar la(s) opci´on(es) elegida(s) de tratamiento de
riesgos de seguridad de la informaci´on.
62. Familia de controles de acuerdo al NIST
NIST Security and Privacy Controls forInformation Systems and Organizations Enlace .
65. Temario
1 Administraci´on de riesgos
2 Amenzas y vulnerabilidades
3 Determinaci´on de probabilidades
4 Valuaci´on de activos
5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa)
6 C´alculo de expectativa de p´erdida anual (ALE)
7 Reducci´on, transferencia y aceptaci´on de riesgos.
8 Selecci´on de medidas de contenci´on
9 Tratamiento del Riesgo