El documento describe un marco de gestión de riesgos para la seguridad de la información, enfatizando la identificación, evaluación y priorización de riesgos para mitigar posibles pérdidas futuras. Se introducen metodologías y modelos para calcular riesgos y establecer controles adecuados, en base a estándares internacionales como ISO 27002 e ISO 31000. La eficacia de la gestión de riesgos debe ser revisada periódicamente y debe alinearse con los objetivos estratégicos de la organización.

1. Gestión de Riesgo
Unidad de Modernización y Gobierno Electrónico
Ministerio Secretaría General de la Presidencia

2. La probable frecuencia y
probable magnitud de
pérdidas futuras.
RIESGO

3. RIESGO
• El riesgo es un potencial
de problemas
• Se debe evitar que una
amenaza explote una
vulnerabilidad existente
• Conocidos los riesgos, se
deben mitigar

4. RIESGO para la ISO 27002
• Los requerimientos de seguridad se identifican mediante una
evaluación metódica de los riesgos de seguridad.
• El proceso de evaluación de riesgo debe identificar,
cuantificar y priorizar los riesgos en comparación con el nivel
de riesgo aceptable y los objetivos relevantes para la
organización.
• El gasto en controles debiera ser equilibrado con el daño
probable.
• Los resultados de la evaluación del riesgo ayudarán a:
– Guiar y determinar las prioridades de las acciones para manejar los
riesgos,
– Implementar los controles seleccionados para protegerse contra esos
riesgos.
• La evaluación del riesgo se debiera repetir periódicamente.

5. Conceptos y metodologías de evaluación de
riesgos y su aplicación práctica para la
implementación efectiva de gestión de
seguridad de la información.
• Metodología de Evaluación de
Riesgo
– Selección de ámbitos e
identificación de activos
– Asociación de amenazas y
vulnerabilidades a activos
– Ejecución de la evaluación de
riesgos
– Plan de tratamiento de riesgos

6. Marco Referencial
• Nacional
– CAIGG
– NCh-ISO27005.Of2009
• Gestión del riesgo de seguridad de la información
• Internacional
– ISO 31000:2009
• Principles and Guidelines on Implementation
– ISO/IEC 31010:2009
• Risk Management - Risk Assessment Techniques
– ISO Guide 73:2009
• Risk Management - Vocabulary

7. Modelo de Cálculo de Riesgo
RIESGO Probabilidad Impacto
Combinación de la probabilidad de un evento y su ocurrencia
(ISO/IEC Guía 73:2002)

8. Estimación de la Probabilidad
• Porcentual
– 0% a 100%
• Cualitativa
– Alta
– Media
– Baja
• CAIGG

9. Estimación del Impacto
• Porcentual Según valor del activo
– ( 0% a 100% ) x Valor del Activo
• Cualitativa
– Alta
– Media
– Baja
• CAIGG

10. Modelo de Cálculo de Riesgo
RIESGO Amenaza Vulnerabilidad Impacto
Modelo ICSA.net

11. Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
• SI
– Amenaza Alta, Media, Baja  3,2,1
– Vulnerabilidad  Alta, Media, Baja  3,2,1
– Impacto  Alto, Medio, Bajo  3,2,1
• ENTONCES
– Riesgo  (3x3x3) ... (1x1x1)  27 ... 1

12. Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
La probabilidad de ocurrencia del impacto está dado
por la contemporaneidad entre una determinada
amenaza y la existencia de una vulnerabilidad
explotable.
Riesgo = probabilidad * Impacto

13. No Programada
Única vez
Contacto
Programada
Tiempo de
Periódica
amenaza
Beneficio
Frecuencia de la
Esfuerzo
atacante
Acción del
Sanción / Pena
Pérdida
Frecuencia de la
controles
Fortaleza de los
Vulnerabilidad
Reputación
Amenaza
Capacidad de la
Competitividad Criticidad
Compliance Costo
General
Sensitividad
Factores del Riesgo
Modelo de Cálculo de Riesgo
Según Activo
Acceso
Competencia
Uso indebido
Acción
Divulgación
Impacto Primario
Interna / Externa
Modificación
Según Amenaza
DoS
Tiempo
Impacto
Debido Cuidado
Contención
Respuesta
Remediación
Según
Detección
Organización
Recuperación
Impacto Secundario
Detección
Legal y Regulatorio
Modelo FAIR: Factor Analysis of Information Risk
Competidores
Medio
Factores Externos
Accionistas

14. Riesgo Aceptable

15. Evaluación y Gestión de Riesgo TI
P09 – Planear y Organizar
• Crear y Mantener un marco de trabajo en la Gestión de
Riesgos, para:
– Documentar las estrategias consensuadas
– Documentar un nivel de riesgos TI común y acordado, estrategias de
mitigación así como riesgos residuales.
– Identificar, analizar y evaluar cualquier impacto potencial sobre las
metas de la organización, causado por un acontecimiento imprevisto.
– Estrategias de mitigación de riesgos para reducir el riesgo residual a un
nivel aceptable.
– El resultado de la evaluación debe ser comprensible para las partes
interesadas y se expresa en términos financieros, para permitirles
alinear el riesgo a un nivel aceptable de tolerancia.

16. Ciclo de Mitigación de Riesgos
Agente de Activa
la amenaza
Puede explotar
Amenaza
Interviene Evidencia
directamente Vulnerabilidad
RIESGO
Protección
Puede ser
contrarrestado
Activo
Puede Dañar
Exposición
Representa una

17. Gestión de Riesgos (ISO 31000)

18. Gestión de Riesgos
http://www.iso27000.es/sgsi.html#section2d

19. Objetivo de Evaluación de Riesgo
Seleccionar aquellos controles que
permitan mitigar los riesgos no
tolerables hasta niveles aceptables para
la organización.

20. Control
Normativa, proceso o tecnología que permite
contrarrestar el riesgo de la organización
mejorando la prevención, detección o respuesta
frente a determinada amenaza, vulnerabilidad o
impacto.

21. Plan de Mitigación
• Conjunto jerarquizado de controles de mitigación,
indexado a los procesos de negocio y al riesgo que
mitigan y agrupados como Productos o Proyectos
Específicos.
• Muchas veces es el principal aporte al Plan de
Seguridad.
• Conforma la P, del ciclo PDCA de Mejora continua.
Plan
Plan
Do
Do Act
Act
Check
Check

22. Gracias.
Ministerio Secretaría General de la Presidencia
Unidad de Modernización y Gobierno Electrónico
@modernizacioncl