Tema 2: Análisis de Riesgos

Seguridad Informática
Tema 2. Análisis de Riesgos
Francisco Medina López – paco.medina@comunidad.unam.mx
Facultad de Contadur´ıa y Administración
Universidad Nacional Autónoma de México
2021-1

Temario
1 Administración de riesgos
2 Amenzas y vulnerabilidades
3 Determinación de probabilidades
4 Valuación de activos
5 Metodolog´ıas de evaluación de riesgo (cualitativa y cuantitativa)
6 Cálculo de expectativa de pérdida anual (ALE)
7 Reducción, transferencia y aceptación de riesgos.
8 Selección de medidas de contención
9 Tratamiento del Riesgo

Importancia de la Administraci´on del Riesgo
INFOSEC ROCK STAR. How to accelerate your carrer because geek will only get you so far,Ted Demopoulous

Fuentes de requisitos de seguridad de la información
1 Evaluación de los riegos para la organización, teniendo en
cuenta las estratégias y objetivos del negocio.
2 Requisitos legales y contractuales que una organiación ,
sus socios comerciales y proveedores de servicios tienen que
satisfacer, y su entorno sociocultural.
3 Conjunto de principios, objetivos y requerimientos del
negocio para el manejo, procesamiento, almacenamiento,
comunicación y archivo de información que una organización
desarrolla para dar soporte a sus operaciones.

Riesgo
Definición
Posibilidad de que un agente de amenaza se aproveche de una
vulnerabildad y de su correspondiente impacto en el negocio.
Ejemplos:
• Sin un firewall tiene varios puertos abiertos, hay mayor
probabilidad de que un instruso utilice uno de los puertos para
acceder a la red de una manera no autorizada.
• Si lo usuarios no están educados en los procesos y
procedimientos, hay una mayor probabilidad de que un
empleado pueda cometer una falta mal intencionada o no y
destruir datos.

Elementos del riesgo
Impacto
Pérdida ocasionada por la materialización del riesgo. Si no hay
efectos negativos no hay riesgo.
Grado de materialización
Certeza sobre la ocurrencia del riesgo.

Diferencia entre preocupaci´on, riesgo y problema

¿Qué es la Administración de Riesgo?
Definición
Proceso de planificar, organizar, dirigir, y controlar las
actividades de una organización con el fin de minimizar los efectos
negativos del riesgo sobre el capital y los ingresos de una
organziación.
• La administración de riesgos es un proceso continuo que se
aplica a todos los aspectos de los procesos operativos de una
organización.
• La tarea de supervisar este proceso la lleva a cabo un
especialista en seguridad de la información, que puede ser el
Oficial de Seguridad de la Información (CISO, Chief
Information Security Officer).

Estándares relativos a la administración del riesgo
• ISO / IEC 31000:2018 Gestión del Riesgo – Directrices.
• ISACA’s Risk IT Framework.
• The open Group’s Factor Analysis for Information Risk
(FAIR) model.
• Operationally Critical Threat, Asset, and Vulnerability
Evaluation (OCTAVE).
• MAGERIT metodolog´ıa de carácter público perteneciente al
Ministerio de Administraciones Públicas de España.
• NIST Publicación Especial 800-30.
• Facilitated Risk Analysis and Assesment Process (FRAAP).

Establecer alcance, contexto y criterios
Prop´osito
Deﬁnir el alcance del proceso, y comprender los contextos externo
e interno.

Evaluación del riesgo
Definición
Proceso global de identificación, análisis y valoración del riesgo.
Objetivos:
1 Encontrar, reconocer y describir los riesgos que impiden a una
organización lograr sus objetivos (Identifcar riesgos),
2 Comprender la naturaleza del riesgo y sus caracter´ısticas
incluyendo el nivel de riesgo (Analizar riesgos) y
3 Comparar los resultados del análisis de riesgos con los criterios
del riesgo establecido para determinar cuando se requiere una
acción adicional (Valorar riesgos).

Tratamiento del riesgo
Definición
Implementar opciones para abordar el riesgo.
Es un proceso iterativo que implica:
• Formular y seleccionar opciones para el tratamiento del riego;
• Planificar e implementar el tratamiento del riesgo;
• Evaluar la eficacia del tratamiento;
• Decidir si el riesgo residual es aceptable.

Amenazas
Definición
Posible causa de un incidente no deseado que puede resultar en
daños a un sistema u organización.
• La entidad que se aprovecha de una vulnerabildad se
denomina agente de amenaza.
• Un intruso que accede a la red a través de un puerto en el
firewall.
• Un proceso de acceso a los datos de manera que viola la
pol´ıtica de seguridad.
• Un tornado acabando con una instalación.
• Un empleado haciendo un error involuntario que podr´ıa
exponer información confidencia.

Clasiﬁcaci´on de las amenazas

Vulnerabilidad
Definición
Debilidad de un activo o grupo de activos que puede ser explotado
por una o más amenazas.
• Se caracteriza por la ausencia o debilidad de un control que
podr´ıa ser explotada.
• Un servicio que se ejecuta en un servidor.
• Aplicaciones sin parches o sistemas operativos sin
actualizaciones.
• Un puerto abierto en un firewall.
• Módem inalámbrico sin restricciones.
• Falta de seguridad f´ısica que permite que cualquiera pueda
entrar en cuarto de servidores.
• Débil administración de contraseñas de servidores y estaciones
de trabajo.

Fuentes de divulgaci´on de vulnerabilidades
• The NVD: https://nvd.nist.gov/vuln/search
• CVE Details: https://www.cvedetails.com/

Vulnerabilidades reportadas por a˜no
Enlace

Vulnerabilidades por fabricante
Enlace

Vulnerabilidades por tipo de software

Top 10 Vulnerabilidades por producto

Tipos de vulnerabilidades más frecuentes
• Vulnerabilidades de configuración;
• Validación de entrada;
• Salto de directorio;
• Inyección de comandos en el sistema operativo;
• Inyección SQL;
• Error de búfer;
• Fallo de autenticación;
• Error en la gestión de recursos;
• Error de diseño;

Malware
Definición
Programas diseñados para acceder a un sistema informático de
forma no autorizada y provocar daños a este.
Objetivos:
• Destrucción o modificación de información.
• Robo de información y claves de acceso.
• Propagación a otros equipos de una misma red o a través de
internet.
• Introducir publicidad de forma masiva.
• Comprometer la integridad de las aplicaciones y sistemas
operativos.

Tipos de malware
1 Virus.
2 Cookies.
3 Troyanos.
4 Keylooger.
5 Spyware.
6 Gusanos (worms).
7 Ransoware.

Herramientas en l´ınea para an´alisis de malware
https://www.virustotal.com/gui/
https://id-ransomware.malwarehunterteam.com/

Relaci´on amenazas y vulnerabilidades

Probabilidad
Definición
Estimación de posibilidades de que se materialce el riesgo o, lo que
es lo mismo, que se produzca una amenaza real.
• La probabilidad de ocurrencia de una amenaza está
determinada por un análisis de vulnerabilidades.

Clasificación de Activos
Definición
Cualqueir cosa que tenga valor para la organización.
1 Tangibles
• Datos
• Software
• Computadoras, equipos de comunicaciones, cableado.
2 Intangibles
• Privacidad
• Seguridad y salud de los empleados
• Imagen y reputación
• Continuidad de las actividades
• Moral del empleado

Valor de los activos
• La importance de los activos de un sistema de información
dependerá de su valoración. Si un activo no tiene valor, es
completamnte prescindible.
• Por otra parte, si un activo es necesario para el correcto
funcionamiento del sistema, es que tiene cierto valor.
• La valoración del activo viene definida como el costo que
implicará recuperarse de un fallo del activo provocado por
alguna incidencia.

Factores para valorar un activo
1 Costo del personal espacializado necesario para recuperar el
activo (Costo de mano de obra).
2 Los ingresos perdidos por el fallo del activo.
3 Costo de adquisición e instalación de un activo nuevo en caso
de que el anterior haya resultado inservible (Costo de
recuperación).
4 Pérdida de percepción de confianza y calidad de los clientes y
proveedores provocados por una interrupción del servicio
provocada por el fallo del activo.
5 Infracciones cometidas y sanciones correspondientes al
incumplimiento de requierimientos legales o de obligaciones
contractuales debidas al fallo del activo.
6 Daños y efectos perjudiciales provocados por el activo a otros
activos, tanto propios como ajenos a la organización.
7 Daños medioambientales causados por el activo.
8 Daños a otras personas causadas por el activo.

Ejemplo: Pérdida de percepción de confianza
Fuente: Grupo de Facebook ”Facultad de Contadur´ıa y Administración (FCA-UNAM)”.

Tipos de valoraci´on de activos
Auditoria de seguridad inform´atica

Dimensiones de valoración de los activos
1 Disponibilidad
• ¿Cuál ser´ıa la importancia del activo si no estuviera disponible?
2 Integridad
• ¿Qué importancia tendr´ıa que el activo sufriera modificaciones?
3 Confidencialidad
• ¿Cuál ser´ıa la importancia del conocimiento del activo por
usuarios no autorizados?
4 Autenticidad
• ¿Cuál ser´ıa la importancia del acceso al activo por parte de
personas no autorizadas?
5 Trazabilidad
• ¿Cuál ser´ıa la importancia de la falta de constancia de la
utilización del activo?

Introducción
1 Análisis Cualitativo de Riesgos
• Utiliza elementos de la organización como opinión, mejores
prácticas, intuición, experiencia, etc. para ponderar el riesgo y
sus componentes.
• Aplicable a todas las situaciones
2 Análisis Cuantitativo de Riesgos
• Asigna valores monetarios (objetivos) a cada componente de la
evaluación de riesgos y a cada potencial pérdida.

Análisis Cualitativo de Riesgos
Definición
Modelo basado en escenarios mas que en cálculos.
• En lugar de asignar el costo exacto respecto de las posibles
pérdidas, en este escenario se ponderan en escala, los riesgos,
costos y efectos de una amenaza en relación del activo.
• Este tipo de procesos, conjuga: juicio, experiencia e intuición.
• Técnicas y Métodos utilizados:
• Lluvia de ideas (Brainstorming), Ténicas Delphi, Cuestionarios,
Listas (Checklist), Entrevistas, . . .

Pasos del Análisis Cualitativo de Riesgos
1 Definición de:
• Niveles de probabilidad de ocurrencia de las amenazas
• Niveles de impacto de las amenazas
• Niveles de riesgo (en función a las anteriores)
2 Clasificación de las amenazas en cuanto a su probabilidad de
ocurrencia e impacto.
3 Estimación del riesgo

Análisis Cuantitativo de Riesgos
Definición
Asigna valores monetarios a cada componente de la evaluación de
riesgos y a cada potencial pérdida.
Pasos:
1 Asignar valores a los activos.
2 Estimar la pérdida potencial por cada amenaza.
3 Analizar las amenazas.
4 Estimar la pérdida anual.

Matriz de evaluaci´on de riesgo

Resultado An´alisis de Riesgos

Ejemplo: Matriz an´alisis de riesgo
Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/

Resultados del An´alisis Cuantitativo de Riesgos?
• Valor de los activos (en dinero).
• Posibles amenazas a los activos.
• Probabilidad de ocurrencia de cada amenaza.
• Posible p´erdida anual por cada amenaza.

Cuantitativo vs Cualitativo (2)

Estimar la pérdida potencial por cada amenaza
• Factor de Exposición (EF): Porcentaje de pérdida que una
amenaza podr´ıa tener sobre un determinado activo.
• Expectativa de Pérdida Individual (SLE): Valor monetario
asociado a un evento determinado. Representa la pérdida
producida por una amenaza determinada en forma individual.

Tasa de Ocurrencia Anual (ARO)
• Tasa de Ocurrencia Anual (ARO): Representa la frecuencia
estimada de ocurrencia de un evento (amenaza), dentro del
periodo de un a˜no.

Estimar la pérdida anual
• Expectativa de Pérdida Anualizada (ALE): Representa la
pérdida anual producida por una amenaza determinada
individual..

C´alculo de expectativa de p´erdida anual (ALE)

Estrategias para tratar los Riesgos
1 Mitigar: Implementar controles para reducir el nivel de riesgo.
2 Aceptar: Se acepta el riesgo en su nivel actual.
3 Transferir: Compartir el riesgo con partes externas.
4 Evitar: Cancelar la actividad que genera el riesgo.

Control o contramedida
Definición
Cualquier tipo de mecanismo que permita identificar, proteger,
detectar, responder o minimizar el riesgo asociado con la
ocurrencia de una amenaza espec´ıfica.
Objetivo:
• Reducir los efectos producidos por las amenazas de seguridad
(threats) y vulnerabilidades (vulnerabilities) a un nivel
tolerable para una organización.
Los controles o contramedidas pueden ser:
• Preventivos / De detección / Correctivos / De respuesta / De
recuperación.
• F´ısicos / Técnicos (Lógicos) / Administrativos

Tratamiento de los Riesgos
Cada organización debe definir y efectuar un proceso de
tratamiento de los riesgos de seguridad para:
• Seleccionar las opciones adecuadas de tratamiento de riesgos
de seguridad de la información teniendo en cuenta los
resultados de la apreciación de riesgos.
• Determinar todos los controles que sean necesarios para
implementar la(s) opción(es) elegida(s) de tratamiento de
riesgos de seguridad de la información.

Familia de controles de acuerdo al NIST
NIST Security and Privacy Controls forInformation Systems and Organizations Enlace .

Familia de controles de acuerdo al ISO 27001
ISO/IEC 27001:2013 Enlace .

Controles T´ecnicos de Seguridad

Plan de Tratamiento de Riesgos

Referencias bibliográficas
Comptia Security+ All-In-One Exam Guide, Fifth Edition
(Exam Sy0-501)
CHICANO Tejada, Ester., Auditor´ıa de seguridad informática.,
2014.

Tema 2: Análisis de Riesgos

Más contenido relacionado

La actualidad más candente

Similar a Tema 2: Análisis de Riesgos

Más de Francisco Medina

Último

Tema 2: Análisis de Riesgos