Riesgos

Prévia do material em texto

Gestión de Riesgos
ESP. ING. CARLOS MENDOZA
2
Introducción
✓ La gestión de riesgos es el proceso de identificar 
potenciales riesgos, evaluar el impacto de esos riesgos 
y planificar como actuar en caso de que esos riesgos se 
conviertan en realidad.
✓ Es muy importante que todas las organizaciones, sin 
importar su tamaño o industria, desarrollen un programa 
de gestión de riesgos.
3
Conceptos generales
No hay riesgos de seguridad.
Solo hay riesgos de negocios.
Steve Katz
4
Conceptos generales
✓ El riesgo de Seguridad de la Información está 
asociado con el potencial de que las amenazas 
exploten las vulnerabilidades de un activo de 
información o grupo de activos de información y, por 
lo tanto, causen daños a una organización.
5
Conceptos generales
✓ Amenaza: Causa potencial de un incidente no 
deseado, que puede provocar daños a un sistema o 
a la organización.
6
Conceptos generales
✓ Ejemplos Amenazas
7
Conceptos generales
✓ Vulnerabilidad: debilidad propia de un sistema que 
permite ser atacado y recibir un daño. 
Ejemplos:
▪ Fallas en el código fuente de una aplicación
▪ Falta de actualizaciones de seguridad
▪ Fallas en la validación de las entradas
▪ Algoritmos de encriptación débiles
▪ Falta de una política de contraseñas fuertes
▪ Configuraciones de fabrica
▪ Poca concientización de los usuarios
8
Amenazas y Vulnerabilidades: Ejemplo
Amenaza
Un atacante podría instalar un 
malware para robar 
información.
Vulnerabilidad
Una computadora no tiene 
antivirus o no tiene las firmas 
actualizadas.
9
Conceptos generales
✓ Probabilidad: posibilidad de 
que algo suceda. Frecuencia de 
que ocurra algo
✓ Impacto: El costo para la empresa de un 
incidente -de la escala que sea-, que 
puede o no ser medido en términos 
estrictamente financieros -p.ej., pérdida 
de reputación, implicaciones legales, etc-.
10
Paso a Paso
11
Riesgo 
Riesgo = Probabilidad de que una amenaza
se materialice por la existencia de una 
vulnerabilidad. 
Es la probabilidad de que una amenaza
impacte sobre una vulnerabilidad y genere 
un impacto negativo (daño) para ese activo 
de la información.
12
Cálculo del Riesgo
Riesgo = Probabilidad x Impacto
(Vulnerabilidad x Amenaza) x Impacto
13
Clasificación de Impacto
14
Repasando
15
Conceptos generales
16
Metodologías y Frameworks
17
Gestión del Riesgo
18
Objetivo
Riesgo = Probabilidad x Impacto
¿Por qué?
Reduce el impacto de los incidentes
¿Como?
Reduciendo la probabilidad de incidentes
Meta: administrar el riesgo
19
Ciclo de Gestión del Riesgo
20
Evaluación de Riesgos - Ejemplo
Servidor WEB
AMENAZA: ATAQUE DE MALWARE
VULNERABILIDAD: EL SOFTWARE ESTA 
DESACTUALIZADO. 
PROBABILIDAD: MUY BAJA, YA QUE LA 
VULNERABILIDAD NO PUEDE SER EXPLOTADA DE 
MANERA REMOTA, SINO QUE SOLO SE PUEDE HACER 
LOCALMENTE.
IMPACTO: SI SE MATERIALIZA, NOS PARALIZA LA 
OPERACIÓN DURANTE UN MES.
21
Ciclo de Gestión del Riesgo
22
Proceso de Evaluación y Gestión de Riesgos
1. Identificar los riesgos que podrían comprometer la seguridad 
de la información de la organización.
2. Analizar la severidad de los riesgos evaluando la 
probabilidad y el impacto
3. Evaluar si el riesgo está en un nivel aceptable
4. Priorizar los riesgos
5. Decidir cómo responder a cada riesgo:
1. Mitigarlo
2. Aceptarlo
3. Transferirlo
4. Evitarlo
6. Monitorear los riesgos.
23
Proceso de Gestión de Riesgos según ISO 27005
24
Proceso de Gestión de Riesgos según ISO 27005
25
Identificación del riesgo
Realizada para conocer y 
determinar los posibles 
eventos con potencial para 
causar pérdidas, y hacer el 
levantamiento de cómo 
esto puede suceder. 
26
Identificación del riesgo
27
Identificación de activos
Un activo es algo de valor tangible o intangible que vale la pena proteger. 
Ejemplos de activos que se encuentran comúnmente en las organizaciones 
incluyen:
• Información
• Reputación
• Marca
• Propiedad intelectual
• Comodidades
• Equipo
• Efectivo e inversiones
• Listas de clientes
• Investigación
• Personas
• Servicio/proceso comercial
28
Identificación de activos
Dos tipos de activos pueden ser identificados: 
Activos primarios: son procesos y actividades de negocios, así como la 
información relacionada. 
Los activos primarios pueden ser:
▪ Procesos o subprocesos y actividades de negocio.
▪ La información primaria puede incluir: 
▪ Información vital para el ejercicio de las actividades de la 
organización; 
▪ Información de carácter personal, como las definidas en las leyes 
nacionales sobre la privacidad. 
Activos de soporte e infraestructura.
29
Identificación de las amenazas
Un escenario de riesgo es una 
descripción de un evento posible cuya 
ocurrencia tendrá un impacto incierto en el 
logro de los objetivos de la empresa
30
Identificación de las amenazas
ISO 27005, Anexo C
31
Identificación de las amenazas
• Métodos basados en la evidencia, como la revisión de eventos históricos, 
tales como:
o Informes de auditoría o incidentes 
o Medios públicos (por ejemplo, periódicos, televisión, etc.) 
o Informes anuales y comunicados de prensa 
• Enfoques sistemáticos (opinión de expertos) en los que un equipo de 
riesgo examina y cuestiona un proceso de negocio de manera sistemática 
para determinar los posibles puntos de falla, tales como:
o Evaluaciones de vulnerabilidad
o Revisión de los planes de continuidad del negocio y recuperación ante 
desastres
o Entrevistas y talleres con directivos, empleados, clientes, proveedores y 
auditores 
• Métodos inductivos (análisis teórico), donde un equipo examina un 
proceso para determinar el posible punto de ataque o compromiso, como 
las pruebas de penetración.
32
Identificación de los controles existentes
¿Qué es un control?
El control es cualquier procedimiento administrativo, físico u operacional 
capaz de tratar los riesgos de la ocurrencia de un incidente de 
seguridad.
En esta etapa vamos a identificar en el ambiente del alcance los 
controles los controles existentes ya desplegados y en uso.
Objetivos de la identificación de controles: 
• Evitar costos y reprocesos con duplicación de controles. 
• Asegurar que los controles existentes están funcionando de manera 
correcta y tratando el riesgo de forma deseada.
33
Identificación de los controles existentes
Actividades de la identificación de controles: 
• Reuniones con los responsables por la seguridad de la información. 
• Entrevistas con los usuarios para identificación de los controles 
existentes
• Analizar de manera crítica la documentación sobre los controles 
existentes. 
• Realizar cuestionarios y listas de verificación. 
• Hacer inspecciones físicas, visitas y observaciones en los locales.
• Identificar de los controles implementados y planificados.
• Listar todos los controles existentes y planeados, para visualizar 
su implementación y status de uso.
34
Identificación de las vulnerabilidades
¿Qué son las vulnerabilidades?
Las vulnerabilidades son debilidades, brechas o agujeros en la 
seguridad que brindan una oportunidad para una amenaza o crean 
consecuencias que pueden afectar a la organización.
35
Identificación de las vulnerabilidades
Durante el desarrollo de la actividad, se deben observar las siguientes 
áreas para la identificación de las vulnerabilidades:
▪ Organización.
▪ Procesos y procedimientos. 
▪ Rutinas de gestión y documentación.
▪ Recursos humanos (incluyendo contratistas y proveedores de servicios). 
▪ Instalaciones físicas y prediales. 
▪ Configuración de los sistemas de información (incluidos los sistemas 
operacionales y aplicaciones). 
▪ Hardware, software y equipos de comunicación.
▪ Dependencias de entidades externas
36
Identificación de las vulnerabilidades
Las vulnerabilidades que pueden identificarse mediante una evaluación 
incluyen:
• Vulnerabilidades de red
• Controles de acceso físicodeficientes (por ejemplo, edificios, oficinas)
• Aplicaciones inseguras
• Servicios web mal diseñados o implementados
• Interrupción de los servicios públicos (por ejemplo, energía, 
telecomunicaciones)
• Cadena de suministro poco confiable
• Personal no capacitado (RH)
• Procesos ineficientes (por ejemplo, control de cambios, manejo de 
incidentes)
• Equipamiento obsoleto
37
Identificación de las vulnerabilidades
➢ Entrada: listas de amenazas conocidas, las listas de los 
activos y de los controles existentes.
➢ Acción: actividad de identificación de las vulnerabilidades que 
podrían ser explotadas por amenazas con la posibilidad de 
poner en peligro los activos.
➢ Salida: una lista de las vulnerabilidades en relación a los 
activos, amenazas y controles; Una lista de las 
vulnerabilidades que no se relacionaron con ninguna amenaza 
identificada para revisión.
38
Vulnerabilidades
▪ Mitre: https://cve.mitre.org/
▪ NIST: https://nvd.nist.gov/
▪ OWASP: https://owasp.org/Top10/es/
▪ INCIBE: https://www.incibe-cert.es/alerta-temprana/vulnerabilidades
▪ CIRT-BA: https://bacsirt.buenosaires.gob.ar/?u=alertas-ciudadanas
https://cve.mitre.org/
https://nvd.nist.gov/
https://owasp.org/Top10/es/
https://www.incibe-cert.es/alerta-temprana/vulnerabilidades
https://bacsirt.buenosaires.gob.ar/?u=alertas-ciudadanas
39
Identificación de las vulnerabilidades
ISO 27005, Anexo D
40
Identificación de las consecuencias​
Se entiende por consecuencias el resultado de un incidente o evento que 
puede tener un impacto en los objetivos de la organización. En esta parte 
del análisis del riesgo, una consecuencia puede ser, por ejemplo:
• La pérdida de eficacia en el funcionamiento operacional de los 
sistemas;
• La inestabilidad en el funcionamiento de sistemas;
• Pérdida de la oportunidad de negocios;
• Imagen y reputación afectadas;
• Violación de obligaciones reglamentarias;
• Pérdidas financieras;
• La pérdida de datos e información;
41
Identificación de las consecuencias​
➢ Entrada: lista de escenarios de incidentes relevantes identificados, incluyendo 
identificación de las amenazas, vulnerabilidades, activos afectados, 
consecuencias sobre los activos y procesos de negocio.
➢ Acción: se recomienda evaluar el impacto sobre el negocio de la organización 
que pudiera resultar en incidentes posibles o reales de la seguridad de la 
información, tales como perdida de la confidencialidad, integridad o 
disponibilidad.
➢ Salida: lista de las consecuencias evaluadas en un escenario de incidente 
expresadas con respecto a los activos y criterios de impacto.
42
Estimación del riesgo
En la etapa de estimación del riesgo, se 
realiza una evaluación inicial y cualitativa de 
los riesgos potenciales. El objetivo principal es 
identificar y comprender los riesgos antes de 
asignar valores numéricos a ellos. En esta 
etapa, se consideran aspectos como la 
probabilidad de que ocurra un evento y la 
gravedad del impacto en caso de que ocurra. 
Las estimaciones se realizan de manera 
subjetiva y no se utilizan valores numéricos 
precisos.
43
Estimación del Riesgo
Análisis de Riesgo Cuantitativo
Es un método para el análisis de riesgos en el que se asignan
valores numéricos tanto al impacto como a la probabilidad en
función de las probabilidades estadísticas y la valoración
monetaria de la pérdida o ganancia.
44
Estimación de Riesgos
Análisis de Riesgo Cuantitativo
Es un método para el análisis de riesgos en el que se asignan
valores numéricos tanto al impacto como a la probabilidad en
función de las probabilidades estadísticas y la valoración
monetaria de la pérdida o ganancia.
45
Estimación de Riesgos
Análisis 
Cualitativo de 
Riesgos
Es un método 
para el análisis de 
riesgo que se 
basa en la 
asignación de un 
descriptor como 
bajo, medio o alto. 
46
Estimación de Riesgos - Ejemplo
AMENAZA: ATAQUE DE MALWARE
PROBABILIDAD: MEDIA
IMPACTO PARA EL NEGOCIO: ALTO
47
Estimación de Riesgos - Ejemplo
AMENAZA: ATAQUE DE MALWARE
PROBABILIDAD: MEDIA
IMPACTO PARA EL NEGOCIO: ALTO
Buscamos la fila Probabilidad Media y la 
columna Impacto Alto. 
En la intersección, el resultado es Alto.
48
Tratamiento del riesgo
El objetivo de esta etapa 
es seleccionar los 
controles que permitan 
aceptar, mitigar, evitar o 
transferir los riesgos 
identificados junto con 
un plan de acción para 
implementarlos.
49
Tratamiento del riesgo
50
Tratamiento del Riesgo
Mitigar
Reducir la probabilidad o 
impacto de un riesgo
Evitar
Eliminar la causa del riesgo
Aceptar
Reducir la probabilidad o 
impacto de un riesgo
Transferir
Que un tercero tome la 
responsabilidad por el riesgo
Amenazas
51
Tratamiento del Riesgo
52
Tratamiento del riesgo / MITIGAR
PREVENTIVOS
Implementado para detener 
una actividad no autorizada 
antes que la misma ocurra.
DISUASIVOS
Desalientan una violación 
de seguridad.
DETECTIVOS
Implementado para 
descubrir una actividad 
no autorizada.
CORRECTIVOS
Implementado para 
restaurar un sistema a su 
funcionamiento normal.
COMPENSATORIOS
Brindan alternativas a 
otros tipos de controles.
Tipo de Controles
53
Tratamiento del riesgo / MITIGAR
Métodos de implementación
Control 
Administrativo
Involucra el uso de 
políticas y 
procedimientos.
Control técnico
Involucra un proceso 
por software o 
hardware.
Control Físico
Implementación de 
barreras físicas
o disuasivos visuales
54
Tratamiento del riesgo / MITIGAR
MATRIZ DE CONTROLES
Administrativo Técnico Físico
Compensatorio Separación de 
roles
Autenticación de 2 
Factores
Operaciones de 
doble control
Correctivo Quitar los accesos Copias de 
seguridad
Rociadores de 
agua
Detéctivo Auditoría IDS – Sistema de 
detección de 
intrusos
Sensor de 
movimiento
Disuasorio Política de 
Disciplina
Banner de alerta Cartel “Cuidado 
con el perro”
Preventivo Proceso de 
registro del 
usuario
Pantalla de login Barrera
55
Tratamiento del riesgo
Análisis costo-beneficio
El análisis de costo-beneficio se utiliza para justificar el gasto asociado con la implementación de 
controles. El gasto en un control no puede justificarse si el beneficio obtenido del control es menor que 
el costo.
Hay varios factores que se deben incluir en el cálculo del costo total del control:
•Costo de adquisición
•Evaluación de soluciones
•Costo del control
•Costo de la formación
•Costo de rediseñar los sistemas
•Costo continuo de mantenimiento
•Costos de licencia
•Costo de personal para monitorear e informar sobre el control
•Impacto en la productividad/rendimiento
•Costo de soporte y asistencia técnica
•Costo para quitar/reemplazar el control
56
Costo – Beneficio 
57
Aceptación del Riesgo
En esta fase, la dirección de la organización 
analizará cuidadosamente
el plan de tratamiento del riesgo preparado 
por el equipo, definiendo en
documento formal los riesgos que se 
aceptarán. La decisión depende
de los gestores de la organización, dado que 
los criterios de decisión
son complejos e implican las estrategias de 
negocio de la organización.
58
Comunicación del Riesgo
La comunicación se realiza entre el equipo involucrado y las partes 
interesadas en las decisiones del proceso de análisis del riesgo, 
siendo una actividad crítica para el éxito de los trabajos.
Resumen:
• Entrada: Toda la información sobre los riesgos y actividades 
desarrolladas.
• Acción: intercambiar y/o compartir esta información entre el 
equipo, el tomador de decisión y las partes interesadas.
• Salida: comprensión continúa del proceso de gestión del riesgo 
y de los resultados obtenidos.
59
Comunicación del Riesgo
La comunicación y la consulta del riesgo 
es una fase que se desarrolla a
lo largo del proceso de análisis del riesgo, 
desde la primera actividad del
equipo de análisis del riesgo. 
Se trata de un intercambio interactivo, 
documentado formalmente, continúo e 
intencional, de información,conocimientos 
y percepciones sobre cómo se deben 
gestionar los riesgos.
60
Riesgo monitoreo e informes​
Es importante monitorear e informar 
continuamente sobre los riesgos y 
controles de TI a las partes interesadas 
para garantizar la eficiencia y eficacia de 
la estrategia de gestión de riesgos de 
ciberseguridad y su alineación con los 
objetivos del negocio.
61
Beneficios de la gestión de riesgos 1/2
• Mejor supervisión de los activos de la organización 
• Pérdida reducida o minimizada 
• Identificación de amenazas, vulnerabilidades y 
consecuencias de forma proactiva 
• Priorización de los esfuerzos de respuesta al riesgo 
para que coincidan con los objetivos y prioridades 
de la organización 
• Una base y un enfoque más holísticos para el 
cumplimiento legal y normativo 
• Mayor probabilidad de éxito en los proyectos 
62
Beneficios de la gestión de riesgos 2/2
• Creación de una cultura consciente del riesgo con 
menos dependencia de especialistas 
• Mejor gestión de incidentes y continuidad del 
negocio 
• Controles mejorados con mejor supervisión e 
informes 
• Mejora de la toma de decisiones como resultado de 
un mayor acceso a información precisa y oportuna 
• Una mayor capacidad para cumplir con los objetivos 
de negocio y crear valor 
63
Links interesantes
Resumen de Gestión de Riesgos
https://youtu.be/ENyydJAsQZk?si=oo2N564kHzsSnLtw
Análisis Cualitativo y Cuantitativo del Riesgo
https://youtu.be/evQpfqPx_TI?si=LZf3VtgVp9ErF6uC
Modelado de amenazas
https://www.youtube.com/live/7jB5OS6mepU?si=2T-SEcVi4mHQlLpP
https://youtu.be/evQpfqPx_TI?si=LZf3VtgVp9ErF6uC
https://www.youtube.com/live/7jB5OS6mepU?si=2T-SEcVi4mHQlLpP
	Diapositiva 1: Gestión de Riesgos
	Diapositiva 2
	Diapositiva 3
	Diapositiva 4
	Diapositiva 5
	Diapositiva 6
	Diapositiva 7
	Diapositiva 8
	Diapositiva 9
	Diapositiva 10
	Diapositiva 11
	Diapositiva 12
	Diapositiva 13
	Diapositiva 14
	Diapositiva 15
	Diapositiva 16
	Diapositiva 17
	Diapositiva 18
	Diapositiva 19
	Diapositiva 20
	Diapositiva 21
	Diapositiva 22
	Diapositiva 23
	Diapositiva 24
	Diapositiva 25
	Diapositiva 26
	Diapositiva 27
	Diapositiva 28
	Diapositiva 29
	Diapositiva 30
	Diapositiva 31
	Diapositiva 32
	Diapositiva 33
	Diapositiva 34
	Diapositiva 35
	Diapositiva 36
	Diapositiva 37
	Diapositiva 38
	Diapositiva 39
	Diapositiva 40
	Diapositiva 41
	Diapositiva 42
	Diapositiva 43
	Diapositiva 44
	Diapositiva 45
	Diapositiva 46
	Diapositiva 47
	Diapositiva 48
	Diapositiva 49
	Diapositiva 50
	Diapositiva 51
	Diapositiva 52
	Diapositiva 53
	Diapositiva 54
	Diapositiva 55
	Diapositiva 56
	Diapositiva 57
	Diapositiva 58
	Diapositiva 59
	Diapositiva 60
	Diapositiva 61
	Diapositiva 62
	Diapositiva 63