Jos ngel Pea Ibarra

japi@alintec.net
Metodologas y Normas Metodologas y Normas
para el Anlisis de para el Anlisis de
Riesgos Riesgos
Metodologas y Normas Metodologas y Normas
para el Anlisis de para el Anlisis de
Riesgos: Riesgos:
Cul debo aplicar? Cul debo aplicar?
Jos ngel Pea Ibarra
Vicepresidente Internacional ISACA
japi@alintec.net
Jos ngel Pea Ibarra
japi@alintec.net
1. Fundamentos del Anlisis de
Riesgos
2. OCTAVE
3. MAGERIT
4. ISO 27005
5. Risk IT de ISACA
Contenido
Los productos aqu mencionados pertenecen a sus respectivos propietarios.
La presentacin no tiene fines de lucro, es solo de carcter acadmico, y
representa solamente la opinin del expositor
Jos ngel Pea Ibarra
japi@alintec.net
Jos ngel Pea Ibarra
japi@alintec.net
4
El Riesgo Tecnolgico implica la probabilidad de prdidas
ante fallas de los sistemas de informacin.
Tambin considera la probabilidad de fraudes internos y
externos a travs de los sistemas de informacin.
Involucra al riesgo legal y al riesgo de prdida de
reputacin por fallas en la seguridad y por la no
disponibilidad de los sistemas de informacin.
Riesgo Tecnolgico
Jos ngel Pea Ibarra
japi@alintec.net
Elementos del anlisis de riesgos
Valor de activos
(impacto potencial)
Requisitos de
Seguridad
Riesgos Salvaguardas
Amenazas
Vulnerabilidades
Activos
explota
protege contra incrementa incrementa afecta
satisfecho por tiene indica incrementa
Jos ngel Pea Ibarra
japi@alintec.net
Identificacin y
valuacin de
activos
Evaluacin de
amenazas
Evaluacin de
vulnerabilidad
Evaluacin de
riesgos
Contramedidas
Evaluacin de
control
Riesgos
residuales
Plan de accin
Proceso de anlisis de riesgos
Fuente: IT Governance Institute
Jos ngel Pea Ibarra
japi@alintec.net
La administracin de los riesgos es parte fundamental del
Modelo conceptual de Gobierno de seguridad de TI
Fuente: Information Security Governance, 2nd Edition, ITGI
Jos ngel Pea Ibarra
japi@alintec.net
Fases del Anlisis de riesgos
Identificacin de activos
Todo elemento necesario para mantener las actividades de la
organizacin
Datos, hardware, personal, imagen de la organizacin
Evaluacin de las amenazas
Evento que puede afectar a los activos de la organizacin,
poniendo en peligro su integridad
Las amenazas dependen de
negocio de la organizacin, ubicacin de la organizacin, tipo de
sistema a proteger
Anlisis de riesgos
Jos ngel Pea Ibarra
japi@alintec.net
Fases del Anlisis de riesgos
Evaluacin de las amenazas (continuacin)
Tipos de amenazas
Naturaleza, errores o accidentes, intencionadas (locales o remotas)
Identificar la causa de la amenaza
Identificar el activo afectado por la amenaza
Calcular la probabilidad de que ocurra la amenaza
Resultados
Lista de Amenazas
Activos afectados
Probabilidad de que ocurra
Anlisis de riesgos
Jos ngel Pea Ibarra
japi@alintec.net
C
o
n
s
e
c
u
e
n
c
i
a
S
e
v
e
r
i
d
a
d
Probabilidad
de Ocurrencia
Muy Baja Muy Baja Baja Baja Media Media Alta Alta Muy Alta Muy Alta
Probabilidad y Consecuencia de Probabilidad y Consecuencia de Amenazas Amenazas
Violencia en
Lugar de Trabajo
Fuego
Terrorismo
Inundacin
Falla de
Proveedores
Falla Sistema
Energa
Negligencia o
Desconocimiento
Volumen de
Transacciones
Fallas en eq.
y sist. computo
Falla en
conmutador
Fallas en tele-
comunicaciones
Robo de Activos
Informticos
Vandalismo
Terremotos
Incidentes de
Seguridad
Computacional
Jos ngel Pea Ibarra
japi@alintec.net
Fases del Anlisis de riesgos
Tratamiento del riesgo
Encontrar un equilibrio:
Nivel de seguridad VS Costo de la seguridad
Costo Proteccin VS costo de exposicin
Decisiones
Aceptar el riesgo
Transferir el riesgo
Reducir el riesgo a un nivel aceptable (Seleccionar controles)
Niveles de Riesgo determinan las Decisiones
Los niveles de riesgo se determinan con base en diversos
enfoques.
Anlisis de riesgos
Jos ngel Pea Ibarra
japi@alintec.net
Comparacin de Rango de Riesgo
Objetivo: Asignar un valor de rango a un riesgo en
comparacin con otro, para establecer un criterio o
grupo de criterios para dar prioridad.
Comparacin de Rango de Riesgo
Riesgo A B C D Resultado
Se comparan los riesgos: A es ms importante que B,
se asigna 1;Riesgo A es menos importante que C, se
asigna 0; Riesgo A es igual de importante que Riesgo
D, se asigna .5.
A 1 0 .5 1.5
B 0 0 1 1
C 1 1 .5 2.5
D .5 0 .5 1
Jos ngel Pea Ibarra
japi@alintec.net
Anlisis cuantitativo: Anlisis cuantitativo:
El impacto tiene ms peso que la probabilidad,
por lo que el orden de los factores si altera el
producto. Identificacin de prioridades
6 8 9
3 5 7
1 2 4
Probabilidad
Impacto
1 2
1
2
3
3
Imp. Prob. NR.
1 X 2 = 2
2 X 1 = 3
Mtodo Joan Peib
Jos ngel Pea Ibarra
japi@alintec.net
Notas sobre el Anlisis cuantitativo: Notas sobre el Anlisis cuantitativo:
6 8 9
3 5 7
1 2 4
Probabilidad
Impacto
1 2
1
2
3
3
Imp.x Prob. NRiesgo.
1 X 2 = 2
2 X 1 = 3
IxP=NR
1x1=1
1x2=2
1x3=3
2x1=2
2x2=4
2x3=6
3x1=3
3x2=6
3x3=9
F
a
l
t
a
n

n
i
v
e
l
e
s

d
e

r
i
e
s
g
o

5
,
7

y

8
Mtodo Joan Peib
Jos ngel Pea Ibarra
japi@alintec.net
Metodologas, normas, estndares..
OCTAVE
Carnegie Mellon SEI
MAGERIT 2
ISO 27005
Risk IT de ISACA
27005
MINISTERIO DE
ADMINISTRACIN
PBLICA
Jos ngel Pea Ibarra
japi@alintec.net
OCTAVE (Operationally Critical Threat, Asset and
Vulnerability Evaluation)
Metodologa de Anlisis de Riesgos (seguridad de TI)
Enfocado a que la organizacin sea capaz de:
Dirigir y gestionar sus evaluaciones de riesgos
Tomar decisiones basndose en sus riesgos
Proteger los activos claves de informacin
Comunicar de forma efectiva la informacin clave de seguridad
Coadyuvante en el Aseguramiento de la continuidad del negocio
Definicin del riesgo y amenazas basadas en los activos crticos
Estrategias de proteccin y mitigacin de riesgos basada en
prcticas
Recopilacin de datos en funcin de los objetivos
Base para la mejora de la seguridad
OCTAVE
Jos ngel Pea Ibarra
japi@alintec.net
OCTAVE (Operationally Critical Threat, Asset and
Vulnerability Evaluation)
Beneficios
Identifica los riesgos de la seguridad que pueden impedir la consecucin
del objetivo de la organizacin
Ensea a evaluar los riegos de la seguridad de la informacin
Crea una estrategia de proteccin con el objetivo de reducir los riesgos
de seguridad de la informacin prioritaria
Ayuda a la organizacin cumplir regulaciones de la seguridad de la
informacin.
OCTAVE
Jos ngel Pea Ibarra
japi@alintec.net
OCTAVE (Operationally Critical Threat, Asset and Vulnerability
Evaluation)
Activos
Amenazas
Prcticas actuales
Vulnerabilidades de la
organizacin
Cumplimiento
Riesgos
Estrategia de proteccin
Planes de atenuacin
Vulnerabilidades
Tecnolgicas
Planificacin
Fase 1
Vista de la
Organizacin
Fase 2
Vista
Tecnolgica
Fase 3
Desarrollo del
Plan y de la Estrategia
OCTAVE
Jos ngel Pea Ibarra
japi@alintec.net
MAGERIT:
Metodologa de anlisis y gestin de riesgos de TI
MAGERIT 2
MINISTERIO DE
ADMINISTRACIN
PBLICA
Jos ngel Pea Ibarra
japi@alintec.net
MAGERIT inici con enfoque a las entidades
pblicas en Espaa, pero se recomienda para
todo tipo de organizaciones
Tiene varios documentos:
Mtodo
Ctalogo
Tcnicas
Se cuenta con una herramienta computarizada:
PILAR
MAGERIT
Jos ngel Pea Ibarra
japi@alintec.net
Jos ngel Pea Ibarra
japi@alintec.net
Jos ngel Pea Ibarra
japi@alintec.net
Publicado por ISACA
Jos ngel Pea Ibarra
japi@alintec.net
Fuente: Risk IT publicado
por ISACA / ITGI
Jos ngel Pea Ibarra
japi@alintec.net
Fuente: Risk IT publicado
por ISACA / ITGI
Jos ngel Pea Ibarra
japi@alintec.net
El Framework de Risk IT
Tiene 3 dominios:
Fuente: Risk IT publicado
por ISACA / ITGI
Jos ngel Pea Ibarra
japi@alintec.net
Fuente: Risk IT publicado
por ISACA / ITGI
Jos ngel Pea Ibarra
japi@alintec.net
Fuente: Risk IT publicado
por ISACA / ITGI
Jos ngel Pea Ibarra
japi@alintec.net
Factores de Riesgo
Anlisis de Riesgo
Respuesta
al Riesgo
Fuente: Risk IT publicado
por ISACA / ITGI
Jos ngel Pea Ibarra
japi@alintec.net
Entonces, Qu uso para el anlisis de
riesgos?......
Qu le dar ms valor a mi
organizacin?
Jos ngel Pea Ibarra
japi@alintec.net
Gracias! Gracias!
Jos ngel Pea Ibarra
Vicepresidente Internacional ISACA
japi@alintec.net