Las claves del xito

para la Gestin de Riesgos

de Seguridad de la Informacin
ISO 27005. Identfcar, calcular, controlar y mejorar la efcacia
RIESGOS Y SEGURIDAD
Eventos ISOTools Prximos webinars Contacte con ISOTools
RIESGOS Y SEGURIDAD
Signifca que, en primer lugar es necesario identifcar los riesgos
que afectan a la Organizacin, y en segundo lugar, es necesario
establecer medidas de seguridad para reducir estos riesgos.
Por tanto dentro de la Gestin de riesgos podemos diferenciar
principalmente 2 etapas: Anlisis y Tratamiento.
Para desarrollar todo el proceso de anlisis y tratamiento de los
riesgos, es imprescindible establecer una Metodologa, la cual
defnir los pasos que se tienen que seguir para llevar a cabo la
Gestin de Riesgos.
Actualmente existen muchas metodologas en el mercado pero
todas tienen una serie de puntos en comn, los cuales veremos a
continuacin.
La ISO 27001 establece un Sistema de Gestin de Seguridad
de la Informacin, cuyo elemento ms importante es la Ges-
tin de los Riesgos.
Las claves del xito
para la Gestn de Riesgos
Qu signifca Gestionar Riesgos?
Gestin de
Riesgos
Tratamiento Anlisis
Identfque, calcule, controle y
mejore la efcacia y efciencia
en la Gestn de Riesgos.
RIESGOS Y SEGURIDAD
Eventos ISOTools Prximos webinars Contacte con ISOTools
1. Identifcacin de activos
Podemos considerar como activos: Impreso-
ras, dispositivos de almacenamiento (discos
duros externos, pendrives), aplicaciones, or-
denadores, servidores, personas, etc.)
Todos estos elementos tienen informacin:
Impresora: Hojas que se imprimen
Pendrives: Informacin digital
Aplicaciones: Informacin digital
Servidores: Informacin digital
Empleados: Conocimiento, e informacin
de la Organizacin
No obstante tambin podemos identifcar
como activo elementos que no contienen
informacin, pero que son imprescindibles
para otros activos que s la tienen. Por ejem-
plo: Una consola de aire acondicionado no
contiene informacin, pero su funciona-
miento implica que los servidores, que s
contienen informacin, no se sobrecalienten
y se averen.
Tambin es importante identifcar la depen-
dencia que puede existir entre activos: Una
aplicacin funciona en un servidor, por tan-
to, si el servidor deja de funcionar, la aplica-
cin tambin lo har.
Por ltimo, adems de identifcar los activos,
tambin puede ser necesario y/o interesante
valorarlos con respecto las 3 dimensiones de
seguridad: Confdencialidad, Integridad y Dis-
ponibilidad.
Podemos categorizar los actvos y defnir
diferentes tpos. Ejemplo: Hardware,
Sofware, Personas, Informacin, etc
RIESGOS Y SEGURIDAD
Eventos ISOTools Prximos webinars Contacte con ISOTools
2. Identifcacin de amenazas y vulnerabilidades
Todos los activos de la Organizacin estn expuestos a amena-
zas, y estas son explotadas por vulnerabilidades.
Qu es una amenaza? Cualquier problema que pueda afectar
al negocio: Ingeniera social, catstrofe natural, troyanos, virus,
etc.
Qu es una vulnerabilidad? Situacin que provoca que una
amenaza pueda producirse. Por ejemplo, imaginemos que en
una Organizacin existe poca concienciacin en seguridad de la
informacin, esto (la vulnerabilidad) ocasionar que exista ms
probabilidad de que alguno de sus empleados se descargue un
correo electrnico con un troyano o un virus (amenaza).
Lo recomendable suele ser identifcar amenazas/vulnerabilida-
des por tipo de activo, lo cual nos ahorrar mucho trabajo, ya
que todos los activos que estn bajo el paraguas de una mis-
ma categora podrn compartir amenazas/vulnerabilidades. No
obstante hay que hacer un anlisis por cada activo y comprobar
si las amenazas/vulnerabilidades que le corresponden por su
categora son adecuadas.
Casi todas las metodologas de gestin de riesgos, o al menos
las ms importantes, incluyen un catalogo de amenazas de don-
de se pueden seleccionar las que apliquen a cada activo.
3. Clculo del nivel de riesgo
El clculo del nivel de riesgo se realiza de manera distinta de-
pendiendo de la metodologa que se considere, ya que cada
una utiliza una frmula de clculo distinta (probablemente esto
sea lo que haga ms distinta unas metodologas de otras). No
obstante aqu veremos una frmula sencilla y rpida de enten-
der, basada en 2 parmetros fundamentales en gestin de ries-
gos:
Probabilidad de que una amenaza se materialice.
Impacto en la Organizacin resultante de la materializacin de
una amenaza.
En algunos casos tambin se considerar la valoracin del acti-
vo (basada en las 3 dimensiones: Confdencialidad, Integridad y
Disponibilidad).
Tanto el Impacto como la Probabilidad se pueden medir en va-
lores porcentuales, lo cual nos resultar ms sencillo a la hora
de calcular el nivel de riesgo.
Una situacin de
vulnerabilidad en la
Organizacin favorece
que las amenazas se
materialicen
RIESGOS Y SEGURIDAD
Eventos ISOTools Prximos webinars Contacte con ISOTools
Impacto: Por ejemplo 0% si la amenaza no produce
ningn dao, 50% si el dao es considerable y 100% si
el dao es muy crtico para la Organizacin.
Probabilidad: Por ejemplo 0% si la probabilidad de
que la amenaza se materialice es muy baja, 50% si la
probabilidad es considerable y 100% si la probabilidad
es muy alta.
Al fnal, obtendremos un valor numrico para el riesgo, el
cual representar lo siguiente:
Probabilidad de que una amenaza se materialice e
impacto en la Organizacin en caso de que se mate-
rialice.
El siguiente paso ser determinar si este nivel de ries-
go es aceptable para la Organizacin, es decir, si el nivel
de riesgo detectado est por encima del nivel de riesgo
aceptable.
Qu es el nivel de riesgo aceptable? Es el nivel de riesgo
que establece la Organizacin como permitido, es decir,
si el nivel de riesgo aceptable por ejemplo es medio, ni-
camente supondr un peligro para la Organizacin aque-
llos riesgos que estn por encima: Alto.
Por tanto, si el nivel de riesgo est por encima del acepta-
ble, tendremos que hacer un tratamiento del mismo con
el objetivo de reducirlo (a un nivel aceptable).
4. Establecimiento de controles
Para aquellos riesgos que superen el nivel aceptable ten-
dremos que aplicar controles. Para hacer esta implanta-
cin de controles de manera ordenada, estructurada y
planifcada, estableceremos un Plan de Tratamiento.
El defnir un Plan para la implantacin de los controles
tambin es fundamental, ya que existirn muchos e im-
plantarlos todos puede convertirse en un verdadero caos
si no existe un orden, una estructura y una planifcacin.
El Plan de Tratamiento de Riesgos tiene que contener
una serie de informacin bsica:
Los controles de seguridad
son fundamentales, ya
que sin ellos los riesgos
que estn por encima del
nivel aceptable supondrn
un gran peligro para el
negocio y la Organizacin.
0%
Impacto
Clculo del nivel de riesgo
50% 100%
La amenaza no
produce ningn
dao
La amenaza
produce un dao
considerable
La amenaza
produce un dao
crtco
0%
Probabilidad
50% 100%
Poco probable
que se materialice
la amenaza
Probabilidad
considerable de
que se materialice
Probabilidad muy
alta de que se
materialice
RIESGOS Y SEGURIDAD
Eventos ISOTools Prximos webinars Contacte con ISOTools
Responsable del control: Persona que se responsabili-
za de la correcta implantacin del control
Recursos: Personas, tcnicos, empresas externas o
materiales que se utilizarn para la implantacin del
control
Acciones a llevar a cabo: Acciones que sern necesa-
rias para la implantacin del control
Prioridad: Todos los controles no tienen la misma prio-
ridad, ya que por una parte el nivel de riesgo no ser el
mismo, ni tampoco el valor de cada activo para la Orga-
nizacin. Por tanto es necesario establecer prioridades.
Esta prioridad puede venir determinada por la fecha de
implantacin de cada control.
Despus de implantar todos los controles de seguridad,
tenemos que calcular el riesgo residual.
Qu es el riesgo residual? Es el riesgo que sigue que-
dando despus de implantar los controles de seguridad.
Cuando implantamos los controles reducimos el riesgo,
pero este no dejar de existir, siempre quedar un nivel,
aunque sea mnimo.
Qu ocurre si el nivel de riesgo, reducido por la im-
plantacin de los controles de seguridad, sigue estando
por encima del nivel de riesgo aceptable?
Tendremos que tomar una decisin en cuanto al trata-
miento, y deber quedar formalmente establecido en
nuestra metodologa de anlisis y tratamiento de riesgos.
Esta decisin se puede resumir en las siguientes posibi-
lidades:
Asumir el riesgo: La Organizacin conoce el riesgo y no
puede establecer ms recursos de los ya establecidos
para reducirlo.
Transferirlo a otra parte: Una compaa de seguros,
una compaa externa, etc.
El Plan de Tratamiento
de riesgos se encarga
de implantar de
manera planifcada
los controles que se
aplican a los riesgos
que superan el nivel
aceptable.
RIESGOS Y SEGURIDAD
Eventos ISOTools Prximos webinars Contacte con ISOTools
Metodologas existentes
MAGERIT
Se utiliza mucho en Espaa,
sobre todo en Administra-
ciones Pblicas, ya que fue
desarrollada por el Consejo
Superior de Administracin
Electrnica. Esta metodologa
no es muy conocida a nivel In-
ternacional, aunque su utiliza-
cin puede ser interesante en
cualquier tipo de empresa.
CRAMM
Tuvo su origen en Reino Unido,
ya que fue desarrollada por el
CCTA (Central Computer and
Telecommunications Agency).
Tiene reconocimiento a nivel
Internacional, y su desarrollo
es de los ms simples: Identif-
cacin y valoracin de activos,
valoracin de amenazas y
vulnerabilidades y seleccin de
contramedidas.
OCTAVE
Fue desarrollada por el SEI
(Software Engineering Ins-
titute) en Estados Unidos, y
tambin tiene un gran recono-
cimiento internacional. Tiene
una buena aceptacin a nivel
mundial, aunque las fases que
la componen son un poco
diferentes de las metodologas
habituales, lo cual suele impli-
car mayor difcultad a la hora
de utilizarla.
NIST 800-30
Fue desarrollada por el NIST
(National Institute of Standards
and Technology) en EEUU, y
aunque tiene reconocimiento
Internacional, su uso se limita
sobre todo a EEUU (Adminis-
traciones Pblicas). Aunque se
compone de un mayor nme-
ro de fases que las anteriores
metodologas, es muy intuitiva,
sencilla de utilizar.
ISO 27005
Es una norma ISO Internacio-
nal que no especifca ningn
mtodo de anlisis de riesgo
concreto sino que, contiene
recomendaciones y directrices
generales para la gestin de
riesgos, por tanto, puede utili-
zarse como gua para elaborar
una Metodologa de gestin de
riesgos propia.
ISO 31000
Al igual que la anterior, es una
ISO Internacional que contiene
una serie de buenas prcticas
para gestionar riesgos, aunque
la diferencia con respecto la
ISO 27005, es que esta no apli-
ca solamente a la Seguridad de
la Informacin, sino que aplica
a cualquier tipo de riesgo.
1 2 3
4 5 6
RIESGOS Y SEGURIDAD
Eventos ISOTools Prximos webinars Contacte con ISOTools
Conclusiones
Todos los activos de una Organizacin (sea grande o pequea) estn
expuestos a riesgos, los cuales si no se reducen pueden provocar un
problema importante al negocio. Para reducir estos riesgos podemos
implantar controles utilizando una metodologa de anlisis de riesgos.
Una metodologa de anlisis de riesgos nos ayuda a identifcar activos,
las amenazas/vulnerabilidades que les afectan, y calcular el nivel de
riesgo, el cual tiene que estar por debajo de un nivel aceptable para la
Organizacin.
Si el nivel de riesgo es superior al aceptable, la Organizacin tiene que
implantar controles de seguridad para reducirlo.
Existen muchas metodologas, pero todas tienen el mismo objetivo: cal-
cular el riesgo asociado a los activos de la Organizacin y establecer
medidas para reducirlo.
ISOTools el la Plataforma
Tecnolgica idnea para
facilitar la implementacin
y mantenimiento de su sis-
tema de gestin de Riesgos,
sea cual sea el tamao y tipo
de organizacin.
ISOTools permite la auto-
matizacin del Sistema de
Gestin del Riesgo, para
la deteccin y control de
amenazas de las organizacio-
nes, mejorando la efcacia y
efciencia en la gestin, redu-
ciendo riesgos y controlando
incidencias.
Todo ello, gracias a una
herramienta de fcil uso y
amigable que permite la ges-
tin y distribucin prctica
de tareas y responsabilida-
des con sistema de avisos y
alarmas escalable.
La Plataforma
Tecnolgica
ISOTools le ayuda
a automatzar
la Gestn de
Riesgos
ISOTools Excellence
www.isotools.org