Professional Documents
Culture Documents
ISO/DIS 31000
IEC/DIS 31010
BS 31100
ISO/IEC 27005
ITGI- Risk IT Framework
Basilea II
Octave
NIST SP 800-30
AS/NZ 4360
Magerit
BS 7799-3
Microsoft – SRMG
CRAM
M_o_R
Gestión del Riesgo
•Amenaza
•Vulnerabilidad
•Impacto
•Apetito del Riesgo
•Control
•Respuesta al Riesgo
•Probabilidad
•Riesgo Inherente
•Riesgo Residual
•Valuación
•Clasificación de Activos
•Información Crítica
•Información Sensible
Categorías de Riesgos Operativos
• Riesgo Tecnológico
• Riesgo de administración de proyectos
• Riesgo de actos ilícitos o delictivos
• Riesgo de recursos humanos
• Riesgo de proveedores
• Riesgo de información gerencial
• Riesgo de ética
• Riesgo Geopolítico
• Riesgo Cultural
• Riesgo Climático
Metodologías de Evaluación del Riesgo
Cuantitativo/Objetivo
Cualitativo/Subjetivo
Cuantitativo/Objetivo
•Cálculos complejos
•Estimación de las pérdidas sólo si son valores justificables.
•Difíciles de mantener o modificar
Cualitativo/Subjetivo
Comunicar y Consultar
Monitorear y Revisar
Comunicar y Consultar
Monitorear y Revisar
ESTABLECER EL
CONTEXTO
Establecer el contexto
Monitorear y Revisar
Monitorear y Revisar
DETERMINACION
IDENTIFICACION IDENTIFICACION DETERMINACION VALORACION
DEL ANALISIS DE
DE DE DE DEL
ENTORNO IMPACTO
AMENAZAS VULNERABILIDAD PROBABILIDAD RIESGO
ACTUAL
DETERMINACION
DEL
ENTORNO
ACTUAL
Determinación del Entorno Actual
• Revisión de documentos
IDENTIFICACION
Identificación de Amenazas
DE
AMENAZAS
Resultado
• Inspecciones físicas
Técnicas de Extracción
• Ethical Hacking
Resultado
Resultado
Análisis de Impacto
IMPACTO
Análisis de Impacto
IMPACTO
Análisis de Impacto
IMPACTO
Resultado
VR = V x P x I
- P: Probabilidad
- VR: Valor del Riesgo
- I : Impacto
- V: Vulnerabilidad
IMPACTO
3 6 9
ALTO
2 5 8
MEDIO
1 4 7
BAJO
PROBABILIDAD Matrices de Riesgo
15 30 60
ALTA 3 Zona de Riesgo Moderado Zona de Riesgo Importante Zona de Riesgo Inaceptable
10 20 40
MEDIA 2 Zona de Riesgo Tolerable Zona de Riesgo Moderado Zona de Riesgo Importante
5 10 20
BAJA 1 Zona de Riesgo Aceptable Zona de Riesgo Tolerable Zona de Riesgo Moderado
5 10 20
LEVE MODERADO CATASTROFICO
IMPACTO
PROBABILIDAD Matrices de Riesgo
Casi Cierto
5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100%
Probable
4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80%
Posible
3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60%
Improbable
2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40%
Raro
1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20%
Insignificante Menor Moderada Mayor Catastrófico
1 2 3 4 5
IMPACTO
Matrices de Riesgo
Conceptos
Conceptos (Cont…)
Monitorear y Revisar
Monitorear y Revisar
Riesgo Evaluado y
Priorizado
¿Riesgo SI
Aceptable? Aceptable
Comunicar y Consultar
Monitorear y Revisar
NO
NO SI
¿Riesgo
Aceptable? Aceptable
CONTROLES
Controles Físicos
Controles Técnicos
Los controles deben ser
Controles Administrativos seleccionados basados en
Activos, Información el costo de
de la Organización implementación, el costo
de riesgo reducido y la
pérdida potencial si un
incidente de seguridad
ocurre
Los Controles pueden ser:
– Evitar el riesgo
– Mitigar los riesgos
– Transferir los riesgos
– Retener o Aceptar los riesgos
Tratar los riesgos
(Anexos A,B,C,D)
Tratar los riesgos
• Análisis costo/beneficio
– Planeamiento de contingencia
– Arreglos contractuales
– Condiciones contractuales
– Características de diseño
– Planes de recuperación de desastres
– Planeamiento de control de fraudes
– Minimizar la exposición a fuentes de riesgo
– Planeamiento de cartera
– Política y control de precios
– Separación o reubicación de una actividad y recursos
– Relaciones públicas
– Otros.
Costo de Controles
(Anexo D)
CONTROLES
RIESGO + CONTROLES = IMPLEMENTADOS
EVALUADO APROBADOS
RIESGO RESIDUAL
Monitorear y Revisar
Monitorear y Revisar
Monitorear y Revisar
Monitorear y Revisar
Comunicar y Consultar
Comunicar y Consultar