ANLISIS Y GESTIN DE

RIESGOS EN UN SISTEMA
INFORMTICO.
 ndice

1. Recursos del Sistema

2. Amenazas
3. Vulnerabilidades
4. Incidentes de Seguridad
5. Impactos
6. Riesgos
7. Defensas, Salvaguardas o Medidas de
Seguridad
8. Trasferencia del Riesgo a Terceros
9. Referencias de Inters
 1. Recursos del Sistema
Los recursos son los activos a proteger del sistema informtico de la
organizacin.
Principales recursos a la hora de analizar y gestionar riesgos:
-Recursos de hardware: servicios y estaciones de trabajo, ordenadores porttiles,
impresoras, escneres y otros perifricos.
-Recursos software: sistemas operativos, herramientas ofimticas, software de
gestin, herramientas de programacin, aplicaciones desarrolladas a medida,
etc.
-Elementos de comunicaciones: dispositivos de conectividad (hubs, switches,
routers), armarios con paneles de conexin, cableado, puntos de acceso a la red,
lneas de comunicacin con el exterior, etc.
-Informacin que se almacena, procesa y distribuye a travs del sistema (activo
de naturaleza intangible).
-Locales y oficinas donde se ubican los recursos fsicos y desde los que acceden
al sistema los usuarios finales.
-Personas que utilizan y se benefician directa o indirectamente del
funcionamiento del sistema.
-Imagen y reputacin de la organizacin.
 2. Amenazas

Una Amenaza es cualquier evento accidental o intencionado que pueda

ocasionar algn dao en el sistema informtico, provocando prdidas materiales,
financieras o de otro tipo a la organizacin.

Se puede establecer a la hora de estudiar las amenazas a la

seguridad:
-Amenazas naturales: inundacin, incendio, tormenta, fallo elctrico, explosin,
etc.
-Amenazas de agentes externos: virus informticos, ataques de una organizacin
criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red,
robos, estafas, etc.
-Amenazas de agentes internos: empleados descuidados con una formacin
inadecuada o descontentos, errores en la utilizacin de las herramientas y
recursos del sistema, etc.
 2. Amenazas

Tambin podramos definir una clasificacin alternativa, teniendo en

cuenta el grado de intencionalidad de la amenaza:
-Accidentes: averas del hardware y fallos de software, incendio, inundacin, etc.
-Errores: errores de utilizacin, de explotacin, de ejecucin de determinados
procedimientos, etc.
-Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusin,
etc.

Se puede emplear una escala cuantitativa o cualitativa para definir

distintos niveles para la ocurrencia de una amenaza: Muy Baja, Baja, Media, Alta
y Muy Alta.
 3. Vulnerabilidades

Una vulnerabilidad es cualquier debilidad en el sistema informtico

que puede permitir a las amenazas causarle daos y producir prdidas en la
organizacin.

Se corresponden con fallos en los sistemas fsicos y lgicos, aunque

tambin pueden tener su origen en los defectos de ubicacin , instalacin,
configuracin y mantenimiento de los equipos.

Se suele emplear una escala cuantitativa o cualitativa para definir el

nivel de vulnerabilidad de un determinado equipo o recurso: baja, media y alta.
 4. Incidentes de Seguridad

Una incidente de seguridad es cualquier evento que tenga o pueda

tener como resultado la interrupcin de los servicios suministrados por un sistema
informtico y posibles prdidas fsicas, de activos o financieras. Es decir, se
considera que un incidente es la materializacin de una amenaza.
 5. Impactos
El impacto es la medicin y valoracin del dao que podra producir a
la organizacin un incidente de la seguridad.

Tambin en este caso se puede emplear una escala cuantitativa o

cualitativa para medir el impacto del dao en la organizacin: bajo, moderado y
alto.
 6. Riesgos

El riesgo es la probabilidad
de que una amenaza se materialice
sobre una vulnerabilidad del sistema
informtico, causando un determinado
impacto en la organizacin.

El nivel de riesgo depende del

anlisis previo de vulnerabilidades del
sistema, de las amenazas y del posible
impacto que stas pueden tener en el
funcionamiento de la organizacin.

Se han propuesto distintas

metodologas como CRMM, para la
evaluacin de riesgos en sistemas
informticos.
 6. Riesgos
Ejemplo prctico de evaluacin del nivel de riesgo:

- Activo: servidor de ficheros de la organizacin.

-Amenaza: fallo hardware en un servidor, con una probabilidad de ocurrencia baja.
- Vulnerabilidad del sistema: alta, ya que no se dispone de un servidor alternativo ni
de medidas redundantes (como los discos Raid, etc).
- Impacto: indisponibilidad durante 24 horas del activo afectado, por lo que se
puede considerar como un impacto de nivel alto.
- Nivel de riesgo: se obtiene a partir de las tablas de valoracin que se hayan
adoptado, teniendo en cuenta que la amenaza es baja la vulnerabilidad es alta y
el impacto es alto.

Otras herramientas y metodologas que permiten evaluar el riesgo:

-OCTAVE, metodologa de anlisis y evaluacin de riesgos.

- RiskWatch, software de evaluacin de riesgo que contempla los controles previstos
por la norma ISO 17799.
- COBRA, software de evaluacin de riesgo que tambin contempla los controles
previstos por la norma ISO 17799.
 7. Defensas, Salvaguardas o Medidas
de Seguridad

Una defensa, salvaguarda o medida de seguridad es cualquier medio

empleado para eliminar o reducir un riesgo. Su objetivo es reducir las
vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y el
nivel de impacto en la organizacin.

Una medida de seguridad activa, es cualquier medida utilizada para

anular o reducir el riesgo de una amenaza. A su vez, se pueden clasificarse en
medidas de prevencin y medidas de deteccin.

Una medida de seguridad pasiva es cualquier medida empleada para

reducir el impacto cuando se produzca un incidente de seguridad. Tambin
conocidas como medidas de correccin.
 7. Defensas, Salvaguardas o Medidas
de Seguridad
Se puede distinguir tambin entre defensas fsicas y defensas lgicas:

-Defensas fsicas: medidas que implican el control de acceso fsico a los recursos y
de las condiciones ambientales en que tienen que ser utilizados (temperatura,
humedad, suministro elctrico, interferencias, etc.).
-Defensas lgicas: se encuentran relacionadas con la proteccin conseguida
mediante distintas herramientas y tcnicas informticas (autenticacin de usuarios,
control de acceso a ficheros, encriptacin de los datos sensibles, etc.).
 8. Trasferencia del Riesgo a Terceros
Como alternativa a la implantacin de una serie de medidas de
seguridad, una organizacin tambin podra considerar la transferencia del riesgo a
un tercer, ya sea mediante la contratacin de una pliza de seguros especializada o
bien a travs de la subcontratacin de un proveedor especializado en ofrecer
determinados servicios de seguridad informtica.
Las plizas tradicionales de responsabilidad civil y cobertura de daos
suelen excluir expresamente las prdidas ocasionadas por fallos y ataques
informticos: virus, hackers y crackers, etc. Sin embargo, contemplan la cobertura de
los daos propios de la organizacin derivados de ataques y otros incidentes de
seguridad: prdidas econmicas derivadas de las reparaciones y sustituciones de
equipos y sistemas, daos ocasionados por la interrupcin en el negocio, contratacin
de consultores informticos y legales para mitigar los daos, etc.
Por ltimo, la organizacin tambin podra considerar conveniente recurrir
a una empresa externa especializada para la revisin de la seguridad de los
servicios pblicos que ofrece a travs de Internet: Website, servidor FTP, servidor
DNS.
9. Referencias de Inters