Análisis de Riesgos en Sistemas

Informáticos

“Análisis de Riesgos”

Integrantes:
Fredy Recalde -- Ing. Sistemas CEDENAR
Francisco Solarte -- Ing. IUCESMAG
 Análisis de Riesgos

Agenda

• Introducción
• Definiciones
• Metodología
• Ejemplo
 Análisis de Riesgos

Introducción:
En el “Análisis de Riesgo”, nuestro criterio común
nos ha llevado, ha identificar los activos más críticos
y sus potenciales de riesgo, primando para ello
tanto la integridad , confiabilidad y disponibilidad
(Triada de la seguridad).
 Análisis de Riesgos
Definiciones
Análisis de Riesgos
Identificar, analizar, y administrar las fuentes de riesgos antes de que
empiecen ha amenazar el funcionamiento continuo y confiable de los
sistemas de información

Requiere identificar previamente los activos de la organización, para

poder así cuantificar , o cualificar, los riesgos para cada activo o tipo de
activo , además del valor del activo en sí y el impacto potencial de
incidentes de seguridad en la Organización.
 Análisis de Riesgos
Introducción al análisis y gestión de riesgos
Seguridad es la capacidad de las redes o de los sistemas de información para
resistir, con un determinado nivel de confianza, los accidentes o acciones
ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad

El objetivo a proteger es la misión de la Organización, teniendo en cuenta las

diferentes dimensiones de la seguridad:

Disponibilidad: La carencia de disponibilidad supone una interrupción del servicio.

Integridad: Mantenimiento de las características de completitud y corrección de los
datos. La integridad afecta directamente al correcto desempeño de los
procesos.
Confidencialidad: Información llegue solamente a las personas autorizadas.
Pueden darse fugas y filtraciones de información, así como accesos no
autorizados.
Autenticidad (de quién hace uso de los datos o servicios):
Contra la autenticidad se dan suplantaciones y engaños que buscan realizar
un fraude.
 Análisis de Riesgos
Introducción al análisis y gestión de riesgos
Riesgo:
estimación del grado de exposición a que una amenaza se materialice sobre
uno o más activos causando daños o perjuicios a la Organización.
El riesgo indica lo que le podría pasar a los activos si no se protegieran
adecuadamente.

Análisis de riesgos:
proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una Organización. Sabiendo lo que podría pasar, hay que tomar
decisiones:

Gestión de riesgos:
Selección e implantación de salvaguardas para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados.
 Análisis de Riesgos
Introducción al análisis y gestión de riesgos en su
contexto
Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que se
encajan en la actividad continua de gestión de la seguridad.
El análisis de riesgos permite determinar:
 Cómo es?
 Cuánto vale?
 Cómo de protegidos se encuentran los activos.
Permitirá elaborar un plan de seguridad que, implantado y operado, satisfaga los
objetivos propuestos.
Implantar los controles de seguridad requiere una organización gestionada y la
participación informada de todo el personal que trabaja con el sistema de
información.
Monitorización en general del sistema para determinar si satisface con eficacia y
eficiencia los objetivos propuestos.
 Análisis de Riesgos
Introducción al análisis y gestión de riesgos en su
contexto

CONTROLES

ACTIVOS AMENAZAS

CONTROLES
 Análisis de Riesgos
Introducción al análisis y gestión de riesgos en su
contexto
OBJETIVOS
ANALISIS DE RIESGOS
ESTRATEGIA Y POLITICAS

ORGANIZACION
PLANIFICACION

CONCIENCIACION
IMPLEMENTACION DE
Y
CONTRAMEDIDAS
FORMACION

IMPLEMENTACION DE INCIDENCIAS Y RECUPERACION

CONTRAMEDIDAS
 Análisis de Riesgos
Elementos

Activos Elementos del sistema de información.

Amenazas Cosas que le pueden causar a los activos.

Seguridades Contramedidas, elementos de defenza para

proteger a los activos.

Impacto lo que podría pasar.

Riesgo lo que probablemente pase.

 Análisis de Riesgos
Análisis  Método

Con unos pasos generales:

1. Determinar activos importante, interrelación el valor del costo.

2. Determinar a que amenazas están expuestas los activos.
3. Determinar que contramedidas hay dispuestas y que eficaces son.
4. Estimar impacto como el daño sobre los activos cuando la amenaza se
materialice.
5. Estimar el riesgo, que será el impacto esperado de la materialización
de la amenaza.
 Análisis de Riesgos
Definiciones
Activos
Aquellos componentes de la organización (tangibles e intangibles) que
son parte del patrimonio de la misma y necesitan ser resguardados.

Se pueden así estructurar en 5 categorías :

1. El entorno del Sistema de Información
2. El Sistema de Información
3. La propia Información.
4. Las Funcionalidades de la Organización
5. Otros Activos
 Análisis de Riesgos
Definiciones
Activos
La falla de un Activo de una categoría puede generar cadenas de fallas
en otras categorías.
Así por ejemplo, fallas en Activos del Entorno (1) provocarían otras
fallas en el Sistema de Información (2); éstos inciden en fallas de la
Información (3), que soporta las Funcionalidades de la Organización (4)
y ésas condicionan los otros Activos (5).

Una frase común a la cual se suele recurrir es que "Una cadena se

rompe por el eslabón más débil" lo mismo ocurre en materia de
seguridad no importa que la seguridad para un activo sea alta si para
otro esta es débil.
 Análisis de Riesgos
Definiciones
Amenazas
Se definen como "los Eventos que pueden desencadenar un Incidente
en la Organización, produciendo daños materiales o pérdidas
inmateriales en sus Activos".

Las Amenazas se pueden materializar y transformarse en agresiones.

 Análisis de Riesgos

 Ejemplos de amenazas:

- Errores
- Daño intencional / ataque
- Fraude
- Robo
- Falla de equipo / software
- Desastres naturales
 Análisis de Riesgos
Definiciones
Vulnerabilidades
Se define como la "ocurrencia real de materialización de una Amenaza
sobre un Activo", la Vulnerabilidad es una propiedad de la relación entre
un Activo y una Amenaza.

Hace sistemas más propensos de ser atacado por una amenaza o hace
que un ataque tenga una mayor probabilidad de tener éxito.
Análisis de Riesgos

 Ejemplos de Vulnerabilidades: Factores de riesgo que causan las

amenazas

- Falta de conocimientos del usuario

- Falta de funcionalidad de la seguridad
- Configuración inadecuada de los cortafuegos
- Elección ineficiente de contraseñas
- Tecnología no probada
- Transmisión por comunicaciones no protegidas
- Inexistencia de sistema contra incendios
 Análisis de Riesgos
Definiciones
Impacto
Se define como "daño producido a la organización por un posible
incidente" y es el resultado de la Agresión sobre el Activo.

El Impacto puede ser cuantitativo(si representa Pérdidas cuantitativas

monetarias directas o indirectas); cualitativo con pérdidas orgánicas
(por ejemplo,daño de personas); y cualitativo con pérdidas funcionales
Análisis de Riesgos

 Ejemplos de impacto en una organización: pérdida (directa o indirecta)

- Pérdida directa de dinero

- Sanción por violación de la legislación
- Pérdida de imagen / reputación
- Poner en peligro al personal o a los clientes
- Violación de confianza
- Pérdida de oportunidad del negocio
- Reducción de la eficiencia / desempeño operativo
- Interrupción de la actividad del negocio
 Análisis de Riesgos
Definiciones
Riesgo
Se ha definido como la "Posibilidad de que se produzca un impacto
dado en la organización".

Su importancia como resultado de todo el Análisis organizado sobre los

elementos anteriores (activos, amenazas, vulnerabilidades e impactos)
queda velada por su apariencia como Indicador resultante de la
combinación de la Vulnerabilidad y el Impacto que procede de la
Amenaza actuante sobre el Activo
 Análisis de Riesgos
 Ejemplos de Riesgos:

-Infección por virus

-Pérdida parcial o total de información
-Daño en los servidores
-Denegación del servicio
-Riego de incendios naturales / no naturales
-Descargas eléctricas
-Acceso al personal no perteneciente a la empresa.
Análisis de Riesgos

 Definiciones
 Salvaguardas o Controles: por salvaguarda se define todo control
(política, procedimiento, norma, proceso o mecanismo) que contribuye
a:
- Reducir las vulnerabilidades de los activos
- Reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades
- Reducir el impacto provocado en el negocio por la materialización de amenazas
 ¿Cómo se miden?
- Costo de adquisición
- Dificultad de implantación
Análisis de Riesgos

 ¿Cómo se clasifican? Las salvaguardas / controles / o

contramedidas se pueden clasificar en:

- Proactivas o Preventivas, cuando contribuyen a prevenir que se materialicen los

riesgos, protegen los activos antes de que estos sufran ataques o agresiones.

- Detectivas, Cuando contribuyen a reducir o evitar el impacto al proteger a los

activos en el momento en que sufren ataques o agresiones.

- Reactivas, curativas o correctivas, cuando contribuyen a eliminar o reducir el

impacto negativo de la materialización de una amenaza.
Análisis de Riesgos

 Ejemplos de controles o salvaguardas

- Preventivos:
Política de seguridad
Formación del usuario
Control de acceso
Segregación de funciones

- Detectivos:
Registros de logs, sistemas integrados de auditoría
Sistemas de detección de intrusos (IDS)

- Preventivos:
Copias de respaldo (back-ups)
Plan de contingencias y continuidad del negocio
Análisis de Riesgos
Análisis de Riesgos
 Análisis de Riesgos
Metodología
Las técnicas de valoración del riesgo se basan en la identificación del mismo y en la
asignación de un valor cualitativo y cuantitativo, para su ponderación respectiva

A continuación se expone una metodología que se propone para un CISSP

(Certified Information Systems Security Professional), que es avalado por la ISC2
(International Information Systems Security Certifications Consortium, Inc.)
 Análisis de Riesgos
Metodología
Metodología Cualitativa

Sus métricas son subjetivas, asignadas por el analista basándose en su

conocimiento y criterio.
Trabaja sobre la base de diferentes escenarios de riesgo y entrega un ranking de la
severidad de las amenazas y la sensibilidad de los activos.

Una técnica para tomar decisiones en grupo es la Técnica Delphi. Esta consiste en
agrupar a expertos en un tema, todos entregan sus sugerencias de manera
anónima, luego estas son agrupadas y enviadas a c/u de los expertos para que den
sus opiniones. El ciclo se repite hasta que se consigue un consenso entre todas las
sugerencias.
 Análisis de Riesgos
Metodología
Metodología Cualitativa

Amenaza : Severidad de Probabilidad Potencial Efectividad Efectividad IDS

Hacker accede a la amenaza ocurrencia pérdida Firewall
inf. Conf.

Grte. TI 4 2 4 4 3

Usuario 3 2 4 3 3

DBA 4 4 4 3 4

Ing. Sist. 3 4 3 4 2

Programador 2 3 3 4 2

Resultados 3,2 3,0 4,4 3,6 2,8

 Análisis de Riesgos
Metodología
Metodología Cuantitativa

•Sus métricas se basan en fórmulas complejas que asignan valores porcentuales o

económicos.
•Intenta asignar valores al costo de las medidas de control, a las pérdidas cuando
se concreta un amenaza y a la probabilidad de ocurrencia de una amenaza.
•Brindan la base para que se puedan realizar proyecciones presupuestarias que
ayuden a prevenir las amenazas.

Algunas fórmulas : SLE y ALE

 Análisis de Riesgos
Metodología
Metodología Cuantitativa

• Perdida de una única Ocurrencia (SLE)

Para determinar la pérdida económica (impacto) por cada ocurrencia de un evento

en particular (desastre o falla) :

Single Loss Expectancy = (Asset Value) x (Exposure Factor)

Nota : El factor de exposición (Exposure Factor), corresponde al porcentaje de daño que causaría, sobre el valor del activo, la
concreción de la amenaza (qué tan expuesto está el activo frente a un evento).
 Análisis de Riesgos
Metodología
Metodología Cuantitativa

• Cálculos de Pérdidas Anuales Esperadas (ALE)

Para determinar la pérdida económica (impacto) por cada ocurrencia de un evento

en particular (desastre o falla) :

Anualized Loss Expectancy = SLE x (ARO)

Nota : ARO (Anualized Rate of Ocurrence ), probabilidad que una amenaza se concrete en un año.
 Análisis de Riesgos
Metodología
Metodología Cuantitativa

Activo Riesgo Valor SLE ARO ALE

Activo
Información Robo M$ 100.000 M$ 0,75 M$
Confidencial 80.000 60.000
(EF = 0,8)

Servidor Falla M$ M$ 0,5 M$

10.000 10.000 5.000
(EF = 1,0)

Datos Virus M$ M$ 0,8 584

1.000 730
(EF = 0,73)
Análisis de Riesgos

INTERNET

IDS
vlan 2

vlan 2

vlan 2

servidores
Niveles de madurez de la seguridad
Análisis de Riesgos

 Un análisis de riesgos es un procedimiento de ayuda a la decisión. Sus

resultados constituyen una guía para que la organización pueda tomar
decisiones sobre si es necesario implantar nuevos mecanismos de
seguridad y qué controles o procesos de seguridad serán los más
adecuados.
 Una vez conocidos los riesgos, la organización puede decidir que medidas
tomar dependiendo de una serie de factores ( costos de implementación e
implantación de controles que reduzcan los riesgos vs. Costos derivados de
las consecuencias de la materialización de estos riesgos):
Análisis de Riesgos

 Mitigar el riesgo: mediante la implantación y mantenimiento de controles de

seguridad que minimicen estos riesgos y los mantengan en un nivel
aceptable.
 Asumir: Ciertos riesgos a los que está expuesta la organización ya que las
consecuencias acarrean un costo económico y estratégico menor que el
costo que sería necesario aportar para reducir dichos riesgos.
 Transferir: estos riesgos a un prestador de servicios especializado o
mediante la contratación de un seguro o póliza para esta clase de riesgos.
 Análisis de riesgos

 El nivel de riesgo al que esta sometida una organización nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos
que es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza
que se puede considerar suficiente (nivel de riesgo aceptable)
Análisis de Riesgos
 Determinación impacto
Análisis de Riesgos
 Determinación de la frecuencia
Análisis de Riesgos
Análisis de Riesgos
Gestión de riesgos

 Gestión de riesgos
Objetivo: reducir las posibilidades de que un evento cause un
impacto en los activos.
Una vez analizado el riesgo es preciso gestionarlo:
- Se acepta el riesgo
- Se mitiga mediante la implantación de salvaguardas / controles,
si las implanto ¿Cuánto cuestan?, ¿son efectivas en costos?
- Se transfiere:
A un proveedor de servicios
Mediante una póliza de cobertura electronica
Gestión de riesgos
 Tareas Centrales de la gestión

- Establecimiento de una política de gestión de riesgos:

existencia de controles internos.

- Formación y financiación de un equipo de análisis de riesgos:

Organización de tareas
Adiestramiento en el uso de un software de gestión de riesgos

- Establecimiento de metodologías y herramientas

Diversos enfoques de gestión de riesgos
Básico: según normas estándar o experiencias en el
sector
Informal: Basado en la propia experiencia
Detallado: Basado en metodologías y herramientas formales
Gestión de riesgos

- Identificación y medición del riesgo:

Sensibilización de la dirección general
Comprensión y aceptación del nivel de riesgo
Tamaño del proyecto y posibles limitaciones
- Selección de salvaguardas / controles
Reducción del riesgo luego de implantar las salvaguardas
Salvaguardas / controles
- Informe final
- Reevaluaciones periódicas
PREGUNTAS