Proceso de evaluacin de riesgos

El proceso de evaluacin del riesgo que permite a una organizacin estar en

conformidad con los requerimientos del estndar sta presentada en la figura 1. El
proceso consta de seis fases y ayuda a cualquier organizacin a establecer un
SGSI.

Identificacin
tasacin de activos.

Selecin de controles
para reducir el riesgo
a nivel aceptable.

Identificacin
requerimientos
seguridad.

de
de

Selecin de opciones
de
tratamiento
de
riesgos apropiados.

Evaluacin
de
la
posibilidad de que las
amenazas
y
vulnerabilidades
ocurran.

Calculos de los
riesgos de seguridad.

Figura 1: Proceso de evaluacin de riesgos.

A continuacin se describen cada una de las fases del proceso de evaluacin de

riesgos.
Identificacin y tasacin de activos: Un activo es algo que tiene valor o utilidad
para la organizacin, sus operaciones y su continuidad. Los activos necesitan
proteccin para asegurar las correctas operaciones del negocio y la continuidad de
la empresa. La gestin apropiada de los activos es vital para poder mantener una
adecuada proteccin de los activos de la empresa. (Peltier, 2001).
Cada activo debe estar claramente identificado y valorado apropiadamente, y su
propietario y clasificacin de seguridad acordada en la organizacin. El ISO
17799:2005 (Cdigo de Prctica para la Gestin de la Seguridad de Informacin)
clasifica los activos de la siguiente manera:

Activos de informacin
Bases de datos
Archivos de datos
Documentacin del sistema
Manuales de usuario
Materiales de entrenamiento
Procedimientos operativos de apoyo
Planes de continuidad
Documentos impresos
Documentos impresos
Contratos
Lineamientos
Documentos de la compaa
Documentos de negocio
Activos de software
Software de aplicacin
Software de sistemas
Herramientas de desarrollo
Activos fsicos
Equipos de comunicacin y computacin
Medios magnticos
Otros equipos tcnicos
Personas
Personal
Clientes
Suscriptores
Imagen y reputacin de la compaa
Servicios
Servicios de computacin y comunicacin
Otros servicios

La tasacin de activos, basados en las necesidades del negocio de una

organizacin, es un factor importante en la evaluacin del riesgo. Para poder
encontrar la proteccin apropiada para los activos, es necesario evaluar su valor
en trminos de su importancia para el negocio. Para poder tasar los valores de
los activos y poder relacionarlos apropiadamente, una escala de valor para activos
debe ser aplicada. (Alberts, Dorofee, 2003).

Identificacin de requerimientos de seguridad: Los requerimientos de

seguridad en cualquier organizacin, grande o pequea, son derivados de tres
fuentes esenciales y debieran de documentarse en un SGSI.

El conjunto nico de amenazas y vulnerabilidades que pudieran ocasionar

prdidas significativas en la empresa si ocurrieran.

Los requerimientos contractuales que deben

organizacin.
El conjunto nico de principios, objetivos y requerimientos para el

satisfacerse

por

la

procesamiento de informacin que una organizacin ha desarrollado para

apoyar las operaciones del negocio y sus procesos.
Una vez que estos requerimientos de seguridad han sido identificados, es
recomendable formularlos en trminos de requerimientos de confidencialidad,
integridad y disponibilidad.
Identificacin de amenazas y vulnerabilidades: Los activos estn sujetos a
muchos tipos de amenazas. Una amenaza tiene el potencial de causar un
incidente no deseado, el cual puede generar dao al sistema, la organizacin y a
los activos. El dao puede ocurrir por un ataque directo o indirecto a la informacin
organizacional. Las amenazas pueden originarse de fuentes accidentales o de
manera deliberada. Una amenaza para poder causar dao al activo, tendra que
explotar la vulnerabilidad del sistema, aplicacin o servicio.
Las vulnerabilidades son debilidades asociadas con los activos organizacionales.
Las debilidades pueden ser explotadas por la amenaza, causando incidentes no
deseados, que pudieran terminar causando prdidas, dao o deterioro a los
activos. La vulnerabilidad como tal, no causa dao, es simplemente una condicin
o conjunto de condiciones que pueden permitir que una amenaza afecte a un
activo. Una evaluacin de la posibilidad de ocurrencia de las vulnerabilidades y las
amenazas, debe ser efectuada en esta fase.

Clculo de los riesgos de seguridad: El objetivo de la evaluacin del riesgo es

la de identificar y evaluar los riesgos. Los riesgos son calculados de una
combinacin de valores de activos y niveles de requerimientos de seguridad.
La evaluacin de riesgos envuelve la sistemtica consideracin de los siguientes
aspectos:

Consecuencias.- El dao al negocio como resultado de un incumplimiento

de seguridad de informacin considerando las potenciales consecuencias
de prdidas o fallas de confidencialidad, integridad y disponibilidad de

informacin.
Probabilidad.- La real posibilidad de que tal incumplimiento ocurra a la luz
del reinado de amenazas, vulnerabilidades y controles.

Es importante hacer hincapi que no existe una manera buena o mala de

calcular los riesgos, en la medida que los conceptos descritos en las fases
anteriores se combinen en una manera sensata. Es menester de la firma
identificar un mtodo para la evaluacin del riesgo que sea adecuada a los
requerimientos de seguridad del negocio.
Seleccin de opciones apropiadas de tratamiento del riesgo: Cuando los
riesgos han sido identificados y evaluados, la prxima tarea para la organizacin
es identificar y evaluar la accin ms apropiada de cmo tratar los riesgos. La
decisin debe ser tomada basada en los activos involucrados y sus impactos en el
negocio. Otro aspecto importante a considerar es el nivel de riesgo aceptable que
ha sido identificado siguiendo la seleccin de la metodologa apropiada de
evaluacin.
El estndar ISO 27001:2005, requiere que la organizacin en relacin al
tratamiento del riesgo siga cuatro posibles acciones:

Aplicacin de apropiados controles para reducir los riesgos. Los controles

tienen que ser identificados en el anexo A. Si los controles no pueden ser
hallados en el anexo A, la firma puede crearlos y documentarlos.

Aceptar objetivamente los riesgos partiendo del supuesto que satisfacen la

poltica de la organizacin y su criterio para la aceptacin del riesgo.

Evitar los riesgos
Transferir el riesgo asociado a otras partes.

La organizacin por cada uno de los riesgos, debe evaluar estas opciones para
identificar la ms adecuada. Los resultados de esta actividad deben ser
documentados y luego la firma debe documentar su plan de tratamiento del
riesgo.
Hay dos opciones en la identificacin y evaluacin del riesgo que requieren mayor
explicacin. Las alternativas son: evitar el riesgo y transferencia del riesgo.

Evitar el riesgo. Describe cualquier accin donde los activos son

transferidos de las reas riesgosas. Cuando se evala la posibilidad de
evitar el riesgo esto debe sopesarse entre las necesidades de la empresa

y las monetarias.
Transferencia del riesgo. Esta opcin puede ser vista como la mejor si es
imposible reducir los niveles del riesgo. Existen muchas alternativas a
considerar en relacin a la estrategia de transferencia del riesgo. La
transferencia del riesgo podra alcanzarse tomndose una pliza de seguro.
Otra posibilidad podra ser la utilizacin de servicios de outsourcing para
que se manejen activos y procesos crticos. La responsabilidad por los
servicios tercerizados siempre recae en la empresa. Eso jams se delega.

Seleccin de controles para reducir los riesgos a un nivel aceptable: Para

reducir el riesgo evaluado dentro del alcance del SGSI considerado, controles de
seguridad apropiados y justificados deben ser identificados y seleccionados. Estos
controles deben ser seleccionados del anexo A del ISO 27001:2005. El estndar
presenta 11 clusulas, 39 objetivos de control y 133 controles especficos. Es muy
importante estar claros sobre el rol del ISO 17799:2005. La organizacin puede

utilizar el ISO 17799:2005 como gua para la implementacin de los controles,

pero deben ser escogidos del ISO 27001:2005.
La seleccin de los controles debe ser sustentada por los resultados de la
evaluacin del riesgo. Las vulnerabilidades con las amenazas asociadas indican
donde la proteccin pudiera ser requerida y que forma debe tener. Especialmente
para propsitos de certificacin, las relaciones con la evaluacin del riesgo deben
ser documentadas para justificar la seleccin de los controles.
Cuando se seleccionan controles para la implementacin, un nmero de factores
deben ser considerados, incluyendo:

Uso de controles
Transparencia del usuario
Ayuda otorgada a los usuarios para desempear su funcin
Relativa fuerza de los controles
Tipos de funciones desempeadas.

En trminos generales, un control podr satisfacer ms de una de estas funciones

y lo ms que pueda satisfacer mejor.

Anlisis de riesgos y medidas de seguridad

La primera pregunta a la hora de disear y planificar la seguridad en un sistema
informtico es la de analizar los riesgos. Este anlisis trata de responder
preguntas como: qu quiero proteger?, quin podra entrar en mi sistema? Y
cmo? Sabiendo a que peligros nos enfrentamos y qu es lo que tenemos que
proteger podremos mejorar la seguridad de nuestro sistema informtico. Por lo

tanto no slo hay que identificar los elementos tangibles: ordenadores, ficheros de
datos, documentos, etc., sino tambin los intangibles: aspectos legales, imagen y
reputacin de la empresa
Tambin hay que identificar los posibles riesgos: virus informticos, intrusos en la
red (hackers), empleados malintencionados, prdidas de backups, robos de
equipos (por ejemplo porttiles), fallos en el software, una catstrofe natural
(terremotos, inundaciones), etc. De este tipo de riesgos hay que analizar cul es la
probabilidad de que ocurran. Por ejemplo, en determinadas zonas es probable que
ocurran inundaciones, lo cual puede provocar que los ordenadores se inunden y
no estn disponibles, e incluso se pierda informacin vital en la empresa.
Tipos de riesgos
Cules son los posibles ataques que puede sufrir un sistema informtico? Si
sabemos cules son los ataques podremos poner medidas de seguridad para
evitarlos. En este punto voy a enumerar los tipos de ataques ms comunes que
puede sufrir un sistema informtico y para los cuales existen, como veremos en
los puntos siguientes, medidas bastante efectivas.
Virus: es quiz el ms conocido de los riesgos, y el que ms difusin meditica ha
tenido. Un virus es un software que se propaga por la red y que cuando "infecta" a
un equipo puede producirle daos catastrficos (borrando la informacin del disco
duro infectado). El objetivo de un virus suele ser la simple destruccin del equipo
infectado. Con la difusin de Internet en los ltimos aos los virus se han
convertido en una plaga. Los virus pueden entrar por medio del navegador, del
correo electrnico, en fichero bajados de red, etc.
Hackers: el objetivo de un hacker es entrar en la red informtica de una entidad.
Lo que haga dentro ya depende del tipo de hacker: hay hackers que simplemente
lo hacen por diversin: entran y dejan un rastro para indicar que han conseguido
entrar, los hay maliciosos cuyo objetivo es sacar provecho de haber entrado: como
por ejemplo hacer transferencias, modificar notas de exmenes, obtener

documentos privados, etc. Estos ltimos, evidentemente, suponen un grave

peligro para cualquier empresa.

Ataques masivos: recientemente se ha producido una forma de ataque que puede

provocar la cada de un sistema informtico o que quede inutilizado. Una forma
simple de bloquear un servidor web es que mucha gente se conecte
continuamente a este servidor con lo que se produce una especie de atasco y el
sistema aparece bloqueado (a esta situacin se suele denominar denegacin de
servicio). Esto ha ocurrido recientemente en caso de protestas masivas contra
entidades o personas (por ejemplo, en las pginas web de distintos ministerios y
partidos polticos por protestas por el hundimiento del Prestige y la guerra de Iraq).
Evidentemente, en estos casos, el problema no es muy grave ya que en cuanto
acaba la protesta el servicio se restablece. Esto sera muy grave, en el caso de
que este bloqueo se produjese en equipos que ofrecen servicios vitales para el
desarrollo de la empresa, como servicios Bancarios, venta por Internet, etc.
Medidas de seguridad
Como se ha comentado antes, los riesgos no pueden ser totalmente eliminados,
sino que pueden ser reducidos. Por ello, la seguridad en un sistema informtico
tiene que basarse en objetivos realistas y plantearse como un clsico estudio de
coste/beneficio. Por tanto, las medidas de seguridad a implementar tendrn que
ser consecuentes con los anlisis realizados. Las posibles medidas a establecer
se pueden clasificar en

Proteccin fsica: Guardias de seguridad, recintos vigilados, sistemas antiincendios (de nada vale poner medidas de seguridad informtica si
cualquier persona puede entrar en un recinto y robar un ordenador vital de

la empresa).
Medidas informticas: son los sistemas y soluciones informticas que
aumenta la seguridad de los sistemas informticos. Estos incluyen el cifrado
de la informacin, cortafuegos, antivirus, detectores de intrusos, etc.

Medidas organizativas: cursos de formacin sobre seguridad, auditoras

informticas, etc. El personal de una empresa tiene que ser consciente de
que la seguridad empieza en los empleados.

Criptografa y autentificacin
Como elementos indispensables para implementar un sistema seguro est la
criptografa y los mecanismos de autentificacin. La criptografa es una disciplina
muy antigua cuyo objeto es la de ocultar la informacin a personas no deseadas.
La base de la criptografa ha sido el cifrado de textos, aunque se ha desarrollado
ampliamente desde la aparicin de los primeros ordenadores (Ver [3] para una
pequea historia de la criptografa).
Criptografa
El cifrado es el proceso por el que un texto es transformado en otro texto cifrado
usando una funcin matemtica (tambin denominado algoritmo de encriptacin) y
una clave. El descifrado es el proceso inverso. El objetivo de la criptografa se
puede resumir en asegurar la [5]:

Confidencialidad: El mensaje no puede ser ledo por personas no

autorizadas.
Integridad: el mensaje no puede ser alterado sin autorizacin.
Autentificacin: Se puede verificar que el mensaje ha sido enviado por una

persona, y recibido por otra.

No repudio: Significa que despus de haber enviado un mensaje, no se
puede negar que el mensaje no es tuyo.

El cifrado es necesario entre otras funciones para:

Proteger la informacin almacenada en un ordenador

Proteger la informacin transmitida desde un ordenador a otro.
Asegurar la integridad de un fichero.

Figura 2: Cifrado y descifrado de un mensaje.

Paso 8: Seleccionar un enfoque de mitigacin.- Este paso consiste en determinar

las opciones de tratamiento de riesgos en base a los resultados del anlisis, es decir
utilizando los valores de impacto y de probabilidad calculados en los pasos
anteriores. En la siguiente tabla se muestra una matriz de riesgos que

permite visualizar los riesgos a tratar con base a la probabilidad y al

puntaje de riesgo.

Criterio de
evaluacin
Reputacin y confianza del
cliente
Financiero
Productividad
Seguridad y salud
Multas y penas legales

Probabilidad
Alta
Media
Baja

Priorida
d

Valor de rea de
impacto

Puntuaci
n

5
4
3
2
1

Alto (3)
Medio(2)
Medio(2)
Medio(2)
Alto(3)

15
8
6
4
3

Puntaje total

36

Matriz de riesgos relativos

Puntaje de riesgos
De 31 a 45
De 16 a 30
Grupo 1
Grupo 2
Grupo 2
Grupo 2
Grupo 3
Grupo 3

Dnde:
Grupo 1= Mitigar
Grupo 2= Mitigar o aplazar (Postergar)
Grupo 3= Aplazar o aceptar (Transferir)
Grupo 4= Aceptar

De 0 a 15
Grupo 2
Grupo 3
Grupo 4