Escolar Documentos
Profissional Documentos
Cultura Documentos
INTRODUCCIN ........................................................................ 4
CONCEPTOS .............................................................................. 5
2.1 Activo, amenaza, vulnerabilidad, impacto y probabilidad ......................... 5
2.2 Cmo se mide el nivel de riesgo?............................................................. 6
2.3 Qu hacer con los riesgos? ...................................................................... 8
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
Comunicacin .................................................................................. 17
4.2.2
4.2.3
4.2.4
Pgina 2 de 28
4.2.5
REFERENCIAS .......................................................................... 26
Pgina 3 de 28
INTRODUCCIN
La gestin de riesgos est presente, con mayor o menor protagonismo, en distintos mbitos
de la sociedad y la empresa. Son algunos ejemplos la gestin de riesgos:
laborales
alimentarios
bancarios, financieros
corporativos, de proyectos
medioambientales
de seguridad de la informacin.
Un hecho comn a todos ellos, es que los responsables son conscientes de la existencia de
amenazas que suponen un peligro para la consecucin de sus objetivos. Dedican esfuerzos
y recursos a mantener estos riesgos por debajo de un lmite previamente consensuado en
sus organizaciones.
Para maximizar los beneficios de dicha gestin y contar con garantas de xito, los esfuerzos
han de ser empleados de forma metdica, estructurada y, sobre todo, siguiendo un proceso
de evaluacin y mejora continua. Las organizaciones se encuentran en un entorno en
cambio constante. Los logros obtenidos ante las amenazas de hoy no suponen ninguna
garanta de xito para las amenazas de maana.
En esta gua se introducen los conceptos y procesos comunes a toda actividad de gestin
de riesgos. La gua mostrar la aplicacin de estos conceptos y procesos a la seguridad de
la informacin.
La gua se estructura en los siguientes apartados:
Gestin de riesgos: actividades para llevar a cabo una gestin de riesgos as como
los diferentes roles y responsabilidades.
Pgina 4 de 28
Conceptos
Amenaza: circunstancia desfavorable que puede ocurrir y que cuando sucede tiene
consecuencias negativas sobre los activos provocando su indisponibilidad,
funcionamiento incorrecto o prdida de valor.
o En la evolucin de las normas este concepto se amplia para denominarse
suceso.
Pgina 5 de 28
El impacto, y por tanto el riesgo, se valoran en trminos del coste derivado del valor de los
activos afectados considerando, adems de los daos producidos en el propio activo:
daos personales
prdidas financieras
Pgina 6 de 28
El punto en el que el coste de proteccin es el adecuado para mantener los riesgos por
debajo del umbral fijado de riesgo es el coste de equilibrio. Este punto depender del
umbral de riesgo de acuerdo con los objetivos de la empresa.
Pgina 7 de 28
Anlisis de riesgo: que consiste en averiguar el nivel de riesgo que la empresa est
soportando. Para ello, tradicionalmente las metodologas proponen que se realice
un inventario de activos, se determinen las amenazas, las probabilidades de que
ocurran y los posibles impactos.
Tratamiento de los riesgos: para aquellos riesgos cuyo nivel est por encima del
umbral deseado la empresa debe decidir cul es el mejor tratamiento que permita
disminuirlos. Esta decisin siempre ha de pasar un filtro econmico donde el coste
del tratamiento, o coste de proteccin, no supere el coste de riesgo disminuido.
Para el tratamiento de riesgos las empresas cuentan, entre otras, con las siguientes
opciones:
Evitar o eliminar el riesgo: por ejemplo sustituyendo el activo por otro que no se
vea afectado por la amenaza o eliminando la actividad que lo produce.
Reducirlo o mitigarlo: tomando las medidas oportunas para que el nivel de riesgo
se site por debajo del umbral. Para conseguirlo se puede:
o reducir la probabilidad o frecuencia de ocurrencia: tomando, por ejemplo,
medidas preventivas
o reducir el impacto de la amenaza o acotar el impacto, estableciendo por
ejemplo controles y revisando el funcionamiento de las medidas
preventivas.
Aceptarlo: se asume el riesgo, bien porque est debajo del umbral aceptable de
riesgo bien en situaciones en las que los costes de su tratamiento son elevados y
aun siendo riesgos de impacto alto su probabilidad de ocurrencia es baja o porque
aun a pesar del riesgo la empresa no quiere dejar de aprovechar la oportunidad que
para su negocio supone esa actividad arriesgada.
Pgina 8 de 28
ISO / IEC 27005: 2008 (E) [11] norma que aporta directrices para la gestin de
riesgos de seguridad de la informacin.
Pgina 9 de 28
En este apartado se describe el proceso y las actividades necesarios para llevar a cabo la
gestin de riesgos de acuerdo a la norma ISO 31000:2009 [2].
3.1 Principios
Estos son los principios bsicos que debe cumplir la gestin de riesgos si queremos que
cumpla su cometido:
adaptarse, alinendose con el contexto interno y externo y con los perfiles del
riesgo
Pgina 10 de 28
definir la integracin en los procesos de negocio como plan estratgico para que
sea relevante, eficaz y eficiente
calendario y estrategia de
3.2.1
recursos disponibles
Pgina 11 de 28
los criterios que se emplearn para la evaluacin de los riesgos, el mtodo a utilizar
en el establecimiento de probabilidades, as como las magnitudes de los impactos
Pgina 12 de 28
Qu puede pasar?
Cundo y dnde?
Anlisis del riesgos es la etapa en la cual se califican cada uno de los riesgos
identificados tanto de forma cuantitativa (valorando su impacto) como cualitativa
(importancia relativa) para priorizar nuestros esfuerzos de forma no arbitraria. En
esta actividad tambin se persigue comprender cmo se desarrollan los riesgos,
estudiando sus causas y consecuencias, as como evaluando la eficacia de los
diferentes medios de control implantados en la empresa.
o Se mide el nivel de riesgo segn la frmula Riesgo = Impacto x Probabilidad,
valorando las consecuencias y la probabilidad de cada riesgo.
Pgina 13 de 28
cambios del entorno est incluida en esta etapa, realimentando la fase de determinacin
del contexto.
Pgina 14 de 28
4.1 Conceptos
En trminos de gestin de riesgos de seguridad de la informacin, el activo a proteger es
la informacin de la compaa. Hablamos tanto de informacin digital contenida en
nuestros sistemas de informacin como aquella contenida en cualquier otro soporte como
por ejemplo el papel. Tambin tenemos que tener presente que la gestin debe ocuparse
de todo el ciclo de vida de la informacin y no slo de su explotacin, considerando etapas
como la de captura o destruccin de la informacin.
La informacin es el activo principal pero tambin debemos considerar: infraestructura
informtica, equipos auxiliares, redes de comunicaciones, instalaciones y personas.
Cuando hablamos de seguridad de la informacin hablamos de protegerla de riesgos que
puedan afectar a una o varias de sus tres principales propiedades:
Pgina 15 de 28
Las amenazas a las que se enfrenta la informacin de nuestras organizaciones pueden ser
muy variadas, a modo de ejemplo:
Las vulnerabilidades frente a las cuales se debe proteger a los sistemas de informacin y a
la informacin que tratan, dependen en gran medida de la naturaleza de los mismos;
podemos decir que es un factor intrnseco a nuestros activos. Estas pueden depender del
hardware, del software, las redes, el personal, el edificio o las infraestructuras o la
organizacin. Algunos ejemplos son:
Gran parte de estos factores son difciles o muy caros de erradicar y las organizaciones
tienen que convivir con ellos tomando medidas que reduzcan el impacto de sus amenazas.
Pgina 16 de 28
comunicacin
revisin y monitorizacin.
Se recomienda la lectura del siguiente contenido del
portal:
4.2.1 Comunicacin
Durante todo el proceso las acciones de comunicacin se sucedern para mantener
informada a la direccin y a la plantilla. Igualmente se recibir informacin de los procesos
y los interesados. Con estas acciones se consigue difundir la informacin necesaria para
conseguir el consenso de los responsables y los afectados por las decisiones que se tomen.
Estas acciones de comunicacin son importantes para:
Pgina 17 de 28
evaluacin de riesgos
o cules son los activos de informacin crticos
o la importancia de los mismos en cuanto a disponibilidad, integridad y
confidencialidad
o el valor estratgico de los procesos de informacin del negocio
Por ltimo se define el mbito y los lmites de esta gestin, es decir a qu parte de la
organizacin afecta, que procesos, que oficinas o que parte de la estructura.
4.2.3 Valorando los riesgos de seguridad de la informacin
Esta es la fase central de la gestin de riesgos. Consta a su vez de:
identificacin
anlisis
evaluacin.
primarios:
o informacin: estratgica, de carcter personal o que est sujeta a legislacin
que la proteja, esencial para el desarrollo del negocio, de difcil o muy
costosa reposicin, etc.
Pgina 18 de 28
de soporte:
o hardware: PC, porttiles, servidores, impresoras, discos, documentos en
papel
o software: sistemas operativos, paquetes, aplicaciones,
o redes: conmutadores, cableado, puntos de acceso,
o personal: usuarios, desarrolladores, responsables,
o edificios, salas, y sus servicios
o estructura organizativa: responsables, reas, contratistas,
Despus de tener una relacin con todos los activos se han de conocer las amenazas que
pueden causar daos en la informacin, los procesos y los soportes. La identificacin de
las amenazas y la valoracin de los daos que pueden producir se puede obtener
preguntando a los propietarios de los activos, usuarios, expertos, etc. En el apartado
anterior se mencionan algunos ejemplos.
Para valorar los daos estas son algunas de las preguntas:
Pgina 19 de 28
inspeccin fsica
Para cada una de las amenazas analizaremos las vulnerabilidades que puede explotar. La
norma ISO 27005 [11] incluye un anexo con ejemplos de vulnerabilidades y amenazas que
puede servir de apoyo en esta tarea.
Finalmente se han de concretar las consecuencias, es decir, cmo estas amenazas y
vulnerabilidades afectan a la disponibilidad, integridad y confidencialidad de los activos de
informacin.
prdidas financieras
daos personales
Pgina 20 de 28
Descripcin
Prdidas
financieras
Prdida del
activo(s)
Interrupcin
del servicio
Reputacin e
imagen
Disminucin de
rendimiento
Catastrfico
> 6 % del
presupuesto
Total
Alta y muy
extendida
> 50 % de variacin
en los indicadores
Desastroso
6% del
Presupuesto
Muy gran
impacto
De una semana
a un mes
Media y muy
extendida
25 - 50 % variacin
en los indicadores
Serio
2% del
presupuesto
Gran impacto
De un da a una
semana
Media y poco
extendida
10 - 25% variacin
en los indicadores
Menor
1% del
presupuesto
Impacto menor
da o 1 da
Baja y muy
extendida
5 - 10 % variacin en
los indicadores
Insignificante
Baja y poco
extendida
Hasta el 5% variacin
en los indicadores
La estimacin puede realizarse con distinta profundidad o nivel de detalle. Los mtodos
para realizarla incluyen estimaciones cualitativas y cuantitativas o una combinacin de
ambas. Suele realizarse una estimacin cualitativa inicial para identificar los riesgos que
precisan una estimacin cuantitativa.
En la estimacin cualitativa se califican las potenciales consecuencias y la probabilidad
segn niveles (alto, medio, bajo) subjetivos. En la cuantitativa se utiliza una escala con
valores numricos, apoyndose en datos de distintas fuentes por ejemplo incidentes del
pasado, experiencia previa, estudios, etc.
Pgina 21 de 28
motivaciones de los posibles atacantes (atractivo de los datos que se manejan, clima
laboral,)
vulnerabilidades existentes
10
15
20
25
Muy probable
12
16
20
Posible
12
15
Improbable
10
Muy improbable
Probabilidad
Impacto
Insignificante
Menor
Serio
Desastroso
Catastrfico
Este tipo de tablas tambin servir para estimar qu tratamiento dar a cada riesgo. Por
ejemplo los riesgos en la zona roja seran inaceptables pero los de la zona blanca podemos
elegir soportarlos. Estos criterios nos ayudarn en la fase siguiente.
4.2.4 Tratando y aceptando riesgos de seguridad de la informacin
Como resultado de la etapa anterior tendremos una lista ordenada de riesgos o una tabla
como la del ejemplo con su posicin. Ahora debemos elegir qu hacer con cada uno de
ellos en virtud de su valoracin y de los criterios establecidos. Es decir, tendremos que
situar la lnea roja de nuestro umbral o nivel de tolerancia al riesgo.
En esta fase se seleccionarn la opcin de tratamiento adecuada (evitar, reducir o mitigar,
transferir o aceptar) para cada uno de los riesgos de la lista. Para elegir las opciones, o una
combinacin de ellas, se considerar no slo la valoracin obtenida para cada riesgo sino
tambin el coste del tratamiento. Por ejemplo ser mejor evitar algn riesgo que mitigarlo
si el coste es muy alto. Se preferirn las opciones que aporten una reduccin considerable
del riesgo de la forma ms econmica. El nivel de tolerancia de riesgo se establece en base
a criterios de coste-beneficio.
Gestin de riesgos. Una gua de aproximacin para el empresario
Pgina 22 de 28
COSTE-BENEFICIO
TRATAMIENTO
cambiar el entorno
Pgina 23 de 28
nuevas amenazas
Pgina 24 de 28
Pgina 25 de 28
Referencias
Pgina 26 de 28
[12] INCIBE Protege tu empresa - Blog (2013) Nueva versin ISO/IEC 27001:2013
<https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/nu
eva_version_iso27001> [consulta: 12/05/2015]
Pgina 27 de 28
FIGURAS
Ilustracin 1 Activo, amenaza, vulnerabilidad e impacto ... 6
Ilustracin 2 Clculo del riesgo .. 6
Ilustracin 3 Coste de equilibrio .. 7
Ilustracin 4 Gestin de riesgos 8
Ilustracin 5 Opciones del tratamiento de riesgos .. 9
Ilustracin 6 Proceso de gestin de riesgos (fuente: ISO 31000:2009) .. 12
Ilustracin 7 Dimensiones de la seguridad de la informacin .. 15
TABLAS
Tabla 1: Ejemplo de niveles de clasificacin de los impactos de un incidente .. 21
Tabla 2: Estimacin del producto probabilidad x impacto para evaluar riesgos 22
Tabla 3: Ejemplo criterios para el tratamiento de riesgos .. 23
Pgina 28 de 28