GESTIÓN DE LA

SEGURIDAD DE LA
INFORMACIÓN
Ing. Ana E. Congacha, Ms.C
UNIDAD III:
Sistema de Gestión
de la Seguridad
Análisis y gestión de riesgos
Para tratar de minimizar los efectos de un problema de
seguridad se realiza el denominado: ANALISIS DE RIESGOS.

Término que hace referencia al proceso necesario para

responder 3 cuestiones básicas de seguridad:
1. ¿Qué queremos proteger?
2. ¿Contra quien o que se quiere proteger?
3. ¿Cómo lo vamos a hacer?
El análisis de riesgos constituye una parte clave de la gestión
de riesgos.

Es un proceso que consiste en identificar los peligros que

afectan a la seguridad, determinar su magnitud e identificar las
áreas que necesitan salvaguardas.

La valoración de los riesgos es el resultado del proceso de

análisis.
¿Por qué no analizar sus riesgos?
 Establecer el valor de los datos es algo totalmente relativo, pues la
información constituye un recurso que, en muchos casos, no se valora
adecuadamente debido a su intangibilidad, cosa que no ocurre con
los equipos, la documentación o las aplicaciones.

Además, las medidas de seguridad no influyen en la productividad del

sistema por lo que las organizaciones son reticentes a dedicar
recursos a esta tarea. Por eso es importante entender que los
esfuerzos invertidos en la seguridad son rentables.
Razones para realizar el análisis de riesgos

 Identificar los activos y controles de seguridad

 Gestionar las alertas de los riesgos próximos
 Identificar la necesidad de acciones correctivas
 Proporcionar una guía para los gastos de los recursos
 Relacionar el programa de control con la misión de la organización
 Proporcionar criterios para diseñar y evaluar planes de contingencia y
de continuidad de los negocios
 Mejorar la concienciación global sobre la seguridad a todos los niveles
Gestión de riesgos

La gestión de riesgos es el proceso total de identificar, controlar y

eliminar o minimizar los eventos inciertos que pueden afectar a
nuestra organización.

La gestión de riesgos integra técnicas de análisis de riesgos, análisis

de beneficios, selección de mecanismos, implementación y
verificación-evaluación de la seguridad de las salvaguardas y
revisión de la seguridad global.
Cuánto invertir en seguridad de la información?
Tipos de análisis de riesgos
CUANTITATIVO
• El menos utilizado
• Más difícil de estimar y poco realista
• Se basa en 2 parámetros: probabilidad
de que se produzca un suceso, y una
estimación del coste o de las perdidas.
• EAC: Estimated Annual Cost
• ALE: Annual Loss Expectancy
• Apropiado para grandes instalaciones.
• Referencia: Libro seguridad de la información,
Javier Areitio pag. 56, Tabla 2,1
CUALITATIVO
• Uso muy común en la actualidad.
• Sencillo e intuitivo - cuantitativo
• Se puede medir ciertos parámetros:
• Riesgo de amenaza: escalas elevado,
medio, bajo.
• Gravedad del ataque: 1,2,3
• Daño: vital, crítico, importante, conveniente,
informativo.
• Se utiliza la perdida potencial estimada.
• Metodologías de análisis de riesgos
cualitativas utilizan un conjunto de
elementos interrelacionados como son:
amenazas, vulnerabilidad, controles.
Metodologías de análisis - gestión de riesgos
 ITIL: Information Technology Infraestructure Library “proporciona un planteamiento sistemático para la provisión de servicios de TI con calidad”. (Jan van
Bon, 2008)

 COBIT 5: Significa (Objetivos de control para la información y tecnologías relacionadas) es una metodología publicada en 1996 por el Instituto de Control de
TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información).

 ISO 31000: Esta normativa establece principio y guías para diseñar, implementar mantener la gestión de los riesgos en forma sistemática y de transparencia
de toda forma de riesgo, por ejemplo: financiera, operativa, de mercadeo, de imagen, y de seguridad de información.

 Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de Seguridad dela Información;

 CRAMM: “CCTA Risk Assessment and Management Methodology” fue originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de
Siemens;

 ISO TR 13335: fue el precursor de la ISO/IEC 27005;

 MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible tanto en español como en inglés.

 OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT;

 NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectivaorganizacional”;

 NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, esgratuito;

 Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la Sécurité de l'Information Français);

 AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.
Herramientas de apoyo

 Existen varias herramientas en el mercado

que pueden apoyar la evaluación de los
riesgos.

 Una vez terminado este proceso se debe

documentar toda la información recabada
para su análisis posterior..
 La importancia de un buen análisis y una
buena presentación de los datos analizados
nos llevarán a una efectiva interpretación de
la situación actual de los riesgos y por ende,
la selección de los controles que debemos
implementar será la más acertada, ahorrando
costos en productos y costos de operación
además del ahorro de tiempo.