Documento: Metodología Gestión de Riesgos Versión 1 · 2018-11-02 · tratamiento de los riesgos e implementación de controles efectivos. Para este propósito nos apoyaremos en

Documento: Metodología Gestión de Riesgos

MetodologíadeanálisisderiesgosegúnISO27005:2018eISO31000:2018

2018

Versión1.0


Tabladecontenido1 INTRODUCCION _____________________________________________________________________3

2 METODOLOGÍAPARALAGESTIÓNDERIESGOSSEGÚNISO31000:2018_________________________32.1 DESCRIPCIÓN ___________________________________________________________________32.2 IDENTIFICARELCONTEXTODELAORGANIZACION ______________________________________4

2.2.1 Propósito___________________________________________________________________42.2.2 Actividadesarealizar_________________________________________________________52.2.3 Identificacióndeactivosdeinformación__________________________________________52.2.4 Valoracióndelosactivosdeinformación _________________________________________52.2.5 Identificacióndeamenazasposibles _____________________________________________92.2.6 Identificacióndevulnerabilidadesdelosactivos____________________________________9

2.3 ANALIZARRIESGOSSOBRELOSACTIVOS ______________________________________________92.3.1 Propósito___________________________________________________________________92.3.2 Desarrollodeactividades______________________________________________________92.3.3 Estimarelimpactosobrelosactivos _____________________________________________92.3.4 Estimarprobabilidaddeocurrencia_____________________________________________102.3.5 Estimarriesgos_____________________________________________________________112.3.6 Identificarcontrolesexistentes ________________________________________________112.3.7 Evaluarcontrolesexistentes___________________________________________________11

2.4 VALORACIÓNDERIESGOS_________________________________________________________122.4.1 Objetivo __________________________________________________________________122.4.2 Desarrollodeactividades_____________________________________________________122.4.3 Estimarriesgo______________________________________________________________122.4.4 Priorizarlosriesgossobrelosactivos____________________________________________13

2.5 LAGESTIÓNDERIESGOSENLOSACTIVOS ____________________________________________142.5.1 Objetivo __________________________________________________________________142.5.2 Desarrollodeactividades_____________________________________________________142.5.3 Tomadedecisiones _________________________________________________________142.5.4 Plandetratamientoderiesgos ________________________________________________15

3 REFERENCIAS ______________________________________________________________________16


1 INTRODUCCION

Identificarygestionarlosriesgosaloscualesestánexpuestoslosactivosdeinformación,parapreservarsuconfidencialidad, integridad y disponibilidad, utilizando un proceso sistemático para lograr un adecuadotratamientodelosriesgoseimplementacióndecontrolesefectivos.ParaestepropósitonosapoyaremosenlanormaISO27005:2018ylaISO31000:2018:

Ilustración1.Gestiónderiesgos.

ISO 31000:2018 solo formula recomendaciones y eso significa que no permite la implementación de unsistema de gestión certificable. Sin embargo, los principales cambios en ISO 31000:2018 resultanimportantesyaquesealineanconelenfoquebasadoenelriesgo,presenteennormascomoISO9001eISO14001.

• Lenguajenovedosoysimplificadodentrodeunaestructuradereferencias.• Énfasis a lo largo de toda la norma sobre el papel de liderazgo de la Alta Direccióny la

responsabilidad que debe asumir para garantizar que la gestión de riesgos se integretransversalmenteenlaorganización.

• Énfasisalanaturalezadinámicaycambiantedelagestiónderiesgos,queexigelanecesidaddequelasorganizacionesevalúensusriesgosysus impactos,a la luzdenuevascircunstanciasofactoresenelcontextoexternoointerno.

• Unenfoquegenéricoquepermitequelanormaseutilizadaenvarioscamposdelaindustria.

2 METODOLOGÍAPARALAGESTIÓNDERIESGOSSEGÚNISO31000:2018

2.1 DESCRIPCIÓN

Ejecutaraccionesqueprotejanadecuadamentelossistemasdeinformaciónyactivosdelaorganización,aligualque implementarcontrolesdeseguridad, requieredesarrollarunprocesodeGestiónderiesgos (Verilustración1),basadoenlosactivosylosfactorestantointernoscomoexternos.


Ilustración2.ProcesodegestióndeRiesgos

AcontinuaciónseexponenlasactividadesdecadaunadelasetapasdelprocesodeGestióndeRiegos,conelfindeidentificarconclaridadlasituacióndecadaunodesusactivos:suvalor,vulnerabilidades,ycómoestánprotegidosfrenteaamenazas.Ilustración3.Actividadesdelagestiónderiesgo.

1. Identificarcontexto2. Analizarriesgos3. Valoresdelriesgo4. Tratamientodelosriesgos

2.2 IDENTIFICARELCONTEXTODELAORGANIZACION

2.2.1 Propósito


Conocer loseventospotenciales,esténonobajoelcontrolde laorganizaciónyqueponenenriesgossusactivosdeinformación.

2.2.2 Actividadesarealizar

2.2.3 Identificacióndeactivosdeinformación

Un activo es: “cualquier elemento al cual se le asigna un valor y por tanto debe protegerse”, lo cualpuedeentenderse igualmentecomoaquelloque requiere laorganizaciónparael cumplimientodesusobjetivos.

1. Tiposdeactivos

2. Clasesdeactivos:

Activosdeinformaciónyfísicos

Activosfísicos

Infraestructurafísica Oficinas

Hardware Servidores, dispositivos de comunicaciones, computadoras deescritorio.

TecnologíaSoftware Aplicaciones

Activosdeinformación Electrónica Informaciónimportanteparaelnegocio.

Documentos Informaciónimportanteparaelnegocio

personal

Dueñosdeinformación Niveldirectivodueñodelainformaciónqueasignapermisosparaleerutilizarymodificarlainformación.

Personalqueutilizalainformaciónparasutrabajo.

Servicios Correoelectrónico

Tabla1.Tiposdeactivos

2.2.4 Valoracióndelosactivosdeinformación

Unavezidentificadoslosactivosserealizarálavaloracióndecadaunodeellosentérminosdevalorparaelnegociosegún:


Ilustración4.PilaresdelaseguridaddelainformaciónISO27001:2013

Disponibilidad:Los activos de una determinada organización tendrán mayor valor en la medida que si no estándisponibles se impactará gravemente el negocio. Igualmente, un activo que al no estar disponible noafectedeningúnmodoelnegocio,tendráunmenorvalor.Paradeterminarel impactoque sobreelnegociogenera la indisponibilidaddel activo seutilizarán loscriteriosrelacionadosenlasiguientetabla:

Confidencialidad

Integridad

Disponibilidad


ValoracióndelosactivosMINIMO(1) MEDIO(3) GRAVE(5) CATASTRÓFICO(7)

Las pérdidas económicaspor indisponibilidad delactivoson:

Losserviciosprestadossevenafectadosporlaindisponibilidad delactivo de la siguienteforma:

Interrupciónleveonulaensuministrodeservicios.

Obligaalclienteacambiardeproveedordeformatransitoria.

Pérdidadealgunosclientesdeformadefinitiva. Pérdidadeclientesclave.

La inidisponibilidad delactivo afecta laoperaciónasi: Retrasosenfuncionesnovitales Retrasoslevesenfunciones

vitales.Retrasosgravesenfunciones

vitalesInterrupcióninmediatade

funcionesvitales

La indisponibilidad delactivoafectalaimagenenelsentidoque:

Noafectarlaconfianzaenlosproductososervicios.

Pérdidadeconfianzaenunservicioespecíficooenunaparte

delaorganización.

Pérdidadeconfianzadepartedelosclientes.

Pérdidadeconfianzadelmercadoydañosalaimagendemarca.

La indisponibiliad delactivo afecta elcumplimiento deoblicaciones en elsentidoque:

Produceunafaltaleveenelcumplimientodealgúncontrato.

Produceunafaltaenelcumplimientodealgúncontrato

queobligaarenegociar.

Produceunafaltagraveenelcumplimientodealgún

contrato.

Dejaalaorganizaciónalmargendelaley

Tabla2.Criteriosparavaloracióndedisponibilidad

Seasignaunvalorutilizandolasiguienteescala:

Tabla3.Valoracióndeladisponibilidad

Confidencialidad:Los activos de información reciben una valoración alta cuando su nivel de confidencialidad esmayor,teniendoencuentaque ladivulgaciónnoautorizadade lamismapuedeafectarenalgunamedida losintereses,imagenyoperacióndelacompañía.Para realizar lavaloraciónde losactivosen ladimensióndeconfidencialidad tendremosencuenta losresultadosobtenidosenlaHerramientaparaClasificacióndeInformación(yconbaseenlaclasificaciónobtenidaparacadaactivoasignaremosunvalor.

VALORACIÓN VALOR

Mínimo 1

Medio 3

Grave 5

Catastrófico 7


Tabla4.Valoracióndelaconfidencialidad

Integridad:Los activos son valorados con mayor valor cuando su alteración puede generar daños graves a laorganización.Lavaloraciónenladimensiónintegridadserealizaráutilizandolossiguientescriterios:

CRITERIO VALOR

Informaciónqueafectamucholaoperación 20

Informaciónqueafectamoderadamenteelnegocio 15

Informaciónquepuedeteneralgunoserroresocambiossinafectarsusentidoprincipal 10

Informaciónoactivosquepuedentenererroressintenerimpactosalnegocio. 5

Tabla5.Criteriosparalavaloracióndelaintegridad

Paracalcularelvalordelactivoserealizalasumatoriadetodoslosfactoresevaluadosyseestableceráelvalordeactivoteniendoencuentalosiguiente:

Tabla6.Valoracióndelaconfidencialidaddelactivo.

CLASIFICACIÓN VALOR

Publica 5

UsoInterno 10

Confidencial 15

Reservada 20

VALORACIÓNDEACTIVO

SUMATORIADELOSFACTORESCONSIDERADOS

MB:muybajo De14a24

B:bajo De25a35

M:medio De36a46

A:alto De47a57

MA:muyalto De58a68


2.2.5 Identificacióndeamenazasposibles

Lasamenazassonresultadosdeactosdeliberadosquepuedenafectarnuestrosactivosolosactivosdeinformación,sinembargo,existeneventosnaturalesoaccidentalesquedebenserconsideradosporsucapacidaddegenerarincidentesdeseguridad.

CAUSA EVENTOOAMENAZA

Eventosnaturales

Terremotosohuracanes.

Eventosexternos

Pérdidadeproveedores,problemasdetransporte,sobrecargas.

Condicionesinternas

Problemasdetransporte.

Actosdeliberados

Fallasdehardware,fallasdesoftware,fallasenlared,

Actosaccidentales

Destruccióndeinformación,Incendios.

Humano Epidemias,indisponibilidaddepersonal.

Tabla7.Listadodeamenazas

2.2.6 Identificacióndevulnerabilidadesdelosactivos

Debe identificarse la forma como cada una de las amenazas podría materializarse, es decir, quevulnerabilidadespermitenquelasamenazasseconviertanensituacionesderiesgoreales.

Algunostiposdevulnerabilidades:

• Ausenciadepolíticas• Configuracionesnoseguras• Empleadodescontento• Empleado deshonesto (sobornado o

víctimadechantaje)• Erroresdeconfiguración.

• Faltadeactualizaciones• Usodeserviciosinseguros• Usodeprotocolosinseguros

2.3 ANALIZARRIESGOSSOBRELOSACTIVOS

2.3.1 Propósito

Establecer laprobabilidaddeocurrenciade los riesgosyel impactodesusconsecuencias,calificándolosyevaluándolos,afindedeterminarlacapacidaddelaorganizaciónparasuaceptaciónomanejo.

2.3.2 Desarrollodeactividades

2.3.3 Estimarelimpactosobrelosactivos


Elimpactoeslamedidadedañocausadoporunincidenteenelsupuestodequeocurra,afectandoasí,elvalordelosactivos,estáperdidadevalorladenominamosdegradacióndelactivo.Lamedicióndelimpactolarealizaremosutilizandolasiguientematriz:

VALORACIONDELACTIVO

AFECTACIONDELACTIVO

5% 25% 50% 75% 100%

MA:muyalto A A A A MA

A:alto M M A A A

M:medio B M M A A

B:bajo MB MB M M M

MB:muybajo MB MB MB B M

Tabla8.Matrizdeestimacióndelimpactosobreactivos.

Laestimacióndelimpactopuedeserentonces:

1. MA:Muyalto2. A: Alto3. M: Medio4. B: Bajo5. MB:Muybajo

2.3.4 Estimarprobabilidaddeocurrencia

Laprobabilidaddeocurrenciasecalculaconbaseenlasiguientetabla:1) Cualitativa:Laprobabilidaddeocurrenciaseestableceacordealasiguientetabla:

VALOR OCURRENCIA FRECUENCIAEs probable que se materialice la amenaza adiario 100 Muyfrecuente

Es probable que se materialice la amenazasemanalmente 10 Frecuente

Es probable que se materialice la amenazaanualmente 1 Normal

Esprobablequesematerialicelaamenazacadavariosaños 1/10 Pocofrecuente

Tabla9.Valoracióncualitativadelafrecuencia.

2) Cuantitativo:apartirde losdatoshistóricosquelaorganizaciónhayaacumuladoeneltiempo.Lafrecuenciaseconsideracomonumerodeocurrenciasdelaamenazaenunaño.


Tabla10.Valoracióndelafrecuencia

2.3.5 Estimarriesgos

Conociendo el impacto de las amenazas sobre los activos es posible determinar el nivel de riesgo,teniendoencuentalafrecuenciadeocurrenciadelosincidentes.

IMPA

CTO

MA:muyalto Zonaderiesgoimportante Zonaderiesgoimportante Zonaderiesgoimportante Zonaderiesgoinaceptable

A:alto Zonaderiesgomoderado Zonaderiesgomoderado Zonaderiesgoimportante Zonaderiesgoimportante

M:medio Zonatolerabledelriesgo Zonaderiesgomoderado Zonaderiesgoimportante Zonaderiesgoimportante

B:bajo Zonaaceptablederiesgo Zonatolerabledelriesgo Zonaderiesgomoderado Zonaderiesgomoderado

MB:muybajo Zonaaceptablederiesgo Zonaaceptablederiesgo Zonatolerabledelriesgo Zonatolerabledelriesgo

Pocofrecuente Normal Frecuente Muyfrecuente

FRECUENCIA

Tabla11.Matrizparadeterminaciónderiesgos.

2.3.6 Identificarcontrolesexistentes

Los controles existentes son lasmedidas con que se cuentan para reducir la exposición a los riesgos:procedimientos,mecanismos,controlestecnológicos,etc.ParaidentificarloscontrolesexistentepuedeutilizarsecomoreferenciaelanexoAdelestándarISO/IEC27001/2013.

2.3.7 Evaluarcontrolesexistentes

Unavezidentificadosloscontrolesexistentesesnecesarioevaluarsuefectividadfrentealosriesgosquesepretendenmitigar.Paramedirlaefectividaddeloscontrolesutilizaremoslossiguientescriterios:

FRECUENCIA PROBABILIDAD

Másde100alaño Muyfrecuente

Entre10y20alaño Frecuente

Entre1y5alaño Normal

Menosde1/10alaño Pocofrecuente


EVALUACIONDELCONTROLVALORES

NULO DEFICIENTE REGULAR BUENO EXCELENTE

Elcontrolestáformalmenteestablecido. 0% 25% 50% 75% 100%

El control está perfectamente desplegado, configurado ymantenido. 0% 25% 50% 75% 100%

Existen procedimientos claros de uso del control y en caso deincidencias.

0% 25% 50% 75% 100%

Los usuarios están formados y concienciados sobre la aplicacióndelcontrol.

0% 25% 50% 75% 100%

El control es funcional desde el punto de vista teórico yoperacional. 0% 25% 50% 75% 100%

Tabla12.Criteriosparavaloracióndecontrolesexistentes

Laeficienciadelcontrolseestimaconbaseenlasiguientetabla:Efectividad=Promediodelasvaloracionesrealizadas

Tabla13.Valoracióndecontroles

2.4 VALORACIÓNDERIESGOS

2.4.1 Objetivo

Determinar el nivel o grado de exposición de la organización a los impactos del riesgo, estimando lasprioridadesparasutratamiento.


2.4.3 Estimarriesgo

El riesgo seestablece considerando los controlesexistentes,orientadosaprevenirqueel incidente sepresente.

Controlesorientadosaprevenirelincidente:

SUMA EFECTIVIDADDELCONTROL

Mayorde89% EXCELENTE

De65%y89% BUENA

De40%y64% REGULAR

De15%y39% DEFICIENTE

Menorde15% NULA


Ilustración5.Efectividaddecontrolyfrecuencia.

EnlailustraciónNo.5seapreciacomoamedidaquelaefectividaddelcontrolaumenta,lafrecuenciadeocurrenciadeincidentesdisminuye.Controlesquelimitanladegradacióndeactivos:

Ilustración6.Efectividaddecontrolydegradación.

En la ilustraciónNo6, se apreciaque la efectividaddel control aumenta, la degradacióndel activoesmenor.Siloscontrolestienennivelesadecuadosdeefectividadladegradacióndelosactivosólafrecuenciadelosincidentesdebesermenoralosvaloreshalladosinicialmente.

2.4.4 Priorizarlosriesgossobrelosactivos

Elriesgonosmuestraelgradodeexposiciónfrentealasamenazasevaluadas,esposibledistinguirentrelos riesgosaceptables, tolerables,moderados, importanteso inaceptables,yestablecer laprioridaddelasaccionesrequeridasparasutratamiento.Lasaccionesquesedebenejecutarseharánconbaseenlasiguientetabla:

Nada Deficiente Regular Buena Excelente

Muyfrecuente Frecuente Normal Pocofrecuente

Nada Deficiente Regular Buena Excelente

A:alto M:medio B:bajo MB:muybajo

EFECTIVIDAD

FRECUENCIA

EFECTIVIDAD DEL CONTROL

DEGRADACION DE ACTIVOS


Riesgo Prioridad Tiempodeejecucióndeacciones

Inaceptable MuyAlta Inmediata

Importante Alta De0a4meses

Moderado Media De4a7meses

Tolerable Baja De7a12meses

Aceptable Muybaja De12a16meses

Tabla14.Priorizaciónderiesgos.

2.5 LAGESTIÓNDERIESGOSENLOSACTIVOS

2.5.1 Objetivo

Estructurarloscriteriosparalatomadedecisionesrespectoaltratamientodelosriesgos,enestaetapaseestablecelasguíasdeacciónnecesariasparacoordinaryadministrarloseventosquepuedencomprometerlaconfidencialidad,integridadydisponibilidaddelosactivos.


2.5.3 Tomadedecisiones

Si el riesgo se ubica en la Zona de RiesgoAceptable, permite a laOrganización aceptarlo, es decir, elriesgoseencuentraenunnivelquepuedeasumirsesinnecesidaddetomarotrasmedidasdecontrol.

SielriesgoseubicaenlaZonadeRiesgoInaceptable,esaconsejableeliminarlaactividadquegeneraelriesgoenlamedidaqueseaposible.

Sielriesgosesitúaencualquieradelasotraszonas(riesgotolerable,moderadooimportante)sedebentomarmedidas para llevar los Riesgos a la Zona Aceptable, con la implementación de los respectivoscontroles.

Lasmedidasdependendelpuntoenlacualseubicaelriesgo:


ZONA IMPACTO FRECUENCIA MEDIDAZonaderiesgoimportante

MA:muyalto PocofrecuentePrevenirriesgo:Implementarcontrolesfrenteaimpacto.

MA:muyalto Normal Prevenirriesgo:Implementarcontrolesfrenteaimpacto.A:alto Frecuente Prevenir riesgo: Implementar ó mejorar controles frente a impacto y

frecuencia.M:medio Frecuente Prevenir riesgo: Implementar ó mejorar controles frente a impacto y

frecuencia.M:medio Muyfrecuente Prevenir riesgo: Implementar ó mejorar controles frente a impacto y

frecuencia.Zonaderiesgomoderado

A:alto Pocofrecuente Compartirriesgos.Prevenirriesgo:Implementarómejorarcontrolesfrenteaimpacto.

A:alto Normal Compartirriesgos.Prevenir riesgo: Implementar ó mejorar controles frente a impacto yfrecuencia.

M:medio Normal Compartirriesgos.Prevenir riesgo: Implementar ó mejorar controles frente a impacto yfrecuencia.

B:bajo Frecuente Realizar análisis costo beneficio para decidir si el riesgo se asume, seprevieneosecomparte.

B:bajo Muyfrecuente Realizar análisis costo beneficio para decidir si el riesgo se asume, seprevieneosecomparte.

Zonatolerabledelriesgo

M:medio Pocofrecuente Prevenirriesgo:Implementarómejorarcontrolesfrenteaimpacto.

B:bajo Normal Realizar análisis costo beneficio parta decidir si el riesgo se asume, seprevieneosecomparte.

MB:muybajo

Frecuente Realizar análisis costo beneficio parta decidir si el riesgo se asume, seprevieneosecomparte.

MB:muybajo

Muyfrecuente Realizar análisis costo beneficio parta decidir si el riesgo se asume, seprevieneosecomparte.

Tabla15.Estimacióndelosriesgossobrelosactivos.

La selección de controles se realizará tomando como referencia el Anexo A del estándar ISO/IEC27001:2013.Paraseleccionarloscontrolesfrentealosriesgosestablecidos,deberárealizarseunanálisiscosto-beneficioparaevitarimplementacióndecontrolesconcostossuperioresalcostodelosriesgosreales.

2.5.4 Plandetratamientoderiesgos

Una vez seleccionado los controles que serán implementados para mitigación de riesgos es necesarioelaborarunplandeacciónquegaranticeunefectivodesplieguedelosmismos.La elaboración del plan de tratamiento de riesgos será responsabilidad del Oficial de Seguridad y larespectivaaprobacióndelosmismosdelComitédeSeguridad.


3 REFERENCIAS

• ISO27005:2018• ISO/IEC31000:2018• ISO/27001:2013• ISO22301:2012• ISO27005:2005• ISO31000:2009

Documento: Metodología Gestión de Riesgos Versión 1 · 2018-11-02 · tratamiento de los riesgos e implementación de controles efectivos. Para este propósito nos apoyaremos en

Documents