Documento: Metodología Gestión de Riesgos
MetodologíadeanálisisderiesgosegúnISO27005:2018eISO31000:2018
2018
Versión1.0
Documento: Metodología Gestión de Riesgos
Tabladecontenido1 INTRODUCCION _____________________________________________________________________3
2 METODOLOGÍAPARALAGESTIÓNDERIESGOSSEGÚNISO31000:2018_________________________32.1 DESCRIPCIÓN ___________________________________________________________________32.2 IDENTIFICARELCONTEXTODELAORGANIZACION ______________________________________4
2.2.1 Propósito___________________________________________________________________42.2.2 Actividadesarealizar_________________________________________________________52.2.3 Identificacióndeactivosdeinformación__________________________________________52.2.4 Valoracióndelosactivosdeinformación _________________________________________52.2.5 Identificacióndeamenazasposibles _____________________________________________92.2.6 Identificacióndevulnerabilidadesdelosactivos____________________________________9
2.3 ANALIZARRIESGOSSOBRELOSACTIVOS ______________________________________________92.3.1 Propósito___________________________________________________________________92.3.2 Desarrollodeactividades______________________________________________________92.3.3 Estimarelimpactosobrelosactivos _____________________________________________92.3.4 Estimarprobabilidaddeocurrencia_____________________________________________102.3.5 Estimarriesgos_____________________________________________________________112.3.6 Identificarcontrolesexistentes ________________________________________________112.3.7 Evaluarcontrolesexistentes___________________________________________________11
2.4 VALORACIÓNDERIESGOS_________________________________________________________122.4.1 Objetivo __________________________________________________________________122.4.2 Desarrollodeactividades_____________________________________________________122.4.3 Estimarriesgo______________________________________________________________122.4.4 Priorizarlosriesgossobrelosactivos____________________________________________13
2.5 LAGESTIÓNDERIESGOSENLOSACTIVOS ____________________________________________142.5.1 Objetivo __________________________________________________________________142.5.2 Desarrollodeactividades_____________________________________________________142.5.3 Tomadedecisiones _________________________________________________________142.5.4 Plandetratamientoderiesgos ________________________________________________15
3 REFERENCIAS ______________________________________________________________________16
Documento: Metodología Gestión de Riesgos
1 INTRODUCCION
Identificarygestionarlosriesgosaloscualesestánexpuestoslosactivosdeinformación,parapreservarsuconfidencialidad, integridad y disponibilidad, utilizando un proceso sistemático para lograr un adecuadotratamientodelosriesgoseimplementacióndecontrolesefectivos.ParaestepropósitonosapoyaremosenlanormaISO27005:2018ylaISO31000:2018:
Ilustración1.Gestiónderiesgos.
ISO 31000:2018 solo formula recomendaciones y eso significa que no permite la implementación de unsistema de gestión certificable. Sin embargo, los principales cambios en ISO 31000:2018 resultanimportantesyaquesealineanconelenfoquebasadoenelriesgo,presenteennormascomoISO9001eISO14001.
• Lenguajenovedosoysimplificadodentrodeunaestructuradereferencias.• Énfasis a lo largo de toda la norma sobre el papel de liderazgo de la Alta Direccióny la
responsabilidad que debe asumir para garantizar que la gestión de riesgos se integretransversalmenteenlaorganización.
• Énfasisalanaturalezadinámicaycambiantedelagestiónderiesgos,queexigelanecesidaddequelasorganizacionesevalúensusriesgosysus impactos,a la luzdenuevascircunstanciasofactoresenelcontextoexternoointerno.
• Unenfoquegenéricoquepermitequelanormaseutilizadaenvarioscamposdelaindustria.
2 METODOLOGÍAPARALAGESTIÓNDERIESGOSSEGÚNISO31000:2018
2.1 DESCRIPCIÓN
Ejecutaraccionesqueprotejanadecuadamentelossistemasdeinformaciónyactivosdelaorganización,aligualque implementarcontrolesdeseguridad, requieredesarrollarunprocesodeGestiónderiesgos (Verilustración1),basadoenlosactivosylosfactorestantointernoscomoexternos.
Documento: Metodología Gestión de Riesgos
Ilustración2.ProcesodegestióndeRiesgos
AcontinuaciónseexponenlasactividadesdecadaunadelasetapasdelprocesodeGestióndeRiegos,conelfindeidentificarconclaridadlasituacióndecadaunodesusactivos:suvalor,vulnerabilidades,ycómoestánprotegidosfrenteaamenazas.Ilustración3.Actividadesdelagestiónderiesgo.
1. Identificarcontexto2. Analizarriesgos3. Valoresdelriesgo4. Tratamientodelosriesgos
2.2 IDENTIFICARELCONTEXTODELAORGANIZACION
2.2.1 Propósito
Documento: Metodología Gestión de Riesgos
Conocer loseventospotenciales,esténonobajoelcontrolde laorganizaciónyqueponenenriesgossusactivosdeinformación.
2.2.2 Actividadesarealizar
2.2.3 Identificacióndeactivosdeinformación
Un activo es: “cualquier elemento al cual se le asigna un valor y por tanto debe protegerse”, lo cualpuedeentenderse igualmentecomoaquelloque requiere laorganizaciónparael cumplimientodesusobjetivos.
1. Tiposdeactivos
2. Clasesdeactivos:
Activosdeinformaciónyfísicos
Activosfísicos
Infraestructurafísica Oficinas
Hardware Servidores, dispositivos de comunicaciones, computadoras deescritorio.
TecnologíaSoftware Aplicaciones
Activosdeinformación Electrónica Informaciónimportanteparaelnegocio.
Documentos Informaciónimportanteparaelnegocio
personal
Dueñosdeinformación Niveldirectivodueñodelainformaciónqueasignapermisosparaleerutilizarymodificarlainformación.
Personalqueutilizalainformaciónparasutrabajo.
Servicios Correoelectrónico
Tabla1.Tiposdeactivos
2.2.4 Valoracióndelosactivosdeinformación
Unavezidentificadoslosactivosserealizarálavaloracióndecadaunodeellosentérminosdevalorparaelnegociosegún:
Documento: Metodología Gestión de Riesgos
Ilustración4.PilaresdelaseguridaddelainformaciónISO27001:2013
Disponibilidad:Los activos de una determinada organización tendrán mayor valor en la medida que si no estándisponibles se impactará gravemente el negocio. Igualmente, un activo que al no estar disponible noafectedeningúnmodoelnegocio,tendráunmenorvalor.Paradeterminarel impactoque sobreelnegociogenera la indisponibilidaddel activo seutilizarán loscriteriosrelacionadosenlasiguientetabla:
Confidencialidad
Integridad
Disponibilidad
Documento: Metodología Gestión de Riesgos
ValoracióndelosactivosMINIMO(1) MEDIO(3) GRAVE(5) CATASTRÓFICO(7)
Las pérdidas económicaspor indisponibilidad delactivoson:
Losserviciosprestadossevenafectadosporlaindisponibilidad delactivo de la siguienteforma:
Interrupciónleveonulaensuministrodeservicios.
Obligaalclienteacambiardeproveedordeformatransitoria.
Pérdidadealgunosclientesdeformadefinitiva. Pérdidadeclientesclave.
La inidisponibilidad delactivo afecta laoperaciónasi: Retrasosenfuncionesnovitales Retrasoslevesenfunciones
vitales.Retrasosgravesenfunciones
vitalesInterrupcióninmediatade
funcionesvitales
La indisponibilidad delactivoafectalaimagenenelsentidoque:
Noafectarlaconfianzaenlosproductososervicios.
Pérdidadeconfianzaenunservicioespecíficooenunaparte
delaorganización.
Pérdidadeconfianzadepartedelosclientes.
Pérdidadeconfianzadelmercadoydañosalaimagendemarca.
La indisponibiliad delactivo afecta elcumplimiento deoblicaciones en elsentidoque:
Produceunafaltaleveenelcumplimientodealgúncontrato.
Produceunafaltaenelcumplimientodealgúncontrato
queobligaarenegociar.
Produceunafaltagraveenelcumplimientodealgún
contrato.
Dejaalaorganizaciónalmargendelaley
Tabla2.Criteriosparavaloracióndedisponibilidad
Seasignaunvalorutilizandolasiguienteescala:
Tabla3.Valoracióndeladisponibilidad
Confidencialidad:Los activos de información reciben una valoración alta cuando su nivel de confidencialidad esmayor,teniendoencuentaque ladivulgaciónnoautorizadade lamismapuedeafectarenalgunamedida losintereses,imagenyoperacióndelacompañía.Para realizar lavaloraciónde losactivosen ladimensióndeconfidencialidad tendremosencuenta losresultadosobtenidosenlaHerramientaparaClasificacióndeInformación(yconbaseenlaclasificaciónobtenidaparacadaactivoasignaremosunvalor.
VALORACIÓN VALOR
Mínimo 1
Medio 3
Grave 5
Catastrófico 7
Documento: Metodología Gestión de Riesgos
Tabla4.Valoracióndelaconfidencialidad
Integridad:Los activos son valorados con mayor valor cuando su alteración puede generar daños graves a laorganización.Lavaloraciónenladimensiónintegridadserealizaráutilizandolossiguientescriterios:
CRITERIO VALOR
Informaciónqueafectamucholaoperación 20
Informaciónqueafectamoderadamenteelnegocio 15
Informaciónquepuedeteneralgunoserroresocambiossinafectarsusentidoprincipal 10
Informaciónoactivosquepuedentenererroressintenerimpactosalnegocio. 5
Tabla5.Criteriosparalavaloracióndelaintegridad
Paracalcularelvalordelactivoserealizalasumatoriadetodoslosfactoresevaluadosyseestableceráelvalordeactivoteniendoencuentalosiguiente:
Tabla6.Valoracióndelaconfidencialidaddelactivo.
CLASIFICACIÓN VALOR
Publica 5
UsoInterno 10
Confidencial 15
Reservada 20
VALORACIÓNDEACTIVO
SUMATORIADELOSFACTORESCONSIDERADOS
MB:muybajo De14a24
B:bajo De25a35
M:medio De36a46
A:alto De47a57
MA:muyalto De58a68
Documento: Metodología Gestión de Riesgos
2.2.5 Identificacióndeamenazasposibles
Lasamenazassonresultadosdeactosdeliberadosquepuedenafectarnuestrosactivosolosactivosdeinformación,sinembargo,existeneventosnaturalesoaccidentalesquedebenserconsideradosporsucapacidaddegenerarincidentesdeseguridad.
CAUSA EVENTOOAMENAZA
Eventosnaturales
Terremotosohuracanes.
Eventosexternos
Pérdidadeproveedores,problemasdetransporte,sobrecargas.
Condicionesinternas
Problemasdetransporte.
Actosdeliberados
Fallasdehardware,fallasdesoftware,fallasenlared,
Actosaccidentales
Destruccióndeinformación,Incendios.
Humano Epidemias,indisponibilidaddepersonal.
Tabla7.Listadodeamenazas
2.2.6 Identificacióndevulnerabilidadesdelosactivos
Debe identificarse la forma como cada una de las amenazas podría materializarse, es decir, quevulnerabilidadespermitenquelasamenazasseconviertanensituacionesderiesgoreales.
Algunostiposdevulnerabilidades:
• Ausenciadepolíticas• Configuracionesnoseguras• Empleadodescontento• Empleado deshonesto (sobornado o
víctimadechantaje)• Erroresdeconfiguración.
• Faltadeactualizaciones• Usodeserviciosinseguros• Usodeprotocolosinseguros
2.3 ANALIZARRIESGOSSOBRELOSACTIVOS
2.3.1 Propósito
Establecer laprobabilidaddeocurrenciade los riesgosyel impactodesusconsecuencias,calificándolosyevaluándolos,afindedeterminarlacapacidaddelaorganizaciónparasuaceptaciónomanejo.
2.3.2 Desarrollodeactividades
2.3.3 Estimarelimpactosobrelosactivos
Documento: Metodología Gestión de Riesgos
Elimpactoeslamedidadedañocausadoporunincidenteenelsupuestodequeocurra,afectandoasí,elvalordelosactivos,estáperdidadevalorladenominamosdegradacióndelactivo.Lamedicióndelimpactolarealizaremosutilizandolasiguientematriz:
VALORACIONDELACTIVO
AFECTACIONDELACTIVO
5% 25% 50% 75% 100%
MA:muyalto A A A A MA
A:alto M M A A A
M:medio B M M A A
B:bajo MB MB M M M
MB:muybajo MB MB MB B M
Tabla8.Matrizdeestimacióndelimpactosobreactivos.
Laestimacióndelimpactopuedeserentonces:
1. MA:Muyalto2. A: Alto3. M: Medio4. B: Bajo5. MB:Muybajo
2.3.4 Estimarprobabilidaddeocurrencia
Laprobabilidaddeocurrenciasecalculaconbaseenlasiguientetabla:1) Cualitativa:Laprobabilidaddeocurrenciaseestableceacordealasiguientetabla:
VALOR OCURRENCIA FRECUENCIAEs probable que se materialice la amenaza adiario 100 Muyfrecuente
Es probable que se materialice la amenazasemanalmente 10 Frecuente
Es probable que se materialice la amenazaanualmente 1 Normal
Esprobablequesematerialicelaamenazacadavariosaños 1/10 Pocofrecuente
Tabla9.Valoracióncualitativadelafrecuencia.
2) Cuantitativo:apartirde losdatoshistóricosquelaorganizaciónhayaacumuladoeneltiempo.Lafrecuenciaseconsideracomonumerodeocurrenciasdelaamenazaenunaño.
Documento: Metodología Gestión de Riesgos
Tabla10.Valoracióndelafrecuencia
2.3.5 Estimarriesgos
Conociendo el impacto de las amenazas sobre los activos es posible determinar el nivel de riesgo,teniendoencuentalafrecuenciadeocurrenciadelosincidentes.
IMPA
CTO
MA:muyalto Zonaderiesgoimportante Zonaderiesgoimportante Zonaderiesgoimportante Zonaderiesgoinaceptable
A:alto Zonaderiesgomoderado Zonaderiesgomoderado Zonaderiesgoimportante Zonaderiesgoimportante
M:medio Zonatolerabledelriesgo Zonaderiesgomoderado Zonaderiesgoimportante Zonaderiesgoimportante
B:bajo Zonaaceptablederiesgo Zonatolerabledelriesgo Zonaderiesgomoderado Zonaderiesgomoderado
MB:muybajo Zonaaceptablederiesgo Zonaaceptablederiesgo Zonatolerabledelriesgo Zonatolerabledelriesgo
Pocofrecuente Normal Frecuente Muyfrecuente
FRECUENCIA
Tabla11.Matrizparadeterminaciónderiesgos.
2.3.6 Identificarcontrolesexistentes
Los controles existentes son lasmedidas con que se cuentan para reducir la exposición a los riesgos:procedimientos,mecanismos,controlestecnológicos,etc.ParaidentificarloscontrolesexistentepuedeutilizarsecomoreferenciaelanexoAdelestándarISO/IEC27001/2013.
2.3.7 Evaluarcontrolesexistentes
Unavezidentificadosloscontrolesexistentesesnecesarioevaluarsuefectividadfrentealosriesgosquesepretendenmitigar.Paramedirlaefectividaddeloscontrolesutilizaremoslossiguientescriterios:
FRECUENCIA PROBABILIDAD
Másde100alaño Muyfrecuente
Entre10y20alaño Frecuente
Entre1y5alaño Normal
Menosde1/10alaño Pocofrecuente
Documento: Metodología Gestión de Riesgos
EVALUACIONDELCONTROLVALORES
NULO DEFICIENTE REGULAR BUENO EXCELENTE
Elcontrolestáformalmenteestablecido. 0% 25% 50% 75% 100%
El control está perfectamente desplegado, configurado ymantenido. 0% 25% 50% 75% 100%
Existen procedimientos claros de uso del control y en caso deincidencias.
0% 25% 50% 75% 100%
Los usuarios están formados y concienciados sobre la aplicacióndelcontrol.
0% 25% 50% 75% 100%
El control es funcional desde el punto de vista teórico yoperacional. 0% 25% 50% 75% 100%
Tabla12.Criteriosparavaloracióndecontrolesexistentes
Laeficienciadelcontrolseestimaconbaseenlasiguientetabla:Efectividad=Promediodelasvaloracionesrealizadas
Tabla13.Valoracióndecontroles
2.4 VALORACIÓNDERIESGOS
2.4.1 Objetivo
Determinar el nivel o grado de exposición de la organización a los impactos del riesgo, estimando lasprioridadesparasutratamiento.
2.4.2 Desarrollodeactividades
2.4.3 Estimarriesgo
El riesgo seestablece considerando los controlesexistentes,orientadosaprevenirqueel incidente sepresente.
Controlesorientadosaprevenirelincidente:
SUMA EFECTIVIDADDELCONTROL
Mayorde89% EXCELENTE
De65%y89% BUENA
De40%y64% REGULAR
De15%y39% DEFICIENTE
Menorde15% NULA
Documento: Metodología Gestión de Riesgos
Ilustración5.Efectividaddecontrolyfrecuencia.
EnlailustraciónNo.5seapreciacomoamedidaquelaefectividaddelcontrolaumenta,lafrecuenciadeocurrenciadeincidentesdisminuye.Controlesquelimitanladegradacióndeactivos:
Ilustración6.Efectividaddecontrolydegradación.
En la ilustraciónNo6, se apreciaque la efectividaddel control aumenta, la degradacióndel activoesmenor.Siloscontrolestienennivelesadecuadosdeefectividadladegradacióndelosactivosólafrecuenciadelosincidentesdebesermenoralosvaloreshalladosinicialmente.
2.4.4 Priorizarlosriesgossobrelosactivos
Elriesgonosmuestraelgradodeexposiciónfrentealasamenazasevaluadas,esposibledistinguirentrelos riesgosaceptables, tolerables,moderados, importanteso inaceptables,yestablecer laprioridaddelasaccionesrequeridasparasutratamiento.Lasaccionesquesedebenejecutarseharánconbaseenlasiguientetabla:
Nada Deficiente Regular Buena Excelente
Muyfrecuente Frecuente Normal Pocofrecuente
Nada Deficiente Regular Buena Excelente
A:alto M:medio B:bajo MB:muybajo
EFECTIVIDAD
FRECUENCIA
EFECTIVIDAD DEL CONTROL
DEGRADACION DE ACTIVOS
Documento: Metodología Gestión de Riesgos
Riesgo Prioridad Tiempodeejecucióndeacciones
Inaceptable MuyAlta Inmediata
Importante Alta De0a4meses
Moderado Media De4a7meses
Tolerable Baja De7a12meses
Aceptable Muybaja De12a16meses
Tabla14.Priorizaciónderiesgos.
2.5 LAGESTIÓNDERIESGOSENLOSACTIVOS
2.5.1 Objetivo
Estructurarloscriteriosparalatomadedecisionesrespectoaltratamientodelosriesgos,enestaetapaseestablecelasguíasdeacciónnecesariasparacoordinaryadministrarloseventosquepuedencomprometerlaconfidencialidad,integridadydisponibilidaddelosactivos.
2.5.2 Desarrollodeactividades
2.5.3 Tomadedecisiones
Si el riesgo se ubica en la Zona de RiesgoAceptable, permite a laOrganización aceptarlo, es decir, elriesgoseencuentraenunnivelquepuedeasumirsesinnecesidaddetomarotrasmedidasdecontrol.
SielriesgoseubicaenlaZonadeRiesgoInaceptable,esaconsejableeliminarlaactividadquegeneraelriesgoenlamedidaqueseaposible.
Sielriesgosesitúaencualquieradelasotraszonas(riesgotolerable,moderadooimportante)sedebentomarmedidas para llevar los Riesgos a la Zona Aceptable, con la implementación de los respectivoscontroles.
Lasmedidasdependendelpuntoenlacualseubicaelriesgo:
Documento: Metodología Gestión de Riesgos
ZONA IMPACTO FRECUENCIA MEDIDAZonaderiesgoimportante
MA:muyalto PocofrecuentePrevenirriesgo:Implementarcontrolesfrenteaimpacto.
MA:muyalto Normal Prevenirriesgo:Implementarcontrolesfrenteaimpacto.A:alto Frecuente Prevenir riesgo: Implementar ó mejorar controles frente a impacto y
frecuencia.M:medio Frecuente Prevenir riesgo: Implementar ó mejorar controles frente a impacto y
frecuencia.M:medio Muyfrecuente Prevenir riesgo: Implementar ó mejorar controles frente a impacto y
frecuencia.Zonaderiesgomoderado
A:alto Pocofrecuente Compartirriesgos.Prevenirriesgo:Implementarómejorarcontrolesfrenteaimpacto.
A:alto Normal Compartirriesgos.Prevenir riesgo: Implementar ó mejorar controles frente a impacto yfrecuencia.
M:medio Normal Compartirriesgos.Prevenir riesgo: Implementar ó mejorar controles frente a impacto yfrecuencia.
B:bajo Frecuente Realizar análisis costo beneficio para decidir si el riesgo se asume, seprevieneosecomparte.
B:bajo Muyfrecuente Realizar análisis costo beneficio para decidir si el riesgo se asume, seprevieneosecomparte.
Zonatolerabledelriesgo
M:medio Pocofrecuente Prevenirriesgo:Implementarómejorarcontrolesfrenteaimpacto.
B:bajo Normal Realizar análisis costo beneficio parta decidir si el riesgo se asume, seprevieneosecomparte.
MB:muybajo
Frecuente Realizar análisis costo beneficio parta decidir si el riesgo se asume, seprevieneosecomparte.
MB:muybajo
Muyfrecuente Realizar análisis costo beneficio parta decidir si el riesgo se asume, seprevieneosecomparte.
Tabla15.Estimacióndelosriesgossobrelosactivos.
La selección de controles se realizará tomando como referencia el Anexo A del estándar ISO/IEC27001:2013.Paraseleccionarloscontrolesfrentealosriesgosestablecidos,deberárealizarseunanálisiscosto-beneficioparaevitarimplementacióndecontrolesconcostossuperioresalcostodelosriesgosreales.
2.5.4 Plandetratamientoderiesgos
Una vez seleccionado los controles que serán implementados para mitigación de riesgos es necesarioelaborarunplandeacciónquegaranticeunefectivodesplieguedelosmismos.La elaboración del plan de tratamiento de riesgos será responsabilidad del Oficial de Seguridad y larespectivaaprobacióndelosmismosdelComitédeSeguridad.
Documento: Metodología Gestión de Riesgos
3 REFERENCIAS
• ISO27005:2018• ISO/IEC31000:2018• ISO/27001:2013• ISO22301:2012• ISO27005:2005• ISO31000:2009
Top Related