ADR_2_Cap01-SeguridadInformacio_Diapositivas_V201106 - Paola Hernández

Vista previa del material en texto

SEGURIDAD DE LA 
INFORMACION
Es el proceso de planear, organizar, 
coordinar, dirigir y controlar las 
actividades relacionadas a asegurar la 
integridad, confidencialidad y 
disponibilidad de la información de un 
SEGURIDAD DE LA INFORMACION
Julio de 2011 Lic Fabiana María Riva 2
disponibilidad de la información de un 
sistema y sus usuarios y resguardar los 
activos de la organización
Sostener la 
Continuidad Segura de los Negocios
por medio de una estructura que 
mantenga la:
– Integridad
– Confidencialidad
• Control de accesos
• Autenticación• Autenticación
• No repudio (de emisión y recepción) 
–Disponibilidad
Y prepararse para las contingencias que puedan 
ocurrir en un grado acorde a la
criticidad de la Misión de Negocio
Julio de 2011 Lic Fabiana María Riva 3
SEGURIDAD DE LA INFORMACION vs. 
SEGURIDAD INFORMÁTICA
SEGURIDAD DE LA 
INFORMACIÓN
Seguridad 
Julio de 2011 Lic Fabiana María Riva 4
Informática
RIESGOS
FALTA DE POLITICAS DE TRATAMIENTO 
DE LA INFORMACIÓN
ERRORES, ACTOS DELIBERADOS DEL 
PERSONAL
NO REALIZACIÓN DE LA GESTION 
CORRECTA DE CAMBIOS
CONTROLES INSUFICIENTES
RIESGOS
ATAQUES UTILIZANDO TECNOLOGÍAS, 
MALWARE, FALTA DE POLÍTICAS DE 
RESGUARDO
DESCONOCIMIENTO DE POSIBLES 
RIESGOS
SEGURIDAD DE LA 
INFORMACION
Marco conceptual de la 
Gestión de Riesgos
Un riesgo NO es un PROBLEMA….
El PROBLEMA es un RIESGO 
que ha acontecido
Robert Charette
Definiciones de riesgos
Robert Charette
Julio de 2011 Lic Fabiana María Riva 6
Definiciones de riesgos
Según el diccionario de la Real Academia 
Española
(Del it. risico o rischio, y este del ár. clás. rizq, (Del it. risico o rischio, y este del ár. clás. rizq, 
lo que depara la providencia).
1. m. Contingencia o proximidad de un daño.
2. m. Cada una de las contingencias que 
pueden ser objeto de un contrato de seguro
Julio de 2011 Lic Fabiana María Riva 7
Un riesgo también es…
Una variación de los resultados 
esperados, donde esa variación 
genera el problema de la 
incertidumbreincertidumbre
Julio de 2011 Lic Fabiana María Riva 8
Marco Conceptual
Análisis de los riesgos: 
herramienta básica para 
♦La toma de decisiones acerca
de los recursos a ser invertidosde los recursos a ser invertidos
y el rango de riesgo deseado
♦La elaboración del plan de
auditoría
Julio de 2011 Lic Fabiana María Riva 9
Marco Conceptual. Referencias
Proyectos y Procesos:
� PMBOK 2004. PMI: Project Management Institute. 
Area Gestión de Riesgos
� SEI Software Engineering Institute CMMI V.1.3.
Seguridad de la Información:
� MAGERIT V.2: Metodología Automatizada de Análisis 
y Gestión de Riesgos de los Sistemas de Información 
de las Administraciones Públicas. Ministerio de 
Administración Pública de España. 
�Serie ISO/IEC 27000
Julio de 2011 Lic Fabiana María Riva 10
Marco Conceptual. Referencias
Auditorías
� COBIT V.4.1. Control OBjectives for Information and 
related Technology. 
Provisión de servicios en Areas de TI:Provisión de servicios en Areas de TI:
�ITIL V.3. : Information Technology Infrastructure 
Library
Julio de 2011 Lic Fabiana María Riva 11
PMBOK - PMI
Relaciona al riesgo con 
OPORTUNIDADES: resultados positivos
AMENAZAS: resultados negativos
Los objetivos de la Gestión de los Los objetivos de la Gestión de los 
Riesgos del Proyecto:
– aumentar la probabilidad y el impacto de 
los eventos positivos
– disminuir la probabilidad y el impacto de 
los eventos adversos
Julio de 2011 Lic Fabiana María Riva 12
SEI
Posibilidad de pérdida y precursor de un 
problema definido en función de: 
♦ Probabilidad de que ocurra un 
evento adverso.
♦ Impacto, manifestado en una ♦ Impacto, manifestado en una 
combinación de pérdida económica, 
retraso temporal y pérdida de 
rendimiento
Provee un método sistemático de 
Identificación de riesgos basados en 
Taxonomías. 
Julio de 2011 Lic Fabiana María Riva 13
SEI - CMMi
Para alcanzar el Nivel 2: Administrado:
Categoría de Administración de Proyectos:
Área: Planificación de Proyectos
Meta Específica 2: Especificar el Plan del 
Proyecto
Práctica Especifica 2.2.: Identificar Práctica Especifica 2.2.: Identificar 
riesgos del Proyecto
Área: Control y Seguimiento de Proyectos
Meta Específica 1: Realizar el seguimiento 
del proyecto contra el Plan
Práctica Especifica 1.3.: Monitorizar los 
riesgos del Proyecto
Julio de 2011 Lic Fabiana María Riva 14
SEI - CMMi
Para alcanzar el Nivel 3: Definido:
Categoría de Administración de Proyectos:
Área: Gestión de Riesgos:
Identificar problemas potenciales antes de que Identificar problemas potenciales antes de que 
ocurran… para mitigar los impactos adversos
sobre los objetivos a alcanzar
Julio de 2011 Lic Fabiana María Riva 15
SEI - CMMi
Área: Gestión de Riesgos:
Meta específica 1 Prepararse para la administración de 
riesgos
PE 1.1 Determinar las fuentes y categorías de riesgos
PE 1.2 Definir los parámetros de riesgos
PE 1.3 Establecer estrategias de administración de riesgos
Meta específica 2 Identificar y analizar riesgos
PE 2.1 Identificar riesgos
PE 2.2 Evaluar, clasificar y priorizar riesgos
Meta específica 3 Mitigar Riesgos
PE 3.1 Desarrollar planes de mitigación de riesgos
PE 3.2. Implementar planes de mitigación de riesgos
Julio de 2011 Lic Fabiana María Riva 16
MAGERIT
– Riesgo: estimación del grado de exposición a 
que una amenaza se materialice sobre uno o 
más activos causando daños o perjuicios a la 
Organización. 
– Análisis de riesgos: proceso sistemático para 
estimar la magnitud de los riesgos a que está estimar la magnitud de los riesgos a que está 
expuesta una Organización. 
– Gestión de riesgos: selección e implantación 
de salvaguardas para conocer, prevenir, 
impedir, reducir o controlar los riesgos 
identificados.
Julio de 2011 Lic Fabiana María Riva 17
Serie ISO/IEC 27000
ISO 27001: Norma certificable de Seguridad 
de la Información 
ISO 27002: Guía de Buenas Lista de controlesISO 27002: Guía de Buenas Lista de controles
de seguridad recomendados y que en la 
práctica se seleccionan en base a una 
valorización de riesgos
Julio de 2011 Lic Fabiana María Riva 18
COBIT
Objetivos de control en Dominios.
Control sobre el proceso de TI: 9. Evaluación 
de Riesgos
Requisitos del Negocio: asegurar el logro de los 
objetivos de TI y responder a las amenazas
hacia la provisión de servicios de TI.
Posibilitado por: la participación de la propia 
organización en la identificación de riesgos 
de TI y en el análisis de impacto, tomando 
medidas económicas para mitigar los riesgos
Julio de 2011 Lic Fabiana María Riva 19
COBIT….
Objetivos de control sobre los siguientes 
procesos:
♦ 9.1 Evaluación de Riesgos del Negocio
♦ 9.2 Enfoque de Evaluación de Riesgos♦ 9.2 Enfoque de Evaluación de Riesgos
♦ 9.3 Identificación de Riesgos
♦ 9.4 Medición de Riesgos
♦ 9.5 Plan de Acción contra Riesgos
♦ 9.6 Aceptación de Riesgos
Julio de 2011 Lic Fabiana María Riva 20
ITIL V.3.
Diseño del Servicio
Proceso: Gestión de la Continuidad del 
Servicio
♦ Evaluación de riesgos: Enumerar y evaluar, 
dependiendo de su probabilidad e impacto, 
los diferentes riesgos y factores de riesgo 
(amenazas, vulnerabilidades, etc.)(amenazas, vulnerabilidades, etc.)
♦ Establecimiento de Estrategias: medidas 
preventivas o medidas reactivas
♦ Organización y Planificación:
– Plan de prevención de riesgos
– Plan de gestión de emergencias 
– Plan de recuperación
Julio de 2011 Lic Fabiana María Riva 21
Factores del Riesgo
El NIVEL DE RIESGO SE 
ESTABLECE CON UNA 
CONJUGACION DE:
Incertidumbre
Pérdidas
Julio de 2011 Lic Fabiana María Riva 22
Componentes del Riesgo
Identificación de un evento que tiene 
♦ una probabilidad de ocurrencia
y y 
♦ un impacto, la dimensión de la
pérdida, cuantificada en términos
monetarios
Julio de 2011 Lic Fabiana María Riva 23
Estado de Riesgo de un evento
Estado de Riesgo, Severidad o 
EXPOSICIÓN
=
PROBABILIDADPROBABILIDAD
de ocurrencia del riesgo
x 
IMPACTO
que causa si sucede
Julio de 2011 Lic Fabiana María Riva24
SEGURIDAD DE LA 
INFORMACION
El Proceso de Gestión de 
Riesgos
Julio de 2011 Lic Fabiana María Riva 26
El proceso de Gestión de Riesgos 
1. PLANIFICACIÓN
2. IDENTIFICACIÓN
3. CUALIFICACIÓN
Julio de 2011 Lic Fabiana María Riva 27
3. CUALIFICACIÓN
4. CUANTIFICACION
5. PLANEAMIENTO DE LA RESPUESTA
6.MONITOREO Y CONTROL
IDENTIFICACIÓN DE 
RIESGOS
Julio de 2011 Lic Fabiana María Riva 28
Planificación de la Gestión de Riesgos
Objetivo: 
� Determinar cómo serán abordadas y 
planeadas las actividades de riesgos
Resultado a obtener:
Julio de 2011 Lic Fabiana María Riva 29
Resultado a obtener:
� El Plan de Gestión de Riesgos
El Plan de Gestión de riesgos
La empresa debe tener estandarizado el 
proceso para acumular experiencia.
¿Qué debería incluir?
� Enfoque, herramientas y fuentes de datos.
� Los roles y las responsabilidades.
� El presupuesto.
El calendario de manejo de riesgos.
Julio de 2011 Lic Fabiana María Riva 30
� El calendario de manejo de riesgos.
� Métodos de evaluación e interpretación.
� Los criterios de umbrales de riesgos sobre 
los cuales se actúa. 
� Los formatos de Reportes
� La información a registrar
� Los planes de tratamiento y contingencias
La Identificación de Riesgos
Es un criterio proactivo que busca 
identificar posibles factores de 
riesgo y tomar medidas de 
aseguramiento o planes de aseguramiento o planes de 
contingencia para contrarrestarlos 
a ellos y a sus efectos.
Julio de 2011 Lic Fabiana María Riva 31
Identificación de riesgos
♦ Objetivo:
– Determinar qué riesgos pueden afectar al 
proyecto u organización y documentar sus 
características.
♦ Resultados a obtener:♦ Resultados a obtener:
– Definición de riesgos
– Disparadores: señales de advertencia 
– Retroalimentación de entrada a otros 
procesos
Julio de 2011 Lic Fabiana María Riva 32
Cuándo realizar la Identificación de 
Riesgos
No es un proceso que se debe hacer 
por una sola vezpor una sola vez
debe realizarse en forma regular
Julio de 2011 Lic Fabiana María Riva 33
Fuentes de Identificación de Riesgos
♦ Documentos de la organización o del proyecto 
(Documentación de Procesos - Acta de 
Proyecto – Estructura de desglose de trabajo, 
etc.)
♦ Organigramas♦ Organigramas
♦ Políticas
♦ Reportes financieros y contables
Julio de 2011 Lic Fabiana María Riva 34
Herramientas y Técnicas
♦ Revisiones de Documentación
♦ Técnicas de Recopilación de Información
– Brainstorming 
– Técnica Delphi 
– Discusiones de grupo, entrevistas y cuestionarios
– Análisis FODA 
♦ Análisis mediante Check Lists 
– De inspecciones físicas y auditorias anteriores.– De inspecciones físicas y auditorias anteriores.
♦ Análisis de asunciones o escenarios
♦ Técnicas de Diagramación
– Diagramas Causa-Efecto
– Diagramas de Sistemas
– Diagramas de influencias
♦ Experiencia personal de los involucrados
Julio de 2011 Lic Fabiana María Riva 35
Entrevista con Expertos
Identificar ExpertosIdentificar Expertos
SolicitarSolicitar
opinión eopinión e
Cuantificar Cuantificar 
lala
Julio de 2011 Lic Fabiana María Riva 36
Prepararse para la Prepararse para la 
entrevistaentrevista
opinión eopinión e
informacióninformación informacióninformación
Brainstorming
Establecer una PreguntaEtapa IEtapa I
Etapa IIEtapa II
Las ideas fluyen
� Escuchar
� Anotar las ideas a medida que se van 
formulando
� Nunca criticar las ideas, todas tienen valor
� Usar las ideas de otros como punto de partida 
Julio de 2011 Lic Fabiana María Riva 37
Etapa IIEtapa II � Usar las ideas de otros como punto de partida 
para construir las propias
� Suspender la formulación de soluciones hasta 
haber completado el proceso
� No se prioriza en esta etapa
Etapa IIIEtapa III
Las ideas se priorizan
� Se eliminan las repetidas
� Son el resultado del grupo (no hay resultados 
particulares)
� Debata, no domine
� Muy importante el rol del moderador o 
facilitador
Técnica de Delphi
Exploración del Tema de DiscusiónExploración del Tema de Discusión
Cuestionario desestructurado
El moderador realiza una síntesis de las 
respuestas
Comprensión del TemaComprensión del Tema
Segundo cuestionario en base a acuerdos y 
desacuerdos
El moderador realiza un análisis estadístico 
de las respuestas
Fase 1Fase 1
Fase 2Fase 2
Julio de 2011 Lic Fabiana María Riva 38
Exploración de los desacuerdosExploración de los desacuerdos
Tercer cuestionario en base a las razones 
de los desacuerdos
El moderador realiza un análisis estadístico 
y un resumen de argumentos
de las respuestas
Evaluación FinalEvaluación Final
Fase 3Fase 3
Fase 4Fase 4
ANÁLISIS CUALITATIVO
Julio de 2011 Lic Fabiana María Riva 39
Objetivo y Resultado a Obtener
♦ Objetivo: 
– Realizar un análisis cualitativo y 
condiciones de los riesgos para priorizar 
sus efectos sobre los objetivos del 
proyecto/proceso/sistema/recurso
♦ Resultado a Obtener:♦ Resultado a Obtener:
Actualizar el registro de riesgos realizado en la 
etapa de identificación de riesgos con:
– Lista priorizada de riesgos en función del 
impacto y probabilidad estimados
– Riesgos agrupados en categorías
– Causas de riesgos o áreas que requieran 
mayor atención
Julio de 2011 Lic Fabiana María Riva 40
Efectos
Casi cualquier riesgo puede tener los 
siguientes efectos:
♦ Costos-Los costos del proyecto pueden 
crecer.
♦ Cronograma-Obtener los entregables del ♦ Cronograma-Obtener los entregables del 
proyecto tardíamente.
♦ Funcionalidad-El nivel de desempeño o la 
capacidad prevista por los entregables del 
proyecto sea reducida.
♦ Calidad-El nivel de excelencia de los 
entregables sea reducido. 
Julio de 2011 Lic Fabiana María Riva 41
Análisis cualitativo del Impacto
Se propone una escala de cinco 
niveles (balance entre una escala 
de poca discriminación y 
demasiado grande)
1-Muy bajo.
2-Bajo.
3-Medio.
4-Alto.
5-Muy alto
Julio de 2011 Lic Fabiana María Riva 42
Evaluación del Impacto de Riesgo en 
los Objetivos del Proyecto (PMI)
Objetivo 
del 
Proyecto
Muy Bajo Bajo Medio Alto Muy Alto
Costos Incremento 
insignificant
e
Incremento 
< 5%
Incremento 
entre 5 y 
10%
Incremento 
entre 10 y 
20%
Incremento 
> 20%
Cronogra
ma
Incremento 
insignificant
Retraso 
global < 
Retraso 
global entre 
Retraso 
global 
Retraso 
global > 
Julio de 2011 Lic Fabiana María Riva 43
ma insignificant
e
global < 
5%
global entre 
5 y 10%
global 
entre 10 y 
20%
global > 
20%
Alcance Reducción 
escasament
e 
apreciable
Areas 
menores de 
alcance 
afectadas
Areas 
mayores de 
alcance 
afectadas
Reducción 
de alcance 
inaceptable 
a la 
empresa
Fin del 
proyecto. El 
producto es 
inutilizable
Calidad Degradació
n 
escasament
e 
apreciable
Solo 
aplicaciones 
muy 
exigentes 
se afectan
Reduccion 
de calidad 
que 
requiere 
aprobación
Reducción 
de calidad 
inaceptable 
a la 
empresa
Fin del 
proyecto. El 
producto es 
efectivamen
te 
inutilizable
Probabilidad
La extensión a la cual el riesgo 
es posible que ocurra.
♦También se define en escala 
–1 = muy improbable (< 3%),–1 = muy improbable (< 3%),
–2 = poco probable (< 10%), 
–3 = probable (< 30%), 
–4 = altamente probable (<60%), 
–5 = casi cierto (>60%)
Julio de 2011 Lic Fabiana María Riva 44
Cómo medir la probabilidad de 
ocurrencia de un riesgo
La posibilidad de un evento frecuentemente 
depende no sólo de la estadística sino 
también de la intervención humana: 
♦ Probabilidad de ocurrencia: la probabilidad 
que ocurra si no tomamos ninguna acción y 
♦ Probabilidad de ocurrencia: la probabilidad 
que ocurra si no tomamos ninguna acción y 
♦ Dificultad de intervención: el nivel de 
dificultad que experimentaríamos en prevenir 
que ocurra el riesgo.
Julio de 2011 Lic Fabiana María Riva 45
Escalas de Probabilidad de Ocurrencia y 
Dificultad de Intervención
Ni
vel
Probabilidad de 
Ocurrencia
Dificultad de Intervención
1 Me sorprende si ocurre Seguir los procesos normales de administración 
fácilmente permiten un resultado aceptable
2 Más probable que no ocurra
a que si ocurra
Un cuidadososeguimiento de los procesos de 
administración probablemente darán un 
resultado aceptable
Julio de 2011 Lic Fabiana María Riva 46
resultado aceptable
3 Tan probable que ocurra
como que no ocurra
Se requieren esfuerzos y tiempos adicionales 
para obtener un resultado aceptable
4 Más probable que ocurra a
que no ocurra
Los recursos y autoridad son solo suficientes 
para permitir un efecto menor en el resultado
5 Me sorprendería si no
ocurriese
La habilidad para afectar el resultado es cero.
Matriz de Probabilidad e impacto
Julio de 2011 Lic Fabiana María Riva 47
Lista Priorizada de Riesgos
Id.WBSId.WBS CategoríaCategoría RiesgoRiesgo ProbabProbab
ilidadilidad
ImpactoImpacto SeveridSeverid
adad
Julio de 2011 Lic Fabiana María Riva 48
Ley de WILFREDO PARETO
Para un proyecto grande se pueden identificar 
hasta unos 40
riesgos. El Plan de gestión de riesgo, entonces, 
puede convertirse en un proyecto en sí 
mismo. 
Por este motivo, adaptamos la regla de Pareto Por este motivo, adaptamos la regla de Pareto 
80-20 al riesgo
La experiencia dice que el 80 por ciento del 
riesgo total de un proyecto se debe 
solamente al 20 por ciento de los riesgos 
identificados. 
La lista Priorizada de riesgos ayudará al jefe de 
proyecto a determinar qué riesgos 
pertenecen a ese 20 por ciento. 
Julio de 2011 Lic Fabiana María Riva 49
ANÁLISIS CUANTITATIVO
Julio de 2011 Lic Fabiana María Riva 50
Objetivo y Resultados a Obtener
♦Objetivo: 
– Medir la probabilidad y 
consecuencias de riesgos y estimar 
sus efectos
♦Resultados a Obtener:♦Resultados a Obtener:
– Análisis probabilístico.
– Probabilidad de alcanzar los 
objetivos de tiempo y costos.
– Lista priorizada de riesgos 
cuantificada.
Julio de 2011 Lic Fabiana María Riva 51
Herramientas y Técnicas
♦ Técnicas de Recopilación y 
Representación de Datos:
– Entrevistas
– Distribuciones de Probabilidad
♦ Técnicas de Análisis Cuantitativo y ♦ Técnicas de Análisis Cuantitativo y 
Modelado:
– Análisis de sensibilidad
– Análisis del Valor Comercial Esperado 
(Árboles de decisión)
– Modelado y Simulación
♦ Juicio de expertos
Julio de 2011 Lic Fabiana María Riva 52
Herramientas y Técnicas para…
♦ Determinar la probabilidad de alcanzar 
un objetivo.
♦ Cuantificar la exposición al riesgo y 
determinar el valor de reservas de 
contingencias de costo y cronograma contingencias de costo y cronograma 
que puedan ser necesarias.
♦ Identificar los riesgos que requieren 
mayor atención cuantificando su 
relativa contribución al riesgo. 
Julio de 2011 Lic Fabiana María Riva 53
Riesgo de Programación de Tiempos
Julio de 2011 Lic Fabiana María Riva 54
Simulación de MonteCarlo
♦ La simulación es un método matemático que 
aplicado al cronograma explora todas las 
combinaciones de eventos ciertos e inciertos 
de duración de las actividades. 
♦ Las duraciones se escogen al azar de 
funciones de distribución probabilística de 
entrada. 
♦ El proyecto es entonces recalculado ♦ El proyecto es entonces recalculado 
♦ Se recalculan las fechas de terminación 
muchas veces
♦ Se elabora una distribución de fechas de 
completitud
♦ La curva de probabilidad acumulada otorga 
los resultados.
Julio de 2011 Lic Fabiana María Riva 55
Resultados de la Simulación
Julio de 2011 Lic Fabiana María Riva 56
Resultados de la Simulación
Julio de 2011 Lic Fabiana María Riva 57
Árboles de Decisión
Julio de 2011 Lic Fabiana María Riva 58
PLANIFICACIÓN DE LAS 
RESPUESTAS A LOS 
RIESGOSRIESGOS
Julio de 2011 Lic Fabiana María Riva 59
Objetivo y Resultados a Obtener
♦Objetivo: 
– Desarrollar opciones y determinar 
acciones que reduzcan las amenazas 
y aumenten las oportunidades para 
lograr los objetivos del proyecto.
Resultados a Obtener:♦Resultados a Obtener:
– Plan de Respuestas a Riesgos.
– Determinación de reservas de 
contingencia.
– Riesgos Residuales y secundarios.
Julio de 2011 Lic Fabiana María Riva 60
Plan de Respuestas
♦ Incluye la identificación y asignación de 
personas o grupos responsables por las 
respuestas a cada riesgo.
♦ El plan de respuestas debe ser :
– Apropiado a la severidad en cada riesgo.
– Efectivo en costos.– Efectivo en costos.
– Oportuno para ser exitoso.
– Realista en el contexto.
– Acordado por las partes involucradas.
– Asignado a la persona responsable por 
ejecutar la respuesta.
Julio de 2011 Lic Fabiana María Riva 61
Estrategia de Respuestas a 
Riesgos Negativos
♦ Evitar: No lo acepto de esa forma
♦ Transferir: Estoy dispuesto a transferir a un 
tercero el riesgo y la gestión del mismo, soy 
consciente de que no puedo eliminar todo el 
riesgo (Subcontratar, Asegurar)
♦ Mitigar: Estoy consciente del riesgo y haré lo 
posible para minimizar su ocurrencia 
♦ Mitigar: Estoy consciente del riesgo y haré lo 
posible para minimizar su ocurrencia 
(probabilidad) y consecuencias (impacto)
♦ Aceptar: Estoy consciente del riesgo y estoy 
dispuesto a aceptar las consecuencias de su 
posible ocurrencia
♦ Contingencia: Tendré respuestas 
preparadas por si ocurre el evento (necesidad 
de señales tempranas de advertencia)
Julio de 2011 Lic Fabiana María Riva 62
Plan de Respuestas a 
Riesgos Negativos
Riesgo Nro.
Desarrollo de Estrategias de respuesta a amenazas
Evitar
Aceptar 
Contingenci
a o Reserva
Mitigación
TransferirMinimizar 
Probabilidad
Minimizar 
Impacto
Julio de 2011 Lic Fabiana María Riva 63
a o Reserva Probabilidad Impacto
Estrategia
Ventajas
Desventajas
Estrategia de Respuestas a 
Riesgos Positivos
♦ Explotar: Haré lo posible para asegurarme 
que la oportunidad sea una realidad
♦ Compart¡r: Estoy dispuesto a transferir a un 
tercero que está mejor capacitado para 
capturar la oportunidad 
♦ Mejorar: Hará lo posible por maximizar su 
ocurrencia (probabilidad) y consecuencias 
♦ Mejorar: Hará lo posible por maximizar su 
ocurrencia (probabilidad) y consecuencias 
(impacto)
♦ Aceptar: Estoy dispuesto a aceptar las 
consecuencias de su posible ocurrencia
♦ Contingencia: Tendré respuestas preparadas 
por si ocurre el evento (necesidad de señales 
tempranas de advertencia)
Julio de 2011 Lic Fabiana María Riva 64
Plan de Respuestas a 
Riesgos Positivos
Riesgo Nro.
Desarrollo de Estrategias de respuesta a Oportunidades
Explotar Aceptar 
Mejorar
CompartirMaximizar 
Probabilidad
Maximizar 
Impacto
Julio de 2011 Lic Fabiana María Riva 65
Probabilidad Impacto
Estrategia
Ventajas
Desventaja
s
COSTO DE LA GESTION DE 
RIESGOS
Julio de 2011 Lic Fabiana María Riva 66
Seleccionar la mejor opción
Implementar medidas de reducción
Usar Juicio
Antieconómico
Nivel Total de 
Riesgos
Julio de 2011 Lic Fabiana María Riva 67
Costo de 
Gestión
Antieconómico
Reservas Gerenciales y de Contingencia
Julio de 2011 Lic Fabiana María Riva 68
SEGUIMIENTO Y CONTROL 
DE RIESGOS
Julio de 2011 Lic Fabiana María Riva 69
Objetivo y Resultado a Obtener
Objetivo: 
♦ Definir un enfoque de seguimiento para 
monitorear los riesgos durante el 
desempeño del proyecto.
Resultados a Obtener:
♦ Documentación de los resultados de las 
actividades del plan de gestión de riesgosactividades del plan de gestión de riesgos
– Riesgos con probabilidad moderada a 
alta
•Continuar con el plan de EVITAR Y 
MITIGAR.
– Riesgos que se hayan materializado
• Iniciar el PLAN DE CONTINGENCIAS
– Riesgos que se hayan evitado.
•Retirar de plan (pero documentar).
Julio de 2011 Lic Fabiana María Riva 70
Procedimiento
♦ Ejecutar el Plan de Gestión de Riesgos
– Riesgos con probabilidad moderada a 
alta: Continuar con el plan de EVITAR Y 
MITIGAR.
– Riesgos que se hayan materializado: 
Iniciar el PLAN DE CONTINGENCIAS
– Riesgos que se hayan evitado: Retirar – Riesgos que se hayan evitado: Retirar 
de plan (pero documentar).
♦ Ejecutar las estrategias de respuesta a 
medida que los riesgos ocurran
♦ Evaluar los resultados 
♦ Documentar
Julio de 2011 Lic Fabiana María Riva 71
Evaluación de Resultados
♦ Evaluar el estado general
♦ Re-evaluar riesgos
– Probabilidad/Impacto/Eventosreales
♦ Re-evaluar estrategias de respuesta♦ Re-evaluar estrategias de respuesta
– Éxitos y fracasos/Eventos/Riesgos 
re-evaluados
– Realizar arreglos a medida que sea 
necesario
– Comunicar cambios y estado
Julio de 2011 Lic Fabiana María Riva 72
Documentación de Resultados
♦ La documentación de resultados de la 
Gestión de Riesgos es un proceso continuo
♦ Esta documentación
– Provee una vinculación con el inicio del 
proyecto
– Provee un resumen de lecciones – Provee un resumen de lecciones 
aprendidas
– Funciona como un mecanismo de 
comunicación
♦ La documentación debe ser: Actualizada, 
precisa y completa, tan simple como sea 
posible
♦ Usar sentido común cuando se documenta
♦ Propagar la documentación
Julio de 2011 Lic Fabiana María Riva 73
GESTIÓN DE RIESGOS EN 
SEGURIDAD DE LA 
INFORMACIÓNINFORMACIÓN
Julio de 2011 Lic Fabiana María Riva 74
Gestión de Riesgos en 
Seguridad de la información
Julio de 2011 Lic Fabiana María Riva 75
RIESGOS
Julio de 2011 Lic Fabiana María Riva 76
Clasificación de los Riesgos
♦ RIESGOS GENÉRICOS : Son todos 
los riesgos que afectan a cualquier 
proyecto u organización
♦ RIESGOS ESPECÍFICOS: Son 
riesgos asociados a un producto o a riesgos asociados a un producto o a 
una organización en particular en 
forma única y específica. Solo son 
identificables por aquellos que tienen 
una visión clara de la tecnología, 
personal y entorno específico.
Julio de 2011 Lic Fabiana María Riva 77
Estructura de Desglose de Riesgos (PMI)
Julio de 2011 Lic Fabiana María Riva 78
Los 9 procesos del PMI
Integración
Alcance
Tiempos
Gestión de Riesgos 
Variables del ciclo de vida y 
ambientales
Expectativas. 
Factibilidad Objetivos de Tiempo. 
Restricciones
Objetivos de 
Costos. 
Julio de 2011 Lic Fabiana María Riva 79
Costos
Calidad
RRHH
Comunicaciones
Gestión de Riesgos 
del Proyecto
Adquisiciones
Requerimientos. 
Estándares
Transferencia precisa de 
información
Disponibilidad. 
Productividad
Costos. 
Restricciones
Servicios. Materiales, 
performance
Taxonomía del SEI
1. Acciones de las Personas 2. Fallas de Sistemas y 
Tecnología
1.1 Involuntarias 2.1 Hardware
1.1.1 Equivocación (acción 
incorrecta)
2.1.1 Capacidad
1.1.2 Error (por desconocimiento) 2.1.2 Rendimiento
1.1.3 Omisión (por apresuramiento) 2.1.3 Mantenimiento
1.2 Deliberadas 2.1.4 Obsolescencia
1.2.1 Fraude 2.2 Software
1.2.2 Sabotaje 2.2.1 Compatibilidad
1.2.3 Robo 2.2.2 Configuración
Julio de 2011 Lic Fabiana María Riva 80
1.2.3 Robo 2.2.2 Configuración
1.2.4 Vandalismo 2.2.3 Control de Cambios
1.3 Inacción 2.2.4 Parámetros de Seguridad
1.3.1 Habilidad 2.2.5 Prácticas de Codificación 
1.3.2 Conocimiento 2.2.6 Testing
1.3.3 Guía 2.3 Sistemas
1.3.4 Disponibilidad 2.3.1 Diseño
2.3.2 Especificaciones
2.3.3 Integración
2.3.4 Complejidad
3. Fallas de Procesos Internos 4. Eventos externos
3.1. Diseño de Procesos y Ejecución 4.1 Desastres
3.1.1 Flujo de Procesos 4.1.1 Climatológicos
3.1.2 Documentación de Procesos 4.1.2 Incendios
3.1.3 Roles y responsabilidades 4.1.3 Inundaciones
3.1.4 Notificaciones y alertas 4.1.4 Terremotos
3.1.5 Flujo de Información 4.1.5 Disturbios 
3.1.6 Escalado de problemas 4.1.6 Pandemias
3.1.7 Acuerdo de Nivel de Servicio 4.2 Cuestiones Legales
3.1.8 Tarea fuera de control 4.2.1 Regulaciones
3.2 Control de Procesos 4.2.2 Legislación
Taxonomía del SEI….
Julio de 2011 Lic Fabiana María Riva 81
3.2 Control de Procesos 4.2.2 Legislación
3.2.1 Monitorización del estado 4.2.3 Litigios
3.2.2 Métricas 4.3 Cuestiones del Negocio
3.2.3 Revisiones Periódicas 4.3.1 Fallas del Suministro
3.2.4 Dueño del Proceso 4.3.2 Condiciones del Mercado
3.3 Procesos de Soporte 4.3.3 Condiciones Económicas
3.3.1 Dotación del Personal 4.4 Dependencias con Servicios
3.3.2 Recursos 4.4.1 Servicios Públicos
3.3.3 Entrenamiento y desarrollo 4.4.2 Servicios de Emergencia
3.3.4 Adquisición 4.4.3 Combustible
4.4.4 Transporte
AMENAZAS Y VULNERABILIDADES
Julio de 2011 Lic Fabiana María Riva 82
La “protección física”
Julio de 2011 Lic Fabiana María Riva 83
La violación al “acceso restringido”
Julio de 2011 Lic Fabiana María Riva 84
El “desconocimiento tecnológico” y la 
falta de prevención en el resguardo
Julio de 2011 Lic Fabiana María Riva 85
¿Para qué quieren nuestros datos?
Julio de 2011 Lic Fabiana María Riva 86
La Ingeniería Social
Julio de 2011 Lic Fabiana María Riva 87
Los “hackers”
Julio de 2011 Lic Fabiana María Riva 88
El Malware
Julio de 2011 Lic Fabiana María Riva 89
El Malware
Julio de 2011 Lic Fabiana María Riva 90
Contraseñas (in)seguras
Julio de 2011 Lic Fabiana María Riva 91
ALGUNOS MITOS
♦ ¿Quién va a querer mis datos?
♦Compré un paquete de seguridad.
♦ La culpa la tiene Windows
Los virus son parte de la informática
Julio de 2011 Lic Fabiana María Riva 92
♦ Los virus son parte de la informática
♦ Los hackers son malos
ERRORES MAS COMUNES
♦Ya tenemos un firewall.. ya tenemos 
seguridad ¿no?
♦No estoy en internet no necesito 
seguridad.
Julio de 2011 Lic Fabiana María Riva 93
seguridad.
♦Mis empleados son gente de confianza!!
♦Nunca ha pasado nada….
♦Ver el problema de seguridad como un 
problema exclusivamente tecnológico
ATAQUE INFORMÁTICO
Julio de 2011 Lic Fabiana María Riva 94
ACTIVOS
Julio de 2011 Lic Fabiana María Riva 95
CLASIFICACIÓN DE ACTIVOS
♦ Identificación de activos y componentes 
críticos 
♦ Clasificación a partir de criterios basados 
en su confidencialidad, integridad y 
disponibilidad.
Julio de 2011 Lic Fabiana María Riva 96
disponibilidad.
♦ Utilizado para la identificación de 
amenazas potenciales y controles
apropiados a la naturaleza del activo.
♦ Obtener Inventario o Catálogo de 
Activos.
CATEGORÍAS DE ACTIVOS
♦ Activos de información
♦ Activos de software
♦ Activos físicos
♦ Servicios
♦ Otros activos: imagen de la organización, 
Julio de 2011 Lic Fabiana María Riva 97
♦ Otros activos: imagen de la organización, 
objetivos, servicios producidos, credibilidad, 
etc.
Subclasificación dependiendo del acceso:
♦ Desclasificado
♦ Compartido
♦ Sólo para la organización
♦ Confidencial
RESPONSABILIDAD
La responsabilidad de cada 
activo deberá estar asignada 
Julio de 2011 Lic Fabiana María Riva 98
activo deberá estar asignada 
sobre cada propietario
VALOR DE LOS ACTIVOS
Julio de 2011 Lic Fabiana María Riva 99
DIMENSIONES DE VALORACIÓN
Se utilizan para medir las consecuencias de 
la materialización de una amenaza
♦ Necesidad de disponibilidad del activo
Julio de 2011 Lic Fabiana María Riva 100
♦ Nivel de pérdida de integridad del activo
♦ Nivel de confidencialidad
– Aseguramiento de la identidad del origen
– trazabilidad del Servicio y trazabilidad de 
Datos.
CRITERIOS DE VALORACIÓN
Impacto, valoración económica 
derivada de la inversión 
económica de reposición
ante la pérdida o escala 
Julio de 2011 Lic Fabiana María Riva 101
ante la pérdida o escala 
cualitativa
REQUERIMIENTOS DE SEGURIDAD Y 
CONTROLES
Julio de 2011 Lic Fabiana María Riva 102
CONTROLES O SALVAGUARDAS
Permiten hacer frente a las amenazas. 
Aspectos:
♦ Seguridad física
♦ Procedimientos♦ Procedimientos
♦ Política de personal
♦ Soluciones técnicas
La protección integral de un sistema de 
información requerirá una combinación 
de controles
Julio de 2011 Lic Fabiana María Riva 103
SEGURIDAD FÍSICA
Consiste en la aplicación de 
barreras físicas y 
procedimientos de control, 
como medidas de prevención y como medidas de prevención y 
contramedidas ante amenazas 
a los recursos informáticos y a 
la información
Julio de 2011 Lic Fabiana María Riva 104
SEGURIDAD FÍSICA
♦ Prevención de amenazas climatológicas e 
incendios
♦ Restringir el acceso físico a las instalaciones
♦ Instalar mecanismos de control de la 
seguridad (cámaras de seguridad, alarmas, 
guardias, sistemas biométricos, etc.)guardias, sistemas biométricos, etc.)
A nivel de:
♦ Infraestructura física de las instalaciones
♦ Infraestructura tecnológica
Julio de 2011 Lic Fabiana MaríaRiva 105
SEGURIDAD LÓGICA
Consiste en la aplicación de 
barreras y procedimientos 
que resguarden el acceso a los 
datos y sólo lo permitan a las datos y sólo lo permitan a las 
personas autorizadas. 
Julio de 2011 Lic Fabiana María Riva 106
SEGURIDAD LÓGICA
♦ Restringir el acceso
♦ Asignar privilegios y limitaciones
♦ Asegurarse del correcto uso de archivos y 
programas
♦ Controlar el flujo de entrada/salida de la 
información (transferencia segura, seguridad información (transferencia segura, seguridad 
perimetral)
A nivel de:
♦ Sistema Operativo
♦ Aplicación
♦ Base de Datos
♦ Archivos
Julio de 2011 Lic Fabiana María Riva 107
ESTRUCTURA DE SEGURIDAD HOY….
Seguridad de la InformaciónSeguridad de la InformaciónSeguridad de la InformaciónSeguridad de la Información
Seguridad FísicaSeguridad FísicaSeguridad FísicaSeguridad FísicaSeguridad LógicaSeguridad LógicaSeguridad LógicaSeguridad Lógica
Julio de 2011 Lic Fabiana María Riva
Seguridad FísicaSeguridad FísicaSeguridad FísicaSeguridad FísicaSeguridad LógicaSeguridad LógicaSeguridad LógicaSeguridad Lógica
Planes de Continuidad del Negocio Planes de Continuidad del Negocio Planes de Continuidad del Negocio Planes de Continuidad del Negocio 
Planes de Contingencia Planes de Contingencia Planes de Contingencia Planes de Contingencia 
Planes de Recuperación ante desastres Planes de Recuperación ante desastres Planes de Recuperación ante desastres Planes de Recuperación ante desastres 
CONTINGENCIAS DEL NEGOCIOCONTINGENCIAS DEL NEGOCIOCONTINGENCIAS DEL NEGOCIOCONTINGENCIAS DEL NEGOCIO
108
SISTEMA DE GESTIÓN DE 
SEGURIDAD DE LA 
INFORMACIÓNINFORMACIÓN
Julio de 2011 Lic Fabiana María Riva 109
SGSI
Propósito: garantizar que los 
riesgos a la seguridad de la 
información sean asumidos, 
gestionados y minimizados por la 
organización de una forma organización de una forma 
sistemática, estructurada, 
repetible, eficiente y adaptada a 
los cambios que se produzcan en 
los riesgos, el entorno y las 
tecnologías.
Julio de 2011 Lic Fabiana María Riva 110
LEYES Y REGULACIONES
Argentina:
♦ Ley 25.326 de Protección de datos modificada 
por Ley 26343 (incorpora artículo 47) y 
artículo 43 de la Constitución Nacional 
♦ Ley 11.723 sobre Propiedad Intelectual
♦ Comunicación “A” 4609 del BCRA para ♦ Comunicación “A” 4609 del BCRA para 
entidades Financieras. 
♦ Ley 25506 de Firma Digital
Internacionales:
♦ Basilea II
♦ Ley Sarbanes-Oxley (SOX). 
Julio de 2011 Lic Fabiana María Riva 111
CICLO DE CALIDAD PARA EL SGSI
Julio de 2011 Lic Fabiana María Riva 112
CICLO DE CALIDAD PARA EL SGSI
Julio de 2011 Lic Fabiana María Riva 113
ES MUY IMPORTANTE ESTABLECER 
POLITICA DE SEGURIDAD
“una declaración de intenciones de alto 
nivel que cubre la seguridad de los 
sistemas de información y que 
proporciona las bases para definir y proporciona las bases para definir y 
delimitar responsabilidades para las 
diversas actuaciones técnicas y 
organizativas que se requerirán”.
Julio de 2011 Lic Fabiana María Riva 114
Autorización
Protección Física
Confidencialidad
Confiabilidad
POLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDAD
Julio de 2011 Lic Fabiana María Riva
Exactitud
Política de Seguridad
Propiedad
Eficacia
Eficiencia
Integridad
Legalidad
Disponibilidad
115
CICLO DE CALIDAD PARA EL SGSI
Julio de 2011 Lic Fabiana María Riva 116
CICLO DE CALIDAD PARA EL SGSI
Julio de 2011 Lic Fabiana María Riva 117
CICLO DE CALIDAD PARA EL SGSI
Julio de 2011 Lic Fabiana María Riva 118
PLANES
♦ Plan de Continuidad de Negocio
♦ Plan de Contingencia
♦ Plan de Recuperación ante desastres
Julio de 2011 Lic Fabiana María Riva
♦ Plan de Recuperación ante desastres
119
FIN…?