COLEGIO OFICIAL

DE INGENIEROS EN INFORMÁTICA
DE LA COMUNIDAD VALENCIANA

Análisis de riesgos

1 Valencia, enero 2006

 IObjetivos
•Gestión del Análisis de riesgos
•Metodología de análisis de riesgos
•Análisis de riesgos

2
 Motivación
• La seguridad es un proceso, no un producto,
los productos de seguridad no ge salvarán. –
Bruce Schneier
• Un proceso se compone de tecnología,
personas y herramientas. Es importante
porque los procesos interaccionan en el
tiempo con personas y recursos llevan
asociados problemas de seguridad.

3
 Qué es un riesgo?
• Un evento a definir como:
• Probabilidad de ocurrencia.
• Consecuencia / impacto de la ocurrencia.

• Un riesgo no es un problema ... un problema es

cuando un riesgo ocurre.

4
 Riesgo de seguridad?
• Amenaza: Daño potencial activos de sistemas
de información
• Vulnerabilidad: fallo/debilidad en software,
hardware, procedimiento operacional, etc. que
puede hacer real una Amenaza.
• Riesgo: Probabilidad de que una amenzaza
pueda explotar una vulnerabilidad.

5
 Gives rise to
Threat
Agent Exploits
Threat
Leads to
Vulnerability

Directly affects RISK

Asset
Can damage
Exposure
Safeguard And causes an
Can be counter
measured by a

6
 Gestión de riesgos
• Proceso para identificar, valorar y reducir los
riesgos hasta un nivel aceptable,
implementando los mecanismos adecuados
para mantener y controlar el nivel de riesgo.
• El proceso reduce los riesgos definiendo y
controlando amenazas y vulnerabilidades.

7
 Análisis de riesgos
• Es el método usado por la gestión de riesgos para
minimizar el impacto de los mismos.
• Existen dos aproximaciones:
–Cuantitativa: Intenta establecer valores numéricos
para los costes de daños y controles de seguridad.
–Cualitativa: Establece un rango de valores
cualitativos para determinar los costes de daños y
controles de seguridad.

8
 Análisis Cuantitativo
• Valorar (tangibles/intangibles) los activos de sistemas
de información.
• Estimar a perdída potencial por riesgo.
• Realizar un análisis de amenazas.
• Establecer la pérdida general por riesgo.
• Elegir contramedidsa por cada riesgo.
• Determinar las acciones a tomar (minimizar, evitar,
aceptar)/(hacer algo, que lo haga otro, no hacer
nada)

9
 Análisis Cuantitativo
• Factor de exposición (EF) = Porcentaje de pérdidas de activos
causadas por una amenaza identificada: ranges from 0 to 100%
• Expectativa de pérdida unitaria (SLE) = Valoración
activo X EF; 1,000,000 @ 10% likelihood = $100,000
• Ratio anual de ocurrencia (ARO) = Frecuencia estimada
de que una amenaza ocurra en un periódo actualizado
de un año. A threat occurring once in 10 years has an
ARO of 0.1; a threat occurring 50 times in a year has an
ARO of 50
• Expectativa anual de pérdida (ALE) = SLE x ARO
• Mitigación del riesgo: = (ALE before safeguard) –(ALE
after safeguard) –(annual cost of safeguard) == value
of safeguard to the company

10
 Análisis Cuantitativo
• Pros ● Cons
– Cáculo probabilístico – 100% análisis no es
– Valor información se posible
monetariza (material/inmaterial)
– Los resultados se – A veces ambigüo, los
traducen en lenguaje número pueden ofrecen
genencial $ una distorsión de la
realidad
– Muchos datos a recopilar
y gestionarl

11
 Análisis Cualitativo
• No asigna números ni valores monerarios a
activos y pérdidas.
• Establece a través de escenarios de riesgos un
rango de la materialidad de una amenaza
sobre activos importantes.

12
 Identificación de riesgos
• Entrevistas con expertos
• Técnicas dephi
• Brainstorming
• Analogías/Afinidad

13
 Identificación de riesgos

14
 Identificación de riesgos
• Entrevistas con expertos
• Técnicas dephi
• Brainstorming
• Analogías/Afinidad

15
 Identificación de riesgos

Hostage / Kidnap

Tornado

Strike / Walkout Loss of IT / Virus

Chemical Spill / Contamination
Hostile Takeover Class Action Lawsuit 
  
Media Investigation

Major Explosion
MEDIUM HIGH HIGH RISK
  
Breach IT Security

Major Electrical Storm
Employee Violence
Civil Unrest Ice Storm
   
Major Fire Blizzard

Terrorism
Industrial Espionage Neighbor Issue
0%   100%
Sabotage
Flood
Comm. Disease

Suicide 
Telecomm Failure. Management Issues
LOW RISK MEDIUM LOW
Protesters
Injury / Death
Accusation / Libel / Slander
Maj. Operator Error 

Bomb Threat
Equipment Malfunc.
Power Failure
OrganizedCrime  
16  Bribery / Extortion Security Breach
Child Care Incident
Minor Explosion Fog
Transportation Incident
4 
 Identificación de riesgos
• Pros ● Cons
–Simple y fácil de –Es difícil mantener
comprender. uniformidad de
–Proporciona criterios.
indicación general –Procesos y métricas
sobre las áreas más son subjetivas.
significativas. –Análisis
coste/beneficio (no $)

17
 Comparación métodos
Quant. Attributes Qual.

+ Independent & Objective Metrics -

+ Cost / Benefit analysis -
+ Monetary based -
- Amount of work, cost, time +
- Amount of information required +
+ Easily automated -
- Degree of guesswork +
+ Value of information understood -
- Threat frequency and impact data required -
* Source: CISSP Common Body of Knowledge Review Seminar, ISC2

18
 Conclusiones
•¿Por qué hacer un análisis de riesgo?
–La valoración y gestión de los riesgos nos prepara
para SABER QUE HACER CUANDO OCURRA LO
QUE NO QUEREMOS.
–Permite identificar activos, vulnerabilidades y
controles.
–Permite responder a que hacer/que no hacer.
–Justifica las cuentas/inversiones en seguridad.

19
 COLEGIO OFICIAL
DE INGENIEROS EN INFORMÁTICA
DE LA COMUNIDAD VALENCIANA

Análisis de riesgos

20 Valencia, enero 2006

21
 Identify
Baseline Classify Evaluate Prioritize
Or Risks Risks Risks
Project New Risks
Start Analyze
Identify

Determine Track Control

Assign Determine Risks Risks
Response
Responsibility Action Plan
Strategy
Tracking & Control
Plan

Communicate Risks
Inside and Outside
The Project Team
Communication

22
 Risk
Response
Development

Knowledge /
research Strategies Reserves

Acquire Investigate

Mitigation Avoidance Acceptance

Minimize Minimize Active Passive

Probability Loss

23