Evaluación del Riesgo

Evaluación del Riesgo

ISO 27005, cláusula 8.4
Entrada Actividades Salida

• Lista de riesgos • Comparar el nivel • Lista de riesgos

con los niveles de del riesgo con los priorizados de
valor asignados y criterios de acuerdo a los
criterios de evaluación del criterios de
evaluación del riesgo y los evaluación del
riesgo criterios de riesgo en relación
aceptación del con los escenarios
riesgo de incidente que
conducen a
dichos riesgos
Ejemplo de Evaluación del Riesgo
ISO 27005, Anexo E, Tabla E.2

Valor (del activo) Probabilidad de Medida del riesgo Clasificación de la

Amenaza
de la consecuencia ocurrencia de la amenaza (nivel del riesgo) prioridad del riesgo
Escenario A 5 2 10 2
Escenario B 2 4 8 3
Escenario C 3 5 15 1
Escenario D 1 3 3 5
Escenario E 4 1 4 4
Escenario F 2 4 8 3
Ejemplo de una Apreciación del Riesgo
Identificación de “activos”

Impacto
Activo Amenaza Vuln. Prob. Riesgo
C I D
Laptop
File server
Contratos
Datos de los
pacientes
Ejemplo de una Apreciación del Riesgo
Identificación de “amenazas”

Impacto
Activo Amenaza Vuln. Prob. Riesgo
C I D
Laptop Robo
File server Virus
Contratos Robo
Datos de los
Divulgar
pacientes
Ejemplo de una Apreciación del Riesgo
Identificación de “vulnerabilidades”

Impacto
Activo Amenaza Vuln. Prob. Riesgo
C I D
Laptop Robo Portabilidad
File server Virus Antivirus Débil
Contratos Robo No hay caja fuerte
Datos de los Acceso no
Divulgar
pacientes controlado
Ejemplo de una Apreciación del Riesgo
Evaluación del “impacto” (se evalúa la “C” “I” y “D” en una escala de 1 a 5)

Impacto
Activo Amenaza Vuln. Prob. Riesgo
C I D
Laptop Robo Portabilidad 2 3 1
File server Virus Antivirus Débil 3 3 3
Contratos Robo No hay caja fuerte 4 4 1
Datos de los Acceso no
Divulgar 5 4 3
pacientes controlado
Ejemplo de una Apreciación del Riesgo
Evaluación de la “probabilidad” de ocurrencia (escala de 1 a 5)

Impacto
Activo Amenaza Vuln. Prob. Riesgo
C I D
Laptop Robo Portabilidad 2 3 1 1
File server Virus Antivirus Débil 3 3 3 1
Contratos Robo No hay caja fuerte 4 4 1 2
Datos de los Acceso no
Divulgar 5 4 3 2
pacientes controlado
Ejemplo de una Apreciación del Riesgo
Determinación del “riesgo”  (C+I+D)/3 + Prob. en una escala del 1 al 10

Impacto
Activo Amenaza Vuln. Prob. Riesgo
C I D
Laptop Robo Portabilidad 2 3 1 1 3
File server Virus Antivirus Débil 3 3 3 1 4
Contratos Robo No hay caja fuerte 4 4 1 2 5
Datos de los Acceso no
Divulgar 5 4 3 2 6
pacientes controlado
Ejemplo de una Apreciación del Riesgo
Tratamiento del “riesgo”  Implementar controles que reduzcan el impacto o la
probabilidad de ocurrencia
Impacto
Activo Amenaza Vuln. Prob. Riesgo
C I D
Laptop Robo Portabilidad 2 3 1 1 3
File server Virus Antivirus Débil 3 3 3 1 4
Contratos Robo No hay caja fuerte 4 4 1 2 5
Datos de los Acceso no
Divulgar 5 4 3 2 6
pacientes controlado
Ejemplo de una Apreciación del Riesgo
Tratamiento del “riesgo”  Implementar controles que reduzcan el impacto o la
probabilidad de ocurrencia
Impacto
Activo Amenaza Vuln. Prob. Riesgo
C I D
Laptop Robo Portabilidad 2 3 1 1 3
File server Virus Antivirus Débil 3 3 3 1 4
Contratos Robo No hay caja fuerte 4 4 1 2 5
Datos de los Acceso no
Divulgar 5 4 3 2 6
pacientes controlado
Tratamiento del Riesgo
Lista de actividades

Las opciones Plan de

Evaluación del
del tratamiento tratamiento del
riesgo residual
del riesgo riesgo
Seleccionar las Opciones de Tratamiento del Riesgo
ISO 27005, cláusula 9.1 e ISO 31000, cláusula 5.5.2
Entrada Actividades Salida

• Lista de riesgos • Seleccionar los • Opción de

priorizados de controles para tratamiento del
acuerdo a los reducir, riesgo
criterios de conservar, evitar seleccionada en
evaluación del o compartir los relación con los
riesgo en relación riesgos escenarios de
con los escenarios riesgo
de incidente que
conducen a
dichos riesgos
Las Opciones de Tratamiento del Riesgo
ISO 27005, clausula 9
Modificación del
Riesgo
▪ Modificación del Riesgo
Presentar, retirar o modificar los controles de modo que el riesgo
residual puede ser evaluado como aceptable
▪ Retención del Riesgo Evitar el Retención
La dirección decidió aceptar el nivel real del riesgo Riesgo del Riesgo

▪ Evitar el Riesgo
Cancelación o modificación de una actividad o conjunto de
actividades relacionadas con riesgos
▪ Compartir el Riesgo Compartir el Riesgo

Decisión de compartir riesgos con las partes externas: Pólizas de

seguros o tercerización
Modificación del Riesgo
ISO 27005, cláusula 9.2

Se debe considerar lo siguiente:

• El nivel de riesgo debería ser administrado

mediante la selección de controles de seguridad de
modo que el riesgo residual pueda ser re-evaluado
como algo aceptable.
Retención del Riesgo
ISO 27005, cláusula 9.3

Se debe considerar lo siguiente:

• Si el nivel de riesgo cumple con los criterios de aceptación del

riesgo, no es necesario poner en marcha controles de
seguridad adicionales y el riesgo puede ser aceptado de hecho
• La retención del riesgo actual debe, sin embargo, ser
documentada
Evitar el Riesgo
ISO 27005, cláusula 9.4
Se debe considerar lo siguiente:

• Cuando los escenarios de riesgo identificados se consideran demasiado altos,

se puede tomar una decisión para evitar el riesgo:
• Mediante la cancelación de una actividad o conjunto de actividades
• Modificando las condiciones en las que funciona el negocio

Ejemplo: Evitamos los riesgos de accidente durante una tormenta trabajando

en casa.
Compartir el Riesgo (I)
ISO 27005, cláusula 9.5

Se debe considerar lo siguiente:

• El riesgo puede ser compartido con otra parte interesada que pueda
gestionarlo con más eficacia. Esta es la mejor opción cuando:
• Es muy difícil para una organización reducir el riesgo a un nivel aceptable
• La organización carece de los conocimientos necesarios para gestionarlo
• Es más económico transferirlo a un tercero
Compartir el Riesgo (II)
Métodos posibles

Se debe considerar lo siguiente:

• Hay 02 métodos principales del riesgo compartido

1.Pólizas de Seguros: Cualquier otra forma de cobertura de los
riesgos contratada por una organización a cambio de pagar una
prima.
2.Tercerización: Transferencia de la totalidad o una parte de la
actividad de la empresa a un socio externo.
La Negación del Riesgo
“Nunca” es una opción para el tratamiento del riesgo

Se debe considerar lo siguiente:

“No me imagino ninguna circunstancia que pudiera

provocar el hundimiento del barco. No quiero
imaginar un desastre que fuera una amenaza para la
vida que pudiera afectar a ese buque”.
El Capitán del Titanic: 1912
Fuente: Instituto para el gobierno de los sistemas de información.
ISACA, 2004
Definir un Plan de Tratamiento del Riesgo
ISO 27005, cláusula 9.1 e ISO 31000, cláusula 5.5.3
Entrada Actividades Salida

• Lista de riesgos • Definir el plan de • Plan de

con opción de tratamiento del tratamiento del
tratamiento riesgo riesgo
seleccionada
Plan de Tratamiento del Riesgo
Se debe considerar lo siguiente:

• Una vez que han sido tomadas las decisiones sobre las opciones
de tratamiento del riesgo, deben ser identificadas y planificadas
las actividades para la aplicación de esas decisiones
• Las actividades deberían ser clasificadas en orden de prioridad
• Deben destinarse los recursos necesarios para el plan de
tratamiento
 Plan de Tratamiento del Riesgo
Ejemplo donde: NR=Nivel de riesgo, P=Prioridad
Escenarios de NR P Opción de Control Recursos Responsable Fecha inicio Mantenimie
riesgo tratamiento necesarios /Fecha fin nto
requerido/C
omentarios
Los usuarios 6 Alta Evitar Hacer que 10 horas para Roberth 20/07/2018 Hacer
no SharePoint volver a Jhonson 21/07/2018 revisiones
autorizados sea configurar y (Admin periódicas
pueden inaccesible probar el sistema SharePoint), de seguridad
conectarse a David Smith del sistema
SharePoint a (Admin para
través de la Server garantizar
extranet y Seguridad) que
buscar SharePoint
archivos proporcione
confidenciales la seguridad
de la adecuada
organización
con la
Evaluación del Riesgo Residual (I)
ISO 27005, cláusula 9.1
Entrada Actividades Salida

• Lista de riesgos • Evaluación del • Nuevo valor de

enumerados riesgo residual los riesgos
• Plan de residuales
tratamiento del
riesgo
Evaluación del Riesgo Residual (II)
ISO 27001, cláusula 4.2.1h, ISO 27005, cláusula 3.8

Se debe considerar lo siguiente:

• Riesgo Inherente: Riesgo sin tener en cuenta

los controles.
• Riesgo Residual: Riesgo remanente después
del tratamiento del riesgo
• Riesgo Tratado: Riesgo eliminado con
controles
Cálculo del Riesgo Residual
Ejemplo

Escenario Valor del Riesgo Valor del Control Valor del Riesgo Residual
Escenario A 10 3 7
Escenario B 8 1 7
Escenario C 15 6 9
Escenario D 3 0 3
Escenario E 4 0 4
Escenario F 8 2 6
Aceptación del Riesgo
Lista de actividades

Aceptación del
plan de Aceptación del
tratamiento del riesgo residual
riesgo
Aceptación del Riesgo para la Seguridad de la
Información
ISO 27005, cláusula 9.1 e ISO 31000, cláusula 5.5.2
Entrada Actividades Salida

• Plan de • La decisión de • Lista de riesgos

tratamiento del aceptar los aceptados con la
riesgo riesgos y las justificación para
• Evaluación del responsabilidades aquellos que no
riesgo residual de la decisión cumplan con los
debería ser hecha criterios normales
y registrada de aceptación de
formalmente riesgos de la
organización
Gestión del Riesgo Residual
En el proceso de seguridad de la información

Gestión del Riesgo Residual

Alta ocurrencia • Incidente (Gestionado
del riesgo y por el proceso de gestión
de incidentes)
bajo impacto

Baja ocurrencia • Desastre (Gestionado por

del riesgo y el proceso de gestión de
continuidad del negocio
alto impacto
Comunicación y Consulta del
Riesgo
Lista de actividades
Definición de los Comunicación
Establecer un plan
objetivos para la interna y
de comunicación
comunicación del mecanismos de
del riesgo
riesgo reporte

Comunicación
Registro de las
externa y
decisiones y
mecanismos de
comunicaciones
reporte
Definir los Objetivos de los Riesgos de Comunicación
ISO 27005, cláusula 11

Se debe lograr lo siguiente:

• Asegurar los resultados de la gestión del riesgo por parte de la

organización
• Recopilar la información sobre el riesgo
• Compartir los resultados obtenidos a través de la apreciación
del riesgo y del plan de tratamiento del riesgo
• Obtener conocimiento nuevo sobre seguridad de la
información
• Mejorar la concienciación sobre la seguridad de la información
Comunicación y Percepción del Riesgo
Orientación

Se debe tener en cuenta lo siguiente:

• Las percepciones del riesgo pueden variar debido a las diferencias

de las hipótesis, los conceptos y las necesidades, problemas y
preocupaciones de las partes interesadas referente al riesgo.
• Es probable que los participantes hagan juicios acerca de la
aceptación del riesgo a partir de su percepción del riesgo
• Esto es especialmente importante para garantizar que las
percepciones del riesgo de las partes interesadas, así como sus
percepciones de los beneficios, pueden ser identificadas y
documentadas, y se puedan comprender y abordar con claridad las
razones en las que se basan
Establecer un Plan para la Comunicación del Riesgo
Orientación

Se debe tener en cuenta lo siguiente:

• Una organización debería desarrollar planes de comunicación del

riesgo para las operaciones normales, así como para situaciones de
emergencia. Por lo tanto las actividades de comunicación del riesgo
debería realizarse continuamente.
• La coordinación entre los principales responsables de la adopción
de decisiones y las partes interesadas se puede lograr mediante la
formación de un comité de administración de riesgos
• Es importante cooperar con las unidades de relaciones publicas o
de comunicaciones dentro de la organización para coordinar todas
las tareas relacionadas a la comunicación de los riesgos.
Establecer una Comunicación Interna y Mecanismos
de Reporte
ISO 31000, cláusula 4.3.6

Se debe tener en cuenta lo siguiente:

• La organización debería establecer mecanismos internos de comunicación y

de formación con objeto de apoyar y fomentar la obligación de rendir
cuentas y la propiedad del riesgo. Estos mecanismo deberían garantizar:
• La comunicación adecuada de los componentes clave del marco de
trabajo de la gestión del riesgo, así como de todas las modificaciones
posteriores
• La existencia de informes internos adecuados sobre el marco de trabajo,
su eficacia y sus resultados
• La disponibilidad de información apropiada obtenida de la aplicación de la
gestión del riesgo en los niveles y tiempos apropiados
• La existencia de procesos para realizar consultas con las partes
interesadas
Establecer una Comunicación Externa y Mecanismos
de Reporte
ISO 31000, cláusula 4.3.7

Se debe tener en cuenta lo siguiente:

• La organización debería desarrollar e implementar un plan para

comunicarse con las partes interesadas externas. Este plan debería implicar:
• La participación de las partes interesadas externas apropiadas,
asegurándose un intercambio eficaz de información
• El establecimiento de informes externos conformes con los requisitos
legales, reglamentarios y de gobierno de la organización.
• La disponibilidad de retroalimentación y de informes de comunicación y
consulta
• La utilización de comunicaciones para generar confianza en la
organización
• La comunicación con las partes interesadas en caso de crisis y
contingencias
Registro de las Decisiones y Comunicaciones
ISO 31000, cláusula 5.7 y A.3.3

Se debe tener en cuenta lo siguiente:

• Las actividades de gestión del riesgo deberían ser

trazables
• Todo el proceso de toma de decisiones dentro de la
organización en materia de gestión del riesgo debería
quedar registrado
• En el proceso de gestión del riesgo, los registros
proporcionan la base para la mejora de los s métodos y de
las herramientas, asì como del proceso en su conjunto
Seguimiento y Revisión del Riesgo
Seguimiento y Revisión de Factores de Riesgo
ISO 27005, cláusula 12.1
Entrada Actividades Salida

• Toda la • Supervisar y • Alineación

información revisar los riesgos continua de la
sobre los riesgos y los factores de gestión de los
relacionados riesgo riesgos con los
obtenida de las objetivos de
actividades de negocio de la
gestión del riesgo organización y
con los criterios
de aceptación de
riesgos
Supervisión y Revisión de Factores de Riesgo
ISO 31000, cláusula 5.7 y A.3.3

Los elementos que deben supervisarse son:

• Los nuevos activos que han sido incluidos en el ámbito de aplicación de la

gestión del riesgo
• Las modificaciones necesarias en los valores de los activos, por ejemplo,
debido a los cambios en los requisitos del negocio
• Las nuevas amenazas que pueden estar activas dentro y fuera de la
organización y que no hayan sido evaluadas
• Determinar las vulnerabilidades que se ven expuestas a amenazas nuevas o
re-emergentes
• Aumentar el impacto o las consecuencias de las amenazas, vulnerabilidades
o riesgos apreciados en la agregación que resultan en un nivel de riesgo
inaceptable
• Incidentes de seguridad de la información
Seguimiento, Revisión y Mejora de la Gestión del
Riesgo
ISO 27005, cláusula 12.2
Entrada Actividades Salida

• Toda la • Seguimiento, • La continua

información revisión y mejora pertinencia del
obtenida a partir continua del proceso de
de las actividades proceso de gestión del riesgo
de gestión del gestión del riesgo de seguridad de
riesgo la información
con los objetivos
de negocio de la
organización o
con la
actualización del
proceso
Seguimiento, Revisión y Mejora de la Gestión del
Riesgo
ISO 31000, cláusula 5.7 y A.3.3

Los elementos que deben tenerse en cuenta son:

• El contexto jurídico y ambiental

• El contexto competitivo
• El enfoque para la apreciación del riesgo
• Los valores y las categorías de los activos
• Criterios de impacto
• Criterios de evaluación del riesgo
• Criterios de aceptación del riesgo
• Costo total de mantenimiento
• Recursos necesarios
Establecer Objetivos de Mejora

O - Inexistente 1 - Repetible 3 - Gestionado

Inicial 2 - Definido 4 - Optimizado

Actual Descripción

• 0 – Inexistente: La gestión de procesos no se aplica

Objetivo
• 1 – Inicial: Los procesos son desorganizados
• 2 – Repetible: Los procesos siguen un formato regular
• 3 – Definido: Los procesos son documentados y comunicados
• 4 – Gestionado: Los procesos son controlados y medidos
• 5 – Optimizado: Las mejores prácticas son seguidas y automatizadas
Mejora Continua de la Gestión del Riesgo

Considerar lo siguiente:

“El mejoramiento continuo es un proceso

de aumento de la eficacia y eficiencia de
la organización para cumplir con sus
políticas y objetivos”
Examen de módulo…