Information Risk Management and Compliance Chapter 2

2.10 Evaluacin de riesgosExisten numerosos modelos de gestin de riesgos a disposicin del Gerente de Seguridad de Informacin. Algunos de estos son:

COBITOCTAVENIST 800-30

El enfoque seleccionado estar determinado por la mejor forma, ajuste y funcin. AS/NZS 4360-2004 ISO/IEC 31000 ITIL CRAMM

Copyright 2013 ISACA. Todos los derechos reservados.1Directivas para el Instructor: El Gerente de Seguridad de Informacin debera tener amplio conocimiento de la existencia de varias metodologas para determinar el enfoque ms conveniente para su organizacin. Enfoques especficos NO sern probados en el examen.

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 104-1052.10.2 Riesgo agregado y en cascadaSe debe tomar en cuenta el riesgo agregado:Cuando exista una amenaza particular o varias amenazas, afecten a un gran nmero de vulnerabilidades menores que, en conjunto, pueden producir un impacto significativo.Los riesgos en cascada tambin pueden manifestar impactos inaceptables como resultado de una falla que conduce a una reaccin en cadena de fallas, fruto de dependencias sucesivas.

Copyright 2013 ISACA. Todos los derechos reservados.2Riesgo en cascada - Un ejemplo de esto ocurri en la costa este de de los Estados Unidos cuando una falla en una planta de energa pequea en el la regin centro-occidental del pas ocasion una cascada de fallas en toda la red de energa y, en ltima instancia, abarc la mayor parte de la zona noreste de los Estados Unidos. De forma similar, en la medida en que partes de la TI y otras operaciones de la empresa tengan dependencias acopladas estrechamente, el gerente de seguridad de la informacin debe considerar cmo cualquier falla particular o combinaciones de fallas afectarn los sistemas dependientes.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 107El primer paso en un programa de gestin de riesgos es generar una lista exhaustiva de las fuentes de amenazas, riesgos y eventos que podran impactar en el logro de cada objetivo, segn se haya identificado en la definicin del alcance y marco.En general, un riesgo est caracterizado por:su origen: empleados descontentos, la competencia, etc.una determinada actividad, evento o incidente (amenaza)sus consecuencias, resultados o impactosuna razn especfica por la cual sucedimecanismos y controles de proteccintiempo y lugar de su acontecimiento2.10.4 Identificacin del riesgo

Copyright 2013 ISACA. Todos los derechos reservados.3Contenidos a Enfatizar: Informacin de calidad alta y un conocimiento cuidadoso de la organizacin y de su ambiente interno y externo son muy importantes en la identificacin de riesgos.

Los mtodos de anlisis e identificacin de riesgos ayudan al gerente de seguridad de informacin en el diseo y e implementacin de estrategias de mitigacin de la seguridad para atenuar la exposicin del riesgo a la informacin crtica de una organizacin. El riesgo es la probabilidad de la variacin en la ocurrencia de un acontecimiento, que puede tener consecuencias positivas o negativas.

Los mtodos de la identificacin del riesgo incluyen:Examinar todas las reas de los recursos de informacin de una organizacin de una manera sistemticaSer proactivo ms que reactivo Sintetizar todas las fuentes disponibles de riesgo de informacin

Sin embargo, un primer paso simple es emprender el mapeo del riesgo o una evaluacin macro de las amenazas principales para la organizacin. Aunque esto suene directo, no muchas organizaciones lo hacen con un enfoque constante y de una manera integrada que atraviesa todas las reas operacionales de la compaa.

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 110Al seleccionar una metodologa para la identificacin de riesgos, se debern considerar las siguientes tcnicas:Lluvia de ideas basada en equipo; los talleres pueden ser eficaces para generar compromiso y hacer uso de las diferentes experiencias.Las tcnicas estructuradas: elaboracin de diagramas de flujo, revisin del diseo del sistema, anlisis de sistemas, estudios de peligro y operabilidad, as como modelos operativos.Anlisis de escenarios o de supuestos para situaciones que no se han definido tan claramente, tales como la identificacin de riesgos estratgicos y procesos con una estructura ms general.2.10.4 Identificacin del riesgo

Copyright 2013 ISACA. Todos los derechos reservados.4Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1102.10.5 AmenazasPor lo general se clasifican del siguiente modo:Naturales: Inundaciones, incendios, ciclones, lluvia/granizo, plagas y terremotos.Accidentales: Incendios, agua, dao/derrumbe de edificios, prdida de servicios pblicos y falla en los equipos.Fsicas premeditadas: Bombas, incendios, agua y robo.Intangibles premeditadas: Fraude, espionaje, hackeo, robo de identidad, cdigo malicioso, ingeniera social, ataques por phishing y ataques de negacin de servicio.

Copyright 2013 ISACA. Todos los derechos reservados.5Directivas para el Instructor: Es importante aclarar qu es una amenaza. Hay a veces confusin entre los trminos riesgo, amenaza, vulnerabilidad y exposicin. Se deben evaluar las amenazas a los recursos de informacin y la probabilidad de que se materialicen. En este contexto, las amenazas son cualquier circunstancias o eventos con el potencial para daar un recurso de informacin explotando una vulnerabilidad.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1102.10.6 VulnerabilidadesAlgunos ejemplos de vulnerabilidades son:Software defectuoso.Equipo configurado en forma inapropiada.Cumplimiento forzoso inadecuado.Diseo deficiente de redes.Procesos defectuosos o incontrolados.Gestin inadecuada.Personal insuficiente.Falta de conocimiento para brindar soporte a usuarios o correr procesos.

Copyright 2013 ISACA. Todos los derechos reservados.6Contenidos a Enfatizar: Las vulnerabilidades tienen otras dimensiones adems de la tecnologa. Considere la organizacin que no tiene una capacitacin formal de la seguridad de la informacin y un programa de concientizacin. La vulnerabilidad en este caso se origina de la falta de concientizacin del usuario acerca de las polticas de seguridad, estndares y directrices. Las vulnerabilidades tambin pueden derivarse de la falta de procesos para el control de configuracin, y certificacin y acreditacin de sistemas.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 111