SISTEMAS DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN , CIBERSEGURIDAD Y

PROTECCIÓN DE LA PRIVACIDAD
Seguridad de la
Información
Gestión de Riesgos de Seguridad de
la Información
RIESGO:
• Efecto de la incertidumbre en el cumplimiento de los objetivos
Probabilidad de ocurrencia de un evento y sus consecuencias cuando una
amenaza se materializa o se aprovecha de una vulnerabilidad.

• Evento: conjunto particular de circunstancias.

• Amenaza: causa potencial de un incidente no deseado, que puede resultar en daños a un

sistema u organización.

• Vulnerabilidad: debilidad de un activo o control que puede ser explotada por una amenaza.
Gestión de Riesgos de Seguridad de la Información
ACTIVOS DE INFORMACIÓN:
- Información digital o impresa
- Software
- Hardware
- Servicios
Activos de - Infraestructura
Información - Equipos auxiliares
- Diseños, marcas, patentes
Están expuestos a Tienen| - Personas (conocimiento)
- Inversiones y dinero

Causa potencial de Debilidad de un activo que puede

Amenazas Vulnerabilidades
un daño a un activo ser aprovechada por una amenaza

SI una amenaza explota una RIESGO: cálculo del daño probable a un

vulnerabilidad activo si se encuentra desprotegido

Consecuencias de que Impacto Tiene un RIESGO De que ocurra Probabilidad Posibilidad de que el
el riesgo se materialice riesgo se materialice

Para todos los riesgos sobre

el umbral se aplica
UMBRAL DE RIESGO: Nivel máximo de
riesgo que se está dispuesto a aceptar
Costos de implementar (apetito de riesgo)
Costos Tiene Tratamiento
el tratamiento

Queda
TRATAMIENTO:
- Aceptar
Riesgo remanente tras la - Transferir o tercerizar
aplicación del tratamiento. Riesgo - Eliminar
Si está bajo el umbra se acepta. Residual - Mitigar o controlar (ANEXO A)
Gestión de Riesgos de Seguridad de la Información

• Debe ser parte integrante de la Establecimiento del

gestión Contexto

• Estar integrado en la cultura y Estimación del Riesgo

en las prácticas; y
• Ser parte de los procesos de Identificación del Riesgo

negocio de la organización.
Comunicación y Seguimiento y
Análisis del Riesgo Medición del
Consulta
Riesgo

Evaluación del Riesgo

Tratamiento del Riesgo

Gestión de Riesgos de Seguridad de la Información

1. CONTEXTO ESTRATÉGICO
Definición de los parámetros internos y externos que se han de tomar
en consideración, cuando se gestiona el riesgo, estos son: el
establecimiento del alcance y los criterios del riesgo.

Ambiente externo en el cual la Ambiente interno en el cual la

organización busca alcanzar organización busca alcanzar sus
sus objetivos. Son situaciones objetivos. Las situaciones internas
del entorno o externas pueden ser están relacionadas con:
de carácter:
• La estructura
• Social • Cultura organizacional
• Cultural • El modelo de operación
• Económico • El cumplimiento de los planes y
• Tecnológico programas
• Ambiental • Los sistemas de información
• Político y legal • Los procesos y procedimientos
• Internacional, nacional o • Los recursos humanos
regional según sea el caso de • y los económicos con los que
análisis. cuenta una organización
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

2. IDENTIFICACIÓN DEL RIESGO

La identificación del riesgo se realiza determinando las fuentes,
causas y consecuencias potenciales, con base en los factores
internos y/o externos analizados de la organización, y que
pueden afectar el logro de los objetivos.

Es importante centrarse en los riesgos más significativos para

la organización, relacionados con los objetivos de los procesos
y los organizacionales generales.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

3. ANÁLISIS DEL RIESGO

El análisis del riesgo busca establecer la probabilidad de ocurrencia
del mismo y sus consecuencias; éste último aspecto puede orientar la
clasificación del riesgo, con el fin de obtener información para
establecer el nivel de riesgo y las acciones que se van a implementar.

Busca establecer

Probabilidad de Frecuencia Impacto de sus

ocurrencia Factibilidad consecuencias

Pasos claves en el análisis de riesgos

1. Determinar probabilidad
2. Determinar consecuencias
3. Clasificación del Riesgo
4. Estimar el nivel del riesgo
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

3. ANÁLISIS DEL RIESGO – Definición de Criterios de evaluación

TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
El evento puede ocurrir solo en circunstancias No se ha presentado en los
1 Raro
excepcionales. últimos 5 años.
Al menos de 1 vez en los últimos
2 Improbable El evento puede ocurrir en algún momento.
5 años.
Al menos de 1 vez en los últimos
3 Posible El evento podría ocurrir en algún momento.
2 años.
El evento probablemente ocurrirá en la mayoría Al menos de 1 vez en el último
4 Probable
de las circunstancias. año.
Se espera que el evento ocurra en la mayoría
5 Casi Seguro Más de una vez al año.
de las circunstancias.

TABLA DE IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos en la
1 Insignificante
organización.
Si el hecho llegara a presentarse, tendría bajo impacto o efecto en la
2 Menor
organización.
Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos en
3 Moderado
la organización.
Si el hecho llegara a presentarse, tendría altas consecuencias o efectos en la
4 Mayor
organización.
Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos
5 Catastrófico
en la organización.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

3. ANÁLISIS DEL RIESGO – Calificación del riesgo

Se logra a través de la estimación de la probabilidad de su

ocurrencia y el impacto que puede causar la materialización del
riesgo.
Para determinar el impacto se pueden utilizar los siguientes
conceptos:

• Impacto en la confidencialidad

• Impacto en la integridad

• Impacto en la disponibilidad

• Otros impactos (imagen, legales, etc.)

GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

4. VALORACIÓN DEL RIESGO

Permite comparar los resultados de la calificación del riesgo,
con los criterios definidos para establecer el grado de
exposición de la organización al mismo, de esta forma es
posible distinguir entre los riesgos:

• Aceptables

• Tolerables

• Moderados

• Importantes o inaceptables

A partir de la calificación del riesgo, se definen las acciones

requeridas para su tratamiento.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

4. VALORACIÓN DEL RIESGO – Matriz de evaluación (mapa de calo)

PROBABILIDAD IMPACTO
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrofico (5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

B: Zona de riesgo Baja: Asumir el riesgo

M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir
E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

4. VALORACIÓN DEL RIESGO

La valoración del riesgo implica la comparación del nivel de riesgo observado
durante el proceso de análisis y de los criterios del riesgo establecidos al considerar
el contexto, para establecer el tratamiento.

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de
control existentes en los diferentes procesos, los cuales permiten obtener
información para efectos de tomar decisiones.
Acciones fundamentales para valorar el riesgo.

• Identificar controles existentes

• Verificar efectividad de los controles

• Establecer prioridades de tratamiento

GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

4. VALORACIÓN DEL RIESGO – Valoración de controles existentes

Para realizar la valoración de los controles existentes es necesario recordar que

éstos se clasifican en:

 Preventivos:

Aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia
o materialización.

 Correctivos:

Aquellos que permiten el restablecimiento de la actividad, después de ser

detectado un evento no deseable; también permiten la modificación de las acciones
que propiciaron impacto.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

4. VALORACIÓN DEL RIESGO – Tabla de evaluación de controles

El valor total de la valoración de los controles, se revisa contra los rangos de
calificación de controles y se determina la disminución de la probabilidad e impacto.
Como resultado final, se genera una segunda evaluación del riesgo.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

5. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO

Las políticas identifican las opciones para tratar y manejar los riesgos
basadas en la valoración de los mismos, permiten tomar decisiones
adecuadas y fijar los lineamientos, que van a transmitir la posición de
la dirección y establecen las guías de acción necesarias a todos los
colaboradores de la organización.
Debe contener:
• Los objetivos que se esperan lograr.

• Las estrategias para establecer cómo se van a desarrollar las

políticas, a largo, mediano y corto plazo.

• Los riesgos que se van a controlar.

• Las acciones a desarrollar contemplando el tiempo, los recursos, los

responsables y el talento humano requerido.

• El seguimiento y evaluación a la implementación y efectividad de

las políticas.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

5. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO – EVITAR EL RIESGO

Se pueden manejar independientes, interrelacionadas o en conjunto

EVITAR EL RIESGO

Prevenir la materialización del Riesgo mediante

Mejoramiento Rediseño Eliminación Adecuados Controles

GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

5. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO – CONTROLAR EL RIESGO

CONTROLAR (REDUCIR) EL RIESGO

Disminuir la Probabilidad o el Impacto

Medidas de Prevención Medidas de Protección

Optimización de Procedimientos
Implementación y/o cambio de los controles existentes.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

5. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO – TRANSFERIR EL RIESGO

TRANSFERIR (COMPARTIR) EL RIESGO

Reducir el efecto a partir de la transferencia del control o de las perdidas a otra
entidad u organización.

Pueden surgir otros riesgos inherentes a la transferencia.

GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

5. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO – ACEPTAR EL RIESGO

ACEPTAR (ASUMIR) EL RIESGO

El riesgo ha sido manejado (controlado o transferido) pero han quedado

vestigios del riesgo, se establecen planes de contingencia para su manejo y
seguimiento.

No es factible o no es viable controlar o trasferir el riesgo.

La relación costo-beneficio de controlar o transferir el riesgo no es favorable.

GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

5. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO

ASPECTOS A EVALUAR EN LA ELECCIÓN DE LAS POLÍTICAS

Viabilidad Jurídica
Se debe tener en cuenta Viabilidad Técnica
Viabilidad Organizacional
Viabilidad Financiera o Económica
Análisis de Costo - Beneficio
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

6. COMUNICACIÓN Y CONSULTA
Procesos continuos y reiterativos que una organización
lleva a cabo para suministrar, compartir u obtener
información e involucrarse en un diálogo con las partes
involucradas con respecto a la gestión del riesgo.
Que permite lograr:
• Evidenciar la gestión del riesgo.
• Agregar valor a la organización
• Integración de perspectivas
• Mejora de la determinación del riesgo
• Tratamiento efectivo de riesgo

7. MONITOREO Y REVISIÓN
El monitoreo es esencial para asegurar que las acciones se
están llevando a cabo y evaluar la eficacia en su
implementación, adelantando revisiones sobre la marcha
para evidenciar todas aquellas situaciones o factores, que
pueden estar influyendo en la aplicación de las acciones
preventivas.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

4. VALORACIÓN DEL RIESGO – Tabla de valoración de controles

Se evalúan los controles, de acuerdo a los parámetros de la matriz de probabilidad e

impacto, se multiplica los valores seleccionados para determinar el puntaje de cada
ítem de valoración.

TIPOS DE CONTROL
PARÁMETROS CRITERIOS PUNTAJES
PROBABILIDAD IMPACTO

Existen manuales, instructivos o procedimientos

Herramientas para el manejo de la herramienta.
para ejercer
el control Posee una herramienta para ejercer el control y
ha demostrado ser efectiva.
Están definidos los responsables de la ejecución
Seguimiento del control y del seguimiento.
al
control La frecuencia de ejecución del control y
seguimiento de adecuada.
TOTAL
 Plan
Plan Plan