Análisis y gestión de riesgos

[1.1] ¿Cómo estudiar este tema?

[1.2] Seguridad de la información y gestión de riesgos

[1.3] Metodologías de análisis y gestión de riesgos

[1.4] Herramientas de análisis y gestión de riesgos

[1.5] UNE-ISO 31000: 2010 Gestión del Riesgo – Principios y

Directrices

TEMA
 Esquema

TEMA 1 – Esquema
Análisis y gestión de riesgos

Seguridad de la información Metodologías de análisis y Herramientas de análisis y

UNE-ISO 31000: 2010
y gestión de riesgos gestión de riesgos gestión de riesgos

2
Qué Principios

Marco de
Dónde
trabajo

Cómo Proceso

Cuándo

© Universidad Internacional de La Rioja (UNIR)

Análisis de Riesgos Informáticos
 Análisis de Riesgos Informáticos

Ideas clave

1.1. ¿Cómo estudiar este tema?

Para estudiar este tema debes leer estas ideas clave y realiza las actividades propuestas,
puedes ampliarlo con la bibliografía y recursos recomendados.

Para conocer las bases sobre la gestión de riesgos, se recomiendan las siguientes lecturas:

COSO. (2004). Enterpise Risk Management Framework.

http://www.coso.org/documents/coso_erm_executivesummary.pdf

NIST. (2004). Risk Management. Guide for Information Management Technology

Systems. 800-30A.

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

OCTAVE. Cert. 2002 Carnegie Mellon University.

http://www.cert.org/octave

La metodología Magerit de análisis y gestión de Riesgos de los Sistemas de Información,

desarrollado por Ministerio para las Administraciones Públicas:

https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/

Referencia para la Gestión del Riesgo en Prince2:

http://www.scribd.com/doc/24166418/113/Registro-de-Riesgos

Un repaso a los estándares y metodologías de gestión de riesgos será una tarea

fundamental para decidir el modelo de gestión de riesgos más apropiado para nuestra
organización.

TEMA 1 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

1.2. Seguridad de la información y gestión de riesgos

Garantizar la seguridad de la información es uno de los objetivos prioritarios de

cualquier organización, pues la información es uno de los activos más importantes con
los que cuentan las organizaciones y siempre ha estado amenazada, ya desde la
antigüedad se era consciente de la existencia de las amenazas a las que está expuesta
la información y se utilizaban medios para protegerla. Prueba de ello, es que Julio
César ya cifraba sus mensajes con el conocido procedimiento que lleva su nombre, pero
el auge en la implantación de las Tecnologías de la Información y las Comunicaciones
(TIC) ha incrementado el número de amenazas a las que está expuesta, así como la
probabilidad de materialización de dichas amenazas.

Para proteger la información, que en sí es algo inmaterial pero que reside en

diferentes tipos de soportes, como pueden ser las personas, los documentos escritos o
los sistemas informáticos, es necesario tomar las medidas de seguridad apropiadas para
garantizar el nivel de seguridad de la información que requiere una organización para
poder cumplir con sus objetivos de negocio.

La seguridad de la información debe formar parte de todos los procesos de negocio de

una organización, tanto en el caso de los procesos manuales como automatizados, ya
que en todos ellos interviene la información de la organización como parte
fundamental, teniendo en cuenta además que dichos procesos involucran a personas, a
tecnología y a relaciones con socios de negocio, clientes o terceros.

Para proteger adecuadamente la información de una organización, primero, hay que

dar respuesta a cuatro preguntas clave: QUÉ, DÓNDE, CÓMO y CUÁNDO.

Qué

Hay que garantizar el acceso, integridad, disponibilidad, autenticidad, confidencialidad,

trazabilidad y conservación de la información de la organización.

TEMA 1 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Tradicionalmente se considera que la seguridad de la información consta de las

siguientes dimensiones de la seguridad:

Confidencialidad [C]
Integridad [I]
Disponibilidad [D]
Autenticidad [A]
Trazabilidad [T]

Adicionalmente a estas cinco dimensiones es necesario tener en cuenta otros dos

aspectos, garantizar el acceso y la conservación de la información, que pueden
llegar a considerarse parte de la dimensión «disponibilidad», pero que es necesario
tratar de forma específica por las características y peculiaridades de los mismos.

Confidencialidad: Es la garantía de que la información no es conocida por

personas, organizaciones o procesos que no disponen de la autorización necesaria.

Integridad: Es la garantía de que la información no se ha transformado ni

modificado de forma no autorizada durante su procesamiento, transporte o
almacenamiento, y que además permite detectar fácilmente las posibles
modificaciones que pudieran haberse producido.

Disponibilidad: Es la garantía de que la información es accesible en el momento

en el que los usuarios autorizados (personas, organizaciones o procesos) tienen
necesidad de acceder a ella.

Autenticidad: Es la garantía de la identidad del usuario que origina una información.

Permite conocer con certeza quién envía o genera una información específica.

Trazabilidad: Es la garantía de que en todo momento se podrá determinar quién

hizo qué y en qué momento lo hizo.

Conservación de la información: La conservación de la información no se debe

tratar de forma independiente, ya que junto con la utilización y acceso a la
información, forma parte del ciclo de vida de la misma. Es necesario contemplar
todas las fases del ciclo de vida de la información, teniendo en cuenta las diferentes
características de todos los tipos de soporte, tanto cuando este es el papel, como
cuando el soporte es electrónico.

TEMA 1 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

La gestión de los dispositivos, de los soportes electrónicos y de los formatos utilizados

debe realizarse por medio de procedimientos orientados a garantizar la conservación de
la información, protegiendo a los soportes en los que reside, del deterioro, daño, robo o
acceso no autorizado. Estos procedimientos también deben contemplar los
procedimientos de destrucción o reutilización de soportes, que son de aplicación cuando
ha finalizado la vida útil de la información que contienen o la de los propios soportes.

Acceso: Por acceso, se entiende la capacidad de poder utilizar los recursos de los
sistemas de información y comunicaciones que nos permiten acceder a la información.

Dónde

La información es almacenada, procesada y transmitida por los Sistemas de

Información y Comunicaciones (SIC), por lo tanto para garantizar la seguridad en
todas sus dimensiones y aspectos es necesario garantizar la seguridad de los Sistemas
de Información y Comunicaciones de forma global.

Un Sistema de Información y Comunicaciones es un conjunto de elementos

interrelacionados, personas, datos/información, procedimientos y recursos técnicos,
dedicados al proceso y gestión de la información que una organización necesita
para alcanzar sus objetivos de negocio.

Hay que proteger todos y cada uno de los elementos que forman parte del Sistema de
Información y Comunicaciones de la organización frente a las amenazas a las que se
encuentran expuestos, teniendo en cuenta sus características y vulnerabilidades.

Cómo

Deben contrarrestarse todas las amenazas a las que está expuesta la información de
una organización, por medio de la implantación de salvaguardas (controles) que
pueden actuar de alguna de las siguientes maneras:

Minimizando la probabilidad de la materialización de una amenaza.

Disminuyendo el impacto en la organización, si no se ha podido evitar la
materialización de una amenaza.
Estableciendo procedimientos que permitan un recuperación rápida de los daños
sufridos y una vuelta a la operativa normal.
Utilizando mecanismos que permitan modificar las salvaguardas de acuerdo con la
experiencia adquirida en los incidentes anteriores.

TEMA 1 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Cuándo

La información hay que protegerla durante todo su ciclo de vida, desde el momento en
el que el dato entra en el sistema, hasta el momento en que deja de ser útil y se procede
a su destrucción, pasando por todas las fases del ciclo de vida de la información,
almacenamiento, proceso, transmisión y utilización.

Análisis y gestión de riesgos

Para que una organización pueda garantizar de forma adecuada la seguridad de uno de
sus principales activos, la información, es necesario que analice y gestione los
riesgos a los que está expuesta.

Por medio del análisis de riesgos, una organización obtiene el conocimiento de a que
está expuesta, le permite identificar los riesgos que le podrían impedir lograr sus
objetivos de negocio, determinando su magnitud e identificando las áreas que
requieren medidas de salvaguarda o controles en función del riesgo detectado.

El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean
más objetivos, permitiendo a la organización gestionar sus riesgos, y tomar decisiones
en base a los riesgos propios.

Teniendo en cuenta que la mitigación total de los riesgos es imposible, la gestión de

riesgos tiene como objetivo gestionar o tratar el riesgo hasta disminuir el riesgo
residual a los niveles asumibles por la dirección, y debe:

Ser una parte integral de todos los procesos de negocio.

Crear y proteger el valor.
Formar parte de la toma de decisiones.
Tratar explícitamente la incertidumbre.
Ser sistemática, estructurada y oportuna.
Estar basada en la mejor información posible.
Ser adaptable.
Integrar factores humanos y culturales.
Ser transparente y participada por las partes interesadas de la organización.
Ser dinámica, iterativa y responde a los cambios.
Facilitar la mejora continua.

TEMA 1 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

1.3. Metodologías de análisis y gestión de riesgos

A continuación se describen algunas de las metodologías de gestión de riesgos

existentes en el mercado:

Gestión de riesgos en COBIT

«Control Objectives for Information and Related Technologies», es una guía de

mejores prácticas presentada como un framework dirigida a la gestión de
tecnologías de la información. COBIT (mantenido por ISACA - Information Systems
Audit and Control Association) actualmente en su versión 5, se organiza alrededor de
procesos que se agrupan en cuatro áreas:

Planificar y Organizar (PO)

Adquirir e Implantar (AI)
Entregar y dar Soporte (DS)
Mantener y Evaluar (ME)

La gestión de riesgos en COBIT queda enmarcada en el proceso PO9 (dentro de

Planificar y Organizar), que corresponde a «Evaluar y Administrar los riesgos de TI».
En este proceso se establecen los principios que deben tenerse en cuenta para la gestión
de los riesgos. Se establece que deben crearse y mantenerse un marco adecuado de
trabajo para la gestión de riesgos. Dicho marco de trabajo debe documentar un nivel
común y acordado de riesgos TI, estrategias para mitigarlos y riesgos que se
acuerden aceptar como residuales. Cualquier riesgo potencial sobre las metas u
objetivos de la organización, causado por algún evento no planificado, se tiene que
identificar, analizar y evaluar.

Los objetivos de control detallados establecidos en el proceso PO9 son los siguientes:

PO 9.1. Alineación de la administración o gestión de riesgos de TI con el negocio. Se

debe integrar el gobierno, la administración del riesgo y el marco del control de TI,
al marco de trabajo de la administración de riesgos de la organización.

PO 9.2. Establecimiento del contexto del riesgo. Se debe establecer el contexto en el

cual el marco de trabajo de la evaluación de riesgo se aplica para garantizar los
resultados apropiados.

TEMA 1 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

PO 9.3. Evaluación de eventos. Identificar aquellos eventos (amenazas y

vulnerabilidades) con un impacto potencial sobre objetivos, retos u operaciones de
la empresa, aspectos de negocio, regulatorios, legales, tecnológicos, de sociedad
comercial, de recursos humanos y operaciones.

PO 9.4. Evaluación de riesgos TI. Se debe evaluar de forma recurrente la

posibilidad de impacto de todos los riesgos identificados, usando métodos
cualitativos y cuantitativos.

PO 9.5. Respuesta a los riesgos. Debemos identificar a los propietarios de los

riesgos y a los dueños de los procesos afectados y elaborar y mantener respuestas a
los riesgos que garanticen que los controles rentables y las medidas de seguridad
mitigan y reducen la exposición a los riesgos de forma continua.

PO 9.6. Mantenimiento y monitoreo de un plan de acción de riesgos. Debemos

asignar prioridades y planear las actividades de control a todos los niveles para
implantar las respuestas a los riesgos que sean necesarias, incluyendo costos y
beneficios así como la responsabilidad de la ejecución.

Gestión de riesgos en CMMI

CMMI (Capability Maturity Model Integration v.1.3) es un modelo de procesos que

contiene las mejores prácticas de la industria para el desarrollo, mantenimiento,
adquisición y operación de productos y servicios.

En el área de gestión integrada del proyecto de CMM anteriormente se contemplaba la

Gestión de Riesgos, que ahora es considerada como un área de proceso independiente,
el Área Gestión del Riesgo (RSKM). Esta área es una evolución de las prácticas
básicas de manejo de riesgo incluidas en Planificación del Proyecto (PP) y Monitoreo y
Control del Proyecto (PMC) pertenecientes al nivel 2. Aquí se plantea un enfoque
sistemático para planear, anticipar y mitigar riesgos para proactivamente minimizar su
impacto en el proyecto. Sus objetivos y prácticas específicas son las siguientes:

Objetivos Específicos
o Preparar la gestión del riesgo
- Se establece y mantiene una estrategia para identificar, analizar y mitigar riesgos.
o Identificar y Analizar Riesgos
- Los riesgos son identificados y analizados para determinar su importancia relativa.

TEMA 1 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

o Mitigar Riesgos
- Los riesgos son manejados y mitigados para reducir su impacto negativo en los
objetivos.

Prácticas Específicas
o Determinar Fuentes y Categorías de Riesgo
- Definir Parámetros de Riesgo, y establecer una Estrategia para la Gestión del
Riesgo
o Identificar y Analizar Riesgos
- Evaluar, Categorizar y Priorizar Riesgos
o Desarrollar Planes de Mitigación de Riesgo
- Implementar Planes de Mitigación de Riesgo

Los objetivos de esta área se satisfacen mediante la puesta en marcha de mecanismos

formales para manejar los riesgos. En este nivel no basta simplemente con
identificarlos y administrarlos en la medida que ocurra, aquí será necesario establecer
un proceso para definir y ejecutar una estrategia para gestionarlos.

Por ejemplo, podría establecerse un esquema de clasificación de riesgos y

posibles respuestas basado en experiencias anteriores. También podrían
identificarse probabilidades de ocurrencia y magnitudes de impacto en función de
aspectos técnicos y de gestión, basados en lo ocurrido en proyectos previos.

En resumen, una organización de nivel 3 debe proponerse tener un enfoque mucho más
formal para identificar riesgos y clasificarlos, y para planear posibles acciones de
mitigación y contingencia.

Gestión de riesgos en SPICE

SPICE (Software Process Improvement and Capability Determination) es un conjunto

de estándares que se utilizan para evaluar y mejorar (mejora continua) de los
procesos de desarrollo software mediante una serie de prácticas base y prácticas
genéricas. SPICE se corresponde con el estándar ISO 15504 y la norma ISO/IEC 12207.

SPICE queda organizado en una serie de etapas: preparación, recolección o recogida

de datos, recopilación y análisis de documentos relevantes, y análisis de datos. Se
establecen un conjunto de niveles de capacidad, que varían desde el Nivel 0 para
Proceso Incompleto hasta el Nivel 5 para Proceso Optimizado.

TEMA 1 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Una parte fundamental reside en la dimensión de los datos, que contiene los procesos
que se han de evaluar, se corresponden con los procesos del ciclo de vida del
software, y se agrupan en categorías, en función del tipo de actividad al cual se aplican:

CUS: Cliente-Proveedor ENG: Ingeniería

SUP: Soporte
MAN: Gestión
ORG: Organización

SPICE establece que la gestión de riesgos consiste en identificar nuevos riesgos, trabajar
para mitigarlos de forma efectiva y evaluar el éxito de los esfuerzos de mitigación.

Las prácticas relacionadas con este proceso se encuentran dentro de la categoría de

gestión — MAN, y quedan subdivididas como sigue:

MAN.5.1 Establecer el alcance de la gestión de riesgos MAN.5.2 Definir estrategias

de gestión de riesgos
MAN.5.3 Identificar riesgos
MAN.5.4 Analizar riesgos
MAN.5.5 Definir y realizar acciones de tratamiento de riesgos
MAN.5.6 Monitorizar los riesgos
MAN.5.7 Tomar acciones preventivas o correctivas

Metodología OCTAVE: Aspectos más importantes

El método OCTAVE (Operationally Critical Thereat, Asset and Vulnerability

Evaluation) es un modelo para el desarrollo de metodologías de análisis de
riesgos creado inicialmente por la universidad Carnegie-Mellon, que consiste en un
conjunto de criterios a partir de los cuales desarrollar las consiguientes metodologías.

Los 3 argumentos básicos del método son los principios, los atributos y los
resultados, lo que permite que cualquier metodología que aplique estos principios se
considere compatible con el método OCTAVE. El Software Engineering Institute ha
publicado tres metodologías basadas en OCTAVE, que son las siguientes:

OCTAVE que se trata de la metodología original y está destinada a grandes

organizaciones.

TEMA 1 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

OCTAVE-S basada en la anterior pero destinada a pequeñas organizaciones.

OCTAVE Allegro para realizar un análisis de riesgos basado en los activos de
información.

OCTAVE permite la identificación y evaluación de los riesgos que afectan la seguridad

dentro de una organización así como la comprensión del manejo de los recursos.
En otras palabras, es una técnica de planificación y consultoría estratégica en seguridad
basada en el riesgo como punto clave.

Metodología Magerit

MAGERIT es una metodología de carácter público, desarrollada por el Ministerio de

Administraciones Públicas (MAP) http://administracionelectronica.gob.es Para su
utilización no se requiere la autorización previa del MAP. Magerit interesa a todos
aquellos que trabajan con información y los sistemas informáticos que la tratan.

MAGERIT implementa el proceso de gestión de riesgos dentro de un marco de

trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los
riesgos derivados del uso de tecnologías de la información.

A su vez, en al ámbito de MAGERIT se define la seguridad como la capacidad de las

redes o de los sistemas de información para resistir, con un determinado nivel de
confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

A la hora de llevar a cabo un proyecto de análisis y gestión de riesgos de acuerdo con

MAGERIT se debe proceder con las siguientes 3 fases:

Planificación del proyecto

Análisis de riesgos
Gestión de riesgos

A continuación vamos a introducir la segunda y tercera de estas fases, que son las que
tratan directamente con los riesgos asociados a proyectos.

TEMA 1 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

La metodología MAGERIT define «riesgo» como la estimación del grado de

exposición a una amenaza para que se materialice sobre uno o más activos
causando daños o perjuicios a la organización. Es decir, el riesgo indica lo que le podría
pasar a los activos si no se protegieran adecuadamente. Es importante saber qué
características son de interés en cada activo, así como saber en qué medida estas
características están en peligro, es decir, analizar el sistema, o en otras palabras, el
análisis de riesgos.

El análisis de riesgos es el proceso sistemático para estimar la magnitud de los

riesgos a que está expuesta una organización. Mediante este análisis se trata de saber lo
que podría pasar, para que esta información ayude a las personas adecuadas en la toma
de decisiones.

Además del análisis de riesgos, encontramos el tratamiento de los riesgos, que

sería el proceso destinado a modificar el riesgo. Entre las formas de tratar un riesgo
encontramos por ejemplo evitar las circunstancias que lo provocan, reducir las
posibilidades de que ocurra, acotar sus consecuencias, compartirlo con otra
organización (típicamente contratando un servicio o un seguro de cobertura).
Ambas actividades, análisis y tratamiento se combinan en el proceso denominado
gestión de riesgos de la metodología MAGERIT.

ISO/IEC 27005:2011

ISO/IEC 27005:2011 Information technology —Security techniques— Information security

risk management publicada en 2011, se apoya en los conceptos generales especificados en
la ISO/IEC 27001 del ciclo PDCA y está diseñada para proporcionar las directrices en la
ardua tarea del enfoque basado en riesgos, describe detalladamente la evaluación y
tratamiento de riesgos. Esta norma no es una metodología de análisis de riesgos, sino que
describe las fases recomendadas de análisis incluyendo el establecimiento, evaluación,
tratamiento, aceptación, comunicación, monitorización y revisión del riesgo.
No es una norma certificable y se engloba dentro de las normas que ayudan a la puesta en
marcha del SGSI.

TEMA 1 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

1.4. Herramientas de análisis y gestión de riesgos

Acuity STREAM

Acuity STREAM es un paquete software completo, configurable, sencillo de utilizar que

automatiza los complejos procesos necesarios para gestionar el cumplimiento
normativo y realizar una gestión de riesgos eficaz.

Acuity STREAM es una herramienta multiusuario, basada en roles, con un

repositorio central, que puede ser utilizada en tiempo real por los gestores de riesgo, los
analistas de riesgo, los responsables del negocio y los auditores internos. También está
disponible una versión monousuario para su utilización por parte de pequeñas
organizaciones y consultores.

Callio

Callio Secura 17799 es un producto de Callio technologies. Es una herramienta

software basada en web con soporte de base de datos que permite al usuario realizar
las tareas necesarias para implementar, gestionar y certificar un sistema de gestión
de seguridad de información.

Gestiona el cuerpo documental del SGSI, y permite la personalización tanto de la

base de datos como de los formatos de los documentos.

Casis

CASIS es un producto de Aprico consultores. Es una herramienta de Análisis Avanzado de

Pistas de Auditoría de Seguridad, lo que significa que su finalidad es la recopilación de
datos de archivos de registro a través de múltiples sistemas, la correlación de estos
datos y producción de alertas de seguridad basadas en las reglas definidas por el usuario.
Permite al usuario definir nuevas fuentes de datos, así como especificar las alertas.

Cobra

Cobra es una herramienta software que permite que las organizaciones realicen por sí
mismas el análisis de riesgos. Evalúa la importancia relativa de todas las amenazas
y vulnerabilidades, generando las recomendaciones y soluciones adecuadas. Vincula

TEMA 1 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

automáticamente los riesgos identificados con las posibles consecuencias para cada
unidad de negocio. También permite que ciertos aspectos o unidades de negocio
puedan ser evaluados de forma independiente, sin realizar ninguna asociación de
impacto. Cobra dispone de cuatro bases de datos de conocimientos que pueden
personalizarse según las necesidades de la organización.

CounterMeasures

La herramienta CounterMeasures ha sido desarrollada por Allion, para llevar a cabo

tareas de análisis y gestión del riesgo de acuerdo a las normas de la serie NIST-800 y de
la MB Circular A-130.

Esta herramienta permite normalizar los criterios de evaluación, utilizando una

lista de comprobación de evaluación que puede ser parametrizada por el usuario,
proporcionando criterios de evaluación objetiva para determinar el grado de
seguridad y el cumplimiento de las normas.

Cramm

La herramienta Cramm proporciona una manera fácil de implementar el método

Cramm, desarrollado por Insight Consulting. Soporta completamente las tres etapas
del método por medio de una aproximación ordenada y etapa a etapa. La
herramienta está disponible en tres versiones: CRAMM experto, CRAMM express y BS
7799 revisión.

EAR/PILAR

La herramienta EAR/PILAR da soporte al análisis y la gestión de riesgos de un sistema

de información siguiendo la metodología Magerit.

Está diseñada para apoyar el proceso de gestión de riesgo a lo largo de períodos

prolongados.

ESR/PILAR dispone de una biblioteca estándar de propósito general, y es capaz de

realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:

ISO/IEC 27002:2005—Código de buenas prácticas para la Gestión de la Seguridad

de la Información.

TEMA 1 – Ideas clave 15 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

SP800-53:2006—Recommended Security Controls for Federal Information Systems.

Criterios de Seguridad, Normalización y Conservación del Consejo Superior de
Informática y para el Impulso de la Administración Electrónica.

EBIOS

EBIOS es una herramienta de software desarrollada por L’Agence Nationale de la

Sécurité des Systèmes d’information (ANSSI) del gobierno francés con el objeto de dar
soporte a la metodología de análisis de riesgos EBIOS. La herramienta ayuda al usuario
a realizar todas las tareas del análisis y gestión de riesgos de acuerdo a las cinco fases
de la metodología EBIOS es una herramienta de código abierto y libre.

ECIJA | SGSI

ECIJA| SGSI es una herramienta web, desarrollada por ECIJA Holdings &
Investments, S.L. que permite la gestión integral de la seguridad de la información
basado en un ciclo de mejora continua (PDCA) y el seguimiento centralizado de las
obligaciones que establecen los estándares internacionales, como la ISO 27001 e ISO
27002 en la gestión de la misma. ECIJA | SGSI ayuda a medir el grado de eficacia de los
sistemas de gestión de la seguridad de la información, valorando la seguridad de la
información mediante los impactos producidos en base a los términos de
confidencialidad, integridad y disponibilidad de la misma.

La herramienta ECIJA | SGSI integra las siguientes funcionalidades:

Inventario de procesos y activos.

Análisis y gestión de riesgos.
Gestión de los controles de seguridad.
Gestión de proyectos y acciones de un SGSI.
Gestión de auditorías.
Gestión de incidencias de seguridad.
Gestión de la mejora continua y métricas de seguridad.
Gestión documental del marco normativo.
Cuadro de mandos integral.

TEMA 1 – Ideas clave 16 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

GlobalSGSI

GlobalSGSI es una herramienta de gestión integral de la norma ISO 27001,

desarrollada por Audisec Seguridad de la Información S.L., que cumple con el ciclo
completo de la misma, desde las fases de inicio y planificación del proyecto hasta el
mantenimiento, pasando por el análisis de riesgos y el cuadro de mandos.

GlobalSGSI es una herramienta que permite gestionar de forma global el ciclo completo
de la norma ISO 27001. Ayuda a acompañar el proyecto de realización de un SGSI desde
su nacimiento. Apoyándolo y asistiéndolo durante todo el proyecto. Permite gestionar el
SGSI de forma muy intuitiva, con ayudas a la implantación, propuesta de controles
automática, etc. Gracias a su módulo documental permite tener centralizada y controlada
toda la documentación del sistema de gestión. Sus principales funcionalidades son:

Definición de alcance.
Análisis diferencial.
Inventario de activos.
Análisis de riesgos (con ayudas a la hora de definir amenazas y vulnerabilidades).
Gestión de riesgos (con ayudas a la hora de identificar controles de seguridad).
Declaración de aplicabilidad.
Cuadro de mandos.
Auditorías, incidencias, soportes, usuarios, etc.
Documentación centralizada
Gráficos, informes y plantillas para una mejor visualización.

GStool

GStool ha sido desarrollado por Bundesamt für Sicherheit in der Informationstechnik

(BSI) del gobierno alemán para dar soporte a los usuarios del Manual Básico de
Protección de las TI (IT Baseline Protection Manual). Después de recabar la
información necesaria, los usuarios tienen a su disposición un sistema de generación de
informes, que les permiten analizar la información y generar informes tanto en formato
papel como en formato electrónico.

TEMA 1 – Ideas clave 17 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

GxSGSI

GxSGSI es una herramienta desarrollada por SIGEA, con el objeto de realizar el

análisis de riesgos de seguridad que es necesario para la certificación de un
Sistema de Gestión de Seguridad de la Información, bajo la norma ISO 27001.

Se trata de una herramienta cliente servidor, multiempresa y multirevisión, que

incorpora módulos que permiten realizar de manera fácil e intuitiva cualquiera de las
tareas necesarias para la implantación de un SGSI:

Tablas maestras completamente parametrizables

Inventario de Activos
Establecimiento de Amenazas por Activo
Análisis de Impactos
Documento de Selección de Controles
Establecimiento y medición de contramedidas
Informes de Riesgo Intrínseco y Residual
Inventario de Soportes y Gestión de Incidencias
Otros informes

ISAMM

La herramienta ISAMM (Information Security Assessment and Monitoring Method)

está alineada con el conjunto de controles de las mejores prácticas en seguridad de la
información de la ISO/IEC 27002. Un análisis y gestión de riesgo según ISAMM está
compuesto por tres partes principales:

Determinación del alcance

Análisis de riesgo
Informes

MIGRA Tool

MIGRA Tool es una herramienta web basada en la metodología MIGRA (GmbH

Metodología per la Gestione del Rischio Aziendale). Está diseñada para apoyar al
responsable de seguridad durante todo el proceso de diseñar y mantener un sistema
de protección eficaz y eficiente, que contemple tanto la seguridad de los activos de

TEMA 1 – Ideas clave 18 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

información como la de los bienes materiales. De hecho, si se adopta, se convierte en el

núcleo del sistema de gestión de la seguridad de la organización, que proporciona
la información necesaria para la toma de decisiones, así como para poder justificar
dichas decisiones y comprender sus consecuencias.

Módulo Risk Manager

La herramienta Módulo Risk Manager permite a las organizaciones optimizar y

automatizar los procesos que son necesarios en los proyectos internos de análisis de
riesgos y cumplimiento normativo, al recopilar y centralizar los datos relativos a todos
los activos de una organización, tanto de los activos tecnológicos, como de software y
hardware, como de los activos no tecnológicos, como son las personas, procesos y
las infraestructuras físicas, para evaluar el riesgo y asegurar el cumplimiento.

La herramienta permite la generación rápida y completa de informes. Módulo

Risk Manager cuenta con bases de conocimiento parar ayudar a las organizaciones a
evaluar y lograr el cumplimiento delaciones como: SOX, PCI, ISO 27001, HIPAA,
COBIT, ITIL, FISAP, FISMA, 800-53a NIST, 199 FIPS, un 130 y DOD 8500.2 y se
puede personalizar para que permita evaluar el cumplimiento de normas adicionales.

Octave Automated Tool

La herramienta Octave Automated Tool ha sido desarrollada por Advanced Technology

Institute (ATI) con el fin de ayudar a los usuarios a la hora de utilizar las metodologías
Octave y Octave-S. La herramienta proporciona ayuda al usuario durante la fase de
recopilación de datos, organiza la información recopilada y finalmente produce los
informes de resultado del estudio.

Proteus

La herramienta Proteus Enterprise desarrollada por Information Governance Ltd., es

una herramienta de Gobierno Corporativo basada en web, que da soporte completo a
los procesos de cumplimiento normativo, seguridad de la información y
gestión de riesgos. La herramienta Proteus Enterprise permite a las organizaciones
implementar los controles de cualquier norma o reglamento, por ejemplo: BS ISO/IEC
17799 y BS ISO/IEC 27001, BS 25999, SOX, CobiT, PCI DSS etc.

TEMA 1 – Ideas clave 19 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Risicare

Risicare da soporte a las tareas de análisis y gestión de riesgos de información

contempladas en la metodología MEHARI, las opciones y las fórmulas que utiliza han
sido desarrolladas por CLUSIF. Las funciones de Risicare simulan condiciones
reales y permiten evaluar múltiples escenarios o situaciones de amenaza. Como
resultado la herramienta Risicare permite tanto el modelado de escenarios de riesgo,
como la gestión de un SGSI, utilizando un conjunto de controles que incluye los de la
norma ISO 27002.

RiskWatch

La herramienta RiskWatch para Sistemas de Información e ISO 27002 es la solución

que ha desarrollado la empresa RiskWatch para dar soporte a la gestión de riesgos
de seguridad de la información. Esta herramienta realiza evaluaciones de
vulnerabilidad y análisis de riesgo de los sistemas de información de forma automática.
Las bases de datos de conocimientos que se proporcionan junto con el producto son
completamente personalizables por el usuario, lo que permite crear nuevas categorías
de activos, de amenazas, de vulnerabilidad, de salvaguardas. La herramienta incluye
controles tanto de la ISO 27002 como de NIST 800-26.

Risk Management Studio

La herramienta Risk Management Studio está diseñada para dar soporte a empresas,
instituciones y órganos de gobierno local que deban garantizar la seguridad de la
información. La herramienta se basa en las normas ISO/IEC 27002:2005 y
ISO/IEC 27001:2005.

La herramienta Risk Management:

Ayuda a identificar los activos.

Ayuda a evaluar los activos.
Proporcionas una lista predefinida de categorías de activos y amenazas.
Sugiere posibles amenazas a los activos seleccionados.
Incluye las cláusulas del estándar ISO/IEC 27001.
Sugiere controles adecuados para protegerse contra los riesgos de seguridad.

TEMA 1 – Ideas clave 20 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Ayuda a obtener el nivel de seguridad de la información deseado de conformidad

con la norma ISO/IEC 27001:
o Proporciona diversos informes.
o Acelera los procesos de análisis de riesgos.
o Facilita el proceso de certificación.
o Facilita la gestión del riesgo.

S2GSI

La herramienta S2GSI ha sido diseñada por el Grupo SIA para dar soporte a la gestión
eficiente de las principales actividades derivadas de la implantación de un SGSI.
S2GSI facilita el proceso de implantación y el mantenimiento del SGSI, con
independencia del ámbito de la organización. Entre las principales funciones y
características de S2GSI se encuentran:

Soporte a la gestión del estado de cumplimiento de controles, pudiendo controlar en

todo momento el estado actual de conformidad.
Posibilidad de gestionar diferentes marcos normativos de forma simultánea:
ISO/IEC 27001, ISO/IEC 27002, RD 1720/2007, PCI DSS, ENS (RD 3/2010), etc.
Definición de procedimientos de verificación personalizados.
Mantenimiento de información histórica, con posibilidad de ver la mejora en el
tiempo del estado de la seguridad.
Definición y seguimiento de proyectos, agrupando controles y comprobando en cado
momento el nivel de implantación.
Gestión de indicadores de eficacia del SGSI.
Registro de auditorías y seguimiento de las no conformidades y acciones correctivas.
Apoyo a la gestión documental.
Importación automática de datos.
Presentación de informes textuales y gráficos.

Securia SGSI

Securia SGSI es una herramienta integral, desarrollada bajo licencia GNU por el Centro
Europeo de Empresas e Innovación de Albacete, que cubre el proceso automático
de implantación, puesta en funcionamiento, mantenimiento y mejora
continua de un Sistema de Gestión de Seguridad de la Información (SGSI)
según la norma internacional ISO 27001.

TEMA 1 – Ideas clave 21 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Securia SGSI dispone de los siguientes módulos funcionales:

Módulo de gestión de incidencias y no conformidades: mediante la gestión

de las incidencias, la entidad se asegura de que los eventos y los puntos débiles de la
seguridad de la información, asociados con los sistemas de información, se
comunican de forma que sea posible emprender su resolución mediante la
aplicación de acciones correctivas.

Módulo de mejora continua: gestión de acciones preventivas y de mejora que se

aplican al sistema de seguridad para adaptarlo a nuevas situaciones y en previsión
de posibles fallos, situaciones de riesgo, etc.

Módulo de gestión documental: los documentos exigidos por el SGSI deben

estar protegidos y controlados (4.3.2. ISO 27001).

Módulo de análisis y gestión de riesgos:

o Inventario de procesos y activos
o Valoración del impacto de activos
o Identificación de amenazas y vulnerabilidades
o Cálculo del riesgo
o Decisión de criterios de aceptación
o Toma de decisiones de actuación
o Generación y seguimiento de las contramedidas
o Evaluación del nivel de seguridad

1.5. UNE-ISO 31000: 2010 Gestión del Riesgo – Principios y

Directrices

Esta norma proporciona a las organizaciones una

herramienta para gestionar el riesgo, que no es
otra cosa que la incertidumbre que generan los
factores e influencias tanto internas y como
externas a las que está expuesta una organización, y
que pueden poner en peligro el cumplimiento de
sus objetivos.

TEMA 1 – Ideas clave 22 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Todas las actividades de una organización implican riesgos, que deben ser capaces de
afrontar, para ello las organizaciones deben gestionar el riesgo identificándolo,
analizándolo y evaluándolo, para determinar si es necesario modificarlo mediante
un tratamiento que satisfaga sus criterios de riesgo.

Para ello, a lo largo de todo el proceso de gestión del riesgo, las organizaciones deben
comunicar y consultar a las partes interesadas aquellos aspectos que les afecten, y llevar
a cabo una revisión y seguimiento tanto del riesgo, como de los controles que lo
modifican, con el objeto de tener un conocimiento del nivel de riesgo al que está
expuesta y facilitar información para la tomar de decisiones, implantando tratamientos
del riesgo adicionales cuando sea necesario.

La UNE-ISO 3001 establece una serie de principios que se deben satisfacer para que la
gestión del riesgo sea eficaz. Para ello, recomienda a las organizaciones que deben
desarrollar e implementar un marco de trabajo cuyo objetivo sea integrar el
proceso de gestión del riesgo en los procesos de gobierno, de estrategia y de
planificación, de gestión, y de elaboración de informes, así como en las políticas, los
valores y en la cultura de toda la organización. Todo ello dentro de un proceso de
mejora continua.

Esta norma por medio de un enfoque genérico proporciona los principios y las
directrices que permiten gestionar cualquier forma de riesgo de una manera
sistemática, transparente y fiable, dentro de cualquier alcance y de cualquier contexto.
Características que le hacen idónea para su utilización en la gestión del riesgo de la
cadena de suministro.

Uno de los puntos clave de esta norma consiste en la inclusión del «establecimiento
del contexto» como una actividad al comienzo de este proceso de gestión del riesgo.
El establecimiento del contexto permite captar los objetivos de la organización, el
entorno en el que se persiguen estos objetivos, las partes interesadas y la diversidad
de los criterios de riesgo. Todos estos elementos contribuyen a mostrar y evaluar la
naturaleza y complejidad de sus riesgos.

Un proceso de gestión del riesgo implantado según los principios y directrices de

la UNE-ISO 31000, es una herramienta que ayuda a una organización a:

Aumentar la probabilidad de alcanzar los objetivos.

Fomentar una gestión proactiva.

TEMA 1 – Ideas clave 23 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización.

Mejorar la identificación de oportunidades y de amenazas.
Cumplir los requisitos legales y reglamentarios.
Mejorar la redacción de informes obligatorios y voluntarios
Mejorar el gobierno.
Mejorar la seguridad y la confianza de las partes interesadas.
Establecer una base fiable para la toma de decisiones y la planificación
Mejorar los controles.
Asignar y utilizar de manera eficaz los recursos para el tratamiento del riesgo.
Mejorar la eficacia y la eficiencia operacional.
Aumentar las prestaciones en materia de salud y seguridad, así como la protección
ambiental.
Mejorar la prevención de pérdidas y la gestión de incidentes.
Minimizar las pérdidas.
Mejorar el aprendizaje de la organización.
Mejorar la resiliencia de la organización.

TEMA 1 – Ideas clave 24 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Principios

La UNE-ISO 31000 establece una serie de principios que deben aplicarse en la gestión
del riesgo para que esta sea eficaz. Estos principios deben ser adoptados por la
organización en la gestión de riesgos en todos sus niveles.

La gestión del riesgo crea y protege el valor

La gestión del riesgo contribuye de manera tangible al logro de los objetivos y a la
mejora del desempeño.

La gestión del riesgo deber formar parte integral de todos los procesos
de la organización
La gestión del riesgo no debe ser una actividad independiente y separada del resto
de las actividades y procesos principales de la organización. La gestión del riesgo
forma parte de las responsabilidades de gestión y es una parte integral de todos los
procesos de la organización, incluyendo tanto la planificación estratégica como a
todos los procesos de la gestión de proyectos y de cambios.

La gestión del riesgo debe ser parte de la toma de decisiones

La gestión del riesgo es una ayuda a la toma de decisiones, que facilita información
para la toma de decisiones y ayuda a definir las prioridades de las acciones y a
elaborar y adoptar el plan de acción apropiado...

La gestión del riesgo trata explícitamente la incertidumbre

La gestión del riesgo tiene en cuenta explícitamente la incertidumbre, la naturaleza
de esa incertidumbre, y la manera en que se puede tratar.

La gestión del riesgo debe ser sistemática, estructurada y oportuna

Un enfoque sistemático, oportuno y estructurado de la gestión del riesgo contribuye
a la eficacia y a resultados coherentes, comparables y fiables.

La gestión del riesgo debe basarse en la mejor información disponible

Los elementos de entrada del proceso de gestión del riesgo deben tener origen en
fuentes de información fiables tales como datos históricos, experiencia,
retroalimentación de las partes interesadas, observación, previsiones y juicios de
expertos. No obstante, en los procesos de toma de decisiones se deben tener en
cuenta todas las limitaciones de los datos o modelos utilizados, así como las posibles
divergencias entre expertos.

TEMA 1 – Ideas clave 25 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

La gestión del riesgo debe adaptarse

La gestión del riesgo debe estar alineada con el contexto externo e interno de la
organización y con el perfil del riesgo.

La gestión del riesgo debe integrar los factores humanos y culturales

La gestión del riesgo permite identificar las aptitudes, las percepciones y las
intenciones de las personas externas e internas que pueden facilitar o dificultar el
logro de los objetivos de la organización.

La gestión del riesgo debe ser transparente y participativa

La implicación apropiada y oportuna de las partes interesadas y, en particular, de las
personas que toman decisiones a todos los niveles de la organización, asegura que la
gestión del riesgo se mantenga pertinente y actualizada. Esta implicación también
permite que las partes interesadas estén adecuadamente representadas y que sus
opiniones se tengan en cuenta en la determinación de los criterios de riesgo.

La gestión del riesgo debe ser dinámica, iterativa, y responde a los

cambios
La gestión del riesgo debe ser sensible a los cambios y debe adaptarse a ellos.
Cuando se producen sucesos externos e internos, el contexto y los conocimientos
cambian, se debe realizar el seguimiento y la revisión de riesgos, ya que surgen
nuevos riesgos, algunos cambian y otros desaparecen.

La gestión del riesgo facilita la mejora continua de la organización

La organización debe desarrollar e implementar estrategias para mejorar su
madurez en la gestión del riesgo en todos los demás aspectos de la organización.

Marco de trabajo

El éxito de la gestión del riesgo en una organización depende de la eficacia del marco de
trabajo de gestión que utilice y que deben proporcionarle las bases y las disposiciones
que le permitan su integración a todos los niveles de la organización.

El marco de trabajo debe facilitar una gestión eficaz del riesgo mediante la
aplicación del proceso de gestión del riesgo a diferentes niveles y dentro de contextos
específicos de la organización. Garantizando que la información sobre el riesgo
obtenida en este proceso de gestión del riesgo se comunica y utiliza adecuadamente
como una base para la toma de decisiones, estableciendo la obligación de rendir
cuentas en todos los niveles pertinentes de la organización.

TEMA 1 – Ideas clave 26 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

El marco de trabajo que propone la UNE-ISO 31000 no tiene por objeto prescribir un
sistema de gestión, sino que está diseñado para más bien ayudar a la organización a
integrar la gestión del riesgo en su sistema de gestión empresarial. Por ello,
las organizaciones deberían adaptar los componentes del marco de trabajo a sus
necesidades específicas.

Proceso

El proceso de gestión del riesgo debe formar parte de la gestión de la organización,

integrándose en la cultura y en las prácticas de la misma, adaptarse a los procesos de
negocio.

Las comunicaciones y las consultas con las partes interesadas externas e internas
se deberían realizar en todas las etapas del proceso de gestión del riesgo.

Por ello, en una de las primeras etapas se deberán desarrollar los planes de
comunicación y consulta. Estos planes deberán tratar temas relativos al riesgo en sí
mismo, a sus causas, a sus consecuencias (si se conocen), y a las medidas a tomar para
tratarlo. Se deberán realizar comunicaciones y consultas externas e internas eficaces
para asegurarse de que las personas responsables de la implementación del proceso
de gestión del riesgo y las partes interesadas comprenden las bases que han servido
para tomar decisiones y las razones por las que son necesarias determinadas acciones.

Un enfoque consultivo en equipo puede:

Ayudar a establecer adecuadamente el contexto.

Asegurar que los intereses de las partes interesadas se comprenden y se tienen en
consideración.
Ayudar a asegurar que los riesgos se identifican adecuadamente.
Reunir diferentes áreas de experiencia para analizar los riesgos.
Asegurar que las diferentes opiniones se tienen en cuenta de forma adecuada, al
definir los criterios de riesgo y en la evaluación de los riesgos.
Conseguir la aprobación y el apoyo para un plan de tratamiento.
Favorecer una gestión de cambio adecuada durante el proceso de gestión del riesgo.
Desarrollar un plan adecuado de comunicación y consultas externas e internas.

TEMA 1 – Ideas clave 27 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Las comunicaciones y consultas con las partes interesadas son importantes ya que estas
pueden emitir juicios sobre el riego basados en sus percepciones de riesgo. Estas
percepciones pueden variar debido a diferencias en los valores, las necesidades, las
hipótesis, los conceptos y las inquietudes de las partes interesadas. Como sus opiniones
pueden tener un impacto importante en las decisiones tomadas, las percepciones de las
partes interesadas se deberían identificar, registrar y tomar en consideración en el
proceso de toma de decisiones.

Las comunicaciones y consultas deben facilitar intercambios de información que sean

veraces, pertinentes, exactos y entendibles, teniendo en cuenta los aspectos confidenciales
y de integridad personal.

Mediante el establecimiento del contexto, la organización articula sus objetivos, define

los parámetros externos e internos a tener en cuenta en la gestión del riesgo, y establece
el alcance y los criterios de riesgo para el proceso restante.

Aunque muchos de estos parámetros son similares a los considerados en el diseño del
marco de trabajo de la gestión del riesgo, cuando se establece el contexto para el
proceso de gestión del riesgo tales parámetros se deben considerar en mayor detalle, y
en particular cómo están relacionados con el alcance del proceso particular de gestión
del riesgo.

Establecimiento del contexto externo

El contexto externo es el entorno externo en que la organización busca conseguir sus

objetivos.

La comprensión del contexto externo es importante para asegurarse de que los

objetivos e inquietudes de las partes interesadas externas se tienen en cuenta cuando se
desarrollan los criterios de riesgo. El contexto externo se basa en el contexto a escala de la
organización, pero con detalles específicos de requisitos legales y reglamentarios, con
las percepciones de las partes interesadas y con otros aspectos de riesgos específicos del
alcance del proceso de gestión del riesgo.

El contexto externo puede incluir, pero no se limita al entorno social y cultural, político,
legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel
internacional, nacional, regional o local; los factores y las tendencias clave que tengan

TEMA 1 – Ideas clave 28 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

impacto en los objetivos de la organización; y las relaciones con las partes interesadas
externas, sus percepciones y sus valores.

Establecimiento del contexto interno

El contexto interno es el entorno interno en que la organización busca conseguir sus

objetivos. El proceso de gestión del riesgo debe alinearse con la cultura, los procesos, la
estructura y la estrategia de la organización.

El contexto interno lo constituye todo aquello que en el seno de la organización puede

influir en la manera en la que una organización gestionará el riesgo. Este contexto se
debe establecer, ya que la gestión del riesgo se realiza en el contexto de los objetivos
de la organización; los objetivos y los criterios de un proyecto, de un proceso o de
una actividad específicos se deben considerar a la vista de los objetivos de la
organización en su conjunto; y algunas organizaciones no reconocen todas las
oportunidades que les permiten conseguir sus objetivos en materia de estrategia, de
proyecto o de negocio, y esto afecta a la continuidad del compromiso, la credibilidad, la
confianza y los valores de la organización.

Es necesario comprender el contexto interno. Que puede incluir, pero no se limita a:

el gobierno, la estructura de la organización, las funciones y las responsabilidades; las
políticas, los objetivos y las estrategias que se establecen para conseguirlos; las
aptitudes, entendidas en términos de recursos y conocimientos (por ejemplo, capital,
tiempo, personas, procesos, sistemas y tecnologías); la relaciones con las partes
internas interesadas, sus percepciones y sus valores; la cultura de la organización; los
sistemas de información, los flujos de información y los procesos de toma de decisiones
(tanto formales como informales); las normas, las directrices y los modelos adoptados
por la organización; y la forma y extensión de las relaciones contractuales.

Establecimiento del contexto del proceso de gestión del riesgo

Se deberían establecer los objetivos, las estrategias, el alcance y los parámetros de las
actividades de la organización, o de aquellas partes de la organización donde se aplica
el proceso de gestión del riesgo. La gestión del riesgo se debería emprender teniendo en
cuenta todo lo necesario para justificar los recursos que se han de utilizar para
llevarla a cabo.

TEMA 1 – Ideas clave 29 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

También se deberían especificar los recursos requeridos, las responsabilidades y

autoridades, y los registros que se deben conservar.

El contexto del proceso de la gestión del riesgo variará de acuerdo con las
necesidades de la organización. Puede implicar, pero no se limita a:

La definición de las metas y objetivos de las actividades de gestión del riesgo.

La definición de las responsabilidades relativas al proceso de gestión del riesgo.
La definición del alcance, así como el grado y la amplitud de las actividades de
gestión del riesgo a realizar, incluyendo las inclusiones y exclusiones específicas.
La definición de la actividad, del proceso, de la función, del proyecto, del producto,
del servicio o del activo, en términos de tiempo y de ubicación.
La definición de las relaciones entre un proyecto, un proceso o una actividad
particulares y otros proyectos, procesos o actividades de la organización.
La definición de las metodologías de apreciación del riesgo.
La definición del método para evaluar el desempeño y la eficacia en la gestión del riesgo.
La identificación y la especificación de las decisiones a tomar.
La identificación, el alcance o el marco de los estudios requeridos, su amplitud y sus
objetivos, así como los recursos necesarios para tales estudios.

Se deberían tener en cuenta estos y otros factores pertinentes para asegurar que el
enfoque adoptado de la gestión del riesgo es apropiado a las circunstancias, a la
organización y a los riesgos que afectan al logro de sus objetivos.

Definición de los criterios de riesgo

La organización debería definir los criterios que se aplican para evaluar la

importancia del riesgo. Los criterios deberían reflejar los valores, los objetivos y los
recursos de la organización. Algunos criterios pueden estar impuestos o derivarse de
requisitos legales o reglamentarios, o de otros requisitos suscritos por la organización.
Los criterios de riesgo deberían ser coherentes con la política de gestión del riesgo
de la organización, definirse al comienzo de cualquier proceso de gestión del riesgo, y
revisarse continuamente.

TEMA 1 – Ideas clave 30 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Al definir los criterios de riesgo, se deberían considerar una serie de factores entre los
cuales se incluyen los siguientes:

La naturaleza y los tipos de las causas y de las consecuencias que se pueden

producir, y cómo se deben medir.
El método de definición de la probabilidad.
Los plazos de la probabilidad y/o de las consecuencias.
El método para determinar el nivel de riesgo.
Las opiniones de las partes interesadas.
El nivel al que el riesgo comienza a ser aceptable o tolerable.
Si se deberían tener en cuenta combinaciones de riesgos múltiples y, en caso
afirmativo, cómo y qué combinaciones se deberían considerar.

Apreciación del riesgo

La apreciación del riesgo es el proceso global de identificación, de análisis y de

evaluación del riesgo.

Identificación del riesgo

La organización debería identificar los orígenes de riesgo, las áreas de impactos,

los sucesos (incluyendo los cambios de circunstancias), así como sus causas y sus
consecuencias potenciales. El objetivo de esta etapa consiste en generar una lista de
riesgos exhaustiva basada en aquellos sucesos que podrían crear, mejorar, prevenir,
degradar, acelerar o retrasar el logro de los objetivos. Es importante identificar los
riesgos asociados al hecho de no buscar una oportunidad. Es esencial realizar una
identificación exhaustiva, ya que un riesgo que no se identifica en esta etapa no se
incluirá en análisis posteriores.

La identificación debería incluir los riesgos, tanto si su origen está o no bajo el

control de la organización, incluso aunque el origen o la causa del riesgo no pueda
ser evidente. La identificación del riesgo debería incluir el examen de los efectos en
cadena de consecuencias particulares, incluyendo los efectos en cascada o
acumulativos. También debería considerar un amplio rango de consecuencias, incluso
aunque el origen o la causa del riesgo no puedan ser evidentes. Además de identificar lo
que podría ocurrir, es necesario considerar las posibles causas y escenarios que
muestran las consecuencias que se pueden producir. Todas las causas y consecuencias
significativas se deberían tener en consideración.

TEMA 1 – Ideas clave 31 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

La organización debería aplicar herramientas y técnicas de identificación del

riesgo que se adapten a sus objetivos y aptitudes, así como a los riesgos a los que está
expuesta. Para la identificación de los riesgos es esencial disponer de información
pertinente y actualizada. Siempre que sea posible, esta información debería ir
acompañada de antecedentes apropiados. En la identificación de los riesgos deberían
intervenir personas con conocimientos apropiados.

Análisis del riesgo

El análisis del riesgo implica desarrollar una comprensión del riesgo. El análisis del
riesgo proporciona elementos de entrada para la evaluación del riesgo y para tomar
decisiones acerca de si es necesario tratar los riesgos, así como sobre las estrategias y
los métodos de tratamiento del riesgo más apropiados. El análisis del riesgo
también puede proporcionar elementos de entrada para tomar decisiones cuando se
deben hacer elecciones, y las opciones implican diferentes tipos de niveles de riesgo.

El análisis del riesgo implica la consideración de las causas y las fuentes del riesgo,
sus consecuencias positivas y negativas, y la probabilidad de que estas consecuencias
puedan ocurrir. Se deberían identificar los factores que afectan a las consecuencias y a
la probabilidad. El riesgo se analiza determinando las consecuencias y su
probabilidad, así como otros atributos del riesgo. Un suceso puede tener múltiples
consecuencias y puede afectar a múltiples objetivos. También se deberían tener en
cuenta los controles existentes, así corno su eficacia y su eficiencia.

La forma de expresar las consecuencias y la probabilidad, así corno la manera en que

estas se combinan para determinar un nivel de riesgo, debería corresponder al tipo de
riesgo, a la información disponible y al objetivo para el que se utiliza el resultado de la
apreciación del riesgo. Todos estos datos deberían ser coherentes con los criterios de
riesgo. También es importante considerar la interdependencia de los diferentes
riesgos y de sus fuentes.

La confianza en la determinación del nivel de riesgo y su sensibilidad a las

condiciones previas y a las hipótesis se debería considerar en el análisis y comunicar de
manera eficaz a las personas que han de tornar decisiones y, cuando corresponda, a
otras partes interesadas. Factores tales como las diferencias de opinión entre expertos,
la incertidumbre, la disponibilidad, la calidad, la cantidad y la validez de la pertinencia
de la información, o las limitaciones respecto a modelos establecidos se deberían
indicar y pueden resaltarse.

TEMA 1 – Ideas clave 32 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

El análisis del riesgo se puede realizar con diferentes grados de detalle,

dependiendo del riesgo, de la finalidad del análisis y de la información, así corno de los
datos y los recursos disponibles. El análisis puede ser cualitativo, semi-cuantitativo o
cuantitativo, o una combinación de los tres casos, dependiendo de las circunstancias.

Las consecuencias y su probabilidad se pueden determinar realizando el modelo de

los resultados de un suceso o conjunto de sucesos, o por extrapolación de estudios
experimentales o de datos disponibles. Las consecuencias se pueden expresar en
términos de impactos tangibles o intangibles. En algunos casos, se requiere más de un
valor numérico o descriptor para especificar las consecuencias y su probabilidad para
diferentes momentos, lugares, grupos o situaciones.

Evaluación del riesgo

En base a los resultados del análisis del riesgo la finalidad de la evaluación del riesgo es
ayudar a la toma de decisiones, determinando los riesgos a tratar y la prioridad para
implementar el tratamiento.

La evaluación del riesgo implica comparar el nivel de riesgo encontrado durante el

proceso de análisis con los criterios de riesgo establecidos cuando se consideró el
contexto. En base a esta comparación, se puede considerar la necesidad del
tratamiento.

Para las decisiones se debería tener en cuenta el contexto más amplio del riesgo e
incluir la consideración de la tolerancia del riesgo por otras partes diferentes de la
organización, que se benefician del riesgo. Las decisiones se deberían tomar de acuerdo
con requisitos legales, reglamentarios y requisitos de otro tipo.

En algunas circunstancias, la evaluación del riesgo puede llevar a la decisión de realizar

un análisis en mayor profundidad.

La evaluación del riesgo también puede llevar a la decisión de no tratar el riesgo de

ninguna otra manera que manteniendo los controles existentes. Esta decisión estará
influenciada por la actitud ante el riesgo por parte de la organización y por los criterios
de riesgo que se hayan establecido.

TEMA 1 – Ideas clave 33 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Tratamiento del riesgo

El tratamiento del riesgo implica la selección y la implementación de una o varias

opciones para modificar los riesgos.
Una vez realizada la implementación, los tratamientos proporcionan o modifican los
controles.

El tratamiento del riesgo supone un proceso cíclico de:

Evaluar un tratamiento del riesgo

Decidir si los niveles de riesgo residual son tolerables
Si no son tolerables, generar un nuevo tratamiento del riesgo
Evaluar la eficacia de este tratamiento

Las opciones de tratamiento del riesgo no se excluyen necesariamente unas a otras,

ni son apropiadas en todas las circunstancias.

Las opciones pueden incluir lo siguiente:

Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el
riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiación del
riesgo).
Retener el riesgo en base a una decisión informada.

Selección de opciones de tratamiento del riesgo

La selección de la opción más apropiada de tratamiento del riesgo implica obtener

una compensación de los costes y los esfuerzos de implementación en función de las
ventajas que se obtengan, teniendo en cuenta los requisitos legales, reglamentarios y de
otro tipo, tales como la responsabilidad social y la protección del entorno natural. Las
decisiones también se deberían tomar teniendo en cuenta los riesgos cuyo tratamiento
no es justificable en el plano económico, por ejemplo, riesgos severos (consecuencias
altamente negativas) pero raros (baja probabilidad).

TEMA 1 – Ideas clave 34 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Un determinado número de opciones de tratamiento se puede considerar y aplicar

bien individualmente o bien en combinación.

Normalmente, la organización puede beneficiarse de la adopción de una combinación

de opciones de tratamiento.

Al seleccionar opciones de tratamiento del riesgo, la organización debería tener en

consideración los valores y las percepciones de las partes interesadas y los medios más
apropiados para comunicarse con ellas. Cuando las opciones de tratamiento del riesgo
puedan impactar sobre el riesgo en cualquier otra parte de la organización o en las
partes interesadas, estas se deberían involucrar en la decisión. A igual eficacia, algunos
tratamientos del riesgo pueden ser más aceptables que otros para algunas partes
interesadas.

El plan de tratamiento debería identificar con claridad el orden de prioridad en que se

deberían implementar los tratamientos de riesgo individuales.

El tratamiento del riesgo a su vez puede introducir nuevos riesgos. El fallo o la

ineficacia de las medidas de tratamiento del riesgo pueden constituir un riesgo
importante. Para tener la seguridad de que las medidas son eficaces, es necesario que el
seguimiento sea una parte integrante del plan de tratamiento del riesgo.

El tratamiento del riesgo también puede introducir riesgos secundarios que

necesitan que se aprecien, se traten, se realice seguimiento y se revisen. Estos riesgos
secundarios se deberían incorporar en el mismo plan de tratamiento que el riesgo
original, y no tratarse como riesgos nuevos. La relación entre los dos riesgos debería
identificarse y mantenerse.

Preparación e implementación de los planes de tratamiento del riesgo

La finalidad de los planes de tratamiento del riesgo consiste en documentar la manera

en que se implantarán las opciones de tratamiento elegidas. La información
proporcionada en los planes de tratamiento debería incluir lo siguiente:

Las razones que justifican la selección de las opciones de tratamiento, incluyendo los
beneficios previstos.
Las personas responsables de la aprobación del plan y las personas responsables de

TEMA 1 – Ideas clave 35 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

la implementación del plan.

Las acciones propuestas.
Las necesidades de recursos, incluyendo las contingencias.
Las medidas del desempeño y las restricciones.
Los requisitos en materia de información y de seguimiento.
El calendario y la programación.

Los planes de tratamiento deberían integrarse en los procesos de gestión de la

organización y discutirse con las partes interesadas apropiadas.

Las personas que toman decisiones y las otras partes interesadas deberían estar
enteradas de la naturaleza y amplitud del riesgo residual después del
tratamiento del riesgo. El riesgo residual se debería documentar y someter a
seguimiento, revisión y, cuando sea apropiado, a tratamiento adicional.

Seguimiento y revisión

El seguimiento y la revisión deberían planificarse en el proceso de tratamiento del

riesgo y someterse a una verificación o una vigilancia regular. Esta verificación o
vigilancia puede ser periódica o eventual.

Las responsabilidades del seguimiento y de la revisión deberían estar claramente

definidas.

Los procesos de seguimiento y de revisión de la organización deberían abarcar todos los

aspectos del proceso de gestión del riesgo, con la finalidad de:

Asegurar que los controles son eficaces y eficientes tanto en su diseño como en su
utilización.
Obtener la información adicional para mejorar la apreciación del riesgo.
Analizar y sacar conclusiones de los sucesos, cambios, tendencias, éxitos y fallos.
Detectar los cambios en el contexto interno y externo, incluidos los cambios en los
criterios de riesgo y en el propio riesgo, que puedan requerir la revisión de los
tratamientos de riesgo y de las prioridades.
Identificar los riesgos emergentes.

TEMA 1 – Ideas clave 36 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

El avance en la implantación de los planes de tratamiento del riesgo

proporciona una medida del funcionamiento. Los resultados se pueden incorporar en la
gestión del funcionamiento global de la organización, en su medición y en las
actividades externas e internas.
Los resultados del seguimiento y de la revisión se deberían registrar e incluir en
informes internos y externos, según sea apropiado, y también se deberían utilizar como
elementos de entrada para la revisión del marco de trabajo de la gestión del riesgo.

Registro del proceso de gestión del riesgo

Las actividades de gestión del riesgo deberían ser trazables. En el proceso de

gestión del riesgo los registros proporcionan la base para la mejora de los métodos y de
las herramientas, así como del proceso en su conjunto.

Las decisiones relativas a la creación de registros deberían tener en cuenta:

Las necesidades de la organización en materia de aprendizaje continuo.
Los beneficios de reutilizar la información para fines de gestión.
Los costes y los esfuerzos que suponen la creación y el mantenimiento de los registros.
Las necesidades legales, reglamentarias y operacionales para efectuar los registros.
El método de acceso, la facilidad de recuperación y los medios de almacenaje.
El período de conservación.
El carácter sensible de la información.

TEMA 1 – Ideas clave 37 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Material complementario

Lecciones magistrales

Seguridad, sistemas y metodologías de gestión de riesgos S/W

En esta lección magistral, el profesor Ricardo Rejas hablará sobre las metodologías de
gestión de riesgos y la gestión de riesgos en las organizaciones orientado a tecnologías
de la información.

El vídeo está disponible en el aula virtual.

No dejes de leer…

The Tallinn Manual on the International Law Applicable to Cyber Warfare

Es un estudio académico, no vinculante sobre cómo el derecho

internacional, en particular el Ius ad Bellum y el derecho
internacional humanitario, se aplican a los conflictos cibernéticos y
la guerra cibernética.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://issuu.com/nato_ccd_coe/docs/tallinnmanual?e=5903855/1802381

TEMA 1 – Material complementario 38 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

El cisne negro

Taleb, N. N. (2008). El cisne negro. Paidós Ibérica

¿Qué es un cisne negro? Un hecho improbable, impredecible y de

consecuencias imprevisibles. Lectura imprescindible para
entender el concepto de análisis de riesgos.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://books.google.es/books?id=SgAkI-
OV0YsC&printsec=frontcover&dq=el+cisne+negro&hl=#v=onepage&q=el%20cisne%2
0negro&f=false

No dejes de ver…

Análisis de riesgos

Para efectuar un análisis de riesgos es

necesario saber a lo que nos enfrentamos,
las habilidades tradicionales que una
organización necesita en seguridad de la
información actualmente no son tan
efectivas para protegerla contra incidentes
cibernéticos.

Accede a los vídeos a través del aula virtual o desde las siguientes direcciones web:
http://www.youtube.com/watch?v=_1ni_tjjVDQ

TEMA 1 – Material complementario 39 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

ENISA

En este enlace podrás ver los vídeos elaborados

por ENISA (European Union Agency for Network
and Information Security).

Accede a los vídeos a través del aula virtual o desde las siguientes direcciones web:
https://www.enisa.europa.eu/media/multimedia/material/awareness-raising-video-
clips

A fondo

Los «cisnes negros»: elemento clave en la protección de Infraestructuras

Críticas

Cañizares, R. (2013). Los «cisnes negros»: elemento clave en la protección de

Infraestructuras Críticas. Red seguridad: revista especializada en seguridad
informática, protección de datos y comunicaciones, 60, 40-41.

¿Qué entendemos por un «cisne negro»? ¿Cómo introduzco en el análisis de riesgos el

cisne negro? Y, ¿cómo calculo el retorno de la inversión en seguridad?

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://dialnet.unirioja.es/servlet/articulo?codigo=4205895

TEMA 1 – Material complementario 40 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Árboles de Ataque, una herramienta imprescindible en la protección de

Infraestructuras Críticas

Artículo de Ricardo Cañizares, Director de Consultoría de Eulen Seguridad, publicado

en la web de revista Red Seguridad en 2012.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://www.redseguridad.com/opinion/articulos/arboles-de-ataque-una-herramienta-
imprescindible-en-la-proteccion-de-infraestructuras-criticas

La simulación como herramienta de análisis de riesgos

En este artículo veremos cómo la simulación es válida para estimar las consecuencias
de cualquier incidente de seguridad, que afecte tanto a la integridad física de las
personas como a los activos de una organización.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://www.puntoseguridad.com/cuadernos-de-seguridad/revista/239

Gerencia de riesgos informáticos

Artículo publicado en Trébol en 2006 por Esther Cerdeño —Subdirectora Informática

Técnica — MAPFRE REASEGUROS (España) relativo a la gerencia de riesgos
informáticos.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd
?path=1035723

TEMA 1 – Material complementario 41 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Análisis de riesgos dinámicos en sistemas de información

Este trabajo de David López Cuenca hace un recorrido por las principales corrientes
que buscan sacar partido a este potencial, englobadas principalmente bajo el concepto
de Análisis de Riesgos Dinámico, cuyo principio es la actualización incesante de los
parámetros que intervienen en el cálculo del riesgo para la optimización de su
tratamiento posterior.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://eprints.ucm.es/16931/1/PFM_2012_-_David_L%C3%B3pez_Cuenca_-
_An%C3%A1lisis_de_Riesgos_Din%C3%A1micos_en_Sistemas_de_Informaci%C3%B
3n.pdf

Webgrafía

ENISA - European Union Agency for Network and Information Security

El objetivo de ENISA es mejorar las redes y la seguridad de la

información en la Unión Europea. La agencia tiene que contribuir
al desarrollo de una cultura de red y seguridad de la información
para el beneficio de los ciudadanos, consumidores, empresas y
organizaciones del sector público de la Unión Europea, y por
tanto contribuirá a mejorar el funcionamiento interno de la EU.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://www.enisa.europa.eu/

TEMA 1 – Material complementario 42 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Information Security Forum (ISF)

El Foro de Seguridad de la Información (ISF) es una

asociación independiente, sin ánimo de lucro. Se dedica a
investigar, aclarar y resolver cuestiones clave de seguridad
de la información, y el desarrollo de metodologías de mejores prácticas, procesos y
soluciones que satisfagan las necesidades de negocios de sus miembros.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.securityforum.org/

TEMA 1 – Material complementario 43 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Actividades

Actividad: La seguridad, los sistemas y la metodología de gestión

de riesgos en los programas informáticos

El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste en

presentar una propuesta que eficiente el involucramiento de todo el personal de la
institución hacia la protección de la información del banco.

Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el puesto,
debes presentar una estrategia que cubra por lo menos los siguientes puntos:

1. Plazo de implementación: máximo 6 meses.

2. Políticas necesarias.
3. Procesos a realizar.
4. Definición de personas a involucrar.
5. Métrica de evaluación.

El alumno deberá entregar un reporte documental con objetivos, fases, alcances y

justificación de la metodología seleccionada.

Actividad: Elaboración del documento de metodología de

análisis y gestión de riesgos de una organización

Imagina que eres el responsable de seguridad de la información de una compañía

(CISO) y la dirección te ha encargado que elabores un Plan Director de Seguridad de la
Información, una de las decisiones que debes tomar es la elección de una metodología
de análisis y gestión de riesgos, que a partir de la aprobación del PDSI será de
utilización obligatoria.

El resultado de la elección de la metodología más apropiada deber ser el documento

«metodología de análisis y gestión de riesgo», en el que se describe y desarrolla la
metodología elegida.

Para elaborar el documento debes estudiar las metodologías de análisis y gestión de

TEMA 1 – Actividades 44 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

riesgos existentes, escoger la más apropiada y adaptarla a las necesidades de la

organización.

TEMA 1 – Actividades 45 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

Test

1. La identificación de riesgos debería incluir:

A. Todos los riesgos.
B. Los riesgos que no estén bajo control de la organización.
C. Los riesgos que estén bajo control de la organización.
D. Los riesgos cuya causa sea evidente.

2. La finalidad de la evaluación del riesgo es:

A. Determinar los riesgos a tratar.
B. Ayudar a la toma de decisiones.
C. Priorizar los riesgos.
D. Determinar qué nivel de riesgo se debe asumir.

3. Cuál de las siguientes afirmaciones es incorrecta:

A. El plan de tratamiento debe identificar el orden de prioridad.
B. El tratamiento del riesgo no puede introducir nuevos riesgos.
C. El tratamiento del riesgo no debe introducir nuevos riesgos.
D. El fallo o la ineficacia de las medidas de tratamiento del riesgo pueden
constituir un riesgo importante.

4. Cuál de las siguientes afirmaciones es incorrecta:

A. La gestión del riesgo debe ser una actividad independiente.
B. La gestión del riesgo crea y protege el valor.
C. La gestión del riesgo debe ser sistemática y estructurada.
D. La gestión del riesgo es una ayuda a la toma de decisiones.

5. Qué elemento no forma parte del contexto externo de una organización:

A. El entorno tecnológico.
B. El entorno social.
C. Los flujos de información.
D. Las tendencias.

TEMA 1 – Test 46 © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Informáticos

6. Según la metodología MAGERIT, ¿cuál de las siguientes no es una técnica

especifica?
A. Análisis algorítmico.
B. Árboles de ataque.
C. Valoración Delphi.
D. Análisis mediante tablas.

6. ¿Cuántas dimensiones de valoración se utilizan en la metodología MAGERIT?

A. 3.
B. 4.
C. 5.
D. 7.

7. Entre las tipologías de métodos utilizados para el análisis de riesgos se encuentran:

A. Métodos semi-cuantitativos.
B. Métodos cuantitativos.
C. Métodos cualitativos.
D. Todas son ciertas.

8. COBIT es:
A. Es una guía de mejores prácticas presentada como framework sin ninguna
gestión de riesgos en sus procesos.
B. Es una guía de mejores prácticas presentada como framework dirigida a la
gestión de tecnologías de la información, y la gestión de riesgos se define en el
proceso PO9.
C. Se organiza en 3 áreas de gestión: Desarrollo del software, Servicios y
Adquisiciones.
D. Todas son falsas.

9. La seguridad de información debe:

A. Formar parte de todos los procesos automatizados de una organización.
B. Formar parte de todos los procesos manuales de una organización.
C. Involucrar a los socios de negocio.
D. Todas las anteriores son correctas.

TEMA 1 – Test 47 © Universidad Internacional de La Rioja (UNIR)