Análisis de Riesgos en los Sistemas

de Información: Plan de Gestión de

Riesgos
© ADR Infor SL
 Indice
Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos 3
Introducción 3
Objetivos de la unidad 3
Introducción a los contenidos 3
El Informe de Auditoría 4
Mecanismo de salvaguarda vs Funciones de salvaguarda 6
Funciones de Salvaguarda en sistemas de información 6
Establecimiento de los escenarios de riesgo 8
Determinación de la probabilidad e impacto de materialización de los escenarios 8
Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza 9
¿Cómo valorar la probabilidad de una amenaza? 9
¿Cómo valorar la magnitud del daño? 10
Criterios de Evaluación de Riesgo 10
Relación de las distintas alternativas de gestión de riesgos 11
Guía para la elaboración del Plan de Gestión de Riesgos 12
Exposición de la metodología NIST SP 800-30 15
Exposición de la metodología Magerit versión 3 18
Método MAGERIT 19
Catálogo de elementos MAGERIT 20
Guía de Técnicas MAGERIT 21
Resumen 21
Actividades prácticas 23
Pasos a seguir 23
Recursos 25
Documentos 25
Enlaces de Interés 25

2/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Análisis de Riesgos en los Sistemas de Información:

Plan de Gestión de Riesgos

Introducción

Objetivos de la unidad

Los alumnos y alumnas, al finalizar el curso habrán adquirido los conocimientos necesarios
para llevar a cabo un análisis de riesgos en la organización.

Más concretamente serán capaces de:

Identificar las fases del análisis de riesgos, describiendo el objetivo de cada una de
ellas.
Describir los términos asociados al análisis de riesgos (amenaza, vulnerabilidad,
impacto y contramedidas), estableciendo la relación existente entre ellos.
Explicar las diferencias entre vulnerabilidades y amenazas.
Enunciar las características de los principales tipos de vulnerabilidades y programas
maliciosos existentes, describiendo sus particularidades.
Describir el funcionamiento de una herramienta de análisis de vulnerabilidades,
indicando las principales técnicas empleadas y la fiabilidad de las mismas.

Vídeo: Descripción de la Unidad

Introducción a los contenidos

Esta es la segunda unidad dedicada al Análisis de Riesgos en los sistemas de información. En base a todo lo visto
en la unidad anterior, profundizaremos en aspectos relacionados con las decisiones sobre cuáles han de ser los
controles a establecer para proteger nuestros activos, en base a cuál es su valor estimado, y cuál es el riesgo de
que cada una de las amenazas que puedan suponer un riesgo para dicho activo se materialicen.

Para ello, definiremos una herramienta muy útil, que es la matriz de riesgo, donde se reflejan los pares activo-
amenaza y se reflejan los distintos escenarios de riesgo que se pueden dar.

3/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

En esta unidad también hablaremos sobre alguna de las metodologías de análisis de riesgo más relevantes, como
son MAGERIT y NIST SP 800-30, y definiremos una Guía muy simple e informal para la elaboración del plan de
gestión de riesgos.

El Informe de Auditoría

Los principales objetivos de una auditoria Informática son

El control de la función informática.

El análisis de la eficiencia de los Sistemas Informáticos.
La verificación del cumplimiento de la Normativa general de la organización en este
ámbito.
La revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

Entender los pasos del proceso de auditoria del área informática permite a los administradores de informática
saber lo que deben esperar de la auditoria. De esta forma pueden lograr los objetivos de cumplimiento normativo
de su organización y optimizar el proceso de auditoria para completarlo más eficazmente. Posteriormente entregar
a la gerencia un informe final con relación a lo auditado. El informe de auditoría garantiza la optimización del
proceso de auditoría y contraste de vulnerabilidades.

El informe final es un medio formal para comunicar los objetivos de la Auditoría, el cuerpo de
las normas de Auditoría, el alcance de la Auditoría, y los hallazgos y conclusiones. Es el
documento que refleja los objetivos, alcances, observaciones, recomendaciones y conclusiones
del proceso de evaluación relacionados con las áreas de informática.

4/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

No existe un formato específico. Existen esquemas recomendados con los requisitos mínimos aconsejables
respecto a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo
de los/as auditores informáticos. El formato del Informe debe reflejar una presentación lógica y organizada. El
informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las
acciones correctivas. La información y observaciones vertidos en el informe deben contener un sustento y no
pueden ser en ningún caso subjetivos.

El Informe de Auditoría deberá ser claro, adecuado, suficiente y comprensible. Más concretamente los requisitos
de un Informe de Auditoría son:

1. Ser veraz.
2. Estar documentado formalmente.
3. Mostrar las amenazas encontradas en el sistema, relacionadas con los activos.
4. Tener recomendaciones y soluciones para cada observación.
5. Reflejar las áreas de oportunidad y cursos de acción.

Los apartados mínimos que se han de desarrollar en dicho documento serán

Identificar con un nombre corto que haga referencia al objetivo de la auditoria.

Título

Partes Interesadas
El equipo auditor dirigirá su informe al ejecutivo u órgano de la entidad del que recibió
el encargo de la auditoría.

Objetivo
Especificar en forma muy puntual los procesos o áreas involucradas en la auditoria,
basada en objetivos definidos por el cliente. Indicar con que propósito se realizó la
auditoria

Alcance
El alcance describe la extensión y límites de la . auditoría. Especificar la trascendencia
de la auditoria y las áreas involucradas en la misma.

Resultados
Especificar cada uno de los descubrimientos encontrados en la auditoria. En este
apartado se aporta el Contraste de Vulnerabilidades.

Observaciones
Se especifica las observaciones relevantes de la auditoria por parte del grupo auditor.

Recomendaciones
Se especifica las recomendaciones del grupo auditor.

Conclusiones Especificar el cierre de la auditoria y el cumplimiento de los objetivos.

Desde aquí te puedes descargar un documento real correspondiente al Informe Final de una
auditoría de sistemas del Ayuntamiento de la ciudad de Maipu, Chile.

5/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Mecanismo de salvaguarda vs Funciones de salvaguarda

En el momento de llevar a cabo una Auditoría Informática en nuestro sistema, es más que probable que ya existan
medidas de protección frente a las posibles amenazas. Hay que identificar las medidas de salvaguarda existentes
en el momento de la realización del análisis de riesgos y medir su efecto sobre las vulnerabilidades y amenazas.

Un Mecanismo de salvaguarda es el procedimiento o dispositivo, físico o lógico, capaz de reducir el riesgo.

Actúa de dos formas posibles, en general alternativas:

Neutralizando o bloqueando la materialización de la Amenaza antes de ser agresión

Mejorando el estado de seguridad del Activo ya agredido, por reducción del Impacto.

Los mecanismos provisionan funciones de salvaguarda que se implantan para mitigar el efecto potencial de las
amenazas.

Una función preventiva se ejerce como acción sobre la vulnerabilidad, previniendo su ocurrencia.
Una función curativa actúa sobre el impacto, reduciendo el efecto de la agresión.

Una función de salvaguarda es un concepto análogo al de Control. Los mecanismos de

salvaguarda se valoran directamente por su coste técnico u organizativo, traducidos a una
unidad monetaria, y este coste se "sumaría" al del activo, entendido como el coste de proteger
dicho activo.

El siguiente diagrama relaciona las Herramientas de Análisis de riesgos entre sí.

Funciones de Salvaguarda en sistemas de información

6/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

La seguridad computacional a menudo se divide en tres categorías maestras de controles. Estas tres amplias
categorías definen los objetivos principales de una implementación de seguridad apropiada. Dentro de estos
controles hay sub-categorías que detallan aún más los controles y como estos se implementan.

Controles físicos

El control físico es la implementación de medidas de seguridad en una estructura definida usada para prevenir o
detener el acceso no autorizado a material confidencial.

Ejemplos de los controles físicos son:

- Cámaras de circuito cerrado
- Sistemas de alarmas térmicos o de movimiento
- Guardias de seguridad
- Identificación con fotos
- Puertas de acero con seguros especiales
- Biométrica (incluye huellas digitales, voz, rostro, iris, escritura a mano y otros métodos
automatizados utilizados para reconocer individuos

Controles técnicos

Los controles técnicos utilizan la tecnología como una base para controlar el acceso y uso de datos
confidenciales a través de una estructura física y sobre la red.

Son mucho más extensos en su ámbito e incluyen tecnologías tales como:

- Encriptación
- Tarjetas inteligentes
- Autenticación a nivel de la red
- Listas de control de acceso (ACLs)
- Software de auditoría de integridad de archivo

Controles administrativos

Los controles administrativos definen los factores humanos de la seguridad. Incluye todos los niveles del
personal dentro de la organización y determina cuáles usuarios tienen acceso a qué recursos e información.

Algunos medios a usar serían:

- Entrenamiento y conocimiento.
- Planes de recuperación y preparación para desastres
- Estrategias de selección de personal y separación
- Registro y contabilidad de persona

7/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

No pierda de vista que el objetivo de los controles siempre será asegurar la confidencialidad,
integridad y disponibilidad de nuestros datos, sistemas, procesos y comunicaciones.

Establecimiento de los escenarios de riesgo

Una de las técnicas para tratar de medir el riesgo de que una amenaza se materialice, es representar el impacto
frente a la vulnerabilidad para los pares activo-amenaza. Los escenarios de riesgo se entienden como pares
activo-amenaza susceptibles de materializarse.

Pares Activo-Amenaza

En la figura anterior, si el impacto de que la amenaza 1 [AMZ1] se materialice en el activo 3 [ACT3] es muy alto, y la
vulnerabilidad es baja, la materialización de ese par Activo-Amenaza no es crítica, por eso lo indicamos en verde.
Sin embargo, si la vulnerabilidad pasa de baja a media para el mismo par Activo-Amenaza, la materialización ya sí
es crítica, lo cuál se muestra en color rojo.

De esta manera, se relaciona cómo la variación de la vulnerabilidad de un par activo/amenaza afecta al impacto en
dicho activo de dicha amenaza, y se definen los diferentes escenarios de riesgo.

Determinación de la probabilidad e impacto de

materialización de los escenarios
El proceso de análisis de riesgo genera habitualmente un documento que se conoce como matriz de riesgo. En
ese documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados.
Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del
riesgo hace referencia a la gestión de los recursos de la organización.

Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo,
evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:

RT (Riesgo Total) = Probabilidad * Impacto Promedio

A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el
riesgo residual.

8/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Ejemplo de Plantilla para una Matriz de Riesgo

Establecimiento del nivel de riesgo para los distintos pares

de activo y amenaza
El objetivo de la clasificación de riesgo es determinar hasta que grado es factible combatir los riesgos
encontrados. La factibilidad normalmente depende de la voluntad y posibilidad económica de una institución, sino
también del entorno donde nos ubicamos. Los riesgos que no queremos o podemos combatir se llaman riesgos
residuales y no hay otra solución que aceptarlos.

Como veíamos recientemente, la fórmula para calcular el riesgo total es RT (Riesgo Total) = Probabilidad *
Impacto Promedio En el establecimiento del nivel de riesgo intervienen por tanto la valoración de la probabilidad
de una amenaza, la valoración de la magnitud del daño.

¿Cómo valorar la probabilidad de una amenaza?

En la probabilidad de que una amenaza se materialice, influirán los siguientes elementos:

1. Interés o la atracción por parte de individuos externos.

2. Nivel de vulnerabilidad.
3. Frecuencia en que ocurren los incidentes.

La valoración de la probabilidad de amenaza, como se vio al llevar a cabo la matriz de riesgo, se puede hacer
descomponiendo en categorías, y asignando a cada una de ellas un valor.

Baja

Existen condiciones que hacen muy lejana la posibilidad del ataque

Mediana

Existen condiciones que hacen poco probable un ataque en corto plazo, pero no son suficientes para evitarlo en
el largo plazo

9/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Alta

Ataque es inminente. No existen condiciones internas y externas que impidan el desarrollo del ataque

¿Cómo valorar la magnitud del daño?

En la estimación del coste asociado a la materialización de una amenaza, se han de tener en cuenta las siguientes
consideraciones:

¿Quién sufrirá el daño?

Incumplimiento de confidencialidad (interna y externa)
Incumplimiento de obligación jurídicas / Contrato / Convenio
Costo de recuperación (imagen, emocional, recursos: tiempo, económico)

La valoración de magnitud de daño, como se vio al llevar a cabo la matriz de riesgo, se puede hacer
descomponiendo en categorías, y asignando a cada una de ellas un valor.

Bajo

Daño aislado, no perjudica ningún componentes de organización

Mediano

Provoca la desarticulación de un componente de organización. A largo plazo puede provocar desarticulación de

organización

Alto

En corto plazo desmoviliza o desarticula a la organización

Criterios de Evaluación de Riesgo

Implementar medidas para la reducción de los riesgos significa realizar inversiones, en general económicas. El
reto en definir las medidas de protección, entonces está en encontrar un buen equilibrio entre su funcionalidad
(cumplir con su objetivo) y el esfuerzo económico que tenemos que hacer para la implementación y el manejo de
estas.

De igual manera como debemos evitar la escasez de protección, porque nos deja en peligro que pueda causar
daño, el exceso de medidas y procesos de protección, pueden fácilmente paralizar los procesos operativos e
impedir el cumplimiento de nuestra misión. El caso extremo respecto al exceso de medidas sería, cuando las
inversiones para ellas, superen el valor del recurso que pretenden proteger.

Por tanto la organización ha de definir los criterios de evaluación del riesgo, en función de los cuales se determina
si un riesgo es aceptable o no. El estado que buscamos es aquel en que los esfuerzos económicos que realizamos
y los procesos operativos, para mantener las medidas de protección, son suficientes, ajustados y optimizados, para
que respondan exitosamente a las amenazas y debilidades (vulnerabilidades) que enfrentamos.

10/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

La reducción de riesgo se logra a través de la implementación de Medidas de protección, que

se basen en los resultados del análisis y de la clasificación de riesgo.

La fuerza y el alcance de las medidas de protección, dependen del nivel de riesgo

Alto riesgo: Medidas deben evitar el impacto y daño.

Medio riesgo: Medidas solo mitigan la magnitud de daño pero no evitan el impacto.

Considerando que la implementación de medidas de protección están en directa relación con inversiones
de recursos económicos y procesos operativos, es más que obvio, que las medidas, para evitar un daño,
resultarán (mucho) más costosas y complejas, que las que solo mitigan un daño.

Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir que
técnicamente funcionan y cumplen su propósito, que están incorporadas en los procesos operativos institucionales
y que las personas se apropian de estás. Es indispensable que están respaldadas, aprobadas por aplicadas por la
coordinación, porque sino, pierden su credibilidad. También significa que deben ser diseñadas de tal manera, que
no paralizan o obstaculizan los procesos operativos porque deben apoyar el cumplimiento de nuestra misión, no
impedirlo.

Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben sobre su
existencia, propósito e importancia y son capacitadas adecuadamente en su uso, de tal manera, que las ven
como una necesidad institucional y no como otro cortapisa laboral.

Debido a que la implementación de las medidas no es una tarea aislada, única, sino un proceso continuo, su
manejo y mantenimiento debe estar integrado en el funcionamiento operativo institucional, respaldado por normas y
reglas que regulan su aplicación, control y las sanciones en caso de incumplimiento.

Relación de las distintas alternativas de gestión de riesgos

Como en todo proceso de planificación, a la hora de identificar las distintas alternativas en la gestión de riesgos, se
analizan las alternativas de mayor efectividad posible, a partir del problema detectado y del objetivo al que se
quiere llegar. A estas alternativas se les aplican instrumentos de la planeación estratégica tales como:

11/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Análisis de Actores

Usualmente para los diversos actores involucrados (activos, personal, información, etc), se analizan aspectos
como: problemas, intereses, potencialidades, entre otros.

Análisis de Problemas

Se puede utilizar el árbol de problemas, colocando en el centro la alternativa seleccionada, en la parte baja sus
causas y en la alta los efectos, y analizando en cada uno de estos las situaciones particulares.

Análisis de Objetivos

Al pasar los problemas en términos positivos a objetivos, y seleccionar los que se consideren pertinentes, estas
soluciones deben igualmente reflejar las formas de solución.

Para la selección de las alternativas se utilizan criterios como: presupuesto, participación de la comunidad, tiempo
de ejecución, entre otros.

Test Repaso de conceptos

Guía para la elaboración del Plan de Gestión de Riesgos

Desarrollar un plan de administración de riesgos eficaz es una parte importante de cualquier proyecto, pero por
desgracia a menudo es visto como algo que puede hacerse más adelante. Los problemas aparecen a menudo, y
sin un plan bien desarrollado, incluso los pequeños problemas pueden convertirse en situaciones de emergencia.
Vamos a ver la administración de riesgos desde la perspectiva de la planificación de los eventos adversos.

12/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

1. Entiende cómo funciona la administración de riesgos

El riesgo es el efecto (positivo o negativo) de un evento o serie de eventos que puede ocurrir en uno o varios
lugares. Se calcula a partir de la probabilidad del evento convirtiéndolo en un problema y el impacto que tendría
(Ver riesgo = Probabilidad X Impacto). Hay varios factores que deben ser identificados con el fin de analizar el
riesgo, incluyendo:

Evento: ¿Qué podría pasar?

Probabilidad: ¿Qué tan probable es que suceda?
Impacto: ¿Qué tan malo será si pasa?
Mitigación: ¿Cómo se puede reducir la probabilidad (y en qué medida)?
Contingencia: ¿Cómo se puede reducir el impacto (y en qué medida)?
Reducción = Mitigación X Contingencia
Exposición = Riesgo–Reducción

Después de que identifiques lo anterior, el resultado será lo que se llama la amenaza. Esta es la cantidad de
riesgo que simplemente no se puede evitar. Se utiliza para ayudar a determinar si la actividad proyectada debe
tener lugar. Esto es a menudo un simple coste vs fórmula de beneficios. Puedes usar estos elementos para
determinar si el riesgo de la implementación del cambio es mayor o menor que el riesgo de no llevar a cabo el
cambio.

Si decides proceder (a veces no hay otra opción, por ejemplo, cambios legislativos), entonces tu exposición se
convierte en lo que se conoce como riesgo asumido. En algunos entornos, el riesgo asumido se reduce a un
valor monetario que se utiliza entonces para calcular la rentabilidad del producto final.

2. Define tu proyecto

Vamos a suponer que eres responsable de un sistema informático que proporciona información importante
(pero no crítica para la vida) en alguna gran población. El ordenador principal de ese sistema es viejo y necesita
ser reemplazado. Tu tarea es desarrollar un plan de administración de riesgos para la migración. Este será un
modelo simplificado en el que el Riesgo y el Impacto se enlistan como alto, medio o bajo (que es muy común
sobre todo en la administración de proyectos).

3. Consigue aportaciones de los demás

Consigue varias personas juntas que estén familiarizadas con el proyecto y pídeles información sobre lo que
podría suceder, cómo ayudar a prevenirlo y qué hacer si sucede. ¡Toma muchas notas! Necesitarás la ayuda de
este importante período de sesiones varias veces durante los siguientes pasos. Trata de mantener una mente
abierta acerca de las ideas. Pensar "Fuera de la caja" es bueno, pero mantén el control durante la sesión.
Debes mantenerte concentrado y en el objetivo.

4. Identifica las consecuencias de cada riesgo

Tras la sesión de lluvia de ideas que reunió información acerca de lo que sucedería si los riesgos se
materializan, asocia cada riesgo con las consecuencias a las que llegaron durante esa sesión. Sé lo más
específico posible con cada una. "El proyecto se atrasó" no es tan aceptable como "el proyecto se retrasará 13
días." Si hay un valor en euros, lístalo. Que simplemente diga "sobre el presupuesto" es muy general.

13/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

5. Elimina los problemas irrelevantes

Si estás estudiando, por ejemplo, el sistema informático de una concesionaria de automóviles, pensar en
amenazas como la guerra nuclear, una plaga pandémica o asteroides asesinos, son más o menos las cosas
que interrumpirán el proyecto. No hay nada que puedas hacer para hacer un plan contra esas cosas o para
disminuir el impacto. Es posible que quieras tenerlos en cuenta, pero no pongas ese tipo de cosas en tu plan de
riesgos.

6. Determina el riesgo del elemento

No es necesario ponerlos en orden por el momento. Sólo tienes que enumerarlos uno por uno.

Asigna probabilidades

Para cada elemento de riesgo en tu lista, determina si la probabilidad de que en realidad se materialice es Alta,
Media o Baja. Si es absolutamente necesario usar números, entonce s calcula la probabilidad en una escala de
0.00 a 1.00.

0.01 a 0.33 = Baja

0.34 a 0.66 = Media

0.67 a 1.00 = Alta

Si la probabilidad de que ocurra un evento es cero, entonces se eliminará de la consideración. No hay razón
para considerar cosas que simplemente no puede suceder (un enfurecido T-Rex se come el equipo).

Asigna el impacto

En general, asigna el impacto como Alto, Medio o Bajo en base a unas pautas preestablecidas. Si es
absolutamente necesario usar números, entonces averigua el impacto en una escala de 0.00 a 1.00 de la
siguiente manera:

0.01 a 0.33 = Baja

0.34 – 066 = Media

0.67 – 1.00 = Alta

Si el impacto de un evento es cero, no debe ser enlistado. No hay razón para considerar cosas que son
irrelevantes, con independencia de la probabilidad (mi perro se comió la cena).

Si has usado los valores bajo, medio y alto de probabilidad e impacto, será necesario considerar un sistema de
clasificación. Es importante tener en cuenta que no hay una fórmula universal para la combinación de
probabilidad e impacto, puede variar entre las personas y proyectos.

7. Clasifica los riesgos

Lista todos los elementos que se han identificado en el riesgo más alto al más bajo.

14/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

8. Calcula el riesgo total

Aquí es donde los números te ayudarán. Recuerda que RT = Probabilidad * Impacto Promedio

9- Desarrolla estrategias de mitigación

La mitigación está diseñada para reducir la probabilidad de que un riesgo se materialice. Normalmente sólo se
hará por elementos de riesgo alto y medio. Es posible que desees mitigar los elementos de bajo riesgo, pero
sin duda hacerle frente a los otros primero.

Por ejemplo, si uno de los elementos de riesgo es que podría haber un retraso en la entrega
de las zonas críticas, es posible mitigar el riesgo ordenándolas al principio del proyecto.

10. Desarrolla planes de contingencia

La contingencia está diseñada para reducir el impacto si el riesgo se materializa. Una vez más, lo normal es que
sólo se desarrolle la contingencia para los elementos de riesgo alto y medio. Por ejemplo, si las partes
fundamentales que necesitas no llegan a tiempo, es posible que tengas que usar las piezas viejas existentes
mientras esperas las nuevas.

11. Analiza la efectividad de las estrategias

¿Cuánto has reducido la probabilidad y el impacto? Evalúa tu contingencia y las estrategias de mitigación y
reasigna las valoraciones eficaces a tus riesgos.

12. Calcula el riesgo eficaz

Si tu riesgo promedio de 0.329 y originalmente el riesgo fue medio (0.5). Después de añadir las estrategias de
gestión, tu exposición es baja (0.329). Eso significa que has logrado una reducción del 34.2% en el riesgo por
medio de mitigación y contingencia. ¡No está mal!

13. Monitorea tus riesgos

Ahora que sabes cuáles son tus riesgos, es necesario determinar cómo sabrás si se materializan para saber
cuándo y si debes poner tus contingencias en su lugar. Esto se realiza mediante la identificación de pistas de
riesgo. Haz esto para cada uno de los elementos de riesgo alto y medio. Entonces, conforme el proyecto
avanza, podrás determinar si un elemento de riesgo se ha convertido en un problema. Si no sabes estas
señales, es muy posible que el riesgo pueda materializarse en silencio y afectar el proyecto, incluso si tienes
buenas contingencias en su lugar.

Exposición de la metodología NIST SP 800-30

Como ya indicamos anteriormente, el proceso de auditoría generalmente es guiado por una metodología. Las
metodologías establecen los métodos y herramientas a seguir, y en qué orden se han de seguir para llevar a cabo
la auditoría. Son como el mapa que indica cuál es el siguiente paso, cuál es el siguiente documento a generar, qué
herramientas tenemos para la recogida de datos, etc.

15/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Existen diferentes metodologías para diferentes finalidades. La metodología NIST SP 800-30 se utiliza para guiar el
proceso de análisis del riesgo en los procesos de IT. NIST (National Institute of Standards and Technology (Instituto
Nacional de Standares y Tecnología)), es una agencia federal para la Administración de Tecnología del
Departamento de Comercio de los Estados Unidos, y es quien define este estándar.

Los conceptos y principios relacionados con los procesos y métodos de evaluación de riesgos contenidos en esta
norma se pretende que sean similares y consistentes con los procesos y enfoques descritos por los etándares de la
Organización Internacional de Normalización (ISO) y de la Comisión Electrotécnica Internacional (IEC). La
reutilización de resultados de la evaluación del riesgo, reduce la carga sobre las organizaciones que deben cumplir
con la norma ISO / IEC y Estándares NIST.

La norma ISO/IEC 27005 es el estándar internacional que se ocupa de la gestión de riesgos de

seguridad de información

Los objetivos que persigue la norma NIST SP 800-30 son:

Incrementar la seguridad de los sistemas de Información que almacenan, procesan y transmiten

información.
Dirigir la Gestión de Riesgos.
Optimizar la administración de Riesgos a partir del resultado en el análisis de riesgos.
Proteger las habilidades de la organización para alcanzar su misión (no solamente relacionada a la IT, sino
general).
Ser una función esencial de la administración (no solo limitada a funciones técnicas de IT).

La publicación especial NIST SP 800-30 contiene una guía desarrollada por el National Institute
of Standards and Technology (NIST): “Risk Management Guide for Information Technology Syste
ms – Recommendations of the National Institute of standards and Technology”. Este documento
ofrece pautas para la gestión del riesgo buscando su evaluación, gestión, control y mitigación.

Este documento proporciona una guía para la realización de cada una de las tres etapas del proceso de
evaluación de riesgos es decir, se preparan para la evaluación, realizar la evaluación, y mantienen la evaluación;
y cómo las evaluaciones de riesgos y otros procesos de gestión de riesgos de la organización complementan y se
informan mutuamente. La guía tiene distintas secciones, son un proceso iterativo que comprende varios pasos
ejecutados en forma secuencial:

Sección 1

La sección 1 es de introducción.

Sección 2

L a sección 2 proporciona una visión general sobre la gestión de riesgos, conceptualización de amenazas y
riesgos, explica cómo encaja dentro del ciclo de vida de desarrollo de un proyecto o programa así como los
roles de las personas que soportan y utilizan este proceso.

16/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Sección 3

L a sección 3 describe la metodología de evaluación del riesgo y los 9 pasos primarios para dirigir una
evaluación de riesgos de un sistema de IT.

Sección 4

La sección 4 describe el proceso de mitigación de riesgos, incluyendo estrategias de mitigación de riesgos,

enfoque a implementación y categorías de control, análisis coste-beneficios y riesgos residuales.

Sección 5

La sección 5 discute las buenas prácticas y la necesidad de evaluar la progresión de los riesgos, y los factores
que conducirán a un programa de gestión de riesgos exitoso.

La NIST SP 800-30 está compuesta por 9 pasos básicos para la evaluación de riesgo, que se muestran en el
siguiente diagrama:

17/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Como ves, siguiendo la metodología, tenemos un camino para asegurar que nuestro proceso de gestión de riesgos
en la auditoría será satisfactorio.

Existen otras metodologías de gestión de riesgos, como Octave, Magerit, o la ya mencionada ISO/IEC 27005. El
uso de una u otra es en algunos casos una decisión de la organización, pero otras veces puede venir impuesta,
como el caso de Magerit, que es de uso en las AAPP, o si lo que se desea es obtener una certificación, en cuyo
caso de deberá seguir la metodología indicada para ello.

Exposición de la metodología Magerit versión 3

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de
Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la
sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

18/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si
dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto
valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo
es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica
que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regul
a el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder
dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos
para la protección adecuada de la información. MAGERIT es un instrumento para facilitar la implantación y
aplicación del Esquema Nacional de Seguridad. MAGERIT es una metodología de amplia utilización en la
Administración Pública española.

MAGERIT versión 3 se ha estructurado en tres libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".

En el siguiente enlace del Portal de Administración Electrónica, se accede a toda la

información sobre esta metodología.

Método MAGERIT
El Libro I: Método contiene los siguientes capítulos, en los que se explican informalmente las actividades a realizar,
y en ciertos casos se formalizan como tareas que permiten una planificación y seguimiento.

Capítulo 1

El capítulo 1 es de introducción.

Capítulo 2

El capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de análisis y
tratamiento dentro de un proceso integral de gestión de riesgos.

Capítulo 3

El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.

Capítulo 4

El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión
de riesgos.

Capítulo 5

El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos inmersos
para realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y
hay que rehacer el modelo ampliamente.

Capítulo 6

El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o
planes estratégicos.

19/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Capítulo 7

El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para
gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en producción, así como a
la protección del propio proceso de desarrollo.

Capítulo 8

El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de
riesgos.

Apéndices

Los apéndices recogen material de consulta:

1. Un glosario
2. Referencias bibliográficas consideradas para el desarrollo de esta metodología
3. Rreferencias al marco legal que encuadra las tareas de análisis y gestión en la Administración Pública
Española
4. El marco normativo de evaluación y certificación
5. Las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso
de análisis y gestión de riesgos
6. Una guía comparativa de cómo Magerit versión 1 ha evolucionado a la versión 2 y a esta versión 3

Estructura de Método MAGERIT

Catálogo de elementos MAGERIT

El Libro II: Catálogo de Elementos marca unas pautas en cuanto a:

Tipos de activos
Dimensiones de valoración de los activos
Criterios de valoración de los activos
Amenazas típicas sobre los sistemas de información
Salvaguardas a considerar para proteger sistemas de información

Se persiguen dos objetivos:

20/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles
elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema
objeto del análisis.
Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios
uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.

Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un
formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión. Si el lector
usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la misma; si el análisis se realiza
manualmente, este catálogo proporciona una amplia base de partida para avanzar rápidamente sin distracciones ni
olvidos.

Guía de Técnicas MAGERIT

E l Libro III: Guía de Técnicas, aporta luz adicional y orientación sobre algunas técnicas que se emplean
habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos:

Técnicas específicas para el análisis de riesgos

Análisis mediante tablas
Análisis algorítmico
Árboles de ataque
Técnicas generales
Técnicas gráficas
Sesiones de trabajo: entrevistas, reuniones y presentaciones
Valoración Delphi

Se trata de una guía de consulta. Según el lector avance por la tareas del proyecto, se le recomendará el uso de
ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias
para que el lector profundice en las técnicas presentadas.

Aquí puede descargar un ejemplo de aplicación de la metodología MAGERIT en la gestión

de riesgos dentro de la auditoría de uno de los sistemas de información de la Agencia Estatal
de Meteorología.

Resumen

21/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Listamos a continuación los conceptos más importantes que se han discutido en esta unidad:

- El informe final de auditoría es un medio formal para comunicar los objetivos de la Auditoría,
el cuerpo de las normas de Auditoría, el alcance de la Auditoría, y los hallazgos y conclusiones.
Es el documento que refleja los objetivos, alcances, observaciones, recomendaciones y
conclusiones del proceso de evaluación relacionados con las áreas de informática.

- Según la nomenclatura MAGERIT, un mecanismo de salvaguarda es el procedimiento o

dispositivo capaz de reducir el riesgo. Los mecanismos provisionan funciones de
salvaguarda que se implantan para mitigar el efecto potencial de las amenazas. Pueden ser
funciones preventivas o curativas.

- La representación de los pares activo-amenaza muestra cómo la variación de la

vulnerabilidad de un par afecta al impacto en dicho activo de dicha amenaza, y se definen los
diferentes escenarios de riesgo.

- El proceso de análisis de riesgo genera habitualmente un documento que se conoce como

matriz de riesgo. En ese documento se muestran los elementos identificados, la manera en
que se relacionan y los cálculos realizados.

- El objetivo de la clasificación de riesgo es determinar hasta que grado es factible combatir

los riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad
económica de una institución, sino también del entorno donde nos ubicamos. Los riesgos que
no queremos o podemos combatir se llaman riesgos residuales y no hay otra solución que
aceptarlos.

- La fórmula para calcular el riesgo total es RT (Riesgo Total) = Probabilidad * Impacto

Promedio En el establecimiento del nivel de riesgo intervienen por tanto la valoración de la
probabilidad de una amenaza, la valoración de la magnitud del daño.

- Las metodologías establecen los métodos y herramientas a seguir, y en qué orden se han de
seguir para llevar a cabo la auditoría. Son como el mapa que indica cuál es el siguiente paso,
cuál es el siguiente documento a generar, qué herramientas tenemos para la recogida de
datos, etc. La metodología NIST SP 800-30 se utiliza para guiar el proceso de análisis del
riesgo en los procesos de IT.

- MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo

Superior de Administración Electrónica. MAGERIT interesa a quienes trabajan con información
digital y sistemas informáticos para tratarla. MAGERIT les permitirá saber cuánto valor está en
juego y les ayudará a protegerlo. MAGERIT versión 3 se ha estructurado en tres libros:
"Método", "Catálogo de Elementos" y "Guía de Técnicas".

22/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Actividades prácticas
Creación de una Matriz de Riesgo

En este ejercicio se le pide que se familiarice con el uso de Matrices de Riesgo en la Gestión de Riesgo. Para
ello, se utilizará una plantilla para generar una Matriz de Riesgos en un caso concreto, y a raíz de lo que represente
esta Matriz, deberá de sacar algunas conclusiones.

Pasos a seguir
En el siguiente enlace puede encontrar información complementaria sobre el proceso de creación de una matriz de
riesgo, más allá de lo visto en la unidad. En primer lugar, consulte toda la información.

Descargue Plantilla de una matriz de riesgo. La plantilla está vacía por el momento.
Descargue la Tabla 1, donde están los elementos de información que forman parte de nuestro análisis de
riesgo, con información sobre la magnitud del daño ocurrido en dicho elemento, clasificados como datos e
información, sistemas e infraestructura y personal.
Descargue la Tabla 2, donde están los datos obtenidos de la evaluación del riesgo en nuestra organización,
con información sobre la probabilidad estimada de ocurrencia de cada una de las amenazas, clasificadas
como amenazas de criminalidad común, sucesos de origen físico o sucesos derivados de negligencia.

Traslade toda la información sobre probabilidades y magnitud del daño desde las tablas a la plantilla (ha de
hacerlo a mano). La matriz de riesgo se irá construyendo automáticamente a partir de los datos que usted
introduzca.

Adjuntos

PlantillaMatriz_Analisis_Riesgo.xlsx ElementosInformacion.xlsx ProbabilidadAmenaza.xlsx

47.72kb 13.58kb 12.83kb

1. La probabilidad de una intrusión a la red interna que ponga en peligro los datos de finanzas es alta,
y la magnitud del daño sería mediano. ¿Cómo se refleja esto en la matriz de riesgo?

2. Según la pestaña Análisis_Factores de la matriz de riesgo resultante, ¿Cuáles son los dos factores
(o pares activo-amenaza) que se encuentran por encima del umbral medio de riesgo?

3. ¿Qué puede decir respecto del análisis de riesgo actual del sistema, en base a lo que muestra la
Matriz de riesgo? ¿Qué podríamos hacer para llegar a una situación óptima?

23/26
Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

24/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Recursos

Documentos
Ejemplo de Documento de Informe final de Auditoría.
Aud_informe_167_2009.pdf
Ejemplo de Documento de Informe final de Auditoría. Fuente: http://www.transparenciamaipu.cl/wp-
content/uploads/2012/06/Aud_informe_167_2009.pdf

MAGERIT Libro I: Método

2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf
MAGERIT Libro I: Método Fuente: https://administracionelectronica.gob.es/pae_Home/dam/jcr:fb373672-
f804-4d05-8567-2d44b3020387/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf

MAGERIT Libro II: Catálogo de Elementos

2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-171-8.pdf
MAGERIT Libro II: Catálogo de Elementos
Fuente: https://administracionelectronica.gob.es/pae_Home/dam/jcr:5fbe15c3-c797-46a6-acd8-
51311f4c2d29/2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-171-8.pdf

MAGERIT Libro III: Guía de Técnicas

2012_Magerit_v3_libro3_guia-de-tecnicas_es_NIPO_630-12-171-8.pdf
MAGERIT Libro III: Guía de Técnicas
Fuente: https://administracionelectronica.gob.es/pae_Home/dam/jcr:130c633a-ee11-4e17-9cec-
1082ceeac38c/2012_Magerit_v3_libro3_guia-de-tecnicas_es_NIPO_630-12-171-8.pdf

Ejemplo de Aplicación de MAGERIT

MAGERIT_-_Analisis_de_riesgos_en_la_AEMET.pdf
Ejemplo de Aplicación de MAGERIT
Fuente: https://administracionelectronica.gob.es/pae_Home/dam/jcr:5ce286f2-c16f-4a6c-abb7-
61d9622af6ef/MAGERIT_-_Analisis_de_riesgos_en_la_AEMET.pdf

Enlaces de Interés
Publicación especial NIST SP 800-30
nistspecialpublication800-30.pdf
Guía desarrollada por el National Institute of Standards and Technology (NIST): “Risk Management Guide
for Information Technology Systems"

https://protejete.wordpress.com/gdr_principal/matriz_riesgo/
Caso Práctico Matriz Riesgo

https://en.wikipedia.org/wiki/IT_risk_management
IT Risk Management (NISP Metodology)

http://www.iso27001security.com/html/27005.html
Norma ISO/IEC 27005

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html?comenta
rioContenido=0#.VixhWvkvfDd
Metodología Magerit v.3 - Descargar

25/26
 Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

http://www.boe.es/buscar/doc.php?id=BOE-A-2010-1330
RD 3/2010 de 8 de Enero, Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica

http://www.transparenciamaipu.cl/wp-content/uploads/2012/06/Aud_informe_167_2009.pdf
Ejemplo de Informe Final de Auditoría

https://en.wikipedia.org/wiki/IT_risk_management
Gestión del Riesgo en IT

https://en.wikipedia.org/wiki/IT_risk_management#NIST_SP_800_30_framework
NISTP SP 800-30 Framework

http://www.iso27001security.com/html/27005.html
Norma ISO/IEC 27005

Guía de NIST NP 800-30

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Guía de NIST NP 800-30

http://www.boe.es/buscar/doc.php?id=BOE-A-2010-1330
RD 3/2010 de 8 de Enero, Esquema Nacional de Seguridad en el Ámbito de la Administración
Electrónica

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_M
agerit.html#.WplBSq7ib4Y
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.WplBS
q7ib4Y
Documentación sobre Magerit V.3 en el PAe

26/26