Manual Del Usuario R-BOX

R-BOX Manual del Usuario
(R-BOX v3.2.00)
Khu Technologies S.A.

INDICE
1. DESCRIPCIÓN GENERAL DE LA HERRAMIENTA .............. 11
1.1. Inventario de Activos ............................................................... 18
1.2. Clasificación ........................................................................... 19
1.3. Análisis de Riesgo ................................................................... 20
1.4. Riesgo Operacional .................................................................. 21
1.5. Gestión de Riesgo ................................................................... 22
1.6. Tratamiento ........................................................................... 23
1.7. Compliance ............................................................................ 24
1.8. BCM ...................................................................................... 25
1.9. TCA ....................................................................................... 26
1.10. Metodología de Análisis y Gestión de Riesgo ............................. 27
2. ACCIONES GENÉRICAS .................................................. 30
Khu Technologies S.A. – CUIT: 30-70883477-3
2.1. Ingresar a R-BOX .................................................................... 30

2.2. Funcionalidad general .............................................................. 33
2.2.1. Registros y Cerrar Submódulo ....................................................... 34
2.2.2. Campos del Listado ...................................................................... 34
2.2.3. Import y Export ........................................................................... 36
2.2.4. Especiales ................................................................................... 37
2.2.5. Búsqueda de Registros.................................................................. 38
2.2.6. Paginación................................................................................... 39
2.2.7. Selección y Acción sobre registros .................................................. 39
2.2.8. Cuadros de texto enriquecido ........................................................ 40
2.2.9. Descripción ampliada de elementos ................................................ 40
2.2.10. Acciones en el ABM de registros ................................................... 41
2.2.11. Árbol de Menú ............................................................................ 42
3. ADMINISTRACIÓN Y ACCESOS ....................................... 45

3.1. Parámetros de R-BOX .............................................................. 45
3.1.1. Configuración General................................................................... 45
3.1.2. Política de Contraseñas ................................................................. 47
3.1.3. Análisis de Riesgo ........................................................................ 48
3.1.4. Monedas ..................................................................................... 49
3.2. Accesos y Flujos ..................................................................... 51
3.2.1. Perfiles ....................................................................................... 51
Fecha: 24 de julio de 2012 Página 2 de 352

Manual del Usuario R-BOX-(V3-2-0).doc
3.2.2. Roles .......................................................................................... 53
3.2.3. Personas ..................................................................................... 54
3.2.3.1. Tracking de usuarios .................................................................. 57
3.2.3.2. Seguimiento de cambios ............................................................ 58
3.2.4. Estados ....................................................................................... 59
3.2.5. Registro de Accesos ...................................................................... 60
3.2.6. Sesiones Activas .......................................................................... 60
3.3. Organización .......................................................................... 61
3.3.1. Empresas .................................................................................... 61
3.3.2. Áreas .......................................................................................... 63
3.3.3. Tipo de Áreas .............................................................................. 65
3.3.4. Tipo de Relaciones ....................................................................... 66
3.3.5. Rubros ........................................................................................ 67
3.3.6. Tamaños de Empresa ................................................................... 68
3.4. Ubicaciones Físicas .................................................................. 69

3.4.1. Países ......................................................................................... 70
3.4.2. Provincias ................................................................................... 71
3.4.3. Partidos o Departamentos ............................................................. 72
3.4.4. Ciudades o Pueblos ...................................................................... 73
3.4.5. Sedes ......................................................................................... 74
3.4.6. Ubicaciones ................................................................................. 75
3.5. Escenarios ............................................................................. 76
3.5.1.1. Ordenar escenarios .................................................................... 78
3.5.1.2. Congelar escenarios ................................................................... 79
3.5.1.3. Duplicar escenarios .................................................................... 83
3.5.2. Calendarios ................................................................................. 84
3.6. Mantenimiento de BD .............................................................. 85
3.7. Actualización de R-BOX ............................................................ 86
3.7.1. Agregar Actualización ................................................................... 87
3.7.2. Ver Actualizaciones ...................................................................... 88
3.8. Mensajes del Administrador ...................................................... 89
3.9. Cambiar datos personales ........................................................ 91
4. MÓDULO DE INVENTARIO DE ACTIVOS .......................... 95
4.1. IN - Base de Conocimiento ....................................................... 95
4.1.1. Tipología... .................................................................................. 95

4.1.1.1. Tipos ....................................................................................... 97
4.1.1.2. Subtipos ................................................................................... 98
4.1.1.3. Detalles.................................................................................... 99
4.1.1.4. Ítems ..................................................................................... 101
4.1.1.5. Árbol de Tipología.................................................................... 102
4.1.1.6. Capas de Tipologías ................................................................. 104
4.1.2. Atributos Extendidos................................................................... 105
4.1.2.1. Atributos Extendidos ................................................................ 105
4.1.2.2. Objetivos................................................................................ 107
4.1.3. Dependencias... ......................................................................... 108
4.1.3.1. Dependencias Permitidas .......................................................... 109
4.1.3.2. Rangos de Dependencia ........................................................... 110
4.1.3.3. Detalles Faltantes .................................................................... 111
4.1.3.4. Gráficos de Dependencias ......................................................... 111
4.1.4. Tipos de Redundancia ................................................................. 113

4.2. IN - Flujos y Captura ............................................................. 114
4.2.1. Identificar y Tipificar ................................................................... 114
4.2.1.1. Alta de un Activo ..................................................................... 115
4.2.1.2. ACTIVOS DE MODELO .............................................................. 118
4.2.1.3. Eliminar un Activo ................................................................... 120
4.2.1.4. Modificar un Activo .................................................................. 121
4.2.1.5. Publicar un Activo .................................................................... 122
4.2.1.6. Atributos Extendidos ................................................................ 123
4.2.2. Declarar Dependencias ............................................................... 125
4.2.3. Escenarios ................................................................................. 128
4.2.3.1. Activos Públicos ...................................................................... 128
4.2.3.2. Dependencias Públicas ............................................................. 130
4.2.3.3. Activos Vinculados ................................................................... 132
4.2.3.4. Dependencias Vinculadas ......................................................... 133
4.3. IN - Cálculos ........................................................................ 134
4.3.1. Detalles Analizables .................................................................... 134
4.4. IN - Reporting ...................................................................... 138
4.4.1. Reportes de Atributos Extendidos ................................................. 138
4.4.1.1. Activos por AE......................................................................... 138
4.4.1.2. Reporte de Activos con Atributos Extendidos Faltantes ................. 140
4.4.2. Reportes de Tipología ................................................................. 141

4.4.2.1. Resumen de Activos. Tipos ....................................................... 141
4.4.2.2. Resumen de Activos. Subtipos .................................................. 142
4.4.2.3. Resumen de Activos. Detalles ................................................... 143
4.4.3. Reportes de Dependencias .......................................................... 144
4.4.3.1. Reporte de Activos Huérfanos ................................................... 144
4.4.3.2. Reporte de Activos Aislados ...................................................... 145
4.4.3.3. Reporte de Dependencias Inválidas ........................................... 145
4.4.3.4. Reporte de Dependencias Definidas ........................................... 146
4.4.3.5. Reporte de dependencias por activo........................................... 147
4.5. Cierre de los Submódulos....................................................... 149
4.6. Estados ............................................................................... 150
5. MÓDULO DE CLASIFICACIÓN ....................................... 152
5.1. CL - Base de Conocimiento ..................................................... 152
5.1.1. Granularidad de Gestión.............................................................. 152

5.1.2. Dimensiones de Clasificación ....................................................... 153
5.1.3. Rangos de Criticidad ................................................................... 156
5.2. CL - Flujos y Captura ............................................................. 157
5.2.1. Clasificación .............................................................................. 157
5.2.1.1. Clasificación Explícita ............................................................... 158
5.2.1.2. Preclasificación ........................................................................ 160
5.2.1.3. Respuestas Registradas ............................................................ 165
5.2.1.4. Preclasificación sin Respuesta Asignada ...................................... 167
5.2.1.5. Preclasificación sin Importancia Asignada ................................... 168
5.2.2. Valorar ..................................................................................... 169
5.2.2.1. Valoración Explícita.................................................................. 170
5.2.2.2. Por Importancia Relativa .......................................................... 171
5.2.2.3. Servicios y Productos ............................................................... 173
5.3. CL - Cálculos ........................................................................ 175
5.4. CL - Reporting ...................................................................... 179
5.4.1. Reporte de Valores Heredados ..................................................... 179
5.4.2. Reporte de Valores Modulados ..................................................... 180
5.4.3. Reporte de Valores Normalizados ................................................. 181
6. MÓDULO DE ANÁLISIS DE RIESGO .............................. 183

6.1. AR - Base de Conocimiento .................................................... 183
6.1.1. Principales entidades - Activos ..................................................... 184

6.1.1.1. Propietario .............................................................................. 184
6.1.1.2. Custodio ................................................................................. 185
6.1.2. Principales entidades - Amenazas ................................................. 186
6.1.3. Principales entidades - Vulnerabilidades ........................................ 193
6.1.4. Principales entidades - Recomendaciones ...................................... 195
6.1.5. Principales entidades - Proyectos ................................................. 196
6.1.6. Principales entidades - Métricas ................................................... 199
6.1.7. Principales entidades - Vulnerabilidades Técnicas ........................... 199
6.1.8. ABMs en tablas maestras de Análisis de Riesgo .............................. 200
6.1.9. Controles .................................................................................. 201
6.1.10. Vulnerabilidades Técnicas .......................................................... 202
6.1.11. Amenazas ............................................................................... 203
6.1.12. Relación Amenaza - Vulnerabilidad ............................................. 205
6.1.13. Probabilidad estándar ............................................................... 207
6.1.14. Parámetros de AR… .................................................................. 208

6.1.14.1. Grupos de Amenazas ............................................................. 209
6.1.14.2. Rangos de Probabilidad .......................................................... 210
6.1.14.3. Efectividad ............................................................................ 211
6.1.14.4. Degradación.......................................................................... 212
6.1.14.5. Importancia .......................................................................... 213
6.1.14.6. Criticidad .............................................................................. 214
6.2. AR - Flujos y Captura ............................................................ 215
6.2.1. Generar Cuestionario .................................................................. 216
6.2.2. Preguntas Delegadas .................................................................. 225
6.2.3. Respuestas Registradas .............................................................. 232
6.2.4. Respuestas Registradas de Tipología............................................. 234
6.2.5. Resumen de Preguntas ............................................................... 235
6.2.6. Respuestas Múltiples .................................................................. 239
6.2.7. Respuestas inválidas .................................................................. 240
6.2.8. Respuestas sin Importancia ......................................................... 241
6.2.8.1. Por Activo ............................................................................... 242
6.2.8.2. Por Tipología ........................................................................... 242
6.2.9. Activos sin respuesta asociada ..................................................... 243
6.2.10. Ajustar Probabilidad .................................................................. 245
6.3. AR - Cálculos ........................................................................ 246
6.4. AR – Reporting ..................................................................... 248

6.4.1. Riesgo General .......................................................................... 249
6.4.2. Ranking de Amenazas ................................................................. 250
6.4.3. Ranking de Vulnerabilidades ........................................................ 252
6.4.4. Riesgo por Activo ....................................................................... 254
6.4.5. Matriz de Resultados .................................................................. 256
6.4.6. Matrices de Riesgo ..................................................................... 259
6.4.6.1. Activo-Amenaza ...................................................................... 259
6.4.7. Matriz de Gestión ....................................................................... 263
7. MÓDULO DE GESTIÓN DE RIESGO ................................ 268

7.1. GR - Base de Conocimiento .................................................... 268
7.1.1. Estadísticas de AR ...................................................................... 268
7.1.2. Límites de Riesgo Externos .......................................................... 270
7.1.3. Validación de Límites .................................................................. 271
7.1.4. Determinación de Umbrales ......................................................... 272
7.1.5. Comparativa de Análisis .............................................................. 274

7.2. GR - Flujos y Captura ............................................................ 276
7.2.1. Límites de Riesgo ....................................................................... 276
7.2.2. Gestión por Proyectos ................................................................. 279
7.2.3. Gestión por Recomendaciones ..................................................... 281
7.3. GR - Cálculos........................................................................ 285
7.4. GR – Reporting ..................................................................... 287
7.4.1. Simulación de Resultados ............................................................ 288
7.4.1.1. Simulación de Riesgo General ................................................... 288
7.4.1.2. Simulación del Ranking de Amenazas......................................... 290
7.4.1.3. Simulación del Ranking de Vulnerabilidades ................................ 294
7.4.1.4. Simulación del Riesgo por Activo ............................................... 296
7.4.1.5. Matriz de Resultados ................................................................ 298
7.4.2. Costos de la Gestión ................................................................... 299
7.4.3. Matrices de Riesgo ..................................................................... 300
8. MÓDULO DE TRATAMIENTO ......................................... 302

8.1. TR - Base de Conocimiento .................................................... 302
8.2. TR - Flujos y Captura ............................................................. 302
8.3. TR - Cálculos ........................................................................ 303
8.4. TR - Reporting ...................................................................... 305
8.4.1. Clasificación Propagada ............................................................... 305

9. MÓDULO DE COMPLIANCE ........................................... 308
9.1. CO - Base de Conocimiento .................................................... 308
9.1.1. Estándares ................................................................................ 309
9.1.2. Jerarquía de Controles ................................................................ 310
9.1.3. Controles .................................................................................. 311
9.1.4. Modelo de Madurez .................................................................... 315
9.1.5. Árbol de Jerarquía ...................................................................... 316
9.2. CO - Flujos y Captura ............................................................ 317
9.2.1. Generar Cuestionario .................................................................. 317
9.2.2. Respuestas Registradas .............................................................. 322
9.2.3. Confeccionar Plan de Acción… ...................................................... 323
9.2.4. Por Proyectos ............................................................................ 323
9.2.5. Por Recomendaciones ................................................................. 325
9.3. CO - Cálculos ....................................................................... 329
9.4. CO - Reporting ..................................................................... 331

10. MÓDULO DE RIESGO OPERACIONAL ............................ 335
10.1. RO - Base de Conocimiento .................................................. 335
10.2. RO - Flujos y Captura .......................................................... 335
10.3. RO - Cálculos ...................................................................... 335
10.4. RO - Reporting .................................................................... 336
10.4.1. Riesgo por Productos ................................................................ 336
10.4.2. Riesgo por Procesos .................................................................. 338
10.4.3. Riesgo Repercutido ................................................................... 339
11. MÓDULO DE BCM ......................................................... 341

11.1. BCM - Base de Conocimiento ................................................ 341
11.2. BCM - Flujos y Captura ........................................................ 341
11.3. BCM - Cálculos .................................................................... 341
11.4. BCM - Reporting.................................................................. 341
12. MÓDULO DE TCA .......................................................... 343
12.1. TCA - Base de Conocimiento ................................................. 343
12.2. TCA - Flujos y Captura ......................................................... 343
12.3. TCA - Cálculos .................................................................... 343
12.4. TCA - Reporting .................................................................. 343
13. MANTENIMIENTO DE PROYECTOS ................................ 345

13.1. Proyectos ........................................................................... 346
13.2. Complejidad ....................................................................... 349
13.3. Plazos de Implantación ........................................................ 350
13.4. Clases ................................................................................ 351
13.5. Tipos de Proyectos .............................................................. 352

Descripción General
de la
Herramienta

1. Descripción General de la Herramienta
R-BOX es una plataforma modular orientada a la Gestión de Servicios de
Información, y más específicamente, a la Gestión de Seguridad de la Información.
Principalmente, consta de los siguientes bloques estructurales:
Esquema de Módulos y Bloques de R-BOX
Base de Conocimientos: donde se modelan los estándares y buenas prácticas

que serán utilizados. Aquí se especifican las entidades principales, como controles,
verificaciones, sus relaciones, sus atributos, etc.
Flujos y Captura: en este bloque se ingresa toda la información relativa a la

"realidad" de la organización analizada, declarando su estado de madurez, sus
activos, sus responsables, evidencias, etc. Además se implementan una serie de
cuestionarios y pantallas de captura de datos, con sus correspondientes
validaciones.
Cálculos: la información proveniente de los bloques mencionados anteriormente,

es procesada de acuerdo a algoritmos y fórmulas de cálculo que resultan en los
parámetros que se desea analizar. (Ej. riesgo, impacto, grado de cumplimiento,
etc.)
Reporting: a través de este bloque, los resultados se presentan en pantalla, se

generan documentos, se conforman cuadros de mando, rankings, etc.
Administración y Accesos: permite establecer las estructuras organizativas,

perfiles, roles, usuarios, habilitación de menúes y aspectos de seguridad que
determinarán la forma de acceder y utilizar la herramienta. Además se pueden
parametrizar aspectos específicos de la organización que lo utilice.

R-BOX ha sido concebida para cumplimentar, principalmente, los siguientes
objetivos:
Alinear la Gestión de la Seguridad con la estrategia del Negocio.

Identificar riesgos
Confeccionar un Plan de Acción
Justificar inversiones en términos del Negocio
Colaborar en la determinación del Riesgo Operacional, BIAs y BCP.
Facilitar las auditorías internas y externas.
Conocer el nivel de cumplimiento de estándares, leyes y buenas prácticas:

ISO 27002
COBIT
ITIL
A4609
A4609/CE, etc.

La funcionalidad de R-BOX se conforma mediante una serie de módulos
optativos, que aportan diferentes prestaciones según las necesidades de cada
organización y del análisis o proyecto que se desee realizar:
Secuencia de utilización de los Módulos de R-BOX
• Inventario de Activos (Ia): Gestión del ciclo de vida de los activos que
conforman los servicios de información.
• Clasificación (Cl): Permite especificar la importancia que la información
tiene para el Negocio.
• Análisis de Riesgo (Ar): Permite obtener un diagnóstico, estableciendo el
punto de partida de la Gestión de Riesgo.
• Gestión de Riesgo (Gr): Facilita la toma de decisiones respecto a las
acciones necesarias para llevar el riesgo a niveles aceptables, es decir,
alinear la Gestión de Seguridad con la estrategia del Negocio.
• Compliance (Co): Conocer de manera rápida, efectiva y precisa, el nivel de
cumplimiento de estándares, leyes y buenas prácticas cómo ISO 27002,
COBIT, ITIL, A4609, SOX, etc.
• Tratamiento (Tr): Plataforma de gestión para establecer el tratamiento,
procesamiento, almacenamiento y comunicación de la información, de
manera consistente con su clasificación.
• Riesgo Operacional (Ro): Permite obtener un diagnóstico y realizar la
Gestión de Riesgo Operacional. Este riesgo incluye las siguientes
componentes: Procesos Internos; Personas; Sistemas; Eventos externos y
Legal.
• BCM: (Business Continuity Management) determinar las prioridades y los
tiempos de recuperación. Gestionar los Acuerdos de Nivel de Servicio (SLAs)
sobre los Servicios de TI.
• TCA: (Tablero de Control de Avance) gestionar la implantación de los
controles establecidos en normas y/o estándares relativos a la Seguridad de
la Información o, de forma más amplia, a la Gestión de IT.
La funcionalidad de cada módulo está compuesta por una serie de Submódulos,

mediante los cuales el usuario puede interactuar con la herramienta.

Cada uno de estos módulos pueden ser utilizado independientemente, pero deberá
tenerse en cuenta su secuencia lógica de utilización.
• En todas las opciones, será provisto el módulo de Administración y
Accesos
• Inventario no necesita ningún otro módulo
• Clasificación necesita que esté instalado el módulo de Inventario
• Análisis y Gestión de Riesgo necesita que esté instalado el módulo de
Clasificación
• Tratamiento necesita que esté instalado el módulo de Clasificación
• Compliance no necesita ningún otro módulo. (aunque puede integrarse con
Análisis y Gestión de Riesgo).
• Riesgo Operacional necesita que esté instalado el módulo de Análisis y
Gestión de Riesgo
• BCM necesita que esté instalado el módulo de Análisis y Gestión de Riesgo
• TCA necesita que esté instalado al menos uno de los siguientes módulos:
Análisis y Gestión de Riesgo, Tratamiento, Compliance, Riesgo Operacional
o, BCM.
R-BOX es una eficiente herramienta de gestión, de fácil utilización y corta curva de

aprendizaje.
Características de R-BOX

Uso y Funcionalidad
• Idioma: completamente en español. Es posible adaptar todos los aspectos
de idioma, sea necesario. En roadmap: portugués e ingles.
• Importación y exportación de datos: todos los datos de R-BOX pueden
ser importados y exportados mediante formatos estándar (TXT, XLS, etc.)
• Multiempresa: pueden definirse las estructuras organizativas y las
ubicaciones físicas de cada empresa.
• Multiusuario: Los accesos a R-BOX pueden adaptarse a las necesidades de
cada organización ya que cuenta con funcionalidades para la gestión de
cuentas, accesos y definición de Perfiles.
• Control de Estados: pueden definirse estados que modelen el ciclo de vida
de las entidades y sus relaciones. (Ej. En Producción, En Reparación, Baja,
etc.)
• Múltiples escenarios: permite realizar análisis en diferentes dominios de
forma autónoma y separada, existiendo operaciones entre escenarios como
la copia o vinculación de activos, fusión de escenarios, etc.
• Customatización de Informes: todos los reportes pueden ser
configurados respecto a los campos a mostrar y sus formatos.
Aspectos Técnicos
• Requisitos de despliegue: R-BOX es un sistema Web Compatible, por lo
que tiene mínimos requisitos de hardware y software:
o Servidor: Microsoft Windows o Linux
o Base de Datos: MySQL
o Web Server: Apache
o Interprete: PHP
• Delegación de Autenticación: opcionalmente, la autenticación de usuarios
puede delegarse en LDAP / AD.
Aspectos Metodológicos
• Grados de Madurez de los controles: definición de los niveles de
madurez, que serán utilizados para evaluar el estado de gestión de los
controles, en los Análisis de Riesgo, Gestión de riesgo y Compliance
(Normalmente es modelo de madurez CMMI).
• Inventario de activos:
o Tipología estándar de activos: permite definir la jerarquía de
tipologías, mediante la cual serán catalogados los diferentes activos,
estableciendo la forma en que serán agrupados los activos, según sus
características comunes. (existen cuatro niveles, Tipos, Subtipos,
Detalles e Ítems)
o Atributos básicos y extendidos: los básicos modelan las
características elementales para la gestión de todos los activos (Ej.
Nombre, Tipificación, etc.). Los extendidos modelan características
que aplican solo a activos de tipologías específicas (Ej. Dirección IP,
Lenguaje de Programación, Teléfono del Proveedor, etc.)
o Agrupación de activos: definición de grupos de activos para
facilitar la declaración de dependencias y el flujo de los cuestionarios.

o Asignación de responsables a activos: pueden relacionarse las
personas responsables del activo y sus correspondientes roles (Ej.
propietario, custodio, etc.)
o Dependencias entre activos: puede especificarse el árbol
jerárquico de activos. En función de esta jerarquía se realizarán todos
los cálculos de propagación de valor y de riesgo. No hay límites en la
profundidad del árbol de jerarquía.
• Clasificación de Activos:
o Dimensiones de Clasificación: posibilidad de definir las
dimensiones que se considerarán en la Clasificación de los activos
(Ej. Confidencialidad, Integridad, Disponibilidad, Auditabilidad, etc.),
así como los rangos de clasificación para cada dimensión.
o Valoración: se ofrecen tres formas para especificar la valoración:
Valoración explícita: especificando directamente el valor de
cada Proceso de Negocio.
Por importancia relativa: especificando la importancia que
cada proceso tiene respecto de los otros.
Servicios y productos: especificando cuantitativamente el
valor de los servicios y Productos que producen cada uno de
los Procesos de Negocio.

o Gestión por Tipología: puede especificarse, en términos de la
Tipología, cuales serán los activos que deberán ser Clasificados
(normalmente los activos de Información, o las Aplicaciones) y cuales
deberán ser Valorados (normalmente los Procesos de Negocio o los
Bienes y Productos).
• Cuestionarios:
o Preguntas en función de la tipología de los activos.
o Múltiples respuestas con ponderación de los entrevistados.
o Distribución de las preguntas por responsable y/o roles.
o Profundidad del cuestionario configurable (completo / resumido).
o Posibilidad de que los usuarios ingresen directamente las respuestas.
o Posibilidad de adjuntar evidencias.
o Tracking de las respuestas (Ej. Registro de fecha y hora y quién
respondió)
• Análisis de Riesgo:
o Análisis Cualitativo y Cuantitativo
o Determinación de Vulnerabilidades y Salvaguardas en función de la
madurez de los controles
o Ajuste de Probabilidades por contexto
o Relación con análisis de Compliance
o Relación con análisis Técnicos
o Informes de Riesgo General
o Informes de Riesgo por dimensión de clasificación
o Ranking de Amenazas
o Ranking de Vulnerabilidades
o Ranking de Riesgo por activo
o Matrices de Riesgo Activo-Amenaza/Vulnerabilidad
o Informes Valor vs. Exposición

• Gestión de Riesgo:
o Definición de Umbrales de Riesgo
o Gestión por Proyectos y por Recomendaciones
o Definición de plazos efectivos de implantación
o Definición del alcance efectivo de implantación
o Estimación de costos de implantación
o Distribución de costos por área de la Organización
o Simulación de Resultados de la Gestión.
• vMecanismos de Integridad: para asegurar la integridad de datos y

parámetros existen mecanismos como el cierre de módulos/submódulos,
donde se realizan una serie de comprobaciones y se reportan las posibles
inconsistencias o los errores introducidos.
• Metodologías de base:
o Magerit 2: Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Promovido por el Consejo Superior de
Administración Electrónica (CSAE) del Ministerio de Administraciones
Públicas de España.
o ISO 27005: estándar internacional ISO/IEC 27005:2008, titulado
Information technology – Security techniques – Information security
risk management.
• Ajustes particulares: el roadmap de R-BOX se establece como un

producto estándar donde todos los clientes tendrán actualizada la versión
con las nuevas funcionalidades y ajustes introducidos. Si existieran
requerimientos específicos que no formaran parte del producto sino de una
versión particular para el Cliente, tendrán un costo de desarrollo en función
de su complejidad, y será acordado oportunamente con el Cliente.
Estándares y Buenas Prácticas

Estándar / Buenas Prácticas Utilizado en el módulo:
ISO 27002 Análisis de Riesgo y Compliance
ITIL V3 Compliance
COBIT V4.1 Compliance
ISO 20000 Compliance y Certificación
A-4609/CE (canales electrónicos) Análisis de Riesgo y Compliance
A-4609 Análisis de Riesgo y Compliance

1.1. Inventario de Activos
Gestión del ciclo de vida de los activos que conforman los servicios de información.
Su objetivo es proveer las facilidades necesarias para:

• Conocimiento de todos los activos de información de la Organización
• Gestión del ciclo de vida de los activos de información
• Gestión de la infraestructura TIC (Tecnología de la Información y
Comunicaciones)
• Auditoría de hardware y software
Los siguientes son los beneficios esperados de este módulo:

• Consultas sobre el estado de los Activos de información
• Información sobre la configuración de componentes
• Apoyo a la Gestión de Configuración
• Apoyo a la Gestión de la Capacidad
Módulo de Inventario de Activos

1.2. Clasificación
Permite especificar la importancia que la información tiene para el Negocio.

• Que el Propietario de la información la clasifique, especificando su
“importancia” para los procesos de negocio.
• Que los responsables de los procesos de negocio especifiquen su valor
estratégico para la Organización.
• Gestionar, mínimamente, las siguientes dimensiones de clasificación:
• Confidencialidad
• Integridad
• Disponibilidad
• Auditabilidad

• Especificar, de una manera normalizada y sistemática, la clasificación de la
información.
• Adecuación a regulaciones y disposiciones legales.
• Disponer de la información de gestión necesaria para el Tratamiento y para
el Análisis de Riesgo.
Módulo de Clasificación

1.3. Análisis de Riesgo
Permite obtener un diagnóstico, estableciendo el punto de partida de la Gestión de

Riesgo.

• Determinar el nivel de riesgo general.
• Conocer las amenazas y vulnerabilidades más importantes.
• Obtener una categorización de activos por riesgo.

• Conocer el nivel de riesgo de la información en el que se encuentra la
Organización.
• Concientizar a la Organización sobre sus puntos fuertes y puntos débiles.
• Disponer de la información necesaria para la toma de decisiones respecto a
la Gestión de Seguridad.
• Facilitar la auditoría de medidas adoptadas.
Módulo de Análisis de Riesgo

1.4. Riesgo Operacional
Permite obtener un diagnóstico y realizar la Gestión de Riesgo Operacional. Este

riesgo incluye las siguientes componentes: Procesos Internos; Personas; Sistemas;
Eventos externos y Legal.
Las funcionalidades completas de este módulo se encuentran dentro del roadmap de R-BOX.
Módulo de Riesgo Operacional

1.5. Gestión de Riesgo
Facilita la toma de decisiones respecto a las acciones necesarias para llevar el

riesgo a niveles aceptables, es decir, alinear la Gestión de Seguridad con la
estrategia del Negocio.

• Determinar umbrales de riesgo.
• Determinar salvaguardas adecuadas y sus prioridades.
• Definir el Plan de Acción adecuado al Diagnóstico y a las necesidades de la
Organización.
• Alinear la Gestión de la Seguridad con la estrategia del Negocio.

• Justificar inversiones en seguridad en términos del Negocio.
• Adecuar a regulaciones y disposiciones legales.
• Conocer la evolución esperada por la aplicación del Plan de Acción.
Módulo de Gestión de Riesgo

1.6. Tratamiento
Plataforma de gestión para establecer el tratamiento, procesamiento,

almacenamiento y comunicación de la información, de manera consistente con su
clasificación.

• Determinar medidas de procesamiento, almacenamiento y comunicación de
la información de manera adecuada.
• Gestionar la implantación de las medidas y controles necesarios durante
todo el ciclo de vida de la información, desde su creación hasta su
eliminación o destrucción.

• Facilitar la auditoría de las medidas adoptadas.
• Permitir la detección de las medidas implantadas por exceso o por defecto,
para definir acciones correctivas necesarias.
• Adecuación a regulaciones y disposiciones legales.
Módulo de Tratamiento

1.7. Compliance
Conocer de manera rápida, efectiva y precisa, el nivel de cumplimiento de

estándares, leyes y buenas prácticas cómo ISO 27002, COBIT, ITIL, A4609, SOX,
etc.

• Disponer de un entorno sistemático de seguimiento de los controles
• Disponer de una plataforma común para declarar las novedades de avance
en la implantación
• Facilitar la asignación de responsabilidades sobre el cumplimiento de los
controles
• Facilitar la realización de Auditorías

• Orientado al usuario final
• Obtiene datos de los resultados de los Análisis
• Poder justificar inversiones en términos de gestión
• Contemplar las metas definidas en el Plan de Acción
• Permitir revisar controles y declarar avances
• Registrar el historial de novedades
Módulo de Compliance

1.8. BCM
Determinar las prioridades y los tiempos de recuperación y gestionar los Acuerdos

de Nivel de Servicio (SLAs) sobre los Servicios de TI.
BCM en relación a otros análisis
En el esquema anterior puede verse la relación de los Planes de Contingencia y

diversos tipos de análisis y planes que conforman el proceso de Gestión de
Continuidad de Servicios de Información y de forma más amplia, Continuidad del
Negocio (BCM).
El BCP (Bussiness Continuity Plan) determina la criticidad e importancia de los
procesos de negocio de la Organización. Estos procesos dependen de la información
que les proveen los servicios de TI, por lo tanto, el BCP determina las prioridades
de recuperación, los tiempos de recuperación y los Acuerdos de Nivel de Servicios
(SLAs) sobre los Servicios de TI.
A su vez, los servicios de TI dependen de diversos Sistemas e Infraestructuras
tecnológicas de procesamiento, almacenamiento, comunicaciones y software.
El Análisis de Impacto en el Negocio (BIA) y el Análisis de Riesgo permiten
conocer los elementos críticos y los puntos débiles de los sistemas, que servirán de
guía en la confección de los correspondientes Planes de Contingencia.

• Asegurar la recuperación en tiempo y forma de los sistemas incluidos en el
alcance.
• Iniciar el proceso de Continuidad de los Servicios de Información.
• Concientizar a la Organización sobre los aspectos referentes a continuidad y
criticidad de los servicios de información.
• Asegurar la eficiencia de los mecanismos existentes, o determinar
necesidades de cambios en sus niveles de servicio.

1.9. TCA
(Tablero de Control de Avance) Gestionar la implantación de los controles

establecidos en normas y/o estándares relativos a la Seguridad de la Información o,
de forma más amplia, a la Gestión de TI.

• Disponer de un entorno sistemático de seguimiento de los controles
• Disponer de una plataforma común para declarar las novedades de avance
de implantación
• Facilitar la asignación de responsabilidades sobre el cumplimiento de los
controles
• Facilitar la realización de las auditorías
Adicionalmente, podrán cumplimentarse los siguientes objetivos:
• Extender el alcance a otros estándares y/o normas que la Organización
considere oportuno considerar o practicar
• Facilitar las actividades de concientización dentro de la Organización.
Se recoge la información proveniente de diversos análisis que se hayan realizado en

fases anteriores. Es decir, se obtienen los diagnósticos y Planes de Acción definidos
en cada uno de estos análisis.
ITIL COBIT ISO

1.10. Metodología de Análisis y Gestión de Riesgo
Esquema de la Metodología de AR y GR
Los resultados del Análisis y la Gestión de Riesgo dependen, principalmente, de un

conjunto de datos agrupados en cuatro modelos:
• Modelo de Entidades: Conforma la Base de Conocimiento (Tablas
Maestras) con los controles de los estándares, Amenazas, Vulnerabilidades,
Recomendaciones, Proyectos, Métricas, Tipologías, Dependencias
permitidas, Degradación, Efectividad, Costos, Probabilidades estándar, etc.
También están definidos los cálculos a realizar en los diferentes módulos de
R-BOX. Es adaptado y mejorado de forma continua.
• Modelo Funcional: es el inventario de activos del escenario de análisis y
las correspondientes dependencias entre dichos activos. Este modelo
representa el “qué” se está analizando.
• Modelo de Negocio: es la clasificación de la información y la valoración de
los procesos de negocio dentro del escenario de análisis. Este modelo
representa el “cuanto” valen los activos analizados.
• Modelo de Gestión: es el grado de madurez de los controles para mitigar
el riesgo; estos controles están asociados a los activos y son responsabilidad
de sus correspondientes custodios y propietarios. Este modelo representa el
“como” la organización está gestionando la seguridad de la información
dentro del escenario de análisis.

El Modelo de Entidades podría decirse que es estándar para todas las
organizaciones, aunque puede ser adaptado, es muy estable respecto a los cambios
en la información que contiene. Será utilizado en todos los cálculos,
independientemente del escenario de análisis.
Los otros tres modelos dependen directamente de la realidad de cada organización
en el escenario analizado.
Considerando los cuatro modelos anteriores, el Análisis de Riesgo se realiza en

base a las siguientes etapas, centradas en recavar la información de los modelos
Funcional, de Negocio y de Gestión para obtener un Diagnóstico de Riesgo.
Tareas para el Análisis de Riesgo
La Gestión de Riesgo se realiza en base a las siguientes etapas, centradas en

establecer los umbrales de riesgo (objetivos de la gestión) y en definir un Plan de
Acción que permita alcanzar estos objetivos desde el punto de partida del
Diagnóstico.
Tareas para la Gestión de Riesgo

Acciones
Genéricas

2. ACCIONES GENÉRICAS
2.1. Ingresar a R-BOX
El acceso a R-BOX se realiza a través de la pantalla de "Log In" de usuarios que se

observa en la imagen que se muestra a continuación:
Pantalla de Log In de R-BOX

Se debe completar con Usuario y Contraseña válidos, completar el Texto de

Seguridad con el indicado en el cuadro (mayúsculas o minúsculas
indistintamente), y luego hacer clic sobre "INGRESAR".
El Administrador de R-BOX, mediante un parámetro de configuración, puede quitar
el ingreso del Texto de Seguridad.
Si el usuario ha olvidado su clave, puede hacer clic en ¿OLVIDÓ SU CLAVE? y

aparecerá la siguiente pantalla:
Pantalla de olvido de clave
Se deberá completar el nombre de usuario y contestar la pregunta (configurada en

la cuenta del usuario), si la respuesta es correcta, el usuario podrá ingresar
normalmente.

Una vez autenticado el usuario, se accede a la pantalla inicial de R-BOX:
Pantalla inicial de R-BOX
En el ángulo superior derecho se muestra:

• Nombre del usuario (haciendo clic, se accede a la configuración personal)
• Escenario de Trabajo (puede cambiarse seleccionando en el combo)
• Estándar asociado al Escenario
• Botón de Inicio: lleva a esta pantalla desde cualquiera de las pantallas de
trabajo.
• Botón Salir: cierra la sesión del usuario y lleva a la pantalla de Log In.
Haciendo clic en el ícono de R-BOX del ángulo superior izquierdo, se abre la

pantalla de Acerca de R-BOX:
Acerca de R-BOX

Además, se muestra la barra del Menú Principal de R-BOX, desde donde se
podrá acceder a todas las funcionalidades de la herramienta.
La parte superior de la pantalla es el mensaje de bienvenida que el

Administrador puede configurar para todos los usuarios. Por defecto, se muestra el
ícono de R-BOX.
En la pantalla se muestran seis secciones de resúmenes y datos correspondientes al

escenario y al usuario:
• Resumen de Inventario: muestra la cantidad de activos existentes en el
escenario, agrupados por tipología.
• Resumen de Análisis de Riesgo: muestra el diagnóstico de Riesgo
General y por Dimensión para el escenario.
• Resumen de Gestión de Riesgo: muestra la simulación de la evolución del
Riesgo General, en función del Plan de Acción especificado en el Escenario.
Como referencia, se muestran los umbrales definidos.
• Responsabilidad sobre activos: muestra, agrupados por tipología, la
cantidad de activos sobre los que el usuario es Propietario o Custodio.
• Resumen de Cuestionarios: muestra la cantidad de preguntas que el
usuario ha contestado, las que le falta responder y las delegadas.
• Madurez de Controles: muestra la distribución de los controles del
estándar asociado al escenario para el Diagnóstico y para cada uno de los

plazos del Plan de Acción determinado.
El contenido de estas pantallas depende de que se hayan cumplimentado los pasos
de carga y procesamiento necesarios en cada módulo de R-BOX; si no se han
completado alguno o todos, se mostraran vacías las que correspondan.
El usuario podrá seleccionar cuales de estos, u otros, resúmenes mostrar en su
pantalla de Inicio, así como el orden de los mismos.
A la derecha de la pantalla se muestra una ventana de NOVEDADES, que sirve de

canal para diferentes avisos:
• Propios del Usuario: se muestran los avisos y alarmas asociadas al
usuario, en función de novedades e hitos definidos en los módulos de R-
BOX.
• Administrador: muestra mensajes que el Administrador de R-BOX desee
comunicar a todos los usuarios.
• R-BOX: se muestran tips o novedades sobre R-BOX para mejorar el uso de
la herramienta por parte de sus usuarios.

2.2. Funcionalidad general
En este apartado se describirán todas aquellas acciones que existen en la mayoría

de los formularios, y que tienen una finalidad común.
Todas las pantallas de R-BOX tienen una serie de íconos agrupados y ubicados con
el mismo criterio y de la misma forma.
Acciones de búsqueda de registros

2.2.1. Registros y Cerrar Submódulo
Agrupa operaciones sobre los registros de la pantalla, mediante su ABM.
Nuevo: creará un nuevo registro, accediendo a la función de ALTA.
Eliminar: eliminará los registros seleccionados, ejecutando la

función de BAJA.
Cerrar: cerrará el submódulo actual, ejecutando todas las

validaciones establecidas. Si no se cumplen las condiciones para iniciar
el cierre, este ícono estará deshabilitado.
La condición de apertura es indicada mediante el ícono ubicado a la
izquierda del nombre del submódulo correspondiente.
2.2.2. Campos del Listado
Acciones sobre los campos a visualizar en el listado.
Seleccionar Campos: Presentará una ventana con todos los

campos disponibles para seleccionar y visualizarlos en un determinado
listado por pantalla. Pueden configurarse el ancho de las columnas, los
decimales a mostrar y el orden de los campos.

Abrir Listado: Abrirá un listado previamente grabado, mostrando
los campos definidos en el listado abierto. Puede restaurarse el listado
por Default, también pueden eliminarse listados, si no son necesarios.
Haciendo clic en el ícono de la derecha, estos listados pueden definirse
como Público / Privado, permitiendo o no que otros usuarios los
utilicen (el perfil del usuario debe tener habilitada la funcionalidad
“Graba Listados”).
Guardar Listado: Grabará un listado confeccionado para que

muestre todos los campos de interés. El nombre del listado será el que
se muestre en la lista de Abrir Listado. Puede definirse que el listado
creado sea el listado por Default para el usuario. (El perfil del usuario
debe tener habilitada la funcionalidad “Graba Listados”).
El Tipo de listado define la funcionalidad que éste tendrá:
• Solo Filtros: el listado es para definir los campos a visualizar y
los aspectos de formato.
• Histórico: se grabarán TODOS los campos del listado para todos
los registros del submódulo. Esta funcionalidad permite
“congelar” los datos para su referencia en el futuro.

2.2.3. Import y Export
Agrupa operaciones de importación y exportación de registros.

Template de Importación: generará un archivo del tipo texto
separado por tabulaciones, con el formato necesario para importar
registros (estos campos varían según el submódulo). Se muestran en
rojo los campos obligatorios para poder importar los registros; en
amarillo aquellos que pueden omitirse en la importación pero no en el
cierre del submódulo; y en verde los campos complementarios del
registro.
Importar: presentará una pantalla a través de la cual se

importarán registros contenidos en un archivo de datos. Deberá
seleccionarse el archivo de importación y hacer clic en Importar
Registros, se iniciará la importación y se mostrará el avance de la
misma.
Texto Plano: exportará el listado visualizado en pantalla a un

archivo de texto plano (.txt)
Excel: exportará el listado visualizado en pantalla a un archivo de

tipo Excel (.xls)
Imprimir: imprimirá el listado visualizado en pantalla.

2.2.4. Especiales
Agrupa operaciones que solo aplican al submódulo en particular y los

resultados de las operaciones realizadas sobre los registros
Novedades: accede al registro de las novedades producidas por

diferentes operaciones realizadas sobre los registros. Si se han
producido errores, se detallan las causas.
Vista en Árbol: muestra los registros del submódulo en formato de

árbol para una navegación más ágil. Haciendo clic con el botón derecho
puede cambiarse la acción por defecto al hacer clic en los elementos del
árbol, estas opciones varían en función del submódulo.
También pueden filtrarse elementos por capas (por ejemplo, Elementos
de Infraestructura) y por activo. (Ver 4.1.1.3 DETALLES)
Los demás íconos agrupados en esta sección dependen del submódulo y

son explicados en la sección correspondiente.

2.2.5. Búsqueda de Registros
Permite seleccionar los registros a mostrar, en función de distintos criterios de

búsqueda.
Filtro Normal: establece un filtro en base a un solo campo.

• En el campo “Buscar por” debe seleccionarse el campo por el que serán
filtrados los registros.
• En el campo de la derecha, escribir el valor de búsqueda (a partir del cuarto
carácter, se propondrá una lista de valores para seleccionar). En algunos
campos con pocas opciones se propone un combo con los valores para
seleccionar.
• Hacer clic en el ícono “Filtrar” y se ejecutará la búsqueda.
Filtro Avanzado: permite combinar muchos criterios de búsqueda.

Los criterios están combinados con la operación lógica Y (AND), es decir, los
registros seleccionados deberán cumplir con todas las condiciones definidas.

2.2.6. Paginación
Si el submódulo presenta los registros en más de una página, estas funcionalidades

permiten cambiar la página actual.
Muestra la primera página del listado.
Muestra la página anterior a la actual.
En el campo de edición puede especificarse el número

de página al que se desea ir, escribir el número e ingresarlo con
<Enter>.
También se informa el número de página actual, el número total de
páginas del listado, y la cantidad total de registros indicado entre
paréntesis.
Muestra la página siguiente a la actual.
Muestra la última página del listado.
2.2.7. Selección y Acción sobre registros
En función del submódulo de trabajo, se presentarán una serie de íconos en la

columna de Acción. Cada uno de estos íconos inicia operaciones sobre los registros
particulares y son detallados en la correspondiente sección de este manual.
Los checks de Selección permiten seleccionar múltiples registros, generalmente,
para eliminarlos.

2.2.8. Cuadros de texto enriquecido
Generalmente, en los campos Descripción de los registros se ofrecen amplias

opciones de edición y formato de texto. Estas opciones pueden ocultarse o
mostrarse haciendo clic donde se indica en el siguiente gráfico.
Opciones de texto enriquecido
2.2.9. Descripción ampliada de elementos
Haciendo clic en el ícono que se muestra en el siguiente gráfico, se accede a la

descripción ampliada de la opción seleccionada. Es de utilidad cuando existen
muchas opciones, y no se conoce exactamente su significado.
Ejemplo de uso de la descripción ampliada

2.2.10. Acciones en el ABM de registros
Cuando se abre un registro para su edición, aparece la pantalla correspondiente a

su ABM en función del submódulo en cuestión.
Ejemplo de acciones en ABM
Existen diferentes tipos de campos para que el usuario los complete:

• Edición libre, (como “Nombre”, en el ejemplo de arriba)
• Combo, para seleccionar una de las opciones presentadas (como “Ve

Tracking”, en el ejemplo de arriba)
• Campos obligatorios, si no se completan, no se podrá grabar el registro
(como “Graba Listados Históricos”, en el ejemplo de arriba)
• Texto / Texto enriquecido, (generalmente campos Descripción)
• Combo de selección múltiple, permiten asociar varios valores a un campo
del registro (como el campo Rol en el siguiente ejemplo)
Los botones de acción permiten al usuario decidir que hacer con el registro editado:
• Anterior: cambia al registro inmediatamente anterior al que se está
editando.
• Siguiente: cambia al registro inmediatamente posterior al que se está
editando.
• Imprimir: imprime todos los datos del registro.
• Grabar: almacena los datos del registro en la base de datos de R-BOX
• Volver: cierra el registro y se vuelve a la pantalla del submódulo
correspondiente.

2.2.11. Árbol de Menú
Es una forma alternativa para acceder a los menúes de R-BOX.
Abajo del nombre de todos los submódulos hay una referencia jerárquica al menú
actual.
Haciendo clic en esta referencia, se abrirá a la izquierda el Árbol de Menú.
Haciendo clic sobre el nombre de un submenú, se accederá a su pantalla.

Si se hace clic en la palabra R-BOX, se expandirá completamente el Árbol de Menú.
Para cerrar la ventana del Árbol de Menú, hacer clic en el ícono .

Administración
y
Accesos

3. Administración y Accesos
3.1. Parámetros de R-BOX
Se definen los parámetros generales de configuración de la herramienta.

Menú de acceso a “Parámetros de R-BOX”
3.1.1. Configuración General
Se pueden parametrizar diferentes configuraciones en relación mensajes de

bienvenida, cantidad de registros por página y decimales que se muestran en los
reportes.
Pantalla para configurar los parámetros generales

En la sección principal se deben ingresar los siguientes parámetros:
• Mensaje de Bienvenida: se refiere al mensaje que mostrará la
herramienta una vez que el usuario ingrese a la misma. El texto podrá ser
formateado en cuanto a tamaño, color, letra, etc.
• Registros por Página: identifica la cantidad de registros que un listado
mostrará por página. Ingresando el valor 0 no existirá paginado.
• Decimales Visibles en Reportes: identifica la cantidad de decimales que
serán visualizados en los reportes que efectúe la herramienta. Este
parámetro puede ser cambiada en cada submódulo.
En la sección Tracking se deben ingresar los parámetros que definen el tiempo de

conservación de la información de traza de actividades:
• Días a almacenar cambios: ingresar la cantidad de días que se
almacenará la información de los cambios hechos por los usuarios. Si se
ingresa cero (0) no se almacenará esta información.
• Días a almacenar de tracking: ingresar la cantidad de días que se
almacenará la información de tracking. Si se ingresa cero (0) no se
almacenará esta información.
En la sección Monedas se deben ingresar los parámetros que definen los valores
monetarios utilizados en la herramienta.
• Moneda por defecto: ingresar la moneda que será utilizada por defecto. La
lista de monedas es función de lo definido en el submódulo “Monedas”. (Ver
3.1.4 Monedas)
• Decimales Visibles para Monedas: ingresar la cantidad máxima de
decimales a mostrar en los valores monetarios. Este parámetro puede ser
cambiada en cada submódulo donde se utilicen valores monetarios.

3.1.2. Política de Contraseñas
Se pueden configurar diferentes parámetros referidos al formato y gestión de la

contraseña de un usuario.
Pantalla para configurar la política de contraseñas

• Longitud Mínima de la contraseña: indica la cantidad mínima de

caracteres que puede tener una contraseña de un usuario. La longitud
máxima estará definida por la longitud de la máscara.
• Máscara: define el formato que se necesitará cumplir para generar la
contraseña de un usuario. Los códigos posibles para la creación de
contraseñas son:
9: Número
0: Número o Símbolo
a: Letra
n: Letra o Número
s: Letra o Símbolo
?: Símbolo
x: Cualquier carácter
Por ejemplo, la máscara “aaa000” indica que la contraseña debe
contener tres letras seguidas de tres números.
• Frecuencia de cambio: indica la cantidad de días que se mantendrá una
contraseña antes de que aparezca un mensaje solicitando cambiarla. Si se
ingresa el valor “0”, no se necesitará cambiarla nunca.
• Cantidad de Contraseñas sin repetir: indica que un usuario NO podrá
usar una contraseña que haya utilizado anteriormente la cantidad de veces
ingresadas en este campo. Si se ingresa el valor “0”, no se tendrá en cuenta
esta validación.
• Cantidad de Intentos antes de bloquear: indica la cantidad de veces que
un usuario puede fallar el ingreso de su contraseña antes que su cuenta se
bloquee. Si se ingresa el valor “0”, no se tendrá en cuenta esta validación.

3.1.3. Análisis de Riesgo
Se pueden configurar aspectos de cálculos, cuestionarios y opciones sobre los

gráficos del módulo de Análisis de Riesgo.
Pantalla para configurar los parámetros de análisis de riegos
• Umbral de Validez de Controles: valor del promedio ponderado del

campo “Aplica” a partir del cual el control se considera válido, cuando haya
respuestas múltiples para un mismo control. (Ver 6.2.5 RESUMEN DE
PREGUNTAS)
• Ponderar respuestas NO APLICA: Este parámetro solo tiene efecto
cuando el promedio ponderado supere al Umbral de Validez de Controles. Si
se selecciona “SI”, en los cálculos de propagación se considerarán con nivel
de madurez “Inexistente” aquellas respuestas contestadas como “No Aplica”,
es decir, se considera que si alguien da esa respuesta es que no está
implantando el control. Si se selecciona “NO”, cuando se realicen los
cálculos de propagación serán descartadas las respuestas “No Aplica”. (Ver
6.2.5 RESUMEN DE PREGUNTAS)
• Tiempo Estimado por pregunta (seg.): indica el tiempo estimado para

que un usuario pueda responder una pregunta en el submódulo de
cuestionario.
• Indicadores por gráficos: especifica la cantidad de indicadores a mostrar

en los gráficos de resultados de Análisis de Riesgo.
• Factor de Normalización de Probabilidad: indica que, en los reportes y

en los gráficos, se multiplicará el valor de este parámetro por la probabilidad
calculada.
• Valor Mínimo para Probabilidad: indica el mínimo valor a mostrar en los
gráficos para la “PROBABILIDAD”.

• Valor Máximo para Probabilidad: indica el máximo valor a mostrar en los
gráficos para la “PROBABILIDAD”. Si se ingresa el valor “0”, hará que el
sistema determine automáticamente el máximo valor.
• Decimales en Probabilidad: cantidad de decimales a mostrar en los
valores de Probabilidad.
• Factor de Normalización de Impacto: indica que, en los reportes y en los

gráficos, se multiplicará el valor de este parámetro por el impacto calculado.
• Valor Mínimo para Impacto: indica el mínimo valor a mostrar en los
gráficos para el “IMPACTO”.
• Valor Máximo para Impacto: indica el máximo valor a mostrar en los
gráficos para el “IMPACTO”. Si se ingresa el valor “0”, hará que el sistema
determine automáticamente el máximo valor.
• Decimales en Impacto: cantidad de decimales a mostrar en los valores de
Impacto.
• Factor de Normalización de Riesgo: indica que, en los reportes y en los

gráficos, se multiplicará el valor de este parámetro por el riesgo calculado.
• Valor Mínimo para Riesgo: este valor indica el mínimo valor a mostrar en
los gráficos para el “RIESGO”.
• Valor Máximo para Riesgo: este valor indica el máximo valor a mostrar
en los gráficos para el “RIESGO”. Si se ingresa el valor “0”, hará que el

sistema determine automáticamente el máximo valor.
• Decimales en Riesgo: cantidad de decimales a mostrar en los valores de
Riesgo.
3.1.4. Monedas
Se definen las monedas que serán utilizadas en la herramienta para los cálculos
donde intervienen valores monetarios.
Pantalla de monedas

ABM de monedas
• Moneda: indicar el nombre de la Moneda a incorporar o modificar.

• Unidad: indicar el nombre abreviado de la moneda, por ejemplo EUR para
el Euro.
• Factor: valor de conversión con la Moneda por Defecto establecida en la
Configuración General.
• Estado: En <Activo>, la moneda podrá ser utilizada en la herramienta. Si
se pone en <Bloqueado>, la moneda no será utilizada, pero podrá ser
mantenida por este submódulo.
• Actualizable: <Si / NO>, indica si la funcionalidad de actualización
automática debe contemplar o no esta moneda.
Actualiza valores monetarios: (requiere conectividad a Internet) esta

funcionalidad se conecta a un sitio que mantiene actualizados on-line todas las
monedas oficiales existentes y sus factores de conversión.
Ejecutar esta operación obligará a recalcular los reportes de Análisis y Gestión de
Riesgo.
Puede optarse por Reincorporar todas aquellas monedas que no estén en la lista
de monedas o solo actualizar aquellas que tengan el campo Actualizable = SI

3.2. Accesos y Flujos
Se definen las entidades y parámetros que permitirán acceder y utilizar la

herramienta, por parte de los usuarios.
Menú de acceso a “Accesos y Flujos”
3.2.1. Perfiles
Definen los permisos que el usuario tendrá dentro de la herramienta.
Pantalla de perfiles

Pantalla para la edición de un perfil determinado
En la sección “Datos Generales” se muestran los siguientes campos:

• Nombre: hace referencia al nombre del perfil.
• Graba Listados Históricos: indica si el perfil podrá grabar listados <Si /
No>
• Ve Tracking: indica si el perfil podrá ver el log de las acciones realizadas.
<Si / No>
• Cambia Estados: indica si el perfil podrá cambiar los estados. <Si / No>
En la sección “Permisos”, en la columna llamada “Menú” se muestran todas las

opciones de todos los menúes, para que puedan ser chequeadas, habilitando que el
perfil en cuestión pueda visualizarlas. Estos menúes se corresponden con los
módulos y submódulos de la herramienta.
Además existen otras cuatro columnas referidas a:

• Agregar Nuevo: indica si el perfil podrá realizar la operación de agregar un
nuevo elemento.
• Modificar: indica si el perfil podrá realizar modificaciones sobre un
elemento existente.
• Eliminar: indica si el perfil podrá eliminar elementos existentes.
• Otros: indica si el perfil podrá realizar operaciones diversas como:
o Cerrar
o Publicar
o Importar
o Copiar/Asignar
o etc.

3.2.2. Roles
Los roles definen la responsabilidad sobre los activos del inventario.

El rol asignado a un usuario tendrá consecuencias en las preguntas que deberá
contestar sobre los activos bajo su responsabilidad.
Pantalla de roles
Pantalla para la edición de un rol determinado
• Rol: hace referencia al nombre del rol.

• Descripción: en este campo se puede introducir una breve reseña sobre el
rol.
• Rol genérico: este campo sirve para contemplar el hecho de que pueden
existir roles “principales” y “delegados”. Los primeros tienen la
responsabilidad final sobre el activo, y generalmente los segundos realizan
las funciones operativas. Así, el Custodio Principal y el Delegado tienen el rol
genérico “Custodio”. Con la opción “Rol Organizativo” se especifica que el
rol hace referencia a alguno de los definidos dentro de la Organización, por
ejemplo “Gerente de Sistemas”, “Gerente de RRHH”, etc.
Los Roles Organizativos NO establecen responsabilidades sobre los activos, sino

sobre los controles de los distintos estándares. Tienen un alcance más genérico, y
son utilizados para los cuestionarios de Compliance. (Ver 9.2.1 Generar
Cuestionario).

3.2.3. Personas
Se definen los usuarios que tendrán acceso a R-BOX.

También pueden definirse responsables sin que utilicen la herramienta, es decir,
son “personas” de forma más general. Estas personas no tienen Perfiles asociados.
Pantalla de personas

Pantalla para la edición de una persona determinada

• Nombre: especifica el nombre de la persona.
• Apellido: especifica el apellido de la persona.
• Email: especifica el correo electrónico de la persona.
• Teléfono: especifica el teléfono de la persona.
• Foto: adjuntar una foto de la persona.
En la sección “Datos de la empresa” se muestran los siguientes campos:

• Empresa: indica la empresa a la cual pertenece la persona.
• Tipo área: indica el tipo de área dentro de la Organización (dirección,
gerencia, jefatura, etc.)
• Área: indica el área dentro de la Organización a la cual pertenece la
persona.
En la sección “Acceso al Sistema” se muestran los siguientes campos:

• Usuario: hace referencia al nombre de usuario asignado a la persona.
• Password: indica la contraseña que tendrá la persona para iniciar sesión.
• Repetir Password: repetir la contraseña para evitar errores en el campo
anterior.
• Perfil: especifica un perfil a ser asociado la persona, pueden asociarse
múltiples perfiles. Seleccionar el perfil y luego presionar el botón y será
agregado a la lista inferior que detalla todos los perfiles que tiene la
persona.
En la sección “Roles” se muestra el siguiente campo:

• Rol: especifica un rol a ser asociado la persona, pueden asociarse múltiples
roles. Seleccionar el rol y luego presionar el botón y será agregado a la
lista inferior que detalla todos los roles que tiene la persona.

En la sección “Escenarios” se muestra el siguiente campo:
• Escenario: especifica un escenario a ser asociado la persona, pueden
asociarse múltiples escenarios. Seleccionar el escenario y luego presionar el
botón y será agregado a la lista inferior que detalla todos los escenarios
que podrá acceder la persona.
En la sección “Configuración” se muestran los siguientes campos:

• Caduca contraseña: indica si la contraseña de la persona puede o no
caducar <Si / No>
• Estado: indica el estada actual de la persona:
o Activo: indica que la persona (usuario) puede ingresar a la
herramienta.
o Bloqueado: indica que la persona (usuario) no podrá ingresar a la
herramienta. Este estado se alcanza automáticamente si el usuario
ha ingresado erróneamente su Password, superando el límite
establecido.
• Cambia contraseña en próximo login: indica si se obligará a la persona a
cambiar su contraseña en el próximo login <Si / No>. Generalmente es
conveniente utilizar esta opción cuando se da de alta al usuario o tras un
cambio por olvido de su contraseña.
En la sección “Otros” se muestra el siguiente campo:

• Observaciones: campo libre para información sobre la persona.
En la sección “Configuración de la Pantalla Principal” puede seleccionarse las

ventanas de Novedades que tendrá (por defecto) el usuario y si recibirá o no estas
novedades por email. (Ver 3.9 CAMBIAR DATOS PERSONALES)

3.2.3.1. Tracking de usuarios
Función de seguimiento de la actividad de los usuarios en el sistema que permiten

al Administrador auditar y detectar posibles fuentes de errores debido a dichas
acciones.
En la pantalla principal de “Personas”, puede accederse a la información de
Tracking de un usuario haciendo clic en el ícono mostrado a continuación.
Acceso a la información de Tracking

Información de Tracking de un usuario
Se muestra las pantallas de R-BOX que el usuario ha accedido (URL), la fecha de

dicho acceso y el total de clicks realizado dentro de la misma.

3.2.3.2. Seguimiento de cambios
Puede accederse a la información de seguimiento de cambios realizados por un

usuario haciendo clic en el ícono mostrado a continuación.
Acceso a la información de seguimiento de cambios

Información de seguimiento de cambios
Se muestra el nombre de la tabla, la fecha, el identificador y el nombre del registro

sobre el que el usuario introdujo cambios.

3.2.4. Estados
Los estados definen el ciclo de vida de los registros de las entidades definidas en la
herramienta. Sirven para modelar flujos de compra, de mantenimiento, de pruebas,
etc.
Pueden asociarse a todos los registros, es decir, los activos, las relaciones y las
tablas maestras. Estos registros podrán filtrarse en función de sus estados.
Pantalla de estados
Pantalla para la edición de un estado determinado
• Estado: especifica el nombre del estado.

• Descripción: introducir una descripción detallada sobre el estado.
• Color de fondo: cada estado generado puede tener un color asociado para
una mejor identificación de los registros que estén en dicho estado. En este
campo, a través de una paleta de colores, es posible establecer el color
deseado.

3.2.5. Registro de Accesos
Es un reporte de la actividad de los usuarios respecto a:

• La cantidad de logins fallidos
• El estado de su cuenta
• La fecha de su último login
• Los días transcurridos desde su último login.
Pantalla de registro de accesos
3.2.6. Sesiones Activas
Desde esta pantalla puede verse, en tiempo real, el estado de las sesiones activas
de los usuarios:
• Último acceso
• La última actividad realizada
• La última pantalla accedida.
Pantalla de sesiones activas
También puede eliminarse sesiones activas, seleccionando y haciendo clic en el

ícono .

3.3. Organización
Se definen todos los aspectos organizativos de la empresa donde se ha instalado la

herramienta, o sobre la que se está realizando el análisis.
Menú de acceso a “Organización”
3.3.1. Empresas
Se definen los datos de las empresas que conforman la Organización. Las empresas
pueden trascender a los escenarios, ya que un escenario puede tener varias
empresas y una empresa puede estar en varios escenarios.
Pantalla de empresas

Pantalla para la edición de una empresa determinada

• Empresa: especifica el nombre de la empresa.
• CUIT: especifica el CUIT de la empresa.
• Teléfono: indica el teléfono de la empresa.
• Mail: indica el correo electrónico de la empresa.
• Dirección: indica la dirección de la empresa.
• Responsable Legal: especifica quién es el responsable legal de la empresa.
• Rubro: especificar el rubro principal de la empresa, este valor podrá ser
utilizado durante la Gestión de Riesgo como criterio de selección. (Ver 7.1.3
Validación de Límites)
• Tamaño: especificar el código de tamaño de la empresa, este valor tendrá
efecto en los cálculos de costos.
• Dato estadístico: tildar esta opción si la empresa está siendo creada solo a
efectos de las Estadísticas de Análisis de Riesgo. Si se marca esta opción la
empresa no podrá ser incluida en un escenario para realizar un análisis, solo
podrán asociarse datos estadísticos. (Ver 7.1.1 Estadísticas de AR)
• Observaciones: introducir una breve observación sobre la empresa.
En la sección “Áreas” se muestran las áreas que han sido asignadas a la empresa
en cuestión.

3.3.2. Áreas
Se definen las áreas que conforman las empresas de la organización.

Pantalla de áreas
Pantalla para la edición de un área determinada

• Área: especifica el nombre del área.
• Tipo de Área: indica el tipo de área dentro de la empresa (Dirección,
gerencia, etc.)
• Empresa: indica a qué empresa se va a asociar el área.
• Responsable: indica quién es el responsable del área.
• Descripción: en este campo se puede introducir una descripción detallada
sobre el área.
En la sección “Relaciones” se muestran los siguientes campos para especificar las

jerarquías que forma el área bajo edición:
• Tipo de Área: indica con qué tipo de área se relacionará el área en
cuestión.
• Área: indica relaciones jerárquicas entre el área que se está
creando/modificando y otra existente. La lista se propone en función de lo
seleccionado en el campo anterior.
• Relación: indica el tipo de relación que existe entre ambas áreas. Para
agregar una relación, será necesario seleccionar la relación y luego presionar
el botón y la relación será agregada a la lista inferior que detalla todas las
relaciones existentes.
En la sección “Roles” se muestran el siguiente campo para especificar los roles

asignados al área en cuestión, es decir, que todos los integrantes del área tendrán
asociados los roles aquí especificados:
• Rol: especifica un rol a ser asociado al área, pueden asociarse múltiples
roles. Seleccionar el rol y luego presionar el botón y será agregado a la
lista inferior que detalla todos los roles que tiene el área.

3.3.3. Tipo de Áreas
Se definen las jerarquías existentes entre las áreas que conforman la Organización.
Típicamente, Direcciones, Gerencias, Jefaturas, etc.
Pantalla de tipos de áreas

Pantalla para la edición de un tipo de área determinado
• Tipo de Área: especifica el nombre del tipo de área.

sobre el tipo de área.

3.3.4. Tipo de Relaciones
Se definen los tipos de relaciones existentes entre las áreas para conformar la
jerarquía organizativa.
Pantalla de tipos de relaciones

Pantalla para la edición de un tipo de relación determinado
• En instancia superior: nombre que tendrá la relación con la perspectiva

desde el área superior.
• En instancia inferior: nombre que tendrá la relación con la perspectiva
desde el área inferior, es decir, el nombre “simétrico” del superior.
sobre el tipo de relación.

3.3.5. Rubros
Los rubros sirven para modelar la actividad principal a la que se dedican las
diferentes empresas.
Los valores aquí definidos serán los que las opciones del campo Rubro en la
definición de las Empresas. (Ver 3.3.1 Empresas)
El Rubro será utilizado como criterio de búsqueda en los datos de Estadísticas de
Análisis de Riesgo. (Ver 7.1.3 Validación de Límites)
Pantalla de rubros
Pantalla para la edición de un rubro de empresa
• Rubro: especifica el nombre del Rubro.

sobre el Rubro.

3.3.6. Tamaños de Empresa
Los Tamaños sirven para modelar la dimensión de las diferentes empresas,

teniendo en cuenta su cantidad de empleados.
Los valores aquí definidos serán los que las opciones del campo Tamaño en la
definición de las Empresas. (Ver 3.3.1 Empresas)
El Tamaño de las empresas tendrá consecuencias en los cálculos de costo de los
proyectos. (Ver 13.1 Proyectos)
Pantalla de tamaños de empresa
Pantalla para la edición de un tamaño de empresa
• Tamaño de Empresa: especifica el código del Tamaño.

sobre el Tamaño.
• Mínima cantidad de Empleados: este campo sirve para especificar la
cantidad mínima de empleados de las empresas con el Tamaño aquí
definido. Este valor no se utiliza en ningún cálculo, solo sirve para establecer
los criterios para seleccionar el Tamaño.
• Máxima cantidad de Empleados: este campo sirve para especificar la
cantidad máxima de empleados de las empresas con el Tamaño aquí
definido. Este valor no se utiliza en ningún cálculo, solo sirve para establecer
los criterios para seleccionar el Tamaño.
• Factor de Ajuste: este valor será multiplicado por el Costo Estándar de
todos los Proyectos relacionados con las empresas del Tamaño aquí definido.

3.4. Ubicaciones Físicas
Se definen los aspectos físicos de la organización, como Países, Provincias,

Localidades, Ciudades, Sedes y Ubicaciones.
Menú de acceso a “Ubicaciones Físicas”
La información de Ubicaciones Físicas no tiene ningún efecto en los cálculos, pero

es muy recomendable configurar correctamente estos parámetros ya que
enriquecen la información del inventario y son importantes para una correcta
Gestión de la Configuración.

3.4.1. Países
Se definen los países que se encuentran dentro del ámbito geográfico de la

Organización.
Pantalla de países
Pantalla para la edición de un país determinado
• País: especifica el nombre del país.
En la sección “Provincias” se muestran las provincias que fueron asociadas al país

en cuestión.

3.4.2. Provincias
Se definen las provincias que se encuentran dentro del ámbito geográfico de la

Organización.
Pantalla de provincias
Pantalla para la edición de una provincia determinada
• Provincia: especifica el nombre de la provincia.

• País: especifica el nombre del país al cual pertenece la provincia.
En la sección “Localidades” se muestran las localidades que fueron asociadas a la

provincia en cuestión.

3.4.3. Partidos o Departamentos
Se definen las localidades que se encuentran dentro del ámbito geográfico de la

Organización.
Pantalla de partidos o departamentos
Pantalla para la edición de partido o departamento determinado
• Partido o Departamento: especifica el nombre de la localidad.

• País: especifica el nombre del país al cual pertenece la localidad.
• Provincia: especifica la provincia a la cual pertenece la localidad. Se
listarán en función del país especificado.
En la sección “Ciudades” se muestran las ciudades o pueblos que fueron asociadas

a la localidad en cuestión.

3.4.4. Ciudades o Pueblos
Se definen las ciudades o pueblos que se encuentran dentro del ámbito geográfico
de la Organización.
Pantalla ciudades o pueblos

Pantalla para la edición de una ciudad o pueblo
A continuación se describirán los campos existentes en la pantalla de

edición/creación de “Ciudades”:
• Ciudad o Pueblo: especifica el nombre de la ciudad o pueblo.
• País: especifica el nombre del país al cual pertenece la ciudad o pueblo.
• Provincia: especifica la provincia a la cual pertenece la ciudad o pueblo. Se
• Partido o Departamento: especifica el partido o departamento al que
pertenece la ciudad o pueblo. Se listarán en función de la provincia
especificada.
En la sección “Sedes” se muestran las sedes que fueron asociadas a la ciudad o

pueblo en cuestión.

3.4.5. Sedes
Se definen las sedes que se encuentran dentro del ámbito geográfico de la

organización. Generalmente, las sedes se refieren a edificios, recintos, etc. En la
que la Organización posee instalaciones u oficinas.
Pantalla de sedes
Pantalla para la edición de una sede determinada
• Sede: especifica el nombre de la sede.

• País: especifica el nombre del país al cual pertenece la sede.
• Provincia: especifica la provincia a la cual pertenece la sede. Se listarán en
función del país especificado.
• Partido o Departamento: especifica la localidad a la cual pertenece la
sede. Se listarán en función de la provincia especificada.
• Ciudad o Pueblo: especifica la ciudad o pueblo a la cual pertenece la sede.
Se listarán en función del partido o departamento especificado.

3.4.6. Ubicaciones
Se definen las ubicaciones físicas que se encuentran dentro de una Sede, como
oficinas, depósitos, plantas, etc.
Pantalla de ubicaciones
Pantalla para la edición de una ubicación determinada
• Ubicación: especifica la el nombre de la ubicación.

• Empresa: especifica la empresa a la cual pertenece la ubicación.
• País: especifica el nombre del país al cual pertenece la ubicación.
• Provincia: especifica la provincia a la cual pertenece la ubicación. Se
• Partido o Departamento: especifica la localidad a la cual pertenece la
ubicación. Se listarán en función de la provincia especificada.
• Ciudad o Pueblo: especifica la ciudad o pueblo a la cual pertenece la
ubicación. Se listarán en función del partido o departamento especificado.
• Sede: especifica la sede a la cual pertenece la ubicación. Se listarán en
función de la ciudad o pueblo especificado.

3.5. Escenarios
Los escenarios permiten modelar, de forma aislada, diferentes dominios de análisis

dentro de una organización.
Mediante esta facilidad, pueden crearse equipos de trabajo que gestionen conjuntos
de activos sin interferir los unos con los otros.
También es una forma de acotar el alcance de los análisis, según sea conveniente.
Como se verá en la correspondiente sección, existen una serie de operaciones que

permiten compartir activos y relaciones entre los distintos escenarios definidos.
(Ver 4.2.3 Escenarios)
Menú de acceso a “Escenarios”
Pantalla de escenarios

Pantalla para la edición de un escenario determinado
• Escenario: define el nombre del escenario

• Nombre Corto: Nombre que será mostrado en gráficos e informes
• Descripción: detalle ampliado del escenario
• Fecha de Inicio: a partir de la cual el escenario tendrá validez
• Fecha de Fin: hasta la cual el escenario tendrá validez
• Externo: especificar con <Si / No> si el escenario está definido solo para
las Estadísticas (Externo), o si será un escenario “normal”. Por defecto es
<No> (Ver 7.1.1 Estadísticas de AR)
• Estándar de AR: especificar el estándar que será utilizado para Análisis de
Riesgo en el escenario.
En la sección “Estándares de Compliance” deberá especificarse el siguiente

campo:
• Estándar: especifica los estándares para análisis de Compliance en el
escenario. Seleccionar el estándar y luego presionar el botón y será
agregado a la lista inferior que detalla todos los estándares que tiene el
escenario.
En la sección “Responsables” deberá especificarse el siguiente campo:

• Persona: seleccionar aquellas personas que podrán acceder al escenario o
tendrán roles asociados con elementos del mismo.
En la sección “Empresas relacionadas” deberá especificarse el siguiente campo:

• Empresa: agregar todas aquellas empresas que estén relacionadas con el
escenario. Seleccionar la empresa y luego presionar el botón y será
agregada a la lista inferior que detalla todas las empresas que tiene el
escenario.

3.5.1.1. Ordenar escenarios
Mediante las flechas hacia arriba o hacia abajo puede subirse o bajarse el orden de
cada escenario, respectivamente.
Ordenar escenarios
Este orden determinará, para un usuario en particular, como se presentarán los

escenarios que tenga asociados en la lista de escenarios, ubicada en la parte
superior derecha de R-BOX.

3.5.1.2. Congelar escenarios
Esta funcionalidad almacena (en formato XML, por fuera de la Base de Datos
de R-BOX) TODOS los datos contenidos en un escenario, es decir, permite tener
una “foto” del escenario y consultar los resultados obtenidos, independientemente
de los posibles cambios en las Tablas Maestras, por ejemplo los resultados de un
Análisis de Riesgo en el año 2010, otro en el 2011, etc.
Se muestran los submódulos que se van a congelar.
Congelar escenarios
Puede ingresarse una Descripción, y al hacer clic en “Guardar”, se mostrará la

pantalla de avance. Este proceso puede tardar unos minutos, dependiendo del
tamaño del escenario a congelar.

Cuando se han congelado uno o más escenarios, en todos los submódulos de R-
BOX podrá accederse a sus datos mediante la acción “Abrir Listado” .
Por ejemplo, si se quisiera ver el submódulo de Identificar y Tipificar con datos de

un escenario congelado, en el escenario “actual”, hacer clic en el ícono de “Abrir
Listado”.
Identificar y Tipificar en el escenario “actual”
Se mostrarán los listados existentes.

Estos listados pueden ser de dos tipos:
• Filtros : solo definen los campos a mostrar en la pantalla.
• Históricos : son los datos del submódulo, guardados por “Congelar

Escenarios” o por “Guardar Listado histórico”.
Seleccionar listado
Haciendo clic en el ícono “Ver” del histórico deseado, se mostrarán los datos
correspondientes al mismo.

Identificar y Tipificar en el escenario “congelado”
Al nombre del submódulo se le agrega “Histórico” para destacar que se trata de

datos “no actuales”.
No pueden realizarse acciones de ABM sobre estos registros, si se quieren ver
más campos, deberán seleccionarse mediante el ícono “Seleccionar Campos” .
Los íconos de las acciones deshabilitadas se muestran grisadas.
Para restaurar el escenario “actual” se puede cambiar de pantalla y volver al

submódulo, o reingresar a “Abrir Listado” y hacer clic en “Restaurar listado
por default” .
Seleccionar listado para volver al escenario “actual”

Si se decidiera que el escenario “original” ya no será modificado, una forma práctica
de trabajar con escenarios congelados es establecer el Escenario Congelado por
default, que especifica el escenario congelado que será utilizado cada vez que se
acceda al mismo.
En el ABM de Escenarios, si existen congelados para un escenario en particular, se

muestra una sección llamada “Escenarios Congelados” con una lista para
seleccionar al que será mostrado por defecto.
Establecer el escenario por default para un escenario que tenga uno o varios congelados
Una vez seleccionado y grabado, en la lista de escenarios aparecerán, en la sección

“Congelados”, los nombres de los escenarios que tengan este parámetro definido.
Nota: Los menúes para este tipo de escenarios se reducen a las acciones que
efectivamente pueden realizarse sobre los mismos, es decir, trabajando con estos
escenarios el menú no tiene todas las opciones.

3.5.1.3. Duplicar escenarios
Esta funcionalidad realiza una copia en la Base de Datos de R-BOX de TODOS los
datos contenidos en un escenario, normalmente para trabajar independientemente
sobre el escenario original y el duplicado.
Deberá tenerse en cuenta que los posibles cambios en las Tablas Maestras
afectarán los resultados tanto en el original como en el duplicado.
Duplicar escenarios
Deberá seleccionarse:
• Escenario Origen: nombre del escenario que se quiere duplicar.
• Escenario Destino: nombre del escenario que recibirá los datos. Este
escenario debe haberse creado con anterioridad.
Todos los datos del escenario destino (si los hubiera) serán eliminados y
reemplazados por los datos del escenario original.
Una vez que se haya hecho la copia, podrán cambiarse los parámetros del
escenario (como fecha de validez, responsables, etc.) y tratarlo como un escenario
“normal”.

3.5.2. Calendarios
Este informe permite ver los plazos de validez de los escenarios definidos.
Seleccionando uno o más escenarios de la lista, se indicará en el calendario los

correspondientes plazos de validez.
Pantalla de Calendario
También puede hacerse el proceso inverso, seleccionando un plazo en el calendario,

se mostrarán los escenarios que tienen validez dentro del mismo.
Pantalla de Calendario

3.6. Mantenimiento de BD
Con esta funcionalidad de administración pueden efectivamente descartarse de la

Base de Datos aquellos registros que hayan sido eliminados.
Cada vez que se eliminan registros desde los ABMs R-BOX los mantiene en un
estado particular para poder recuperarlos si fuera necesario. Esta información
puede constituir un alto volumen de datos, que puede llegar a afectar la
performance de la aplicación y puede ser necesario eliminarla regularmente o
después de haber borrado gran cantidad de datos.
Menú de acceso a “Mantenimiento de BD”
Pantalla de mantenimiento de BD
En el campo “Acción a Realizar” debe especificarse alguna de las siguientes

opciones:
• Backup de la base de datos: realiza una copia COMPLETA de la base de
datos de R-BOX.
• Eliminar registros ya eliminados lógicamente: para eliminarlos
físicamente de la Base de Datos de R-BOX.
• Eliminar información de Tracking: para eliminar físicamente los registros
de traza que hayan sido borrados lógicamente.
• Optimizar Tablas: actualiza los índices y desfragmenta la información.
ATENCIÓN: Antes de correr cualquiera las tres últimas opciones, se deberá realizar
un backup de la Base de Datos.

3.7. Actualización de R-BOX
Permite actualizar de forma automática / atendida:

• Versión del código fuente de R-BOX
• Modelos de Tablas
• Tablas Maestras
Menú de acceso a “Actualización de R-BOX”
Los clientes de R-BOX acuerdan con Khu Technologies un Servicio de

Mantenimiento y Soporte (SLA) que les garantiza la actualización del código
fuente y modelos de Tablas de R-BOX por motivo de Correcciones de errores
detectados durante el uso o por Actualizaciones y Mejoras de R-BOX. Las
modificaciones de Tablas Maestras son, en la mayoría de los casos, opcionales pero
recomendables ya que mejoran los parámetros definidos para los cálculos; deberá
tenerse en cuenta que este tipo de modificaciones afectarán los resultados
obtenidos.
Estas actualizaciones se canalizan a través de la Herramienta de Gestión de
Tickets a la que todos los clientes tienen acceso mientras mantengan activo el
Servicio de Mantenimiento y Soporte.
Herramienta de Gestión de Tickets
Los archivos de actualización deben ser almacenados localmente por la persona

encargada de implantar dichas actualizaciones en el cliente.

3.7.1. Agregar Actualización
Permite especificar el archivo que contiene los datos para realizar la actualización
de R-BOX.
Pantalla de actualización de R-BOX
En el campo “Archivo a importar” debe especificarse la ubicación y nombre del

archivo provisto por Khu Technologies para la actualización.
Luego de especificar el archivo, haciendo clic en “Actualizar” y se mostrará la

siguiente ventana detallando los cambios realizados en la actualización.
Detalle de los cambios a realizar
Si se quiere proceder con la actualización, hacer clic en “Procesar Importación” y

se mostrará el siguiente aviso:
Si se hace clic en “Si”, se almacenará el archivo en el repositorio especificado en la

configuración de R-BOX.
La ejecución de la actualización se realiza mediante un proceso automático,

también puede hacerse manualmente, si así lo requieren las políticas de la
Organización.

3.7.2. Ver Actualizaciones
Permite ver el estado de las actualizaciones.
Pantalla de ver actualizaciones
Los campos que se muestran son:

• Archivo: nombre del archivo de la actualización
• Usuario: quién inició la actualización

• Upload: fecha y hora del inicio de la actualización
• Fecha de Proceso: fecha y hora de la ejecución de la actualización,
depende la configuración del proceso automático de actualización
• Estado: indica si la actualización ha sido procesada o no <Sin Procesar /
Procesada>
Sobre las actualizaciones no procesadas, si por algún motivo se quiere anular una o
varias, pueden seleccionarse y hacer clic en y serán eliminados lo
correspondientes archivos de actualización.
Además, haciendo clic en se accede al menú de Agregar Actualización, es

decir, desde esta pantalla también pueden agregarse actualizaciones.

3.8. Mensajes del Administrador
Permite al Administrador de R-BOX (o quién tenga asociado el perfil que lo habilite)

enviar mensajes a todos los usuarios.
Menú de acceso a “Mensajes del Administrador”
La pantalla muestra los mensajes existentes y permite crear nuevos mensajes ,

eliminarlos , o editarlos.
Pantalla de mensajes del administrador
Los mensajes expirados o bloqueados se muestran en gris y tachados.

Edición de un mensaje
Los campos a completar son:

• Mensaje: título del mensaje, es como se mostrará en la pantalla de
“Novedades”.
• Descripción: contenido detallado del mensaje, es lo que se verá cuando el
usuario abra al mensaje.
• Fecha de Expiración: fecha a partir de la cual el mensaje no será
mostrado en la pantalla de “Novedades”.
• Estado: sirve para forzar la expiración del mensaje, independientemente de

su fecha de expiración.
Los usuarios verán estos mensajes en su pantalla de “Novedades”, presentada en

la Pantalla de Inicio de R-BOX.
Recepción de mensajes por parte de los usuarios
Haciendo clic sobre los mensajes, el usuario podrá ver su contenido.

3.9. Cambiar datos personales
Todos los usuarios pueden cambiar sus datos personales, frente a errores u
omisiones que pudiera haber cometido el Administrador al crear su cuenta, o
simplemente para reflejar las novedades que pudieran haber ocurrido respecto a
sus datos.
Desde cualquier menú, haciendo clic en el nombre de usuario que aparece en la

parte superior de la pantalla de R-BOX se accederá a la pantalla para cambiar los
datos personales.
Acceso a la pantalla de Cambiar Datos Personales

Pantalla de cambiar datos personales
En la sección “Datos Generales” se muestran los datos de la cuenta de usuario.

La Pregunta Secreta es la que se mostrará en el inicio de sesión si se ha
olvidado la contraseña.
Deberá seleccionarse una pregunta de la lista e introducir la Respuesta.
El campo Diseño de Pantalla presenta opciones que combinan paletas de

colores predeterminados para todos los menúes de R-BOX.
En la sección “Configuración de la pantalla principal” el usuario puede

seleccionar las pantallas a mostrar en su pantalla de inicio.
Los primeros campos configuran la pantalla de “Novedades”:
• Novedades propias: muestra u oculta la ventana de novedades que
aplican exclusivamente al usuario.
• Novedades de R-BOX: muestra u oculta la ventana de novedades de R-
BOX (estas novedades son provistas por Khutech ciando se actualizan las
versiones)
• Novedades del Administrador: muestra u oculta la ventana de novedades
que el Administrador utiliza para enviar mensajes a todos los usuarios.
• Enviar novedades por email: habilita o no la recepción de las novedades
en la cuenta de email asociada a la cuenta del usuario.
• Cantidad de novedades a mostrar: es la máxima cantidad de novedades
que se mostrarán en cada pantalla. Si la cantidad de mensajes supera este
número, deberán verse con “(+)”.

La tabla siguiente muestra los nombres de las opciones de pantallas de resumen
de módulos que se desean mostrar. Además, puede configurarse el orden en que
estos resúmenes se muestran.
Por ejemplo, si se configura de la siguiente manera:
Los resúmenes en pantalla inicial se verían de la siguiente forma:


Módulo
de
Inventario de Activos

4. Módulo de Inventario de Activos
4.1. IN - Base de Conocimiento
Aquí se definen aquellas entidades y relaciones que conforman la base de

conocimiento del módulo de Inventario de Activos:
• Tipología
• Atributos extendidos
• Dependencias
• Tipos de Redundancia
Menú de acceso a “Tablas maestras”
Estas entidades tienen efecto sobre TODOS los escenarios.
4.1.1. Tipología...
Se define una jerarquía de Tipos, Subtipos, Detalles e Ítems, mediante la cual

serán catalogados los diferentes activos, estableciendo la forma en que serán
categorizados los activos, según sus características comunes.
Menú de acceso a “Tipología”
El cierre de cualquiera de los submódulos Tipos, Subtipos, Detalles o Ítems

cerrará a los demás, realizándose todas las comprobaciones establecidas.

Opcionalmente, en la definición de la Tipología pueden especificarse los roles de
Propietario y Custodio a nivel de Tipo, Subtipo, Detalle e Ítem. Es decir, pueden
especificarse aquellas personas que tienen responsabilidad sobre TODOS los activos
de una tipología entre TODOS los escenarios.
Esta facilidad tendrá efectos en la confección de los cuestionarios, agilizando la fase
de entrevistas (Ver 6.2.1 Generar Cuestionarios). De todas maneras, también
podrán definirse Propietarios y Custodios a nivel de activos particulares. (Ver 4.2.1
Identificar y Tipificar)
Pantalla que muestra las tipologías definidas
Pantalla que muestra las personas relacionadas con el activo

4.1.1.1. Tipos
Se definen los elementos de la máxima categoría de la Tipología.
Pantalla de tipos
Pantalla para la edición de un Tipo
En la sección “Datos Generales” deberán especificarse los siguientes campos:

• Tipo: define el nombre del tipo.
• Descripción: explicación ampliada del tipo.
• Imagen: (opcional) especifica la ruta completa de un archivo de imagen
que representará al Tipo. Los archivos de imagen pueden ser *.GIF o *.PNG
y el tamaño debe ser 16x16 píxeles.
En la sección “Definición de Atributos Extendidos” deberán especificarse los

siguientes campos:
• Atributo: seleccionar todos aquellos atributos extendidos que se considere
adecuado para el tipo (Ver 4.1.2 Atributos Extendidos). Estos atributos
serán heredados por los Subtipos, detalles e ítems que dependan del tipo
aquí definido.
• Obligatorio: marcar esta opción si el atributo extendido deberá ser
completado de forma obligatoria.
Haciendo clic en se agregará el Atributo extendido a la lista.

4.1.1.2. Subtipos
Se definen los elementos de la segunda categoría de la Tipología.

Pantalla de subtipos
Pantalla para la edición de un Subtipo determinado

• Subtipo: define el nombre del Subtipo.
• Tipo: si se está modificando el Subtipo, indica el Tipo del que depende. En
caso de Alta, deberá especificarse el Tipo.
• Descripción: explicación ampliada del Subtipo.
que representará al Subtipo. Los archivos de imagen pueden ser *.GIF o
*.PNG y el tamaño debe ser 16x16 píxeles.

En la sección “Atributos Heredados” se listan los atributos heredados desde el
Tipo del cual depende el Subtipo.

siguientes campos:
adecuado para el subtipo (Ver 4.1.2 Atributos Extendidos). Estos atributos
serán heredados por los Detalle e ítems que dependan del subtipo aquí
definido.
4.1.1.3. Detalles
Se definen los elementos de la tercera categoría de la Tipología.

Pantalla de detalles

Pantalla para la edición de un Detalle determinado

• Detalle: define el nombre del detalle.
• Subtipo: si se está modificando el Detalle, indica el Subtipo del que
depende. En caso de Alta, deberá especificarse el Subtipo.
• Descripción: explicación ampliada del detalle.
que representará al Detalle. Los archivos de imagen pueden ser *.GIF o
*.PNG y el tamaño debe ser 16x16 píxeles.

Tipo y el Subtipo del cual depende el Detalle.

siguientes campos:
adecuado para el subtipo (Ver 4.1.2 Atributos Extendidos). Estos atributos
serán heredados por los ítems que dependan del detalle aquí definido.
En la sección “Definición de Capas” deberá especificarse el siguiente campo:

• Capa: seleccionar la capa a la que se desea incorporar al Detalle. Todos los
activos tipificados con este detalle pertenecerán a las capas aquí
especificadas. (Ver 4.1.1.6 Capas de Tipología)
Haciendo clic en se agregará la capa la lista.

4.1.1.4. Ítems
Se definen los elementos de la última categoría de la Tipología.

Los ítems sirven solo a efectos de ampliar la categorización de los activos, pero no
se tienen en cuenta en ningún tipo de cálculo.
Pantalla de Ítems
Pantalla para la edición de un Ítem determinado

• Ítem: define el nombre del Ítem.
• Detalle: si se está modificando el Ítem, indica el Detalle del que depende.
En caso de Alta, deberá especificarse el Detalle.
• Descripción: explicación ampliada del Ítem.
que representará al Ítem. Los archivos de imagen pueden ser *.GIF o *.PNG
y el tamaño debe ser 16x16 píxeles.

Tipo, el Subtipo y el Detalle del cual depende el Ítem.

siguientes campos:
adecuado para el ítem. (Ver 4.1.2 Atributos Extendidos)
4.1.1.5. Árbol de Tipología
El informe de “Árbol de Tipología” muestra la jerarquía completa de la tipología

definida.
Árbol de Tipología

Otra forma de ver el Árbol de Tipología es haciendo clic en el ícono en las
pantallas de Tipos, Subtipos, Detalles o Ítems, y se mostrará el árbol en forma
gráfica, pudiéndose “navegar” por el mismo haciendo clic en cada ícono.
Árbol de Tipología en formato gráfico

4.1.1.6. Capas de Tipologías
Las capas agrupan Detalles según el criterio que el usuario estime necesario; serán
utilizadas para filtrar activos del inventario como vistas predefinidas.
Por ejemplo, podrían definirse capas según los siguientes criterios:

• Elementos de Infraestructura: hardware, software, comunicaciones, etc.
• Elementos de Gestión: cambios, tecnología, accesos, etc.
• Normativas y Políticas: documentos normativos, etc.
• Desarrollo de software: aplicaciones, personal de desarrollo, modelos de
datos, etc.
• Etc.
Las vistas se conformarán en función de los activos cuyos Detalles estén incluidos o
no en las capas seleccionadas para su visualización. (Ver 4.1.1.3 Detalles)
Pantalla de capas de tipologías
Pantalla para la edición de una capa determinado

• Capa: define el nombre de la Capa.
• Descripción: introducir una descripción detallada de la Capa.

4.1.2. Atributos Extendidos...
Los activos tienen asociados dos tipos de atributos:

• Básicos: comunes a todos los activos, definiendo características
elementales para su gestión.
• Extendidos: atributos que, por sus características, aplican solo a activos de
tipologías específicas.
Menú de acceso a “Atributos Extendidos”

4.1.2.1. Atributos Extendidos
Se define la lista de atributos extendidos que podrán ser asociados a los activos, en
función de su tipología. La siguiente es la pantalla de alta de atributos extendidos.
Pantalla de Alta de un Atributo Extendido

• Nombre: define el nombre del atributo.
• Tipo: define el tipo de atributo, las opciones son Combo, Editor, Cuadro de
Texto, Numérico, Campo Memo, Checkbox y Fecha.
• Descripción: explicación ampliada del atributo.
En la sección “Propiedades” deberán especificarse los siguientes campos, estos

campos son función del Tipo seleccionado para el atributo:
• Texto: nombre de la opción que aparecerá en la especificación del atributo.
• Valor: asociado a la opción, servirá para futuros cálculos asociados al
atributo.
• Etc.

Si se editan los atributos existentes, pueden verse los parámetros ya definidos para
estos atributos, permitiendo su modificación según sea necesario.
Pantalla de atributos extendidos
Pantalla para la edición de un atributo extendido
El campo Objetivo se explica en el siguiente apartado.
También puede modificarse el orden en que aparecerán las opciones definidas,

cuando se ingresen los datos del atributo extendido en un activo en particular.

4.1.2.2. Objetivos
Es una forma de agrupar los atributos extendidos, en función de fines o

características comunes.
Se define también el orden en que aparecerán los atributos extendidos cuando se
realice la definición particular en cada activo.
Pantalla de objetivos
Pantalla para la edición de un objetivo existente

• Nombre: define el nombre del objetivo.
• Descripción: explicación ampliada del objetivo.
En la sección “Atributos Extendidos” deberá especificarse el siguiente campo:

• Atributo: seleccionar y agregar aquellos atributos que se corresponden con
el objetivo en particular.
También puede modificarse el orden en que aparecerán los atributos dentro de la

sección del objetivo, cuando se editen para cada activo.

4.1.3. Dependencias...
Aquí se definen todos los aspectos referentes a la forma en que se conformarán los
árboles de dependencias dentro de TODOS los escenarios.
Las dependencias modelan la forma en que los activos se relacionan entre sí, y
tendrán directa consecuencia en los cálculos de los análisis de riesgo, tratamiento y
gestión de riesgo.
Menú de acceso a “Dependencias”

Ejemplo de Dependencias Permitidas

4.1.3.1. Dependencias Permitidas
Se modela, en base a relaciones Padre-Hijo y a nivel de Detalle, las dependencias

que se permitirán establecer en los árboles de activos.
Los activos cuyas tipologías no se encuentren en esta tabla no podrán relacionarse
en ningún escenario.
Pantalla de dependencias permitidas
Pantalla para la edición de una dependencia permitida existente

• Detalle del Padre: si se está modificando la dependencia, indica el detalle
del activo padre. En caso de Alta, deberá especificarse desde la lista de
detalles definidos.
• Detalle del Hijo: si se está modificando la dependencia, indica el detalle del
activo hijo. En caso de Alta, deberá especificarse desde la lista de detalles
definidos.
• Observaciones: explicación detallada de las características o motivos para
definir la dependencia.
• Dependencia por defecto: para cada una de las dimensiones de
clasificación existentes (Confidencialidad, Integridad, Disponibilidad,
Auditabilidad, etc.) debe especificarse la dependencia entre ambos detalles
de activo (la lista será la definida en Rangos de Dependencia). Cuando se
declaren las dependencias entre activos dentro de un escenario, podrán
modificarse estos valores por defecto, si se estima necesario.
4.1.3.2. Rangos de Dependencia
Se definen los valores que aparecerán como opción en la especificación de las

Dependencias Permitidas.
Pantalla de rangos de dependencias
Pantalla para la edición de un rango de dependencia existente
• Nombre: se define el nombre de la opción dentro del rango de

dependencias.
• Valor Asignado: se especifica un valor entre 0 y 100 para la opción de
dependencia.
• Descripción: explicación detallada de la opción de dependencia.

4.1.3.3. Detalles Faltantes
Este reporte permite detectar aquellos detalles que no existen en ninguna

dependencia permitida.
Pantalla del reporte de detalles no existentes en dependencias permitidas

Debe estar vacío para poder cerrar las Dependencias Permitidas, si aparece algún
detalle en este reporte, deberá definirse las dependencias permitidas para este
Detalle.
4.1.3.4. Gráficos de Dependencias
Este reporte muestra las dependencias permitidas existentes de forma gráfica.
Gráfico de dependencias permitidas

Con la opción “Gráfico” pueden seleccionarse vistas de este gráfico en función del
estándar de Análisis de Riesgo. Se filtran los detalles sin controles asociados y se
muestran la cantidad de controles (ordenados como Propietario / Custodio) en cada
detalle del gráfico.
Gráfico de dependencias permitidas para ISO 27002
Gráfico de dependencias permitidas para A4609

4.1.4. Tipos de Redundancia
Aquí se especifican los tipos de redundancia que podrán declararse para aquellos
activos llamados “Redundantes”, es decir, que están a efectos de mejorar la
Disponibilidad de los llamados activos “Primarios” y de los activos a los que
éstos soportan, según las dependencias definidas.
Pantalla de tipos de redundancia
Pantalla para la edición de un tipo de redundancia existente
• Tipo de Redundancia: se define el nombre del tipo de redundancia.

Normalmente, HOT, WARM y COLD. (Ver 4.2.1.1 Alta de un Activo)
• Factor: se especifica el coeficiente que afectará la determinación de la
dependencia en Disponibilidad entre los padres del activo primario y el
conjunto de activos redundantes. Esta dependencia será calculada como:
D_ef = ( D_std / ( Cantidad de redundantes + 1 ) ) x Factor
Por ejemplo, una aplicación con un servidor principal y 4 servidores

redundantes tipo WARM (Factor=1,2), tendrá una dependencia efectiva
en Disponibilidad:
D_ef = ( 100 / 5 ) x 1,2 = 24
En el mismo ejemplo, si los servidores redundantes fueran tipo HOT

(Factor = 1,0):
D_ef = ( 100 / 5 ) x 1 = 20
• Descripción: explicación detallada del tipo de redundancia.

4.2. IN - Flujos y Captura
Aquí se realiza en mantenimiento de la información relativa al Inventario de

activos, sus atributos, sus estados, y sus relaciones.
Menúes de Flujo y Captura de Inventario
4.2.1. Identificar y Tipificar
Luego de hacer clic en la opción “Identificar y Tipificar” se muestra el listado de

todos los activos existentes dentro del Escenario vigente.
Pantalla de identificar y tipificar

4.2.1.1. Alta de un Activo
La siguiente es la pantalla de creación de activos.

Pantalla de Alta de un Activo
En la sección “Identificación del activo” se muestran los siguientes campos:

• Activo: identifica el nombre del activo. Este campo es requerido, y debe
ser único dentro de un escenario.
• Nombre Corto: nombre con el que aparecerá el activo en los gráficos y en
la mayoría de los reportes. Este campo es requerido, y debe ser único
dentro de un escenario.
• Descripción: representa una descripción amplia del activo.
• Archivo Relacionado: es posible adjuntar un archivo, como una imagen,
un manual, etc.

En la sección “Tipificación del Activo” se muestran los siguientes campos:
(Una vez grabados, estos campos no podrán ser modificados por ABM, si se
requiere cambiar la tipificación del activo, se deberá eliminarlo y crearlo
nuevamente.)
• Detalle: es el tercer nivel de tipificación del activo. Este campo determinará
las dependencias permitidas del activo, las amenazas a las que está
“expuesto” y los controles de cada estándar que le aplican.
• Ítem: es el cuarto nivel de tipificación del activo. Si bien su uso está
permitido, todos los parámetros de la base de conocimiento llegan a hasta el
nivel de Detalle.
• Es modelo: este campo indica si el activo es o no un activo de modelo. (Ver
4.2.1.2 ACTIVOS DE MODELO) Los activos de modelo no existen
físicamente, sino que representan una agrupación de activos
(obligatoriamente del mismo detalle). La utilidad de este tipo de activos es
facilitar la declaración de dependencias y el flujo de los cuestionarios. Los
activos de modelo se muestran en color azul.
En la sección “Completar solo si es Activo redundante” se muestran los

siguientes campos:
(Estos campos se habilitan solo después de tipificar el activo)
• Activo Primario: nombre del activo del cuál este activo es redundante.
Solo se listarán / permitirán los activos primarios del mismo detalle del
activo.
• Tipo de Redundancia: seleccionar el tipo de redundancia que brinda el
activo.
• Costo de Redundancia: especificar el costo monetario del activo
redundante. Este valor será utilizado en los cálculos de ROI del activo.
Los activos de redundantes se muestran en color verde.
En la sección “Ubicación física del activo” se deben completar datos específicos

de la ubicación del activo como ser: País, Provincia, Localidad, Ciudad, Sede,
Ubicación.
En la sección “Datos Organizativos del Activo” se muestran los siguientes

campos:
(Estos campos tienen efecto en los cálculos de costo de los proyectos por centro de
costo en función de la Gestión de Riesgo)
• Empresa: especificar el nombre de la empresa a la que pertenece el activo.
• Tipo de Área: en este campo se ingresa el tipo de área de la organización a
la cual pertenece el activo.
• Área: es el área específica de la organización a la cual pertenece el activo.
En la última sección, “Personas relacionadas con el activo” se podrán definir

las personas responsables del activo y sus correspondientes roles (propietario,
custodio, etc.). Una vez seleccionados estos campos se debe hacer clic en el botón
para agregarlos a la lista de responsables.

Notar que los campos que tengan la marca de en el borde superior
derecho, serán validados a la hora de procesar el alta del activo. Cuando uno de los
campos requeridos no es completado, se muestra una advertencia diciendo “El
campo es obligatorio” y este campo es marcado de amarillo como se muestra en
la imagen a continuación:
Ejemplo de validación de campos requeridos

4.2.1.2. ACTIVOS DE MODELO
Es aconsejable la utilización de activos “de modelo” ya que pueden facilitar mucho

la declaración de dependencias y el flujo de cuestionarios.
Se resumen las principales características de los activos de modelo:
• No existen físicamente, sino que representan a un grupo de activos.
• Obligatoriamente deben ser del mismo Detalle que los activos
representados.
• Los activos representados serán padres del activo de modelo, y las
dependencias se establecerán automáticamente como TOTAL=100 para
todas las dimensiones. (Ver 4.2.2 Declarar Dependencias)
• Pueden definirse hijos del activo de modelo, con las mismas restricciones
que para los activos “normales”, es decir, en función de las dependencias
permitidas. (Ver 4.1.3.1 Dependencias Permitidas)
• Una vez que se haya guardado un activo especificado como de modelo, no
podrá cambiarse esta condición; si se necesitara hacerlo, habría que
eliminarlo y crear otro activo.
• En los reportes de riesgo por activo los activos de modelo no están
presentes, sino directamente los activos reales. (Ver 6.4.4 Riesgo por
Activo) (Ver 7.4.1.4 Simulación del Riesgo por Activo)
Por ejemplo, en el siguiente esquema se tienen 100 aplicaciones (A1_1 a A1_100)

que utilizan el Servidor S1, la base de datos BD1 y la red Red1. Además se tienen
50 aplicaciones (A2_1 a A2_50) que utilizan el Servidor S2, la base de datos BD2 y
la red Red2.
Sin la utilización de activos de modelo, las dependencias que deberán definirse

serán 300 para el primer grupo y 150 para el segundo.
Si se definieran dos activos de modelo, uno para cada grupo, el esquema sería
como el siguiente.
Las dependencias que deberán definirse son 100 para el activo de modelo M1 y 50
para el activo de modelo M2. Además se definirán 3 para el primer grupo y 3 para
el segundo entre los activos de modelo y la correspondiente infraestructura.

Puede verse la diferencia en la cantidad de dependencias a definir, 450 sin activos
de modelo frente a 156 si fueran utilizados.
Además, la utilidad de los activos de modelo se verá reflejada en la simplificación

de los flujos de cuestionarios (Ver 6.2.1 Generar Cuestionario).
Si en el ejemplo anterior, se detectara que un grupo de aplicaciones es gestionado

por los mismos Propietarios y Custodios, podría definirse un activo de modelo M3 al
solo efecto de que estos responsables contesten los cuestionarios sobre dicho
activo de modelo, en lugar de tener que hacerlo sobre cada uno de los activos.
Las respuestas sobre el activo de modelo serán asociadas a cada uno de los activos
representados. Si fuera necesario, podrían afinarse las respuestas sobre los activos
en particular.

4.2.1.3. Eliminar un Activo
Para eliminar uno o más activos, seleccionarlos y hacer clic sobre el botón .
Luego de confirmar la eliminación, se presentará una leyenda en la parte superior
que dice que la eliminación de los registros fue satisfactoria.
Aviso de confirmación de eliminación de Activos
Es posible que un activo tenga declarada alguna dependencia, por lo tanto, cuando
se quiera eliminar algún activo en estas condiciones, el sistema generará un
mensaje de error por integridad referencial en el archivo de Novedades .
Mensaje en “Novedades”

4.2.1.4. Modificar un Activo
Para modificar un activo, hacer clic sobre el correspondiente ícono y se

presentará una pantalla con todos los datos del activo seleccionado.
Podrán modificarse todos los atributos básicos del activo.
Pantalla de un Activo a Modificar
Luego de presionar el botón “Grabar”, se informará que los datos del activo han
sido guardados satisfactoriamente.
Pantalla con leyenda de modificación de Activos

4.2.1.5. Publicar un Activo
Esta opción permite publicar o pasar a privado los activos seleccionados, para compartir
(público) o no (privado) activos entre diferentes escenarios. Para poder
incorporar (vincular o copiar) activos a un escenario, éstos deberán ser
previamente publicados. Para publicar uno o más activos, seleccionarlos desde la
pantalla principal de “Identificar y Tipificar” y hacer clic sobre el botón que se
encuentra en la sección “Especiales”.
Se presentará la siguiente pantalla:

Pantalla para publicar / pasar a privado Activos
Luego de seleccionar el estado para los activos, presionando el botón “Grabar”, y

aceptado la confirmación, el estado será guardado y se mostrará una leyenda
aclarando los activos fueron publicados o pasados a privado satisfactoriamente.
Pantalla con leyenda de cambio de estado a “Público”
Nota: para pasar a privado un activo, éste no tiene que estar tomado por otro
escenario.

4.2.1.6. Atributos Extendidos
Se incorporan todos aquellos atributos que se han definido para la tipología del
activo. Para acceder a los atributos extendidos de un activo hacer clic sobre el icono
que se encuentra en la segunda posición de la sección “Acción” a la izquierda
del nombre.
Acceso a “Atributos Extendidos” de un activo

Pantalla de edición de “Atributos Extendidos” de un activo
Aparecerá la pantalla para la edición de atributos extendidos, ordenados en

secciones correspondientes a los objetivos definidos en la base de conocimiento.
Los valores a introducir deberán respetar los parámetros de formato y validación
definidos para cada atributo en particular. (Ver 4.1.2.1 Atributos Extendidos)
Deberán completarse todos los atributos extendidos marcados como obligatorios.

Si se necesita consultar los atributos básicos del activo, hacer clic en el ícono
“Datos”.
Consulta de los atributos básicos de un activo

Para regresar a la pantalla de Atributos Extendidos, hacer clic en “Atributos”.

4.2.2. Declarar Dependencias
Aquí se especifican las dependencias entre activos, es decir, el árbol jerárquico de

activos. En función de esta jerarquía se realizarán todos los cálculos de propagación
de valor y de riesgo. Luego de hacer clic en la opción “Declarar Dependencias”
se muestra el listado de todas las dependencias entre activos (Padres e Hijos). Las
relaciones con activos de modelo se muestran en color azul.
Pantalla de declarar dependencias
Puede editarse una dependencia existente, haciendo clic en el ícono de edición,

aparecerá la siguiente pantalla.
Pantalla para editar una dependencia
En este caso, solo podrán editarse los valores de Dependencia Efectiva. Es

necesario realizar esta operación solo si se considera necesario cambiar la
Dependencia por Defecto que se propone según lo definido en la Base de
Conocimiento.

Si se quiere crear una nueva dependencia, al hacer clic en el ícono , aparecerá
la siguiente pantalla.
Pantalla para crear una dependencia
En la sección “Activos” se muestran los siguientes campos:

• Activo Padre: identifica el nombre del activo que depende, o toma

servicios, del que está por abajo en la jerarquía (hijo).
• Activo Hijo: identifica el nombre del activo que ofrece servicios al que está
por encima en la jerarquía (padre).
Si se ha seleccionado tanto el padre como el hijo, las opciones del otro activo
estarán reducidas a aquellos activos cuya tipología corresponde con las
dependencias permitidas definidas en la Base de Conocimiento. (Ver 4.1.3.1
Dependencias Permitidas)
Haciendo clic en el ícono de opciones se propondrá la lista de todos los activos
existentes que podrían relacionarse.
Proposición activos hijos una vez seleccionado el activo padre

De igual forma, si se comienza a escribir el nombre del activo, se listarán todos los
activos que contienen ese texto en su nombre, sobre los que pueden ser
relacionados (deben ingresarse 4 caracteres como mínimo).
Lista de activos propuestos
En la sección “Observaciones” se puede ingresar un comentario sobre la

dependencia generada.
En la sección “Dependencia” se muestran las Dependencias por Defecto, y se

pueden definir las Dependencias Efectivas en cada dimensión. Deben ingresarse
valores entre 0 y 100, donde este último valor significa una dependencia total en la
correspondiente dimensión.
Las dependencias solo deben ser cambiadas si la dependencia por defecto no puede
modelar correctamente la dependencia que existe efectivamente entre dos activos
del inventario. Por ejemplo, si una aplicación se encuentra instalada en dos
servidores idénticos, la dependencia en Disponibilidad deberá ser de 50, y no de
100 como está definido en la Base de Conocimiento.
NOTA 1: al declarar una dependencia, si el activo hijo es DE MODELO, no se

podrán fijar valores de dependencia, sino que serán fijados en 100, sin posibilidad
de editarlos.
NOTA 2: Para el caso particular de los activos redundantes como hijos, las
dependencias en Disponibilidad deben definirse solamente en el activo primario,
y posteriormente serán calculadas las de todo el conjunto.
Dependencias en Disponibilidad para activos redundantes
NOTA 3: Si se está definiendo una dependencia con Productos, Servicios, activos

valorables o procesos de soporte como padre, solo se deberá especificar el
parámetro “Dependencia”. (Ver 5.1.1 Granularidad de Gestión)

4.2.3. Escenarios
Aquí se listan los activos y dependencias con posibilidad de ser incorporados a otros
escenarios.
Menú de acceso a “Escenarios”

4.2.3.1. Activos Públicos
Muestra todos los activos publicados desde otros escenarios (campo Origen), que
podrían ser incorporados al escenario actual. Esta pantalla muestra solo aquellos
activos que hayan sido marcados como “Públicos” en Identificar y Tipificar en
otros escenarios.
Listado de activos publicados por otros escenarios
Deberán seleccionarse los activos que se desea incorporar, y hacer clic en el ícono
de “Incorporar”.

Aparecerá la siguiente pantalla:
Pantalla para incorporar activos seleccionados
Puede optarse por realizar dos acciones con los activos seleccionados:
• Copiar: Replica el activo en el escenario actual. Este escenario se convierte
en el administrador del activo. La relación con el activo original desaparece.
• Vincular: Obtiene una copia virtual del activo en el escenario actual. El
mantenimiento de sus atributos se realiza en el escenario de origen.
En la pantalla de Identificar y Tipificar, los activos vinculados se muestran en

itálica, no pudiéndose realizar acciones de ABM sobre los mismos.
Como se muestran los activos vinculados en Identificar y Tipificar

4.2.3.2. Dependencias Públicas
Muestra todas las dependencias publicadas desde otros escenarios (campo

Escenario), que podrían ser incorporadas al escenario actual.
Listado de dependencias publicadas por otros escenarios
Deberán seleccionarse los activos que se desea incorporar, y hacer clic en el ícono
de “Incorporar”.
Pantalla para vincular dependencias seleccionadas
Las dependencias solo se podrán Vincular, manteniéndose los parámetros de

esta dependencia en el escenario original.

En la pantalla de Declarar Dependencias, las dependencias vinculadas se
muestran en itálica, no pudiéndose realizar acciones de ABM sobre las mismas.

4.2.3.3. Activos Vinculados
Muestra los activos públicos que están efectivamente vinculados en el escenario.
Listado de activos vinculados desde otro escenario
Si fuera necesario, pueden eliminarse las vinculaciones, seleccionando los activos y

haciendo clic en el ícono “Desvincular”.

Pantalla para desvincular activos
Nota: Si realiza esta operación, se perderán los valores de clasificación y de

propagación de los activos desvinculados.

4.2.3.4. Dependencias Vinculadas
Muestra las dependencias públicas que están efectivamente vinculadas en el

escenario.
Listado de dependencias vinculadas desde otros escenarios

Igual que para con los Activos, si fuera necesario, pueden eliminarse las
asignaciones, seleccionando las dependencias y haciendo clic en el ícono
“Desvincular”.
Pantalla para desvincular dependencias

4.3. IN - Cálculos
4.3.1. Detalles Analizables
Con este chequeo se verifica la existencia, en el árbol del escenario actual, de al

menos un activo de cada Detalle definido en la Tipología.
El resumen muestra la cantidad de activos de cada Detalle.

Si se toma la decisión de no definir ningún activo, deberá editarse el
correspondiente Detalle y definirlo como “No analizable”.
Para poder cerrar el submódulo de Identificar y Tipificar, no deberán existir

Detalles analizables con cero activos definidos, si el Detalle tiene controles
asociados en función del estándar de AR utilizado en el escenario.
En esta pantalla se distinguen dos casos, dentro del escenario vigente:

• Cuando no existan activos para alguna tipología, el estándar utilizado
establezca controles para esa tipología y, se haya especificado que es
“Analizable”. En este caso, no podrá cerrarse “Identificar y Tipificar”.
• Cuando existan activos para alguna tipología, el estándar utilizado
establezca controles para esa tipología y, se haya especificado que es “No

Analizable”. En este caso, podrá cerrarse “Identificar y Tipificar”, pero no
se podrán responder cuestionarios sobre estos activos.
Atención: Tener en cuenta que si se definen detalles como “No Analizables”

pueden quedar controles y verificaciones del estándar de referencia para el futuro
Análisis de Riesgo que no serán tenidos en cuenta para los cálculos.
Lista de Detalles

En el ejemplo anterior, el detalle “Componentes de Conexión” se destaca ya que
hay definidos activos con esa tipología + el estándar establece 17 controles + se ha
especificado como “No Analizable”. En este caso, se podrá cerrar el escenario, pero
el activo no participará de los cálculos.
Haciendo clic en el ícono “Editar” de un registro, puede especificarse si el Detalle

será o no Analizable. También puede justificarse la decisión (para posibles
auditorías futuras) en el campo “Observaciones”.
Pantalla para especificar Detalles Analizables
Otra forma de especificar si un Detalle será o no analizable dentro del Escenario

vigente es seleccionando los registros y utilizar los íconos en la sección
Especiales; el primero es para hacer “Analizable” el/los Detalles y el segundo para
especificar que son “No Analizables”.
Esta es una forma más rápida que la anterior, pero no pueden ingresarse
Observaciones.
Lista de Detalles

En este ejemplo anterior, el detalle “Aplicaciones Adquiridas” se destaca ya que no
hay definidos activos con esa tipología + el estándar establece 113 controles + se
ha especificado como “Analizable”. En este caso, no se podrá cerrar el submódulo.
Notar que el detalle BM no tiene ningún activo definido en este escenario y está
especificado como Analizable, pero como el estándar de AR utilizado en el escenario
no establece ningún control para este detalle, no se destaca ni se considera error
de cierre.
Si se hace clic en el ícono de “Aplicar Template” , la condición de “Aplicable” o

“No Aplicable” será establecida automáticamente para cada Detalle, dependiendo
de si el estándar de AR en el Escenario vigente tiene o no controles
definidos para el correspondiente Detalle. (Ver 9.1.3 Controles)
Detalles Analizables, aplicar TEMPLATE

Resultado de aplicar TEMPLATE
Nota: una buena práctica es, inicialmente aplicar el template, y después analizar
cada Detalle en particular, según se considere necesario.

4.4. IN - Reporting
Los reportes del Módulo de Inventario consisten en resúmenes y totales por activos,
tipología y dependencias.
Algunos son solo informativos y otros sirven para chequear posibles errores.
4.4.1. Reportes de Atributos Extendidos
Permiten hacer búsquedas y selecciones de activos en función de sus atributos

extendidos. También pueden detectarse activos con Atributos extendidos faltantes.
Menú de acceso a los Reportes de Atributos Extendidos
4.4.1.1. Activos por AE
La pantalla inicial del reporte permite seleccionar aquellos atributos extendidos que
se desea ver para cada activo.
Pantalla inicial del Reporte de Activos por AE

Se debe hacer clic en el ícono de “Seleccionar campos” y luego elegir los
Atributos extendidos a mostrar.
Selección de Atributos extendidos a mostrar
Después de “Aplicar” la selección, se generará el reporte.
Reporte de Activos por AE

4.4.1.2. Reporte de Activos con Atributos Extendidos Faltantes
Lista todos los activos que tienen atributos extendidos obligatorios pendientes de
completar.
Reporte de Activos con Atributos Extendidos faltantes
Estos atributos faltantes deberán ser definidos en “Identificar y Tipificar”. (Ver

4.2.1.6 Atributos Extendidos)

4.4.2. Reportes de Tipología
Son resúmenes de las cantidades de activos del escenario definidos en cada nivel
de la Tipología definida en la Base de Conocimiento.
Menú de acceso a los Reportes de Tipología de Activos

4.4.2.1. Resumen de Activos. Tipos
Muestra las cantidades de activos del escenario por Tipo.
Reporte de la cantidad de activos por Tipo

4.4.2.2. Resumen de Activos. Subtipos
Muestra las cantidades de activos del escenario por Subtipo.

Reporte de la cantidad de activos por Subtipo
A partir del décimo Subtipo, el gráfico los agrupará bajo “Otros”

4.4.2.3. Resumen de Activos. Detalles
Muestra las cantidades de activos del escenario por Detalle.

Reporte de la cantidad de activos por Detalle
A partir del décimo Detalle, el gráfico los agrupará bajo “Otros”

4.4.3. Reportes de Dependencias
Son reportes y verificaciones respecto de las dependencias definidas dentro del

escenario actual.
Menú de acceso a los Reportes de Dependencias
4.4.3.1. Reporte de Activos Huérfanos
Lista todos los activos del escenario que no están relacionados con ningún activo
padre. Solo los activos definidos como “valorables” pueden estar bajo esta
condición (normalmente, los Procesos de Negocio). (Ver 5.1.1 Granularidad de
Gestión)
Reporte de Activos Huérfanos
Este reporte debe estar vacío, de existir activos en el mismo, deberán definirse las
correspondientes jerarquías en “Declarar Dependencias”, en caso contrario, este
submódulo no podrá cerrarse. (Ver 4.2.2 Declarar Dependencias)

4.4.3.2. Reporte de Activos Aislados
Lista todos los activos del escenario que no participan de ninguna dependencia.
Reporte de Activos Aislados
Este reporte debe estar vacío, de existir activos en el mismo, deberán definirse las
correspondientes jerarquías en “Declarar Dependencias”, en caso contrario, este

submódulo no podrá cerrarse. (Ver 4.2.2 Declarar Dependencias)
4.4.3.3. Reporte de Dependencias Inválidas
Lista aquellas dependencias inválidas en el escenario, según las Dependencias

Permitidas establecidas la Base de Conocimiento (Ver 4.1.3.1 Dependencias
Permitidas). Esta situación se da cuando, existiendo dependencias definidas (en el
escenario), se cambian las permitidas (en las Tablas Maestras); las primeras siguen
existiendo, pero se han transformado en dependencias inválidas.
Reporte de Dependencias Inválidas
Este reporte debe estar vacío, de existir activos en el mismo, deberán eliminarse
las correspondientes jerarquías en “Declarar Dependencias”, en caso contrario,
este submódulo no podrá cerrarse. (Ver 4.2.2 Declarar Dependencias)

4.4.3.4. Reporte de Dependencias Definidas
Lista las todas dependencias definidas en el escenario. (Ver 4.2.2 Declarar

Dependencias)
El reporte muestra las dependencias por defecto (_std), definidas en la Base de
Conocimiento, y las dependencias efectivas (_ef), que pueden diferir de las
primeras, según se haya especificado en “Declarar Dependencias”.
Reporte de Dependencias Definidas

4.4.3.5. Reporte de dependencias por activo
Permite seleccionar activos sobre los que se desea conocer aquellas dependencias
donde éstos participan, como padre o como hijo.
Pantalla inicial de Dependencias por Activo
Primero, debe seleccionarse el criterio por el que serán filtrados los activos:
• Capa: se mostrarán todos aquellos activos cuyos detalles estén asociados a
la capa seleccionada. (Ver 4.1.1.3 Detalles)
• Activo: nombre del activo que se mostrará como activo de primer nivel en
el árbol.
• Pueden combinarse ambos criterios.
Aplicando esta selección, se listará el árbol de dependencias que cumple con el

filtro. En el árbol, los activos se muestran con su Nombre Corto, si se deja el
cursor sobre un elemento del árbol, se mostrará su Nombre.
Árbol después del filtro

Haciendo clic en el activo deseado, se muestran las dependencias de padres e hijos
del activo.
Reporte de Dependencias del activo seleccionado


4.5. Cierre de los Submódulos
Los submódulos de Inventario y Clasificación tienen definida una lógica de

cierre, con el fin de asegurar que se hayan completado los datos necesarios de una
fase para continuar con la fase siguiente (condiciones de cierre).
El reporte de auditoría de módulos permite verificar el cierre de los submódulos.
Acceso al Reporte de Auditoría Módulos
Reporte de Auditoría Módulos de I&C
Este reporte indica el estado de cierre de cada fase y la condición definida para la
lógica de cierre, mostrando que submódulo deberá estar cerrado para Abrir o
Cerrar otro.
El cierre de cada submódulo puede hacerse desde su pantalla principal, haciendo
clic en el ícono “Cerrar” . También pueden cerrase los submódulos desde esta
pantalla.
Si no se cumple alguna condición de cierre, se indicará en el correspondiente

submódulo la imposibilidad de su actualización o cierre.

4.6. Estados
Todos los registros pueden tener definidos cualquiera de los estados que se hayan
definido en la Base de Conocimiento (Ver 3.2.4 Estados). Haciendo clic en el ícono
de “Estados” del registro, se accede a la pantalla de definición de estado.
Acceso a la definición de estados de un registro (Ej. Identificar y Tipificar)
Definición de estados de un registro
El registro será marcado con el color seleccionado para el estado definido.

En la sección “Tracking del registro” se dejará traza de la acción realizada
respecto al estado del registro.

Módulo
de
Clasificación

5. Módulo de Clasificación
5.1. CL - Base de Conocimiento

conocimiento del módulo de Clasificación, en este caso, la Granularidad de Gestión,
el Rango de Clasificación y las Dimensiones de Clasificación.
Estas definiciones tienen efecto sobre TODOS los escenarios.
Menú de acceso a “Tablas maestras”
5.1.1. Granularidad de Gestión
Se especifica, para la Tipología de activos definida y a nivel de Subtipo, cuales

serán los activos que deberán ser Clasificados y cuales deberán ser Valorados.
• Las opciones para Clasificable están limitadas a “Datos” y “Software”.
• Las opciones para Valorable han sido bloqueadas, y se ha establecido en
“Negocio”.
Pantalla de granularidad de gestión
Se pueden especificar los Subtipos correspondientes a los Servicios y Productos,

siendo éstos necesarios para el análisis cuantitativo y Riesgo Operacional.
Asimismo, pueden definirse los subtipos para procesos de Soporte y para
Servicios de TI.
Atención: Los cambios de estos parámetros pueden tener muchas consecuencias

sobre análisis ya realizados. Se aconseja cambiarlos solo por necesidades
ineludibles de gestión.

5.1.2. Dimensiones de Clasificación
Se definen las dimensiones que se considerarán en la Clasificación de los activos.

El valor de los activos de información, se representa mediante un vector de
muchas dimensiones, cada una contemplando sus aspectos esenciales de
seguridad.
Pantalla de dimensiones de clasificación
Atención: Normalmente, no será necesario agregar ni quitar dimensiones. Si esto

fuera así, deberá tenerse en cuenta que esta operación tendrá muchas
consecuencias, tanto en las bases de conocimiento como en los flujos, por lo que se
deberá hacer un análisis minucioso antes de modificar estos parámetros.
Las dimensiones de Confidencialidad, Disponibilidad, Integridad y Valor Estratégico

no pueden eliminarse porque son consideradas elementales. Si podrán ser
editadas.
• Máximo Valor de clasificación: indica el máximo valor permitido para las

clasificaciones en las Dimensiones de Clasificación.
Edición de una dimensión

• Dimensión: identifica el nombre de la dimensión. Este campo es requerido,
y debe ser único.
• Nombre corto: es el que aparecerá en la composición de los encabezados
de Dependencias, Valor, Degradación, Efectividad, etc. (Ej. EF_C)
• Descripción: representa una descripción amplia de la dimensión.
• Color en gráficos: el color que se defina para la dimensión, será utilizado
en los reportes.
• Umbral de Criticidad: indica el valor a partir del cuál los valores, en esta
dimensión, serán considerados como “críticos”.
• Estado: Seleccionando “Bloqueado”, la dimensión se ocultará en todos los
ABMs y reportes. Posteriormente, podrá ser activada (“Activo”) nuevamente
si se considera necesario.
En la sección “Clasificaciones” se muestran los siguientes campos:

• Clasificación: identifica el nombre de la opción a utilizar para clasificar los
activos en la dimensión que se está editando o creando.
• Cálculo: es el valor asociado a la opción de clasificación que será utilizado
en los cálculos de propagación.
• Descripción: explicación ampliada de la opción de clasificación.
Después de ingresar los datos de la opción de clasificación, hacer clic en el ícono

para que se asocie a la dimensión.
Las opciones pueden ser tantas como se desee, con la condición de que exista el
mínimo y el máximo valor de clasificación definidos, en este ejemplo, 0 y 5.

En la sección “Parámetros de Preclasificación” se ingresan todas aquellas
preguntas que se considere necesario realizar al propietario de un activo de
información para determinar su clasificación.
En la parte superior, se muestra una pestaña numerada por cada pregunta.
Para agregar una nueva pregunta, hacer clic en .
Preguntas para la Preclasificación
Deben completarse los siguientes campos:

• Pregunta: texto coloquial de la pregunta.
• Sección: sirve para agrupar con algún sentido a las preguntas

• Respuestas: deben ingresarse los textos de las posibles respuestas a la
pregunta.
• Factor: asociado a cada respuesta. Modificará el valor final de la respuesta
(Valor Final = Valor Inicial x Factor_1 x … x Factor_n). Lógicamente,
factores entre 0 y 1 disminuyen el Valor Final y los mayores a 1 lo
incrementan.
• Prerrequisito: se especifica, si corresponde, la pregunta y la respuesta que
deben contestarse previamente para realizar la pregunta. En el siguiente
ejemplo, la Pregunta #2 tiene como prerrequisito que en la Pregunta #1 se
haya respondido “No es obligatorio”.
Ejemplo de Prerrequisito

5.1.3. Rangos de Criticidad
Se especifica la forma en que serán interpretados los valores críticos de

clasificación en todas las dimensiones.
ABM de los Rangos de Criticidad
Deben completarse los siguientes campos:

• IC: (Índice de Criticidad) representa la suma de las diferencias entre los
valores de todas las dimensiones y los correspondientes Umbrales de
Criticidad (Ver 5.1.2 Dimensiones de Clasificación). Por ejemplo, si los

umbrales para C, I, D, A se establecieron en 4, 4, 4, 4 y un activo tiene una
clasificación de 5, 4, 3, 3, entonces IC = (5-4+1)+(4-4+1)+(3-4)+(3-4) =
2+1-1-1 = 1. En los casos en que el valor sea mayor al umbral, se suma 1.
• Color: seleccionar el color con que quiere representarse a cada rango de
criticidad. En el ejemplo anterior, correspondería el color verde.

5.2. CL - Flujos y Captura
5.2.1. Clasificación
Se especifica el valor que los activos “clasificables” tienen para la Organización. La

tipología de activos que será clasificable se define en la “Granularidad de
Gestión”. (Ver 5.1.1 Granularidad de Gestión)
Menú de Acceso a “Clasificación”

La clasificación puede hacerse en base a dos opciones:

• Clasificación explícita: especificando directamente la clasificación de cada
activo clasificable.
• Preclasificación: en base a cuestionarios adaptados en función a las
necesidades de cada Organización. (Ver 5.1.2 Dimensiones de Clasificación –
Parámetros de Preclasificación)
Puede utilizarse cualquiera de estas opciones, teniendo en cuenta las siguientes

consideraciones:
• La Clasificación Explícita es la que define los valores finales, y el Cierre del
submódulo se debe hacer desde esta opción.
• Si usa la Preclasificación, cada activo clasificable obtendrá una clasificación
calculada. Si se considera necesario, estos valores pueden ser ajustados
posteriormente en la Clasificación Explícita.

5.2.1.1. Clasificación Explícita
La siguiente es la pantalla de clasificación, donde se muestran los activos

clasificables.
Normalmente, es el propietario de estos activos quién debe especificar la
clasificación.
Pantalla de clasificar
Seleccionar el activo cuya clasificación se quiere especificar, y aparecerá la

siguiente pantalla.
Pantalla de Clasificación de un activo

En la sección “Identificación del Activo” se muestran los atributos básicos del
activo.
En la sección “Clasificación del Activo” se pueden completar los siguientes

campos:
• Observaciones: puede ingresarse una justificación de la clasificación del
activo.
• Clasificaciones: para cada una de las dimensiones definidas, seleccionar la
opción de clasificación adecuada al activo.
• Valor Asignado: se obtiene en función de la opción seleccionada, no es
editable. (Ver 5.1.2 Dimensiones de Clasificación)
Los demás campos son solo informativos, y sirven para guiar a quién esté
clasificando el activo.
En la sección “Personas y Áreas relacionadas…” se muestra la lista de

propietarios y custodios del activo.

5.2.1.2. Preclasificación
Existen dos formas de generar los cuestionarios:

• Directamente por los propietarios de los activos cuyo perfil tenga NO
habilitado el permiso de “Entrevistado”. En este caso solo se deberá
acceder a este menú y se presentarán los activos para generar los
cuestionarios; el responsable debe contestar todos los cuestionarios
propuestos. Puede hacerlo en varias etapas, es decir, puede contestarlos en
función de su disponibilidad.
• Usuarios cuyo perfil tenga habilitado el permiso de “Entrevistador” pueden
generar cuestionarios para otros usuarios y definir la Importancia de las
respuesta cada responsable.
Permisos para Generar Cuestionarios de Preclasificación
A continuación, se explica la forma de Generar Cuestionarios para el segundo caso,

ya que para el primero es igual, con algunas funcionalidades restringidas.
Para generar cuestionarios deben especificarse los siguientes parámetros:
• Empresa: opcionalmente, seleccionar la empresa de la lista propuesta. La
lista es función de las empresas asociadas al Escenario actual.
• Tipo de Área: opcionalmente seleccionar el tipo de área de la lista
propuesta, esta lista es función de la Empresa seleccionada.
• Área: opcionalmente, seleccionar el área de la lista propuesta, esta lista es
función de los dos parámetros anteriores.
• Entrevistado: nombre de la persona para la cual se desea generar
cuestionarios. Si no se han seleccionado los parámetros anteriores, la lista
de opciones para seleccionar será la de todos los responsables (Propietarios
principales y delegados) existentes en el escenario. Si se seleccionaron, la
lista estará filtrada en función de dichos parámetros.
• Solo Faltantes: si se chequea esta opción, solo se mostrarán aquellos
activos que cumplan los criterios anteriores y que tengan respuestas sin
responder.
• Hacer clic en “Aplicar Filtros”.

Pantalla de Preclasificación
Está contemplado que para un mismo activo existan múltiples respuestas, esto
podrá ser así cuando haya definidos más de un responsable por activo. Existe el
parámetro de Importancia, que el entrevistador debe asignar en función de los
conocimientos del entrevistado, sus responsabilidades, su credibilidad, etc. Este
parámetro puede establecerse como Alta, Media o Baja. (Ver 6.1.14.5
Importancia)
Los valores de clasificación se calculan como un promedio ponderado por la

Importancia de las respuestas.
Existe la posibilidad de definir la importancia del par Activo – Entrevistado sin la

necesidad de generar los cuestionarios. Especificar las importancias deseadas y
hacer clic en el botón “Guardar Importancia”, quedarán definidas para futuras
generaciones de cuestionarios.
Haciendo clic en “Generar Cuestionario”, aparecerá el cuestionario de

Preclasificación propiamente dicho.

En la sección “Activos Afectados” se muestra la lista de activos sobre los que
aplicarán las respuestas del cuestionario.
Cuestionario de Preclasificación
En la sección “Cuestionario de Clasificación” se muestran pestañas para cada

una de las dimensiones aplicables. Haciendo clic en cada pestaña se mostrará la
lista de preguntas que corresponden a cada dimensión (Ver 5.1.2. Dimensiones de
Clasificación).
• La primera pregunta se confecciona automáticamente en función de las
opciones definidas para la dimensión (Ver 5.1.2. Dimensiones de
Clasificación).
• La respuesta a la primera pregunta es considerada el pivote o valor inicial
sobre el que se realizarán los ajustes en función de las siguientes
respuestas.
• Si se ha seleccionado un solo activo y si para el mismo existen
respuestas en Clasificación Explícita, se indicará la opción en color azul,
y puede seleccionarse una respuesta distinta, de ser necesario.
• La segunda pregunta (en la configuración de RBOX por defecto, el
administrador puede cambiarla) busca detectar la obligatoriedad por
algún tipo de regulación de la clasificación indicada en la primera. Si la
clasificación es obligatoria (tres primeras opciones), no se continúa con el
cuestionario y se toma el valor especificado en la primera respuesta.

• En este caso, si se contesta “No es obligatoria”, se realizarán las siguientes
preguntas:
Preguntas adicionales que modifican la respuesta pivote
• La siguiente pregunta busca detectar el nivel de la Organización donde

impactaría principalmente, para el caso de Confidencialidad, la divulgación
no autorizada. En este ejemplo, se seleccionó “Operativo / Sector”, por lo
que el factor es igual a 0,8 y bajaría el valor pivote.
• La última pregunta indaga sobre la existencia de Acuerdos de Nivel de
Servicio (SLAs) sobre las aplicaciones que soportan al activo que se está
preclasificando. En este ejemplo, se seleccionó “en términos menos
exigentes…”, por lo que el factor es igual a 0,8 y bajaría el valor pivote.
• Opcionalmente, para todas las respuestas pueden agregarse comentarios
que las justifiquen y que pueden servir como evidencias ante las auditorías.
Haciendo clic en “Grabar” se guardan las respuestas registradas. Pueden grabarse

los cuestionarios, aún cuando no se hayan contestado todas las preguntas, y
recuperarse en otro momento para continuarlos.
Según lo explicado en 5.1.2. Dimensiones de Clasificación, el valor final de la

respuesta es:
Valor Final = Valor Inicial x Factor_1 x … x Factor_n
En este ejemplo:
Valor Inicial = 2, porque se seleccionó “Uso Interno”
Factor por nivel de impacto = 0,8
Factor por SLAs = 0,8
Valor Final = 2 * 0,8 * 0,8 = 1,28

Si existen varias personas que contesten la preclasificación de un activo, se calcula
el promedio ponderado, en base a la siguiente fórmula:
N
∑ Im × ValorFinal
i i
PP ≡ i =1
N
∑ Im
i =1
i
Donde:
• N es la cantidad de personas
• ValorFinali es el valor aquí calculado
• Imi es la importancia asignada a cada entrevistado para
cada activo.
Este promedio ponderado se normaliza hacia abajo, entonces:

PP = 1,28 Pública (1)
Adicionalmente, si se ha seleccionado UN solo activo para generar el cuestionario,

seleccionando la pestaña “Dependencia de Procesos” puede especificarse el
grado de dependencia de los procesos de soporte y/o de negocio con el activo, e

introducir un comentario si fuera necesario. Las dependencias deben haber sido
definidas previamente según (Ver 5.2.3 Dependencias de Procesos) y/o (4.2.2
Declarar Dependencias).
Definición de Dependencias de procesos con el activo
La dependencia debe especificarse como un valor entre 0 y 100.

5.2.1.3. Respuestas Registradas
Con esta funcionalidad pueden consultarse las respuestas de preclasificación

registradas sobre los activos clasificables del escenario. Funciona tanto como un
mecanismo de control de avance, como para facilitar la preparación de
entrevistas.
Pantalla de Respuestas Registradas de preclasificación
Los campos que muestra este reporte son:

• Activo: nombre del activo
• Apellido y Nombre: de la persona que ingresó la preclasificación
• Cada una de las Dimensiones: muestra el Valor Final calculado (PP), en
forma numérica y de texto. (Ver 5.2.1.2 Preclasificación)
• Estado: Aprobado o Rechazado. Si este campo está vacío, el registro se
destaca en amarillo para su revisión.

• Fecha Autorización: cuando fue aprobada o rechazada la preclasificación.
• Comentarios Autorización: por parte del responsable principal.
La lista de registros depende de los siguientes casos:

• Si el usuario es responsable “delegado”, verá solo los registros que él haya
ingresado en la preclasificación.
• Si el usuario es responsable “principal” (Ver 3.2.2 Roles), verá todos los
registros ingresados para los activos de los que es responsable.
• Si el usuario tiene un perfil que tenga habilitado el permiso de
“Entrevistador” de preclasificación, verá todos los registros de
preclasificación.
Además, las personas cumplan las siguientes condiciones tendrán habilitados los
botones de “Aceptar Respuestas” y “Rechazar Respuestas” :
• Que tengan asociado un rol (normalmente el Propietario Principal) con el
parámetro “Valida Clasificación” en SI (Ver 3.2.2 Roles)
Roles: autorizar la funcionalidad de Validar clasificación
• Que hayan sido asociados mediante ese rol a un activo y/o grupo de activos.
(Ver 4.2.1.1 Alta de un Activo)

Con estas funcionalidades, el “verdadero” responsable de los activos puede validar
o rechazar las respuestas que hayan ingresado otros responsables “delegados”,
introduciendo (opcionalmente) un mensaje que llegará por e-mail y aparecerá en
la pantalla de Inicio de RBOX para todos los que corresponda.
Si el responsable rechaza una preclasificación, en las pantallas de Respuestas

Registradas y Preclasificación aparecerán registros en rojo y tachados,
debiéndose comenzar nuevamente el ciclo para el/los activos correspondientes.

5.2.1.4. Preclasificación sin Respuesta Asignada
Este reporte permite identificar los activos y su responsable, cuando falten

respuestas sobre los cuestionarios de Preclasificación.
Reporte de Preclasificación sin Respuesta Asignada
La existencia de registros en este reporte NO es condición para evitar el cierre

del submódulo de Clasificación. El efecto se verá si se quiere “Actualizar
Clasificación”, es decir, pasar los valores obtenidos mediante la Preclasificación al
submódulo de Clasificación Explícita.
Actualizar Clasificación con registros sin respuesta asignada

5.2.1.5. Preclasificación sin Importancia Asignada
Este reporte permite identificar los activos y su responsable cuando, existiendo

respuestas de Preclasificación, no se haya definido la correspondiente importancia
por parte de un Entrevistador.
Reporte de Preclasificación sin Importancia Asignada

La existencia de registros en este reporte NO es condición para evitar el cierre

del submódulo de Clasificación. El efecto se verá si se quiere “Actualizar
Clasificación”, es decir, pasar los valores obtenidos mediante la Preclasificación al
submódulo de Clasificación Explícita.
Actualizar Clasificación con registros sin respuesta asignada

5.2.2. Valorar
Se especifica el valor que los activos “valorables” tienen para la Organización. La

tipología de activos que será valorable se define en la “Granularidad de Gestión”.
(Ver 5.1.1 Granularidad de Gestión)
Menú de Acceso a “Valorar”
La valoración puede hacerse en base a tres opciones:

• Valoración explícita: especificando directamente el valor de cada Proceso
de Negocio.
• Por importancia relativa: especificando la importancia que cada proceso

tiene respecto de los otros.
• Servicios y productos: especificando cuantitativamente el valor de los
servicios y Productos que producen cada uno de los Procesos de Negocio.
Puede utilizarse cualquiera de estas opciones, teniendo en cuenta las siguientes

consideraciones:
• La valoración Explícita es la que define los valores finales, y el Cierre del
submódulo se debe hacer desde esta opción.
• Si de valora por Importancia Relativa, cada Proceso de Negocio obtendrá un
valor calculado. Si se considera necesario, estos valores pueden ser
ajustados posteriormente en la Valoración Explícita.
• Si se valora por Servicios y Productos, cada Proceso de Negocio obtendrá un
valor calculado. En este caso, el posible ajuste por Valoración Explícita
podría generar incoherencias entre los valores cuantitativos y los valores de
cálculo, debiéndose reajustar en Valoración Explícita.

5.2.2.1. Valoración Explícita
Se muestran los activos a ser valorados. Normalmente, son altos responsables del
Negocio quienes deben especificar la valoración.
Pantalla de valoración explícita

El valor de los activos (normalmente procesos de negocio) se expresa de forma de

un porcentaje que representa su contribución en el Negocio de la Organización. La
suma de los valores de los activos debe ser igual a 100, caso contrario, no podrá
cerrarse el submódulo de valoración.
Seleccionar el activo cuya valoración se quiere especificar, y aparecerá la siguiente

pantalla.
Pantalla de Valoración de un activo
En la sección “Valoración del Activo” se muestran los siguientes campos:

• Observaciones: opcionalmente, puede ingresarse una explicación de los
motivos de la valoración asignada.
• Valor Estratégico: especificar un valor de 0 a 100 para el activo.
Los demás campos son informativos, y sirven para guiar a quién está valorando el
activo.

5.2.2.2. Por Importancia Relativa
Esta forma de valorar se basa en especificar la importancia que cada Proceso de

Negocio tiene respecto de los demás.
Se debe seleccionar el proceso de referencia (Proceso A), luego aparecerá la lista
de los demás procesos existentes (Proceso B).
Pantalla de Valoración Por Importancia Relativa
En cada caso, deberá especificarse la importancia que tiene el Proceso A sobre

cada uno de los Procesos B
• Muy Alta: el proceso A es mucho más importante que el B
• Alta: el proceso A es más importante que el B
• Igual: el proceso A es igual de importante que el B
• Baja: el proceso A es menos importante que el B
• Muy Baja: el proceso A es mucho menos importante que el B
A medida que se ingresen las importancias se irán modificando automáticamente

los valores de cada proceso.

En los sucesivos Procesos de Negocio irán apareciendo en color amarillo las
importancias relativas, en función de las especificaciones ya hechas para otros
procesos de referencia. Si estas importancias “simétricas” se modifican, se
cambiará el correspondiente valor en el otro proceso, y así sucesivamente.
Valores simétricos de importancia
Una vez que se han ingresado todas las importancias relativas (cuando se definan
los parámetros para todos los procesos como “Proceso A”), deberá hacerse clic en
el ícono “Actualizar Valoración”, y cada Proceso de Negocio recibirá el valor
determinado en la columna “Valor”.

5.2.2.3. Servicios y Productos
Los Servicios y Productos definidos en el escenario y cuyas dependencias con los

Procesos de Negocio hayan sido definidas en “Declarar Dependencias” serán
listados en la siguiente pantalla para que sean especificados sus valores
económicos y su grado de dependencia con los correspondientes Procesos de
Negocio.
Pantalla de valoración pos servicios y productos
Para cada producto o servicio, hacer clic en el ícono “Editar”, y aparecerá la

siguiente pantalla.
Pantalla de parámetros de valoración de Productos y Servicios

• Observaciones: para ingresar la justificación de la valoración del servicios
o producto.
• Precio unitario: especificar el precio por unidad del Producto o Servicio.
• Unidades: especificar la cantidad de unidades que se venden (normalmente
es un parámetro anual) del Producto o Servicio.
• Valor Total del Activo: calculado como Unidades x Precio unitario.
Representa el valor monetario del activo.
En la sección “Procesos Asociados” se muestran los siguientes campos:

• Proceso: nombre del proceso de negocio relacionado con el Servicio o
Producto.
• Grado de dependencia: especificar el porcentaje de dependencia del
Producto o Servicio con el correspondiente Proceso de Negocio. (Este
parámetro debe establecerse en “Declarara Dependencias”, pero aquí puede
modificarse) (Ver4.2.2 Declarar Dependencias)
• Valor económico: se muestra el valor en $ que “recibe” el Proceso de
Negocio del Servicio o Producto.
Esta operación deberá realizarse para todos los Productos y Servicios.

Una vez finalizado, hacer clic en “Actualiza Valoración de activos” y cada

Proceso de Negocio recibirá el valor calculado en función de todos los parámetros
especificados.

5.3. CL - Cálculos
Los cálculos del módulo de Clasificación se realizan cuando se cierran los

submódulos de “Clasificar” y “Valorar”, en cualquier orden y cuando se cierre
exitosamente el segundo.
Cierre de “Valorar”
Cierre de “Clasificar”
Los cálculos consisten en realizar la propagación de valor, en función de las

valoraciones y clasificaciones explícitas y de las dependencias definidas dentro del

escenario.
Como resultado de estos cálculos, se obtiene los siguientes valores propagados:
• Valor Heredado: El Valor Estratégico se propaga desde los procesos de
negocio hacia los procesos de soporte y los activos de información,
considerando las dependencias definidas en la dimensión Dependencia. En
las dimensiones de clasificación (C-I-D-A) se muestran los valores de
clasificación explícita de los activos de información.
• Valor Modulado: para los activos de información, se parte del Valor

Heredado (Clasificación explícita y Valor estratégico propagado). Luego, el
valor en cada dimensión es multiplicado por el Valor Estratégico. Representa
la combinación de la clasificación de seguridad de los activos de información
y de la importancia relativa que los procesos de negocio tienen para la
Organización.
• Valor Normalizado: los valores modulados son “normalizados” de forma

proporcional dentro del rango de 0 a 100. Este es el valor que se utiliza en
TODOS los cálculos de riesgo.

Con el siguiente ejemplo, se explica la propagación de valor entre los activos de
un escenario.
Escenario para el ejemplo de propagación de Valor
1) El volumen total de Negocio es de $ 6.000
2) En este escenario existen dos Procesos de Negocio:

• Cta_Cte: explícitamente valorado en $ 3.600, o sea, el 60% del volumen
VE=60 (Valor Estratégico)
• Caja_Ahorro: explícitamente valorado en $ 2.400, o sea, 40% del volumen
VE=40 (Valor Estratégico)
(Ver 5.2.2.1 Valoración Explícita)
3) Existe un Proceso de Soporte

• Los dos procesos de Negocio dependen un 50% de este proceso
Dependencia=0,50 (Ver 4.2.2 Declarar Dependencias)
• El Valor Estratégico heredado por el proceso de soporte es igual a la suma
de los productos de los VE de sus padres por las correspondientes
Dependencias:
VE HIJO
= ∑VE * Dependencia
i i
PADRES
50 = (60*0,5) + (40*0,5)
4) En este ejemplo, se utilizan tres dimensiones de clasificación (C:

Confidencialidad; I: Integridad y D: Disponibilidad)
El Máximo Valor de clasificación se ha definido = 4
(Ver 5.1.2 Dimensiones de Clasificación)

5) Existen dos Activos de Información:
• Datos_Cta_Cte: ha sido clasificado por su propietario y el vector de valor
heredado (VH) es (4/4/4)
• Datos_Caja_Ahorro: ha sido clasificado por su propietario y el vector de
valor heredado (VH) es (2/2/2)
(Ver 5.1.1 Granularidad de Gestión) (Ver 5.2.1 Clasificación)
• La Dependencia de los procesos de negocio con el correspondiente activo de

información es TOTAL (1).
• La Dependencia del proceso de soporte con Datos_Cta_Cte es TOTAL (1)
• El Valor Estratégico heredado (VE) por los activos de información es:
o Datos_Cta_Cte: 60*1 + 50*1 = 110; truncado al máximo VE 100
o Datos_Caja_Ahorro: 40*1 = 40
6) El Valor Modulado (VM) para los activos de información es (VM=VH*VE):

• Datos_Cta_Cte: (4/4/4)*100 = (400/400/400)
• Datos_Caja_Ahorro: (2/2/2)*40 = (80/80/80)
7) El Valor Normalizado (VN) para los activos de información es:

• VN=VM/Fn
o Fn: Factor de Normalización = Máximo Valor de clasificación *
Cantidad de Dimensiones; en este caso: Fn=4*3 = 12

• Datos_Cta_Cte: VN=(400/400/400)/12 = (33,3/33,3/33,3)
• Datos_Caja_Ahorro: VN=(80/80/80)/12 = (6,6/6,6/6,6)
8) Existen tres Aplicaciones que soportan a los activos de información, según las
siguientes dependencias efectivas (C_ef/I_ef/D_ef),
• Dependencia Datos_Cta_Cte / Aplicación1: (1/1/0,5)
• Dependencia Datos_Caja_Ahorro / Aplicación1: (1/1/1)
• Dependencia Datos_Caja_Ahorro / Aplicación2: (0,5/1/1)
9) Resultando en los correspondientes vectores de Valor Normalizado (VN)

heredado, cuya fórmula de cálculo es la misma que para VE, en cada una de las
dimensiones:
• Aplicación1:
o VN_C = 33,3*1 + 6,6*1 = 39,9; truncado al máximo VN_C 33,3
o VN_I = 33,3*1 + 6,6*1 = 39,9; truncado al máximo VN_C 33,3
o VN_D = 33,3*0,5 + 6,6*1 = 23,2
• Aplicación2:
o VN_C = 6,6*0,5 = 3,3
o VN_I = 6,6*1 = 6,6
o VN_D = 6,6*1 = 6,6
• Aplicación3:
o VN_C = 6,6*0,5 = 3,3
o VN_I = 6,6*1 = 6,6
o VN_D = 6,6*1 = 6,6

10) Existen tres Servidores que soportan a los activos de información, según las
• Dependencia Aplicación1 / Servidor1: (1/1/0,5)
• Dependencia Aplicación2 / Servidor3: (0,5/1/1)
• Dependencia Aplicación3 / Servidor2: (1/1/1)
11) Resultando en los correspondientes vectores de Valor Normalizado (VN)

heredado, cuya fórmula de cálculo es la misma que para VE, en cada una de las
dimensiones:
• Servidor1:
o VN_C = 33,3*1 = 33,3
o VN_I = 33,3*1 = 33,3
o VN_D = 23,2*0,5 = 11,6
• Servidor2:
o VN_C = 33,33*1 + 3,3*1 = 36,6; truncado al máximo VN_C 33,3
o VN_I = 33,33*1 + 6,6*1 = 39,9; truncado al máximo VN_I 33,3
o VN_D = 23,2*0,5 + 6,6*1 = 18,2
• Servidor3:
o VN_C=3,3*1 + 3,3*0,5 = 4,9
o VN_I = 6,6*1 + 6,6*1 = 13,2; truncado al máximo VN_I de la
rama 6,6
o VN_D = 6,6*1 + 6,6*1 = 13,2; truncado al máximo VD_I de la
rama 6,6

5.4. CL - Reporting
Los reportes del Módulo de Clasificación consisten en informes de los valores

propagados desde los activos “valorables” y “clasificables”, en función de las
dependencias existentes dentro del escenario.
Menú de acceso a los reportes de “Clasificación”
5.4.1. Reporte de Valores Heredados
Para los procesos de negocio se muestra el Valor Estratégico explícito (Ves)

(especificado en Valorar), para los procesos de soporte se muestra el Valor
Estratégico heredado (Ves) (en función de Dependencia).
Para los activos de Información, se muestran los valores de clasificación explícita
(Vh_x) (especificada en Clasificar) y el Valor Estratégico heredado (Ves) (en
función de Dependencia).
Reporte de Valores Heredados

5.4.2. Reporte de Valores Modulados
Para cada activo de información, se muestra el valor modulado en cada dimensión

(Vm_x).
Reporte de Valores Modulados
Representa la combinación del la clasificación de seguridad de los activos de

información y de la importancia relativa que los procesos de negocio tienen para la
Organización.

5.4.3. Reporte de Valores Normalizados
Para cada activo definido en el escenario, se muestra el valor normalizado en cada

dimensión (Vn_x).
Reporte de Valores Normalizados
Nota: este reporte es muchas veces llamado “Matriz de Criticidad”, ya que

detalla el valor que cada activo del inventario tiene dentro del escenario, en función
del modelo funcional (Inventario y Dependencias) y del modelo de Negocio
(Valoración y Clasificación).

Módulo
de
Análisis de Riesgo

6. Módulo de Análisis de riesgo
6.1. AR - Base de Conocimiento
Parte de la información definida en este módulo no puede ser modificada por los
clientes de R-BOX, solo es gestionada en Khutech y provista para que éstos la
utilicen en sus Análisis de Riesgo.
La Base de Conocimiento conforma el siguiente modelo de entidades.

Modelo de entidades
Puede verse la relación existente entre las entidades del Análisis de Riesgo y las de
dos análisis complementarios:
• Compliance: relacionados mediante las Métricas
• Análisis Técnico de Seguridad: relacionados mediante las
Vulnerabilidades Técnicas
A continuación, se describen las principales entidades que participan en el

Análisis de Riesgo.

6.1.1. Principales entidades - Activos
Son los recursos necesarios para que la Organización funcione correctamente y

alcance los objetivos propuestos por su dirección.
Los activos son categorizados según la tipología definida, y conforman el
Inventario de activos (Ver 4.1.1 Tipología).
La siguiente tabla muestra los dos primeros niveles de la tipología.

Tipología: Tipos y Subtipos
Los activos tienen, ya sea por especificación explícita (Valoración o Clasificación) o

por herencia (en función de las dependencias definidas), un valor asociado que
determina su relevancia. Este valor normalizado es utilizado en los cálculos de
riesgo. Además, los activos tienen asociados dos tipos de responsables, propietarios
y custodios. (Ver 5.3 CL-Cálculos)
6.1.1.1. Propietario
Tienen la responsabilidad primaria sobre la gestión y utilización de un activo o

proceso en particular. En términos generales, es el encargado de definir y
aprobar los aspectos de gestión sobre los activos. El propietario posee las
siguientes funciones:
• Conocer como se usa el activo o proceso de su propiedad dentro y fuera de
la Organización, entendiendo también los problemas potenciales asociados a
dicho uso.
• Clasificar la información basándose en el esquema definido por la Gestión de
Seguridad de la Información.
• Definir los requisitos de resguardo y conservación.
• Aprobar todos los requisitos de acceso a la información de su propiedad.

6.1.1.2. Custodio
Encargado de gestionar y asegurar los sistemas que sostienen la información y los

procesos de negocio. Es comúnmente asignado a los Administradores de Sistemas,
Operadores, o Especialistas. En términos generales, es el responsable de
implantar los aspectos de gestión sobre los activos.
El custodio tendrá las siguientes funciones:
• Cumplir las instrucciones del Propietario y los requisitos de la Política de
Seguridad de la Información.
• Gestionar diariamente los activos que le han sido encomendados, a través
de las siguientes acciones:
o Salvaguardar el almacenamiento y procesamiento seguro de la
información.
o Administrar los accesos a la información.
o Informar periódicamente al Propietario.
• Proveer asesoramiento técnico sobre las mejores formas de proteger la
confidencialidad, integridad y disponibilidad, así también como la
Auditabilidad de la información.

6.1.2. Principales entidades - Amenazas
Eventos que pueden desencadenar un incidente, produciendo daños materiales o

pérdidas inmateriales. Son ACCIONES capaces de modificar el estado de seguridad
de un ACTIVO.
La materialización de las Amenazas sobre los Activos, denominada Agresión,

produce un Impacto, que se define como la diferencia entre el valor del activo
antes y después de la agresión.
En la tabla que relaciona las Amenazas con la Tipología se definen los parámetros
de Probabilidad, es decir, cual es la probabilidad de que cada Amenaza pueda
agredir a ciertos tipos de activos. Esta tabla tiene alrededor de 1800 registros.
Tabla de Relación Amenaza-Tipología. Probabilidad estándar

La diversidad de causas permite clasificar las Amenazas, según su naturaleza, en
los siguientes Grupos de Amenazas.
Accidentes: Suceso eventual o acción de que involuntariamente resulta en daños

para las personas o las cosas.
Amenaza Descripción
Recursos de sistema afectados por fuego proveniente de
[I.1] Fuego
un accidente de origen industrial.
Recursos de sistema afectados por agua proveniente de un
[I.2] Daños por agua
accidente de origen industrial.
[I.3] Contaminación
Vibraciones, polvo, suciedad, etc.
mecánica
[I.4] Contaminación Interferencias de radio, campos magnéticos, luz
electromagnética ultravioleta, etc.
[I.5] Avería de origen físico o Fallos en los equipos y/o fallos en los programas,
lógico originados por defectos de origen.
[I.6] Corte del suministro Cese de la alimentación eléctrica, debido al proveedor del
eléctrico servicio o a fallos en la instalación propia.

[I.7] Condiciones Deficiencias en la aclimatación de los locales, excediendo
inadecuadas de temperatura los márgenes de trabajo de los equipos: excesivo calor,
y/o humedad excesivo frío, exceso de humedad, etc.
Imposibilidad de transmitir datos de un sitio a otro, por
[I.8] Fallo de servicios de
destrucción física de los medios de transporte o por la
comunicaciones
detención de los centros de conmutación.
[I.9] Interrupción de otros Falta de servicios o recursos de los que depende la
servicios y suministros operación de los equipos, como papel para las impresoras,
esenciales toner, refrigerante, etc.
[I.10] Degradación de los
soportes de Daños físicos en los soportes de información, como
almacenamiento de la consecuencia del paso del tiempo o daños mecánicos.
información
[I.11] Emanaciones Poner, vía radio, datos internos a disposición de terceros,
electromagnéticas es decir, el emisor es víctima pasiva del ataque.
Recursos de sistema afectados por fuego proveniente de
[N.1] Fuego
un desastre natural.
Recursos de sistema afectados por agua proveniente de un
[N.2] Daños por agua
desastre natural.

Ataques: Acción de atacar, perjudicar o destruir.
Manipulación intencional de datos de configuración por
[A.4] Manipulación de la
parte del administrador: privilegios de acceso, flujos de
configuración
actividades, registro de actividad, encaminamiento, etc.
Cuando un atacante consigue hacerse pasar por un
[A.5] Suplantación de la
usuario autorizado, y toma los privilegios de éste para sus
identidad del usuario
fines propios.
[A.6] Abuso de privilegios de Abuso de privilegios, por parte de usuarios, para realizar
acceso tareas que no son de su competencia.
Utilización de los recursos del sistema para fines no
previstos como juegos, consultas personales en Internet,
[A.7] Uso no previsto
bases de datos personales, programas personales,
almacenamiento de datos personales, etc.
[A.8] Difusión de software Propagación intencionada de virus, espías (Spyware),
dañino gusanos, troyanos, bombas lógicas, etc.
Envío de información a un destino incorrecto a través de un
[A.9] [Re]encaminamiento
sistema o una red, que llevan la información donde o por
de mensajes
donde no es debido.
Alteración del orden de los mensajes transmitidos con
[A.10] Alteración de ánimo de que el nuevo orden altere el significado del
secuencia conjunto de mensajes, perjudicando a la integridad de los
datos afectados.
Acceso a los recursos del sistema sin autorización,
[A.11] Acceso no autorizado típicamente aprovechando un fallo del sistema de
identificación y autorización.
Monitorización de tráfico, sin necesidad analizar los datos
contenidos, para extraer conclusiones a partir del análisis
[A.12] Análisis de tráfico
del origen, destino, volumen y frecuencia de los
intercambios.
Negación a posteriori de actuaciones o compromisos
[A.13] Repudio adquiridos en el pasado. Repudio de origen, Repudio de
recepción y Repudio de entrega.
La información llega al conocimiento de atacantes no
[A.14] Interceptación de
autorizados, sin que la información en sí misma se vea
información (escucha)
alterada.
[A.15] Modificación de la
Alteración intencional de información.
información
[A.16] Introducción de falsa
Inserción intencional de información incorrecta.
información
[A.17] Corrupción de la
Degradación intencional de información.
información
[A.18] Destrucción la
Pérdida intencional de información.
información
[A.19] Divulgación de
Revelación de información.
información
Alteración intencionada del funcionamiento de los
[A.22] Manipulación de
programas, persiguiendo un beneficio indirecto para
programas
cuando una persona autorizada lo utilice.

Carencia de recursos suficientes, por carga de trabajo
[A.24] Denegación de
intencionalmente generada, que provoca la caída del
servicio
sistema.
Sustracción de equipamiento que provoca carencia de
medios para prestar los servicios, es decir, una
[A.25] Robo
indisponibilidad. Además puede producir fuga de
información.
[A.26] Ataque destructivo Vandalismo, terrorismo, acción militar, etc.
Cuando los locales han sido invadidos y se carece de
[A.27] Ocupación enemiga
control sobre los propios medios de trabajo.
Ausencia deliberada del puesto de trabajo como huelgas,
[A.28] Indisponibilidad del
ausentismo laboral, bajas no justificadas, bloqueo de los
personal
accesos, etc.
Presión que, mediante amenazas, se ejerce sobre alguien
[A.29] Extorsión
para obligarlo a obrar en determinado sentido.
Abuso de la buena fe de las personas para que realicen
[A.30] Ingeniería social
actividades que interesan al atacante.
Errores: Acción desacertada o equivocada, que deriva en perjuicios para las

personas o cosas.
Equivocaciones de las personas, cuando usan los
[E.1] Errores de los usuarios
servicios, datos, etc.
[E.2] Errores del Equivocaciones de personas con responsabilidades de
administrador administración, instalación y/o operación.
Inadecuado registro de actividades: falta de registros,
[E.3] Errores de
registros incompletos, registros incorrectamente fechados,
monitorización (log)
registros incorrectamente atribuidos, etc.
Introducción de datos de configuración erróneos por
[E.4] Errores de
negligencia del administrador: privilegios de acceso, flujos
configuración
de actividades, registro de actividad, encaminamiento, etc.
Acciones descoordinadas y/o errores por omisión, debido a
[E.7] Deficiencias en la
que no están claras las responsabilidades dentro de la
organización
Organización.
[E.8] Difusión de software Propagación inocente de virus, espías (Spyware), gusanos,
dañino troyanos, bombas lógicas, etc.
Envío de información a través de un sistema o una red
[E.9] Errores de [re-
usando, accidentalmente, una ruta incorrecta que lleve la
]encaminamiento
información donde o por donde no es debido.
Alteración accidental del orden de los mensajes
[E.10] Errores de secuencia
transmitidos.
La información llega accidentalmente al conocimiento de
[E.14] Escapes de
personas no autorizadas, sin que la información en sí
información
misma se vea alterada.
[E.15] Alteración de la
Alteración accidental de información.
información
[E.16] Introducción de
Inserción accidental de información incorrecta.
información incorrecta

[E.17] Degradación de la
Degradación accidental de información.
información
[E.18] Destrucción de
Pérdida accidental de información.
información
[E.19] Divulgación de Revelación por indiscreción. Incontinencia verbal, medios
información electrónicos, soporte papel, etc.
Defectos en el código, que dan pie a operaciones erróneas
[E.20] Vulnerabilidades del
con consecuencias sobre la integridad de los datos o la
software
capacidad misma de operar.
Defectos en los procedimientos o controles de
[E.21] Errores de actualización del código que permiten que sigan
mantenimiento de software utilizándose programas con defectos conocidos y/o ya
reparados por el fabricante.
[E.23] Errores de Defectos en los procedimientos o controles de
mantenimiento de hardware actualización de los equipos que afectan su disponibilidad.
[E.24] Caída del sistema por Carencia de recursos que provoca la caída del sistema
agotamiento de recursos cuando la carga de trabajo es desmesurada.
[E.28] Indisponibilidad del Ausencia del puesto de trabajo por enfermedad, huelga de
personal transporte, etc.
Sanciones: Pena que una ley o un reglamento establece para sus infractores.
[S.1] Sanción por aspectos Sanciones por el incumplimiento de leyes o regulaciones
legales o regulatorios aplicables.

Para el caso particular de entidades bancarias o financieras reguladas por la circular
A4609/CE (con lineamientos específicos para Canales Electrónicos), se definen
grupos y amenazas específicas.
Credenciales y Medios de Pago (CM): Eventos o Incidentes relacionados con los

elementos dispuestos para la identificación, autenticación y autorización de accesos
/ uso de los medios y dispositivos de los Canales Electrónicos. Se incluyen aquellos
elementos físicos y lógicos que funcionan como mecanismos de consumo, sustitutos
del efectivo, que permiten generar transacciones financieras de débito o crédito en
las cuentas de los clientes.
Generación, distribución y Eventos o Incidentes relacionados con la generación, distribución

descarte de credenciales que y descarte de credenciales que incluyen Tarjetas de Débito y/o
incluyen TD/TC de Crédito.
Generación, distribución y Eventos o Incidentes relacionados con la generación, distribución

descarte de credenciales que y descarte de credenciales que no incluyen Tarjetas de Débito ni
no incluyen TD/TC de Crédito.
Suscripción, presentación,
Eventos o Incidentes relacionados con la suscripción,
uso, renovación y baja de
presentación, uso, renovación y baja de Credenciales que
Credenciales que incluyen
incluyen Tarjetas de Débito y/o de Crédito.
TD/TC
Suscripción, presentación, Eventos o Incidentes relacionados con la suscripción,

uso, renovación y baja de presentación, uso, renovación y baja de Credenciales sin Tarjeta
Credenciales sin TD/TC de Débito ni de Crédito.
Dispositivos / Aplicación (DA): Eventos o Incidentes relacionados con las

características de los dispositivos y piezas físicas y lógicas intervinientes en la
operación de los Canales electrónicos respectivos.
Diseño, funcionalidad y
Eventos o Incidentes relacionados con el diseño, funcionalidad y
homologación de dispositivos
homologación de dispositivos suministrados por la entidad o el
suministrados por la entidad o
operador
el operador
Homologación de dispositivos Eventos e Incidentes relacionados con la homologación de

propios del usuario dispositivos propios del usuario.
Diseño, funcionalidad y
Eventos o Incidentes relacionados con el diseño, funcionalidad y
homologación de aplicaciones
homologación de aplicaciones para la interacción del usuario con
suministradas por la entidad /
el CE, suministradas por la entidad / operador.
operador

Transacciones (TR): Eventos o Incidentes relacionados con la naturaleza de las
operaciones financieras, operativas y de consulta que permita realizar un Canal
Electrónico.
Eventos o Incidentes relacionados con el depósito de valores en

Depósito de Valores en CE
Canales Electrónicos.
Eventos o Incidentes relacionados con la extracción de efectivo

Extracción de efectivo por CE
por Canales Electrónicos.
Pago de Bienes o Servicios Eventos o Incidentes relacionados con el pago de Bienes o

con débito en cuentas propias Servicios con débito en cuentas propias.
Pago de Bienes o Servicios

Eventos o Incidentes relacionados con el pago de Bienes o
con débito en cuentas de
Servicios con débito en cuentas de terceros.
terceros
Transferencias de fondos
Eventos o Incidentes relacionados con transferencias de fondos
entre cuentas de un mismo
entre cuentas de un mismo titular
titular
Transferencias de fondos a
Eventos o Incidentes relacionados con transferencias de fondos a
cuentas de terceros, con
cuentas de terceros, con compensación previa a su acreditación
compensación previa a su
en cuenta destino
acreditación
Transferencias de fondos a
Eventos o Incidentes relacionados con transferencias de fondos a
cuentas de terceros, con
cuentas de terceros, con compensación posterior a su
compensación posterior a su
acreditación en cuenta destino
acreditación
Solicitud, formalización y
Eventos o Incidentes relacionados con la solicitud, formalización
acreditación de operaciones
y acreditación de operaciones de Crédito.
de Crédito
Transacciones de consulta,
Eventos o Incidentes relacionados con transacciones de
instrucción operativa o
consulta, instrucción operativa o instrucción financiera con
financiera con confirmación
confirmación por vía tradicional.
por vía tradicional

6.1.3. Principales entidades - Vulnerabilidades
Potencialidad o posibilidad de ocurrencia de la materialización de la AMENAZA sobre

un activo.
• Es una PROPIEDAD de la RELACION entre un Activo y una Amenaza.
• Es el MECANISMO de paso desde la amenaza a AGRESION materializada.
La cantidad de vulnerabilidades está relacionada con la cantidad de Controles y

Verificaciones especificados en un Estándar en particular, por ejemplo, ISO 27002,
AR-4609, etc.
Las Vulnerabilidades tienen definido un parámetro llamado V_TARGET, que

especifica el tipo de activo (Tipología) donde puede estar presente cada
Vulnerabilidad. Está definido a nivel de Detalle. (Ver 9.1.3 Controles)
Las Vulnerabilidades, las Recomendaciones y las Métricas se definen en el registro

de CONTROLES.
Registro de Vulnerabilidad – V_TARGET

En la tabla que relaciona las Vulnerabilidades con las Amenazas se definen los
parámetros de Degradación en cada una de las dimensiones de clasificación, es
decir, el porcentaje en que se verá degradado el valor del activo debido a la
agresión producida por la Amenaza al haber explotado la Vulnerabilidad. (Ver
6.1.12 Relación Amenaza - Vulnerabilidad)
Esta tabla tiene alrededor de 45.000 registros.

Tabla de Relación Amenaza-Vulnerabilidad. Degradación

6.1.4. Principales entidades - Recomendaciones
Son acciones o procedimientos reductores del riesgo.

Según la ACTUACION, se califican en:
• Preventivas: actúan sobre la vulnerabilidad; reducen la potencialidad de
materialización. Ej.) Concienciación, información y formación. Disuasión.
Prevención. Detección preventiva.
• Curativas: que actúan sobre el impacto y reducen su gravedad. Ej.)
Corrección. Recuperación.

de CONTROLES. (Ver 9.1.3 Controles)
Registro de Recomendación
Para cada una de las dimensiones de clasificación, se especifican los parámetros de

Efectividad, es decir, cuán “curativa” es la Recomendación sobre el Impacto.
También se especifica la Efectividad en Prevención, es decir, cuán “preventiva”

es la Recomendación sobre la Probabilidad.

6.1.5. Principales entidades - Proyectos
(Ver 13.1 Proyectos)

Son agrupaciones de Recomendaciones, que facilitan la gestión de las acciones a
ser llevadas a cabo para disminuir el Riesgo. Normalmente, los Planes de Acción
son expresados en términos de Proyectos, en lugar de recomendaciones
individuales.
Menú de acceso a Mantenimiento de Proyectos
Se definen parámetros de Plazo Estándar de ejecución, es decir, se especifica el

plazo (normalmente Corto, Medio o Largo) en que debería ser ejecutado el
proyecto, debido a la necesidad de la implantación previa de recomendaciones. El
plazo de ejecución definitivo puede modificarse en la Gestión de Riesgo. (Ver
7.2.2 Gestión por Proyectos)
También se especifican las estimaciones de Costo de Diseño y Costo de

Implantación de los proyectos. Estos costos son solo estimativos y deberán ser
ajustados en función de los acuerdos que cada organización pueda establecer con
sus proveedores.

Vista de la Tabla de Proyectos
A su vez, los Proyectos son agrupados en Clases que modelan sus propiedades
comunes. Por sus características, las clases tienen diferentes distribuciones de los
costos del proyecto. El costo del proyecto se calcula en función de la Madurez de
Diagnóstico (Ver 6.2.1 Generar Cuestionario), del Alcance definido (Ver 7.2.2
Gestión por Proyectos) (Ver 7.2.3 Gestión por Recomendaciones) y del Costo
Estándar de cada Recomendación del Proyecto.
Para dichos cálculos se tienen en cuenta las distribuciones de costos especificadas

en la clase asociada al Proyecto.
En la siguiente tabla se describe cada Clase y la distribución de costos (en forma

de porcentaje del costo total) para alcanzar cada nivel de Madurez.

Clases de Proyectos - Distribución de costos por nivel de madurez

6.1.6. Principales entidades - Métricas
Están directamente asociadas a los Controles y Verificaciones definidos en los

Estándares contenidos en la Base de Conocimiento.
Son utilizadas para medir el grado de Madurez de cada control, es decir, contienen
los valores numéricos de madurez utilizados para los cálculos de Riesgo y de
Compliance.
Para cada métrica, se especifica el Responsable de su gestión (en términos de
Propietario y Custodio, o de funciones típicas dentro de una Organización).
El valor de madurez asociado para cada Métrica-Activo es determinado mediante
Cuestionarios, que deberán ser respondidos por los correspondientes
responsables de los activos. (Ver 4.2.1.1 Alta de un Activo)

de CONTROLES. (Ver 9.1.3 Controles)
6.1.7. Principales entidades - Vulnerabilidades Técnicas
(Ver 6.1.10 Vulnerabilidades Técnicas)

Forman parte de un análisis complementario (y opcional) al Análisis de Riesgo, el
Análisis Técnico de Seguridad.

Están asociadas a los Activos que conforman la infraestructura tecnológica, son
muy específicas y están en función de las diferentes tecnologías, modelos de
hardware, versiones de software, sistemas operativos y configuraciones.
Las Vulnerabilidades Técnicas modulan los resultados de los Análisis de Riesgo, ya
que su explotación habilita la acción de diversas Amenazas.

6.1.8. ABMs en tablas maestras de Análisis de Riesgo
En los ABM de las Tablas Maestras de Análisis de Riesgo existen dos tipos de
registros:
• Los que pueden ser completamente editados. Estos registros son propios
del Cliente.
• Los que no pueden ser editados, o solo pueden editarse ciertos parámetros.
Estos registros son los provistos por Khutech.
Nota: la especificación de estos parámetros deberá realizarse con extremo cuidado

y análisis, ya que tendrá importantes efectos en los resultados de Análisis y Gestión
de Riesgo.
Menú de Acceso a las Tablas Maestras de AR

de CONTROLES, que puede accederse en las Tablas Maestras de Compliance.
Menú de Acceso a los controles

6.1.9. Controles
(Ver 9.1.3 Controles)

Pantalla de controles
Las siguientes secciones pertenecen a la Métrica asociada al Control.
ABM de Controles – Secciones de la Métrica

6.1.10. Vulnerabilidades Técnicas
Las fuentes de Vulnerabilidades Técnicas pueden ser diversas, generalmente

mediante suscripciones a foros o entidades especializadas.
Pantalla de vulnerabilidades técnicas

El ABM es el siguiente:
ABM de Vulnerabilidades Técnicas

• Vulnerabilidad Técnica: especificar el nombre de la Vulnerabilidad
Técnica. Este nombre debe ser único.
• Descripción: texto ampliado para una descripción detallada de la
Vulnerabilidad Técnica.
• Control: seleccionar el Control con el que estará asociada la Vulnerabilidad
Técnica. Esta será la relación entre el Análisis de Riesgo y el Análisis Técnico
y/o Tratamiento.

En la sección “Otros” se muestran los siguientes campos:
• Archivo 1 a 5: opcionalmente, especificar el nombre de los archivos que
contengan datos que aporten información sobre la Vulnerabilidad Técnica.
• Criticidad: especificar el grado de importancia que tiene la explotación de la
Vulnerabilidad Técnica.
• Recomendación técnica: especificar las acciones técnicas que deben
implantarse para solventar la Vulnerabilidad Técnica.
6.1.11. Amenazas
La siguiente es la pantalla principal del ABM de Amenazas.

Pantalla de Amenazas

ABM de Amenazas

• Amenaza: especificar el nombre de la Amenaza. Este nombre debe ser
único.
• Nombre corto: especificar el nombre corto que será referenciado en la
mayoría de los reportes. Este nombre debe ser único.
• Descripción: texto ampliado para una descripción detallada de la Amenaza.
• Grupo de Amenaza: seleccionar la máxima categoría de Amenazas.
• Tipo de Amenaza: seleccionar la mínima categoría de Amenazas, la lista de
opciones depende del Grupo seleccionado.

6.1.12. Relación Amenaza - Vulnerabilidad
La siguiente es la pantalla principal del ABM de la relación Amenaza –

Vulnerabilidad. Solo se muestran los registros propios.
Pantalla principal de Relación Amenaza-Vulnerabilidad
Si se crea una nueva relación, la pantalla de ABM es la siguiente:
Alta de una Relación Amenaza-Vulnerabilidad

En la sección “Definición de la relación” se muestran los siguientes campos:
• Amenaza: seleccionar el nombre de la Amenaza de la relación.
• Control: especificar el nombre del Control (asociado a la Vulnerabilidad) de
la relación
En la sección “Descripción” se muestra el siguiente campo:

• Descripción: texto ampliado, para una explicación de la relación definida.
En la sección “Degradación” se muestran los siguientes campos:

Seleccionar el grado de degradación que la explotación de la Vulnerabilidad por
parte de la Amenaza tiene en cada Dimensión.
• Confidencialidad
• Integridad
• Disponibilidad
• Auditabilidad
Si se abre una relación existente, la pantalla de ABM es la siguiente:

Modificación de una Relación Amenaza-Vulnerabilidad
Solo podrán modificarse los parámetros de Degradación.

6.1.13. Probabilidad estándar
La siguiente es la pantalla principal del ABM de Probabilidad Estándar. Solo se

muestran los registros propios.
Pantalla de probabilidad estándar
ABM de Probabilidad Estándar

• Amenaza: seleccionar el nombre de la Amenaza de la relación.
• Detalle: seleccionar el Detalle de la relación. Todos los activos tipificados
con este detalle tendrán definida la Probabilidad Estándar para la Amenaza
seleccionada.
• Descripción: texto ampliado para una descripción detallada de la
Probabilidad Estándar definida.
• P_std: seleccionar la probabilidad considerada como estándar para la
Amenaza y el Detalle especificados.

6.1.14. Parámetros de AR…
Se definen aquellos parámetros utilizados en las Tablas Maestras de Análisis de

Riesgo. Es decir, en los ABMs explicados en las secciones 6.1.1 a 6.1.13
Menú de Acceso a los Parámetros de AR

6.1.14.1. Grupos de Amenazas
Se definen los Grupos y los Tipos con que serán categorizadas las Amenazas.
La siguiente es la pantalla principal del ABM Grupos de Amenazas.
Pantalla de grupos de amenazas

ABM de grupos de amenazas

• Nombre: especificar el nombre del Grupo de Amenazas. Este nombre debe
ser único.
• Descripción: texto ampliado para una descripción detallada del Grupo de
Amenazas.
En la sección “Clasificaciones” se muestra el siguiente campo:

• Tipo de Amenaza: especificar el nombre del Tipo de Amenaza, como una
clasificación más detallada dentro de un Grupo. Especificar un Tipo y hacer
clic en “Agregar / Modificar” para agregarlo a la lista asociada.

6.1.14.2. Rangos de Probabilidad
Se definen los Rangos que serán utilizados para todos los parámetros y cálculos
donde intervenga la Probabilidad.
Pantalla de rangos de probabilidad

ABM de rangos de probabilidad

• Probabilidad Estándar: especificar el nombre de la opción dentro del
Rango de probabilidad estándar a definir. Este nombre debe ser único.
• Descripción: texto ampliado para una descripción detallada del valor de
probabilidad estándar.
• P_std: especificar el valor numérico (0 a 1) asociado a la probabilidad
estándar definida.

6.1.14.3. Efectividad
donde intervenga la Efectividad de las Recomendaciones.
Pantalla de rangos de efectividad

ABM de rangos de efectividad

• Efectividad: especificar el nombre de la opción dentro del Rango de
efectividad a definir. Este nombre debe ser único.
efectividad.
• EF: especificar el valor numérico (0 a 1) asociado a la efectividad definida.

6.1.14.4. Degradación
donde intervenga la Degradación de las Amenazas sobre los Activos.
Pantalla de rangos de degradación

ABM de rangos de degradación

• Degradación: especificar el nombre de la opción dentro del Rango de
degradación a definir. Este nombre debe ser único.
degradación.
• DEG: especificar el valor numérico (0 a 1) asociado a la degradación
definida.

6.1.14.5. Importancia
Se definen los Rangos de Importancia utilizados para calcular el promedio

ponderado de las múltiples respuestas sobre controles y activos ingresadas en los
cuestionarios.
Pantalla de rangos de importancia

ABM de rangos de importancia

• Importancia: especificar el nombre de la opción dentro del Rango de
importancia a definir. Este nombre debe ser único.
importancia.
• Valor de Importancia: especificar el valor numérico (0 a 1) asociado a la
importancia definida.

6.1.14.6. Criticidad
Se definen los Rangos de Criticidad a ser especificados en el ABM de las

Vulnerabilidades Técnicas.
Pantalla de rangos de criticidad

ABM de rangos criticidad

• Criticidad: especificar el nombre de la opción dentro del Rango de criticidad
a definir. Este nombre debe ser único.
criticidad.

6.2. AR - Flujos y Captura
Aquí se ingresa la información necesaria para llegar al Diagnóstico de Riesgo para

un Escenario, es decir, determinar la madurez de los controles y, de ser
necesario, ajustar la Probabilidad en función de las características del escenario
analizado.
También se incluyen una serie de reportes operativos, es decir, que permiten

detectar errores u omisiones en el proceso de especificar el Modelo de Gestión del
escenario.
Menú de flujo y captura de Análisis de Riesgo
Previamente, deben haberse cerrado los módulos de Inventario y Clasificar para el

escenario cuyo Análisis de Riesgo se desea comenzar.

6.2.1. Generar Cuestionario
Para evaluar la Madurez de los controles deben contestarse los Cuestionarios.

• Directamente por los responsables de los controles sobre los activos cuyo
perfil tenga habilitado el permiso de “Entrevistado”. En este caso solo se
deberá acceder a este menú, y se presentarán los activos y controles para
generar los cuestionarios; el responsable debe contestar todos los
cuestionarios propuestos. Puede hacerlo en varias etapas, es decir, puede
contestarlos en función de su disponibilidad.
Permisos para Generar Cuestionarios


Para generar cuestionarios deben especificarse los siguientes parámetros:
• Empresa: opcionalmente, seleccionar la empresa de la lista propuesta. La
lista es función de las empresas asociadas al Escenario actual.
• Tipo de Área: opcionalmente seleccionar el tipo de área de la lista
propuesta, esta lista es función de la Empresa seleccionada.
• Área: opcionalmente, seleccionar el área de la lista propuesta, esta lista es
función de los dos parámetros anteriores.
cuestionarios. Si no se han seleccionado los parámetros anteriores, la lista
de opciones para seleccionar será la de todos los responsables (Propietarios
y Custodios, principales y delegados) existentes en el escenario. Si se
seleccionaron, la lista estará filtrada en función de dichos parámetros.
• Tipo Listado: los cuestionarios pueden configurarse de manera que sus
respuestas apliquen de tres maneras diferentes:
o Tipología: es la forma más genérica de responder cuestionarios.
Aquellos Detalles de la tipología definida en que se hayan
especificado Custodios y Propietarios pueden recoger respuestas de
madurez de controles. Estas respuestas tendrán efecto en TODOS
los escenarios definidos, por lo que deberá considerarse esta
opción solo en aquellos casos en que la gestión de los activos esté
concentrada en ciertos responsables.
o Solo Activos de Modelo: cuando se hayan definido activos De

Modelo, sus responsables podrán contestar cuestionarios cuyas
respuestas tendrán efecto en todos los activos asociados. Esta forma
de generar cuestionarios facilita enormemente la fase de
entrevistas, ya que se minimiza la cantidad de cuestionarios a
realizar. Por ejemplo, si un activo de modelo tiene 100 activos
asociados, un solo cuestionario vale para 100 casos. Solo debe
utilizarse si la madurez de los controles aplica para todos los activos
asociados, aunque es posible modificar respuestas para cada activo,
de ser necesario.
o Activos: es la forma más específica de confeccionar cuestionarios,
ya que sus respuestas tendrán efecto solo para cada activo en
particular.
• Tipo de Cuestionario: si se selecciona “Reducido”, solo se tendrán en
cuenta los Controles de primer nivel en el conjunto de preguntas. Si se
selecciona “Completo”, además de los controles se incluirán las
Verificaciones. La selección de este parámetro se debe realizar en función de
la disponibilidad del entrevistado y de la precisión deseada para el
diagnóstico.
• Solo Faltantes: si se chequea esta opción, solo se mostrarán aquellos
activos que cumplan los criterios anteriores y que tengan respuestas sin
responder.

La selección de estos parámetros deberá hacerse considerando que TODOS los
controles de TODOS los activo deben ser evaluados en su madurez para poder
hacer los cálculos de riesgo.
Para facilitar el proceso de entrevistas (que suele ser uno de los que consumen el
mayor esfuerzo), como regla general, lo más conveniente es:
1) Si es posible, en primer término contestar por Tipología. Recordar que
estas respuestas tendrán efecto en todos los escenarios, por lo que deberán
cumplirse condiciones particulares para poder hacerlo.
2) Continuar con los activos de modelo definidos en el escenario.
3) Generar cuestionarios para activos en particular.
4) El Tipo de Cuestionario debe establecerse como un compromiso entre la
disponibilidad de los entrevistados y la calidad deseada del diagnóstico.
Está contemplado que para un mismo activo existan múltiples respuestas, esto
podrá ser así cuando haya definidos más de un responsable por activo. Existe el
Importancia)
Los valores de las métricas asociadas a cada respuesta se calculan como un
promedio ponderado por la Importancia de las respuestas.
Existe la posibilidad de definir la importancia del par Activo – Entrevistado sin la

necesidad de generar los cuestionarios. Especificar las importancias deseadas y
hacer clic en el botón “Guardar Importancia”, quedarán definidas para futuras
generaciones de cuestionarios.
El siguiente ejemplo se ha realizado a nivel de activos y del tipo completo.
Selección de parámetros para Generar Cuestionarios
En función de la selección que el entrevistador realice (pueden seleccionarse

múltiples activos, incluso con distinta importancia), se indicará el Tiempo
Estimado de la entrevista los totales de preguntas seleccionadas y las que están
sin responder, de forma que pueda contemplarse la disponibilidad del entrevistado.
(Ver 3.1.3 Análisis de Riesgo)

Si se selecciona el tipo reducido, puede observarse la menor cantidad de preguntas
de los cuestionarios.
Ejemplo para el tipo de cuestionario “Reducido”
Si se selecciona el filtro de “Solo Faltantes”, se muestran aquellos activos que

tienen preguntas sin contestar y cumplen los demás criterios de selección.
Ejemplo filtrando “Solo Faltantes”

En el siguiente ejemplo, se ha seleccionado generar cuestionarios para los activos
de modelo de los que el entrevistado es responsable.
En el siguiente ejemplo, se ha seleccionado generar cuestionarios para las

tipologías de las que el entrevistado es responsable.
Los filtros se ejecutan al hacer clic en “Aplicar Filtros”.

En la sección “Filtros Adicionales” pueden especificarse los siguientes criterios:
• Tipología: seleccionar el Tipo, Subtipo o Detalle que se desea establecer
como filtro.
• Activo: (opcional) especificar el nombre del activo que se desea establecer
como filtro. La lista de opciones depende del parámetro anterior.
Haciendo clic en “Generar Cuestionario”, se presentará la lista de preguntas,

según los parámetros seleccionados.

Una vez generado el cuestionario, se presentará una lista de Preguntas y el
Control asociado, agrupadas por activo.
Deberán ingresarse las respuestas en la columna de Madurez, cuando no existan
respuestas ingresadas, las celdas estarán en color amarillo.
En el encabezado se informa del tiempo estimado para completar el cuestionario.
Cuando el cuestionario sea del tipo completo, se destacarán los controles (gris
oscuro) sobre las verificaciones (gris claro). Cuando se ingrese una respuesta
sobre el control, la misma se extenderá a todas sus verificaciones, siendo posible
modificarlas de ser necesario. Esta jerarquía de controles está definida en la Base
de Conocimiento. (Ver 9.1.3 Controles)

Puede darse el caso de que existan controles que no apliquen al cuestionario,
en estos casos, en la columna Madurez se oculta el combo. Se muestran al solo
efecto de una mejor comprensión del contexto de las preguntas correspondientes a
las verificaciones asociadas a estos controles.
De forma opcional, pueden ingresarse comentarios para todas las respuestas,

haciendo clic en el ícono de “Comentario”. Normalmente, esta facilidad es utilizada
cuando se realizan Auditorías de gestión.

En aquellos casos que se hayan ingresado respuestas sobre un activo de modelo,
y posteriormente se genere un cuestionario sobre uno de sus activos asociados,
estas respuestas serán destacadas en color azul.
De ser necesario, pueden modificarse las respuestas, éstas solamente tendrán
efecto sobre el activo en particular.
Para grabar el cuestionario, hacer clic en el ícono “Grabar”.
Los cuestionarios pueden grabarse, aunque no hayan sido contestados en su

totalidad, en este caso, deberán generarse nuevamente para continuarlos.

6.2.2. Preguntas Delegadas
Los usuarios a los que les hayan correspondido preguntas para responder (por ser
Propietarios o Custodios) pueden delegar a otros usuarios tantas preguntas como
estimen necesario, ya sea porque consideren que estas personas son más idóneas
para responderlas, porque los activos no están bajo su responsabilidad, etc. Las
preguntas ya delegadas NO pueden delegarse nuevamente por quién las recibe.
Para delegar preguntas, en la pantalla del Cuestionario, marcar las que se desee y
hacer clic en “Delegar”. Aparecerá la siguiente pantalla.
Puede ingresarse un “Mensaje” que recibirá la persona delegada, como explicación

de la acción.
Seleccionar la / las Personas a las que se delegarán las preguntas, agregarlas a la
lista con el botón “Agregar”. Las personas que aparecen en la lista desplegable son
todas aquellas con acceso al escenario actual.

Completados los datos anteriores, hacer clic en “Delegar”.
En la pantalla del Cuestionario las preguntas anteriores se indicarán con el ícono ,
que se transformará en el ícono luego de que se haga clic en “Grabar”.
Si quiere eliminarse la delegación de algunas preguntas, hacer clic en el ícono de

cada una y aparecerá la siguiente pantalla:
Haciendo clic en , se eliminará la pregunta de la lista de preguntas delegadas.
NOTA: la delegación efectiva de las preguntas se hace luego de “Grabar” el

Cuestionario.
Esta delegación se comunica a las correspondientes personas mediante un email (a

la dirección de correo declarada en su cuenta) y mediante la pantalla de
Novedades.

Por ejemplo, el usuario cccc, tendrá en su ventana de Novedades el aviso de la
delegación.
Haciendo clic en el mensaje, parecerá la pantalla con el detalle de las preguntas

delegadas y los comentarios que pudiera haber ingresado quién las delegó.

Haciendo clic en (+), podrán verse todos los mensajes.
También pueden eliminarse los mensajes de la ventana de Novedades, pero esta
acción NO eliminará las delegaciones.
Si este usuario ingresa a Generar Cuestionario, verá en la columna “Delegadas”

las cantidades de preguntas que le han sido delegadas por otros usuarios.

Luego de generar el correspondiente cuestionario, las preguntas delegadas serán
indicadas en color amarillo, para que el usuario las acepte o las rechace.
Las preguntas delegadas que el usuario acepte, deberán ser contestadas

normalmente y se marcarán con el color verde. Las rechazadas se mostrarán en
rojo y tachadas.

Si el usuario desea ingresar una explicación de su aceptación o rechazo, puede
marcar las preguntas y hacer clic en “Aceptar/Rechazar”.
Cuando se haga clic en “Grabar”, se enviarán los correspondientes mensajes

(emails y mensajes en Novedades)
En la ventana de Novedades del usuario que delegó las preguntas, se verán las
novedades generadas por estas acciones.

El REPORTE “Preguntas Delegadas” muestra todas las preguntas que han sido
delegadas al usuario actual, o que el usuario actual ha delegado a otro usuario. El
Administrador podrá ver todas las preguntas delegadas por otros usuarios.
La búsqueda de respuestas se inicia después de especificar los parámetros de

búsqueda (por activo, por responsable, por métrica, etc.)
Existen tres filtros especiales:
• Asignada a: <Mí / Otro usuario>
• Aceptada por: <Mí / Otro usuario>
• Rechazada por: <Mí / Otro usuario>
• Responsable: <Yo / Otro usuario>
• Acción: <Delegada / Aceptada / Rechazada>
Preguntas Delegadas
Además, pueden aceptarse o rechazarse preguntas de forma masiva, marcando

las deseadas y haciendo clic en los íconos o , respectivamente. Aparecerá la
siguiente pantalla de aviso:

6.2.3. Respuestas Registradas
Con esta funcionalidad pueden consultarse las respuestas registradas sobre los
activos del escenario. Funciona tanto como un mecanismo de control de avance,
como para facilitar la preparación de entrevistas.

búsqueda (por activo, por responsable, por métrica, etc.)
Respuestas Registradas
También pueden eliminarse respuestas , seleccionándolas y haciendo clic en el

ícono de “Eliminar”. Esta funcionalidad debe ser utilizada en caso de haberse
detectado errores en las respuestas, la eliminación de respuestas quedará
registrada para posibles auditorías.
Además, pueden importarse respuestas . De esta forma puede acelerarse la

fase de entrevistas, si se han recogido respuestas por otros medios fuera de R-
BOX.
Importación de Respuestas Registradas

Hay algunos campos de este reporte que requieren especial atención ya que
pueden ser de gran utilidad para la gestión de respuestas:
• Tipo de Origen: indica el tipo del origen EFECTIVO de la respuesta, puede
tomar los siguientes valores:
o Directo: la pregunta fue respondida sobre el Activo.
o Modelo: la pregunta fue respondida sobre un activo de modelo
asociado al Activo. Estas respuestas han sido “propagadas” al Activo
desde el Activo de modelo.
o Tipología: la pregunta fue respondida sobre el Detalle
correspondiente al Activo. Estas respuestas han sido “propagadas” al
Activo desde su Tipología.
• Origen: para los casos de Tipo de Origen = Modelo o Tipología, indica el
nombre donde efectivamente se ingresó la respuesta (nombre del Activo de
Modelo o Detalle).
• Hora: en que se registró la respuesta. (Traza de Auditoría)
• Fecha: en que se registró la respuesta. (Traza de Auditoría)
Campos de interés especial
Nota: si se quisiera exportar las respuestas EFECTIVAMENTE registradas en el

escenario, habría que filtrar por el campo Tipo de Origen = DIRECTO.

6.2.4. Respuestas Registradas de Tipología
Con esta funcionalidad pueden consultarse las respuestas registradas sobre las
Tipologías (Detalles). Estas respuestas tienen efecto en TODOS los escenarios.
Funciona tanto como un mecanismo de control de avance, como para facilitar la
preparación de entrevistas.

búsqueda (por responsable, por métrica, etc.)
Respuestas Registradas por Tipología
Los campos que pueden visualizarse en este reporte son:

6.2.5. Resumen de Preguntas
Este resumen de control sirve para identificar las preguntas que efectivamente
faltan contestar. Es de utilidad en aquellos contextos en que existen múltiples
interlocutores.
Resumen de Respuestas
Los campos de mayor interés son:

• Respondida: <Si / No> indica que al menos existe una respuesta sobre el
par Activo – Control.
• Aplica: <Si / No> indica que, en base a las respuestas registradas, el
campo Aplica (calculado como el promedio ponderado) ha superado el
Umbral de Validez de Controles.
• Faltantes: indica la cantidad de respuestas que faltan para el par Activo –
Control.
Estos tres campos dependen de los parámetros de “Cálculo” de Análisis de Riesgo

(Ver 3.1.3 Análisis de Riesgo).
Parámetros de AR que afectan estos campos

R-BOX permite múltiples respuestas para el par Activo – Control, dependiendo
de las responsabilidades definidas (Propietarios y Custodios), los activos de modelo
existentes y si existen respuestas a nivel de Tipología.
Cada respuesta para el par Activo – Control genera información para determinar
dos parámetros calculados en base a promedios ponderados por el parámetro
Importancia:
• Resultado.Aplica: <SI / NO> indica si el control EFECTIVAMENTE aplica
sobre el correspondiente activo.
• Resultado.Valor: valor entre 0 y 1 que indica el coeficiente de madurez
calculado.
Los promedios ponderados para un cierto Valor se calculan en base a la siguiente

fórmula:
N
∑ Im i × Valori
PP ≡ i =1
N
∑ Im
i =1
i
Los Valores de Importancia (Imi) son parámetros definidos en las Tablas Maestras:
(Ver 6.1.14.5 Importancia)
Valor dependerá del parámetro que se esté calculando:

• Para Aplica, toma los valores 1 para “Si” y 0 para “No”, en cada respuesta.
• Para el coeficiente de madurez (CM), toma el valor definido en la tabla
maestra de Modelo de Madurez, para cada respuesta. (Ver 9.1.4 Modelo de
Madurez)

El siguiente ejemplo muestra la forma en que se obtienen los valores de cálculo:
• Resultado.Aplica
• Resultado.Valor
Suponiendo que tres entrevistados hayan respondido cuestionarios para un activo,

y que el entrevistador haya determinado los siguientes parámetros de
Importancia para cada uno de ellos:
• A Alta 1,0
• B Media 0,5
• C Baja 0,1
En las columnas “Definido en Cuestionarios” se muestran las respuestas que han

ingresado los tres entrevistados.
En las columnas “Tablas Maestras y Cálculos” se muestran los valores obtenidos

en función de las respuestas, de los parámetros de Tablas Maestras y de los
cálculos internos de R-BOX.
Para cada respuesta, se manejan tres valores:
• Valor de Importancia: depende la importancia asignada y de la tabla de
Importancia.
• Respuesta Valor: depende de la respuesta ingresada y de la tabla de
Modelo de Madurez.
• Aplica Valor: depende de la respuesta ingresada, si ésta es “No Aplica” es
igual a 0; es 1 para las demás respuestas posibles.
Para Respuesta Valor, se muestran los valores obtenidos en función del parámetro
de Análisis de Riesgo “Ponderar Respuestas NO APLICA” (Ver 3.1.3 Análisis de
Riesgo):
(1) “NO”: los valores de las respuestas “No Aplica” se descartan y no serán
tenidos en cuenta en el caso de que se determine que el control
EFECTIVAMENTE aplica sobre el activo. (Se muestran como “#N/A”)
(2) “SI”: los valores de las respuestas “No Aplica” se ponen en cero, para
participar del promedio ponderado en el caso de que se determine que el
control EFECTIVAMENTE aplica sobre el activo. (Se muestran como 0)

En función de los datos anteriores se calculan los promedios ponderados para Aplica
y la Madurez, según la fórmula:
N
∑ Im i × Valori
PP ≡ i =1
N
∑ Im
i =1
i
Suponiendo que se ha determinado el parámetro “Umbral de Validez de

Controles” = 0,10
Para el caso del control “ctrl.-02”:

1 .0 * 0 + 0 .5 * 0 + 0 .1 * 1
CálculoAplica = = 0.0625
1 .0 + 0 .5 + 0 .1
Como es menor al umbral (0,0625 < 0,10) Resultado Aplica = NO
Por lo tanto, Resultado Valor = #N/A, es decir, no participará en los

cálculos.
Para el caso del control “ctrl.-03”:

1 .0 * 1 + 0 .5 * 1 + 0 .1 * 0
CálculoAplica = = 0.9375
1 .0 + 0 .5 + 0 .1
Como es mayor al umbral (0,9375 > 0,10) Resultado Aplica = SI
Resultado Valor se muestra para los dos casos:

Se descartan los “No Aplica” (1)
1.0 * 0.15 + 0.5 * 0.05
Re sultadoValor = = 0.1167
1 .0 + 0 .5
Los “No Aplica” participan como Inexistentes (2)

1.0 * 0.15 + 0.5 * 0.05 + 0.1 * 0.00
Re sultadoValor = = 0.1094
1 .0 + 0 .5 + 0 .1

6.2.6. Respuestas Múltiples
Muestra aquellas preguntas que han sido contestadas por más de un entrevistado.
No se tienen en cuenta las respuestas “No Aplica”.
Reporte de respuestas múltiples
Este reporte sirve de apoyo al seguimiento durante la fase de entrevistas.

6.2.7. Respuestas inválidas
Se muestran aquellas respuestas registradas que, por diversos motivos, se

consideran inválidas.
Reporte de respuestas inválidas
Los motivos que pueden generar respuestas inválidas son:

• Se cambiaron los responsables de algún activo (Custodio y/o Propietario) y
el o los responsables anteriores registraron respuestas sobre ese activo.
• Se ha eliminado algún activo con respuestas registradas.
• Sobre algún activo incorporado de otro escenario se han contestado
preguntas y posteriormente se lo desvincula del escenario actual.
• Se han contestado preguntas sobre algún activo de modelo, estas
respuestas se propagaron sobre los activos que lo componen y
posteriormente se cambian las dependencias dejando fuera del activo de
modelo a alguno de estos activos.
• Se han contestado preguntas sobre activos de un cierto Detalle y
posteriormente se ha determinado que el Detalle es “No Analizable”.
• En Tablas Maestras se ha cambiado el parámetro V_TARGET de algunos
controles que han sido respondidos sobre activos cuyo Detalle ya no está
incluido en la lista de V_TARGET. (Ver 9.1.3 Controles)
Nota: Esta lista debe estar vacía ya que es una de las condiciones de cierre del
módulo de Análisis de Riesgo.

6.2.8. Respuestas sin Importancia
Muestra aquellas respuestas registradas por parte de los entrevistados, pero que el
entrevistador no ha asignado la correspondiente Importancia.
Existen dos reportes: Por Activos y Por Tipología.
Menú de acceso a respuestas sin importancia
Para corregir esta situación, existe la posibilidad de definir la importancia del par
Activo – Entrevistado sin la necesidad de generar los cuestionarios. Especificar las
importancias deseadas y hacer clic en el botón “Guardar Importancia”, quedarán
definidas para futuras generaciones de cuestionarios.
Selección de parámetros para Generar Cuestionarios

6.2.8.1. Por Activo
Lista las preguntas registradas sobre activos, que no tienen asignada la

Importancia.
Reporte de respuestas sin importancia por activos
6.2.8.2. Por Tipología
Lista las preguntas registradas sobre Detalles, que no tienen asignada la

Importancia.
Reporte de respuestas sin importancia por tipología

6.2.9. Activos sin respuesta asociada
Lista los activos sobre los cuales falta contestar alguna pregunta, por parte de sus
responsables. Se contempla el hecho de que pueden haberse contestado sobre
activos de modelo; en estos casos, no se muestran en esta lista los
correspondientes controles.
Inicialmente, no se muestran los controles y las preguntas, por lo que el campo

“Preguntas” muestra las cantidades sumarizadas de preguntas que aplican en
cada registro del reporte.
El campo “Respuestas” muestra la cantidad respuestas ingresadas en cada
registro.
La condición para mostrar registros en este informe es cuando “Respuestas” es

menor a “Preguntas”.
Reporte de activos sin respuesta asociada

Si se agrega el campo “Control”, se obtendrá la lista de respuestas faltantes para
cada activo.
Reporte cuando se muestra el campo Control (y/o Pregunta)
Esta lista puede ser exportada y utilizada para importar las respuestas en
Respuestas Registradas.

6.2.10. Ajustar Probabilidad
Mediante esta funcionalidad, es posible modificar la Probabilidad Estándar definida

en las Tablas Maestras. Los motivos para hacer este ajuste provienen de
contemplar aquellos aspectos de la realidad de la Organización que deban ser
modelados en los cálculos de riesgo.
Generalmente se trata de medidas adoptadas, o no, dentro de la Organización que
hagan necesario aumentar o disminuir la probabilidad de las Amenazas sobre los
activos.
Pantalla de ajustar probabilidad
ABM de ajustar probabilidad
Deben agregarse las modificaciones a la probabilidad estándar para un par

Amenaza-Activo completando / considerando los siguientes campos.
• Amenaza: Ingresar el nombre de la Amenaza.
• Activo: ingresar el nombre del Activo.
• Observaciones: opcionalmente, ingresar una justificación o explicación del
ajuste realizado.
• P_std: se muestra la Probabilidad estándar existente en Tablas Maestras
para el par Amenaza – Detalle (del activo especificado).
• P_ef: permite especificar la Probabilidad Efectiva. Esta será la probabilidad
que será considerada en todos aquellos cálculos en que aparezca el par
Amenaza-Activo.
• Valor: muestra el valor numérico de P_ef ingresada.

6.3. AR - Cálculos
Los cálculos se inician al cerrar el módulo de Análisis de Riesgo, para ello debe
accederse al siguiente menú.
Menú de Acceso a la Auditoría de Módulos de AR
Para procesar los cuestionarios del escenario, hacer clic en el ícono.
Pantalla de Auditoría de Módulos de AR

Se presentará el siguiente mensaje:
Mensaje de previo al cierre
Deberá especificarse la opción deseada respecto a las validaciones de cierre:

o Con Validaciones: se realizarán todas las validaciones para cerrar el
módulo (que todas las respuestas hayan sido ingresadas, y que se hayan
definido todos los parámetros de Importancia); si hubiera errores de
validación, el procesamiento se detendrá y se generará un informe
detallando los errores.
o Sin Validaciones: si se desea ver resultados parciales del Análisis de
Riesgo, pueden evitarse las validaciones y evaluar el avance del proceso

Tener cuenta que los resultados solo serán válidos si se completan las
validaciones. Los reportes indicarán esta condición con el candado abierto:
Una vez iniciado el cierre, se mostrará el avance del procesamiento.
Avance del procesamiento de cuestionarios
El tiempo de procesamiento puede tardar varios minutos, en función del tamaño del
escenario del análisis.

6.4. AR – Reporting
Mediante un conjunto de reportes, se muestran los resultados del Análisis de Riesgo

correspondientes al escenario actual.
Menú de acceso a los reportes de Análisis de Riesgo
Todos los reportes de análisis de riesgo, pueden ser configurados y adaptados

según lo que se crea más conveniente. Haciendo clic en el ícono de “Seleccionar
Campos”, podrán agregarse campos al informe, especificar su formato y
ordenarlos. También podrán especificarse las cantidades de decimales deseadas y
el factor de ajuste, según sea necesario.
Seleccionar Campos del Reporte
Con el parámetro “Matriz de Riesgo”, puede seleccionarse:

• Riesgo Efectivo: calculado teniendo en consideración los niveles de
madurez de los controles existentes. (Es el riesgo “verdadero”)
• Riesgo Intrínseco: calculado sin tener en cuenta los controles existentes.
(Este riesgo depende exclusivamente de los modelos Funcional y de
Negocio)
El parámetro “Vista” permite seleccionar entre:

• Valores Cualitativos, muestra el riesgo como un porcentaje del valor total
definido en el escenario.
• Valores Cuantitativos, muestra el riesgo como valores monetarios.
Estos ajustes podrán guardarse para ser utilizados posteriormente.

6.4.1. Riesgo General
Este reporte presenta los resultados expresados en términos de Riesgo General

(Rg), es decir, es un indicador que contempla el riesgo de todo el escenario.
Los resultados se presentan para cada dimensión de clasificación y para el total.

Reporte de Riesgo General
Además, se muestra la Distribución de Controles por nivel de madurez, en

función de las respuestas registradas por todos los entrevistados sobre todos los
activos del escenario.

6.4.2. Ranking de Amenazas
Este reporte permite analizar el riesgo que representan las amenazas dentro del
escenario. Los resultados se presentan para cada dimensión de clasificación y para
el total.
También se presentan los costos de llevar los controles desde el diagnóstico hasta
el máximo nivel de madurez, (el alcance “real” será el que se defina en la Gestión
de Riesgo).
Matriz del Reporte de Ranking de Amenazas
Los resultados también se presentan de forma gráfica.

Los gráficos de burbujas presentan la información de riesgo en sus dos
dimensiones: Probabilidad e Impacto. El radio de la burbuja es función del
Costo. Este tipo de informes es de gran utilidad para la Gestión del Riesgo, ya que
lo más apropiado sería actuar en primera instancia sobre las burbujas más
pequeñas que se encuentren en el cuadrante superior derecho (pueden
considerarse “quick-wins, ya que representan un alto riesgo y solucionarlas tiene un
bajo costo).
Los campos a mostrar pueden seleccionarse entre los Riesgos en cada dimensión
(R_C, R_I, R_D, R_A, etc.); las Probabilidades en cada dimensión (P_C, P_I, P_D,
P_A, etc.); los Impactos en cada dimensión (I_C, I_I, I_D, I_A, etc.). Los valores
cuantitativos para el riesgo y el impacto se muestran como (R_C-ec, R_I-ec, R_D-
ec, R_A-ec, etc.) y (I_C-ec, I_I-ec, I_D-ec, I_A-ec, etc.) respectivamente.
Cuando se muestran riesgos intrínsecos, los campos son (Ri_C, Ri_I, Ri_D, Ri_A,
etc.)

6.4.3. Ranking de Vulnerabilidades
Este reporte permite analizar el riesgo que representan las vulnerabilidades dentro
del escenario. Es similar al Ranking de Amenazas.
En todos los informes, los valores se muestran con la cantidad de decimales y
multiplicados por el Factor de Normalización definidos en los parámetros de R-BOX
(Ver 3.1.3 Análisis de Riesgo).
Matriz del Reporte de Ranking de Vulnerabilidades

dimensiones: Probabilidad e Impacto. El radio de la burbuja es función del
Costo.

6.4.4. Riesgo por Activo
Este reporte permite analizar el riesgo presente en cada activo del escenario.
Matriz del Reporte de Riesgo por Activo
Los gráficos de barras y de burbujas.


6.4.5. Matriz de Resultados
Muestra todos los parámetros de cálculo, incluso cálculos intermedios, utilizados en

la determinación de los resultados de riesgo del escenario vigente.
Inicialmente, deberán seleccionarse dos parámetros de filtro:

• Activo: ingresar el nombre del activo sobre el que se desea ver la Matriz de
Resultados.
• Matriz de Riesgo: seleccionar entre Riesgo Efectivo o Riesgo Intrínseco.
Matriz de Resultados, pantalla inicial
Una vez seleccionados los parámetros, hacer clic en “Aplicar Filtros”, y se

generará el reporte.
Matriz de Resultados, luego de Aplicar Filtros
NOTA: este reporte está limitado a consultar de a un activo por vez. Si se quiere
realizar el seguimiento de los cálculos en varios activos, deberá realizarse uno por
uno.

Con “Seleccionar Campos” pueden elegirse los siguientes campos para visualizar
en el reporte:
• Amenaza: nombre de la Amenaza que aplica al Activo seleccionado.

Depende de la tipología del activo (Ver 4.2.1.1 Alta de un Activo) y de las
relaciones definidas en Tablas Maestras (Ver 6.1.12 Relación Amenaza –
Vulnerabilidad).
• Control: nombre del control que aplica al Activo seleccionado, en función
del parámetro V_TARGET (Ver 9.1.3 Controles).
• Contramedida: es el campo Recomendación del Control. (Ver 9.1.3
Controles)
• EF_P: Es el código de la Efectividad del Control respecto a la Prevención.
• EF_P_Valor: Es el valor de cálculo asociado a EF_P. (Ver 6.1.14.3
Efectividad)
• P_std: probabilidad estándar para la correspondiente Amenaza y el Detalle
del Activo seleccionado. (Ver 6.1.13 Probabilidad Estándar). El número que
multiplica es el Factor de Normalización de Probabilidad (Ver 3.1.3 Análisis
de Riesgo)
• P_ef: es la Probabilidad Efectiva, si se realizaron ajustes en el Submódulo
“Ajustar Probabilidad”, caso contrario, es igual a P_std. (Ver 6.2.10 Ajustar
Probabilidad). El número que multiplica es el Factor de Normalización de
Probabilidad (Ver 3.1.3 Análisis de Riesgo)

• CM_Calc: es el Coeficiente de Madurez calculado para el Control sobre el
Activo seleccionado. (Ver 6.2.5 Resumen de Preguntas)
• Vn_x: es el Valor Normalizado del Activo seleccionado, en las dimensiones
(C: Confidencialidad; I: Integridad; D: Disponibilidad; A: Auditabilidad;
etc.). (Ver 5.3 CL - Cálculos)
• DEG_x: es el valor de cálculo asociado al grado de degradación que la
explotación de la Vulnerabilidad por parte de la Amenaza tiene en cada
Dimensión (Ver 6.1.12 Relación Amenaza – Vulnerabilidad) (Ver 6.1.14.4
Degradación).
• Ef_x: es el valor de cálculo asociado a la Efectividad del control respecto al
impacto en cada una de las dimensiones de clasificación. (Ver 9.1.3
Controles) (Ver 6.1.14.3 Efectividad)
• P_x: Es la probabilidad calculada para cada una de las dimensiones. Si el
impacto (I_x) es no nulo, es igual a P_ef, caso contrario es igual a cero. El
número que multiplica es el Factor de Normalización de Probabilidad (Ver
3.1.3 Análisis de Riesgo)
• I_x: es el impacto calculado en cada dimensión:
I _ x = Vn _ x * DEG _ x * (1 − Ef _ x * CM _ Calc)
• R_x: es el riesgo que, en cada dimensión, representa la explotación de la
Vulnerabilidad por parte de la Amenaza sobre el Activo Seleccionado. Es el
riesgo calculado “para una fila” de la Matriz.

R_ x = P_ x*I _ x

6.4.6. Matrices de Riesgo
Son reportes que combinan la vista de los resultados de riesgo por los criterios de
Activo, Amenaza y Vulnerabilidad, en formato de matriz.
Menú de acceso al Reporte de Matrices de Riesgo
6.4.6.1. Activo-Amenaza
Con este reporte puede verse el riesgo que representan las Amenazas sobre los
activos, permitiendo aplicar varios filtros y agruparlas por Grupo de Amenaza y por
Amenaza. Además, desde la matriz generada, permite ver los resultados de Riesgo
de las Vulnerabilidades relacionadas en la Base de Conocimiento.
Existen tres secciones de filtros:
• General
• Grupos de Amenazas
• Activos
Filtros del Reporte de Matrices de Riesgo

En el “Filtro General”, podrá seleccionarse la Matriz de cálculo deseada, la de
Riesgo Efectivo (por defecto) y la de Riesgo Intrínseco (sin considerar las
contramedidas existentes). Con el parámetro Vista podrá seleccionarse entre
valores cualitativos o cuantitativos.
En la sección “Grupos de Amenazas”, aparecen los Grupos y el correspondiente

Riesgo Equivalente, calculado para el Escenario vigente.
Haciendo clic en el botón, pueden mostrarse / ocultarse las correspondientes

Amenazas.
Filtro General y Grupos de Amenazas
Deberán seleccionarse los Grupos y/o Amenazas que se deseen incorporar al

Reporte. Si se quieren incluir TODAS las Amenazas de un Grupo, chequear el
checkbox del encabezado.
También puede seleccionarse el color de referencia para los Grupos y/o Tipos de
amenazas en el reporte.

Opcionalmente, el reporte puede ser limitado a un conjunto de activos, aplicado el
“Filtro de Activos”. Si no se especifica nada en este filtro, se aplicará para TODOS
los activos del Escenario vigente.
Los Activos pueden filtrarse por los siguientes criterios:
• Activo: el reporte estará referido
Filtro de Activos
Una vez determinados los filtros deseados, hacer clic en el ícono “Aplicar Filtros”,
para generar el reporte de Matriz de Riesgo.
Reporte de Matriz de Riesgo
En este reporte pueden verse los valores de Riesgo Total para cada Activo (filas) y
cada Grupo / Amenaza (columnas).
Permite un diagnóstico visual y rápido de los eventos que representan riesgos sobre
los diferentes activos.
Para analizar en mayor profundidad los resultados mostrados, puede hacerse clic
en una celda de la Matriz, se generará un reporte con los controles asociados al
correspondiente Activo / Amenaza.
Pueden verse los valores de Impacto (I_tot), Probabilidad (P_tot) y Riesgo
(R_tot) que la Amenaza (grupo o tipo de Amenaza) representa sobre el
correspondiente Activo explotando sus Vulnerabilidades. También se muestran los
Coeficientes de Madurez (CM) de cada control (en función de las respuestas de los
cuestionarios).

Reporte de Matriz de Riesgo + Controles aplicables al activo
Si se hace clic sobre un Control, se visualizarán sus parámetros generales y de

Efectividad, según lo definido en las Tablas Maestras. (Ver 9.1.3 Controles)
Parámetros del Control

6.4.7. Matriz de Gestión
Este reporte permite comparar la importancia de cada activo (Valor normalizado

o Clasificación Propagada) con el nivel de madurez de los controles que le
aplican, esta madurez determina el grado de Exposición del activo.
Reporte de Matriz de Gestión
La Exposición se define como el cociente entre el Riesgo Efectivo y el Riesgo

Intrínseco, calculados para cada activo:
RiesgoEfectivo
EXP ACTIVO
= ACTIVO
RiesgoIntrín sec o ACTIVO
Se calcula para cada dimensión (EXP_x) y para el total (EXP_tot).
La Exposición es un indicador del estado de la gestión sobre cada activo, ya que

Ri depende exclusivamente de los Modelos Funcional y de Negocio mientras que Re
incorpora al Modelo de Gestión. Exposiciones cercanas a cero (Re 0) indican una
muy buena gestión. Exposiciones cercanas a uno (Re Ri) indican una mala
gestión.
Los criterios para evaluar los niveles (Alto, Medio o Bajo) del valor y de la
exposición pueden definirse con varios parámetros en dos posibles escalas:
• Pareto
• Directa
En base a estos criterios y al diagnóstico de riesgo se conforma una tabla que

muestra para cada activo su valor normalizado, su clasificación propagada, su
riesgo intrínseco y efectivo, su exposición y su cuadrante dentro del gráfico.
• Los cuadrantes 3-2, 3-3 y 2-3 se representan en rojo
• Los cuadrantes 3-1, 2-2 y 1-3 se representan en amarillo
• Los cuadrantes 2-1, 1-1 y 1-2 se representan en verde

Como regla general, en función de las políticas de gestión de cada Organización, los
activos de valor alto deberían ser monitorizados continuamente; los de valor
medio de forma periódica.
De la misma forma, los activos de exposición alta y media requieren intervención
mediante planes de acción para mitigar los riesgos que representan.
Los gráficos se conforman en función de la cantidad de activos en cada cuadrante y

se muestran para el total y para cada una de las dimensiones de clasificación.
ACTUAR
Monitorizar
En formato gráfico

Si se desea, haciendo clic en una burbuja puede verse el detalle de los activos
dentro del correspondiente cuadrante.
Lista de activos en un cuadrante
Haciendo clic en el nombre de un activo, se mostrarán sus atributos básicos. (Ver

4.2.1.1 Alta de un Activo)
Información de un activo

En la sección “Configuración del Reporte” pueden definirse los siguientes
parámetros:
Cuadrantes: define la forma en que se mostrarán los cuadrantes en los gráficos.

• Fijos: las divisiones de los cuadrantes se fijan en cada tercio de Valor y de
Exposición, y se mostrarán en cada cuadrante las cantidades de activos
correspondientes.
• Variables: las divisiones de los cuadrantes se muestran en cada límite
establecido, y se mostrarán los activos individualmente.
Indicadores: (solo para Cuadrantes = Variables) establece el máximo de activos

que se mostrarán en el gráfico <Todos; 10; 20; 50; 100>. Cuando hay gran
cantidad de activos a mostrar, el gráfico puede hacerse complejo, con este
parámetro se mostrarán los primeros, según el Ranking calculado.
Burbujas: (solo para Cuadrantes = Variables) define el tamaño de las burbujas.

<Pequeñas; Medianas; Grandes; Muy Grandes>.
Valor a Graficar: define como se medirá la importancia del activo, con su Valor
Normalizado o con su Clasificación Propagada.
Escala: define la forma en que serán interpretados (Alto, Medio o Bajo) tanto el
Valor como la Exposición.
• Pareto: los rangos Alto, Medio y Bajo se determinarán en base a los
porcentajes de activos dentro de cada límite establecido:
o % Acumulado superior: ordenando (para Valor y Exposición) de mayor a
menor y acumulando estos valores como porcentajes del total, este
parámetro representa el límite superior. Los % acumulados iguales o
mayores a este parámetro serán considerados ALTOS.
o % Remanente: de la misma forma que en el anterior, este parámetro
representa el límite inferior. Los % acumulados iguales o menores a este
parámetro serán considerados BAJOS.
o Los porcentajes comprendidos entre ambos parámetros serán considerados
MEDIOS.
• Directa: los rangos Alto, Medio y Bajo para Valor y Exposición se
determinarán en base a límites establecidos directamente:
o Límite Superior: Los activos cuyo Valor o Exposición sea mayor o igual a
este parámetro serán considerados ALTOS.
o Límite Inferior: Los activos cuyo Valor o Exposición sea menor o igual a
este parámetro serán considerados BAJOS.
o Los activos cuyo Valor o Exposición se encuentre entre ambos límites, serán
considerados MEDIOS.

Módulo
de
Gestión de Riesgo

7. Módulo de Gestión de riesgo
7.1. GR - Base de Conocimiento
La Base de Conocimiento de la Gestión de Riesgo consiste una serie de datos

estadísticos de Análisis de Riesgo anteriores, que serán utilizados para definir los
parámetros de gestión y la toma de decisiones, es decir, los Umbrales de Riesgo.
Menú de acceso a las Tablas Maestras de GR
7.1.1. Estadísticas de AR
Los datos son ingresados en forma de matriz, cuyas filas contienen las dimensiones
de clasificación y el total para cada uno de los escenarios definidos.
Ingreso de Estadísticas de AR

Los datos a ingresar son los siguientes:
• Rd: Vector de Riesgo Efectivo General determinado en el Diagnóstico, para
cada dimensión de clasificación y el total.
• Ri: Vector de Riesgo Intrínseco General, para cada dimensión de
clasificación y el total.
• Rg_Corto, Medio y Largo: vectores de Riesgo Efectivo General resultantes
de aplicar el correspondiente Plan de Acción, para cada dimensión de
clasificación y el total.
Esta información puede ser obtenida automáticamente, haciendo clic en el ícono

de Actualizar de cada análisis. Al hacer esto, pueden darse varios casos:
• Que estén disponibles todos los datos, es decir, que esté cerrado el
módulo de AR y que se haya simulado el Plan de acción en el escenario. En
este caso, se completarán todos los datos del escenario.
• Que se haya cerrado el módulo de AR, pero que todavía no se haya
simulado el Plan de Acción. En este caso, se completarán Rd y Ri, y en la
columna “Largo” se sugerirán valores en función de los parámetros de
gestión vigentes. Los datos de “Corto” y “Medio” quedarán vacíos y pueden,
opcionalmente, capturarse directamente.
• Que no se haya cerrado el módulo de AR, con lo que todos los datos
estarán vacíos y podrán ser capturados directamente.
Los datos capturados serán reemplazados por los resultados reales si después de
cerrar los correspondientes módulos se actualizan las estadísticas.
Un caso particular es el de los Escenarios Externos. Estos escenarios son creados

al solo efecto de ingresar sus datos estadísticos, es decir, no se pueden actualizar
estos datos, ya que no se han hecho los cálculos en esta instancia de R-BOX. Los
datos de estos escenarios solo podrán ser capturados. (Ver 3.5 Escenarios)
Definición de un escenario externo

7.1.2. Límites de Riesgo Externos
En el caso de los escenarios externos, los límites de riesgo (Ver 7.2.1 Límites de
Riesgo) deben ser capturados directamente en esta pantalla.
Ingreso de Límites de Riesgo para escenarios externos
Aparecerá la lista de escenarios externos existentes, y deberán completarse los

parámetros Punto Bajo (Pb) y Punto Alto (Pa). (Ver 7.2.1 Límites de Riesgo)

7.1.3. Validación de Límites
Mediante esta funcionalidad, se seleccionan los datos estadísticos que serán tenidos
en cuenta para la determinación de los umbrales.
Validación de Límites
Los datos serán filtrados mediante los siguientes parámetros:

• Rubro de Empresa: seleccionar entre los rubros definidos, el que mejor se
adapte a las características de la Organización. (Ver 3.3.1 Empresas)
• Tamaño de Empresa: seleccionar entre los tamaños definidos, el que
mejor se adapte a las características de la Organización. (Ver 3.3.1
Empresas)
• Fecha Inicial: de validez de los escenarios. (Ver 3.5 Escenarios)
• Fecha Final: de validez de los escenarios. (Ver 3.5 Escenarios)
• Considerar estadísticas Provistas: si se marca esta opción, se mostrarán
los escenarios externos provistos en R-BOX, caso contrario, solo se
mostrarán los escenarios ingresados por el Usuario. (Ver 3.5 Escenarios)
Con los registros resultantes, deberá decidirse cuales serán considerados válidos
para la determinación de los umbrales, una vez que se haya cerrado el submódulo.
Los filtros especificados pueden salvarse, asignando un nombre en el campo

“Filtro” y haciendo clic en “Grabar”.
Los datos mostrados en forma de matriz son los cocientes entre los puntos alto y
bajo y los correspondientes Riesgos Intrínsecos de cada análisis en las estadísticas
seleccionadas. (Ver 7.2.1 Límites de Riesgo)

7.1.4. Determinación de Umbrales
Su finalidad es obtener los umbrales de riesgo que servirán de referencia en toda

la Gestión de Riesgo. No se ingresan datos en este módulo, es decir, tiene la
funcionalidad de un reporte que se ubica en este menú por motivos de practicidad y
uso.
Se determinan dos umbrales de riesgo:

• Alto: los valores de riesgo igual o mayor serán considerados Altos, y
deberán ser gestionados con especial atención.
• Bajo: los valores de riesgo igual o menor serán considerados Bajos, y será
admisible no tomar acciones de gestión sobre los mismos.
Los valores aquí presentados con el subíndice (#) deberán interpretarse como
“normalizados”. Esta normalización se realiza como el cociente entre valores de
riesgo y el Riesgo Intrínseco. Es decir, que para determinar los umbrales de un
escenario en particular, se deberán multiplicar los valores normalizados por el
correspondiente Riesgo Intrínseco del escenario.
Se hace de esta manera, porque permite independizarse de las diferentes escalas
utilizadas en cada caso en particular.
Determinación de Umbrales

El gráfico de la izquierda muestra en las ordenadas el riesgo “normalizado”
calculado en este módulo.
Los colores son:
• Negro: para el Riesgo Estadístico de Diagnóstico (Rd#) (Ver 7.1.1
Estadísticas de AR)
• Rojo: para el Punto Alto Validado (Pa#) (Ver 7.1.3 Validación de Límites)
• Azul: el Riesgo Estadístico de Largo plazo (Rr#) y para el Punto Bajo
Validado (Pb#) (Ver 7.1.3 Validación de Límites)
El gráfico del centro muestra los umbrales de riesgo “normalizados” calculado en

este módulo.
Los colores son:
• Negro: para el Riesgo de Diagnóstico normalizado (Rd#)
• Rojo: para el Umbral de Riesgo Alto normalizado (Ua#)
• Azul: para el Umbral de Riesgo Bajo normalizado (Ub#)
El gráfico de la derecha muestra los umbrales de riesgo “normalizado” en cada

dimensión CIDA.
Los colores son:
• Negro: para el Riesgo de Diagnóstico normalizado (Rd#_x), en cada
dimensión CIDA
• Rojo: para el Umbral de Riesgo Alto normalizado (Ua#_x), en cada
dimensión CIDA
• Azul: para el Umbral de Riesgo Bajo normalizado (Ub#_x), en cada
dimensión CIDA

7.1.5. Comparativa de Análisis
Su finalidad es la comparación de los diferentes análisis, tomando como referencia

los Umbrales calculados en el módulo de Determinación de Umbrales.
No se ingresan datos en este módulo, es decir, tiene la funcionalidad de un reporte
que se ubica en este menú por motivos de practicidad y uso.
Comparativa de Análisis, en formato tabla
Comparativa de Análisis, en formato gráfico

El gráfico muestra en sus ordenadas la escala de referencia de riesgo “normalizado”
y en las abscisas cada Análisis validado en el módulo de Validación de Límites
(Ver 7.1.3 Validación de Límites), los colores son:
• Negro: para el Riesgo de Diagnóstico normalizado (Rd#)
• Rojo: para el Punto Alto Validado (Pa#)
• Azul: para el Punto Bajo Validado (Pb#)
Los tres valores corresponden a los obtenidos en el módulo de Determinación de
Umbrales para cada Análisis. (Ver 7.1.4 Determinación de Umbrales)
Las líneas de referencia del gráfico son:

• Negra: para el Riesgo de Diagnóstico normalizado (Rd#)
• Roja: para el Umbral de Riesgo Alto normalizado (Ua#)
• Azul: para el Umbral de Riesgo Bajo normalizado (Ub#)
Las tres franjas de color representan los riesgos Alto, Medio y Bajo.

7.2. GR - Flujos y Captura
Se ingresa la información necesaria para realizar la Gestión de Riesgo en el

escenario seleccionado.
Menú de acceso a Gestión de Riesgo
7.2.1. Límites de Riesgo
Esta funcionalidad es para determinar los límites de riesgo considerados Alto, Medio
y Bajo dentro del escenario actual.
El principio que aquí se aplica es la conocida Ley de Pareto o de 80-20.

“Si hacemos una lista con todas las causas que contribuyen en la obtención o
aparición de cualquier efecto que nos interese analizar, ordenándolas de mayor a
menor según la magnitud de la contribución de cada una, encontraremos que la
importancia relativa de las primeras es tan grande en comparación con las últimas,
que aproximadamente el 20 por ciento de ellas son responsables del 80 por
ciento del efecto total y el 80 por ciento restante de causas es responsable
solamente del 20 por ciento restante del efecto”.
Definición de parámetros para los Límites de Riesgo

Para definir el Límite Superior (Punto Alto) del escenario, deberá especificarse el
parámetro:
• Porcentaje de Riesgo Acumulado: representa el porcentaje de riesgo
acumulado por los primeros activos del ranking.
En función de este parámetro se informarán los siguientes valores:

• Posición en el Ranking: posición en el ranking del último activo con riesgo
igual o mayor al Punto Alto.
• Punto Alto: valor a partir del cual los riesgos son considerados altos dentro
del escenario.
• Pa correspondiente a la Gestión Actual: este valor sirve como guía para
la determinación del Punto Alto, y es igual al Umbral de Riesgo (Ua#) vigente
multiplicado por el Riesgo Intrínseco calculado para el escenario. Es decir,
es un valor sugerido que deberá ser comparado con el Punto Alto obtenido
y, de considerarlo necesario, ajustar el valor de Porcentaje de Riesgo
Acumulado. (Ver 7.1.4 Determinación de Umbrales)
Para definir el Límite Inferior (Punto Bajo) del escenario, deberá especificarse el
parámetro:
• Porcentaje de Riesgo Remanente: representa el porcentaje de riesgo
acumulado por los últimos activos del ranking.
En función de este parámetro se informan los siguientes valores:

• Posición en el Ranking: posición en el ranking del primer activo con riesgo
igual o menor al Punto Bajo.
• Punto Bajo: valor a partir del cual los riesgos son considerados bajos
dentro del escenario.
• Pb correspondiente a la Gestión Actual: este valor sirve como guía para
la determinación del Punto Bajo, y es igual al Umbral de Riesgo (Ub#)
vigente multiplicado por el Riesgo Intrínseco calculado para el escenario.
Es decir, es un valor sugerido que deberá ser comparado con el Punto Bajo
obtenido y, de considerarlo necesario, ajustar el valor de Porcentaje de
Riesgo Remanente. (Ver 7.1.4 Determinación de Umbrales)
En la sección “Resumen”, se informan los siguientes resultados, para determinar si

los límites obtenidos son satisfactorios y pueden ser incorporados a las estadísticas:
• Activos con Riesgo Alto
• Activos con Riesgo Medio
• Activos con Riesgo Bajo
• Total de Activos

La siguiente tabla muestra la distribución de riesgo por activo del escenario sobre el
que se están definiendo los límites, en función de los parámetros especificados.
En color rojo se muestran los activos de riesgo Alto, en amarillo los de riesgo Medio
y en verde los de riesgo Bajo.
Tabla de distribución de riesgos
La misma distribución es presentada en forma gráfica.
Gráfico de distribución de riesgos

7.2.2. Gestión por Proyectos
Su finalidad es la definición del Plan de Acción estableciendo, a nivel de

Proyectos, el plazo de implantación y el alcance en términos de la madurez de
controles. Es la gestión de “alto nivel”, que podrá ser afinada posteriormente con la
Gestión por Recomendaciones.
Inicialmente deberán filtrarse los proyectos a gestionar dentro del escenario:

• Empresa: asociada a los activos del escenario. (Ver 4.2.1.1 Alta de un
Activo)
• Área: asociada a los activos del escenario. Deberá haberse seleccionado
previamente la Empresa. (Ver 4.2.1.1 Alta de un Activo)
• Proyecto: sobre el que se quiere hacer la gestión. (Ver 13.1 Proyectos)
El único parámetro de filtrado obligatorio es la Empresa, si los demás se dejan
vacíos, al hacer clic en “Aplicar Filtros”, se traerán todos los proyectos
correspondientes a la empresa seleccionada; si se especifican los demás
parámetros, se presentarán menos entradas.
Pantalla de gestión por proyectos
En la sección “Resumen General” se muestran los siguientes informes de totales:

• Cantidad de Proyectos cuyo plazo efectivo sea Corto, Medio o Largo;
también se muestran los Asumidos. (Ver 13.1 Proyectos)
• Cantidad de Recomendaciones de los proyectos, por plazo y asumidas.
• Costo “normalizado” de los proyectos por plazo. (Ver 13.1 Proyectos)
• Costo en $ de los proyectos por plazo de implantación.
• Total de controles por plazo y nivel de madurez alcanzada.
• Disminución de Riesgo por plazo de implantación.

En la sección Gestión por Proyectos es donde deben especificarse, de forma
opcional, dos parámetros de gestión:
• Plazo Efectivo: es el plazo en el que se realizará la implantación de
proyecto. Si no se cambia, quedará el Plazo Estándar definido en la Base de
Conocimiento. (Ver 13.1 Proyectos) Si se elige la opción de “Asumido”, se
estará especificando que el proyecto no será implantado, quedando todos
los controles asociados en la madurez de Diagnóstico.
• Alcance: es el máximo nivel de madurez que se alcanzará en los controles
que abarca el proyecto. Si no se especifica, se estará especificando que se
llegará al máximo nivel de madurez (normalmente, 5). (Ver 9.1.4 Modelo de
Madurez)
Los siguientes son informes de subtotales de cada proyecto:

• Las Áreas corresponden a las especificadas en los Datos Organizativos de
los activos del escenario.
• Los proyectos corresponden a los que tienen asociados todas las
recomendaciones que aplican en el escenario.
• Los costos “normalizados”, provienen de mapear el costo en $ del
proyecto a una escala logarítmica definida en Tablas Maestras.
• Costo en $ del proyecto, en función del el alcance definido.
• Plazo estándar de implantación del proyecto, definido en Tablas Maestras.
• Total de controles por nivel de madurez alcanzada, en función del

Alcance.
• Disminución de Riesgo por proyecto, en función del Alcance.
Una vez introducido los datos deseados, la Gestión por Proyectos deberá guardarse
haciendo clic en “Grabar”.
Cuando se haya decidido que la Gestión por Proyectos es satisfactoria, deberá

cerrarse el módulo haciendo clic en “Grabar y Cerrar”.

7.2.3. Gestión por Recomendaciones
Su finalidad es el ajuste del Plan de Acción, estableciendo a nivel de

Recomendaciones el plazo de implantación y el alcance en términos de la madurez
de controles. Esta funcionalidad es el “grado fino” de la gestión por proyectos, ya
que toma a ésta como punto de partida, permitiendo hacer modificaciones
particulares sobre los alcances y la madurez en recomendaciones puntuales.
Previamente, deberá guardarse o cerrarse la Gestión por Proyecto. (Ver 7.2.2

Gestión por Proyectos)
Esta funcionalidad es optativa, ya que si no se realiza, se tomará como válida la
Gestión por Proyecto.
Los resultados de esta gestión, combinada con la Gestión por Proyectos, será la que
se tomará en cuenta como válida para los cálculos de riesgo a corto, medio y
largo plazo.
Inicialmente deberán filtrarse las recomendaciones a gestionar dentro del

escenario:
• Empresa: asociada a los activos del escenario. (Ver 4.2.1.1 Alta de un
Activo)
• Área: asociada a los activos del escenario. Deberá haberse seleccionado

previamente la Empresa. (Ver 4.2.1.1 Alta de un Activo)
• Activo: cuyas recomendaciones asociadas se quiere gestionar
• Proyecto: sobre el que se quiere hacer la gestión por recomendaciones.
(Ver 13.1 Proyectos)
• Recomendación: especificar la recomendación sobre la que se quiere
realizar la gestión. (Ver 9.1.3 Controles)
• Campo de Agrupación: define el criterio por el que serán agrupadas las
recomendaciones en la lista resultante.
o Empresa
o Área
o Proyecto (por defecto)
o Activo: Opcionalmente, podrán filtrarse activos entre un valor de
riesgo mínimo y un valor de riesgo máximo.
o Recomendación
El único parámetro de filtrado obligatorio es la Empresa, si los demás se dejan

correspondientes a la empresa seleccionada; si se especifican los demás
parámetros, se presentarán menos entradas.
Pantalla de inicial de Gestión por Recomendaciones

El siguiente paso es seleccionar desde la lista resultante las entradas que se desee
para generar la lista de recomendaciones a gestionar, haciendo clic en “Gestionar
Recomendaciones”.
Selección de Recomendaciones para gestionar
Si la selección realizada genera una gran cantidad de recomendaciones, se

informará con el siguiente aviso. Lo más aconsejable es agregar parámetros de
filtrado, aplicar nuevamente los filtros y seleccionar nuevamente las entradas
deseadas.

Después de generar la lista de recomendaciones especificadas en los pasos
anteriores, aparecerá una pantalla similar a la siguiente.
Gestión por Recomendaciones
La tabla contiene cuatro secciones que presentan datos provenientes de la

correspondiente fase de análisis o gestión, agrupados según lo especificado en el
paso anterior (en este ejemplo, por proyecto):
• Diagnóstico
• Plan de Acción estándar (Ver 9.1.3 Controles)
• Gestión por Proyecto (Ver 7.2.2 Gestión por Proyectos)
• Gestión por Recomendación (según lo definido en esta pantalla)
En la sección “Gestión por Recomendaciones” es donde deben especificarse, de

forma opcional, dos parámetros de gestión:
• Plazo Efectivo: es el plazo en el que se realizará la implantación de la
recomendación sobre el correspondiente activo. Si no se cambia, quedará el
Plazo definido en la Gestión por Proyectos. Si se elige la opción de
“Asumido”, se estará especificando que la recomendación no será
implantada, quedando el control asociado en la madurez de Diagnóstico.
• Alcance: es el máximo nivel de madurez que se alcanzará en el control
asociado a la recomendación sobre el correspondiente activo. Si no se
especifica, se estará especificando que se llegará al nivel de madurez
definido en la Gestión por Proyectos.
En la sección “Diagnóstico” se presentan los siguientes datos:

• Las Áreas corresponden a las especificadas en los Datos Organizativos de
los activos del análisis. (Ver 4.2.1.1 Alta de un Activo)
• Los Activos asociados a las recomendaciones a gestionar. (Ver 9.1.3
Controles)
• La Madurez del control determinada en el diagnóstico. (Ver 6.2.5 Resumen
de Preguntas)

En la sección “Plan de Acción Estándar” se presentan los siguientes datos:
• El código de la Recomendación que se está gestionando. (Ver 9.1.3
Controles)
• Costo normalizado, proviene de mapear el costo en $ de la
Recomendación a una escala logarítmica definida en Tablas Maestras. (Ver
13.1 Proyectos)
• Costo en $ de la Recomendación sobre el correspondiente activo, en
función del el alcance definido. (Ver 13.1 Proyectos)
En la sección “Gestión por Proyecto” se presentan los siguientes datos:

• Plazo Efectivo de implantación del proyecto. (Ver 7.2.2 Gestión por
Proyectos)
que abarca el proyecto. (Ver 7.2.2 Gestión por Proyectos)
Una vez introducido los datos deseados, la Gestión por Recomendaciones deberá
guardarse haciendo clic en “Grabar”.
Se volverá a la pantalla de selección, y puede repetirse el proceso tantas veces
como sea necesario.
Cuando se haya decidido que la Gestión por Recomendaciones es satisfactoria,

deberá cerrarse el módulo haciendo clic en “Cerrar”.
De ser necesario, pueden eliminarse todos los parámetros definidos en la Gestión

por Recomendaciones haciendo clic en “Borrar Gestión”. De esta forma, solo
quedarán vigentes los parámetros definidos en la Gestión por Proyectos.

7.3. GR - Cálculos
Los cálculos de Gestión de Riesgo se inician al cerrar “Simulación de

Resultados”, para ello debe accederse al siguiente menú.
Menú de Acceso a la Auditoría de Módulos de GR
Aparecerá la siguiente pantalla.
Pantalla de Auditoría de Módulos de GR
Para iniciar la simulación, hacer clic en el ícono “Cerrar”.

Se presentará el siguiente mensaje.
Mensaje previo al cierre
El tiempo de procesamiento puede tardar más o menos minutos, en función del

tamaño del escenario del análisis. Se mostrará una pantalla con el grado de avance
del procesamiento.
Avance del procesamiento de la Simulación

7.4. GR – Reporting
Mediante un conjunto de reportes, se muestran los resultados de la Gestión de

Riesgo correspondientes al escenario actual.
Menú de acceso a los reportes de Gestión de Riesgo
Todos los reportes de gestión de riesgo, pueden ser configurados y adaptados

según lo que se crea más conveniente. Haciendo clic en el ícono de “Seleccionar
Campos”, podrán agregarse campos al informe, especificar su formato y
ordenarlos. También podrán especificarse las cantidades de decimales deseadas y
el factor de ajuste, según sea necesario.
Seleccionar Campos del Reporte
Con la Matriz de Riesgo, puede seleccionarse mostrar los resultados según los
parámetros de alcance definidos para cada plazo: (Ver 13.1 Proyectos) (Ver 13.3
Plazos de Implantación)
• CORTO
• MEDIO
• LARGO
La Vista permite seleccionar entre:

• Valores Cualitativos, muestra el riesgo como un porcentaje del valor total
definido en el escenario.
• Valores Cuantitativos, muestra el riesgo como valores monetarios.
Estos ajustes podrán guardarse para ser utilizados posteriormente.

7.4.1. Simulación de Resultados
Son reportes de resultados de la simulación de implantar los proyectos y

recomendaciones especificados en la Gestión de Riesgo.
Menú de acceso a los reportes de Simulación de Resultados
7.4.1.1. Simulación de Riesgo General
Este reporte presenta los resultados de la simulación de haber aplicado la Gestión

de Proyectos y la de Recomendaciones (con los submódulos Cerrados), en términos
del Riesgo General, es decir, la evolución del riesgo de todo el escenario.
Se muestra en forma de tabla y gráfico el Riesgo General para cada uno de los
plazos de gestión definidos.
Si se selecciona la opción Umbrales de Riesgo, estos se mostrarán como
referencia en los gráficos.
Reporte de Simulación de Riesgo General

Además, se muestra la Distribución de controles por Nivel de Madurez, en
función del Plan de Acción trazado en la gestión.
Los resultados de la simulación también se presentan para cada dimensión de

clasificación.
Reporte de Simulación de Riesgo General para cada dimensión

7.4.1.2. Simulación del Ranking de Amenazas

de Proyectos y la de Recomendaciones (con los submódulos Cerrados), en términos
del Ranking de Amenazas, es decir, la evolución del riesgo dentro del escenario
para cada amenaza.
El informe presenta, en forma de tabla y gráfico, el Riesgo por Amenaza en el plazo

de gestión especificado.
El parámetro Costo en Gráficos especifica el tipo de costo que se mostrará en los

gráficos de burbujas.
• Costo Remanente es el de llevar todos los controles hasta la máxima
madurez, partiendo de la evolución lograda, en el plazo de gestión
seleccionado.
• Costo de Gestión es el de llevar la madurez de los controles hasta el
Alcance definido en la Gestión, partiendo de la madurez de Diagnóstico, en
el plazo de gestión seleccionado.
Los resultados se presentan, por cada Amenaza, para cada dimensión de

clasificación y para el total.
Por ejemplo, para el plazo Largo se obtendría un reporte como el siguiente.
Reporte de Simulación de Ranking de Amenazas (Plazo Largo)

Para el plazo Medio, se obtendría un reporte como el siguiente.
Reporte de Simulación de Ranking de Amenazas (Plazo Medio)
En los ejemplos anteriores puede observarse como se modifica el ranking de

amenazas (en el plazo Medio los riesgos son mayores que en Largo) y como varían
los costos Remanentes y de Gestión (en el plazo Medio “quedan más cosas por
hacer”).

dimensiones: Probabilidad e Impacto. El radio de la burbuja es función del Costo
(Remanente o de Gestión, según lo especificado).

Si el costo mostrado es el Remanente, se estaría mostrando el riesgo (como
Probabilidad x Impacto) que representa cada Amenaza en el plazo seleccionado, y
el radio de la burbuja el costo de “lo que resta por hacer”.
Simulación de Ranking de Amenazas (Plazo Largo y Costo Remanente)

Si el costo mostrado es el de Gestión, se estaría mostrando el riesgo (como
Probabilidad x Impacto) que representa cada Amenaza, y el radio de la burbuja el
costo de “lo que habría que gastar para llegar a ese punto”.
Simulación de Ranking de Amenazas (Plazo Corto y Costo de Gestión)

7.4.1.3. Simulación del Ranking de Vulnerabilidades

de Proyectos y la de Recomendaciones (con los módulos Cerrados), en términos del
Ranking de Vulnerabilidades, es decir, la evolución del riesgo dentro del escenario
para cada vulnerabilidad.
El informe presenta, en forma de tabla y gráfico, el Riesgo por Vulnerabilidad en el

plazo de gestión especificado.
Pueden definirse dos parámetros:

• Matriz de Riesgo: ídem Simulación de Ranking de Amenazas
• Costo en Gráficos: ídem Simulación de Ranking de Amenazas
Los resultados se presentan, por cada Vulnerabilidad, para cada dimensión de

clasificación y para el total.
En general, este reporte es similar al de Simulación de Ranking de Amenazas (Ver

7.4.1.2 Simulación del Ranking de Amenazas).
Reporte de Simulación de Ranking de Vulnerabilidades (Plazo Largo)

Simulación de Ranking de Vulnerabilidades (Plazo Corto y Costo de Gestión)

7.4.1.4. Simulación del Riesgo por Activo

de Proyectos y la de Recomendaciones (con los módulos Cerrados), en términos del
Riesgo por Activos, es decir, la evolución del riesgo dentro del escenario para cada
uno de sus activos.
El informe presenta, en forma de tabla y gráfico, el Riesgo por Activo en el plazo de

gestión especificado.
Pueden definirse dos parámetros:

• Matriz de Riesgo: ídem Simulación de Ranking de Amenazas
• Costo en Gráficos: ídem Simulación de Ranking de Amenazas
Los resultados se presentan, por cada Activo, para cada dimensión de clasificación
y para el total.
En general, este reporte es similar al de Simulación de Ranking de Amenazas (Ver

7.4.1.2 Simulación del Ranking de Amenazas).
Reporte de Simulación de Riesgo por Activos (Plazo Largo)

Simulación de Riesgo por Activo (Plazo Corto y Costo de Gestión)

7.4.1.5. Matriz de Resultados
Muestra todos los parámetros de cálculo, incluso cálculos intermedios, utilizados en

la determinación de los resultados de la simulación de la gestión de riesgo en el
escenario vigente.
Inicialmente, deberán seleccionarse dos parámetros de filtro:

• Activo: ingresar el nombre del activo sobre el que se desea ver la Matriz de
Resultados.
• Matriz de Riesgo: seleccionar el plazo entre Corto, Medio y Largo.
El funcionamiento es igual al reporte de Matriz de Resultados de Análisis de Riesgo.

(Ver 6.4.5 Matriz de Resultados)

7.4.2. Costos de la Gestión
Este reporte permite conocer la distribución de los costos de la gestión

(especificada en la Gestión por Proyectos y en la Gestión por Recomendación),
distribuidos por Empresa, Área, Proyecto, etc. (Ver 7.2.2 Gestión por Proyectos)
(Ver 7.2.3 Gestión por Recomendaciones)
Puede ser utilizado para determinar los aspectos presupuestarios de implantar la
Gestión de Riesgo definida.
Reporte de Costos de la Gestión
Los campos a mostrar, pueden especificarse haciendo clic en el ícono “Seleccionar

Campos”.
Selección de campos del Reporte de Costos de la Gestión
Como todos los reportes de R-BOX, los resultados pueden ser exportados para su
utilización por fuera de la herramienta.

7.4.3. Matrices de Riesgo
Son reportes que combinan la vista de los resultados de las simulaciones de riesgo
por los criterios de Activo, Amenaza y Vulnerabilidad, en formato de matriz.
Además, desde la matriz generada, permite ver los resultados de Riesgo de las
Vulnerabilidades relacionadas en la Base de Conocimiento.
Menú de acceso al Reporte de Matrices de Riesgo
El funcionamiento es igual al reporte de Matriz de Riesgo de Análisis de Riesgo. (Ver

6.4.6 Matrices de Riesgo)
La única diferencia es que en la sección del “Filtro General”, puede seleccionarse

la matriz de cálculo (normalmente Corto, Medio y Largo) sobre la que se generará
el informe.
Filtro General del Reporte de Matrices de Riesgo

Módulo
de
Tratamiento

8. Módulo de Tratamiento
8.1. TR - Base de Conocimiento
(en desarrollo)
8.2. TR - Flujos y Captura
(en desarrollo)

8.3. TR - Cálculos
(en desarrollo)
Los cálculos de la clasificación propagada para los activos de un cierto nivel dentro
de la jerarquía de activos se basan en los máximos de los valores obtenidos en el
nivel superior, considerando las dependencias existentes.
Con el siguiente ejemplo, se explica la propagación de clasificación entre los

activos de un escenario.
Se ha utilizado el mismo ejemplo que en la propagación de Valor (Ver 5.3 CL -
Cálculos).
Escenario para el ejemplo de propagación de Clasificación
1) El volumen de negocio, los Procesos de Negocio y Soporte y sus dependencias

son intrascendentes para estos cálculos, ya que los requisitos de seguridad para
el Tratamiento son especificados mediante la Clasificación de Activos.
2) En este ejemplo, se utilizan tres dimensiones de clasificación (C:

Confidencialidad; I: Integridad y D: Disponibilidad)
El Máximo Valor de clasificación se ha definido = 4
(Ver 5.1.2 Dimensiones de Clasificación)
3) Existen dos Activos de Información:

• Datos_Cta_Cte: ha sido clasificado por su propietario y el vector de valor
heredado (VH) es (4/4/4)
• Datos_Caja_Ahorro: ha sido clasificado por su propietario y el vector de
valor heredado (VH) es (2/2/2)
(Ver 5.1.1 Granularidad de Gestión) (Ver 5.2.1 Clasificación)
Estos VH son el punto de partida para la Clasificación Propagada, ya que son los
requisitos de seguridad explícitos.

4) Existen tres Aplicaciones que soportan a los activos de información, según las
• Dependencia Datos_Cta_Cte / Aplicación1: (1/1/0,5)
• Dependencia Datos_Caja_Ahorro / Aplicación1: (1/1/1)
5) La Clasificación Propagada en cada dimensión (Cp_x) es el máximo de los

productos entre las Clasificaciones Propagadas por las correspondientes
dependencias efectivas (en todos los padres y en la correspondiente dimensión):
Cp _ x = Máximo(Cp _ x* x _ ef )
HIJO padres
6) Para estas aplicaciones, los correspondientes vectores de Clasificación

Propagada (CP), en cada una de las dimensiones son:
• Aplicación1:
o CP_C = Máximo(4*1 ; 2*1) = 4
o CP_I = Máximo(4*1 ; 2*1) = 4
o CP_D = Máximo(4*0,5 ; 2*1) = 2
• Aplicación2:
o CP_C = Máximo(2*0,5) = 1
o CP_I = Máximo(2*1) = 2
o CP_D = Máximo(2*1) = 2
• Aplicación3:
o CP_C = Máximo(2*0,5) = 1
o CP_D = Máximo(2*1) = 2
7) Existen tres Servidores que soportan a los activos de información, según las
• Dependencia Aplicación2 / Servidor3: (0,5/1/1)
8) Para estos servidores, los correspondientes vectores de Clasificación

Propagada (CP), en cada una de las dimensiones son:
• Servidor1:
o CP_C = Máximo(4*1) = 4
o CP_D = Máximo(2*0,5) = 1
• Servidor2:
o CP_C = Máximo(4*1 ; 1*1) = 4
o CP_I = Máximo(4*1 ; 2*1) = 4
o CP_D = Máximo(2*0,5 ; 2*1) = 2
• Servidor3:
o CP_C = Máximo(1*1 ; 1*0,5) = 1
o CP_I = Máximo(2*1 ; 2*1) = 2
o CP_D = Máximo(2*1 ; 2*1) = 2

8.4. TR - Reporting
(en desarrollo)
Los reportes de Tratamiento disponibles en esta versión de R-BOX se centran en
mostrar la Clasificación Propagada en cada activo del escenario.
Menú de acceso a reportes de TR
8.4.1. Clasificación Propagada
Muestra los valores de clasificación que “heredan” los activos dentro de un

escenario. En muchos casos, este reporte se denomina de “Requisitos de
Seguridad”, ya que la clasificación propagada define directamente los
requerimientos de Tratamiento para los activos de la infraestructura de TI.
Reporte de Clasificación Propagada

Haciendo clic en “Seleccionar Campos”, podrán incorporarse u ocultarse los
siguientes campos:
Existen campos de Clasificación Propagada para cada dimensión (Cp_x), que

muestran la clasificación “heredada” por cada activo; son valores entre 0 y el
Máximo Valor de Clasificación. (Ver 5.1.2 Dimensiones de Clasificación)
Los campos de Valor Normalizado para cada dimensión (Vn_x) son los mismos que
los utilizados para los cálculos de Análisis y Gestión de Riesgo. (Ver 5.4.3 Reporte
de Valores Normalizados)

Módulo
de
Compliance

9. Módulo de Compliance
9.1. CO - Base de Conocimiento

conocimiento del módulo de Compliance:
• Estándares
• Jerarquía de Controles
• Métricas
• Modelo de Madurez
Menú de acceso a Tablas maestras de Compliance
NOTA: Debido a que las entidades definidas en Compliance son utilizadas por otros
módulos (Ej. Análisis de Riesgo), los menúes de Tablas Maestras de Compliance
estarán habilitados aunque no se haya adquirido este módulo.

9.1.1. Estándares
Se definen los estándares que serán utilizados por todos módulos, respecto a
marcos de controles.
Pantalla de estándares
Edición de un Estándar
• Estándar: define el nombre del estándar.

• Descripción: representa una descripción amplia del estándar.
• Origen: ingresar el nombre del organismo que desarrolló o que fomenta al
estándar.

9.1.2. Jerarquía de Controles
Esta funcionalidad permite el ABM de la jerarquía de controles / indicadores, según

lo definido en un estándar en particular.
Pantalla de jerarquía de controles
Edición de una Jerarquía de Controles
• Control: ingresar el nombre del control que se desea crear / editar.

• Nivel Superior: ingresar el nombre del control de nivel superior, de
acuerdo a lo definido en el estándar.
• Estándar: nombre del estándar sobre el que se define la jerarquía.
• Descripción: representa una descripción amplia de la relación definida.

9.1.3. Controles
Esta funcionalidad permite el ABM de los controles, según lo definido en un

estándar en particular.
Pantalla de controles
Existen controles provistos y propios. En los primeros solo podrán editarse ciertos
parámetros, en los segundos el ABM es total.
En este ABM se llama “control” indistintamente a los controles y a las

verificaciones. Las segundas están relacionadas jerárquicamente a un control, es
decir, un control puede tener muchas verificaciones asociadas.

Para los registros propios, el ABM es el siguiente:
ABM de un control “propio”

En la sección “Control” se definen los siguientes parámetros
• Control: nombre del control.
• Nombre corto: será utilizado en la mayoría de los reportes.
• Control Padre: cuando se trate de una verificación, puede relacionarse
con su control de nivel superior.
• Estándar: nombre del estándar sobre el que se define el control. (No hace
falta definir este parámetro, si se especificó el Control Padre).
• Nivel 1 a 5: cuando se trate de un control, deberá relacionarse con la
jerarquía de controles definida. Comenzar por el 1 e ir seleccionando los que
corresponda. (No hace falta definir este parámetro, si se especificó el
Control Padre)
• Es obligatorio completar uno (excluyente) de los campos Control Padre o
Nivel 1 a 5
• Descripción: representa una descripción amplia del control definido.
En la sección “Roles” se definen los siguientes parámetros:

• Rol Asociado: seleccionar si el control corresponde al rol de Propietario
(generalmente, cuando el control implica especificaciones, autorizaciones,
etc.), o de Custodio (generalmente cuando el control implica implantación o
ejecución).
• Roles Organizativos: seleccionar los roles organizativos que se consideren
adecuados para gestionar el control.
En la sección “Pregunta Asociada” se define el siguiente parámetro:

• Pregunta: texto coloquial asociado al Control, a ser utilizado para evaluar
su madurez mediante los Cuestionarios. (Ver 6.2.1 Generar Cuestionario)
En la sección “Vulnerabilidad Asociada” se definen los siguientes parámetros:

• Vulnerabilidad: texto que describe las carencias o no implantación del
Control. Esta debilidad será la que permitirá a las Amenazas asociadas
agredir a los activos, produciendo impactos. Este texto es solo informativo.
• V_TARGET: seleccionar el o los Detalles en que se considere que puede
estar presente la vulnerabilidad. Indirectamente, este parámetro define las
Amenazas que podrán agredir a los activos de esos detalles. Este
parámetro es crítico para los cálculos de Riesgo. Seleccionar los
Detalles y agregarlos a la lista haciendo clic en “Agregar”. (Ver 6.1.3
Principales entidades - Vulnerabilidades) (Ver 6.2.7 Respuestas Inválidas)
(Ver 6.4.5 Matriz de Resultados)
En la sección “Recomendación Asociada” se definen los siguientes parámetros:

• Recomendación: texto que describe el objetivo del Control. Este texto es
solo informativo.
• Proyecto: seleccionar el nombre del proyecto en que se considera adecuado
incluir la Recomendación. En base a este parámetro se configura la Gestión
de Riesgo.
• Genérica: seleccionar la forma en que el costo de la Recomendación será
calculado cuando deba ser implantada en varios activos dentro de un Área.
Si se selecciona “Genérica”, el costo será considerado una sola vez aunque
sea implantada en muchos activos; si se selecciona “Individual”, el costo
será considerado tantas veces como sea implantada. Muchas veces, las
Organizaciones realizan acuerdos comerciales que permiten implantar
recomendaciones independientemente de la cantidad de activos afectados
(generalmente, recomendaciones de gestión), otras veces deberá pagarse
por cada implantación (generalmente, recomendaciones técnicas).

• Efectividad: indica el efecto de la recomendación para reducir el riesgo.
o Prevención: indica cuán preventiva es la recomendación, reduciendo
el parámetro de Probabilidad. <Nula a Total>
o Confidencialidad, Integridad, Disponibilidad y Auditabilidad:
indica el efecto en el impacto en cada una de las dimensiones de
clasificación. <Nula a Total>
Para los registros provistos, el ABM es el siguiente:

Solo pueden editarse los campos habilitados.
Edición de un control provisto
Haciendo clic en el ícono en cada una de las dimensiones se mostrará la lista de

Amenazas que producen impactos en la correspondiente dimensión, según lo
definido en la relación Amenaza – Vulnerabilidad. (Ver 6.1.12 Relación Amenaza –
Vulnerabilidad)
Amenazas asociadas con la Vulnerabilidad en la dimensión seleccionada

9.1.4. Modelo de Madurez
Permite el ABM de los niveles de madurez, que serán utilizados para evaluar el
estado de la gestión de los controles en los Análisis de Riesgo, Gestión de riesgo y
Compliance.
Pantalla de modelo de madurez

Edición de un nivel de Madurez
En la sección “Datos Generales” se definen los siguientes parámetros:

• Nivel de Madurez: nombre asignado al nivel de madurez.
• Descripción: representa una descripción amplia del nivel de madurez
definido.
En la sección “Valoración” se definen los siguientes parámetros:

• Grado de Madurez: valor que representa numéricamente al Nivel de
Madurez, será el valor visible para el usuario que evalúa la madurez de los
controles.
• CM: es el valor que será utilizado en los cálculos de AR, GR y Compliance.

9.1.5. Árbol de Jerarquía
Este reporte permite ver, en forma de árbol, la jerarquía de controles definida en

cada estándar.
Seleccionando el Estándar deseado, se mostrará el árbol.
Reporte de Árbol de Jerarquía

9.2. CO - Flujos y Captura
Aquí se ingresa la información necesaria para llegar al Diagnóstico de

Compliance para un Escenario, es decir, determinar la madurez de los controles
de un estándar y determinar el Plan de Acción que se considere adecuado a la
Organización.
Menú de Acceso a Compliance
9.2.1. Generar Cuestionario
Para evaluar la Madurez de los controles deben contestarse una serie de

Cuestionarios.
• Directamente por los responsables de los controles, cuyo perfil tenga
habilitado el permiso de “Entrevistado”. En este caso solo se deberá
acceder a este menú, y se presentarán los controles para generar los
cuestionarios. El responsable debe contestar todos los cuestionarios
propuestos, pero puede hacerlo en varias etapas, es decir, puede
contestarlos en función de su disponibilidad.
Permisos para Generar Cuestionarios

Parámetros para Generar Cuestionarios
Para generar cuestionarios deben especificarse tres parámetros:

• Estándar: sobre el que se desea evaluar la madurez de los controles.
cuestionarios. La lista de opciones para seleccionar será la de todos los
responsables organizativos existentes en el escenario.
• Tipo de Cuestionario: si se selecciona “Reducido”, solo se tendrán en
cuenta los Controles de primer nivel en el conjunto de preguntas. Si se

selecciona “Completo”, además de los controles se incluirán las
Verificaciones. La selección de este parámetro se debe realizar en función de
la disponibilidad del entrevistado y de la precisión deseada para el
diagnóstico.
• Solo Faltantes: si se marca esta opción, solo se listarán las preguntas que
faltan contestar, aplicando previamente los filtros seleccionados.
Está contemplado que para un mismo control existan múltiples respuestas, esto
podrá se así cuando haya definidos más de un responsable por control. Existe el
Importancia)
Los valores de las métricas asociadas a cada respuesta se calculan como un
promedio ponderado por la Importancia de las respuestas.

El siguiente ejemplo se ha realizado con el tipo completo.
En función de la selección que el entrevistador realice (pueden seleccionarse

múltiples secciones, incluso con distinta importancia), se indicará el Tiempo
Estimado de la entrevista los totales de preguntas seleccionadas y las que están
sin responder, de forma que pueda contemplarse la disponibilidad del entrevistado.
Si se selecciona el tipo reducido, puede observarse la menor cantidad de

preguntas de los cuestionarios.

Una vez generado el cuestionario, se presentará una lista de preguntas y la métrica
asociada, agrupadas según la jerarquía de controles. Deberán ingresarse las
respuestas en la columna de Madurez, cuando no existan respuestas ingresadas,
las celdas estarán en color amarillo.
En el encabezado se informa del tiempo estimado para completar el cuestionario.
Cuando el cuestionario sea del tipo completo, se destacarán los controles sobre las
verificaciones. Cuando se ingrese una respuesta sobre el control, la misma se
extenderá a todas sus verificaciones, pero es posible modificarlas de ser
necesario.

De forma opcional, pueden ingresarse comentarios para todas las respuestas,
haciendo clic en el ícono de Comentario.
Comentario para una respuesta

Esta funcionalidad es de mucha utilidad, cuando el análisis está orientado a una

Auditoría.

9.2.2. Respuestas Registradas
Con esta funcionalidad pueden consultarse las respuestas registradas sobre el

escenario.
Funciona tanto como un mecanismo de control de avance, como para facilitar la
preparación de entrevistas.

búsqueda (por responsable, por métrica, etc.)
Respuestas Registradas
También pueden eliminarse respuestas, seleccionándolas y haciendo clic en el

ícono de “Eliminar”. Esta funcionalidad debe ser utilizada en caso de haberse
detectado errores en las respuestas; su eliminación quedará registrada para
posibles auditorías.
Además, pueden importarse respuestas. De esta forma puede acelerarse la fase

de entrevistas si se han recogido respuestas por otros medios fuera de R-BOX,
además de ser en muchos casos una vía más rápida de registrarlas.
Importación de Respuestas

9.2.3. Confeccionar Plan de Acción…
Es donde se definen las acciones a realizar para mejorar los aspectos de

cumplimiento, estas definiciones pueden hacerse a nivel de Proyecto y de
Recomendaciones.
Menú de Acceso a “Confeccionar Plan de Acción”
9.2.4. Por Proyectos

Su finalidad es la definición del Plan de Acción estableciendo, a nivel de

Proyectos, el plazo de implantación y el alcance en términos de la madurez de
controles. Es la gestión de “alto nivel”, que podrá ser afinada posteriormente con la
Gestión por Recomendaciones.
Inicialmente deberán filtrarse los proyectos a gestionar dentro del escenario:

• Estándar: sobre el que se desea definir el Plan de Acción
Al hacer clic en “Aplicar Filtros”, se completará la pantalla siguiente.
Pantalla de Gestión por Proyectos

En la sección “Resumen General” se muestran los siguientes informes de totales:
• Cantidad de Proyectos cuyo plazo efectivo sea Corto, Medio o Largo;
también se muestran los asumidos.
• Cantidad de Recomendaciones de los proyectos, por plazo y asumidas.
• Costo “normalizado” de los proyectos por plazo.
• Costo en $ de los proyectos por plazo de implantación.
• Total de controles por plazo y nivel de madurez alcanzada.
• Mejora por plazo de implantación se muestra el % de mejora en el
cumplimiento.
En la sección “Gestión por Proyectos” es donde deben especificarse, de forma

opcional, dos parámetros de gestión:
• Plazo Efectivo: es el plazo en el que se realizará la implantación de
proyecto. Si no se cambia, quedará el Plazo Estándar definido en la Base de
Conocimiento. Si se elige la opción de “Asumido”, se estará especificando
que el proyecto no será implantado, quedando todos los controles asociados
en la madurez de Diagnóstico.
que abarca el proyecto. Si no se especifica, se estará especificando que se
llegará al máximo nivel de madurez (5). (Ver 9.1.4 Modelo de Madurez)
Los siguientes son informes de subtotales de cada proyecto:

• Los proyectos corresponden a los que tienen asociados todas las
recomendaciones que aplican en el análisis.
• Los costos “normalizados”, provienen de mapear el costo en $ del
proyecto a una escala logarítmica definida en Tablas Maestras.
• Costo en $ del proyecto, en función del el alcance definido.
• Plazo estándar de implantación del proyecto, definido en Tablas Maestras.
• Cantidad de recomendaciones del proyecto que aplican.
• Total de controles por nivel de madurez alcanzada, en función del Alcance.
• Mejora por proyecto, en función del Alcance.
Una vez introducido los datos deseados, la Gestión por Proyectos deberá guardarse
haciendo clic en “Grabar”.
Cuando se considere que la Gestión por Proyectos es satisfactoria, deberá cerrarse

el módulo haciendo clic en “Cerrar”.

9.2.5. Por Recomendaciones
Su finalidad es el ajuste del Plan de Acción, estableciendo a nivel de

Recomendaciones, el plazo de implantación y el alcance en términos de la madurez
de controles. Esta funcionalidad es el “grado fino” de la gestión por proyectos, ya
que toma a ésta como punto de partida, permitiendo hacer modificaciones
particulares sobre los alcances y la madurez en recomendaciones puntuales.
Para comenzar esta funcionalidad, deberá guardarse o cerrarse la Gestión por

Proyecto.
Esta funcionalidad es optativa, ya que si no se realiza, se tomará como válida la
Gestión por Proyecto.
Los resultados de esta gestión será la que se tomará en cuenta como válida para
los cálculos de cumplimiento de los estándares a corto, medio y largo plazo.
Inicialmente deberán filtrarse las recomendaciones a gestionar dentro del

escenario:
• Estándar: sobre el que se desea definir el Plan de Acción
• Nivel 1: en la jerarquía del estándar

El único parámetro de filtrado obligatorio es el Estándar, si los demás se dejan

correspondientes al estándar seleccionado; si se especifican los demás parámetros,
se presentarán menos entradas.
Pantalla de inicial de Gestión por Recomendaciones

El siguiente paso es seleccionar desde la lista resultante las entradas que se desee
para generar la lista de recomendaciones a gestionar, haciendo clic en “Generar
Recomendaciones”.
Si la selección realizada genera una gran cantidad de recomendaciones, se

informará con el siguiente aviso. Lo más aconsejable es agregar parámetros de
filtrado, aplicar nuevamente los filtros y seleccionar nuevamente las entradas
deseadas.

Después de generar la lista de recomendaciones especificadas en los pasos
anteriores, aparecerá una pantalla similar a la siguiente.
Gestión por Recomendaciones
La tabla contiene cuatro secciones que presentan datos provenientes de la

correspondiente fase de análisis o gestión y agrupados según lo especificado en el
paso anterior (en este ejemplo, por proyecto):
• Diagnóstico
• Plan de Acción estándar
• Gestión por Proyecto
• Gestión por Recomendación
En la sección “Gestión por Recomendaciones” es donde deben especificarse, de

forma opcional, dos parámetros de gestión:
• Plazo Efectivo: es el plazo en el que se realizará la implantación de la
recomendación. Si no se cambia, quedará el Plazo definido en la Gestión por
Proyectos. Si se elige la opción de “Asumido”, se estará especificando que
la recomendación no será implantada, quedando el control asociado en la
madurez de Diagnóstico.
• Alcance: es el máximo nivel de madurez que se alcanzará en el control
asociado a la recomendación. Si no se especifica, se estará especificando
que se llegará al nivel de madurez definido en la Gestión por Proyectos.
En la sección “Diagnóstico” se presentan los siguientes datos:

• El código de la Recomendación que se está gestionando.
• La Madurez del control determinada en el diagnóstico.
En la sección “Plan de Acción Estándar” se presentan los siguientes datos:

• Costos “normalizado”, provienen de mapear el costo en $ de la
Recomendación a una escala logarítmica definida en Tablas Maestras.
• Costo en $ de la Recomendación, en función del el alcance definido.

En la sección “Gestión por Proyecto” se presentan los siguientes datos:
• Plazo Efectivo de implantación del proyecto.
que abarca el proyecto.
Una vez introducido los datos deseados, la Gestión por Recomendaciones deberá
guardarse haciendo clic en “Grabar”.
Se volverá a la pantalla de selección, y puede repetirse el proceso tantas veces
como sea necesario.
Cuando se haya decidido que la Gestión por Recomendaciones es satisfactoria,

deberá cerrarse el módulo haciendo clic en “Cerrar”.

9.3. CO - Cálculos
Los cálculos de Compliance se inician al cerrar “Simulación de Resultados”, para

ello debe accederse al siguiente menú.
Menú de Acceso a la Auditoría de Módulos de CO
Aparecerá la siguiente pantalla.
Para iniciar la simulación, hacer clic en el ícono “Cerrar”.

El tiempo de procesamiento puede tardar más o menos minutos, en función del
tamaño del escenario del análisis. Se mostrará una pantalla con el grado de avance
del procesamiento.
Avance del procesamiento de Compliance


9.4. CO - Reporting
Con esta facilidad se generan los reportes de cumplimiento, como resultado de la

evaluación de controles y de la gestión definida.
Menú de acceso a los reportes de Compliance
Deben definirse los filtros para generar los reportes:
Definición de filtros
Deben definirse los siguientes parámetros:

• Plazo: sobre el que se desea ver los resultados de la madurez de controles.
• Estándar: sobre el que se desea generar los reportes de madurez de los
controles.
• Nivel: dentro de la jerarquía de controles de los indicadores de los reportes.
Una vez seleccionados debe hacerse clic en “Aplicar Filtros”, y se generarán los
siguientes reportes.

La Distribución General de Indicadores muestra, de forma porcentual, la
cantidad de indicadores del estándar completo, en cada nivel de madurez.
Este reporte muestra la madurez calculada para cada indicador en el nivel

seleccionado.

El mismo reporte, como gráfico radial.
La Distribución de Indicadores muestra, de forma porcentual, la cantidad de

indicadores de cada segmento en el nivel seleccionado, en cada nivel de madurez.

Módulo
de
Riesgo Operacional

10. Módulo de Riesgo Operacional
10.1. RO - Base de Conocimiento
(en desarrollo)
10.2. RO - Flujos y Captura
(en desarrollo)
10.3. RO - Cálculos
(en desarrollo)

10.4. RO - Reporting
(en desarrollo)
Los reportes de Riesgo Operacional disponibles en esta versión de R-BOX se
centran en mostrar el riesgo calculado para los Productos y Servicios, Procesos y el
Riesgo Repercutido en cada activo del escenario.
Menú de acceso a los reportes de Riesgo Operacional
10.4.1. Riesgo por Productos
Muestra el riesgo calculados para los Productos y Servicios que conforman el

Negocio de la Organización.
Reporte de Riesgo por Productos y Servicios
Con el parámetro “Matriz de Riesgo” puede especificarse si el riesgo a mostrar

sea el Efectivo o el Intrínseco.
Los resultados son función de los modelos Funcional, de Negocio y de Gestión y de
los parámetros definidos en cada uno de los mismos.

Los siguientes son los campos que pueden mostrarse en el reporte.
El siguiente es el reporte en forma gráfica.

10.4.2. Riesgo por Procesos
Muestra el riesgo calculados para los Procesos de Negocio y de Soporte que

conforman la funcionalidad de la Organización.
Reporte de Riesgo por Procesos

sea el Efectivo o el Intrínseco. Los resultados son función de los modelos
Funcional, de Negocio y de Gestión y de los parámetros definidos en cada uno de
los mismos.
El siguiente es el reporte en forma gráfica.

10.4.3. Riesgo Repercutido
Este reporte muestra el riesgo repercutido para cada activo del escenario. El riesgo
repercutido se calcula en función de las vulnerabilidades propias del activo y de las
vulnerabilidades de los activos de los que estos dependen, es decir, que “heredan”
las vulnerabilidades de los niveles inferiores de su jerarquía.
Reporte de Riesgo Repercutido

sea el Efectivo o el Intrínseco.
Con el parámetro “Vista”, puede especificarse si el riesgo a mostrar sea
Cualitativo o Cuantitativo.
Los siguientes son los campos que pueden mostrarse en el reporte.

Módulo
de
BCM

11. Módulo de BCM
11.1. BCM - Base de Conocimiento
(en desarrollo)
11.2. BCM - Flujos y Captura
(en desarrollo)
11.3. BCM - Cálculos
(en desarrollo)
11.4. BCM - Reporting
(en desarrollo)

Módulo
de
TCA

12. Módulo de TCA
12.1. TCA - Base de Conocimiento
(en desarrollo)
12.2. TCA - Flujos y Captura
(en desarrollo)
12.3. TCA - Cálculos
(en desarrollo)
12.4. TCA - Reporting
(en desarrollo)

Mantenimiento
de
Proyectos

13. Mantenimiento de Proyectos
Los Proyectos son agrupaciones de Recomendaciones, que facilitan la gestión de
las acciones a ser llevadas a cabo para disminuir el Riesgo. Normalmente, los
Planes de Acción son expresados en términos de Proyectos, en lugar de
recomendaciones individuales.
Menú de acceso a Mantenimiento de Proyectos
También se especifican las estimaciones de Costo de Diseño y Costo de

Implantación de los proyectos. Estos costos son solo estimativos y deberán ser
ajustados en función de los acuerdos que cada organización pueda establecer con
sus proveedores.
Los proyectos y parámetros relacionados que aquí se definen son utilizados por
todos los módulos de R-BOX en lo relativo a sus gestiones.

13.1. Proyectos
Se definen los proyectos que serán utilizados en todas las gestiones.

Pantalla de proyectos
Pueden editarse los Proyectos existentes o ingresar nuevos proyectos.

Tener en cuenta que una Recomendación puede estar relacionada con un solo
Proyecto. (Ver 9.1.3 Controles)
Edición de Proyectos - Sección Datos Generales
En la sección “Datos Generales” deben completarse los siguientes campos:

• Proyecto: Nombre del Proyecto.
• Descripción: explicación del Proyecto en general.
• Objetivo: listar los objetivos principales del Proyecto.
• Tipo de Proyecto: seleccionar de la lista, el tipo de proyecto adecuado.
(Ver 13.5 Tipos de Proyecto)

Edición de Proyectos - Secciones Costos y Tiempos y Otros
En la sección “Costos y Tiempos” deben completarse los siguientes campos:

• Complejidad del Proyecto: indica las características del Proyecto respecto
a su complejidad de realización, este dato es solo informativo. (Ver 13.2
Complejidad)
• Plazo Estándar: indica el plazo en que debería implantarse el proyecto,
considerando las variables de logística, es decir, la dependencia de otros
proyectos implantados con anterioridad. (Ver 13.3 Plazos de Implantación).
Este parámetro tiene muchas consecuencias en la confección de los Planes
de Acción en todos los módulos de R-BOX. (Ver 7.2.2 Gestión por Proyectos)
(Ver 7.2.3 Gestión por Recomendaciones) (Ver 9.2.3 Confeccionar Plan de
Acción)
• Esfuerzo Estándar: estimación de las jornadas necesarias para diseñar e
implantar el Proyecto, este dato es solo informativo.
• Descripción del Diseño: descripción de las tareas necesarias para
completar la fase de Diseño del Proyecto.
• Costo Asociado al Diseño: costo monetario estimado para la fase de
Diseño. Este parámetro debe ser ajustado a la “realidad” de la
Organización, respecto a los posibles acuerdos que pudiera tener con sus
proveedores. Este costo puede ingresarse en la moneda que se desee (Ver
3.1.4 Monedas) (Ver 3.1.1 Configuración General). Este valor, sumado al
Costo de Implantación, conforman el parámetro de COSTO que se utiliza en
todos los cálculos de R-BOX.
• Descripción de la Implantación: descripción de las tareas necesarias para
completar la fase de Implantación del Proyecto.
• Costo Asociado a la Implantación: costo monetario estimado para la fase
de Implantación. Este parámetro debe ser ajustado a la “realidad” de la
Organización, respecto a los posibles acuerdos que pudiera tener con sus
proveedores. Este costo puede ingresarse en la moneda que se desee (Ver
3.1.4 Monedas) (Ver 3.1.1 Configuración General). Este valor, sumado al
Costo de Diseño, conforman el parámetro de COSTO que se utiliza en todos
los cálculos de R-BOX.

En la sección “Otros” debe completarse el siguiente campo:
• Extras: ingresar una descripción de todos aquellos aspectos extras que
deberán considerarse para el Proyecto. Este campo es solo informativo.
Edición de Proyectos - Secciones Clase del Proyecto y Costo de la Fase
En la sección “Clase del Proyecto” debe completarse el siguiente campo:

• Clase del Proyecto: seleccionar la clase considerada adecuada a las
características del proyecto. Este parámetro tiene consecuencias en la
distribución del costo en función de la Madurez alcanzada. (Ver 13.4 Clases)
En la sección “Costo de la Fase”, opcionalmente, podrán ajustarse los porcentajes

del costo para alcanzar los distintos niveles de Madurez. (Ver 9.1.4 Modelo de
Madurez)
• En función de la Clase de Proyecto seleccionada, se mostrará la columna
“% del Proyecto Estándar”, representando el porcentaje del costo total
que costaría alcanzar cada nivel de madurez.
• En la columna “% del Proyecto” puede ajustarse este porcentaje, si se
considera necesario. La suma de estos porcentajes debe ser igual a 100%.

13.2. Complejidad
Se genera la lista de opciones de Complejidad del Proyecto para especificarla en el

ABM de Proyectos. (Ver 13.1 Proyectos)
Pantalla de complejidad de proyectos

ABM de complejidad de proyectos
Los campos a definir son:

• Complejidad del Proyecto: nombre del parámetro de Complejidad.
• Descripción: explicación del parámetro de Complejidad.

13.3. Plazos de Implantación
Se definen parámetros de Plazo Estándar de ejecución, es decir, se especifica el

plazo (normalmente Corto, Medio o Largo) en que debería ser ejecutado el
proyecto, debido a la necesidad de la implantación previa de recomendaciones. El
plazo de ejecución definitivo puede modificarse en la Gestión de Riesgo. (Ver
7.2.2 Gestión por Proyectos)
Pantalla de plazos de implantación
ABM de plazos de implantación

• Plazo de Implantación: nombre del plazo.
• Descripción: explicación del plazo.
• Color de Fondo: seleccionar de la paleta el color deseado para el fondo de
las celdas de los informes en que aparezca el plazo.
• Color de texto: seleccionar de la paleta el color deseado para el texto de
las celdas de los informes en que aparezca el plazo.
• Orden: este parámetro indica, en un orden de menor a mayor, la secuencia
de los plazos. Por ejemplo, 1: Corto; 2: Medio; 3: Largo; etc. El máximo
valor de orden será el que se considere para el dato Rr en las Estadísticas
de Análisis de Riesgo. (Ver 7.1.1 Estadísticas de Riesgo)

13.4. Clases
Los Proyectos son agrupados en Clases que modelan sus propiedades comunes.
Por sus características, las clases tienen diferentes distribuciones de los costos del
proyecto. El costo del proyecto se calcula en función de la Madurez de
Diagnóstico (Ver 6.2.1 Generar Cuestionario), del Alcance definido (Ver 7.2.2
Gestión por Proyectos) (Ver7.2.3 Gestión por Recomendaciones) y del Costo
Estándar de cada Recomendación del Proyecto.
Para dichos cálculos se tienen en cuenta las distribuciones de costos

especificadas en la clase asociada al Proyecto.
Pantalla de clases de proyectos
ABM de clases de proyectos

En la sección “Datos Generales” deben completarse los siguientes campos:
• Clase: nombre la clase.
• Descripción: explicación conceptual de la clase.
En la sección “Costo Estándar de la Fase”, se definen los porcentajes del costo

para alcanzar los distintos niveles de Madurez. (Ver 9.1.4 Modelo de Madurez)
• En la columna “% del Proyecto”, especificar el porcentaje del costo total
que costaría alcanzar cada nivel de madurez.
13.5. Tipos de Proyectos
Los Tipos de Proyecto sirven para definir las características generales de los
Proyectos. Este parámetro no es usado en ningún cálculo, solo se utiliza para
enriquecer la información de la gestión de proyectos.
Pantalla de tipos de proyectos
ABM de tipos de proyectos

• Tipo de Proyecto: nombre del tipo.
• Descripción: explicación del tipo.


Manual Del Usuario R-BOX

Cargado por

Información del documentohacer clic para expandir la información del documento

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Manual Del Usuario R-BOX

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Del Usuario R-BOX

Cargado por

Copyright:

Formatos disponibles

R-BOX Manual del Usuario

Khu Technologies S.A.

2.1. Ingresar a R-BOX .................................................................... 30

3. ADMINISTRACIÓN Y ACCESOS ....................................... 45

Fecha: 24 de julio de 2012 Página 2 de 352

3.4. Ubicaciones Físicas .................................................................. 69

Fecha: 24 de julio de 2012 Página 3 de 352

4.1.4. Tipos de Redundancia ................................................................. 113

Fecha: 24 de julio de 2012 Página 4 de 352

5.1.1. Granularidad de Gestión.............................................................. 152

6. MÓDULO DE ANÁLISIS DE RIESGO .............................. 183

Fecha: 24 de julio de 2012 Página 5 de 352

6.1.14. Parámetros de AR… .................................................................. 208

Fecha: 24 de julio de 2012 Página 6 de 352

7. MÓDULO DE GESTIÓN DE RIESGO ................................ 268

7.1.5. Comparativa de Análisis .............................................................. 274

8. MÓDULO DE TRATAMIENTO ......................................... 302

Fecha: 24 de julio de 2012 Página 7 de 352

9.4. CO - Reporting ..................................................................... 331

11. MÓDULO DE BCM ......................................................... 341

Fecha: 24 de julio de 2012 Página 8 de 352

Fecha: 24 de julio de 2012 Página 9 de 352

Fecha: 24 de julio de 2012 Página 10 de 352

Esquema de Módulos y Bloques de R-BOX

Base de Conocimientos: donde se modelan los estándares y buenas prácticas

Flujos y Captura: en este bloque se ingresa toda la información relativa a la

Cálculos: la información proveniente de los bloques mencionados anteriormente,

Reporting: a través de este bloque, los resultados se presentan en pantalla, se

Administración y Accesos: permite establecer las estructuras organizativas,

Fecha: 24 de julio de 2012 Página 11 de 352

Alinear la Gestión de la Seguridad con la estrategia del Negocio.

Facilitar las auditorías internas y externas.

Conocer el nivel de cumplimiento de estándares, leyes y buenas prácticas:

Fecha: 24 de julio de 2012 Página 12 de 352

Secuencia de utilización de los Módulos de R-BOX

La funcionalidad de cada módulo está compuesta por una serie de Submódulos,

Fecha: 24 de julio de 2012 Página 13 de 352

R-BOX es una eficiente herramienta de gestión, de fácil utilización y corta curva de

Fecha: 24 de julio de 2012 Página 14 de 352

Fecha: 24 de julio de 2012 Página 15 de 352

los Procesos de Negocio.

Fecha: 24 de julio de 2012 Página 16 de 352

• vMecanismos de Integridad: para asegurar la integridad de datos y

• Ajustes particulares: el roadmap de R-BOX se establece como un

Estándares y Buenas Prácticas

Fecha: 24 de julio de 2012 Página 17 de 352

Su objetivo es proveer las facilidades necesarias para:

Los siguientes son los beneficios esperados de este módulo:

Módulo de Inventario de Activos

Fecha: 24 de julio de 2012 Página 18 de 352

Permite especificar la importancia que la información tiene para el Negocio.

Su objetivo es proveer las facilidades necesarias para:

Los siguientes son los beneficios esperados de este módulo:

Fecha: 24 de julio de 2012 Página 19 de 352

Permite obtener un diagnóstico, estableciendo el punto de partida de la Gestión de

Su objetivo es proveer las facilidades necesarias para:

Los siguientes son los beneficios esperados de este módulo:

Módulo de Análisis de Riesgo