21 de Octubre del 2015

UNIVERSIDAD LAICA
ELOY ALFARO DE MANAB
FACULTAD DE CIENCIAS INFORMTICAS

Ingeniera en Sistemas
TEMA:
Magerit
MATERIA:
Auditoria y Centro de Computacin
NOMBRES Y APELLIDOS:
Arias Medranda Josue Alejandro
Delgado Alvia Carlos Eduardo
Delgado Mero Juan Isaac
Loor Garca Jos Geovanny
Muentes Sabando Vctor Manuel

CURSO:
Quinto Anual B
CATEDRTICO:
Ing. Becker Briones
AO LECTIVO:
2015 - 2016
DESCRIPCIN GENERAL DE MAGERIT

Hay varias aproximaciones al problema de analizar los riesgos soportados por

los sistemas TIC, como pueden ser guas informales, aproximaciones
metdicas y herramientas de soporte. Todas buscan objetivar el anlisis de
riesgos para saber cun seguros (o inseguros) son los sistemas y no llamarse a
engao. El gran reto de todas estas aproximaciones es la complejidad del
problema al que se enfrentan; complejidad en el sentido de que hay muchos
elementos que considerar y que, si no se es riguroso, las conclusiones sern
de poco fiar. Es por ello que en Magerit se persigue una aproximacin metdica
que no deje lugar a la improvisacin, ni dependa de la arbitrariedad del
analista.
Magerit
Siguiendo la terminologa de la normativa ISO 31000, Magerit responde a lo
que se denomina Proceso de Gestin de los Riesgos, seccin 4.4
(Implementacin de la Gestin de los Riesgos) dentro del Marco de Gestin
de Riesgos. En otras palabras, MAGERIT implementa el Proceso de Gestin
de Riesgos dentro de un marco de trabajo para que los rganos de gobierno
tomen decisiones teniendo en cuenta los riesgos derivados del uso de
tecnologas de la informacin.

Hay varias aproximaciones al problema de analizar los riesgos soportados por

los sistemas TIC: guas informales, aproximaciones metdicas y herramientas
de soporte. Todas buscan objetivar el anlisis de riesgos para saber cun
seguros (o inseguros) son los sistemas y no llamarse a engao. El gran reto de
todas estas aproximaciones es la complejidad del problema al que se
enfrentan; complejidad en el sentido de que hay muchos elementos que
considerar y que, si no se es riguroso, las conclusiones sern de poco fiar. Es
por ello que en Magerit se persigue una aproximacin metdica que no deje
lugar a la improvisacin, ni dependa de la arbitrariedad del analista.

Magerit persigue los siguientes objetivos:

Directos:
1. Concienciar a los responsables de las organizaciones de informacin de la
existencia de riesgos y de la necesidad de gestionarlos.
2. Ofrecer un mtodo sistemtico para analizar los riesgos derivados del uso
de tecnologas de la informacin y comunicaciones (TIC).
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los
riesgos bajo control.
Indirectos:
1. Preparar a la Organizacin para procesos de evaluacin, auditora,
certificacin o acreditacin, segn corresponda en cada caso
Tambin se ha buscado la uniformidad de los informes que recogen los
hallazgos y las conclusiones de las actividades de anlisis y gestin de
riesgos:
Modelo de valor
Caracterizacin del valor que representan los activos para la Organizacin
as como de las dependencias entre los diferentes activos.
Mapa de riesgos
Relacin de las amenazas a que estn expuestos los activos.
Declaracin de aplicabilidad
Para un conjunto de salvaguardas, se indica sin son de aplicacin en el
sistema de informacin bajo estudio o si, por el contrario, carecen de
sentido.
Evaluacin de salvaguardas
Evaluacin de la eficacia de las salvaguardas existentes en relacin al
riesgo que afrontan.
Estado de riesgo
Caracterizacin de los activos por su riesgo residual; es decir, por lo que
puede pasar to-mando en consideracin las salvaguardas desplegadas.
Informe de insuficiencias
Ausencia o debilidad de las salvaguardas que aparecen como oportunas
para reducir los riesgos sobre el sistema. Es decir, recoge las
vulnerabilidades del sistema, entendidas como puntos dbilmente
protegidos por los que las amenazas podran materializarse.
Cumplimiento de normativa
Satisfaccin de unos requisitos. Declaracin de que se ajusta y es
conforme a la normativa correspondiente.
Plan de seguridad
Conjunto de proyectos de seguridad que permiten materializar las
decisiones de tratamiento de riesgos.

Ventajas de Magerit:
Las decisiones que deban tomarse y que tengan que ser validadas por la
direccin estarn fundamentadas y sern fcilmente defendibles.
Desventajas de Magerit:
El hecho de tener que traducir de forma directa todas las valoraciones en
valores econmicos hace que la aplicacin de esta metodologa sea realmente
costosa.
ESTRUCTURACION DE LA METODOLOGIA
La versin 2 y 3 de Magerit se ha estructurado en tres libros: El Mtodo, un
"Catlogo de Elementos" y una "Gua de Tcnicas".
EL MTODO
Realizacin del anlisis y de la gestin.
En la Planificacin del Anlisis y Gestin de Riesgos se establecen las
consideraciones necesarias para arrancar el proyecto, investigando la
oportunidad de realizarlo, definiendo los objetivos que ha de cumplir y el
dominio (mbito) que abarcar, planificando los medios materiales y humanos
para su realizacin e iniciando materialmente el propio lanzamiento del
proyecto.
Anlisis de Riesgos.
En el Anlisis de riesgos se identifican y valoran los elementos componentes
del riesgo, obteniendo una estimacin de los umbrales de riesgo deseables. Es
la consideracin sistemtica del dao probable que puede causar un fallo en la
seguridad de la informacin, con las consecuencias potenciales de prdida de
confidencialidad, integridad y disponibilidad de la informacin.
Elementos del anlisis de riesgos.
En la realizacin de un Anlisis y Gestin de Riesgos segn MAGERIT, el
Analista de Riesgos es el profesional especialista que maneja seis elementos
bsicos:
Activos: Recursos del sistema de informacin o relacionados con este,
necesarios para que funcione correctamente y alcance los objetivos
propuestos por su direccin. El activo esencial es la informacin o dato.
Amenazas: Determinar las amenazas que pueden afectar a cada activo,
hay que estimar cun vulnerable es el activo en dos sentidos:
Degradacin: Como es de perjudicial y Frecuencia: Cada cuanto se
materializa la amenaza.
Vulnerabilidades: Potencialidad o posibilidad de ocurrencia de la
materializacin de una amenaza sobre dicho activo.
Impactos: Es el dao sobre el activo causado por la amenaza,
conociendo el valor de los activos sera muy sencillo calcular el valor del
impacto.

Riesgo: Es la medida de la posibilidad que existe en que se materialice

una amenaza. Conociendo el riesgo ya podemos calcular la frecuencia.
Salvaguardas (Funciones, Servicios y Mecanismos): Un salvaguarda
es un mecanismo de proteccin frente a las amenazas, reducen la
frecuencia de las amenazas y limitan el dao causado por estas.

ACTIVOS
Identificacin de los Activos protegibles del Dominio MAGERIT tiene en cuenta
cinco grandes categoras de Activos:
1. El entorno o soporte del Sistema de Informacin, que comprende activos
tangibles (como edificaciones, mobiliario, lugares de trabajo),
equipamiento
de
suministro
auxiliar
(energa,
climatizacin,
comunicaciones) y personal.
2. El sistema de informacin propiamente dicho del Dominio (hardware,
redes, software, aplicaciones).
3. La propia informacin requerida, soportada o producida por el Sistema
de Informacin que incluye los datos informatizados, as como su
estructuracin (formatos, cdigos, claves de cifrado) y sus soportes
(tratables informticamente o no).
4. Las funcionalidades del Dominio que justifican al Sistema de
Informacin, incluido desde el personal usuario a los objetivos
propuestos por la direccin del Dominio.
5. Otros Activos, de naturaleza muy variada, por ejemplo la imagen de la
organizacin, la confianza que inspire, el fondo de comercio, la intimidad
de las personas, etc.
Ejemplo: Un fallo en la red de conexin de datos (Activo de tipo Entorno)
provoca la imposibilidad de alimentar el Sistema de Informacin (por ejemplo
de una sucursal bancaria) que no obtiene as la Informacin de las cuentas de
sus clientes, con lo que no puede ejercer las funcionalidades de la organizacin
(atender a los clientes) y pierde imagen ante stos, como ejemplo de esos
otros activos.
RIESGOS
El riesgo es la posibilidad de que se produzca un impacto en un Activo o en el
Dominio.
Para MAGERIT el clculo del riesgo ofrece un Indicador que permite tomar
decisiones por comparacin explcita con un Umbral de Riesgo determinado; o
sea una propiedad de la relacin Vulnerabilidad /Impacto y por tanto de la
relacin entre Activos y Amenazas.
AMENAZAS
Conocimiento de las Amenazas.
Las amenazas se definen como los eventos que pueden desencadenar un
incidente en la organizacin, produciendo daos materiales o prdidas
inmateriales en sus activos.
[N] Desastres naturales: Sucesos que pueden ocurrir sin intervencin de los
seres humanos como causa directa o indirecta.

[I] De origen industrial: Sucesos que pueden ocurrir de forma accidental,

derivados de la actividad humana de tipo industrial. Estas amenazas pueden
darse de forma accidental o deliberada.
[E] Errores y fallos no intencionados: Fallos no intencionales causados por las
personas.
[A] Ataques intencionados: Fallos deliberados causados por las personas.
Errores y amenazas constituyen frecuentemente las dos caras de la misma
moneda: algo que le puede pasar a los activos sin animosidad o
deliberadamente. Se pueden dar hasta tres combinaciones:
Amenazas que slo pueden ser errores, nunca ataques deliberados.
Amenazas que nunca son errores: siempre son ataques deliberados.
Amenazas que pueden producirse tanto por error como
deliberadamente.
MAGERIT considera distintos productores de las Amenazas (no humanos,
humanos involuntarios o humanos voluntarios) para tener en cuenta la
diversidad de sus causas, independientemente de sus consecuencias. Cada
tipo de productores genera un tipo de causas de los cambios del estado de
seguridad en los Activos: accidentes, errores e intervenciones intencionales,
stas realizadas con presencia del agresor por teleaccin (usando medios de
comunicacin). Las Amenazas se clasifican as:
Grupo A de Accidentes.
A1: Accidente fsico de origen industrial: incendio, explosin, inundacin por
roturas, contaminacin por industrias cercanas o emisiones radioelctricas.
A2: Avera: de origen fsico o lgico, debida a un defecto de origen o
sobrevenida durante el funcionamiento del sistema.
A3: Accidente fsico de origen natural: riada, fenmeno ssmico o volcnico,
meteoro, rayo, corrimiento de tierras, avalancha, derrumbe.
A4: Interrupcin de servicios o de suministros esenciales: energa, agua,
telecomunicacin, fluidos y suministros diversos.
A5: Accidentes mecnicos o electromagnticos: choque, cada, cuerpo extrao,
radiacin, electrosttica.
Grupo E de Errores.
E1: Errores de utilizacin ocurridos durante la recogida y transmisin de datos
o en su explotacin por el sistema.
E2: Errores de diseo existentes desde los procesos de desarrollo del software
(incluidos los de dimensionamiento, por la posible saturacin).
E3: Errores de ruta, secuencia o entrega de la informacin en trnsito.
E4: Inadecuacin de monitorizacin, trazabilidad, registro del trfico de
informacin.
Grupo P de Amenazas Intencionales Presenciales.
P1: Acceso fsico no autorizado con inutilizacin por destruccin o sustraccin
(de equipos, accesorios o infraestructura).
P2: Acceso lgico no autorizado con intercepcin pasiva simple de la
informacin.

P3: Acceso lgico no autorizado con alteracin o sustraccin de la informacin

en trnsito o de configuracin; es decir, reduccin de la confidencialidad para
obtener bienes o servicios aprovechables (programas, datos).
P4: Acceso lgico no autorizado con corrupcin o destruccin de informacin
en trnsito o de configuracin: es decir, reduccin de la integridad y/o
disponibilidad del sistema sin provecho directo (sabotaje inmaterial, infeccin
vrica).
P5: Indisponibilidad de recursos, sean humanos (huelga, abandono, rotacin) o
tcnicos (desvo del uso del sistema, bloqueo).
Grupo T de Amenazas Intencionales Teleactuadas.
T1: Acceso lgico no autorizado con intercepcin pasiva (para anlisis de
trfico).
T2: Acceso lgico no autorizado con corrupcin o destruccin de informacin
en trnsito o de configuracin.
T3: Acceso lgico no autorizado con modificacin (Insercin, Repeticin) de
informacin en trnsito.
T4: Suplantacin de Origen (del emisor o reemisor, man in the middle) o de
Identidad.
T5: Repudio del Origen o de la Recepcin de informacin en trnsito.
VULNERABILIDADES
Estimacin de las Vulnerabilidades.
La Vulnerabilidad de un Activo se define como la potencialidad o posibilidad de
ocurrencia de la materializacin de una Amenaza sobre dicho Activo. Es una
propiedad de la relacin entre un Activo y una Amenaza y se clasifica de
acuerdo con stos (conviene centrarse en las amenazas ms fcilmente
materializarles y/o ms impactantes).
La vulnerabilidad se expresa con un valor decimal, comprendido entre los
valores extremos: 0 (la Amenaza no afecta al Activo) y 1 (no alcanzable pues
significa la agresin permanente). MAGERIT evita cuidadosamente los
trminos probable y probabilidad al definir la Vulnerabilidad, mientras que
emplea los conceptos de potencial y potencialidad como ms cercanos al
trnsito de amenaza materializarle en agresin.
Esa potencialidad se convierte en frecuencia para los casos de calculabilidad
definida (cifra de cuntas veces falla una disquetera por ao) y en posibilidad
para los casos de calculabilidad ms difusa (que MAGERIT tambin trata con
tcnicas avanzadas especiales).
MAGERIT mide la Vulnerabilidad por la frecuencia histrica cuantitativa de la
materializacin de la Amenaza sobre el Activo, cuando es factible (fiabilidad de
un componente hardware, nmero de fallos de software); o bien por la
potencialidad cualitativa de dicha materializacin, cuya primera aproximacin
lleva a emplear una escala vista en las Amenazas potenciales (consideradas
ahora reales, o sea agresiones). Por ejemplo:
Promedio medio entre ocurrencias
menor de 1 semana
menor de 2 meses
menor de 1 ao

Escala subjetiva
Frecuencia muy alta
Frecuencia alta
Frecuencia media

menor de 6 aos
superior a 6 aos

Frecuencia baja
Frecuencia muy baja

Ejemplo: Una Amenaza de inundacin por desbordamiento de torrente relativa

a un Activo centro de clculo se plasma en una Vulnerabilidad del Activo ante
esa Amenaza. La Vulnerabilidad depende tanto de la frecuencia de las
inundaciones en la zona como de la ubicacin del propio centro de clculo
(cercana al lecho, situacin en un stano, etc.).
IMPACTOS
Identificacin de Impactos.
El Impacto en un Activo es la consecuencia sobre ste de la materializacin de
una Amenaza en agresin, consecuencia que puede desbordar ampliamente el
Dominio y requerir la medida del dao producido a la organizacin. Es la
diferencia en las estimaciones del estado de seguridad del Activo obtenidas
antes y despus del evento de agresin.
El Responsable del Dominio protegible para realizar la estimacin crucial de los
Impactos se apoya en la tipologa de Impactos de MAGERIT, orientada a la
naturaleza de las Consecuencias de las combinaciones Activo-Amenaza.
MAGERIT considera tres grandes grupos de Impactos, segn que sus
Consecuencias sean reductoras del estado de seguridad del Activo agredido
directamente (en este caso el Impacto se compone de su Gravedad intrnseca
y un Agravante o Atenuante circunstancial); o indirectamente (y en este caso,
de forma cualitativa o cuantitativa). Entonces el Impacto ser:
Cualitativo con prdidas funcionales (de los sub-estados de seguridad)
del Activo.
bien cualitativo con prdidas orgnicas (de fondo de comercio, dao de
personas).
bien cuantitativo si las consecuencias se puede traducir a dinero.
Ciertos Impactos suponen consecuencias cualitativas funcionales sobre los
sub-estados:

El Sub-estado de Autenticacin SA
Es la propiedad que permite que no haya duda de quin se hace
responsable de una informacin o prestacin de un servicio, tanto a fin
de confiar en l como de poder perseguir posteriormente los
incumplimientos o errores. Contra la autenticidad se dan suplantaciones
y engaos que buscan realizar un fraude. La autenticidad es la base
para poder luchar contra el repudio y, como tal, fundamenta el comercio
electrnico o la administracin electrnica, permitiendo confiar sin
papeles ni presencia fsica.

El Sub-estado de Confidencialidad SC
Es la propiedad que asegura que la informacin llegue solamente a las
personas autorizadas. La confidencialidad es una propiedad de difcil
recuperacin. Una violacin de la confidencialidad puede perfectamente

menoscabar la confianza de los dems actores en la organizacin que

no es diligente en el mantenimiento del secreto. Adems estos fallos
puede suponer el incumplimiento de leyes y compromisos contractuales
relativos a la custodia de los datos.

El Sub-estado de Integridad
Es la propiedad de mantener los recursos libres de cualquier tipo de
modificacin no autorizada. La integridad de la informacin se ve violada
cuando un actor (empleado, programa, malware o proceso), por
accidente o mala intencin, altera de alguna manera los datos ya sea
modificndolos o borrndolos. Toda modificacin de la informacin
importante de una organizacin debe ser autorizada y registrada.

El Sub-estado de Disponibilidad SD
Es la propiedad que garantiza la disposicin de los recursos a ser
usados cuando sea necesario. La carencia de disponibilidad supone una
interrupcin del servicio. La disponibilidad afecta directamente a la
productividad de las organizaciones.

A estas dimensiones cannicas de la seguridad se pueden aadir otras

derivadas que nos acerquen a la percepcin de los usuarios de los sistemas de
informacin:
Autenticidad: Propiedad o caracterstica consistente en que una
entidad es quien dice ser o bien que garantiza la fuente de la que
proceden los datos. Contra la autenticidad de la informacin podemos
tener manipulacin del origen o el contenido de los datos. Contra la
autenticidad de los usuarios de los servicios de acceso, podemos tener
suplantacin de identidad.
Trazabilidad: Aseguramiento de que en todo momento se podr
determinar quin hizo qu y en qu momento. La trazabilidad es
esencial para analizar los incidentes, perseguir a los atacantes y
aprender de la experiencia. La trazabilidad se materializa en la
integridad de los registros de actividad.
MAGERIT usa esta escala simple, vlida para sistemas de informacin
normales en los sectores pblicos y privado, que se usa con mucha frecuencia
para apreciar globalmente el Impacto (como se detalla despus):
Menos de una hora
Menos de un da laborable
Menos de una semana
Menos de un mes
Ms de un mes
Una parte de estos deterioros de los sub-estados de seguridad tienen Impactos
con consecuencias cuantitativas de varios tipos:
N1: Prdidas de valor econmico, ligadas a activos inmobiliarios o
inventariables (costes de reposicin de la funcionalidad, gastos de tasar,

sustituir, reparar o limpiar lo daado, edificios y obras, instalaciones,

computadores, redes).
N2: Prdidas indirectas, valorables y ligadas a intangibles en general no
inventariados (datos, programas, documentacin, procedimientos).
N3: Prdidas indirectas, valorables econmicamente, unidas a
disfuncionalidades tangibles (coste del retraso o interrupcin de
funciones operacionales de la organizacin; la perturbacin o ruptura de
los flujos y ciclos productivos, incluido el deterioro de la calidad de stos;
y la incapacidad de cumplimentar las obligaciones contractuales o
estatutarias).
N4: Prdidas econmicas relativas a responsabilidad legal del
propietario del Dominio protegible siniestrado debido a los perjuicios
causados a terceros (multas).

Otros deterioros de los sub-estados de seguridad tienen Impactos con

consecuencias cualitativas orgnicas de varios tipos:
L1: Prdida de fondos patrimoniales intangibles: conocimientos
(documentos, datos o programas) no recuperables, informacin
confidencial.
L2: Responsabilidad penal por Incumplimiento de obligaciones.
L3: Perturbacin o situacin embarazosa poltico-administrativa
(credibilidad, prestigio, competencia poltica).
L4: Dao a las personas.
Estimacin de Impactos MAGERIT indica varias formas de valorar estos
impactos:
Valoracin econmica directa de las Prdidas Cuantitativas cuando es
posible.
Estimacin por niveles usando una escala monetaria que representa las
cantidades a emplear para paliar los daos producidos por una amenaza
materializada en la organizacin.
Estimacin por Niveles de Gravedad usando las escalas cualitativas de
las Prdidas cualitativas L orgnicas o de las funcionales relacionadas
con reduccin de los sub-estados SA, SC o SI.
Valoracin en tiempo de la falta de disponibilidad de algn activo
importante.
En un primer intento intente escoger como medida del impacto el coste de
reposicin del activo daado; cuando esta medida no es factible o no tiene
sentido, intenta apreciar el coste de reposicin de la funcin realizada por el
Activo daado, a partir del deterioro de alguno de sus sub-estados de
seguridad. As:
La prdida con gravedad alta del sub-estado de disponibilidad de un Activo
de tipo informacin (reponerle con gran dificultad) afecta total o parcialmente a
una funcionalidad de la Organizacin durante un tiempo determinado.
La misma prdida con gravedad alta del sub-estado de confidencialidad no
hace perder facturacin actual, pero puede haber dado la lista de pedidos a un
competidor que la usar para hacer perder clientes y su facturacin futura;

prdida posiblemente mucho ms alta, si no se toman las medidas adecuadas

en el intervalo.

RIESGOS
El riesgo es la posibilidad de que se produzca un impacto en un Activo o en el
Dominio.
Mecanismos de salvaguarda
Una Funcin o un Servicio de salvaguarda es una accin genrica que reduce
el Riesgo mientras que un Mecanismo de salvaguarda es el procedimiento o
dispositivo, fsico o lgico, capaz de reducir el riesgo. Los mecanismos de
salvaguarda se valoran directamente por su coste tcnico u organizativo. Acta
de dos formas posibles, en general alternativas:
Neutralizando o bloqueando la materializacin de la Amenaza antes de
ser agresin.
Mejorando el estado de seguridad del Activo ya agredido, por reduccin
del Impacto.
Gestin de Riesgos
En la Gestin de riesgos se identifican las posibles funciones y servicios de
salvaguarda reductores del riesgo calculado, se seleccionan los aceptables en
funcin de las existentes y otras restricciones y se especifican los elegidos
finalmente.
Seleccin de salvaguardas
En la Seleccin de salvaguardas se escogen los mecanismos de salvaguarda a
implantar, se elabora una orientacin de ese plan de implantacin, se
establecen los procedimientos de seguimiento para la implantacin y se
recopila la informacin necesaria.
Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el
impacto como el riesgo, reduciendo bien la degradacin del activo
(minimizando el dao), bien reduciendo la frecuencia de la amenaza
(minimizando sus oportunidades).

CATLOGO DE ELEMENTOS
Ofrece unas pautas y elementos estndar en cuanto a: tipos de activos,
dimensiones de valoracin de los activos, criterios de valoracin de los activos,
amenazas tpicas sobre los sistemas de informacin y salvaguardas a
considerar para proteger sistemas de informacin. Se persiguen dos objetivos:
Por una parte, facilitar la labor de las personas que acometen el proyecto, en el
sentido de ofrecerles elementos estndar a los que puedan adscribirse
rpidamente, centrndose en lo especfico del sistema objeto del anlisis.
Por otra, homogeneizar los resultados de los anlisis, promoviendo una
terminologa y unos criterios uniformes que permitan comparar e incluso
integrar anlisis realizados por diferentes equipos.
Valoracin de Activos.

Tipos de activos:
[S] Servicios: Funcin que satisface una necesidad de los usuarios.
[D] Datos / Informacin: Elementos de informacin que, de forma singular o
agrupada de alguna forma, representan el conocimiento que se tiene de algo.
[SW] Aplicaciones (software): Con mltiples denominaciones (programas,
aplicativos, desarrollos, etc.) son tareas que han sido automatizadas para su
desempeo por un equipo informtico.
[HW] Equipos informticos (hardware): Dcese de bienes materiales, fsicos,
destinados a soportar directa o indirectamente los servicios que presta la
organizacin, siendo pues depositarios temporales o permanentes de los datos,
soporte de ejecucin de las aplicaciones informticas o responsables del
procesado o la transmisin de datos.
[COM] Redes de comunicaciones: Incluyendo tanto instalaciones dedicadas
como servicios de comunicaciones contratados a terceros.
[SI] Soportes de informacin: Dispositivos fsicos que permiten almacenar
informacin de forma permanente o, al menos, durante largos periodos de
tiempo.
[AUX] Equipamiento auxiliar: Equipos que sirven de soporte a los sistemas de
informacin, sin estar directamente relacionados con datos.
[L] Instalaciones: Lugares donde se hospedan los sistemas de informacin y
comunicaciones.
[P] Personal: Personas relacionadas con los sistemas de informacin.
Dimensiones de valoracin de un activo .

[D] disponibilidad: Aseguramiento de que los usuarios autorizados tienen

acceso cuando lo requieran a la informacin y sus activos asociados.
[I] integridad de los datos: Garanta de la exactitud y completitud de la
informacin y los mtodos de su procesamiento.
[C] confidencialidad de los datos: Aseguramiento de que la informacin es
accesible slo para aquellos autorizados a tener acceso.
[A_S] autenticidad de los usuarios del servicio: Aseguramiento de la identidad u
origen.
[A_D] autenticidad del origen de los datos: Aseguramiento de la identidad u
origen.
[T_S] trazabilidad del servicio: Aseguramiento de que en todo momento se
podr determinar quin us qu y en qu momento.
[T_D] trazabilidad de los datos: Aseguramiento de que en todo momento se
podr determinar quin hizo qu y en qu momento.
Criterios de valoracin
Para valorar los activos vale, tericamente, cualquier escala de valores. A
efectos prcticos es sin embargo muy importante que:
Se use una escala comn para todas las dimensiones, permitiendo
comparar riesgos.
Se use una escala logartmica, centrada en diferencias relativas de valor,
que no en diferencias absolutas.
Se use un criterio homogneo que permita comparar anlisis realizados
por separado.
El Activo puede tener dos formas clsicas de valoracin, cualitativa y
cuantitativa. La valoracin cualitativa corresponde a su valor de uso y la
cuantitativa a su valor de cambio (cuando ste tiene sentido para ciertos tipos
de Activo). Muchos Activos del Dominio en estudio no son inventariables en
sentido contable o como valor de cambio; pero no por ello dejan de tener
valor de uso para la Organizacin (e incluso a veces un valor decisivo).
Salvaguardas
Hay diferentes aspectos en los cuales puede actuar una salvaguarda para
alcanzar sus objetivos de limitacin del impacto y/o mitigacin del riesgo:
[PR] Se requieren procedimientos tanto para la operacin de las salvaguardas
preventivas como para la gestin de incidencias y la recuperacin tras las
mismas.
[PER] poltica de personal, que es necesaria cuando se consideran sistemas
atendidos por personal. La poltica de personal debe cubrir desde las fases de
especificacin del puesto de trabajo y seleccin, hasta la formacin continua.
Soluciones tcnicas, frecuentes en el entorno de las tecnologas de la
informacin, que pueden ser:
[SW] aplicaciones (software).

[HW] dispositivos fsicos.

[COM] proteccin de las
comunicaciones.
[FIS] seguridad fsica, de los
locales y reas de trabajo.

GUIA DE TECNICAS
Proporciona algunas tcnicas que se emplean habitualmente para llevar a cabo
proyectos de anlisis y gestin de riesgos
Tcnicas especficas
Se han considerado de especial inters:
1. Uso de tablas para la obtencin sencilla de resultados.
En el anlisis de riesgos hay que trabajar con mltiples elementos que
hay que combinar en un sistema para ordenarlo por importancia sin que
los detalles perjudiquen la visin de conjunto. La experiencia ha
demostrado la utilidad de mtodos simples de anlisis llevados a cabo
por medio de tablas que, sin ser muy precisas, s aciertan en la
identificacin de la importancia relativa de los diferentes activos
sometidos a amenazas. Sea la escala siguiente til para calificar el valor
de los activos, la magnitud del impacto y la magnitud del riesgo:
MB: muy bajo
B: bajo
M: medio
A: alto
MA: muy alto
2. Tcnicas algortmicas para la obtencin de resultados elaborados.
Dcese anlisis de la distincin y separacin de las partes de un todo
hasta llegar a conocer sus principios o elementos.
3. Arboles de ataque para complementar los razonamientos de qu
amenazas se ciernen sobre un sistema de informacin.
Los rboles de ataque son una tcnica para modelar las diferentes
formas de alcanzar un objetivo. El objetivo del atacante se usa como raz
del rbol. A partir de este objetivo, de forma iterativa e incremental se
van detallando como ramas del rbol las diferentes formas de alcanzar
aquel objetivo, convirtindose las ramas en objetivos intermedios que a

su vez pueden refinarse. Los posibles ataques a un sistema se acaban

modelando como un bosque de rboles de ataque. Un rbol de ataque
pasa revista a cmo se puede atacar un sistema y por tanto permite
identificar qu salvaguardas se necesita desplegar para impedirlo.
Tambin permiten estudiar la actividad del atacante y por tanto lo que
necesita saber y lo que necesita tener para realizar el ataque; de esta
forma es posible refinar las posibilidades de que el ataque se produzca
si se sabe a quin pudiera interesar el sistema y/o la informacin y se
cruza esta informacin con la habilidades que se requieren.

Tcnicas Generales
Son utilizadas en el desarrollo de un proyecto de anlisis y gestin de riesgos.
Se han considerado de especial inters:
Anlisis coste-beneficio
Tiene como objetivo fundamental proporcionar una medida de los costes
en que se incurre en la realizacin de un proyecto y comparar dichos
costes previstos con los beneficios esperados de la realizacin de dicho
proyecto. Para la
realizacin
del
anlisis
coste/beneficio
se
seguirn
los
siguientes pasos:

Producir
estimaciones
de
costes/beneficios: Se
realizar una lista de
todo lo que es
necesario
para
implementar
el
sistema y una lista de los beneficios esperados del nuevo sistema.
(adquisicin de hardware y software, gastos de mantenimiento de
hardware y software anteriores). En la estimacin de beneficios se
pueden considerar cuestiones como incremento de la productividad,
reutilizacin de plataformas sustituidas, ahorros de adquisicin y
mantenimiento de software y hardware).
Determinar la viabilidad del proyecto y su aceptacin.

Diagrama de flujo de datos

Permite representar grficamente los lmites del sistema y la lgica de
los procesos, estableciendo qu funciones hay que desarrollar. Se

compone de los siguientes elementos: Entidad externa, proceso,

Almacn de datos, Flujo de datos.
Diagrama de procesos
Un proceso de la Organizacin se descompone en una serie de
actividades (qu se hace) y stas en procedimientos (cmo se hace).
Tcnicas grficas
Diagramas de Gantt: Los diagramas GANTT ayudan a la
representacin de actividades y recursos en funcin del tiempo. El
objetivo de los Diagramas GANTT consiste en facilitar la comprensin de
los detalles de un plan y el progreso en su ejecucin.
Por puntos y lneas: Es la forma ms clsica de presentacin de
resultados. Se limita a usar los ejes cartesianos usando las abscisas
para recoger los datos y las ordenadas para mostrar su valor.
Por barras: Los diagramas de barras disponen los elementos en unas
coordenadas cartesianas convencionales: los elementos a considerar en
un eje y los valores en el
otro eje
Grficos de radar:
Estos
grficos
representan las distintas
variables o factores del
fenmeno en estudio
sobre ejes o radios que
parten de un centro.
Estos radios, tantos
como
factores,
se
gradan
para
representar sus niveles
y posibles umbrales en
escala
normal
o
logartmica,
segn
convenga.
Diagramas de Pareto: Una grfica de Pareto es utilizada para separar
grficamente los aspectos ms significativos de un problema que el
equipo sepa dnde dirigir sus esfuerzos para mejorar. Reducir los
problemas ms significativos (las barras ms largas en una grfica
Pareto) servir ms para una mejora general que reducir los ms
pequeos.
Diagramas de tarta: Estos diagramas presentan los datos como
fracciones de un crculo, distribuidos los 360 de ste en proporcin al

valor que es representado en cada seccin. La proporcin suele ser

lineal; rara vez logartmica.

Planificacin de Proyectos
Las tcnicas del camino crtico (CP Critical Path) y PERT (Program
Evaluation and Review Technique) fueron desarrolladas hacia 1950 con
el objetivo de modelar proyectos complejos, estimar su tiempo de
realizacin y analizar las consecuencias que sobre el conjunto tendra
una desviacin en una tarea.

Sesiones de Trabajo
Dependiendo del tipo de sesin que se realice, los objetivos pueden ser:
obtener informacin, comunicar resultados, reducir el tiempo de
desarrollo, activar la participacin de usuarios y directivos o aumentar la
calidad de los resultados. Las sesiones de trabajo pueden ser de varios
tipos en funcin de las personas que participen en ellas, el objetivo que
se persiga y el modo de llevarlas a cabo. Las entrevistas y las reuniones
son un tipo de sesiones de trabajo dirigidas a obtener la informacin.

Valoracin Delphi
La tcnica Delphi es un instrumento de uso mltiple adecuada para
Magerit que se utiliza con muy variados objetivos: Identificar problemas,
desarrollar estrategias para la solucin de problemas, fijando un rango
de alternativas posibles, identificar factores de resistencia en el proceso
de cambio, establecer previsiones de futuro sobre la evolucin de las
tendencias que se observan en un determinado campo o sector y
contrastar opiniones en un tema abarcando un amplio campo de
disciplinas o sectores

Bibliografa
Espaa, M. d.-G. (Octubre de 2012). Portal de Administracin Electrnica PAe.
Obtenido de TTULO: MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin.:Libro 1 "Metodo"
http://administracionelectronica.gob.es/
Espaa, M. d.-G. (Octubre de 2012). Portal de Administracin Electrnica PAe.
Obtenido de TTULO: MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin.:Libro 2 "Catalogo
de Elementos"
http://administracionelectronica.gob.es/
Espaa, M. d.-G. (Octubre de 2012). Portal de Administracin Electrnica PAe.
Obtenido de TTULO: MAGERIT versin 3.0. Metodologa de Anlisis y

Gestin de Riesgos de los Sistemas de Informacin.:Libro 3 "Guia de

Tecnicas"
http://administracionelectronica.gob.es/
http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
https://seguridadinformaticaufps.wikispaces.com/MAGERIT