Anlisis de Riesgos

Estndares para la administracin de riesgos

En este documento se describen los diferentes estndares para

la administracin del riesgo, enfocndose en los
procedimientos para la realizacin del anlisis de riesgos

Johana Sosa
27/01/2012
Contenido
Anlisis de Riesgos Cuantitativo.............................................................................................................. 3
Anlisis de Riesgos Cualitativo ............................................................................................................... 6
1. NIST............................................................................................................................................ 7
Gua de gestin de riesgo para los sistemas de Tecnologas de la Informacin. [2] ............................ 7
Evaluacin de riesgos ...................................................................................................................... 7
2. SEI ............................................................................................................................................ 18
Introduccin a OCTAVE Allegro: Mejora del proceso de evaluacin de los riesgos de la seguridad
de la informacin. [4]..................................................................................................................... 19
3. DAFP ........................................................................................................................................ 21
Gua de Administracin del Riesgo [6]........................................................................................... 21
4. CSAE ........................................................................................................................................ 31
MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin. [8] ............................................................................................................................. 31
5. ISO/IEC 27005 .......................................................................................................................... 43
Tecnologas de la informacin Tcnicas de seguridad Gestin de riesgo de seguridad de la
informacin. [10] ........................................................................................................................... 43
Metodologas seleccionadas ................................................................................................................... 49
Referencias ........................................................................................................................................ 50
Ilustraciones

ILUSTRACIN 1. PASOS ANLISIS DE RIESGO CUANTITATIVO. [13]............................................................................ 4

ILUSTRACIN 2. DIAGRAMA DE FLUJO METODOLOGA DE EVALUACIN DE RIESGOS. [2] ............................................ 8
ILUSTRACIN 3. PASOS METODOLOGA. ................................................................................................................. 32
ILUSTRACIN 4. COSTE DE LA INTERRUPCIN DE LA DISPONIBILIDAD. [8] ................................................................ 37
ILUSTRACIN 5. PASOS ANLISIS DE RIESGO.......................................................................................................... 44
Tablas

TABLA 1. RESULTADOS ANLISIS DE RIESGOS CUANTITATIVO ................................................................................. 6

TABLA 2. DEFINICIN DE LA PROBABILIDAD. [2] .................................................................................................... 13
TABLA 3. DEFINICIN DE LA MAGNITUD DEL IMPACTO. [2] ..................................................................................... 15
TABLA 4. MATRIZ NIVEL DEL RIESGO. [2] ............................................................................................................... 17
TABLA 5. ESCALA DEL RIESGO Y ACCIONES NECESARIAS. [2] .................................................................................. 17
TABLA 6. FORMATO DE IDENTIFICACIN DE RIESGOS. [6] ........................................................................................ 23
TABLA 7. MATRIZ DE CLASIFICACIN, EVALUACIN Y RESPUESTA A LOS RIESGOS. [6] ............................................. 25
TABLA 8. VALORACIN DEL RIESGO. [6] ................................................................................................................ 28
TABLA 9. FORMATO: MAPA DE RIESGOS. [6] .......................................................................................................... 30
TABLA 10. VALORES TPICOS DE OCURRENCIA. [8] ................................................................................................. 39

Anlisis de Riesgos Cuantitativo

El objetivo de este anlisis es asignar nmeros reales y significativos a todos los elementos de este
proceso como costos de los controles, el valor de los activos, impacto del negocio, la amenaza de la
frecuencia de ocurrencia, la efectividad de los controles, probabilidad de que una amenaza ocurra entre
otras cosas. [30]
Aunque el anlisis de riesgo cuantitativo no es posible hacerlo de forma perfecta ya que no es fcil
cuantificar elementos cualitativos, es importante realizarlo para tener otra perspectiva de los riesgos que
afectan a la informacin que se maneja en la organizacin.

A continuacin se encuentran los pasos principales para llevar a cabo este anlisis.

1. Asignar un valor al activo

2. Estimar la prdida potencial por

amenaza

3. Realizar un anlisis de las amenazas

4. Deducir el potencial total de prdidas

anuales por amenaza

5. Reducir, transferir, evitar, o aceptar el

riesgo

Ilustracin 1. Pasos Anlisis de Riesgo Cuantitativo. [13]

1. ASIGNAR UN VALOR AL ACTIVO.

Para este paso debe responder a las siguientes preguntas por cada activo:

Cul es el valor del activo para la organizacin?

Cunto cuesta mantener ese activo?
Cuntos beneficios trae ese activo para la organizacin?
Cunto le valdra ese activo a la competencia?
Cunto costara el volver a crear o recuperar ese activo?
Cunto cost adquirir o desarrollar ese activo?
Cunta responsabilidad enfrenta si el activo es comprometido?
2. ESTIMAR LA PRDIDA POTENCIAL POR AMENAZA.
Para este paso debe responder las siguientes preguntas:

Qu dao fsico puede ser una causa de amenaza y cunto costara?

Cunta prdida de productividad puede causar esa amenaza y cunto podra costar?
Cul es el costo de recuperacin de esa amenaza?
Cul es el valor de la prdida si un dispositivo crtico fallara?
Cul es la expectativa de una sola prdida (SLE siglas en ingls) para cada activo y para cada
amenaza?

La expectativa de una sola prdida-SLE es una cantidad en dinero que es asignado a un evento que
representa la cantidad de perdida potencial de la organizacin si una amenaza se materializa. Se
calcula con la siguiente ecuacin:

Expectativa de una sola prdida (SLE) = Valor del activo x Factor de exposicin (EF)

El factor de exposicin (EF) representa el porcentaje de prdida que una amenaza materializada
podra tener sobre un activo determinado

3. REALIZAR UN ANLISIS DE LAS AMENAZAS.

Para este anlisis es necesario reunir informacin sobre la probabilidad de que cada amenaza se
materialice por las personas de cada departamento. Investigando en registros pasados y fuentes de
seguridad oficial que provea ese tipo de datos.
Teniendo esa informacin se debe calcular la tasa anual de ocurrencia (ARO siglas en ingls), que
se refiere a cuantas veces la amenaza se puede materializar en un periodo de 12 meses. El rango
puede ir desde 0.0 (nunca) y 1.0 (al menos un vez al ao)

4. DEDUCIR EL POTENCIAL TOTAL DE PRDIDAS ANUALES POR AMENAZA.

En este paso lo primero que se debe hacer es combinar el potencial de prdida y la probabilidad,
calculando la expectativa de prdida anual (ALE siglas en ingls) por amenaza utilizando la
informacin calculada en los tres pasos anteriores con la siguiente ecuacin:
 Expectativa de prdida anual (ALE) = Expectativa de una sola prdida (SLE) x
tasa anual de ocurrencia (ARO)

Se debe escoger las medidas correctivas que contrarresten cada amenaza, y por ltimo se lleva a cabo
un anlisis costo/beneficio de las contramedidas identificadas.

5. REDUCIR, TRANSFERIR, EVITAR, O ACEPTAR EL RIESGO.

A continuacin se explicaran las cuatro opciones:
Para reducir el riesgo se debe tener en cuenta controles que mitiguen las consecuencias si la
amenaza se materializa.
Al transferir un riesgo se le da la responsabilidad sobre ese riesgo a un tercero.
Para evitar el riesgo se debe suspender la actividad que lo cause.
Aceptar el riesgo es tomar la decisin de no gastar dinero para protegerse del mismo.

La siguiente tabla muestra cmo se deben guardar los resultados del anlisis de riesgos realizado, y con
estos datos la organizacin puede tomar decisiones acertadas sobre qu amenazas se deben considerar
primero dependiendo de la gravedad de las mismas, la probabilidad de que ocurra, y cunto se podra
perder si la amenaza se materializa. Tambin podr tener un aproximado de cunto dinero debe gastar
para protegerse contra cada amenaza.

Activo Amenaza Expectativa de Tasa anual de Expectativa de

una sola prdida ocurrencia prdida anual
(SLE) (ARO) (ALE)

Tabla 1. Resultados Anlisis de Riesgos Cuantitativo

Todo este proceso permite que la organizacin tome buenas decisiones de negocio, en lugar de invertir en
controles y proteccin sin una comprensin clara de lo que se est realizando.

Anlisis de Riesgos Cualitativo

En este documento se encuentra la descripcin de los diferentes pasos que realiza cada metodologa para
realizar el proceso de anlisis de riesgos.
 1. NIST
Es el Instituto Nacional de Normas y Tecnologa que administra la de Tecnologa del Departamento de
Comercio de los Estados Unidos. La misin de este instituto es promover la innovacin y la competencia
industrial en Estados Unidos mediante avances en metrologa, normas y tecnologa de forma que mejoren
la estabilidad econmica y la calidad de vida. [1]

Gua de gestin de riesgo para los sistemas de Tecnologas de la Informacin. [2]

Evaluacin de riesgos
La evaluacin de riesgos es el primer proceso en la metodologa de gestin de riesgos. Las organizaciones
utilizan la evaluacin de riesgos para determinar el alcance de la amenaza potencial y el riesgo asociado
con un sistema de tecnologa de la informacin a travs del desarrollo del ciclo de vida del
sistema. El resultado de este proceso ayuda a identificar los controles adecuados para reducir o
eliminar los riesgos durante el proceso de mitigacin de los mismos.

La metodologa de evaluacin de riesgos trabaja bajo nueve pasos principales, que se describen a
continuacin
1. Caracterizacin del Sistema
2. Identificacin de amenazas
3. Identificacin de vulnerabilidades
4. Anlisis de Control
5. Determinacin de la probabilidad
6. Anlisis de Impacto
7. Determinacin de Riesgos
8. Recomendaciones de los controles
9. Documentacin de Resultados

Los pasos 2, 3, 4 y 6 se pueden realizar en paralelo despus de terminar el 1er paso. La siguiente figura
describe los pasos y las entradas y salidas de cada etapa.
 Ilustracin 2. Diagrama de flujo Metodologa de evaluacin de riesgos. [2]

1. Caracterizacin del sistema

En la evaluacin de los riesgos de un sistema informtico, el primer paso es definir el alcance del
esfuerzo. En este paso, los lmites del sistema de tecnologa de la informacin son identificados,
junto con los recursos y la informacin que conforman el sistema. En la caracterizacin de un
sistema de tecnologa de informacin se establece el alcance del esfuerzo de la evaluacin del riesgo,
se delinea la autorizacin operacional de los lmites, y ofrece informacin (por ejemplo, hardware,
software, la conectividad del sistema, y responsable de la divisin o el apoyo personal), esencial para
definir el riesgo.
Es importante que todas las interfaces y las dependencias estn bien definidas antes de aplicar la
metodologa.
La informacin relacionada al sistema se puede clasificar de la siguiente manera:
 Hardware
Software
Las interfaces del sistema (por ejemplo, la conectividad interna y externa)
Los datos y la informacin
Las personas que apoyan y utilizan el sistema de TI
Misin del Sistema (por ejemplo, los procesos realizados por el sistema informtico)
Criticidad en el Sistema y en los datos
Sensibilidad del Sistema y los datos
Los requisitos funcionales del sistema de TI
Los usuarios del sistema
Las polticas de seguridad del sistema que rigen el sistema informtico (polticas de la
organizacin, requisitos federales, leyes, prcticas de la industria)
Sistema de seguridad de la arquitectura
Diagrama de la red
Proteccin de la informacin almacenada, la disponibilidad de datos, la integridad y la
confidencialidad
Flujo de informacin relacionada con el sistema informtico
Los controles tcnicos utilizados en el sistema
Gestin de los controles utilizados para el sistema de TI
Las polticas de funcionamiento utilizados para el sistema informtico
Entorno de seguridad fsica del sistema informtico
La seguridad ambiental

Para un sistema informtico en desarrollo, es necesario definir las principales normas de seguridad y
atributos previstos para el futuro sistema de TI.

Hay diferentes tcnicas para obtener la informacin relevante al sistema de IT dentro de sus lmites
operacionales

Cuestionario. Para recopilar la informacin pertinente, el personal de evaluacin de riesgos puede

desarrollar un cuestionario relativo a los controles de gestin y operativos previstos o utilizados
con el sistema informtico. Este cuestionario deber ser distribuido entre el personal que est
diseando o apoyando el sistema de TI. El cuestionario tambin podra ser utilizado durante las
visitas en sitio y las entrevistas.
 Entrevistas en el lugar. Entrevistas al personal de apoyo puede permitir que el personal de
evaluacin de riesgos para recopilar informacin til acerca de las TI sistema (por ejemplo, cmo
el sistema es operado y administrado). Visitas sobre el terreno permiten identificar tambin las
amenazas. Personal de evaluacin para observar y recopilar informacin sobre las caractersticas
fsicas, la seguridad ambiental y operacional del sistema de TI.
Revisin de documentos. Documentos de polticas (por ejemplo, documentacin, legislacin,
directivas), documentacin del sistema (por ejemplo, la gua de usuario del sistema, manual del
sistema administrativo, el diseo del sistema y los requisitos del documento, documento de
adquisicin), y documentacin de seguridad (por ejemplo, Informe de auditora anterior, el
informe de evaluacin de riesgos, los resultados del sistema de prueba, sistema de seguridad
plan5, las polticas de seguridad) puede proporcionar una buena informacin acerca de la
controles de seguridad utilizados por para el sistema de TI.
Uso de la herramienta de anlisis automatizado. Se pueden utilizar mtodos tcnicos para
recopilar informacin del sistema de manera eficiente. Por ejemplo, una herramienta de mapeo de
la red puede identificar los servicios que se ejecutan en un grupo grande.

Salida: Caracterizacin del sistema de TI evaluados, una buena imagen del entorno del sistema de
tecnologa de informacin, y la delimitacin de los lmites del sistema

2. Identificacin de amenazas
Una amenaza es un hecho que puede producir un dao. Una vulnerabilidad es una debilidad en un
sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de
acceso y consistencia del sistema o de sus datos y aplicaciones.

Lo primero que se debe identificar son las fuentes de amenazas para ello se encuentran los siguientes
tipos.

Las amenazas naturales-inundaciones, terremotos, tornados, deslizamientos, avalanchas,

tormentas elctricas, y otros eventos.
Las amenazas o los acontecimientos humanos que estn habilitados por o causados por los
seres humanos, como actos intencionales (La entrada inadvertida de datos) o acciones
deliberadas (red los ataques basados en, cargar software malicioso, sin autorizacin acceso a
informacin confidencial).
Las amenazas-ambientales a largo plazo fallo de alimentacin, la contaminacin, productos
qumicos, derrames de lquidos. Una amenaza de cdigo se define como cualquier
 circunstancia o hecho que potencial de causar dao a un TI del sistema. Las fuentes de
amenazas comunes pueden ser naturales, humanos o del medio ambiente.

Al identificar las amenazas, o la lista de posibles fuentes de amenaza, se debe adaptar a la

organizacin y su entorno de procesamiento.

Salida: Una lista de amenazas que contenga una lista de fuentes de amenaza que podra explotar las
vulnerabilidades del sistema

3. Identificacin de las vulnerabilidades

El anlisis de la amenaza a un sistema informtico debe incluir un anlisis de las vulnerabilidades
asociadas con el sistema de medio ambiente. El objetivo de este paso es elaborar una lista de las
vulnerabilidades del sistema (defectos o puntos dbiles) que podran ser explotados por la amenaza
potencial de fuentes.
Los mtodos recomendados para la identificacin de las vulnerabilidades del sistema son
Uso de las fuentes de la vulnerabilidad
Mejoramiento de las pruebas de seguridad del sistema
Desarrollo de una lista de requerimientos de seguridad.

Las fuentes de la vulnerabilidad que deben ser considerados en un anlisis de vulnerabilidades

incluyen:

Una previa documentacin de anlisis de riesgos de los sistemas TI evaluados

Los informes de auditora del sistema de TI, los informes de anomalas del sistema, los
informes de revisin de seguridad, y los informes de prueba y evaluacin del sistema
Las listas de vulnerabilidad, como la base de datos de vulnerabilidad NIST NVD
(http://nvd.nist.gov/)
Avisos de seguridad
Avisos de proveedores
Comercial equipo de incidentes / equipos de emergencia de respuesta.
Informacin de alertas y boletines de Garanta de la vulnerabilidad a los sistemas militares
Sistema de anlisis de software de seguridad.

Otra forma de identificar las vulnerabilidades consiste en probar el sistema teniendo en cuenta la
criticidad de los recursos informticos del sistema y su disponibilidad. Para estas pruebas se debe
considerar:
 Herramientas automatizadas de escaneo de la vulnerabilidad: Se utiliza para explorar un grupo de
hosts o de una red que conoce los servicios vulnerables
Prueba y evaluacin de Seguridad (ST & E): Se utiliza en la identificacin de las vulnerabilidades
del sistema de TI durante el proceso de evaluacin de riesgo. Incluye el desarrollo y ejecucin de
un plan de prueba. El propsito de las pruebas del sistema de seguridad es probar la eficacia de
los controles de seguridad de un sistema de TI, ya que se han aplicado en un entorno operativo.
Prueba de penetracin. Se utiliza para complementar el examen de los controles de seguridad y
asegurarse de que las diferentes facetas del sistema de TI estn asegurados. Las pruebas de
penetracin, cuando se emplea en el proceso de evaluacin de riesgos, se puede utilizar para
evaluar la capacidad de un sistema informtico para resistir los intentos deliberados para burlar la
seguridad del sistema. Su objetivo es poner a prueba el sistema de TI desde la perspectiva de una
fuente de amenaza y para identificar posibles fallos en los sistemas de proteccin sistemas de TI.

Por ltimo dentro de este paso se debe desarrollar una lista de chequeo de requerimientos de
seguridad. que debe contener las normas de seguridad bsicas que pueden ser utilizados para evaluar
de manera sistemtica e identificar las vulnerabilidades de los, los procedimientos no automatizados,
los procesos y las transferencias de informacin asociado con un determinado sistema de TI en las
siguientes reas de seguridad:

Seguridad de Gestin
Seguridad Operativa
Seguridad Tcnica.

Salida: Lista de las vulnerabilidades del sistema que se pueden dar por las fuentes potencial de
amenazas

4. Anlisis del control

El objetivo de este paso es analizar los controles que se han implementado o estn a punto de
implementarse por la organizacin para minimizar o eliminarla la probabilidad de una amenaza del
sistema.
Para obtener una calificacin de riesgo global que indica la probabilidad de que una vulnerabilidad
potencial puede ser ejercida dentro de la construccin del entorno de las amenazas asociadas, la
aplicacin de los controles actuales o previstos que deben ser considerados.
Hay dos tipos principales de controles:
 Controles tcnicos: Son incorporados en hardware, software o firmware (por ejemplo, el
acceso mecanismos de control, identificacin y autenticacin de los mecanismos, mtodos
de encriptacin, la intrusin de software de deteccin).
Controles no tcnicos: Son los controles operacionales y de gestin, tales como las polticas
de seguridad, los procedimientos operacionales y de personal, fsico y ambiental.

Tambin se cuenta con dos categoras de controles:

Controles preventivos: Inhiben los intentos de violar la poltica de seguridad, e incluyen por
ejemplo la ejecucin de los controles de control de acceso, cifrado y autenticacin.
Controles de deteccin: Advierten de violaciones o intento de violaciones de las polticas de
seguridad e incluyen controles tales como pistas de auditora, los mtodos de deteccin de
intrusos, y las sumas de comprobacin.

Salida: Lista de los controles actuales o planeados usados para el sistema de TI para mitigar la
probabilidad de una vulnerabilidad en la que se ejerce y se reduce el impacto de un evento adverso

5. Determinacin de la probabilidad
Para obtener una calificacin de riesgo global que indica la probabilidad de que una vulnerabilidad
potencial puede materializarse dentro de la construccin del entorno de las amenazas asociadas, los
siguientes factores deben ser considerados:
Fuente de amenaza
Naturaleza de la vulnerabilidad
Existencia y eficacia de los controles actuales.

La probabilidad de que una vulnerabilidad potencial pueda suceder por una fuente de amenaza puede ser
definida como alto, medio o bajo.

Nivel de Probabilidad Definicin de la probabilidad

Alta La fuente de amenaza es altamente motivada y suficientemente capaz. Los
controles para prevenir que la vulnerabilidad suceda son ineficientes.
Media La fuente de amenaza es motivada y capaz. Los controles pueden impedir
el xito de que la vulnerabilidad suceda.
Baja La fuente de amenaza carece de motivacin. Los controles estn listos
para prevenir o para impedir significativamente que la vulnerabilidad
suceda.
Tabla 2. Definicin de la probabilidad. [2]
Salida: Clasificacin de la probabilidad (Alto, Medio, Bajo)

6. Anlisis de impacto
El siguiente paso importante en la medicin de nivel de riesgos es determinar los efectos
adversos resultantes al potencializarse una amenaza. Antes de comenzar el anlisis de impacto, es
necesario tener la informacin de:
Misin del sistema (por ejemplo, los procesos realizados por el sistema informtico)
Criticidad del sistema y los datos (por ejemplo, el valor del sistema o de importancia
para una organizacin)
Sensibilidad del sistema y los datos.

Esta informacin puede ser obtenida a partir de la documentacin existente de la organizacin, tales
como el informe del impacto del anlisis de la misin o el informe de evaluacin de criticidad de
activos.

La siguiente lista ofrece una breve descripcin de cada objetivo de seguridad y su consecuencia (o
impacto) de los que no se cumplan:

Prdida de integridad. La integridad del sistema y los datos se refiere a la exigencia de que
informacin sea protegida. Si la prdida de la integridad del sistema o los datos no se
corrige, el uso continuado de los datos daados podra dar lugar a inexactitudes, errores,
fraude o decisiones errneas. Adems, la violacin de la integridad puede ser el primer paso
en un ataque exitoso contra la disponibilidad o confidencialidad del sistema. Por todas estas
razones, la prdida de integridad reduce la garanta de un sistema informtico.
Prdida de la disponibilidad. Si algo crtico de un sistema de TI no est disponible para sus
usuarios finales, la misin de la organizacin puede verse afectada. Prdida de funcionalidad
del sistema y la eficacia operativa, por ejemplo, puede resultar en prdida de tiempo
productivo.
Prdida de la confidencialidad. La confidencialidad del sistema y los datos se refieren a la
proteccin de informacin de su divulgacin no autorizada. Este impacto puede ir desde la
puesta en peligro de seguridad nacional a la divulgacin de la Ley de privacidad de los datos.
 Algunos impactos tangibles se pueden medir cuantitativamente, como con la prdida de ingresos, el
costo de la reparacin de los sistemas, o el nivel de esfuerzo requerido para corregir los problemas
causados por una accin de amenaza exitosa.

Otros impactos (por ejemplo, la prdida de la confianza del pblico, la prdida de credibilidad, el
dao a una organizacin de inters) no se pueden medir en unidades especficas, pero puede ser
calificado o descrito en trminos de alta, mediano y bajo impacto.

Magnitud del impacto Definicin del impacto

Alta La vulnerabilidad ejercida:
1. Puede resultar en la prdida de un alto costo de los principales
activos tangibles o recursos
2. De manera significativa puede violar, daar, o impedir la misin
de una organizacin, la reputacin o los intereses
3. Puede resultar en la muerte humana o lesiones graves.
Media La vulnerabilidad ejercida:
1. Puede resultar en la prdida costosa de activos materiales o
recursos
2. Pueda violar, daar, o impedir la misin de una organizacin, la
reputacin o los intereses
3. Puede resultar en lesiones.
Baja La vulnerabilidad ejercida:
1. puede resultar en la prdida de algunos bienes, materiales o
recursos
2. Puede afectar notablemente la misin de una organizacin, la
reputacin o los intereses.
Tabla 3. Definicin de la magnitud del impacto. [2]

La evaluacin del impacto puede hacerse de forma cualitativa y cuantitativa. La principal ventaja del
anlisis del impacto cualitativo es la mejora en el tratamiento de las vulnerabilidades. La desventaja
del anlisis cualitativo es que no proporciona mediciones especficas cuantificables de la magnitud
de los impactos, por lo tanto, hacer un anlisis costo-beneficio de los controles recomendados es
difcil.
La principal ventaja de un anlisis de impacto cuantitativo es que proporciona una medida de la
magnitud de los impactos, que pueden ser utilizados en el anlisis costo-beneficio de los controles
 recomendados. La desventaja es que, depende de los rangos numricos utilizados para expresar la
medida, lo que requiere que el resultado sea interpretado de forma cualitativa. Algunos
factores adicionales que se deben considerar para determinar la magnitud del impacto son:

Una estimacin de la frecuencia del ejercicio de la amenaza de cdigo de la vulnerabilidad

durante un perodo de tiempo determinado (por ejemplo, 1 ao)
El costo aproximado para cada ocurrencia de la amenaza teniendo en cuenta la fuente de la
vulnerabilidad
Un factor de ponderacin sobre la base de un anlisis subjetivo del impacto relativo de una
determinada amenaza en una vulnerabilidad especfica.

Salida: Magnitud del impacto (alto, medio o bajo)

7. Determinacin del riesgo

El propsito de este paso es evaluar el nivel de riesgo para el sistema de TI. La determinacin del
riesgo para una determinada amenaza / vulnerabilidad se puede expresar en funcin de
La probabilidad de una determinada amenaza
La magnitud del impacto de una amenaza materializada
La adecuacin de los controles de seguridad existentes o previstos para reducir o eliminar el
riesgo.

La determinacin final de la misin de riesgo se obtiene multiplicando las calificaciones asignadas

por la probabilidad de la amenaza y el impacto de la amenaza.

Escala de riesgo:
Alto: 50 100
Medio: 10 50
Bajo: 1 10

Probabilidad de Impacto
amenaza Bajo (10) Medio (50) Alto (100)
Alto (1.0) Bajo Bajo Bajo
10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100
Medio (0.5) Bajo Bajo Bajo
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
 Bajo (0.1) Bajo Bajo Bajo
10 x 0.1 = 1 50 x 0.1= 5 100 x 0.1 = 10
Tabla 4. Matriz nivel del riesgo. [2]

En la siguiente tabla se describen los niveles de riesgo. Esta escala de riesgo, con las calificaciones de
Alta, media y baja, representa el grado o nivel de riesgo a que un sistema informtico, instalacin o
procedimiento podra estar expuesto si una vulnerabilidad determinada se materializa. En la escala de
riesgo tambin se presentan acciones que las personas de la alta gerencia deben tomar para cada nivel de
riesgo.

Nivel de Riesgo Descripcin del riesgo y acciones necesarias

Alta Si una observacin es evaluada como alto riesgo, hay necesidad de una fuerte
necesidad de medida correctiva. Un sistema existente puede continuar la
operacin, pero el plan de accin correctiva debe llevarse a cabo lo ms pronto
posible
Media Si una observacin es categorizada como un riesgo medio, hay necesidad de
acciones correctivas y de incorporar un plan para llevar a cabo esas acciones
dentro de un periodo de tiempo razonable.
Baja Si una observacin es descrita como un riesgo bajo, se debe determinar si se
requieren acciones correctivas o se acepta el riesgo
Tabla 5. Escala del riesgo y acciones necesarias. [2]

Salida: Nivel del riesgo (Alto, Medio, Bajo)

8. Recomendaciones de los controles

Inicialmente se deciden que controles se van a utilizar ya sea para mitigar (reducir el nivel de riesgo
para el sistema informtico y sus datos a un nivel aceptable) o eliminar los riesgos identificados.
es. Los siguientes factores se deben considerar a la hora de recomendar los controles y las
alternativas de solucin o las alternativas para minimizar o eliminar los riesgos identificados:

Efectividad de las opciones recomendadas (por ejemplo, la compatibilidad con el sistema)

Legislacin y regulacin
 La poltica de la organizacin
El impacto operacional
Seguridad y fiabilidad.

Cabe sealar que no todos los controles recomendadas se pueden implementar para reducir las
prdidas. Para determinar cules son los controles necesarios y apropiados se debe tener en cuenta:

Anlisis costo-beneficio: Demuestre que los costos de implementacin de esos controles

pueden ser justificado por la reduccin del nivel del riesgo.
Impacto operacional
Viabilidad: Evaluar que tan viable resulta introducir las opciones que se recomendaron.

Salida: Recomendacin de control(es) y alternativas de solucin para mitigar el riesgo

9. Documentacin de resultados.
Una vez que la evaluacin del riesgo se ha completado, los resultados deben ser documentados en un
documento oficial.
Un informe de evaluacin de riesgos es un informe de gestin que ayuda a la gerencia a tomar
decisiones sobre la poltica, el presupuesto de procedimiento y la gestin de cambios que se deben
tener en cuenta con el sistema operativo.

Salida: Reporte de la evaluacin del riesgo que describe las amenazas y vulnerabilidades, medidas
del riesgo y provee recomendaciones para la implementacin de los controles.

2. SEI
El Instituto de Ingeniera de software es un centro de investigacin y de desarrollo de la realizacin de
investigaciones de ingeniera de software en las lneas de adquisicin, la arquitectura y de productos,
mejora de procesos y medicin del desempeo, seguridad y sistema de sistemas y la fiabilidad financiado
con fondos federales. [3]
Introduccin a OCTAVE Allegro: Mejora del proceso de evaluacin de los riesgos de la seguridad
de la informacin. [4]

Hay cuatro reas de actividad que se lleva a cabo a travs de ocho pasos de la Metodologa de Octava
Allegro. Las reas de actividad son:

Establecer los controladores, donde la organizacin desarrolla los criterios de medicin de riesgos
que son consistentes con los conductores de la organizacin.
Los activos perfil, donde los bienes que son el foco de la evaluacin de riesgos se identifican y se
perfila y los contenedores de los activos se identifican.
Identificar las amenazas, donde las amenazas a los activos-en el contexto de sus envases se
identifican y documentado a travs de un proceso estructurado.
Identificar y mitigar los riesgos, donde los riesgos se identifican y analizan sobre la base de
informacin sobre amenazas, y estrategias de mitigacin que hagan frente a esos riesgos.

Los resultados de cada paso en el proceso son capturados en una serie de hojas de trabajo que luego se
utilizan como insumos para el siguiente paso en el proceso. Los distintos pasos de la metodologa se
describen con ms detalle a continuacin.

1. Establecer criterios de medicin del riesgo.

Se establecen los controladores de la organizacin que evalan los efectos de un riesgo de la misin
de una organizacin y los objetivos de negocio. Estos conductores se reflejan en un conjunto de
criterios de medicin de riesgo que se crea y se registra como parte de este primer paso.
El mtodo OCTAVE Allegro proporciona un conjunto estndar de plantillas de hoja de trabajo para
crear estos criterios en varias reas de impacto y establecer prioridades. Las reas de impacto que se
consideran son:
Confidencialidad, Reputacin/cliente
Financiero
Productividad
Salud y seguridad
Penalidades Legales
Definicin de reas de impacto del usuario

Se debe priorizar las reas de impacto de la ms importante a la menos importante

2. Desarrollar un perfil de Activos de Informacin.
La metodologa OCTAVE Allegro se centra en los activos de informacin de la organizacin para lo
cual se realiza el proceso de creacin de un perfil de esos activos. Un perfil es una representacin de
una informacin de los activos que describe sus caractersticas nicas, cualidades, caractersticas y
valor. Para desarrollar el perfil se debe tener en cuenta las siguientes actividades:
Identificar el grupo de activos de informacin al cual se le va a realizar el perfil
Enfocarse en los activos de informacin ms crticos
Obtener informacin necesaria para empezar a estructurar el proceso de anlisis de riesgos
del activo

3. Identificar los contenedores de los activos de la informacin.

Los contenedores describen los lugares en los que la informacin es almacenada, transportada y
procesada.
Los activos de informacin residen no slo en los contenedores dentro de los lmites de una
organizacin, sino tambin a menudo en envases que no estn bajo el control directo de la
organizacin. Los diferentes tipos de contenedores se describen a continuacin:
Contenedores tcnicos: Estn bajo el control directo de la organizacin o los que son
administrados fuera de la organizacin.
Contenedores fsicos: La informacin pues estar de dentro o fuera de la empresa.
Contenedor persona: Persona interna o externa de la organizacin que tiene el conocimiento
detallado del activo.

4. Identificar las reas de inters

En este paso se realiza el proceso de identificacin de riesgos con lluvia de ideas acerca de las
condiciones o situaciones que pueden poner en peligro los activos de informacin de la
organizacin. Estos escenarios del mundo real se refieren a las reas de preocupacin y pueden
representar amenazas y sus correspondientes resultados no deseados.

5. Identificar las situaciones de amenaza

En la primera mitad de la etapa 5, las reas de inters identificadas en el paso anterior se expanden en
escenarios de amenaza. Una serie de escenarios de amenaza pueden ser representados visualmente en
una estructura de rbol comnmente conocido como un rbol de amenaza.

6. Identificar los riesgos

 En el anterior paso se identificaron las amenazas, y en este se identificarn las consecuencias en una
organizacin. Una amenaza puede tener mltiples impactos potenciales sobre una organizacin. Por
ejemplo, la interrupcin de sistema de comercio electrnico de una organizacin puede afectar la
reputacin de la organizacin con sus clientes, as como su posicin financiera.

7. Analizar los riesgos

Se calcula una medida cuantitativa en que la organizacin se ve afectada por una amenaza.
Esto se realiza teniendo en cuenta el escenario de amenaza y su consecuencia. Luego se determinar
un valor de impacto (bajo, medio, moderado) para cada rea de impacto. Por ltimo se computa los
valores de impacto de cada rea para analizar el riesgo y as ayudar a la organizacin a determinar la
mejor estrategia para manejar ese riesgo.

8. Seleccione enfoque de mitigacin.

La organizacin determina cul de los riesgos que han identificado requieren mitigacin
desarrollando una estrategia para esto.
La organizacin debe ordenar cada uno de los riesgos que ha identificado por su calificacin
ayudndole de manera ordenada a tomar decisiones sobre su estado de mitigacin. A continuacin se
debe asignar un enfoque de mitigacin para cada uno de esos riesgos y por ltimo desarrollar la
estrategia de mitigacin que se decida para mitigar el riesgo.

Las hojas de trabajo han sido diseadas para que puedan ser traducibles fcilmente a otros formatos
electrnicos.

3. DAFP
Es el departamento administrativo de la funcin pblica de la Repblica de Colombia, que lidera la
modernizacin y el mejoramiento continuo de las instituciones pblicas y el desarrollo de sus
servidores para afianzar la confianza en el estado. [5]

Gua de Administracin del Riesgo [6]

Identificacin de riesgos
El proceso de la identificacin del riesgo debe ser permanente e interactivo basado en el resultado del
anlisis del Contexto Estratgico, en el proceso de planeacin y debe partir de la claridad de los objetivos
estratgicos de la entidad para la obtencin de resultados.
El Decreto 1599 de 2005 lo define como: Elemento de Control, que posibilita conocer los eventos
potenciales, estn o no bajo el control de la Entidad Pblica, que ponen en riesgo el logro de su Misin,
estableciendo los agentes generadore2, las causas y los efectos de su ocurrencia.
La identificacin de los riesgos se realiza a nivel del Componente de Direccionamiento Estratgico,
identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el
logro de los objetivos. Es la base del anlisis de riesgos que permite avanzar hacia una adecuada
implementacin de polticas que conduzcan a su control.
Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos, es a travs de la
utilizacin del formato de identificacin de riesgos el cual permite hacer un inventario de los mismos,
definiendo en primera instancia las causas o factores de riesgo, tanto internos como externos, los riesgos,
presentando una descripcin de cada uno de estos y finalmente definiendo los posibles efectos. Es
importante centrarse en los riesgos ms significativos para la entidad relacionados con el desarrollo de los
procesos y los objetivos institucionales. Es all donde, al igual que todos los servidores, la gerencia
pblica adopta un papel proactivo en el sentido de visualizar en sus contextos estratgicos y misionales
los factores o eventos que pueden afectar el curso institucional, dada la especialidad temtica que manejan
en cada sector o contexto socioeconmico.
Entender la importancia del manejo del riesgo implica conocer con ms detalle los siguientes conceptos:
Proceso: Nombre del proceso
Objetivo del proceso: se debe transcribir el objetivo que se ha definido para el proceso al cual se
le estn identificando los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal
desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.
Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores
de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen
la capacidad de originar un riesgo; se pueden clasificar en cinco categoras: personas, materiales,
Comits, instalaciones y entorno.
Descripcin: se refiere a las caractersticas generales o las formas en que se observa o manifiesta
el riesgo identificado.
Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los
objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o
inmateriales con incidencias importantes tales como: daos fsicos y los agentes generadores se
incluyen dentro de las causas del riesgo, en la metodologa propuesta.
Fallecimiento, sanciones, prdidas econmicas, de informacin, de bienes, de imagen, de credibilidad y
de confianza, interrupcin del servicio y dao ambiental.
PROCESO:
OBJETIVO DEL
CAUSAS RIESGO DESCRIPCIN EFECTOS
PROCESO

Tabla 6. Formato de identificacin de riesgos. [6]

1. Clasificacin del riesgo

Durante el proceso de identificacin del riesgo se recomienda hacer una clasificacin de los mismos
teniendo en cuenta los siguientes conceptos:
Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo
estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los
objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad
por parte de la alta gerencia.
Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como
tcnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de informacin,
en la definicin de los procesos, en la estructura de la entidad, la desarticulacin entre
dependencias, lo cual conduce a ineficiencias, oportunidades de corrupcin e incumplimiento de
los compromisos institucionales.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la
ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de
excedentes de tesorera y el manejo sobre los bienes de cada entidad. De la eficiencia y
transparencia en el manejo de los recursos, as como su interaccin con las dems reas
depender en gran parte el xito o fracaso de toda entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la
comunidad.
Riesgos de Tecnologa: Se asocian con la capacidad de la Entidad para que la tecnologa
disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de
la misin.
Con la realizacin de esta etapa se busca que la entidad obtenga los siguientes resultados:
Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos
para la entidad.
Describir los riesgos identificados con sus caractersticas.
 Precisar los efectos que los riesgos puedan ocasionar a la entidad.

2. Anlisis del Riesgo

El anlisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus
consecuencias, calificndolos y evalundolos con el fin de obtener informacin para establecer el nivel de
riesgo y las acciones que se van a implementar. El anlisis del riesgo depender de la informacin
obtenida en el formato de identificacin de riesgos y la disponibilidad de datos histricos y aportes de los
servidores de la entidad.
El Decreto 1599 de 2005, establece: Elemento de Control, que permite establecer la probabilidad de
ocurrencia de los eventos (riesgos) positivos y/o negativos y el impacto de sus consecuencias (efectos),
calificndolos y evalundolos a fin de determinar la capacidad de la entidad pblica para su aceptacin y
manejo.
Se han establecido dos aspectos a tener en cuenta en el anlisis de los riesgos identificados, Probabilidad
e Impacto. Por la primera se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o
de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el
riesgo, aunque ste no se haya materializado. Por Impacto se entiende las consecuencias que puede
ocasionar a la organizacin la materializacin del riesgo.
Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos:
- La Calificacin del Riesgo: se logra a travs de la estimacin de la probabilidad de su ocurrencia y el
impacto que puede causar la materializacin del riesgo. La primera representa el nmero de veces que el
riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la
magnitud de sus efectos.
- La Evaluacin del Riesgo: permite comparar los resultados de su calificacin, con los criterios definidos
para establecer el grado de exposicin de la entidad al riesgo; de esta forma es posible distinguir entre los
riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las
acciones requeridas para su tratamiento.
Con el fin de facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta una matriz que
contempla un anlisis cualitativo, que hace referencia a la utilizacin de formas descriptivas para
presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia
(probabilidad). Tomando las siguientes categoras:
Impacto:
Leve
 Moderada
Catastrfica
Probabilidad
Alta
Media
Baja
As mismo, presenta un anlisis cuantitativo, que contempla valores numricos que contribuyen a la
calidad en la exactitud de la calificacin y evaluacin de los riesgos.
Tanto para el impacto como para la probabilidad se han determinado valores mltiplos de 5. La forma en
la cual la probabilidad y el impacto son expresados y combinados en la matriz que provee la evaluacin
del riesgo.

Probabilidad Valor
Alta 3 15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
moderado. importante inaceptable
Evitar el riesgo Reducir el riesgo Evitar el riesgo
Evitar el riesgo Reducir el riesgo
Compartir o transferir Compartir o transferir
Media 2 10 20 40
Zona de riesgo Zona de riesgo Zona de riesgo
tolerable. moderado importante
Asumir el riesgo Reducir el riesgo Reducir el riesgo
Reducir el riesgo Evitar el riesgo Evitar el riesgo
Compartir o transferir Compartir o transferir
Baja 1 5 10 20
Zona de riesgo Zona de riesgo tolerable Zona de riesgo
aceptable Reducir el riesgo moderado
Asumir el riesgo Compartir o transferir Reducir el riesgo
Compartir o transferir
Impacto Leve moderado Catastrfico
Valor 5 10 20
Tabla 7. Matriz de clasificacin, evaluacin y respuesta a los riesgos. [6]
 3. Calificacin del Riesgo

Se debe calificar cada uno de los Riesgos segn la matriz de acuerdo a las siguientes especificaciones:
Probabilidad Alta se califica con 3, Probabilidad Media con 2 y Probabilidad Baja con 1, de acuerdo al
nmero de veces que se presenta o puede presentarse el riesgo. Y el Impacto si es Leve con 5, si es
Moderado con 10 y si es Catastrfico con 20.

4. Evaluacin del Riesgo

Para realizar la Evaluacin del Riesgo se debe tener en cuenta la posicin del riesgo en la Matriz, segn la
celda que ocupa, aplicando los siguientes criterios:
Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificacin 5), significa que su
Probabilidad es baja y su Impacto es leve, lo cual permite a la Entidad asumirlo, es decir, el
riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de
control diferentes a las que se poseen.
Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificacin 60), su Probabilidad es
alta y su Impacto catastrfico, por tanto es aconsejable eliminar la actividad que genera el
riesgo en la medida que sea posible, de lo contrario se deben implementar controles de
prevencin para evitar la Probabilidad del riesgo, de Proteccin para disminuir el Impacto o
compartir o transferir el riesgo si es posible a travs de plizas de seguros u otras opciones
que estn disponibles.
Si el riesgo se sita en cualquiera de las otras zonas (riesgo tolerable, moderado o importante)
se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo
posible. Las medidas dependen de la celda en la cual se ubica el riesgo, as: los Riesgos de
Impacto leve y Probabilidad alta se previenen; los Riesgos con Impacto moderado y
Probabilidad leve, se reduce o se comparte el riesgo, si es posible; tambin es viable
combinar estas medidas con evitar el riesgo cuando ste presente una Probabilidad alta y
media, y el Impacto sea moderado o catastrfico.
Cuando la Probabilidad del riesgo sea media y su Impacto leve, se debe realizar un anlisis del costo
beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo.
Cuando el riesgo tenga una Probabilidad baja y un impacto catastrfico se debe tratar de compartir el
riesgo y evitar la entidad en caso de que ste se presente.
Siempre que el riesgo sea calificado con Impacto catastrfico la Entidad debe disear planes de
contingencia, para protegerse en caso de su ocurrencia.
Con la realizacin de esta etapa se busca que la entidad obtenga los siguientes resultados:
- Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad institucional
de la entidad, para cumplir su propsito.
- Medir el impacto las consecuencias del riesgo sobre las personas, los recursos o la coordinacin de las
acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los procesos.
- Establecer criterios de calificacin y evaluacin de los riesgos que permiten tomar decisiones pertinentes
sobre su tratamiento.

5. Valoracin del riesgo

El Decreto 1599 de 2005 establece: Elemento de Control, que determina el nivel o grado de exposicin de
la entidad pblica al impacto del riesgo, permitiendo estimar las prioridades para su tratamiento.
La valoracin del riesgo es el producto de confrontar los resultados de la evaluacin del riesgo con los
controles identificados en el Elemento de Control, denominado Controles, del Subsistema de Control de
Gestin, con el objetivo de establecer prioridades para su manejo y fijacin de polticas. Para adelantar
esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes
procesos, los cuales permiten obtener informacin para efectos de tomar decisiones.
Para realizar la valoracin de los controles existentes es necesario recordar que stos se clasifican en:
Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o
materializacin.
Correctivos: aquellos que permiten el restablecimiento de la actividad despus de ser detectado
un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su
ocurrencia.
El procedimiento para la valoracin del riesgo es el siguiente:
Para adelantar la evaluacin de los controles existentes es necesario describirlos estableciendo si son
preventivos o correctivos y responder a las siguientes preguntas:
Los controles estn documentados?
Se est aplicando en la actualidad?
Es efectivo para minimizar el riesgo?
Una vez ha respondido todas las preguntas proceda a realizar la valoracin, as:
- Calificados y evaluados los riesgos analcelos frente a los controles existentes en cada riesgo
- Pondrelos segn la tabla establecida, teniendo en cuenta las respuestas a las preguntas anteriormente
formuladas (los controles se encuentran documentados, se aplican y son efectivos).
- Ubique en la Matriz de Calificacin, Evaluacin y Respuesta a los riesgos, el estado final de riesgo, de
acuerdo a los resultados obtenidos en la valoracin del mismo.
CRITERIOS VALORACIN DEL RIESGO
No existen controles Se mantiene el resultado de la evaluacin antes de
controles
Los controles existentes no son efectivos Se mantiene el resultado de la evaluacin de
controles
Los controles existentes son efectivos pero no Cambia el resultado a una casilla inferior de la
estn documentados matriz de evaluacin antes de controles (el
desplazamiento depende de si el control afecta el
impacto o la probabilidad)
Los controles son efectivos y estn documentados Pasa a escala inferior (el desplazamiento depende
de si el control afecta el impacto o la probabilidad)
Tabla 8. Valoracin del Riesgo. [6]

Ejemplo
Un ejemplo de la determinacin del nivel del riesgo y del grado de exposicin al mismo:
Riesgo: Prdida de informacin debido a la entrada de un virus en la red de informacin de la
entidad.
Probabilidad: Alta - 3, porque todos los computadores de la entidad estn conectados a la red de
Internet e Intranet.
Impacto: Alto - 20, porque la prdida de informacin conllevara consecuencias graves para el
quehacer de la entidad.
Evaluacin del Riesgo: de acuerdo a la matriz de calificacin y evaluacin sera de 60 y se
encontrara en la zona de riesgo inaceptable.
Controles existentes:
- Se hace backup o copias de seguridad, semanalmente. Control Preventivo
- Se vacunan todos los programas y equipos, diariamente. Control Preventivo
- Se guarda la informacin ms relevante fuera de la red en un centro de informacin. Control Preventivo
- Los controles estn documentados? SI
- Se est aplicando en la actualidad? SI
- Es efectivo para minimizar el riesgo? SI
De acuerdo a la tabla se entiende que la valoracin del riesgo es: Media y se ubica en la zona moderada
10 debido a la efectividad de los controles existentes, ya que los dos primeros controles apuntan a la
disminuir la probabilidad y el ltimo a disminuir el impacto, por lo tanto las acciones que se implementen
entrarn a reforzar los controles establecidos y a valorar la efectividad de los mismos.
Se sugiere elaborar el mapa de riesgos por procesos al final esta etapa, ver el captulo de Polticas de
Riesgos.
Cualquier esfuerzo que emprendan las entidades en torno a la valoracin del riesgo llega a ser en vano, si
no culmina con una adecuada poltica de manejo y control de los mismos.
Con la realizacin de esta etapa se busca que la entidad obtenga los siguientes resultados:
- Identificacin de los controles existentes para los riesgos identificados y analizados.
- Priorizacin de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluacin del
riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la
entidad en caso de materializarse.
- Elaborar el mapa de riesgos para cada proceso.

6. Determinacin de las polticas de administracin de riesgos

Para la consolidacin de las Polticas de Administracin de Riesgos se deben tener en cuenta todas las
etapas anteriormente desarrolladas en el ejercicio de la administracin del riesgo.
El Decreto 1599 de 2005 establece: Elemento de Control, que permite estructurar criterios orientadores en
la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad pblica.
Las polticas identifican las opciones para tratar y manejar los riesgos basadas en la valoracin de riesgos,
permiten tomar decisiones adecuadas y fijar los lineamientos de la Administracin del Riesgo, a su vez
transmite la posicin de la direccin y establecen las guas de accin necesarias a todos los servidores de
la entidad.
Se deben tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de
ellas independientemente, interrelacionadas o en conjunto.
Evitar el riesgo, tomar las medidas encaminadas a prevenir su materializacin. Es siempre la
primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios
sustanciales por mejoramiento, rediseo o eliminacin, resultado de unos adecuados controles y
acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los
insumos, mantenimiento preventivo de los equipos, desarrollo tecnolgico, etc.
Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas
de prevencin), como el impacto (medidas de proteccin). La reduccin del riesgo es
probablemente el mtodo ms sencillo y econmico para superar las debilidades antes de aplicar
medidas ms costosas y difciles. Se consigue mediante la optimizacin de los procedimientos y
la implementacin de controles.
Compartir o Transferir el riesgo, reduce su efecto a travs del traspaso de las prdidas a otras
organizaciones, como en el caso de los contratos de seguros o a travs de otros medios que
 permiten distribuir una porcin del riesgo con otra entidad, como en los contratos a riesgo
compartido. Es as como por ejemplo, la informacin de gran importancia se puede duplicar y
almacenar en un lugar distante y de ubicacin segura, en vez de dejarla concentrada en un solo
lugar.
Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo
residual que se mantiene, en este caso el gerente del proceso simplemente acepta la prdida
residual probable y elabora planes de contingencia para su manejo.
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser
factibles y efectivas, tales como: la implementacin de las polticas, definicin de estndares,
optimizacin de procesos y procedimientos y cambios fsicos entre otros. La seleccin de las acciones
ms conveniente debe considerar la viabilidad jurdica, tcnica, institucional, financiera y econmica y se
puede realizar con base en los siguientes criterios:
a) La valoracin del riesgo
b) El balance entre el costo de la implementacin de cada accin contra el beneficio de la misma.
Para la ejecucin de las acciones, se deben identificar las reas o dependencias responsables de llevarlas a
cabo, definir un cronograma y unos indicadores que permitan verificar el cumplimiento para tomar
medidas correctivas cuando sea necesario.
Con la realizacin de esta etapa se busca encauzar el accionar de la entidad hacia el uso eficiente de los
recursos, la continuidad en la prestacin de los servicios, la proteccin de los bienes utilizados para servir
a la comunidad. Igualmente, se busca que la entidad tenga claridad sobre las polticas de Administracin
del Riesgo, las acciones de manejo de riesgo y el compromiso de la Direccin y de los servidores de la
entidad.

7. Elaboracin del Mapa de Riesgos por proceso y el institucional.

El mapa de riesgos contiene a nivel estratgico los mayores riesgos a los cuales est expuesta la entidad,
permitiendo conocer las polticas inmediatas de respuesta ante ellos tendientes a evitar, reducir, dispersar
o transferir el riesgo; o asumir el riesgo residual, y la aplicacin de acciones, as como los responsables, el
cronograma y los indicadores.
Nos obstante se considera recomendable, elaborar un mapa de riesgos por cada proceso para facilitar la
administracin del riesgo, el cual debe elaborarse al finalizar la etapa de Valoracin del Riesgo.

Riesgo Impacto Probabilidad Evaluacin Controles Valoracin Opciones Acciones Responsables Cronograma Indicador
Riesgo existentes Riesgo manejo

Tabla 9. Formato: Mapa de Riesgos. [6]

Descripcin del Mapa de riesgos
Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las
funciones de la entidad y le impidan el logro de sus objetivos.
Impacto: consecuencias que puede ocasionar a la organizacin la materializacin del riesgo.
Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; sta puede ser medida con
criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo
determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos
que pueden propiciar el riesgo, aunque ste no se haya materializado.
Evaluacin del Riesgo: Resultado obtenido en la matriz de calificacin, evaluacin y respuesta a
los riesgos.
Controles existentes: especificar cul es el control que la entidad tiene implementado para
combatir, minimizar o prevenir el riesgo.
Valoracin del Riesgo: es el resultado de determinar la vulnerabilidad de la entidad al riesgo,
luego de confrontar la evaluacin del riesgo con los controles existentes.
Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar
o transferir el riesgo; o asumir el riesgo residual
Acciones: es la aplicacin concreta de las opciones de manejo del riesgo que entrarn a prevenir o
a reducir el riesgo y harn parte del plan de manejo del riesgo.
Responsables: son las dependencias o reas encargadas de adelantar las acciones propuestas.
Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de
trabajo.
Indicadores: se consignan los indicadores diseados para evaluar el desarrollo de las acciones
implementadas.

4. CSAE
El Consejo Superior de Administracin Electrnica es el rgano colegiado adscrito al Ministerio de la
Presidencia, encargado de la preparacin, la elaboracin, el desarrollo y la aplicacin de la poltica y
estrategia del Gobierno en materia de tecnologas de la informacin, as como del impulso e implantacin
de la Administracin electrnica en la Administracin General del Estado [7]

MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de

Informacin. [8]
El anlisis de riesgos es una aproximacin metdica para determinar el riesgo siguiendo unos pasos
pautados:

Ilustracin 3. Pasos Metodologa.

1. determinar los activos relevantes para la Organizacin, su interrelacin y su valor, en el sentido de

qu perjuicio (coste) supondra su degradacin.
Se denominan activos los recursos del sistema de informacin o relacionados con ste, necesarios
para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.
El activo esencial es la informacin que maneja el sistema; o sea los datos. Y alrededor de estos
datos se pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan
para poder gestionar dichos datos.
Las aplicaciones informticas (software) que permiten manejar los datos.
 Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
Los soportes de informacin que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente citados.

Tipos de activos
No todos los activos son de la misma especie. Dependiendo del tipo de activo, las amenazas y las
salvaguardas son diferentes.
Si el sistema maneja datos de carcter personal, estos suelen ser importantes por s mismos y requerir
una serie de salvaguardas frecuentemente reguladas por ley. En estos activos interesa determinar qu
tratamiento hay que imponerles. El hecho de que un dato sea de carcter personal impacta sobre
todos los activos involucrados en su tratamiento y custodia.
Algo similar ocurre con los datos sometidos a una clasificacin de confidencialidad. Cuando se dice
que un cierto informe est clasificado como reservado, de forma que las copias estn numeradas,
slo pueden llegar a ciertas personas, no deben salir del recinto y deben ser destruidas
concienzudamente, etc. se estn imponiendo una serie de salvaguardas porque lo ordena el
reglamento, sectorial o especfico de la Organizacin.

Dependencias
Los activos ms llamativos suelen ser los datos y los servicios; pero estos activos dependen de otros
activos ms prosaicos como pueden ser los equipos, las comunicaciones o las frecuentemente
olvidadas personas que trabajan con aquellos. Por ello aparece como importante el concepto de
dependencias entre activos o la medida en que un activo superior se vera afectado por un incidente
de seguridad en un activo inferior.
Se dice que un activo superior depende de otro activo inferior cuando las necesidades de
seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras
palabras, cuando la materializacin de una amenaza en el activo inferior tiene como consecuencia un
perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son
los pilares en los que se apoya la seguridad de los activos superiores.
Aunque en cada caso hay que adaptarse a la Organizacin objeto del anlisis, con frecuencia se
puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las
inferiores:
capa 1: el entorno: activos que se precisan para garantizar las siguientes capas
o equipamiento y suministros: energa, climatizacin, comunicaciones
o personal: de direccin, de operacin, de desarrollo, etc.
o otros: edificios, mobiliario, etc.
capa 2: el sistema de informacin propiamente dicho
o equipos informticos (hardware)
o aplicaciones (software)
o comunicaciones
o soportes de informacin: discos, cintas, etc.
capa 3: la informacin
o datos
o meta-datos: estructuras, ndices, claves de cifra, etc.
capa 4: las funciones de la Organizacin, que justifican la existencia del sistema de
informacin y le dan finalidad
o objetivos y misin
o bienes y servicios producidos
capa 5: otros activos
o credibilidad o buena imagen
o conocimiento acumulado
o independencia de criterio o actuacin
o intimidad de las personas
o integridad fsica de las personas

Valoracin

Por qu interesa un activo? Por lo que vale.

No se est hablando de lo que cuestan las cosas, sino de lo que valen. Si algo no vale para nada,
prescndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo
que hay que averiguar pues eso es lo que hay que proteger.

El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema
de dependencias, acumulan el valor de los activos que se apoyan en ellos.
El valor nuclear suele estar en la informacin (o datos) que el sistema maneja, quedando los dems
activos subordinados a las necesidades de explotacin y proteccin de la informacin. Por otra parte,
los sistemas de informacin explotan los datos para proporcionar servicios, internos a la
Organizacin o destinados a terceros, apareciendo una serie de datos necesarios para prestar un
servicio. Sin entrar en detalles tcnicos de cmo se hacen las cosas, el conjunto de datos y servicios
finales permite caracterizar funcionalmente una organizacin. Las dependencias entre activos
permiten relacionar los dems activos con datos y servicios.

Dimensiones

De un activo puede interesar calibrar diferentes dimensiones:

Autenticidad: qu perjuicio causara no saber exactamente quien hace o ha hecho cada

cosa? Esta valoracin es tpica de servicios (autenticidad del usuario) y de los datos
(autenticidad de quien accede a los datos para escribir o, simplemente, consultar)
Confidencialidad: qu dao causara que lo conociera quien no debe? Esta valoracin es
tpica de datos.
Integridad: qu perjuicio causara que estuviera daado o corrupto? Esta valoracin es
tpica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso,
faltar datos.
Disponibilidad: qu perjuicio causara no tenerlo o no poder utilizarlo? Esta valoracin es
tpica de los servicios.

En sistemas dedicados a la administracin electrnica o al comercio electrnico, el conocimiento de

los actores es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos
(accidentales o deliberados) que pudieran darse. En estos activos, adems de la autenticidad, interesa
calibrar la:

Trazabilidad del uso del servicio: qu dao causara no saber a quin se le presta tal
servicio? O sea, quin hace qu y cundo?
Trazabilidad del acceso a los datos: qu dao causara no saber quin accede a qu datos y
qu hace con ellos?

Los aspectos de autenticidad y trazabilidad de los datos son crticos para satisfacer medidas
reglamentarias sobre ficheros que contengan datos de carcter personal.

Cunto vale la salud de los activos?

Una vez determinadas qu dimensiones (de seguridad) interesan de un activo hay que proceder a
valorarlo. La valoracin es la determinacin del coste que supondra salir de una incidencia que
destrozara el activo. Hay muchos factores a considerar:

Coste de reposicin: adquisicin e instalacin

Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
Lucro cesante: prdida de ingresos
Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una prdida
de actividad o en peores condiciones econmicas
Sanciones por incumplimiento de la ley u obligaciones contractuales
Dao a otros activos, propios o ajenos
Dao a personas
Daos medioambientales

La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en alguna escala de
niveles). Los criterios ms importantes a respetar son:

Homogeneidad: es importante poder comparar valores aunque sean de diferentes

dimensiones a fin de poder combinar valores propios y valores acumulados, as como poder
determinar si es ms grave el dao en una dimensin o en otra
Relatividad: es importante poder relativizar el valor de un activo en comparacin con otros
activos

Todos estos criterios se satisfacen con valoraciones econmicas (coste dinerario requerido para
curar el activo) y es frecuente la tentacin de ponerle precio a todo. Si se consigue, excelente.
Incluso es fcil ponerle precio a los aspectos ms tangibles (equipamiento, horas de trabajo, etc.);
pero al entrar en valoraciones ms abstractas (intangibles como la credibilidad de la Organizacin) la
valoracin econmica exacta puede ser escurridiza y motivo de agrias disputas entre expertos.

Valoracin cualitativa

Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un
orden relativo respecto de los dems. Es frecuente plantear estas escalas como rdenes de
magnitud y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo. La limitacin
de las valoraciones cualitativas es que no permiten comparar valores ms all de su orden relativo.
No se pueden sumar valores.
Valoracin cuantitativa

Las valoraciones numricas absolutas cuestan mucho esfuerzo; pero no adolecen de los problemas de
las valoraciones cualitativas. Sumar valores numricos es absolutamente natural y la interpretacin
de las sumas no es nunca motivo de controversia.

Si la valoracin es dineraria, adems se pueden hacer estudios econmicos comparando lo que se

arriesga con lo que cuesta la solucin respondiendo a las preguntas:

Vale la pena invertir tanto dinero en esta salvaguarda?

Qu conjunto de salvaguardas optimizan la inversin?
En qu plazo de tiempo se recupera la inversin?
Cunto es razonable que cueste la prima de un seguro?

El valor de la interrupcin del servicio

Casi todas las dimensiones mencionadas anteriormente permiten una valoracin simple, cualitativa o
cuantitativa. Pero hay una excepcin, la disponibilidad.

No es lo mismo interrumpir un servicio una hora o un da o un mes. Puede que una hora de detencin
sea irrelevante, mientras que un da sin servicio causa un dao moderado; pero un mes detenido
suponga la terminacin de la actividad. Y lo malo es que no existe proporcionalidad entre el tiempo
de interrupcin y las consecuencias.

En consecuencia, para valorar la [interrupcin de la] disponibilidad de un activo hay que usar una
estructura ms compleja que se puede resumir en algn grfico como el siguiente:

Ilustracin 4. Coste de la interrupcin de la disponibilidad. [8]

 Donde aparece una serie de escalones de interrupcin que terminan con la destruccin total o
permanente del activo. En el ejemplo anterior, paradas de hasta 6 horas se pueden asumir sin
consecuencias. Pero a las 6 horas se disparan las alarmas que aumentan si la parada supera los 2 das.
Y si la parada supera el mes, se puede decir que la Organizacin ha perdido su capacidad de operar:
ha muerto. Desde el punto de vista de los remedios, la grfica dice directamente que no hay que
gastarse ni un euro por evitar paradas de menos de 6 horas. Vale la pena un cierto gasto por impedir
que una parada supere las 6 horas o los 2 das. Y cuando se valore lo que cuesta impedir que la
parada supere el mes, hay que poner en la balanza todo el valor de la Organizacin frente al coste de
las salvaguardas. Pudiera ser que no valiera la pena

2. Determinar a qu amenazas estn expuestos aquellos activos

El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las
amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a
nuestros activos y causar un dao.

Hay accidentes naturales (terremotos, inundaciones,...) y desastres industriales (contaminacin, fallos

elctricos,...) ante los cuales el sistema de informacin es vctima pasiva; pero no por ser pasivos hay
que permanecer indefensos. Hay amenazas causadas por las personas, bien errores, bien ataques
intencionados.

No todas las amenazas afectan a todos los activos, sino que hay una cierta relacin entre el tipo de
activo y lo que le podra ocurrir.

Valoracin de las amenazas

Cuando un activo es vctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la

misma cuanta.

Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable
es el activo, en dos sentidos:

Degradacin: cun perjudicado resultara el activo

Frecuencia: cada cunto se materializa la amenaza

La degradacin mide el dao causado por un incidente en el supuesto de que ocurriera.

La degradacin se suele caracterizar como una fraccin del valor del activo y as aparecen
expresiones como que un activo se ha visto totalmente degradado, o degradado en una pequea
 fraccin. Cuando las amenazas no son intencionales, probablemente baste conocer la fraccin
fsicamente perjudicada de un activo para calcular la prdida proporcional de valor que se pierde.
Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el
atacante puede causar muchsimo dao de forma selectiva.

La frecuencia pone en perspectiva aquella degradacin, pues una amenaza puede ser de terribles
consecuencias pero de muy improbable materializacin; mientras que otra amenaza puede ser de muy
bajas consecuencias, pero tan frecuente como para acabar acumulando un dao considerable.

La frecuencia se modela como una tasa anual de ocurrencia, siendo valores tpicos

100 Muy frecuente A diario

10 Frecuente Mensualmente
1 Normal Una vez al ao
1/10 Poco frecuente Cada varios
aos
Tabla 10. Valores tpicos de ocurrencia. [8]

3. Determinar qu salvaguardas hay dispuestas y cun eficaces son frente al riesgo

En los pasos anteriores no se han tomado en consideracin las salvaguardas desplegadas. Se miden,
por tanto, los impactos y riesgos a que estaran expuestos los activos si no se protegieran en absoluto.
En la prctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que
ocurrira si se retiraran las salvaguardas presentes.

Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos

tecnolgicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizndose
adecuadamente, otras requieres elementos tcnicos (programas o equipos), otra seguridad fsica y, por
ltimo, est la poltica de personal.

Las salvaguardas entran en el clculo del riesgo de dos formas:

Reduciendo la frecuencia de las amenazas: Se llaman salvaguardas preventivas. Las ideales

llegan a impedir completamente que la amenaza se materialice.
Limitando el dao causado: Hay salvaguardas que directamente limitan la posible
degradacin, mientras que otras permiten detectar inmediatamente el ataque para frenar que
la degradacin avance. Incluso algunas salvaguardas se limitan a permitir la pronta
 recuperacin del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la
amenaza se materializa; pero las consecuencias se limitan.

Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al riesgo que
pretenden conjurar. La salvaguarda ideal es 100% eficaz, lo que implica que:

Es tericamente idnea
Est perfectamente desplegada, configurada y mantenida
Se emplea siempre
Existen procedimientos claros de uso normal y en caso de incidencias
Los usuarios estn formados y concienciados
Existen controles que avisan de posibles fallos

Entre una eficacia del 0% para aquellas que estn de adorno y el 100% para aquellas que son perfectas,
se estimar un grado de eficacia real en cada caso concreto.

4. Estimar el impacto, definido como el dao sobre el activo derivado de la materializacin de la

amenaza

Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una
amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradacin que causan las
amenazas, es directo derivar el impacto que estas tendran sobre el sistema. La nica consideracin
que queda hacer es relativa a las dependencias entre activos. Es frecuente que el valor del sistema de
informacin se centre en los servicios que presta y los datos que maneja, al tiempo que las amenazas
suelen materializarse en los medios.

Impacto acumulado

Es el calculado sobre un activo teniendo en cuenta

Su valor acumulado (el propio mas el acumulado de los activos que dependen de l)
Las amenazas a que est expuesto

El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor acumulado y de la degradacin causada.

El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo.

El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado.
El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de
informacin, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo:
proteccin de los equipos, copias de respaldo, etc.

Impacto repercutido

Es el calculado sobre un activo teniendo en cuenta

Su valor propio
Las amenazas a que estn expuestos los activos de los que depende

El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor propio y de la degradacin causada.

El impacto es tanto mayor cuanto mayor es el valor propio de un activo.

El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado.

El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado.

El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias tcnicas sobre la misin del sistema de informacin. Es pues una
presentacin gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos:
aceptar un cierto nivel de riesgo.

Agregacin de valores de impacto

Los prrafos anteriores determinan el impacto que sobre un activo tendra una amenaza en una cierta
dimensin. Estos impactos singulares pueden agregarse bajo ciertas condiciones:

Puede agregarse el impacto repercutido sobre diferentes activos,

Puede agregarse el impacto acumulado sobre activos que no sean dependientes entre s, ni
dependan de ningn activo superior comn,
No debe agregarse el impacto acumulado sobre activos que no sean independientes, pues ello
supondra sobre ponderar el impacto al incluir varias veces el valor acumulado de activos
superiores,
Puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque conviene
considerar en qu medida las diferentes amenazas son independientes y pueden ser
concurrentes,
 Puede agregarse el impacto de una amenaza en diferentes dimensiones.

5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de
materializacin) de la amenaza

Se denomina riesgo a la medida del dao probable sobre un sistema. Conociendo el impacto de las
amenazas sobre los activos, es directo derivar el riesgo sin ms que tener en cuenta la frecuencia de
ocurrencia.

El riesgo crece con el impacto y con la frecuencia.

Riesgo acumulado

Es el calculado sobre un activo teniendo en cuenta

Impacto acumulado sobre un activo debido a una amenaza

Frecuencia de la amenaza

El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor acumulado, la degradacin causada y la frecuencia de la
amenaza.

El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de informacin,
permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: proteccin de los
equipos, copias de respaldo, etc.

Riesgo repercutido

Es el calculado sobre un activo teniendo en cuenta

Impacto repercutido sobre un activo debido a una amenaza

Frecuencia de la amenaza

El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor propio, la degradacin causada y la frecuencia de la
amenaza.

El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias tcnicas sobre la misin del sistema de informacin. Es pues una
 presentacin gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos:
aceptar un cierto nivel de riesgo.

Agregacin de riesgos

Los prrafos anteriores determinan el riesgo que sobre un activo tendra una amenaza en una cierta
dimensin. Estos riesgos singulares pueden agregarse bajo ciertas condiciones:

Puede agregarse el riesgo repercutido sobre diferentes activos,

Puede agregarse el riesgo acumulado sobre activos que no sean dependientes entre s, ni
dependan de ningn activo superior comn,
No debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues ello
supondra sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos
superiores,
Puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque conviene
considerar en qu medida las diferentes amenazas son independientes y pueden ser
concurrentes,
Puede agregarse el riesgo de una amenaza en diferentes dimensiones.

Con el objeto de organizar la presentacin, se tratan primero los pasos 1, 2, 4 y 5, obviando el paso 3, de
forma que las estimaciones de impacto y riesgo sean potenciales: caso de que no hubiera salvaguarda
alguna desplegada. Una vez obtenido este escenario terico, se incorporan las salvaguardas del paso 3,
derivando estimaciones realistas de impacto y riesgo.

5. ISO/IEC 27005
Es el mayor desarrollador mundial y editor de Normas Internacionales. ISO es una red de los institutos de
normas nacionales de 162 pases, un miembro por pas, con una Secretara Central en Ginebra, Suiza, que
coordina el sistema. [9]

Tecnologas de la informacin Tcnicas de seguridad Gestin de riesgo de seguridad de la

informacin. [10]
La norma ISO 27005 dentro de la evaluacin de los riesgos de la seguridad de la informacin tiene como
actividades el anlisis de riesgos y la evaluacin del mismo. A continuacin se encuentran las actividades
que se llevan a cabo para el anlisis de riesgos:
 1. Identificacin de
Activos
2. Identificacin de
Amenazas
3. Identificacin de
Controles existentes
4. Identificacin de
Vulnerabilidades
5.1 Evaluacin Consecuencias
5. Estimacin 5.2Evaluacin Probabilidades
Riesgo 5.3 Estimacin Nivel Riesgo

Ilustracin 5. Pasos Anlisis de Riesgo.

Identificacin del riesgo:

El propsito de esta actividad es determinar qu cosas pueden pasar que cause prdidas
potenciales, al igual que saber cmo, dnde y por qu pueden suceder esas prdidas. A
continuacin se explicarn los pasos que se llevan a cabo en esta actividad.
1. Identificacin de activos
- Entrada: Alcance y lmites para la evaluacin de los riesgos. Lista de constituyentes
con sus propietarios, localizacin, funcin, etc.
- Accin: El activo dentro del alcance establecido debe ser identificado.
- Un activo es algo que la organizacin valora y considera que necesita proteccin. Se
debe realizar esta identificacin en un nivel de detalle que provea suficiente
informacin para la evaluacin de los riesgos.
- Cada activo debe tener un propietario para tener a algn responsable
- Salida: Lista de activos a ser administrado por los riesgos y una lista de procesos de
negocio relacionados con los activos y su relevancia.
2. Identificacin de amenazas
 - Entrada: Informacin sobre amenazas obtenida de la revisin de incidentes,
propietario de los activos, los usuarios y de otras fuentes, incluidos los catlogos de
las amenazas externas
- Accin: Las amenazas y sus fuentes deben ser identificadas.
- Las amenazas pueden ser accidentales (A), deliberadas (D) o ambientales (E).
- D se utiliza para todas las acciones deliberadas dirigidas a los activos de informacin.
- A se utiliza para todas las acciones humanas que accidentalmente puede daas los
activos de informacin.
- E se utiliza para todos los incidentes que no estn basados en acciones humanas.
- Hay diferentes tipos de amenazas, ejemplo: acciones no autorizadas, daos fsicos,
fallos tcnicos.
- Algunas amenazas pueden afectar varios activos pero con diferente tipo de impacto.
- La identificacin de las amenazas y de la probabilidad de ocurrencia debe ser
obtenido de los propietarios o usuarios del activo, personal de recursos humanos,
gestin de instalaciones, especialistas en la seguridad de la informacin, expertos en
seguridad fsica, departamento legal, autoridades meteorolgicas, compaas de
seguros y autoridades de gobierno nacional. No se debe olvidar considerar los
aspectos de ambiente y cultura.
- Salida: Una lista de amenazas con la identificacin del tipo de amenaza y su fuente.
3. Identificacin de controles existentes
- Entrada: Documentacin de controles y el plan de implementacin del tratamiento de
los riesgos
- Accin: Controles existentes y planeados deben ser identificados
- Es importante identificar los controles existentes para evitar trabajo y costo
innecesario. Tambin es importante revisar que esos controles estn funcionando
correctamente.
- Se debe tener una medida de eficacia del control para poder identificar el control
efectivamente. Se puede mirar como se control reduce la probabilidad y facilita la
explosin de la vulnerabilidad o el impacto del incidente.
- Los siguiente son actividades que ayudan a la identificacin de controles existentes y
planeados:
o Revisar documentos que tengan informacin acerca de controles. Si se cuenta
con los procesos de la administracin de la seguridad de la informacin bien
 documentados, los controles y su estado de implementacin debe estar
disponible.
o Revisar con las personas responsables de la seguridad de la informacin y los
usuarios que los controles estn implementados para los procesos de
informacin.
o Llevar a cabo una revisin en el lugar de los controles fsicos, comparando
los implementados con la lista de los controles que deberan estar ah y
revisar que los implementados estn funcionando correctamente y
efectivamente
o Revisar resultados de auditoras internas
- Salida: Una lista de todos los controles existentes y planeados, su implementacin y
estado de uso
4. Identificacin de vulnerabilidades
- Entrada: Lista de amenazas identificadas, lista de activos y controles existentes.
- Accin: Vulnerabilidades que pueden ser explotadas por una amenaza que cause
dao a un activo o sencillamente que deben ser identificados por la organizacin.
- Las vulnerabilidades se pueden identificar en diferentes reas como organizacin,
procesos y procedimientos, adm. de rutinas, personal, ambiente fsico, configuracin
de sistemas de informacin, hardware, software o equipos de comunicacin y
dependencias o partes externas.
- Una vulnerabilidad como tal no causa dao si no se presenta una amenaza. Por esta
razn, si existe una vulnerabilidad que no tenga ninguna amenaza no necesitar
ningn control, sin embargo se debe monitorear por si un cambio ocurre.
- Salida: Una lista de vulnerabilidades en relacin con los activos, amenazas y
controles; una lista de vulnerabilidades que no se relaciones con ninguna amenaza
identificada para revisin.
5. Identificacin de consecuencias
- Entrada: Lista de activos, lista de procesos de negocio y lista de amenazas y
vulnerabilidades propiamente relacionada con los activos y su relevancia
- Accin: Identificar las consecuencias que la prdida de confidencialidad, integridad y
disponibilidad pueden tener sobre los activos.
- Las consecuencias pueden ser prdida de efectividad, condiciones de operaciones
adversas, prdida del negocio, reputacin, daos, etc.
 - Salida: Lista de escenarios de incidentes con sus consecuencias relacionadas a los
activos y procesos del negocio
Estimacin del riesgo:
Para la realizacin de la estimacin del riesgo se deben tener en cuenta las siguientes
metodologas que son estimacin cualitativa y estimacin cuantitativa.
Estimacin cualitativa: Se utiliza una escala de atributos calificados para describir la
magnitud de consecuencias potenciales (bajo, medio, alto) y la probabilidad de que esas
consecuencias puedan ocurrir. Una de las ventajas de utilizar esta estimacin es la
facilidad de entendimiento por todo el personal dentro de la organizacin. La desventaja
es la dependencia de la eleccin de la escala por alguien. Esta estimacin se debe tener en
cuenta:
- Como una proyeccin de la actividad inicial para identificar los riesgos que requieran
un anlisis ms detallado.
- Donde ese tipo de anlisis es apropiado para las decisiones
- Donde el dato numrico o fuentes estn inadecuadas para una estimacin cuantitativa
Estimacin cuantitativa: Usa una escala con valores numricos tanto para las
consecuencias como para la probabilidad, usando datos de diferentes fuentes. La calidad
de este anlisis depende en la precisin y completitud de los valores numricos y la
valides del modelo utilizado. Generalmente utiliza datos de incidentes histricos. La
ventaja es que se puede relacionar directamente con los objetivos de seguridad de la
informacin y los objetivos concernientes a la organizacin. La desventaja es la falta de
datos sobre los nuevos riesgos o debilidades de seguridad de la informacin

Los pasos que se deben realizar para la estimacin del riesgo se explican a continuacin.

1. Evaluacin de las consecuencias

- Entrada: Lista de escenarios de incidentes relevantes que hayan sido
identificados, las amenazas identificadas, vulnerabilidades, activos afectados,
consecuencias de los activos y los procesos de negocio
- Accin: Evaluar el impacto del negocio sobre la organizacin que sucedi por un
incidente, teniendo en cuenta las consecuencias del incumplimiento de la
seguridad de la informacin (prdida de confidencialidad, integridad o
disponibilidad de los activos)
 - Las consecuencias o el impacto del negocio puede ser determinado al modelar los
resultados de un evento o de un conjunto de eventos, o tambin por la
investigacin de estudios experimentales o datos pasados.
- Salida: Lista de consecuencias evaluadas de un incidente en un escenario
expresado con respecto a los activos y los criterios de impacto.
2. Evaluacin de la probabilidad de incidentes
- Entrada: Lista de escenarios de incidentes relevantes identificados incluidos
amenazas identificadas, activos afectados, vulnerabilidades explotadas y
consecuencias de los activos y procesos del negocio. Lista de todos los controles
existentes y planeados, la efectividad de cada uno, implementacin y estado de
uso.
- Accin: Evaluar la probabilidad de un incidente en un escenario.
- Despus de identificar los escenarios de incidentes es necesario evaluar la
probabilidad para cada uno y el impacto ocurrido. Se debe tener en cuenta que
tan seguido ocurre la amenaza y que tan fcil la vulnerabilidad puede explotar,
considerando
Experiencias y estadsticas aplicadas para la probabilidad de las
amenazas
Para fuentes de amenazas deliberadas: motivacin, capacidades y
recursos disponibles para posibles atacantes, al igual que la percepcin
del atractivo y vulnerabilidades de los activos para un posible atacante
Para fuentes de amenazas accidentales: factores geogrficos, la
posibilidad de condiciones extremas en el clima y factores que puedan
influenciar errores humanos y el mal funcionamiento de los equipos
Vulnerabilidades (individuales y de agregacin)
Controles existentes y cmo efectivamente se reduce la vulnerabilidad
- Salida: Probabilidad de un incidente en un escenario. (Cuantitativo o cualitativo)
3. Nivel de la estimacin del riesgo
- Entrada: Lista de escenarios incidentes con sus respectivas consecuencias
relacionadas con los activos y procesos del negocio y su probabilidad.
- Accin: Estimacin del nivel de riesgo para todos los escenarios de incidentes
relevantes
- Salida: Lista de riesgos con el valor del nivel asignado
Metodologas seleccionadas
Las metodologas que se van a proponer en la gua metodolgica son:

Gua de gestin de riesgo para los sistemas de Tecnologas de la Informacin. NIST: El propsito
es proveer una gua que desarrolle un programa de administracin de riesgos efectivo y que ayude
a las organizaciones a manejar mejor las tecnologas de informacin relacionadas con la gestin
de los riesgos
MAGERIT V2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin:
Es un mtodo formal para investigar los riesgos que soportan los Sistemas de Informacin y para
recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. Tiene los
siguientes puntos a favor [11].
Est reconocida por ENISA (European Network and Information Security Agency)
Sirve a las organizaciones que trabajen con informacin digital y sistemas informticos.
Permite saber cunto valor est en juego y ayuda a protegerlo.
Persigue una aproximacin metdica que no deja lugar a la improvisacin, ni una
dependencia de la arbitrariedad del analista.

ISO 27005Tecnologas de la informacin Tcnicas de seguridad Gestin de riesgo de

seguridad de la informacin: Busca proveer una gua para la administracin de los riesgos de la
seguridad de la informacin en una organizacin. Es labor de la organizacin definir el enfoque
de administracin de riesgos que quiera o necesite darle. [12]
Este estndar es aplicable a cualquier tipo de organizacin.

Se eligieron estas metodologas por su reconocimiento a nivel mundial que lograron al encargarse de
cubrir aspectos relacionados con la seguridad de la informacin y que sirven de apoyo para desarrollar
polticas, controles y procedimientos. Otra de las razones fueron las organizaciones responsables de esas
metodologas, ya que son organizaciones con experiencia en lo que hacen.
Referencias

[1] http://www.nist.gov/index.html

[2] Gua de gestin de riesgo para los sistemas de Tecnologas de la Informacin. NIST.
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

[3] http://www.sei.cmu.edu/

[4] Introduccin a OCTAVE Allegro: Mejora del proceso de evaluacin de los riesgos de la seguridad
de la informacin. Alberts, Christopher J. & Dorofee, Audrey J. OCTAVE Criteria V2.0 (CMU/SEI-
2001-TR-016, ADA3399229). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon
University, 2001. http://www.sei.cmu.edu/publications/documents/01.reports/01tr016.html.

http://www.sei.cmu.edu/library/abstracts/reports/07tr012.cfm?DCSext.abstractsource=SearchResults

[5] http://portal.dafp.gov.co:7778/portal/page/portal/home/quienes_somos/mision_vision

[6] Gua de administracin del riesgo

[7] [http://www.csi.map.es/csi/nuevo/csae_1.htm]

[8] MAGERIT V2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin

[9] http://www.iso.org/iso

[10] ISO/IEC 27005. Tecnologas de la informacin Tcnicas de seguridad Gestin de riesgo de

seguridad de la informacin

[11]
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es
&iniciativa=184

[12] http://www.27000.org/iso-27005.htm

[13] CISSP - Certified Information Systems Security Professional. All in one exam guide. 4th Edition.
McGraw-Hill. Nov. 2007.