MAGERIT v2 Metodología de Análisis y Gestión de Riesgos

MINISTERIO DE ADMINISTRACIONES PBLICAS
MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
I - Mtodo
MINISTERIO DE ADMINISTRACIONES PBLICAS Madrid, 20 de junio de 2006 (v 1.1) NIPO 326-05-047-X Catlogo general de publicaciones oficiales http://publicaciones.administracion.es
Magerit versin 2
ndice
1. Introduccin a Magerit ..................................................................................................6
1.1. Objetivos de Magerit ..............................................................................................................6 1.2. Introduccin al anlisis y gestin de riesgos ..........................................................................7 1.3. El anlisis y gestin de riesgos en su contexto......................................................................8 1.3.1. Concienciacin y formacin............................................................................................9 1.3.2. Incidencias y recuperacin .............................................................................................9 1.4. Organizacin de las guas......................................................................................................9 1.4.1. Modo de empleo ...........................................................................................................10 1.4.2. El catlogo de elementos .............................................................................................11 1.4.3. La gua de tcnicas.......................................................................................................11 1.5. Para los que han trabajado con Magerit v1.0.......................................................................12 1.6. Evaluacin, certificacin, auditora y acreditacin................................................................12 1.7. Cundo procede analizar y gestionar los riesgos? ............................................................14
2. Realizacin del anlisis y de la gestin .....................................................................16

2.1. Anlisis de Riesgos ..............................................................................................................16 2.1.1. Paso 1: Activos .............................................................................................................17 2.1.2. Paso 2: Amenazas........................................................................................................22 2.1.3. Paso 4: Determinacin del impacto ..............................................................................23 2.1.4. Paso 5: Determinacin del riesgo.................................................................................24 2.1.5. Paso 3: Salvaguardas...................................................................................................24 2.1.6. Revisin del paso 4: impacto residual ..........................................................................26 2.1.7. Revisin del paso 5: riesgo residual .............................................................................26 2.2. Gestin de Riesgos ..............................................................................................................26 2.2.1. La interpretacin de los valores de impacto y riesgo residuales ..................................26 2.2.2. Seleccin de salvaguardas...........................................................................................27 2.2.3. Prdidas y ganancias ...................................................................................................28 2.2.4. La actitud de la Direccin .............................................................................................30 2.2.5. Revisin del paso 1: activos .........................................................................................31
3. Estructuracin del proyecto .......................................................................................32

3.1. Participantes.........................................................................................................................33 3.2. Desarrollo del proyecto ........................................................................................................34 3.2.1. Visin global .................................................................................................................37 3.3. Proceso P1: Planificacin.....................................................................................................38 3.3.1. Actividad A1.1: Estudio de oportunidad........................................................................40 3.3.2. Actividad A1.2: Determinacin del alcance del proyecto..............................................42 3.3.3. Actividad A1.3: Planificacin del proyecto ....................................................................47 3.3.4. Actividad A1.4: Lanzamiento del proyecto....................................................................50 3.3.5. Sntesis del proceso P1 ................................................................................................54 3.3.6. Lista de control del proceso P1 ....................................................................................54 3.4. Proceso P2: Anlisis de riesgos...........................................................................................56 3.4.1. Actividad A2.1: Caracterizacin de los activos .............................................................58 3.4.2. Actividad A2.2: Caracterizacin de las amenazas........................................................63 3.4.3. Actividad A2.3: Caracterizacin de las salvaguardas...................................................65 3.4.4. Actividad A2.4: Estimacin del estado de riesgo..........................................................67 3.4.5. Sntesis del proceso P2 ................................................................................................70 3.4.6. Lista de control del proceso P2 ....................................................................................71 3.5. Proceso P3: Gestin de riesgos...........................................................................................72 3.5.1. Actividad A3.1: Toma de decisiones.............................................................................73 3.5.2. Actividad A3.2: Elaboracin del plan seguridad de la informacin ...............................75 3.5.3. Actividad A3.3: Ejecucin del plan................................................................................78 3.5.4. Sntesis del proceso P3 ................................................................................................79 3.5.5. Lista de control del proceso P3 ....................................................................................79
4. Desarrollo de sistemas de informacin .....................................................................80

4.1. Inicializacin de los procesos...............................................................................................80 Ministerio de Administraciones Pblicas pgina 3 (de 154)
Magerit versin 2 4.2. Ciclo de vida de las aplicaciones .........................................................................................81 4.2.1. Plan de sistemas ..........................................................................................................81 4.3. Anlisis de riesgos ...............................................................................................................82 4.4. Gestin de riesgos ...............................................................................................................82 4.5. MTRICA versin 3..............................................................................................................84 4.5.1. SPD Seguridad del proceso de desarrollo.................................................................86 4.5.2. SSI Seguridad del sistema de informacin................................................................88 4.6. Referencias ..........................................................................................................................92
5. Consejos prcticos......................................................................................................94
5.1. Para identificar activos .........................................................................................................94 5.2. Para descubrir y modelar las dependencias entre activos...................................................95 5.3. Para valorar activos..............................................................................................................97 5.4. Para identificar amenazas....................................................................................................98 5.5. Para valorar amenazas ........................................................................................................98 5.6. Para seleccionar salvaguardas ............................................................................................99 5.7. Aproximaciones sucesivas ...................................................................................................99 5.7.1. Proteccin bsica .......................................................................................................100 5.8. Referencias ........................................................................................................................101
Apndice 1. Glosario .....................................................................................................102

1.1. Trminos en espaol..........................................................................................................102 1.2. Trminos anglosajones ......................................................................................................109 1.3. ISO/IEC Guide 73:2002......................................................................................................110 1.4. Referencias ........................................................................................................................111
Apndice 2. Referencias ...............................................................................................113 Apndice 3. Marco legal ................................................................................................114

3.1. Procedimiento administrativo .............................................................................................114 3.2. Proteccin de datos de carcter personal..........................................................................114 3.3. Firma electrnica................................................................................................................114 3.4. Informacin clasificada.......................................................................................................115 3.5. Seguridad de las redes y de la informacin .......................................................................115
Apndice 4. Marco de evaluacin y certificacin .......................................................116

4.1. Sistemas de gestin de la seguridad de la informacin (SGSI) .........................................116 4.1.1. La certificacin............................................................................................................117 4.1.2. La acreditacin de la entidad certificadora .................................................................119 4.1.3. Terminologa...............................................................................................................120 4.1.4. Referencias.................................................................................................................121 4.2. Criterios comunes de evaluacin (CC)...............................................................................121 4.2.1. Beneficiarios ...............................................................................................................122 4.2.2. Requisitos de seguridad .............................................................................................123 4.2.3. Creacin de perfiles de proteccin .............................................................................124 4.2.4. Uso de productos certificados ....................................................................................125 4.2.5. Terminologa...............................................................................................................125 4.2.6. Referencias.................................................................................................................126
Apndice 5. Herramientas.............................................................................................128
5.1. PILAR .................................................................................................................................129 5.2. Referencias ........................................................................................................................130
Apndice 6. Evolucin de Magerit versin 1.0 ............................................................131

6.1. Libro I. Gua de aproximacin a la seguridad de los sistemas de informacin ..................131 6.2. Libro II. Gua de procedimientos ........................................................................................131 6.3. Libro III. Gua de tcnicas ..................................................................................................132 6.4. Libro IV. Gua para desarrolladores de aplicaciones .........................................................132 6.5. Libro V. Gua para responsables del dominio protegible ...................................................133 6.6. Libro VI. Arquitectura de la informacin y especificaciones de la interfaz para el intercambio de datos.....................................................................................................................................133 6.7. Libro VII. Referencia de normas legales y tcnicas ...........................................................133 Ministerio de Administraciones Pblicas pgina 4 (de 154)
Magerit versin 2
Apndice 7. Caso prctico ............................................................................................134

7.1. La historia...........................................................................................................................134 7.2. Proceso P2: Anlisis de riesgos.........................................................................................135 7.2.1. Tarea T2.1.1. Identificacin de activos .......................................................................137 7.2.2. Tarea T2.1.2: Dependencias ......................................................................................138 7.2.3. Tarea T2.1.3: Valoracin ............................................................................................139 7.2.4. Actividad A2.2: Caracterizacin de las amenazas......................................................141 7.2.5. Actividad A2.4: Estimacin de impacto y riesgo .........................................................142 7.2.6. Actividad A2.3: Caracterizacin de las salvaguardas.................................................145 7.2.7. Actividad A2.4: Estimacin del estado de riesgo........................................................148 7.3. Proceso P3: Gestin de riesgos.........................................................................................150 7.3.1. Actividad A3.1: Toma de decisiones...........................................................................150 7.3.2. Actividad A3.2: Plan de seguridad..............................................................................151 7.3.3. Evolucin de los indicadores de impacto y riesgo ......................................................152 7.3.4. Calificacin segn los Criterios de Seguridad del CSAE............................................154 7.3.5. Calificacin segn la norma ISO/IEC 17799:2005 .....................................................154
Ministerio de Administraciones Pblicas
pgina 5 (de 154)
Magerit versin 2
Introduccin
1. Introduccin a Magerit
El CSAE 1 ha elaborado y promueve Magerit 2 como respuesta a la percepcin de que la Administracin (y en general toda la sociedad) depende de forma creciente de las tecnologas de la informacin para la consecucin de sus objetivos de servicio. La razn de ser de Magerit est directamente relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que supone unos beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de tales medios. En el periodo transcurrido desde la publicacin de la primera versin de Magerit (1997) hasta la fecha, el anlisis de riesgos se ha venido consolidando como paso necesario para la gestin de la seguridad. As se recoge claramente en las Guas de la OCDE 3 que, en su principio 6 dicen: 6) Evaluacin del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo. Esta metodologa interesa a todos aquellos que trabajan con informacin mecanizada y los sistemas informticos que la tratan. Si dicha informacin o los servicios que se prestan gracias a ella son valiosos, esta metodologa les permitir saber cunto de este valor est en juego y les ayudar a protegerlo. Conocer el riesgo al que estn sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos y por ello han aparecido multitud de guas informales, aproximaciones metdicas y herramientas de soporte todas las cuales buscan objetivar el anlisis para saber cun seguros (o inseguros) estn y no llamarse a engao. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones sern de poco fiar. Es por ello que se persigue una aproximacin metdica que no deje lugar a la improvisacin, ni dependa de la arbitrariedad del analista. Pese a que se ha puesto en manos de los sistemas de informacin graves responsabilidades para cumplir los objetivos de las organizaciones, no deja de ser un tema recurrente la inquietud por su seguridad. Los afectados, que frecuentemente no son tcnicos, se preguntan si estos sistemas merecen su confianza, confianza que se ve mermada por cada fallo y, sobre todo, cuando la inversin en defensa de los medios de trabajo no se traduce en la ausencia de fallos. Lo ideal es que los sistemas no fallen. Pero lo cierto que se acepta convivir con sistemas que fallan. El asunto no es tanto la ausencia de incidentes como la confianza en que estn bajo control: se sabe qu puede pasar y se sabe qu hacer cuando pasa. El temor a lo desconocido es el principal origen de la desconfianza y, en consecuencia, aqu se busca conocer para confiar: conocer los riesgos para poder afrontarlos y controlarlos.
1.1. Objetivos de Magerit

Magerit persigue los siguientes objetivos: Directos: 1. concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo 2. ofrecer un mtodo sistemtico para analizar tales riesgos 3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
1 CSAE: Consejo Superior de Administracin Electrnica. 2 MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin 3 Guas de la OCDE para la seguridad de los sistemas de informacin y redes. Hacia una cultura de seguridad. 2002.
pgina 6 (de 154)
Magerit versin 2 Indirectos:
Introduccin
4. preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso Tambin se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de anlisis y gestin de riesgos: Modelo de valor Caracterizacin del valor que representan los activos para la Organizacin as como de las dependencias entre los diferentes activos. Mapa de riesgos Relacin de las amenazas a que estn expuestos los activos. Evaluacin de salvaguardas Evaluacin de la eficacia de las salvaguardas existentes en relacin al riesgo que afrontan. Estado de riesgo Caracterizacin de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideracin las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Plan de seguridad Conjunto de programas de seguridad que permiten materializar las decisiones de gestin de riesgos
1.2. Introduccin al anlisis y gestin de riesgos

Seguridad es la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. El objetivo a proteger es la misin de la Organizacin, teniendo en cuenta las diferentes dimensiones de la seguridad: Disponibilidad: o disposicin de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupcin del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones. Integridad: o mantenimiento de las caractersticas de completitud y correccin de los datos. Contra la integridad, la informacin puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeo de las funciones de una Organizacin. Confidencialidad: o que la informacin llegue solamente a las personas autorizadas. Contra la confidencialidad o secreto pueden darse fugas y filtraciones de informacin, as como accesos no autorizados. La confidencialidad es una propiedad de difcil recuperacin, pudiendo minar la confianza de los dems en la organizacin que no es diligente en el mantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos. Autenticidad (de quin hace uso de los datos o servicios): o que no haya duda de quin se hace responsable de una informacin o prestacin de un servicio, tanto a fin de confiar en l como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaos que buscan rea Ministerio de Administraciones Pblicas pgina 7 (de 154)
Magerit versin 2
Introduccin
lizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrnico o la administracin electrnica, permitiendo confiar sin papeles ni presencia fsica. Todas estas caractersticas pueden ser requeridas o no dependiendo de cada caso. Cuando se requieren, no es evidente que se disfruten sin ms. Lo habitual que haya que poner medios y esfuerzo para conseguirlas. A racionalizar este esfuerzo se dedican las metodologas de anlisis y gestin de riesgos que comienzan con una definicin: Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente. Es importante saber qu caractersticas son de inters en cada activo, as como saber en qu medida estas caractersticas estn en peligro, es decir, analizar el sistema: Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una Organizacin. Sabiendo lo que podra pasar, hay que tomar decisiones: Gestin de riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Ntese que una opcin legtima es aceptar el riesgo. Es frecuente or que la seguridad absoluta no existe; en efecto, siempre hay que aceptar un riesgo que, eso s, debe ser conocido y sometido al umbral de calidad que se requiere del servicio. Como todo esto es muy delicado, no es meramente tcnico, e incluye la decisin de aceptar un cierto nivel de riesgo, deviene imprescindible saber en qu condiciones se trabaja y as poder ajustar la confianza que merece el sistema. Para ello qu mejor que una aproximacin metdica que permita tomar decisiones con fundamento y explicar racionalmente las decisiones tomadas.
1.3. El anlisis y gestin de riesgos en su contexto

Las tareas de anlisis y gestin de riesgos no son un fin en s mismas sino que se encajan en la actividad continua de gestin de la seguridad. El anlisis de riesgos permite determinar cmo es, cunto vale y cmo de protegidos se encuentran los activos. En coordinacin con los objetivos, estrategia y poltica de la Organizacin, las actividades de gestin de riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se acepta la anlisis y gestin anlisis y gestin objetivos, estrategia objetivos, estrategia Direccin. de riesgos de riesgos La implantacin de los controles de seguridad requiere una organizacin gestionada y la participacin informada de todo el personal que trabaja con el sistema de informacin. Es este personal el responsable de la operacin diaria, de la reaccin ante incidencias y de la monitorizacin en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos. Este esquema de trabajo debe ser repetitivo pues los sistemas de informacin rara vez son inmutables; ms Ministerio de Administraciones Pblicas
y poltica y poltica
planificacin planificacin
organizacin organizacin
implantacin de implantacin de salvaguardas salvaguardas
concienciacin concienciacin y formacin y formacin
gestin de config. gestin de config. y cambios y cambios
incidencias y incidencias y recuperacin recuperacin
pgina 8 (de 154)
Magerit versin 2
Introduccin
bien se encuentran sometidos a evolucin continua tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisin peridica en la que se aprende de la experiencia y se adapta al nuevo contexto. El anlisis de riesgos proporciona un modelo del sistema en trminos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La gestin de riesgos es la estructuracin de las acciones de seguridad para satisfacer las necesidades detectadas por el anlisis.
1.3.1. Concienciacin y formacin

El mejor plan de seguridad se vera seriamente hipotecado sin una colaboracin activa de las personas involucradas en el sistema de informacin, especialmente si la actitud es negativa, contraria o de luchar contra las medidas de seguridad. Es por ello que se requiere la creacin de una cultura de seguridad que, emanando de la alta direccin, conciencie a todos los involucrados de su necesidad y pertinencia. Son dos los pilares fundamentales para la creacin de esta cultura:

una poltica de seguridad corporativa que se entienda (escrita para los que no son expertos en la materia), que se difunda y que se mantenga al da una formacin continua a todos los niveles, recordando las cautelas rutinarias y las actividades especializadas, segn la responsabilidad adscrita a cada puesto de trabajo mnimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos, sea natural: que no de pie a errores gratuitos, que facilite el cumplimiento de las buenas prcticas propuestas y practicada por la Direccin: que d ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias.
A fin de que estas actividades cuajen en la organizacin, es imprescindible que la seguridad sea

1.3.2. Incidencias y recuperacin

Simtricamente, las personas involucradas deben ser conscientes de su papel y relevancia continua para prevenir problemas y reaccionar cuando se produzcan. Es importante crear una cultura de responsabilidad donde los potenciales problemas, detectados por los que estn cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisin. De esta forma el sistema de salvaguardas responder a la realidad. Cuando se produce una incidencia, el tiempo empieza a correr en contra del sistema: su supervivencia depende de la presteza y correccin de las actividades de reporte y reaccin. Cualquier error, imprecisin o ambigedad en estos momentos crticos, se ve amplificado convirtiendo lo que poda ser un mero incidente en un desastre. Tanto de los xitos como de los fracasos conviene aprender continuamente e incorporarlos al proceso de anlisis y gestin de riesgos. La madurez de una organizacin se refleja en la pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde medidas tcnicas hasta una ptima organizacin.
1.4. Organizacin de las guas

Esta versin 2 de Magerit se ha estructurado en tres libros: ste, que describe El Mtodo, un "Catlogo de Elementos" y una "Gua de Tcnicas". Esta gua describe la metodologa desde tres ngulos:
El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo y para gestionar su mitigacin. Es una presentacin netamente conceptual.
pgina 9 (de 154)
Magerit versin 2
Introduccin
El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente pautar roles, actividades, hitos y documentacin para que la realizacin del proyecto de anlisis y gestin de riesgos est bajo control en todo momento. El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de informacin, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que estn expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.
Como complemento, el captulo 5 desgrana una serie de aspectos prcticos, derivados de la experiencia acumulada en el tiempo para la realizacin de un anlisis y una gestin realmente efectivos. Los apndices recogen material de consulta: 1. un glosario, 2. referencias bibliogrficas consideradas para el desarrollo de esta metodologa, 3. referencias al marco legal que encuadra las tareas de anlisis y gestin, 4. el marco normativo de evaluacin y certificacin 5. las caractersticas que se requieren de las herramientas, presentes o futuras, para soportar el proceso de anlisis y gestin de riesgos, 6. una gua comparativa de cmo Magerit versin 1 ha evolucionado en esta versin 2. Por ultimo, se desarrolla un caso prctico como ejemplo.
1.4.1. Modo de empleo

Los lectores nuevos en la materia, deben empezar por el captulo 2. Si ya hay un conocimiento de los conceptos, el ejemplo ayuda a centrar ideas y terminologa. Si se va a lanzar un proyecto de anlisis y gestin de riesgos, el captulo 3 ayuda a estructurarlo y planificarlo. Si el sistema de informacin es simple y reducido o bien si slo se requiere una primera aproximacin, puede bastar un planteamiento informal; pero cuando el proyecto toma envergadura conviene ser metdico. Si se est realizando un proyecto de anlisis y gestin de riesgos, el captulo 5 ayuda a centrar la actividad sin distracciones. Si se va a colaborar en un proyecto de desarrollo de un nuevo sistema de informacin, o en un ciclo de mantenimiento, conviene recurrir al captulo 4. Si se va a trabajar con sistemas homologados, bien porque interesa como mecanismo para especificar lo que se necesita, bien porque interesa como mecanismo para especificar lo que se tiene, conviene recurrir al apndice 4. En el planteamiento de estas guas se ha seguido un criterio de mximos, reflejando todo tipo de activos, todo tipo de aspectos de seguridad, todo tipo de situaciones, en definitiva. En la prctica, el usuario puede encontrarse ante situaciones donde el anlisis es ms restringido. Siguen algunos casos prcticos frecuentes:

slo se requiere un estudio de los ficheros afectos a la legislacin de datos de carcter personal slo se requiere un estudio de las garantas de confidencialidad de la informacin slo se requiere un estudio de la disponibilidad de los servicios (tpicamente porque se busca el desarrollo de un plan de contingencia) etc.
pgina 10 (de 154)
Magerit versin 2
Introduccin
Estas situaciones, frecuentes, se recogen formalmente en las tareas de la actividad A1.2 e informalmente comentando que es constructivo centrarse en un dominio reducido e ir ampliando en la medida de las necesidades, antes que afrontar la totalidad.
1.4.2. El catlogo de elementos

En libro aparte, se propone un catlogo, abierto a ampliaciones, que marca unas pautas en cuanto a:

tipos de activos dimensiones de valoracin de los activos criterios de valoracin de los activos amenazas tpicas sobre los sistemas de informacin salvaguardas a considerar para proteger sistemas de informacin
Se persiguen dos objetivos: 1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estndar a los que puedan adscribirse rpidamente, centrndose en lo especfico del sistema objeto del anlisis. 2. Por otra, homogeneizar los resultados de los anlisis, promoviendo una terminologa y unos criterios uniformes que permitan comparar e incluso integrar anlisis realizados por diferentes equipos. Cada seccin incluye una notacin XML que se emplear para publicar regularmente los elementos en un formato estndar capaz de ser procesado automticamente por herramientas de anlisis y gestin. Si el lector usa una herramienta de anlisis y gestin de riesgos, este catlogo ser parte de la misma; si el anlisis se realiza manualmente, este catlogo proporciona una amplia base de partida para avanzar rpidamente sin distracciones ni olvidos.
1.4.3. La gua de tcnicas

En libro aparte, aporta luz adicional y guas sobre algunas tcnicas que se emplean habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos:
tcnicas especficas para el anlisis de riesgos

anlisis mediante tablas anlisis algortmico rboles de ataque anlisis coste-beneficio diagramas de flujo de datos diagramas de procesos tcnicas grficas planificacin de proyectos sesiones de trabajo: entrevistas, reuniones y presentaciones valoracin Delphi
tcnicas generales

Se trata de una gua de consulta. Segn el lector avance por la tareas del proyecto, se le recomendar el uso de ciertas tcnicas especficas, de las que esta gua busca ser una introduccin, as como proporcionar referencias para que el lector profundice en las tcnicas presentadas. Ministerio de Administraciones Pblicas pgina 11 (de 154)
Magerit versin 2
Introduccin
1.5. Para los que han trabajado con Magerit v1.0

Si usted ha trabajado con Magerit v1.0, todos los conceptos le resultarn familiares, aunque hay cierta evolucin. En particular reconocer lo que se denominaba submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las fases fundamentales de anlisis y gestin. Se ha corregido y ampliado lo que se denominaba subestados de seguridad dndole el nuevo nombre de dimensiones 4 e introduciendo nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo el epgrafe de estructuracin del proyecto de anlisis y gestin de riesgos. Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo mismo de los detalles tcnicos de los sistemas de informacin con los que se trabaja. Se intenta una puesta al da; pero ante todo se intenta diferenciar lo que es esencial (y permanente) de lo que es coyuntural y cambiar con el tiempo. Esto se traduce en parametrizar el mtodo de trabajo, referencindolo a catlogos externos de amenazas y salvaguardas que se podrn actualizar, adaptndose al paso del tiempo, tanto por progreso tecnolgico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto ms xito tengan los sistemas, ms usuarios tendrn y simultneamente, ms sujetos habr interesados en abusar de ellos o, simplemente, destruirlos. As pues, quede el mtodo, abierto de forma que estando claro qu se hace y cmo, se puedan adaptar los detalles a cada momento. A efectos prcticos, el prrafo anterior se traduce en que se ha segregado en un libro anejo, Catlogo de Elementos, los tipos de activos, las dimensiones y criterios de valoracin, el catlogo de amenazas y el catlogo de salvaguardas, de tal forma que puedan evolucionar. El apndice 6 es ms preciso estableciendo las correspondencias entre la versin 1.0 y esta.
1.6. Evaluacin, certificacin, auditora y acreditacin

El anlisis de riesgos es una piedra angular de los procesos de evaluacin, certificacin, auditora y acreditacin que formalizan la confianza que merece un sistema de informacin. Dado que no hay dos sistemas de informacin iguales, la evaluacin de cada sistema concreto requiere amoldarse a los componentes que lo constituyen. En anlisis de riesgos proporciona una visin singular de cmo es cada sistema, qu valor posee, a qu amenazas est expuesto y de qu salvaguardas se ha dotado. Es pues el anlisis de riesgos paso obligado para poder llevar a cabo todas las tareas mencionadas, que se relacionan segn el siguiente esquema:
4 Dimensin, en una de las acepciones del Diccionario de la Lengua Espaola, dcese que es Cada una de las magnitudes de un conjunto que sirven para definir un fenmeno. Por ejemplo, el espacio de cuatro dimensiones de la teora de la relatividad.
pgina 12 (de 154)
Magerit versin 2
Introduccin
En esta seccin se hace una presentacin conceptual de las actividades citadas. El lector encontrar en el apndice 4 un tratamiento especfico de los marcos normativos relativos a sistemas de gestin y productos de seguridad.
Evaluacin
Es cada vez ms frecuente la evaluacin de la seguridad de los sistemas de informacin, tanto internamente como parte de los procesos de gestin, como por medio de evaluadores independientes externos. Las evaluaciones permiten medir el grado de confianza que merece o inspira un sistema de informacin.
Certificacin
La evaluacin puede llevar a una certificacin o registro de la seguridad del sistema. En la prctica se certifican productos y se certifican sistemas de gestin de la seguridad. La certificacin de productos es, de alguna forma, impersonal: esto tiene estas caractersticas tcnicas. Sin embargo, la certificacin de sistemas de gestin tiene que ver con el componente humano de las organizaciones buscando el anlisis de cmo se explotan los sistemas 5. Certificar es asegurar responsablemente y por escrito un comportamiento. Lo que se certifica, producto o sistema, se somete a una serie de evaluaciones orientadas por un objetivo para qu lo quiere? 6. Un certificado dice que un sistema es capaz de proteger unos datos de unas amenazas con una cierta calidad (capacidad de proteccin). Y lo dice en base a que ha observado la existencia y el funcionamiento de una serie de salvaguardas. Es decir que detrs de un certificado no hay sino los conceptos de un anlisis de riesgos. Antes de proceder a la certificacin, debe haberse realizado un anlisis de riesgos a fin de conocer los riesgos y de controlarlos mediante la adopcin de los controles adecuados, adems, ser un punto de control de la gestin del producto o sistema.
Acreditacin
Algunas certificaciones tienen como objetivo la acreditacin del producto o sistema. La acreditacin es un proceso especfico cuyo objetivo es legitimar al sistema para formar parte de sistemas ms amplios. Se puede ver como una certificacin para un propsito especfico.
Auditoras
Aunque no sea lo mismo, no estn muy lejos de este mundo las auditoras, internas o externas, a las que se someten los sistemas de informacin

unas veces requeridas por ley para poder operar en un cierto sector, otras veces requeridas por la propia Direccin de la Organizacin, otras veces requeridas por entidades colaboradoras que ven su propio nivel de riesgo ligado al nuestro.
Una auditora puede servirse de un anlisis de riesgos que le permita (1) saber qu hay en juego, (2) saber a qu est expuesto el sistema y (3) valorar la eficacia y eficiencia de las salvaguardas. Frecuentemente, los auditores parten de un anlisis de riesgos, implcito o explcito, que, o bien realizan ellos mismos, o bien lo auditan. Siempre en la primera fase de la auditora, pues es difcil opinar de lo que no se conoce. A partir del anlisis de riesgos se puede analizar el sistema e informar a la gerencia de si el sistema est bajo control; es decir, si las medidas de seguridad adop-
5 Hay vehculos con altas calificaciones tcnicas y otros ms humildes. Lo mismo que hay conductores que son verdaderos profesionales y otros de los que nunca nos explicaremos cmo es que estn certificados como aptos para el manejo de vehculos. Lo ideal es poner un gran coche en manos de un gran conductor. De ah para abajo, tenemos una gran variedad de situaciones de menor confianza: mayor riesgo de que algo vaya mal. 6 Y as tenemos sistemas aptos para consumo humano o utilizacin en condiciones trmicas extremas.
pgina 13 (de 154)
Magerit versin 2
Introduccin
tadas estn justificadas, implantadas y monitorizadas, de forma que se puede confiar en el sistema de indicadores de que dispone la gerencia para gestionar la seguridad de los sistemas. La conclusin de la auditora es un informe de insuficiencias detectadas, que no son sino incoherencias entre las necesidades identificadas en el anlisis de riesgos y la realidad detectada durante la inspeccin del sistema en operacin. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y recomendaciones propuestas. [RD 994/1999, artculo 17.2] En el caso de la Administracin pblica, existen algunos referentes fundamentales respecto de los cuales se puede y se debe realizar auditoras:

Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal. Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el ejercicio de potestades, MAP, 2004
Las auditoras deben repetirse regularmente tanto para seguir la evolucin del anlisis de riesgos (que se debe actualizar regularmente) como para seguir el desarrollo del plan de seguridad determinado por las actividades de gestin de riesgos.
1.7. Cundo procede analizar y gestionar los riesgos?

Realizar un anlisis de riesgos es laborioso y costoso. Levantar un mapa de activos y valorarlos requiere la colaboracin de muchos perfiles dentro de la Organizacin, desde los niveles de gerencia hasta los tcnicos. Y no solo es que haya que involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio entre todos pues, si importante es cuantificar los riesgos, ms importante an es relativizarlos. Y esto es as porque tpicamente en un anlisis de riesgos aparecen multitud de datos. La nica forma de afrontar la complejidad es centrarse en lo ms importante (mximo impacto, mximo riesgo) y obviar lo que es secundario o incluso despreciable. Pero si los datos no estn bien ordenados en trminos relativos, su interpretacin es imposible. En resumen, que un anlisis de riesgos no es una tarea menor que realiza cualquiera en sus ratos libres. Es una tarea mayor que requiere esfuerzo y coordinacin. Por tanto debe ser planificada y justificada. Un anlisis de riesgos es recomendable en cualquier Organizacin que dependa de los sistemas de informacin y comunicaciones para el cumplimiento de su misin. En particular en cualquier entorno donde se practique la tramitacin electrnica de bienes y servicios, sea en contexto pblico o privado. El anlisis de riesgos permite tomar decisiones de inversin en tecnologa, desde la adquisicin de equipos de produccin hasta el despliegue de un centro alternativo para asegurar la continuidad de la actividad, pasando por las decisiones de adquisicin de salvaguardas tcnicas y de seleccin y capacitacin del personal. El anlisis de riesgos es una herramienta de gestin que permite tomar decisiones. Las decisiones pueden tomarse antes de desplegar un servicio o con ste funcionando. Es muy deseable hacerlo antes, de forma que las medidas que haya que tomar se incorporen en el diseo del servicio, en la eleccin de componentes, en el desarrollo de las aplicaciones y en los manuales de usuario. Todo lo que sea corregir riesgos imprevistos es costoso en tiempo propio y ajeno, lo que puede ir en detrimento de la imagen prestada por la Organizacin y puede suponer, en ltimo extremo, la prdida de confianza en su capacidad. Siempre se ha dicho que es mejor prevenir que curar y aqu se aplica: no espere a que un servicio haga agua; hay que prever y estar prevenido.
Por precepto legal

El anlisis de riesgos puede venir requerido por precepto legal. Tal es el caso del Real Decreto 263/1996, de 16 de Febrero, por el que se regula la utilizacin de tcnicas electrnicas, informticas y telemticas por la Administracin General del Estado. En su artculo 4 (Garantas generales Ministerio de Administraciones Pblicas pgina 14 (de 154)
Magerit versin 2
Introduccin
de la utilizacin de soportes, medios y aplicaciones electrnicas, informticas y telemticas) dice as: 2. Cuando se utilicen los soportes, medios y aplicaciones referidos en el apartado anterior, se adoptarn las medidas tcnicas y de organizacin necesarias que aseguren la autenticidad, confidencialidad, integridad, disponibilidad y conservacin de la informacin. Dichas medidas de seguridad debern tener en cuenta el estado de la tecnologa y ser proporcionadas a la naturaleza de los datos y de los tratamientos y a los riesgos a los que estn expuestos 7. De forma similar, en la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, en su artculo 9 (Seguridad de los datos) dice as: 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, debern adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural. Texto que se recoge de nuevo en el prembulo al REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal. En este decreto se recoge la obligacin de elaborar un documento de seguridad 1. El responsable del fichero elaborar e implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carcter personal y a los sistemas de informacin. Difcilmente se puede desarrollar dicho documento sin un anlisis previo de los riesgos sobre los datos, anlisis que nos lleve a determinar las medidas de seguridad pertinentes.
Certificacin y acreditacin
Si el sistema aspira a una certificacin, el anlisis de riesgos es un requisito previo que exigir el evaluador. Es la fuente de informacin para determinar la relacin de controles pertinentes para el sistema y que por tanto deben ser inspeccionados. Vase el apndice 4.1 sobre certificacin de sistemas de gestin de la seguridad de la informacin (SGSI). El anlisis de riesgos es as mismo un requisito exigido en los procesos de acreditacin 8 de sistemas. Estos procesos son necesarios cuando se va a manejar en el sistema informacin clasificada nacional, UE, OTAN o de otros acuerdos internacionales. El primer paso del proceso es la realizacin del anlisis de riesgos que identifique amenazas y salvaguardas y gestione satisfactoriamente los riesgos del sistema. Por ltimo, cabe mencionar el empleo de perfiles de proteccin como mecanismo de contratacin. Los perfiles de proteccin (ISO/IEC-15408) nacen con la doble misin de poder especificar a priori los requisitos de seguridad de un sistema (para su adquisicin o desarrollo) y poder servir de referencia internacional del significado de una certificacin. En uno u otro caso, establece la vara de medir respecto de la que se calificar la idoneidad de la seguridad del sistema. Vase el apndice 4.2 sobre criterios comunes de evaluacin (CC).
En conclusin
Procede analizar y gestionar los riesgos cuando directa o indirectamente lo establezca un precepto legal y siempre que lo requiera la proteccin responsable de los activos de una organizacin.
7 El anlisis de riesgos permite determinar los riesgos a los que estn expuestos y la gestin de riesgos permite adecuar las medidas a dichos riesgos. 8 En el sentido formal de autorizacin para manejar informacin clasificada. Los procesos de acreditacin se ajustan a la normativa aplicable en cada caso.
pgina 15 (de 154)
Magerit versin 2
Realizacin del anlisis y gestin
2. Realizacin del anlisis y de la gestin

Este captulo expone de forma conceptual en qu consiste esto del anlisis de riesgos y aquello de su gestin, qu se busca en cada momento y qu conclusiones se derivan. Hay dos grandes tareas a realizar: I. anlisis de riesgos, que permite determinar qu tiene la Organizacin y estimar lo que podra pasar. Elementos: 1. activos, que no son sino los elementos del sistema de informacin (o estrechamente relacionados con este) que aportan valor a la Organizacin 2. amenazas, que no son sino cosas que les pueden pasar a los activos causando un perjuicio a la Organizacin 3. salvaguardas (o contra medidas), que no son sino elementos de defensa desplegados para que aquellas amenazas no causen [tanto] dao. Con estos elementos se puede estimar: 1. el impacto: lo que podra pasar 2. el riesgo: lo que probablemente pase El anlisis de riesgos permite analizar estos elementos de forma metdica para llegar a conclusiones con fundamento. II. gestin de riesgos, que permite organizar la defensa concienzuda y prudente, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Direccin asume. Informalmente, se puede decir que la gestin de la seguridad de un sistema de informacin es la gestin de sus riesgos y que el anlisis permite racionalizar dicha gestin.
2.1. Anlisis de Riesgos

El anlisis de riesgos es una aproximacin metdica para determinar el riesgo siguiendo unos pasos pautados: 1. determinar los activos relevantes para la Organizacin, su interrelacin y su valor, en el sentido de qu perjuicio (coste) supondra su degradacin 2. determinar a qu amenazas estn expuestos aquellos activos 3. determinar qu salvaguardas hay dispuestas y cun eficaces son frente al riesgo 4. estimar el impacto, definido como el dao sobre el activo derivado de la materializacin de la amenaza 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materializacin) de la amenaza Con el objeto de organizar la presentacin, se tratan primero los pasos 1, 2, 4 y 5, obviando el paso 3, de forma que las estimaciones de impacto y riesgo sean potenciales: caso de que no hubiera salvaguarda alguna desplegada. Una vez obtenido este escenario terico, se incorporan las salvaguardas del paso 3, derivando estimaciones realistas de impacto y riesgo.
pgina 16 (de 154)
Magerit versin 2
La siguiente figura recoge este primer recorrido, cuyos pasos se detallan en las siguientes secciones 9:
estn expuestos a
activos activos
Interesan por su
amenazas amenazas
valor valor degradacin degradacin impacto impacto
causan una cierta
con una cierta
frecuencia frecuencia riesgo riesgo
2.1.1. Paso 1: Activos

Se denominan activos los recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. El activo esencial es la informacin que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informticas (software) que permiten manejar los datos. Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de informacin que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informtico. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados.
Tipos de activos
No todos los activos son de la misma especie. Dependiendo del tipo de activo, las amenazas y las salvaguardas son diferentes 10. El captulo 2 del "Catlogo de Elementos" presenta una relacin de tipos de activos. Si el sistema maneja datos de carcter personal, estos suelen ser importantes por s mismos y requerir una serie de salvaguardas frecuentemente reguladas por ley. En estos activos interesa
9 Los lectores familiarizados con Magerit v1.0, detectarn la ausencia de la voz vulnerabilidad. El concepto de vulnerabilidad (potencialidad o posibilidad de ocurrencia de una amenaza sobre un activo) se incorpora por medio de las mtricas de degradacin del activo y frecuencia de ocurrencia de la amenaza. 10 No se ataca ni se defiende de la misma manera un servicio telemtico que un local de trabajo.
pgina 17 (de 154)
Magerit versin 2
determinar qu tratamiento hay que imponerles 11. El hecho de que un dato sea de carcter personal impacta sobre todos los activos involucrados en su tratamiento y custodia. Algo similar ocurre con los datos sometidos a una clasificacin de confidencialidad. Cuando se dice que un cierto informe est clasificado como reservado, de forma que las copias estn numeradas, slo pueden llegar a ciertas personas, no deben salir del recinto y deben ser destruidas concienzudamente, etc. se estn imponiendo una serie de salvaguardas porque lo ordena el reglamento, sectorial o especfico de la Organizacin.
Dependencias
Los activos ms llamativos suelen ser los datos y los servicios; pero estos activos dependen de otros activos ms prosaicos como pueden ser los equipos, las comunicaciones o las frecuentemente olvidadas personas que trabajan con aquellos. Por ello aparece como importante el concepto de dependencias entre activos o la medida en que un activo superior se vera afectado por un incidente de seguridad en un activo inferior 12.
1
Se dice que un activo superior depende de otro activo inferior cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras palabras, cuando la materializacin de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la seguridad de los activos superiores. Aunque en cada caso hay que adaptarse a la Organizacin objeto del anlisis, con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores:
capa 1: el entorno: activos que se precisan para garantizar las siguientes capas

equipamiento y suministros: energa, climatizacin, comunicaciones personal: de direccin, de operacin, de desarrollo, etc. otros: edificios, mobiliario, etc. equipos informticos (hardware) aplicaciones (software) comunicaciones soportes de informacin: discos, cintas, etc. datos meta-datos: estructuras, ndices, claves de cifra, etc.
capa 2: el sistema de informacin propiamente dicho

capa 3: la informacin

capa 4: las funciones de la Organizacin, que justifican la existencia del sistema de informacin y le dan finalidad

objetivos y misin bienes y servicios producidos
capa 5: otros activos
11 Es como si el legislador hubiera realizado el anlisis de riesgos por nosotros y hubiera determinado las salvaguardas pertinentes. En todo caso, leyes y regulaciones existen y ayudan a que estos datos, ciertamente importantes, estn protegidos. 12 Un ejemplo puede ser mejor que mil palabras. Si se quema el local que hospeda los equipos, lo que no funciona es el servicio percibido por el usuario a kilmetros de distancia. Si roban el porttil de un ejecutivo con informacin estratgica de la empresa, lo que sufre es la confidencialidad de dicha informacin. Las instalaciones se reconstruyen; pero puede haberse pasado la oportunidad de prestar el servicio. El robo se subsana comprando otro porttil; pero el secreto ya est perdido.
pgina 18 (de 154)
Magerit versin 2

Realizacin del anlisis y gestin credibilidad o buena imagen conocimiento acumulado independencia de criterio o actuacin intimidad de las personas integridad fsica de las personas
Valoracin
Por qu interesa un activo? Por lo que vale. No se est hablando de lo que cuestan las cosas, sino de lo que valen. Si algo no vale para nada, prescndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger. El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. El valor nuclear suele estar en la informacin (o datos) que el sistema maneja, quedando los dems activos subordinados a las necesidades de explotacin y proteccin de la informacin. Por otra parte, los sistemas de informacin explotan los datos para proporcionar servicios, internos a la Organizacin o destinados a terceros, apareciendo una serie de datos necesarios para prestar un servicio. Sin entrar en detalles tcnicos de cmo se hacen las cosas, el conjunto de datos y servicios finales permite caracterizar funcionalmente una organizacin. Las dependencias entre activos permiten relacionar los dems activos con datos y servicios.
Dimensiones
De un activo puede interesar calibrar diferentes dimensiones:
su autenticidad: qu perjuicio causara no saber exactamente quien hace o ha hecho cada cosa? Esta valoracin es tpica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar)
su confidencialidad: qu dao causara que lo conociera quien no debe? Esta valoracin es tpica de datos. su integridad: qu perjuicio causara que estuviera daado o corrupto? Esta valoracin es tpica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos.
su disponibilidad: qu perjuicio causara no tenerlo o no poder utilizarlo? Esta valoracin es tpica de los servicios 13.
En sistemas dedicados a la administracin electrnica o al comercio electrnico, el conocimiento de los actores es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, adems de la autenticidad, interesa calibrar la:

la trazabilidad del uso del servicio: qu dao causara no saber a quin se le presta tal servicio? O sea, quin hace qu y cundo? la trazabilidad del acceso a los datos: qu dao causara no saber quin accede a qu datos y qu hace con ellos?
13 Hay servicios finales que materializan la misin ltima de la Organizacin. Hay servicios internos de los que la Organizacin se sirve para estructurar su propia distribucin de responsabilidades. Por ltimo, hay servicios que se adquieren de otras organizaciones: suministros externos.
pgina 19 (de 154)
Magerit versin 2
Se reconocen habitualmente las dimensiones bsicas: autenticidad, confidencialidad, integridad y disponibilidad. En esta metodologa se ha refinado la autenticidad para distinguir entre el uso de un servicio y el acceso a unos datos. Adems se ha introducido el concepto de trazabilidad (del ingls, accountability) tomado de las guas ISO/IEC 13335, igualmente segmentada entra la trazabilidad del servicio y la de los datos. Los aspectos de autenticidad y trazabilidad de los datos son crticos para satisfacer medidas reglamentarias sobre ficheros que contengan datos de carcter personal. El captulo 3 del "Catlogo de Elementos" presenta una relacin de dimensiones de seguridad. En un rbol de dependencias, donde los activos superiores dependen de los inferiores, es imprescindible valorar los activos superiores, los que son importantes por s mismos. Automticamente este valor se acumula en los inferiores, lo que no es bice para que tambin puedan merecer, adicionalmente, su valoracin propia.
Cunto vale la salud de los activos?

Una vez determinadas qu dimensiones (de seguridad) interesan de un activo hay que proceder a valorarlo. La valoracin es la determinacin del coste que supondra salir de una incidencia que destrozara el activo. Hay muchos factores a considerar:

coste de reposicin: adquisicin e instalacin coste de mano de obra (especializada) invertida en recuperar (el valor) del activo lucro cesante: prdida de ingresos capacidad de operar: confianza de los usuarios y proveedores que se traduce en una prdida de actividad o en peores condiciones econmicas sanciones por incumplimiento de la ley u obligaciones contractuales dao a otros activos, propios o ajenos dao a personas daos medioambientales
La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en alguna escala de niveles). Los criterios ms importantes a respetar son:
la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, as como poder determinar si es ms grave el dao en una dimensin o en otra la relatividad: es importante poder relativizar el valor de un activo en comparacin con otros activos
Todos estos criterios se satisfacen con valoraciones econmicas (coste dinerario requerido para curar el activo) y es frecuente la tentacin de ponerle precio a todo. Si se consigue, excelente. Incluso es fcil ponerle precio a los aspectos ms tangibles (equipamiento, horas de trabajo, etc.); pero al entrar en valoraciones ms abstractas (intangibles como la credibilidad de la Organizacin) la valoracin econmica exacta puede ser escurridiza y motivo de agrias disputas entre expertos. El captulo 4 del "Catlogo de Elementos" presenta unas pautas para la valoracin sistemtica de activos.
Valoracin cualitativa
Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un orden relativo respecto de los dems. Es frecuente plantear estas escalas como rdenes de magnitud y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo. La limitacin de las valoraciones cualitativas es que no permiten comparar valores ms all de su orden relativo. No se pueden sumar valores. Ministerio de Administraciones Pblicas pgina 20 (de 154)
Magerit versin 2
El captulo 8.1 de la "Gua de Tcnicas" presenta un modelo de anlisis basado en valoraciones cualitativas.
Valoracin cuantitativa
Las valoraciones numricas absolutas cuestan mucho esfuerzo; pero no adolecen de los problemas de las valoraciones cualitativas. Sumar valores numricos es absolutamente natural y la interpretacin de las sumas no es nunca motivo de controversia. Si la valoracin es dineraria, adems se pueden hacer estudios econmicos comparando lo que se arriesga con lo que cuesta la solucin respondiendo a las preguntas:

Vale la pena invertir tanto dinero en esta salvaguarda? Qu conjunto de salvaguardas optimizan la inversin? En qu plazo de tiempo se recupera la inversin? Cunto es razonable que cueste la prima de un seguro?
El captulo 8.2 de la "Gua de Tcnicas" presenta un modelo de anlisis basado en valoraciones cuantitativas.
El valor de la interrupcin del servicio

Casi todas las dimensiones mencionadas anteriormente permiten una valoracin simple, cualitativa o cuantitativa. Pero hay una excepcin, la disponibilidad. No es lo mismo interrumpir un servicio una hora o un da o un mes. Puede que una hora de detencin sea irrelevante, mientras que un da sin servicio causa un dao moderado; pero un mes detenido suponga la terminacin de la actividad. Y lo malo es que no existe proporcionalidad entre el tiempo de interrupcin y las consecuencias. En consecuencia, para valorar la [interrupcin de la] disponibilidad de un activo hay que usar una estructura ms compleja que se puede resumir en algn grfico como el siguiente:
coste de [la interrupcin de la] disponibilidad
3
0 15m 30m 1h 2h 6h 1d 2d 1s 2s 1m 2m 6m 1a total
donde aparece una serie de escalones de interrupcin que terminan con la destruccin total o permanente del activo. En el ejemplo anterior, paradas de hasta 6 horas se pueden asumir sin consecuencias. Pero a las 6 horas se disparan las alarmas que aumentan si la parada supera los 2 das. Y si la parada supera el mes, se puede decir que la Organizacin ha perdido su capacidad de operar: ha muerto. Desde el punto de vista de los remedios, la grfica dice directamente que no hay que gastarse ni un euro por evitar paradas de menos de 6 horas. Vale la pena un cierto gasto por impedir que una parada supere las 6 horas o los 2 das. Y cuando se valore lo que cuesta impedir que la parada supera el mes, hay que poner en la balanza todo el valor de la Organizacin frente al coste de las salvaguardas. Pudiera ser que no valiera la pena.
pgina 21 (de 154)
Magerit versin 2
2.1.2. Paso 2: Amenazas

El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un dao. Hay accidentes naturales (terremotos, inundaciones, ...) y desastres industriales (contaminacin, fallos elctricos, ...) ante los cuales el sistema de informacin es vctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay amenazas causadas por las personas, bien errores, bien ataques intencionados. El captulo 5 del "Catlogo de Elementos" presenta una relacin de amenazas tpicas. No todas las amenazas afectan a todos los activos 14, sino que hay una cierta relacin entre el tipo de activo y lo que le podra ocurrir.
Valoracin de las amenazas

Cuando un activo es vctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuanta. Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable 15 es el activo, en dos sentidos: degradacin: cun perjudicado resultara el activo frecuencia: cada cunto se materializa la amenaza La degradacin mide el dao causado por un incidente en el supuesto de que ocurriera. La degradacin se suele caracterizar como una fraccin del valor del activo y as aparecen expresiones como que un activo se ha visto totalmente degradado, o degradado en una pequea fraccin. Cuando las amenazas no son intencionales, probablemente baste conocer la fraccin fsicamente perjudicada de un activo para calcular la prdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchsimo dao de forma selectiva. La frecuencia 16 pone en perspectiva aquella degradacin, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materializacin; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un dao considerable. La frecuencia se modela como una tasa anual de ocurrencia, siendo valores tpicos 100 muy frecuente 10 1 frecuente normal a diario mensualmente una vez al ao cada varios aos
1/10 poco frecuente
14 Las instalaciones pueden incendiarse; pero las aplicaciones, no. Las personas pueden ser objeto de un ataque bacteriolgico; pero los servicios, no. Sin embargo, los virus informticos afectan a las aplicaciones, no a las personas. 15 Los lectores familiarizados con Magerit v1.0, detectarn la ausencia de la voz vulnerabilidad. El concepto de vulnerabilidad (potencialidad o posibilidad de ocurrencia de una amenaza sobre un activo) se incorpora por medio de las mtricas de degradacin del activo y frecuencia de ocurrencia de la amenaza. 16 Se mide como el nmero medio de ocurrencias de la amenaza en un intervalo determinado de tiempo. Tpicamente estima sobre periodos anuales. Por ejemplo, si en un cierto sistema se produce una avera del aire acondicionado un promedio de cinco veces en un ao, esa es la frecuencia: 5.
pgina 22 (de 154)
Magerit versin 2
2.1.3. Paso 4: Determinacin del impacto

Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradacin que causan las amenazas, es directo derivar el impacto que estas tendran sobre el sistema. La nica consideracin que queda hacer es relativa a las dependencias entre activos. Es frecuente que el valor del sistema de informacin se centre en los servicios que presta y los datos que maneja, al tiempo que las amenazas suelen materializarse en los medios.
Impacto acumulado
Es el calculado sobre un activo teniendo en cuenta

su valor acumulado (el propio mas el acumulado de los activos que dependen de l) las amenazas a que est expuesto
El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor acumulado y de la degradacin causada. El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo. El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado. El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de informacin, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: proteccin de los equipos, copias de respaldo, etc.
Impacto repercutido

su valor propio las amenazas a que estn expuestos los activos de los que depende
El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor propio y de la degradacin causada. El impacto es tanto mayor cuanto mayor es el valor propio de un activo. El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado. El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado. El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las consecuencias de las incidencias tcnicas sobre la misin del sistema de informacin. Es pues una presentacin gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos: aceptar un cierto nivel de riesgo.
Agregacin de valores de impacto

Los prrafos anteriores determinan el impacto que sobre un activo tendra una amenaza en una cierta dimensin. Estos impactos singulares pueden agregarse bajo ciertas condiciones:

puede agregarse el impacto repercutido sobre diferentes activos, puede agregarse el impacto acumulado sobre activos que no sean dependientes entre s, ni dependan de ningn activo superior comn, no debe agregarse el impacto acumulado sobre activos que no sean independientes, pues ello supondra sobre ponderar el impacto al incluir varias veces el valor acumulado de activos superiores, puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qu medida las diferentes amenazas son independientes y pueden ser concurrentes, pgina 23 (de 154)
Magerit versin 2
puede agregarse el impacto de una amenaza en diferentes dimensiones.
2.1.4. Paso 5: Determinacin del riesgo

Se denomina riesgo a la medida del dao probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin ms que tener en cuenta la frecuencia de ocurrencia. El riesgo crece con el impacto y con la frecuencia.
Riesgo acumulado

el impacto acumulado sobre un activo debido a una amenaza y la frecuencia de la amenaza
El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor acumulado, la degradacin causada y la frecuencia de la amenaza. El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de informacin, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: proteccin de los equipos, copias de respaldo, etc.
Riesgo repercutido

el impacto repercutido sobre un activo debido a una amenaza y la frecuencia de la amenaza
El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor propio, la degradacin causada y la frecuencia de la amenaza. El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las consecuencias de las incidencias tcnicas sobre la misin del sistema de informacin. Es pues una presentacin gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos: aceptar un cierto nivel de riesgo.
Agregacin de riesgos
Los prrafos anteriores determinan el riesgo que sobre un activo tendra una amenaza en una cierta dimensin. Estos riesgos singulares pueden agregarse bajo ciertas condiciones:

puede agregarse el riesgo repercutido sobre diferentes activos, puede agregarse el riesgo acumulado sobre activos que no sean dependientes entre s, ni dependan de ningn activo superior comn, no debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues ello supondra sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos superiores, puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qu medida las diferentes amenazas son independientes y pueden ser concurrentes, puede agregarse el riesgo de una amenaza en diferentes dimensiones.
2.1.5. Paso 3: Salvaguardas

En los pasos anteriores no se han tomado en consideracin las salvaguardas desplegadas. Se miden, por tanto, los impactos y riesgos a que estaran expuestos los activos si no se protegieran Ministerio de Administraciones Pblicas pgina 24 (de 154)
Magerit versin 2
en absoluto. En la prctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que ocurrira si se retiraran las salvaguardas presentes. Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnolgicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizndose adecuadamente, otras requieres elementos tcnicos (programas o equipos), otras seguridad fsica y, por ltimo, est la poltica de personal. El captulo 6 del "Catlogo de Elementos" presenta una relacin de salvaguardas adecuadas para cada tipo de activos. Las salvaguardas entran en el clculo del riesgo de dos formas: Reduciendo la frecuencia de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice. Limitando el dao causado. Hay salvaguardas que directamente limitan la posible degradacin, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradacin avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperacin del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.
estn expuestos a
activos activos
Interesan por su
amenazas amenazas
valor valor degradacin degradacin residual residual impacto impacto residual residual
causan una cierta
con una cierta
frecuencia frecuencia residual residual riesgo riesgo residual residual
tipo de activo dimensin amenaza nivel de riesgo
salvaguardas salvaguardas
Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, lo que implica que:

es tericamente idnea est perfectamente desplegada, configurada y mantenida se emplea siempre existen procedimientos claros de uso normal y en caso de incidencias los usuarios estn formados y concienciados existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que estn de adorno y el 100% para aquellas que son perfectas, se estimar un grado de eficacia real en cada caso concreto. Ministerio de Administraciones Pblicas pgina 25 (de 154)
Magerit versin 2
2.1.6. Revisin del paso 4: impacto residual

Si se han hecho todos los deberes a la perfeccin, el impacto residual debe ser despreciable. Si hay deberes a medio hacer (normas imprecisas, procedimientos incompletos, salvaguardas inadecuadas o insuficientes, o controles que no controlan) entonces se dice que el sistema permanece sometido a un impacto residual. El clculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradacin, se repiten los clculos de impacto con este nuevo nivel de degradacin. La magnitud de la degradacin tomando en cuenta la eficacia de las salvaguardas, es la proporcin que resta entre la eficacia perfecta y la eficacia real. El impacto residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores.
2.1.7. Revisin del paso 5: riesgo residual

Si se han hecho todos los deberes a la perfeccin, el riesgo residual debe ser despreciable. Si hay deberes a medio hacer (normas imprecisas, procedimientos incompletos, salvaguardas inadecuadas o insuficientes, o controles que no controlan) entonces se dice que el sistema permanece sometido a un riesgo residual. El clculo del riesgo residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradacin y la frecuencia de las amenazas, se repiten los clculos de riesgo usando el impacto residual y la nueva tasa de ocurrencia. La magnitud de la degradacin se toma en consideracin en el clculo del impacto residual. La magnitud de la frecuencia tomando en cuenta la eficacia de las salvaguardas, es la proporcin que resta entre la eficacia perfecta y la eficacia real. El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores.
2.2. Gestin de Riesgos

El anlisis de riesgos determina impactos y riesgos. Los impactos recogen daos absolutos, independientemente de que sea ms o menos probable que se d la circunstancia. En cambio el riesgo pondera la probabilidad de que ocurra. El impacto refleja el dao posible, mientras que el riesgo refleja el dao probable. Si el impacto y el riesgo residuales son despreciables, se ha terminado. Si no, hay que hacer algo.
2.2.1. La interpretacin de los valores de impacto y riesgo residuales

Impacto y riesgo residual son una medida del estado presente, entre la inseguridad potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores despreciables. Son pues una mtrica de carencias. Los prrafos siguientes se refieren conjuntamente a impacto y riesgo. Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen para nada, tpicamente no porque no haya nada hecho, sino porque hay elementos fundamentales sin hacer. Si el valor residual es despreciable, ya est. Esto no quiere decir descuidar la guardia; pero si afrontar el da con cierta confianza 17.
17 Don Quijote (Captulo X) llamaba la atencin sobre el blsamo de Fierabrs que es un blsamo ... con el cual no hay que tener temor a la muerte, ni hay pensar morir de ferida alguna. No puede el responsable de seguridad caer en la confianza ciega pues los sistemas evolucionan, los atacantes inventan, los
pgina 26 (de 154)
Magerit versin 2
Mientras el valor residual sea ms que despreciable, hay una cierta exposicin. Es importante entender que un valor residual es slo un nmero. Para su correcta interpretacin debe venir acompaado de la relacin de lo que se debera hacer y no se ha hecho. Los responsables de la toma de decisiones debern prestar cuidadosa atencin a esta relacin de tareas pendientes, que se denomina Informe de Insuficiencias.
2.2.2. Seleccin de salvaguardas

Las amenazas hay que conjurarlas, por principio y mientras no se justifique lo contrario. Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el impacto como el riesgo, reduciendo bien la degradacin del activo (minimizando el dao), bien reduciendo la frecuencia de la amenaza (minimizando sus oportunidades). Toda amenaza debe ser conjurada profesionalmente, lo que quiere decir que hay que: 1. establecer una poltica de la Organizacin al respecto; o sea, unas directrices generales de quin es responsable de cada cosa 2. establecer una norma; o sea, unos objetivos a satisfacer para poder decir con propiedad que la amenaza ha sido conjurada 3. establecer unos procedimientos; o sea, instrucciones paso a paso de qu hay que hacer 4. desplegar salvaguardas tcnicas que efectivamente se enfrenten a las amenazas con capacidad para conjurarlas 5. desplegar controles que permitan saber que todo lo anterior est funcionando segn lo previsto A este conjunto de elementos se le encasilla habitualmente bajo el nombre de Sistema de Gestin de la Seguridad de la Informacin (SGSI), aunque se est gestionando tanto como actuando. El prrafo anterior puede llamar a engao si el lector interpreta que hay que llevar a cabo todos y cada uno de los puntos para cada amenaza. No. En la prctica lo dicho se traduce en desarrollar una poltica, unas normas y unos procedimientos junto con el despliegue de una serie de salvaguardas y controles y, ahora s, verificar que todas y cada una de las amenazas tienen una respuesta adecuada. De los puntos anteriores, el ms abierto es el de determinacin de las salvaguardas apropiadas. Es realmente un arte que requiere personal especializado aunque en la prctica las situaciones ms habituales estn perfectamente documentadas en la literatura y basta elegir de entre un catlogo en funcin de la magnitud del riesgo.
Tipos de salvaguardas
Un sistema debe considerar prioritariamente las salvaguardas de tipo preventivo que buscan que la amenaza no ocurra o su dao sea despreciable. Es decir, impedir incidentes o ataques. En la prctica, no todo es previsible, ni todo lo previsible es econmicamente razonable atajarlo en sus orgenes. Tanto para enfrentar lo desconocido como para protegerse de aquello a lo que se permanece expuesto, es necesario disponer de elementos que detecten el inicio de un incidente y permitan reaccionar con presteza impidiendo que se convierta en un desastre. Tanto las medidas preventivas como las de emergencia admiten una cierta degradacin de los activos por lo que habr que disponer por ltimo de medidas de recuperacin que devuelvan el valor perdido por los activos.
usuarios son impredecibles en sus errores y en definitiva siempre hay que estar atento y pronto a reaccionar ante nuevas realidades.
pgina 27 (de 154)
Magerit versin 2
Es de sentido comn intentar actuar de forma preventiva para que las cosas no puedan ocurrir o no puedan causar mucho dao; pero no siempre es posible 18 y hay que estar preparados para que ocurran. Lo que no debe ser de ninguna manera es que un ataque pase inadvertido: hay que detectarlo, registrarlo y reaccionar primero con un plan de emergencia (que pare y limite el incidente) y despus con un plan de continuidad y recuperacin para regresar a donde se debe estar. Por ltimo, sin nimo de saturar al lector, hay que recordar que conviene llegar a un cierto equilibrio entre salvaguardas tcnicas: en aplicaciones, equipos y comunicaciones salvaguardas fsicas: protegiendo el entorno de trabajo de las personas y los equipos medidas de organizacin: de prevencin y gestin de las incidencias poltica de personal: que, a fin de cuentas, es el eslabn imprescindible y ms delicado: poltica de contratacin, formacin permanente, Organizacin de reporte de incidencias, plan de reaccin y medidas disciplinarias.
2.2.3. Prdidas y ganancias

Es de sentido comn que no se puede invertir en salvaguardas ms all del valor de los propios activos a proteger. Aparecen en la prctica grficos como el siguiente que ponen uno frente al otro el coste de la inseguridad (lo que costara no estar protegidos) y el coste de las salvaguardas.
10
20
30
40
50
60
70
80
90
100
grado de seguridad
riesgo residual gasto en salvaguardas coste total
Este tipo de grficas intentan reflejar cmo al avanzar de un grado de seguridad 0 hacia un grado de seguridad del 100%, el coste de la inseguridad (el riesgo) disminuye, mientras que el coste de la inversin en salvaguardas aumenta. Es intencionado el hecho de que el riesgo caiga fuertemente con pequeas inversiones 19 y que el coste de las inversiones se dispare para alcanzar niveles de seguridad cercanos al 100% 20. La curva central suma el coste para la Organizacin, bien deri-
18 Hay mil razones que pueden impedir una proteccin absoluta: coste, dificultad tcnica, lmites legales, etc. No obstante, una de las razones ms fuertes para no poder prevenir es el mero desconocimiento de lo que puede pasar. Podemos prever que se repita lo que ha ocurrido en el pasado; pero es difcil prever el prximo ataque intencionado pues hay un componente creativo de parte del atacante. 19 Medidas bsicas de seguridad suponen un importante descenso del riesgo. Por ello son inexcusables. 20 Reflejando una vez ms que la seguridad absoluta (riesgo cero) no existe.
pgina 28 (de 154)
Magerit versin 2
vado del riesgo (baja seguridad), bien derivado de la inversin en proteccin. De alguna forma existe un punto de equilibrio entre lo que se arriesga y lo que se inverte en defensa, punto al que hay que tender si la nica consideracin es econmica. Pero llevar el sentido comn a la prctica no es evidente, ni por la parte del clculo del riesgo, ni por la parte del clculo del coste de las salvaguardas. En otras palabras, la curva anterior es conceptual y no se puede dibujar en un caso real. En la prctica, cuando hay que protegerse de un riesgo que se considera significativo, aparecen varios escenarios hipotticos: E0: si no se hace nada E1: si se aplica un cierto conjunto de salvaguardas E2: si se aplica otro conjunto de salvaguardas Y as N escenarios con diferentes combinaciones de salvaguardas. El anlisis econmico tendr como misin decidir entre estas opciones, siendo E0 (no hacer nada) una opcin posible, que pudiera estar justificada econmicamente. En cada escenario hay que estimar a lo largo del tiempo el coste que va a suponer. Para poder agregar costes, se contabilizan como valores negativos las prdidas de dinero y como valores positivos las entradas de dinero. Considerando los siguientes componentes:
+ +
(recurrente) riesgo residual 21 (una vez) coste de las salvaguardas 22 (recurrente) coste anual de mantenimiento de las salvaguardas (recurrente) mejora en la productividad 23 (recurrente) mejoras en la capacidad de la Organizacin para prestar nuevos servicios, conseguir mejores condiciones de los proveedores, entrar en asociacin con otras organizaciones, etc.
El escenario E0 es muy simple: todos los aos se afronta un gasto marcado por el riesgo, que se acumula ao tras ao.
21 Si la frecuencia de las amenazas se ha estimado como tasa anual, los datos de riesgo residual estarn automticamente anualizados. Si se hubiera empleado otra escala, habra que convertirla a trminos anuales. 22 Si la salvaguarda ya existe, coste de mejora. Si no existiera, coste de adquisicin e instalacin. En cualquier caso hay que imputar costes de formacin de los operadores, usuarios, etc. 23 Este epgrafe puede ser positivo si la Organizacin mejora su productividad; o puede ser negativo, si empeora. Como ejemplo tpico de salvaguardas que mejoran la productividad podemos citar la introduccin de dispositivos de autenticacin en sustitucin de la clsica contrasea. Como ejemplo tpico de salvaguardas que minoran la productividad podemos citar la clasificacin de documentacin con control de acceso restringido.
pgina 29 (de 154)
Magerit versin 2
En los dems escenarios, hay cosas que suman y cosas que restan, pudiendo darse varias situaciones 24:
1 10 0 -10 -20 -30 -40 -50 -60 -70 -80 E0 E1 E2 E3 2 3 4 5
En E0 se sabe lo que cada ao (se estima que) se pierde El escenario E1 aparece como mala idea, pues supone un gasto aadido el primer ao; pero este gasto no se recupera en aos venideros. No as el escenario E2 que, suponiendo un mayor desembolso inicial, empieza a ser rentable a partir del cuarto ao. Ms atractivo an es el escenario E3 en el que a costa de un mayor desembolso inicial, se empieza a ahorrar al tercer ao, e incluso se llega a obtener beneficios operativos a partir del quinto ao. Se puede decir que en escenario E3 se ha hecho una buena inversin.
2.2.4. La actitud de la Direccin

La direccin de la Organizacin sometida al anlisis de riesgos debe determinar el nivel de impacto y riesgo aceptable. Ms propiamente dicho, debe aceptar la responsabilidad de las insuficiencias. Esta decisin no es tcnica. Puede ser una decisin poltica o gerencial o puede venir determinada por ley o por compromisos contractuales con proveedores o usuarios. Estos niveles de aceptacin se pueden establecer por activo o por agregacin de activos (en un determinado departamento, en un determinado servicio, en una determinada dimensin, ...) Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Direccin 25.
2
Si el impacto y/o el riesgo estn por encima de lo aceptable, se puede: 1. eliminar el activo; suena muy fuerte, pero a veces hay activos que, simplemente, no vale la pena mantener 26 2. introducir nuevas salvaguardas o mejorar la eficacia de las presentes
24 En el eje X se muestran aos, en referencia al ao 0 en que se realiza el anlisis de riesgos. En ordenadas aparecen costes en unidades arbitrarias. 25 Hablar de Direccin es pecar de simplificar la realidad. En ingls suele emplearse el trmino stakeholders (o tenedores de la estaca) para referirse a los afectados por las decisiones estratgicas de una Organizacin: dueos, gerentes, usuarios, empleados e incluso la sociedad en general. Porque al final si se aceptan riesgos imprudentemente elevados, el perjudicado puede no ser slo el que dirige, sino todos los que tienen su confianza puesta en la Organizacin y cuyo lamentable desempeo oscurecera sus legtimas expectativas. En ltima instancia puede verse afectada la confianza en un sector o en una tecnologa por la imprudente puesta en escena de algunos actores. 26 Necesita realmente mantener este dato de carcter personal y nivel alto? Es realmente necesaria la red inalmbrica en la oficina?
pgina 30 (de 154)
Magerit versin 2
2.2.5. Revisin del paso 1: activos

Algunas salvaguardas, notablemente las de tipo tcnico, se traducen en el despliegue de ms equipamiento 27 que se convierte a su vez en un activo del sistema. Estos activos soportan parte del valor del sistema y estn a su vez sujetos a amenazas que pueden perjudicar a los activos de valor. Hay pues que repetir el anlisis de riesgos, amplindolo con el nuevo despliegue de medios y, por supuesto, cerciorarse de que el riesgo del sistema ampliado es menor que el del sistema original; es decir, que las salvaguardas efectivamente disminuyen el estado de riesgo de la Organizacin.
27 Ejemplos tpicos pueden ser un equipo cortafuegos, un sistema de gestin de redes privadas virtuales, tarjetas inteligentes de identificacin de los usuarios, una PKI de clave pblica, etc.
pgina 31 (de 154)
Magerit versin 2
Estructuracin del proyecto
3. Estructuracin del proyecto

Si en el captulo anterior se ha marcado de forma conceptual cmo llevar a cabo un anlisis y una gestin de riesgos, en este capitulo se plasman aquellos conceptos en componentes de un proyecto de anlisis y gestin de riesgos (AGR) 28. Los pasos se organizan en tres grandes procesos (preparacin, anlisis y gestin). Cada proceso se organiza en actividades que, finalmente, se estructuran en tareas a realizar. En cada tarea se indica lo que hay que hacer as como las posibles dificultades para conseguirlo y la forma de afrontarla con xito 29. En cada proceso se indican los hitos que van marcando el progreso del proyecto hasta su terminacin. Magerit cubre un espectro muy amplio de intereses de sus usuarios. En el planteamiento de estas guas se ha seguido un criterio de mximos, reflejando todo tipo de activos, todo tipo de aspectos de seguridad, todo tipo de situaciones, en definitiva. En la prctica, el usuario puede encontrarse ante situaciones donde el anlisis es ms restringido. Siguen algunos casos prcticos frecuentes:

slo se requiere un estudio de los ficheros afectos a la legislacin de datos de carcter personal slo se requiere un estudio de las garantas de confidencialidad de la informacin slo se requiere un estudio de la seguridad de las comunicaciones slo se requiere un estudio de la seguridad perimetral slo se requiere un estudio de la disponibilidad de los servicios (tpicamente porque se busca el desarrollo de un plan de contingencia) se busca una homologacin o acreditacin del sistema o de un producto se busca lanzar un proyecto de mtricas de seguridad, debiendo identificar qu puntos interesa controlar y con qu grado de periodicidad y detalle etc.
Estas situaciones, frecuentes, se recogen formalmente en las tareas de la actividad A1.2 e informalmente comentando que es constructivo centrarse en un dominio reducido e ir ampliando en la medida de las necesidades, antes que afrontar la totalidad. Adems de cubrir un dominio ms o menos extenso, pueden darse situaciones en las que se requieren anlisis de diferente calado:

un anlisis urgente para determinar los activos crticos un anlisis global para determinar las medidas generales un anlisis de detalle para determinar salvaguardas especficas para ciertos elementos del sistema de informacin un anlisis de detalle cuantitativo para determinar la oportunidad de un gasto elevado ...
En resumen, las tareas que a continuacin se detallan hay que adaptarlas 1. horizontalmente al alcance que se requiere (actividad A1.2) 2. verticalmente a la profundidad oportuna
28 Corresponde al Modelo de procesos de Magerit versin 1.0. 29 En el captulo 6 se incluyen consejos prcticos adicionales.
pgina 32 (de 154)
Magerit versin 2
3.1. Participantes
Durante el desarrollo del proyecto AGR, desde su inicio a su terminacin, se identifican los siguientes rganos colegiados 30: Comit de Direccin El perfil requerido para este grupo de participantes incluye a personas con un nivel alto en la direccin de la Organizacin, conocimiento de los objetivos estratgicos y de negocio que se persiguen y autoridad para validar y aprobar cada uno de los procesos realizados durante el desarrollo del proyecto. Las responsabilidades de este comit consisten en

asignar los recursos necesarios para la ejecucin del proyecto aprobar los resultados finales de cada proceso
El comit de direccin formaliza sus funciones en la tarea T1.3.2. Comit de Seguimiento Est constituido por los responsables de las unidades afectadas por el proyecto; as como por los responsables de la informtica y de la gestin dentro de dichas unidades. Tambin ser importante la participacin de los servicios comunes de la Organizacin (planificacin, presupuesto, recursos humanos, administracin, etc.) En cualquier caso la composicin del comit depende de las caractersticas de las unidades afectadas. Las responsabilidades de este comit consisten en

resolver las incidencias durante el desarrollo del proyecto asegurar la disponibilidad de recursos humanos con los perfiles adecuados y su participacin en las actividades donde es necesaria su colaboracin aprobar los informes intermedios y finales de cada proceso elaborar los informes finales para el comit de direccin
El comit de seguimiento se crea en la tarea T1.1.1 y sus funciones se formalizan en T1.3.2.. Equipo de proyecto Formado por personal experto en tecnologas y sistemas de informacin y personal tcnico cualificado del dominio afectado, con conocimientos de gestin de seguridad en general y de la aplicacin de la metodologa de anlisis y gestin de riesgos en particular. Si el proyecto se hace con asistencia tcnica mediante contratacin externa, el subsiguiente personal especialista en seguridad de sistemas de informacin se integrar en este equipo de proyecto. Las responsabilidades de este equipo consisten en

llevar a cabo las tareas del proyecto recopilar, procesar y consolidar datos elaborar los informes
El equipo de proyecto se determina en la tarea T1.3.2. Grupos de Interlocutores Est formado por usuarios representativos dentro de las unidades afectadas por el proyecto. Lo constituyen varios posibles subgrupos:
Responsables de servicio, conscientes de la misin de la Organizacin y sus estrategias a medio y largo plazo
30 Es importante formalizar los roles de los participantes en el proyecto. En esta seccin se identifican dichos roles y se les da un nombre estndar. Ms adelante se detalla en qu momento (tarea) del proyecto se constituyen formalmente.
pgina 33 (de 154)
Magerit versin 2

Responsables de servicios internos Personal de explotacin y operacin de los servicios informticos, conscientes de los medios desplegados (de produccin y salvaguardas) y de las incidencias habituales
Las unidades afectadas se determinan en las tareas T1.2.2 y T1.2.3. Los interlocutores de identifican en la tarea T1.3.1. Adems de dichos rganos colegiados, hay que identificar algunos roles singulares: Promotor Es una figura singular que lidera las primeras tareas del proyecto, perfilando su oportunidad y alcance para lanzar el proyecto AGR propiamente dicho. Debe ser una persona con visin global de los sistemas de informacin y su papel en las actividades de la Organizacin, sin necesidad de conocer los detalles; pero si al tanto de las incidencias. El promotor tiene su papel en la tarea T1.1.1. Director del Proyecto Debe ser un directivo de alto nivel, con responsabilidades en seguridad dentro de la Organizacin, de sistemas de informacin o, en su defecto, de planificacin, de coordinacin o de materias, servicios o reas semejantes. Es la cabeza visible del equipo de proyecto. El director del proyecto se designa en la tarea T1.2.2. Enlace operacional Ser una persona de la Organizacin con buen conocimiento de las personas y de las unidades implicadas en el proyecto AGR, que tenga capacidad para conectar al equipo de proyecto con el grupo de usuarios. Es el interlocutor visible del comit de seguimiento. El enlace operacional se designa en la tarea T1.3.2. Conviene recordar que un proyecto AGR siempre es mixto por su propia naturaleza; es decir, requiere la colaboracin permanente de especialistas y usuarios tanto en las fases preparatorias como en su desarrollo. La figura del enlace operacional adquiere una relevancia permanente que no es habitual en otro tipo de proyectos ms tcnicos.
3.2. Desarrollo del proyecto

En esta seccin se ordenan y formalizan las acciones a realizar a lo largo de un proyecto AGR, estableciendo un marco normalizado de desarrollo. Este marco de trabajo define: 1. una estructuracin del proyecto que sirve de gua al equipo de trabajo y que permite involucrar en aqul a los responsables y a los usuarios. 2. un conjunto de productos a obtener 3. un conjunto de tcnicas para obtener los productos 4. las funciones y responsabilidades de los distintos participantes El proyecto se divide en tres grandes procesos, desglosndose cada uno en una serie de actividades y estas, a su vez, en tareas con el grado de detalle oportuno. Cada tarea especifica los siguientes conceptos:

acciones a realizar datos de entrada datos de salida: productos y documentos a obtener como producto de las acciones pgina 34 (de 154)
Magerit versin 2

tcnicas recomendadas para llevar a buen trmino los objetivos de la tarea participantes que intervienen o estn afectados por la cumplimentacin de las acciones
Un proyecto AGR conlleva tres procesos:
Proceso P1: Planificacin

Se establecen las consideraciones necesarias para arrancar el proyecto AGR. Se investiga la oportunidad de realizarlo. Se definen los objetivos que ha de cumplir y el dominio (mbito) que abarcar. Se planifican los medios materiales y humanos para su realizacin. Se procede al lanzamiento del proyecto.
Proceso P2: Anlisis de riesgos

Se identifican los activos a tratar, las relaciones entre ellos y la valoracin que merecen. Se identifican las amenazas significativas sobre aquellos activos y se valoran en trminos de frecuencia de ocurrencia y degradacin que causan sobre el valor del activo afectado. Se identifican las salvaguardas existentes y se valora la eficacia de su implantacin. Se estima el impacto y el riesgo al que estn expuestos los activos del sistema. Se interpreta el significado del impacto y el riesgo.
Proceso P3: Gestin de riesgos

Se elige una estrategia para mitigar impacto y riesgo. Se determinan las salvaguardas oportunas para el objetivo anterior. Se determina la calidad necesaria para dichas salvaguardas. Se disea un plan de seguridad (plan de accin o plan director) para llevar el impacto y el riesgo a niveles aceptables. Se lleva a cabo el plan de seguridad.
Estos tres procesos no son necesariamente secuenciales. El proceso P1 es claramente el iniciador del proyecto. El proceso P2 funciona como soporte del proceso P3 en el sentido de que la gestin de riesgos (P3) es una tarea continua soportada por los tcnicas de anlisis (P2). La gestin de riesgos supone siempre la alteracin del conjunto de salvaguardas, bien porque aparecen nuevas salvaguardas, bien porque se reemplazan unas por otras, bien porque se mejoran las existentes. La gestin de riesgos puede suponer la alteracin del conjunto de activos 31, bien porque aparecen nuevos activos (elementos de salvaguarda que pasan a formar parte del sistema) o porque se eliminan activos del sistema. En definitiva, a lo largo del proceso P3 se recurrir a tareas del proceso P2.
31 Formalmente se dice que la introduccin de salvaguardas para mitigar ciertos riesgos puede introducir nuevos riesgos en el sistema.
pgina 35 (de 154)
Magerit versin 2
P1: Planificacin P1: Planificacin P2: Anlisis de riesgos P2: Anlisis de riesgos
P3: Gestin de riesgos P3: Gestin de riesgos
A lo largo de estos procesos se generan una serie de documentos de inters general 32: P1: Planificacin

Tipologa de activos Dimensiones de seguridad relevantes Criterios de evaluacin Modelo de valor Mapa de riesgos Evaluacin de salvaguardas Estado de riesgo Informe de insuficiencias Plan de seguridad
P2: Anlisis de riesgos

P3: Gestin de riesgos
32 Sin entrar en documentos de trabajo del propio proyecto AGR, que se detallan en las tareas.
pgina 36 (de 154)
Magerit versin 2
3.2.1. Visin global

Sin perjuicio de una exposicin detallada ms adelante, se relaciona a continuacin el rbol completo de procesos, actividades y tareas que vertebran un proyecto AGR. Procesos, actividades y tareas Proceso P1: Planificacin Actividad A1.1: Estudio de oportunidad Tarea T1.1.1: Determinar la oportunidad Actividad A1.2: Determinacin del alcance del proyecto Tarea T1.2.1: Objetivos y restricciones generales Tarea T1.2.2: Determinacin del dominio y lmites Tarea T1.2.3: Identificacin del entorno Tarea T1.2.4: Estimacin de dimensiones y coste Actividad A1.3: Planificacin del proyecto Tarea T1.3.1: Evaluar cargas y planificar entrevistas Tarea T1.3.2: Organizar a los participantes Tarea T1.3.3: Planificar el trabajo Actividad A1.4: Lanzamiento del proyecto Tarea T1.4.1: Adaptar los cuestionarios Tarea T1.4.2: Criterios de evaluacin Tarea T1.4.3: Recursos necesarios Tarea T1.4.4: Sensibilizacin Proceso P2: Anlisis de riesgos Actividad A2.1: Caracterizacin de los activos Tarea T2.1.1: Identificacin de los activos Tarea T2.1.2: Dependencias entre activos Tarea T2.1.3: Valoracin de los activos Actividad A2.2: Caracterizacin de las amenazas Tarea T2.2.1: Identificacin de las amenazas Tarea T2.2.2: Valoracin de las amenazas Actividad A2.3: Caracterizacin de las salvaguardas Tarea T2.3.1: Identificacin de las salvaguardas existentes Tarea T2.3.2: Valoracin de las salvaguardas existentes Actividad A2.4: Estimacin del estado de riesgo Tarea T2.4.1: Estimacin del impacto Tarea T2.4.2: Estimacin del riesgo Tarea T2.4.3: Interpretacin de los resultados Proceso P3: Gestin de riesgos Actividad A3.1: Toma de decisiones Tarea T3.1.1: Calificacin de los riesgos Actividad A3.2: Plan de seguridad Tarea T3.2.1: Programas de seguridad Tarea T3.2.2: Plan de ejecucin Actividad A3.3: Ejecucin del plan Tarea T3.3.*: Ejecucin de cada programa de seguridad
pgina 37 (de 154)
Magerit versin 2
3.3. Proceso P1: Planificacin

El objetivo principal de este proceso es establecer el marco general de referencia para todo el proyecto. Como objetivos complementarios se pueden identificar los siguientes:

Motivar, concienciar e involucrar a la Direccin o Gerencia de la Organizacin. Razonar la oportunidad de realizar un proyecto AGR. Afirmar y dar a conocer la voluntad de su realizacin por parte de la Direccin. Crear las condiciones humanas y materiales para el buen desarrollo del proyecto.
Este proceso se desarrolla por medio de las siguientes actividades y tareas:
Actividad A1.1: Estudio de oportunidad

Se fundamenta la oportunidad de la realizacin, ahora, del proyecto AGR, enmarcndolo en el desarrollo de las dems actividades de la Organizacin. El resultado de esta actividad es el informe denominado preliminar. Tareas: Tarea T1.1.1: Determinar la oportunidad
Actividad A1.2: Determinacin del alcance del proyecto

Se definen los objetivos finales del proyecto, su dominio y sus lmites. Se realiza una primera identificacin del entorno y de las restricciones generales a considerar. Y por ltimo se estima el coste que va a suponer. El resultado de esta actividad es un perfil de proyecto AGR. Tareas: Tarea T1.2.1: Objetivos y restricciones generales Tarea T1.2.2: Determinacin del dominio y lmites Tarea T1.2.3: Identificacin del entorno Tarea T1.2.4: Estimacin de dimensiones y coste
Actividad A1.3: Planificacin del proyecto

Se determinan las cargas de trabajo que supone la realizacin del proyecto. Se planifican las entrevistas que se van a realizar para la recogida de informacin: quines van a ser entrevistados. Se elabora el plan de trabajo para la realizacin del proyecto. En esta actividad se determinan los participantes y se estructuran los diferentes grupos y comits para llevar a cabo el proyecto. El resultado de esta actividad est constituido por:

un plan de trabajo para el proyecto AGR procedimientos de gestin de la informacin generada
Tareas: Tarea T1.3.1: Evaluar cargas y planificar entrevistas Tarea T1.3.2: Organizar a los participantes Tarea T1.3.3: Planificar el trabajo
pgina 38 (de 154)
Magerit versin 2
Actividad A1.4: Lanzamiento del proyecto

Se adaptan los cuestionarios para la recogida de informacin adaptndolos al proyecto presente. Se eligen las tcnicas principales de evaluacin de riesgo a utilizar y se asignan los recursos necesarios para el comienzo del proyecto. Tambin se realiza una campaa informativa de sensibilizacin a los afectados sobre las finalidades y requerimientos de su participacin. El resultado de esta actividad est constituido por:

los cuestionarios para las entrevistas el plan de entrevistas el catlogo de tipos de activos la relacin de dimensiones de seguridad y los criterios de valoracin
Tareas: Tarea T1.4.1: Adaptar los cuestionarios Tarea T1.4.2: Criterios de evaluacin Tarea T1.4.3: Recursos necesarios Tarea T1.4.4: Sensibilizacin
pgina 39 (de 154)
Magerit versin 2
3.3.1. Actividad A1.1: Estudio de oportunidad

Consta de una nica tarea: T1.1.1: Determinar la oportunidad P1: Planificacin A1.1: Estudio de oportunidad T1.1.1: Determinar la oportunidad Objetivos
Identificar o suscitar el inters de la Direccin de la Organizacin en la realizacin de un proyecto AGR
Productos de entrada Productos de salida

Informe preliminar recomendando la elaboracin del proyecto AGR Sensibilizacin y apoyo de la Direccin a la realizacin del proyecto AGR Creacin del comit de seguimiento Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) El promotor
Tcnicas, prcticas y pautas

Participantes
La Direccin suele ser muy consciente de las ventajas que aportan las tcnicas electrnicas, informticas y telemticas a su funcionamiento; pero no tanto de los nuevos problemas de seguridad que estas tcnicas implican, o de las obligaciones legales o reglamentarias que les afectan En toda Organizacin pblica o privada es importante transformar en medidas concretas la creciente preocupacin por la falta de seguridad de los sistemas de informacin, por su soporte y entorno, puesto que sus efectos no slo afectan a dichos sistemas, sino al propio funcionamiento de la Organizacin y, en las situaciones crticas, a su propia misin y capacidad de supervivencia.
Desarrollo
La iniciativa para la realizacin de un proyecto AGR parte de un promotor interno o externo a la Organizacin, consciente de los problemas relacionados con la seguridad de los sistemas de informacin, como por ejemplo:

Incidentes continuados relacionados con la seguridad. Inexistencia de previsiones en cuestiones relacionadas con la evaluacin de necesidades y medios para alcanzar un nivel aceptable de seguridad de los sistemas de informacin que sea compatible con el cumplimiento correcto de la misin y funciones de la Organizacin. Reestructuraciones en los productos o servicios proporcionados. Cambios en la tecnologa utilizada. Desarrollo de nuevos sistemas de informacin.
El promotor puede elaborar un cuestionario-marco (documento poco sistematizable que deber crear en cada caso concreto) para provocar la reflexin sobre aspectos de la seguridad de los sistemas de informacin por parte de :
pgina 40 (de 154)
Magerit versin 2
Los responsables de las unidades operativas (responsables de servicios). El cuestionario permite proceder a un examen informal de la situacin en cuanto a la seguridad de sus sistemas de informacin; deben poder expresar su opinin por los proyectos de seguridad ya realizados (con su grado de satisfaccin o con las limitaciones de stos), as como sus expectativas ante la elaboracin de un proyecto AGR 33. Esta aproximacin de alto nivel permite obtener una primera visin de los objetivos concretos y las opciones que tendran que subyacer a la elaboracin del proyecto. Los responsables de informtica. El cuestionario permite obtener una panormica tcnica para la elaboracin del proyecto y posibilita abordar el estudio de oportunidad de realizacin, tras integrar las opciones anteriores. De las respuestas al cuestionario-marco y de las entrevistas mantenidas con los responsables y colectivos anteriores, el promotor obtiene una primera aproximacin sobre las funciones, los servicios y los productos implicados en cuestiones de seguridad de los sistemas de informacin, la ubicacin geogrfica de aqullos, los medios tcnicos, los medios humanos, etc. Con estos elementos el promotor realiza el informe preliminar recomendando la elaboracin del proyecto AGR e incluyendo estos elementos:

Exposicin de los argumentos bsicos. Relacin de antecedentes sobre la seguridad de los sistemas de informacin (Plan Estratgico, Plan de Actuacin, etc.). Primera aproximacin al dominio a incluir en el proyecto en funcin de

las finalidades de las unidades o departamentos las orientaciones gerenciales y tcnicas la estructura de la Organizacin el entorno tcnico.
Primera aproximacin de los medios, tanto humanos como materiales, para la realizacin del proyecto AGR. aprobar el proyecto, o bien modificar su dominio y/o sus objetivos, o bien retrasar el proyecto.
El promotor presenta este informe preliminar a la Direccin que puede decidir:

33 Probablemente no se conozca lo que esto significa y haya que incluir en el cuestionario marco una sucinta explicacin de qu es y qu objetivos persigue un proyecto AGR.
pgina 41 (de 154)
Magerit versin 2
3.3.2. Actividad A1.2: Determinacin del alcance del proyecto

Una vez que se ha constatado la oportunidad de realizar el proyecto AGR y el apoyo por la Direccin, esta actividad estima los elementos de planificacin del proyecto, es decir los participantes y sus cargas de trabajo. En dicha estimacin se ha de tener en cuenta la posible existencia de otros planes (por ejemplo un Plan Estratgico de Sistemas de Informacin o de Seguridad general en las unidades que pueden ser afectadas o en la Organizacin) y el plazo de tiempo considerado para la puesta en prctica del proyecto AGR. En particular, la existencia de un Plan Estratgico de Sistemas de Informacin para las unidades que pueden ser afectadas dentro de la Organizacin puede determinar en gran medida el alcance y la extensin de las actividades que se realicen en esta actividad. Esta actividad consta de cuatro tareas: T1.2.1: Objetivos y restricciones generales T1.2.2: Determinacin del dominio y lmites T1.2.3: Identificacin del entorno T1.2.4: Estimacin de dimensiones y coste P1: Planificacin A1.2: Determinacin del alcance del proyecto T1.2.1: Objetivos y restricciones generales Objetivos

Determinar los objetivos del proyecto, diferenciados segn horizontes temporales a corto y medio plazo Determinar las restricciones generales que se imponen sobre el proyecto Recopilacin de la documentacin pertinente de la Organizacin Especificacin detallada de los objetivos del proyecto Relacin de restricciones generales Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) El comit de seguimiento
Productos de entrada
Productos de salida


Participantes
Un proyecto AGR puede perseguir objetivos a muy corto plazo tales como el aseguramiento de cierto sistema o un cierto proceso de negocio, o puede pretender objetivos ms amplios como fuera el anlisis global de la seguridad de la Organizacin. En todo caso, hay que determinarlo. Especialmente a la hora de tomar acciones correctoras, hay que tener en cuenta que no todo vale, sino que el proyecto se encontrar con una serie de restricciones, no necesariamente tcnicas, que establecen un marco al que atenerse. Para incorporar las restricciones al anlisis y gestin de riesgos, estas se agrupan por distintos conceptos, tpicamente: Restricciones polticas o gerenciales Tpicas de organizaciones gubernamentales o fuertemente relacionadas con organismos gubernamentales, bien como proveedores o como suministradores de servicios. Restricciones estratgicas Ministerio de Administraciones Pblicas pgina 42 (de 154)
Magerit versin 2 Restricciones geogrficas
Derivadas de la evolucin prevista de la estructura u objetivos de la Organizacin. Derivadas de la ubicacin fsica de la Organizacin o de su dependencia de medios fsicos de comunicaciones. Islas, emplazamientos fuera de las fronteras, etc. Restricciones temporales Que toman en consideracin situaciones coyunturales: conflictividad laboral, crisis internacional, cambio de la propiedad, reingeniera de procesos, etc. Restricciones estructurales Tomando en consideracin la organizacin interna: procedimientos de toma de decisiones, dependencia de casas matrices internacionales, etc. Restricciones funcionales Que tienen en cuenta los objetivos de la Organizacin. Restricciones legales Leyes, reglamentos, regulaciones sectoriales, contratos externos e internos, etc. Restricciones relacionadas con el personal Perfiles laborales, compromisos contractuales, compromisos sindicales, carreras profesionales, etc. Restricciones metodolgicas Derivadas de la naturaleza de la organizacin y sus hbitos o habilidades de trabajo que pueden imponer una cierta forma de hacer las cosas. Restricciones culturales La cultura o forma interna de trabajar puede ser incompatible con ciertas salvaguardas tericamente ideales. Restricciones presupuestarias La cantidad de dinero es importante; pero tambin la forma de planificar el gasto y de ejecutar el presupuesto
pgina 43 (de 154)
Magerit versin 2
P1: Planificacin A1.2: Determinacin del alcance del proyecto T1.2.2: Determinacin del dominio y lmites Objetivos
Determinar el dominio, alcance o permetro del proyecto AGR Resultados de la tarea T1.2.1, Objetivos y restricciones generales Perfil general de las unidades incluidas en el dominio del proyecto Relacin de unidades de la Organizacin que se vern afectadas como parte del dominio del proyecto Lista de roles relevantes en la unidades incluidas en el dominio Designacin del director del proyecto Diagramas de procesos (ver "Gua de Tcnicas" 3.3) Responsables de las unidades de la Organizacin El comit de seguimiento

Productos de salida

Participantes

Esta tarea identifica las unidades objeto del proyecto AGR y especifica las caractersticas generales de dichas unidades en cuanto a responsables, servicios proporcionados y ubicaciones geogrficas. Tambin identifica las principales relaciones de las unidades objeto del proyecto con otras entidades, por ejemplo el intercambio de informacin en diversos soportes, el acceso a medios informticos comunes, etc. La tarea presume un principio bsico: el anlisis y la gestin de riesgos debe centrarse en un dominio limitado, que puede incluir varias unidades o mantenerse dentro de una sola unidad (segn la complejidad y el tipo de problema a tratar), ya que un proyecto de mbito demasiado amplio o indeterminado podra ser inabarcable, por excesivamente generalista o por demasiado extendido en el tiempo, con perjuicio en las estimaciones de los elementos del anlisis.
pgina 44 (de 154)
Magerit versin 2
P1: Planificacin A1.2: Determinacin del alcance del proyecto T1.2.3: Identificacin del entorno Objetivos

Definir el permetro del dominio Definir las relaciones entre el interior del dominio y el entorno Resultados de la tarea T1.2.1, Objetivos y restricciones generales Resultados de la tarea T1.2.2, Determinacin del dominio y lmites Esquema de las relaciones de las unidades del dominio con el entorno Diagramas de flujo de datos Relacin de unidades de la Organizacin que se vern afectadas como permetro del dominio Lista de roles relevantes en otras unidades, a considerar para la caracterizacin del entorno Diagramas de flujo de datos (ver "Gua de Tcnicas" 3.2) Diagramas de procesos (ver "Gua de Tcnicas" 3.3) Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) Responsables de las unidades incluidas en el dominio El comit de seguimiento

Productos de salida


Participantes

Esta tarea realiza un estudio global de los sistemas de informacin de las unidades incluidas en el dominio del proyecto, con objeto de identificar sus funciones y finalidades principales y sus relaciones con el entorno, as como sus tendencias de evolucin. El perfil general de las unidades, producto obtenido en la tarea anterior, se amplia en sta con la informacin proporcionada por los responsables de las diversas reas de dichas unidades.
pgina 45 (de 154)
Magerit versin 2
P1: Planificacin A1.2: Determinacin del alcance del proyecto T1.2.4: Estimacin de dimensiones y coste Objetivos
Determinar el volumen de recursos necesarios para la ejecucin del proyecto AGR: humanos, temporales y financieros Resultados de la tarea T1.2.1, Objetivos y restricciones generales Resultados de la tarea T1.2.2, Determinacin del dominio y lmites Resultados de la tarea T1.2.3, Identificacin del entorno Dimensin del proyecto Costes y beneficios del proyecto Anlisis coste-beneficio (ver "Gua de Tcnicas" 3.1) Planificacin de proyectos (ver "Gua de Tcnicas" 3.5) El director de proyecto

Productos de salida


Participantes
La tarea posibilita el dimensionamiento (tamao, complejidad, zonas de incertidumbre) del proyecto a partir del conocimiento de los objetivos del proyecto, del dominio y del perfil de las unidades incluidas en el estudio. En funcin de la dimensin estimada y de los objetivos del proyecto se escogen algunas de las tcnicas a utilizar en el proyecto. Por ejemplo, si el proyecto tiene como objetivo la realizacin de un anlisis inicial genrico, la tcnica de clculo del riesgo se orienta a una discriminacin dicotmica (en dos bloques) de los riesgos, segn que exijan o no otras aplicaciones ms detalladas de anlisis. Por otra parte la tarea tambin dimensiona el proyecto en cuanto a su coste y los retornos o beneficios que puede aportar, para que la Direccin pueda tomar con fundamento la decisin de emprenderlo y asignar los recursos necesarios para su desarrollo.

El estudio del coste del proyecto se realiza estimando los tiempos y perfiles de personal asignado a las etapas del proyecto dimensionado anteriormente. El estudio de los retornos slo puede ser muy impreciso en este proceso inicial, pues no puede tener en cuenta an el verdadero retorno de un proyecto de seguridad, que es precisamente el coste de no tener dicha seguridad en el dominio estudiado o sea el resultado del propio proyecto AGR.
pgina 46 (de 154)
Magerit versin 2
3.3.3. Actividad A1.3: Planificacin del proyecto

En esta actividad se determinan los participantes en el proyecto, determinando sus cargas de trabajo, su estructuracin en grupos y su modo de actuacin. Esta actividad consta de tres tareas: T1.3.1: Evaluar cargas y planificar entrevistas T1.3.2: Organizar a los participantes T1.3.3: Planificar el trabajo P1: Planificacin A1.3: Planificacin del proyecto T1.3.1: Evaluar cargas y planificar entrevistas Objetivos

Definir los grupos de interlocutores: usuarios afectados en cada unidad Planificar las entrevistas de recogida de informacin Resultados de la actividad A1.2, Determinacin del alcance del proyecto Relacin de participantes en los grupos de interlocutores Plan de entrevistas Informe de cargas Planificacin de proyectos (ver "Gua de Tcnicas" 3.5) El director de proyecto El comit de seguimiento
Productos de salida

Participantes

El plan de entrevistas debe detallar a qu persona se va a entrevistar, cundo y con qu objetivo. Este plan permite determinar la carga que el proyecto va a suponer para las unidades afectadas, bien del dominio, bien del entorno. El plan de entrevistas es especialmente importante cuando los sujetos a entrevistar se hayan en diferentes localizaciones geogrficas y la entrevista requiere el desplazamiento de una o ambas partes. Tambin conviene ordenar las entrevistas de forma que primero se recaben las opiniones ms tcnicas y posteriormente las gerenciales, de forma que el entrevistador pueda evolucionar las preguntas tomando en consideracin hechos (experiencia histrica) antes que valoraciones y perspectivas de servicio a terceros.
pgina 47 (de 154)
Magerit versin 2 P1: Planificacin A1.3: Planificacin del proyecto T1.3.2: Organizar a los participantes Objetivos

Determinar los rganos participantes en la gestin, realizacin, seguimiento y mantenimiento del proyecto Definir las funciones y responsabilidades de los rganos participantes Establecer las reglas y los modos operativos Establecer la clasificacin de la informacin generada
Resultados de la actividad A1.2, Determinacin del alcance del proyecto Formalizacin del comit de direccin Formalizacin del comit de seguimiento Criterios y procedimientos de clasificacin y gestin de la informacin generada Designacin del enlace operacional Creacin del equipo de trabajo No aplica
Productos de salida

Tcnicas, prcticas y pautas Participantes

Comit de seguimiento Director del proyecto
Aunque todos los proyectos AGR involucran bsicamente a los mismos comits, en esta tarea se concreta la aproximacin genrica al caso particular, pudiendo atenerse al caso general, o particularizar. Es particularmente relevante determinar la clasificacin de los documentos que se produzcan a lo largo del proyecto. Si existe una norma de clasificacin, conviene atenerse a ella para aprovechar procedimientos ya establecidos de tratamiento de los documentos. Si no existiera, es necesario elaborar tanto los criterios de clasificacin como los procedimientos de tratamiento. La calificacin por defecto ser confidencial, siendo particularmente importante preservar la confidencialidad de los documentos de evaluacin de salvaguardas y de insuficiencias.
pgina 48 (de 154)
Magerit versin 2 P1: Planificacin A1.3: Planificacin del proyecto T1.3.3: Planificar el trabajo Objetivos

Elaborar el calendario concreto de realizacin de las distintas etapas, actividades y tareas del proyecto Establecer un calendario de seguimiento que defina las fechas tentativas de reuniones del comit de direccin, el plan de entregas de los productos del proyecto, las posibles modificaciones en los objetivos marcados, etc. Resultados de la actividad A1.2, Determinacin del alcance del proyecto Resultados de la tarea T1.3.1, Evaluar cargas y planificar entrevistas Resultados de la tarea T1.3.2, Organizar a los participantes Cronograma del proyecto Dedicaciones de los participantes Especificacin de los recursos materiales necesarios Descripcin de hitos Planificacin de proyectos (ver "Gua de Tcnicas" 3.5) El equipo de proyecto

Productos de salida

Participantes
pgina 49 (de 154)
Magerit versin 2
3.3.4. Actividad A1.4: Lanzamiento del proyecto

Esta actividad completa las tareas preparatorias del lanzamiento del proyecto: empezando por seleccionar y adaptar los cuestionarios que se utilizarn en la recogida de datos, as como especificar los criterios y las tcnicas concretas a emplear; y terminando por asignar los recursos necesarios para la realizacin del proyecto y por realizar la campaa informativa de sensibilizacin a los implicados. Esta actividad consta de cuatro tareas: T1.4.1: Adaptar los cuestionarios T1.4.2: Criterios de evaluacin T1.4.3: Recursos necesarios T1.4.4: Sensibilizacin P1: Planificacin A1.4: Lanzamiento del proyecto T1.4.1: Adaptar los cuestionarios Objetivos
Identificar la informacin relevante a obtener, agrupada de acuerdo a la estructura de unidades y roles de los participantes Resultados de la actividad A1.3, Planificacin del proyecto Cuestionarios adaptados Cuestionarios (ver "Catlogo de Elementos" en general y el apndice 2 en particular) El equipo de proyecto
Productos de salida
Participantes
La tarea adapta los cuestionarios a utilizar en la recogida de informacin en el proceso P1 en funcin de los objetivos del proyecto, del dominio y de los temas a profundizar con los usuarios. Los cuestionarios se adaptan con el objetivo de identificar correctamente los elementos de trabajo: activos, amenazas, vulnerabilidades, impactos, salvaguardas existentes, restricciones generales, etc. en previsin de las necesidades de las actividades A2.1 (caracterizacin de los activos), A2.2 (caracterizacin de las amenazas) y A2.3 (caracterizacin de las salvaguardas). La necesidad de una adaptacin siempre existe (debido al amplsimo espectro de los problemas de seguridad que puede y debe tratar Magerit). Pero el grado mayor o menor de adaptacin depende adems de las condiciones en que se realice la explotacin de dichos cuestionarios. No habr la misma profundidad de adaptacin para entrevistas guiadas por el especialista en seguridad, que para cuestionarios auto administrados por el responsable del dominio o por los usuarios de sus sistemas de informacin.
pgina 50 (de 154)
Magerit versin 2 P1: Planificacin A1.4: Lanzamiento del proyecto T1.4.2: Criterios de evaluacin Objetivos

Determinar el catlogo de tipos de activos Determinar las dimensiones de valoracin de activos Determinar los niveles de valoracin de activos, incluyendo una gua unificada de criterios para asignar un cierto nivel a un cierto activo Determinar los niveles de valoracin de las amenazas: frecuencia y degradacin Catlogo de elementos Resultados de la actividad A1.3, Planificacin del proyecto Catlogo de tipos de activos Relacin de dimensiones de seguridad Criterios de valoracin Ver "Catlogo de Elementos" captulos 2, 3 y 4 El equipo de proyecto

Productos de salida

Participantes
Esta tarea, preparatoria del proceso P2 (anlisis de riesgos), establece la seleccin de los criterios y tcnicas que se mantendrn a lo largo de todo el proceso. En efecto, la gestin de los riesgos del proceso P3 estar condicionada por el tipo de anlisis realizado en el proceso P2: si se han elegido un tipo de criterios y tcnicas para evaluar los riesgos, es recomendable aplicar las mismas tcnicas para evaluar la reduccin de riesgos al implantar las salvaguardas propuestas. La eleccin de estos criterios y tcnicas en funcin de:

los objetivos del proyecto (T1.2.1) el dominio del proyecto (T1.2.2)
Se recomienda atenerse a lo propuesto en el libro Catlogo de Elementos anejo a esta gua.
pgina 51 (de 154)
Magerit versin 2 P1: Planificacin A1.4: Lanzamiento del proyecto T1.4.3: Recursos necesarios Objetivos
Asignar los recursos necesarios (humanos, de organizacin, tcnicos, etc.) para la realizacin del proyecto AGR Resultados de la actividad A1.3, Planificacin del proyecto Comunicaciones al personal participante de su asignacin al proyecto Disponibilidad de los medios materiales necesarios Planificacin de proyectos (ver "Gua de Tcnicas" 3.5) El comit de seguimiento
Productos de salida

Participantes
pgina 52 (de 154)
Magerit versin 2 P1: Planificacin A1.4: Lanzamiento del proyecto T1.4.4: Sensibilizacin Objetivos

Informar a las unidades afectadas Crear un ambiente de conocimiento general de los objetivos, responsables y plazos Resultados de la actividad A1.3, Planificacin del proyecto Nota informativa de la direccin Material e informe de presentacin del proyecto Presentaciones (ver "Gua de Tcnicas" 3.6.3) El director del proyecto El comit de seguimiento El enlace operacional El equipo de proyecto
Productos de salida

Participantes

Esta tarea informa a las unidades afectadas del lanzamiento del proyecto AGR, por diversos medios, y como mnimo:

Una nota informativa de la Direccin, dirigida a las unidades implicadas y declarando su apoyo a la realizacin del proyecto. La presentacin del proyecto, sus objetivos y la metodologa a emplear, realizada en las unidades implicadas por parte del equipo de proyecto.
pgina 53 (de 154)
Magerit versin 2
3.3.5. Sntesis del proceso P1

3.3.5.1. Hitos de control
Hito de control H1.1: La Direccin proceder a la aprobacin o no de la realizacin del proyecto AGR, basndose en el estudio de oportunidad realizado por el promotor. Hito de control H1.2: El comit director del proyecto validar el informe de "Planificacin del Proyecto de Anlisis y Gestin de Riesgos" que contendr una sntesis de los productos obtenidos en las actividades realizadas en el proceso P1.
3.3.5.2. Resultados Documentacin intermedia

Resultados de las entrevistas. Documentacin de otras fuentes: estadsticas, observaciones de expertos y observaciones de los analistas. Documentacin auxiliar: planos, organigramas, requisitos, especificaciones, anlisis funcionales, cuadernos de carga, manuales de usuario, manuales de explotacin, diagramas de flujo de informacin y de procesos, modelos de datos, etc. Anlisis de los resultados, con la deteccin de las reas crticas claves. Informacin existente utilizable por el proyecto (por ejemplo inventario de activos) Resultados de posibles aplicaciones de mtodos de anlisis y gestin de riesgos realizadas anteriormente (por ejemplo catalogacin, agrupacin y valoracin de activos, amenazas, vulnerabilidades, impactos, riesgo, mecanismos de salvaguarda, etc.).
Documentacin final

Tipologa de activos Dimensiones de seguridad relevantes Criterios de evaluacin Informe de "Planificacin del Proyecto de Anlisis y Gestin de riesgos" que contendr una sntesis de los productos obtenidos en las actividades realizadas en el proceso P1.
3.3.6. Lista de control 34 del proceso P1

Organizacin del proyecto: Aprobacin de la Direccin (P1) Compromiso explcito de la Direccin (P1) Apoyo de la Direccin (P1) Comit de seguimiento (T1.3.2) Equipo de proyecto (T1.3.2) Director de proyecto (T1.2.2) Enlace operacional (T1.3.2)
34 Esta lista permite comprobar que se han alcanzado todos los objetivos, subobjetivos y productos de salida detallados en las diferentes tareas.
pgina 54 (de 154)
Magerit versin 2 Grupos de interlocutores (T1.3.1) Funciones y mtodo de trabajo (T1.3.2)
Criterios de clasificacin de la documentacin y procedimientos para tratarla (T1.3.2) Informe preliminar recomendando y justificando la oportunidad de lanzar un proyecto AGR (T1.1.1) Objetivos expresos y no ambiguos (T1.2.1) Estimacin de dimensiones y coste (T1.2.4) Plan de entrevistas: personas y fechas (T1.4.3) Plan de trabajo: hitos (T1.3.3) Asignacin de recursos (T1.4.3) Sensibilizacin de la Organizacin (T1.4.4) Plan de Proyecto de Anlisis y Gestin de Riesgos (P1) Limitaciones generales del proyecto (T1.2.1) Dominio del proyecto: unidades incluidas en el anlisis (T1.2.2) Entorno del proyecto: otras unidades relacionadas de alguna forma (T1.2.3) Cuestionarios adaptados (T1.4.1) Catlogo de tipos de activos (T1.4.2) Relacin de dimensiones de seguridad relevantes (T1.4.2) Criterios de evaluacin (T1.4.2)
Planificacin del proyecto:
Aspectos tcnicos:
pgina 55 (de 154)
Magerit versin 2
3.4. Proceso P2: Anlisis de riesgos

Este proceso es el ncleo central de Magerit y su correcta aplicacin condiciona la validez y utilidad de todo el proyecto. La identificacin y estimacin de los activos y de las posibles amenazas que les acechan representa una tarea compleja. Este proceso tiene los siguientes objetivos:

Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes. Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre aquellos activos. Levantar un conocimiento de la situacin actual de salvaguardas. Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial (sin salvaguardas), como el impacto residual (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin salvaguardas), como el riesgo residual (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Mostrar al comit director las reas del sistema con mayor impacto y/o riesgo.
El punto de partida de este proceso es la documentacin del anterior referente a los objetivos del proyecto, los planes de entrevistas, la evaluacin de cargas, la composicin y reglas de actuacin del equipo de participantes, el plan de trabajo y el informe de presentacin del proyecto. Este proceso se desarrolla por medio de las siguientes actividades y tareas:
Actividad 2.1: Caracterizacin de los activos

Esta actividad busca identificar los activos relevantes dentro del sistema a analizar, caracterizndolos por el tipo de activo, identificando las relaciones entre los diferentes activos, determinando en qu dimensiones de seguridad son importantes y valorando esta importancia. El resultado de esta actividad es el informe denominado modelo de valor. Tareas: Tarea T2.1.1: Identificacin de los activos Tarea T2.2.2: Dependencias entre activos Tarea T2.3.3: Valoracin de los activos
Actividad 2.2: Caracterizacin de las amenazas

Esta actividad busca identificar las amenazas relevantes sobre el sistema a analizar, caracterizndolas por la frecuencia estimada de ocurrencia y la estimacin de dao (degradacin) que causaran sobre los activos. El resultado de esta actividad es el informe denominado mapa de riesgos. Tareas: Tarea T2.2.1: Identificacin de las amenazas Tarea T2.2.2: Valoracin de las amenazas
Actividad 2.3: Caracterizacin de las salvaguardas

Esta actividad busca identificar las salvaguardas desplegadas en el sistema a analizar, calificndolas por su eficacia frente a las amenazas que pretenden mitigar. El resultado de esta actividad es el informe denominado evaluacin de salvaguardas. Tareas: Ministerio de Administraciones Pblicas pgina 56 (de 154)
Magerit versin 2 Tarea T2.3.1: Identificacin de las salvaguardas existentes Tarea T2.3.2: Valoracin de las salvaguardas existentes
Actividad 2.4: Estimacin del estado de riesgo

Esta actividad procesa todos los datos recopilados en las actividades anteriores para

realizar un informe del estado de riesgo: estimacin de impacto y riesgo realizar un informe de insuficiencias: deficiencias o debilidades en el sistema de salvaguardas
Tareas: Tarea T2.4.1: Estimacin del impacto Tarea T2.4.2: Estimacin del riesgo Tarea T2.4.3: Interpretacin de los resultados
pgina 57 (de 154)
Magerit versin 2
3.4.1. Actividad A2.1: Caracterizacin de los activos

Esta actividad consta de tres tareas: T2.1.1: Identificacin de los activos T2.1.2: Dependencias entre activos T2.1.3: Valoracin de los activos El objetivo de estas tareas es reconocer los activos que componen los procesos, y definir las dependencias entre ellos. As y a partir de la informacin recopilada en la actividad anterior, esta actividad profundiza el estudio de las activos con vistas a obtener la informacin necesaria para realizar las estimaciones de riesgo. Es frecuente que las tareas relacionadas con los activos se realicen concurrentemente con las tareas relacionadas con las amenazas sobre dichos activos (A2.2) e identificacin de las salvaguardas actuales (A2.3), simplemente porque suelen coincidir las personas y es difcil que el interlocutor no tienda de forma natural a tratar cada activo verticalmente, viendo todo lo que le afecta antes de pasar al siguiente.
pgina 58 (de 154)
Magerit versin 2 P2: Anlisis de riesgos A2.1: Caracterizacin de los activos T2.1.1: Identificacin de los activos Objetivos
Identificar los activos que componen el dominio, determinando sus caractersticas, atributos y clasificacin en los tipos determinados Inventarios de datos manejados por la Organizacin Procesos de negocio Diagramas de uso Diagramas de flujo de datos Inventarios de equipamiento lgico Inventarios de equipamiento fsico Caracterizacin funcional de los puestos de trabajo Locales y sedes de la Organizacin Relacin de activos a considerar Caracterizacin de los activos Diagramas de flujo de datos (ver "Gua de Tcnicas" 3.2) Diagramas de procesos (ver "Gua de Tcnicas" 3.3) Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) Ver tambin la seccin 2.1.1. El equipo de proyecto Los grupos de interlocutores

Productos de salida


Participantes

Esta tarea es crtica. Una buena identificacin es importante desde varios puntos de vista:

materializa con precisin el alcance del proyecto permite las interlocucin con los grupos de usuarios: todos hablan el mismo lenguaje permite determinar las dependencias precisas entre activos permite valorar los activos con precisin permite identificar y valorar las amenazas con precisin
Caracterizacin de los activos

Para cada activo hay que determinar una serie de caractersticas que lo definen:

cdigo, tpicamente procedente del inventario nombre (corto) descripcin (larga) tipo (o tipos) que caracterizan el activo pgina 59 (de 154)
Magerit versin 2

unidad responsable. A veces hay ms de una unidad. Por ejemplo, en el caso de aplicaciones cabe diferenciar entre la unidad que la mantiene y la que la explota. persona responsable. Especialmente relevante en el caso de datos. A veces hay ms de un responsable. Por ejemplo en caso de datos de carcter personal cabe diferenciar entre el responsable del dato y el operador u operadores que lo manejan. ubicacin, tcnica (en activos intangibles) o geogrfica (en activos materiales) cantidad, si procede como puede ser en el caso de la informtica personal (por ejemplo 350 equipos de sobremesa) otras caractersticas especficas del tipo de activo
pgina 60 (de 154)
Magerit versin 2 P2: Anlisis de riesgos A2.1: Caracterizacin de los activos T2.1.2: Dependencias entre activos Objetivos
Identificar y valorar las dependencias entre activos, es decir la medida en que un activo de orden superior se puede ver perjudicado por una amenaza materializada sobre un activo de orden inferior Resultados de la tarea T1.2.1, Identificacin Procesos de negocio Diagramas de flujo de datos Diagramas de uso Diagrama de dependencias entre activos Diagramas de flujo de datos (ver "Gua de Tcnicas" 3.2) Diagramas de procesos (ver "Gua de Tcnicas" 3.3) Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) Valoracin Delphi (ver "Gua de Tcnicas" 3.7) Ver tambin la seccin 2.1.1. El equipo de proyecto Los grupos de interlocutores

Productos de salida

Participantes

Para cada dependencia conviene registrar la siguiente informacin:

estimacin del grado de dependencia: hasta un 100% explicacin de la valoracin de la dependencia entrevistas realizadas de las que se ha deducido la anterior estimacin
pgina 61 (de 154)
Magerit versin 2 P2: Anlisis de riesgos A2.1: Caracterizacin de los activos T2.1.3: Valoracin de los activos Objetivos

Identificar en qu dimensin es valioso el activo Valorar el coste que para la Organizacin supondra la destruccin del activo Resultados de la tarea T1.4.2, Criterios de evaluacin Resultados de la tarea T2.1.1, Identificacin de los activos Resultados de la tarea T2.1.2, Dependencias entre activos Modelo de valor: informe de valor de los activos Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) Valoracin Delphi (ver "Gua de Tcnicas" 3.7) Ver tambin la seccin 2.1.1. El equipo de proyecto Los grupos de interlocutores El comit de seguimiento La direccin

Productos de salida

Participantes

Para la adquisicin de este conocimiento puede ser necesario entrevistar a diferentes colectivos dentro de la Organizacin:

direccin o gerencia, que conocen las consecuencias para la misin de la Organizacin responsables de los servicios, que conocen las consecuencias de la no prestacin del servicio o de su prestacin degradada responsables de los datos, que conocen las consecuencias de la degradacin de los datos responsables de sistemas de informacin y responsables de operacin, que conocen las consecuencias de un incidente dimensiones en las que el activo es relevante estimacin de la valoracin en cada dimensin explicacin de la valoracin entrevistas realizadas de las que se han deducido las anteriores estimaciones
Para cada valoracin conviene registrar la siguiente informacin:

pgina 62 (de 154)
Magerit versin 2
3.4.2. Actividad A2.2: Caracterizacin de las amenazas

Esta actividad suele discurrir de forma concurrente con las actividades A2.1 y A.2.3 dado que los responsables a entrevistar son los mismos. Esta actividad consta de dos tareas: T2.2.1: Identificacin de las amenazas T2.2.2: Valoracin de las amenazas P2: Anlisis de riesgos A2.2: Caracterizacin de las amenazas T2.2.1: Identificacin de las amenazas Objetivos
Identificar las amenazas relevantes sobre cada activo Resultados de la tarea T1.4.2, Criterios de evaluacin Resultados de la actividad A2.1, Caracterizacin de los activos Relacin de amenazas posibles Catlogos de amenazas (ver "Catlogo de Elementos", captulo 5) rboles de ataque (ver "Gua de Tcnicas" 2.3) Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) Valoracin Delphi (ver "Gua de Tcnicas" 3.7) Ver tambin la seccin 2.1.2. El equipo de proyecto los grupos de interlocutores

Productos de salida

Participantes

En esta tarea se identifican las amenazas significativas sobre los activos identificados, tomando en consideracin:

el tipo de activo las dimensiones en que el activo es valioso la experiencia de la Organizacin explicacin del efecto de la amenaza entrevistas realizadas de las que se ha deducido la anterior estimacin antecedentes, si los hubiera, bien en la propia Organizacin, bien en otras organizaciones que se haya considerado relevantes
Para cada amenaza sobre cada activo conviene registrar la siguiente informacin:

pgina 63 (de 154)
Magerit versin 2 P2: Anlisis de riesgos A2.2: Caracterizacin de las amenazas T2.2.2: Valoracin de las amenazas Objetivos

Estimar la frecuencia de ocurrencia de cada amenaza sobre cada activo Estimar la degradacin que causara la amenaza en cada dimensin del activo si llegara a materializarse Resultados de la tarea T1.4.2, Criterios de evaluacin Resultados de la tarea T2.2.1, Identificacin de las amenazas Series histricas de incidentes Antecedentes: incidentes en la Organizacin Mapa de riesgos: informe de amenazas posibles, caracterizadas por su frecuencia de ocurrencia y la degradacin que causaran en los activos rboles de ataque (ver "Gua de Tcnicas" 2.3) Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) Valoracin Delphi (ver "Gua de Tcnicas" 3.7) Ver tambin la seccin 2.1.2. El equipo de proyecto Los grupos de interlocutores

Productos de salida

Participantes

En esta tarea se valoran las amenazas identificadas en la tarea anterior, tomando en consideracin:

la experiencia (historia) universal la experiencia (historia) del sector de actividad la experiencia (historia) del entorno en que se ubican los sistemas la experiencia (historia) de la propia Organizacin
Sabiendo que existen una serie de posibles agravantes, como se describe en la seccin X. Para cada amenaza sobre cada activo conviene registrar la siguiente informacin:

estimacin de la frecuencia de la amenaza estimacin del dao (degradacin) que causara su materializacin explicacin de las estimaciones de frecuencia y degradacin entrevistas realizadas de las que se han deducido las anteriores estimaciones
pgina 64 (de 154)
Magerit versin 2
3.4.3. Actividad A2.3: Caracterizacin de las salvaguardas

Esta actividad suele discurrir de forma concurrente con las actividades A2.1 y A2.2 dado que los responsables a entrevistar son los mismos. Esta actividad consta de dos tareas: T2.3.1: Identificacin de las salvaguardas existentes T2.3.2: Valoracin de las salvaguardas existentes P2: Anlisis de riesgos A2.3: Caracterizacin de las salvaguardas T2.3.1: Identificacin de las salvaguardas existentes Objetivos
Identificar las salvaguardas, de cualquier tipo, que se han previsto y desplegado a fecha de realizacin del estudio Inventario de procedimientos operativos Inventario de productos y/o desarrollos hardware o software de soporte a la seguridad de los sistemas Plan de formacin Definicin de los puestos laborales Contratos Acuerdos de externalizacin de servicios Relacin de salvaguardas desplegadas Catlogos de salvaguardas (ver "Catlogo de Elementos" captulo 6) rboles de ataque (ver "Gua de Tcnicas" 2.3) Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) Ver tambin la seccin 2.1.5. El equipo de proyecto Los grupos de interlocutores

Productos de salida

Participantes

Para cada salvaguarda conviene registrar la siguiente informacin:

descripcin de la salvaguarda y su estado de implantacin descripcin de las amenazas a las que pretende hacer frente entrevistas realizadas de las que se ha deducido la anterior informacin
pgina 65 (de 154)
Magerit versin 2 P2: Anlisis de riesgos A2.3: Caracterizacin de las salvaguardas T2.3.2: Valoracin de las salvaguardas existentes Objetivos
Determinar la eficacia de las salvaguardas desplegadas Inventario de salvaguardas (Catlogo de Elementos) Evaluacin de salvaguardas: informe de salvaguardas desplegadas, caracterizadas por su grado de efectividad Entrevistas (ver "Gua de Tcnicas" 3.6.1) Reuniones (ver "Gua de Tcnicas" 3.6.2) Valoracin Delphi (ver "Gua de Tcnicas" 3.7) Ver tambin la seccin 2.1.5. El equipo de proyecto Los grupos de interlocutores Especialistas en salvaguardas concretas
Productos de salida

Participantes

En esta tarea se valora la efectividad de las salvaguardas identificadas en la tarea anterior, tomando en consideracin:

la idoneidad de la salvaguarda para el fin perseguido la calidad de la implantacin la formacin de los responsables de su configuracin y operacin la formacin de los usuarios, si tienen un papel activo la existencia de controles de medida de su efectividad la existencia de procedimientos de revisin regular estimacin de su eficacia para afrontar aquellas amenazas explicacin de la estimacin de eficacia entrevistas realizadas de las que se ha deducido la anterior estimacin
Para cada salvaguarda conviene registrar la siguiente informacin:

pgina 66 (de 154)
Magerit versin 2
3.4.4. Actividad A2.4: Estimacin del estado de riesgo

En esta actividad se combinan los descubrimientos de las actividades anteriores (A2.1, A2.2 y A2.3) para derivar estimaciones del estado de riesgo de la Organizacin. Esta actividad consta de tres tareas: T2.4.1: Estimacin del impacto T2.4.2: Estimacin del riesgo T2.4.3: Interpretacin de los resultados P2: Anlisis de riesgos A2.4: Estimacin del estado de riesgo T2.4.1: Estimacin del impacto Objetivos

Determinar el impacto potencial al que est sometido el sistema Determinar el impacto residual al que est sometido el sistema Resultados de la actividad A2.1, Caracterizacin de los activos Resultados de la actividad A2.2, Caracterizacin de las amenazas Resultados de la actividad A2.3, Caracterizacin de las salvaguardas Informe de impacto (potencial) por activo Informe de impacto residual por activo Anlisis mediante tablas (ver "Gua de Tcnicas" 2.1) Anlisis algortmico (ver "Gua de Tcnicas" 2.2) Ver tambin la seccin 2.1.3 y 2.1.6. El equipo de proyecto

Productos de salida


Participantes
En esta tarea se estima el impacto al que estn expuestos los activos del sistema:

el impacto potencial, al que est expuesto el sistema teniendo en cuenta el valor de los activos y la valoracin de las amenazas; pero no las salvaguardas actualmente desplegadas el impacto residual, al que est expuesto el sistema teniendo en cuenta el valor de los activos y la valoracin de las amenazas, as como la eficacia de las salvaguardas actualmente desplegadas
pgina 67 (de 154)
Magerit versin 2 P2: Anlisis de riesgos A2.4: Estimacin del estado de riesgo T2.4.2: Estimacin del riesgo Objetivos

Determinar el riesgo potencial al que est sometido el sistema Determinar el riesgo residual al que est sometido el sistema Resultados de la actividad A2.1, Caracterizacin de los activos Resultados de la actividad A2.2, Caracterizacin de las amenazas Resultados de la actividad A2.3, Caracterizacin de las salvaguardas Informe de riesgo (potencial) por activo Informe de riesgo residual por activo Anlisis mediante tablas (ver "Gua de Tcnicas" 2.1) Anlisis algortmico (ver "Gua de Tcnicas" 2.2) Ver tambin la seccin 2.1.4 y 2.1.7. El equipo de proyecto

Productos de salida


Participantes
En esta tarea se estima el riesgo al que estn sometidos los activos del sistema:

el riesgo potencial, al que est sometido el sistema teniendo en cuenta el valor de los activos y la valoracin de las amenazas; pero no las salvaguardas actualmente desplegadas el riesgo residual, al que est sometido el sistema teniendo en cuenta el valor de los activos y la valoracin de las amenazas, as como la eficacia de las salvaguardas actualmente desplegadas
pgina 68 (de 154)
Magerit versin 2 P2: Anlisis de riesgos A2.4: Estimacin del estado de riesgo T2.4.3: Interpretacin de los resultados Objetivos

Interpretar los resultados anteriores de impacto y riesgo Establecer relaciones de prioridad por activos o grupos de activos, bien por orden de impacto o por orden de riesgo Resultados de la actividad A2.1, Caracterizacin de los activos Resultados de la actividad A2.2, Caracterizacin de las amenazas Resultados de la actividad A2.3, Caracterizacin de las salvaguardas Resultados de la tarea T2.4.1, Estimacin del impacto Resultados de la tarea T2.4.2, Estimacin del riesgo Informe priorizado de activos sometidos a mayor impacto Informe priorizado de activos sometidos a mayor riesgo Estado de riesgo: informe resumen del impacto y riesgo potencial y residual a que est sometido cada activo del dominio Informe de insuficiencias: informe que destaca las incoherencias entre las salvaguardas que se necesitan y las que existen y las divergencias entre la magnitud del riesgo y la eficacia actual de las salvaguardas Tcnicas grficas (ver "Gua de Tcnicas" 3.4) Reuniones (ver "Gua de Tcnicas" 3.6.2) Presentaciones (ver "Gua de Tcnicas" 3.6.3) Ver tambin la seccin 2.2.1. El equipo de proyecto El comit de seguimiento

Productos de salida


Participantes

pgina 69 (de 154)
Magerit versin 2

Hito de control H2.1: Aceptacin del informe Modelo de Valor. Hito de control H2.2: Aceptacin del informe Mapa de Riesgos. Hito de control H2.3: Aceptacin del informe Evaluacin de Salvaguardas. Hito de control H2.4: Aceptacin del informe Estado de Riesgo. Hito de control H2.5: Aceptacin del informe Informe de Insuficiencias.

Resultados de las entrevistas. Documentacin de otras fuentes: estadsticas, observaciones de expertos y observaciones de los analistas. Informacin existente utilizable por el proyecto (por ejemplo inventario de activos) Documentacin auxiliar: planos, organigramas, requisitos, especificaciones, anlisis funcionales, cuadernos de carga, manuales de usuario, manuales de explotacin, diagramas de flujo de informacin y de procesos, modelos de datos, etc.
Documentacin final
Modelo de valor Informe que detalla los activos, sus dependencias, las dimensiones en las que son valiosos y la estimacin de su valor en cada dimensin.
Mapa de riesgos: Informe que detalla las amenazas significativas sobre cada activo, caracterizndolas por su frecuencia de ocurrencia y por la degradacin que causara su materializacin sobre el activo.
Evaluacin de salvaguardas: Informe que detalla las salvaguardas existentes calificndolas en su eficacia para reducir el riesgo que afrontan.
Estado de riesgo: Informe que detalla para cada activo el impacto y el riesgo residuales frente a cada amenaza.
Informe de insuficiencias: Informe que detalla las salvaguardas necesarias pero ausentes o insuficientemente eficaces.
Esta documentacin es un fiel reflejo del estado de riesgo y de las razones por la que este riesgo no es despreciable. Es fundamental entender las razones que llevan a una valoracin determina Ministerio de Administraciones Pblicas pgina 70 (de 154)
Magerit versin 2
da de riesgo como paso previo al proceso siguiente, P3, que buscar atajar el riesgo o reducirlo a niveles aceptables.
3.4.6. Lista de control del proceso P2

Identificacin de activos (T2.1.1) Caracterizacin de los activos (T2.1.1) Dependencias entre activos (T2.1.2) Dimensiones relevantes de seguridad por activo (T2.1.3) Valoracin de los activos (T2.1.3) Modelo de valor (A2.1) Identificacin de las amenazas relevantes (T2.2.1) Estimacin de la frecuencia de ocurrencia (T2.2.2) Estimacin del dao (degradacin) derivado de la materializacin de una amenaza (T2.2.2) Mapa de riesgos (A2.2) Identificacin de las salvaguardas existentes (T2.3.1) Estimacin de la eficacia de las salvaguardas existentes (T2.3.2) Evaluacin de salvaguardas (A2.3) Estimacin del impacto e impacto residual (T2.4.1) Estimacin del riesgo y riesgo residual (T2.4.2) Estado de riesgo (P2) Informe de insuficiencias (P2)
pgina 71 (de 154)
Magerit versin 2
3.5. Proceso P3: Gestin de riesgos

Se procesan los impactos y riesgos identificados en el proceso anterior, bien asumindolos, bien afrontndolos. Para afrontar los riesgos que se consideren inaceptables se llevar a cabo un plan de seguridad que corrija la situacin actual. Un plan de seguridad se materializa en una coleccin de programas de seguridad. Algunos programas sern sencillos, mientras que otros alcanzarn suficiente nivel de complejidad y coste como para que su ejecucin se convierta en un proyecto propiamente dicho. La serie de programas (y, en su caso, proyectos) se planifica en el tiempo por medio del denominado Plan de Seguridad que ordena y organiza las actuaciones encaminadas a llevar el estado de riesgo a un punto aceptable y aceptado por la Direccin. Este proceso se desarrolla por medio de las siguientes actividades y tareas:
Actividad A3.1: Toma de decisiones

En esta actividad se traducen las conclusiones tcnicas del proceso P2 en decisiones de actuacin. Tareas: Tarea T3.1.1: Calificacin de los riesgos
Actividad A3.2: Plan de seguridad

En esta actividad se traducen las decisiones de actuacin en acciones concretas: proyectos de mejora de la seguridad planificados en el tiempo. Tareas: Tarea T3.2.1: Programas de seguridad Tarea T3.2.2: Plan de ejecucin
Actividad A3.3: Ejecucin del plan

Esta actividad recoge la serie de proyectos que materializan el plan de seguridad y que se van realizando segn dicho plan. Tareas: Tarea T3.3.*: Ejecucin de cada programa de seguridad
pgina 72 (de 154)
Magerit versin 2
3.5.1. Actividad A3.1: Toma de decisiones

Esta actividad consta de una sola tarea: T3.1.1: Calificacin de los riesgos P3: Gestin de riesgos A3.1: Toma de decisiones T3.1.1: Calificacin de los riesgos Objetivos
Calificar los riesgos en una escala: crtico, grave, apreciable o asumible Resultados del proceso P2, Anlisis de riesgos Legislacin aplicable, leyes y jurisprudencia Reglamentacin sectorial Acuerdos y contratos Informes medio ambientales Estudios de mercado Informe de calificacin de impactos y riesgos, incluyendo directrices acerca del plazo de tiempo en que deben estar resueltos Reuniones (ver "Gua de Tcnicas" 3.6.2) Valoracin Delphi (ver "Gua de Tcnicas" 3.7) Ver tambin la seccin 2.2.1. El equipo de proyecto El comit de seguimiento El comit de direccin

Productos de salida

Participantes

A la vista de los impactos y riesgos a que est expuesto el sistema, hay que tomar una serie de decisiones de tipo gerencial, no tcnico, condicionadas por diversos factores:

la gravedad del impacto y/o del riesgo las obligaciones a las que por ley est sometida la Organizacin las obligaciones a las que por reglamentos sectoriales est sometida la Organizacin las obligaciones a las que por contrato est sometida la Organizacin
Dentro del margen de maniobra que permita este marco, pueden aparecer consideraciones adicionales sobre la capacidad de la Organizacin para aceptar ciertos impactos de naturaleza intangible 35 tales como:
imagen pblica de cara a la Sociedad
35 La metodologa de anlisis y gestin de riesgos, al centrarse en la evaluacin de daos, no captura plenamente los beneficios de la ausencia de daos que, generando un ambiente de confianza, permite un mejor desempeo de las funciones de la Organizacin en su entorno de operacin.
pgina 73 (de 154)
Magerit versin 2
poltica interna: relaciones con los propios empleados, tales como capacidad de contratar al personal idneo, capacidad de retener a los mejores, capacidad de soportar rotaciones de personas, capacidad de ofrecer una carrera profesional atractiva, etc. relaciones con los proveedores, tales como capacidad de llegar a acuerdos ventajosos a corto, medio o largo plazo, capacidad de obtener trato prioritario, etc. relaciones con los clientes o usuarios, tales como capacidad de retencin, capacidad de incrementar la oferta, capacidad de diferenciarse frente a la competencia, ... relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos estratgicos, alianzas, etc. nuevas oportunidades de negocio, tales como formas de recuperar la inversin en seguridad acceso a sellos o calificaciones reconocidas de seguridad
Todas las consideraciones anteriores desembocan en una calificacin de cada riesgo significativo, determinndose si ... 1. es crtico en el sentido de que requiere atencin urgente 2. es grave en el sentido de que requiere atencin 3. es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento 4. es asumible en el sentido de que no se van a tomar acciones para atajarlo La opcin 4, aceptacin del riesgo, siempre es arriesgada y hay que tomarla con prudencia y justificacin. Las razones que pueden llevar a esta aceptacin son:

cuando el impacto residual es despreciable cuando el riesgo residual es despreciable cuando el coste de las salvaguardas oportunas es desproporcionado en comparacin al impacto y riesgo residuales
Todas las decisiones son propuestas por el comit de seguimiento, oda la opinin del director del proyecto. Todas las decisiones son adoptadas por el comit de direccin. Esta calificacin tendr consecuencias en las tareas subsiguientes, siendo un factor bsico para establecer la prioridad relativa de las diferentes actuaciones.
pgina 74 (de 154)
Magerit versin 2
3.5.2. Actividad A3.2: Elaboracin del plan seguridad de la informacin

Se traducen las decisiones de actuacin en acciones concretas. Esta actividad consta de dos tareas: T3.2.1: Programas de seguridad T3.2.2: Plan de ejecucin P3: Gestin de riesgos A3.2: Elaboracin del plan de seguridad de la informacin T3.2.1: Programas de seguridad Objetivos
Elaborar un conjunto de programas de seguridad Resultados de la tarea T3.1.1, Calificacin de los riesgos Conocimientos de tcnicas y productos de seguridad Catlogos de productos y servicios de seguridad Relacin de programas de seguridad Anlisis de riesgos (ver proceso P2) Anlisis coste-beneficio (ver "Gua de Tcnicas" 3.1) Planificacin de proyectos (ver "Gua de Tcnicas" 3.5) Ver tambin la seccin 2.2.2 y 2.2.3. El equipo de proyecto Especialistas en seguridad Especialistas en reas especficas de seguridad

Productos de salida

Participantes

Bsicamente, se llevan a cabo dos pasos: 1. Se tomarn en consideracin todos los escenarios de impacto y riesgo que se consideren crticos o graves como resultado de la tarea anterior. 2. Se elaborar un conjunto de programas de seguridad que den respuesta a todos y cada uno de los escenarios anteriores, sabiendo que un mismo programa puede afrontar diferentes escenarios y que un escenario puede ser abordado por diferentes programas. En ltima instancia se trata de implantar o mejorar la implantacin de una serie de salvaguardas que lleven impacto y riesgo a niveles residuales asumidos por la Direccin. Este tratamiento de las salvaguardas se materializa en una serie de tareas a llevar a cabo. Un programa de seguridad es una agrupacin de tareas. La agrupacin se realiza por conveniencia, bien porque se trata de tareas que en singular careceran de eficacia, bien porque se trata de tareas con un objetivo comn, bien porque se trata de tareas que competen a una nica unidad de accin. Cada programa de seguridad debe detallar:
Su objetivo genrico. pgina 75 (de 154)
Magerit versin 2

Las salvaguardas concretas a implantar o mejorar, detallando sus objetivos de calidad, eficacia y eficiencia La relacin de escenarios de impacto y/o riesgo que afronta: activos afectados, tipos de activos, amenazas afrontadas, valoracin de activos y amenazas y niveles de impacto y riesgo La unidad responsable de su ejecucin. Una estimacin de costes, tanto econmicos como de esfuerzo de realizacin, teniendo en cuenta:

costes de adquisicin (de productos), o de contratacin (de servicios), o de desarrollo (de soluciones llave en mano), pudiendo ser necesario evaluar diferentes alternativas costes de implantacin inicial y mantenimiento en el tiempo costes de formacin, tanto de los operadores como de los usuarios, segn convenga al caso costes de explotacin impacto en la productividad de la Organizacin cambios en la normativa y desarrollo de procedimientos solucin tcnica: programas, equipos, comunicaciones e instalaciones, plan de despliegue plan de formacin
Una relacin de subtareas a afrontar, teniendo en cuenta

Una estimacin del tiempo de ejecucin desde su arranque hasta su puesta en operacin. Una estimacin del estado de riesgo (impacto y riesgo residual a su complecin). Un sistema de indicadores de eficacia y eficiencia que permitan conocer en cada momento la calidad del desempeo de la funcin de seguridad que se desea y su evolucin temporal.
Las estimaciones anteriores pueden ser muy precisas en los programas sencillos; pero pueden ser simplemente orientativas en los programas complejos que conlleven la realizacin de un proyecto especfico de seguridad. En este ltimo caso, cada proyecto desarrollar los detalles ltimos por medio de una serie de tareas propias de cada proyecto que, en lneas generales respondern a los siguientes puntos:

Estudio de la oferta del mercado: productos y servicios. Coste de un desarrollo especfico, propio o subcontratado. Si se estima adecuado un desarrollo especfico hay que determinar:

la especificacin funcional y no-funcional del desarrollo el mtodo de desarrollo que garantice la seguridad del nuevo componente los mecanismos de medida (controles) que debe llevar empotrados los criterios de aceptacin el plan de mantenimiento: incidencias y evolucin
pgina 76 (de 154)
Magerit versin 2 P3: Gestin de riesgos A3.2: Elaboracin del plan de seguridad de la informacin T3.2.2: Plan de ejecucin Objetivos
Ordenar temporalmente los programas de seguridad Resultados de la tarea T3.1.1, Calificacin de los riesgos Resultados de la tarea T3.2.1, Programas de seguridad Cronograma de ejecucin del plan Plan de Seguridad Anlisis de riesgos (ver proceso P2) Planificacin de proyectos (ver "Gua de Tcnicas" 3.5) Departamento de desarrollo Departamento de compras

Productos de salida


Participantes

Hay que ordenar en el tiempo los programas de seguridad teniendo en cuenta los siguientes factores:

la criticidad, gravedad o conveniencia de los impactos y/o riesgos que se afrontan, teniendo mxima prioridad los programas que afronten situaciones crticas el coste del programa la disponibilidad del personal propio para responsabilizarse de la direccin (y, en su caso, ejecucin) de las tareas programadas otros factores como puede ser la elaboracin del presupuesto anual de la Organizacin, las relaciones con otras organizaciones, la evolucin del marco legal, reglamentario o contractual, etc.
Tpicamente un plan de seguridad se planifica en tres niveles de detalle: Plan director (uno). A menudo denominado plan de actuacin, trabaja sobre un periodo largo (tpicamente entre 3 y 5 aos), estableciendo las directrices de actuacin. Plan anual (una serie de planes anuales). Trabaja sobre un periodo corto (tpicamente entre 1 y 2 aos), estableciendo la planificacin de los programas de seguridad. Plan de proyecto (un conjunto de proyectos con su planificacin). Trabaja en el corto plazo (tpicamente menos de 1 ao), estableciendo el plan detallado de ejecucin de cada programa de seguridad. Se debe desarrollar un (1) plan director nico, que es el que da perspectiva y unidad de objetivos a las actuaciones puntuales. Este plan director permite ir desarrollando planes anuales que, dentro del marco estratgico, van estructurando la asignacin de recursos para la ejecucin de las tareas, en particular partidas presupuestarias. Y, por ltimo, habr una serie de proyectos que materializan los programas de seguridad.
pgina 77 (de 154)
Magerit versin 2
3.5.3. Actividad A3.3: Ejecucin del plan

Esta actividad consta de un nmero de tareas que depende del plan de seguridad determinado en la actividad A3.2, pues se trata de ir ejecutando los programas all planificados. Esta actividad consta de N tareas, tantas como se haya previsto en el plan de seguridad: T3.3.*: Ejecucin de cada programa de seguridad 36 P3: Gestin de riesgos A3.3: Ejecucin del plan T3.3.*: Ejecucin de cada programa de seguridad Objetivos
Alcanzar los objetivos previstos en el plan de seguridad para cada programa planificado Resultados de la actividad A3.2, Plan de seguridad Programa de seguridad que nos ocupa Anlisis de riesgos antes de la ejecucin del plan Salvaguarda implantada Normas de uso y operacin Sistema de indicadores de eficacia y eficiencia del desempeo de los objetivos de seguridad perseguidos Modelo de valor actualizado Mapa de riesgos actualizado Estado de riesgo actualizado (impacto y riesgo residuales). Anlisis de riesgos (ver proceso P2) Planificacin de proyectos (ver "Gua de Tcnicas" 3.5) El equipo de proyecto: evolucin del anlisis de riesgos Personal especializado en la salvaguarda en cuestin

Productos de salida


Participantes

36 Esta actividad consta de un nmero indeterminado de tareas a determinar en cada proyecto. De ah el uno de la notacin con *.
pgina 78 (de 154)
Magerit versin 2

Hito de control H3.1: La Direccin proceder a la aprobacin o no del Plan de Seguridad, incluyendo la relacin de programas de seguridad y el cronograma propuesto para su ejecucin. Hito de control H3.*: Complecin de cada programa de seguridad, satisfaciendo los criterios de aceptacin impuestos en el Plan de Seguridad.
Decisiones de calificacin de los escenarios de impacto y riesgo
Documentacin final
Plan de Seguridad
3.5.5. Lista de control del proceso P3

Calificacin de los riesgos (T3.1.1) Identificacin de los programas de seguridad necesarios (T3.2.1) Programas de seguridad objetivos estimacin de esfuerzo estimacin de coste plan de aceptacin plan de operacin plan de mantenimiento plan de formacin sistema de controles de eficacia sistema de controles de eficiencia estimacin de impacto y riesgo residuales Calendario de ejecucin (T3.2.2) Plan de seguridad estratgico: largo plazo (A3.2) Plan de seguridad tctico: medio plazo (A3.2) Planes operativos: proyectos singulares (A3.2)
pgina 79 (de 154)
Magerit versin 2
Desarrollo de sistemas de informacin
4. Desarrollo de sistemas de informacin

Las aplicaciones (software) constituyen un tipo de activos frecuente y nuclear para el tratamiento de la informacin en general y para la prestacin de servicios basados en aquella informacin. La presencia de aplicaciones en un sistema de informacin es siempre una fuente de riesgo en el sentido de que constituyen un punto donde se pueden materializar amenazas. A veces, adems, las aplicaciones son parte de la solucin en el sentido de que constituyen una salvaguarda frente a riesgos potenciales. En cualquier caso es necesario que el riesgo derivado de la presencia de aplicaciones est bajo control. El anlisis de los riesgos constituye una pieza fundamental en el diseo y desarrollo de sistemas de informacin seguros. Es posible, e imperativo, incorporar durante la fase de desarrollo las funciones y mecanismos que refuerzan la seguridad del nuevo sistema y del propio proceso de desarrollo, asegurando su consistencia y seguridad, completando el plan de seguridad vigente en la Organizacin. Es un hecho reconocido que tomar en consideracin la seguridad del sistema antes y durante su desarrollo es ms efectivo y econmico que tomarla en consideracin a posteriori. La seguridad debe estar embebida en el sistema desde su primera concepcin. Se pueden identificar dos tipos de actividades diferenciadas:

SSI: actividades relacionadas con la propia seguridad del sistema de informacin. SPD: actividades que velan por la seguridad del proceso de desarrollo del sistema de informacin.
Tras una primera exposicin sobre el desarrollo de aplicaciones en general, la seccin 4.5 profundiza en su aplicacin a Mtrica versin 3. Mtrica ha sido desarrollada por el CSAE como la Metodologa de Planificacin, Desarrollo y Mantenimiento de sistemas de informacin.
4.1. Inicializacin de los procesos

Hay varias razones que pueden llevar a plantear el desarrollo de una nueva aplicacin o la modificacin de una existente: Nuevos servicios y/o datos.

Requiere el desarrollo de nuevas aplicaciones o la modificacin de aplicaciones operativas. Puede implicar la desaparicin de aplicaciones operativas. La iniciativa la lleva el responsable de desarrollo, actuando el responsable de seguridad como subsidiario.
Evolucin tecnolgica. Las tecnologas TIC se encuentran en evolucin continua, pudiendo presentarse cambios en las tcnicas de desarrollo de sistemas, en los lenguajes o las plataformas de desarrollo, en las plataformas de explotacin, en los servicios de explotacin, en los servicios de comunicaciones, etc.

Requiere el desarrollo de nuevas aplicaciones o la modificacin de aplicaciones operativas. Puede implicar la desaparicin de aplicaciones operativas. La iniciativa la lleva el responsable de desarrollo, actuando el responsable de seguridad como subsidiario. Tpicamente requiere la modificacin de aplicaciones operativas. Raramente implica el desarrollo de nuevas aplicaciones o la desaparicin de aplicaciones operativas. La iniciativa la lleva el responsable de seguridad, actuando el responsable de sistemas como subsidiario.
Modificacin de la calificacin de seguridad de servicios o datos.

Consideracin de nuevas amenazas. La evolucin de las tecnologas y los servicios de comunicaciones pueden habilitar nuevas amenazas o convertir amenazas que eran despreciables en el pasado en amenazas relevantes en el futuro. Ministerio de Administraciones Pblicas pgina 80 (de 154)
Magerit versin 2
Tpicamente requiere la modificacin de aplicaciones operativas, bien en su codificacin o, ms frecuentemente, en sus condiciones de explotacin. Raramente implica el desarrollo de nuevas aplicaciones o la desaparicin de aplicaciones operativas. La iniciativa la lleva el responsable de seguridad, actuando el responsable de sistemas como subsidiario.
Modificacin de los criterios de calificacin de riesgos. Puede venir inducido por criterios de calidad operativa, por novedades en la legislacin aplicable, en la reglamentacin sectorial o por acuerdos o contratos con terceros.

Tpicamente requiere la modificacin de aplicaciones operativas. Raramente implica el desarrollo de nuevas aplicaciones o la desaparicin de aplicaciones operativas. La iniciativa la lleva el responsable de seguridad, actuando el responsable de sistemas como subsidiario.
4.2. Ciclo de vida de las aplicaciones

Tpicamente, una aplicacin sigue un ciclo de vida a travs de varias fases:
especificacin
adquisicin (estndar)
desarrollo subcontratado
desarrollo propio
aceptacin
despliegue
operacin
mantenimiento
Especificacin. En esta fase se determinan los requisitos que debe satisfacer la aplicacin y se elabora un plan para las siguientes fases. Adquisicin o desarrollo. Para traducir una especificacin en una realidad, se puede adquirir un producto, o se puede desarrollar, bien en casa, bien por subcontratacin externa. Aceptacin. Tanto si es una aplicacin nueva como si es modificacin de una aplicacin anterior, nunca una aplicacin debe entrar en operacin sin haber sido formalmente aceptada. Despliegue. Consistente en instalar el cdigo en el sistema y configurarlo para que entre en operacin. Operacin. La aplicacin se usa por parte de los usuarios, siendo atendidos los incidentes por parte de usuarios y/o los operadores. Mantenimiento. Bien porque aparecen nuevos requisitos, bien porque se ha detectado un fallo, la aplicacin puede requerir un mantenimiento que obligue a regresar a cualquiera de las etapas anteriores, en ltima instancia a la especificacin bsica.
4.2.1. Plan de sistemas

Las aplicaciones informticas son un componente de los sistemas de informacin. Es en el marco de un sistema de informacin donde las diferentes aplicaciones se empotran para hacerse cargo Ministerio de Administraciones Pblicas pgina 81 (de 154)
Magerit versin 2
de una fraccin de los servicios requeridos. Un plan de sistemas determina el marco de desarrollo y explotacin de las aplicaciones informticas, concretamente: Los servicios requeridos, tanto para los usuarios internos, como los servicios de soporte a usuarios o aplicaciones internas. Los datos funcionales que se utilizan. Las aplicaciones que gestionan dichos datos. El equipamiento: ordenadores y servicios de comunicaciones. Desde el punto de vista de seguridad, un plan de sistemas permite

identificar y valorar los servicios esenciales identificar, clasificar y valorar los datos esenciales determinar la poltica de seguridad de la Organizacin; es decir:

el contexto legal en el que opera la Organizacin los criterios de excelencia en la prestacin de los servicios los roles del personal relacionado con los sistemas de informacin
El plan de sistemas permite establecer el modelo de valor; es decir, los grandes epgrafes (activos) y las primeras valoraciones de lo que acabar siendo un anlisis de riesgos detallado.
4.3. Anlisis de riesgos

Como parte de un sistema de informacin, los riesgos asociados a una aplicacin deben ser conocidos y estar gestionados. Tanto si son riesgos soportados por la aplicacin, o son riesgos repercutidos sobre activos superiores, o son riesgos acumulados sobre activos inferiores. Magerit permite modelar directamente la aplicacin como un activo, estableciendo sus dependencias, bien de activos superiores que dependen de ella, bien de activos inferiores que la soportan. El mtodo permite identificar y valorar amenazas y salvaguardas, derivando informacin de impacto y riesgo sobre la propia aplicacin y los activos relacionados con ella. AGR autocontenido. Si la Organizacin no ha realizado un proyecto AGR, ser preciso llevarlo a cabo incorporando al menos los activos directa o indirectamente relacionados con la aplicacin. AGR marginal. Si la Organizacin ya ha realizado un proyecto AGR, basta revisar los resultados de dicho proyecto incorporando los nuevos activos. La aparicin de una nueva aplicacin puede implicar nuevos servicios, nuevos datos, nuevo equipamiento, nuevos locales y nuevo personal. Tambin puede implicar la desaparicin de antiguos activos que se ven superados por la nueva aplicacin y sus posibilidades. En cada caso concreto hay que determinar lo que hay que aadir y lo que hay que eliminar, siguiendo las actividades A2.1, A2.2 y A2.3 del proceso P2, Anlisis de riesgos. Tanto si se ha seguido una u otra aproximacin, al final se dispone de una relacin de impactos y riesgos, tanto sobre la aplicacin como sobre su entorno. Para derivar estos datos se siguen los pasos de la actividad A2.4 del proceso P2. Para interpretar los resultados se recurre a la tarea A2.4.3 del proceso P2, interpretacin de los resultados.
4.4. Gestin de riesgos

El proceso P3 de gestin de riesgos recomienda salvaguardas y evala el efecto de las salvaguardas desplegadas sobre el impacto y el riesgo. Las decisiones que se adopten dependern de los criterios establecidos en la poltica de seguridad de la Organizacin y de otras consideraciones especficas de cada caso. Si bien la poltica de seguridad establece un marco de referencia que no puede violentarse, es habitual que no prevea todos los detalles tcnicos y coyunturales del servicio para tomar decisiones precisas. Ministerio de Administraciones Pblicas pgina 82 (de 154)
Magerit versin 2
Debido a la interrelacin entre los elementos que constituyen un sistema, no es suficiente proteger un cierto tipo de activos para proteger el conjunto. No obstante, este captulo se centra en las medidas que deben aplicarse a las aplicaciones para que estas no menoscaben la seguridad del sistema. Siempre dirigidos por la iniciativa y la corroboracin del proceso de gestin de riesgos, hay que tener en cuenta los siguientes aspectos: Durante la especificacin:

Dimensionado Perfiles de usuario Requisitos de identificacin y autenticacin de usuarios Requisitos de cifrado Requisitos de monitorizacin (control) y registro (log):

de datos de entrada de datos de salida de datos intermedios de acceso a la aplicacin de actividad (uso)
Si se adquiere software estndar ...
Contratos de adquisicin y mantenimiento Contratos de adquisicin y mantenimiento Entorno de desarrollo: locales, personas, plataforma y herramientas Tcnicas de programacin segura Gestin de cdigo fuente

Si se subcontrata el desarrollo de software ...

control de acceso control de versiones
Si se desarrolla software en casa ...
Condiciones de mantenimiento

Entorno de desarrollo: locales, personas, plataforma y herramientas Tcnicas de programacin segura Gestin de cdigo fuente

control de acceso control de versiones
Para realizar la aceptacin:
Pruebas de aceptacin

datos de prueba si no son reales, deben ser realistas si no se puede evitar que sean reales, hay que controlar copias y acceso pruebas funcionales (de los servicios de seguridad) simulacin de ataques pgina 83 (de 154)
Magerit versin 2

pruebas en carga intrusin controlada (hacking tico) inspeccin de servicios / inspeccin de cdigo fugas de informacin: canales encubiertos, a travs de los registros, etc. puertas traseras de acceso escalado de privilegios problemas de desbordamiento de registros (buffer overflow) acreditaciones
Para realizar el despliegue:

Inventario de aplicaciones en operacin Gestin de cambios: normativa y procedimientos Establecimiento de claves Normativa y procedimientos de ...

Durante la operacin:
gestin de usuarios gestin de claves gestin de registros (log) gestin de incidencias: registro de evidencias, escalado, plan de emergencia y de recuperacin
Anlisis de registros (log): herramientas, criterios, procedimientos, ... Manuales de uso: administradores, operadores y usuarios Formacin: inicial y continua: administradores, operadores y usuarios Normativa y procedimientos de ...

En los ciclos de mantenimiento:
solicitud aprobacin, incluyendo el anlisis diferencial de riesgos y, aprobacin en su caso de las nuevas medidas
Terminacin

Destruccin de datos operacionales Copia y custodia de datos, cuando proceda por ley o poltica interna Eliminacin del cdigo operativo: ejecutable, datos de configuracin y cuentas de usuario Revisin de las copias de seguridad
4.5. MTRICA versin 3

La metodologa MTRICA Versin 3 ofrece a las Organizaciones un instrumento til para la sistematizacin de las actividades que dan soporte al ciclo de vida del software dentro del marco que permite alcanzar los siguientes objetivos:

Proporcionar o definir sistemas de informacin que ayuden a conseguir los fines de la Organizacin mediante la definicin de un marco estratgico para el desarrollo de los mismos. Dotar a la Organizacin de productos software que satisfagan las necesidades de los usuarios dando una mayor importancia al anlisis de requisitos. pgina 84 (de 154)
Magerit versin 2
Mejorar la productividad de los departamentos de sistemas y tecnologas de la informacin y las comunicaciones, permitiendo una mayor capacidad de adaptacin a los cambios y teniendo en cuenta la reutilizacin en la medida de lo posible. Facilitar la comunicacin y entendimiento entre los distintos participantes en la produccin de software a lo largo del ciclo de vida del proyecto, teniendo en cuenta su papel y responsabilidad, as como las necesidades de todos y cada uno de ellos. Facilitar la operacin, mantenimiento y uso de los productos software obtenidos.
Cuando el desarrollo de la aplicacin se atenga a la metodologa MTRICA versin 3, los aspectos anteriormente tratados para asegurar que la nueva aplicacin no altere incontroladamente el estado de riesgo de la Organizacin debern tenerse en cuenta a lo largo del proceso de desarrollo. MTRICA versin 3 identifica 3 procesos, 5 subprocesos y 4 interfaces:
planificacin PSI desarrollo

EVS ASI DSI CSI IAS
gestin de configuracin aseguramiento de la calidad gestin de proyectos
mantenimiento MSI
PSI Planificacin del sistema de informacin EVS Estudio de viabilidad del sistema ASI Anlisis del sistema de informacin DSI Diseo del sistema de informacin. CSI Construccin del sistema de informacin IAS Implantacin y aceptacin del sistema MSI Mantenimiento del sistema de informacin
seguridad
La interfaz de seguridad permite la comunicacin entre las tareas de desarrollo y las tareas de anlisis y gestin de riesgos.

La direccin aporta los servicios necesarios y la calidad de la seguridad deseada. El equipo de desarrollo aporta los elementos tcnicos que materializan la aplicacin. El equipo de anlisis de riesgos aporta un juicio crtico sobre la seguridad del sistema. de servicio, procedentes de la direccin tcnicos, procedentes del equipo de desarrollo de seguridad, procedentes del equipo de anlisis de riesgos
Es decir que se manejan simultneamente diferentes requisitos:

Esto da pie a una interrelacin continua entre el equipo de desarrollo y el equipo de seguridad que, a travs de la interfaz de seguridad, van cerrando cada etapa de Mtrica. Es importante destacar que el alcance de un nivel de seguridad puede requerir modificaciones en los componentes tcnicos del sistema; al tiempo que los detalles tcnicos pueden alterar el anlisis de seguridad. Ministerio de Administraciones Pblicas pgina 85 (de 154)
Magerit versin 2
En cualquier caso, el punto de acuerdo entre los componentes (activos) y el estado de seguridad (impacto y riesgo) debe ser aprobado por la direccin de la Organizacin. Como se indica ms arriba, se puede distinguir entre la seguridad del proceso de desarrollo (tareas SPD) y la seguridad del sistema de informacin (SSI). Las tareas de la interfaz se organizan segn su pertenencia a uno u otro objetivo de seguridad.
4.5.1. SPD Seguridad del proceso de desarrollo

Lo que se comenta en esta seccin afecta a todas y cada uno de los procesos y subprocesos de Mtrica: PSI, EVS, ASI, DSI, CSI, IAS y MSI. La interfaz de seguridad de Mtrica identifica hasta 4 tareas que se repiten en cada proceso. Aqu se tratan de forma compacta:
Tareas afectadas en la Interfaz de Seguridad de Mtrica v3 PSI: Planificacin del sistema de informacin SEG 1: Planificacin de la seguridad requerida en el proceso PSI PSI-SEG 1.1: Estudio de la seguridad requerida en el proceso PSI PSI-SEG 1.2: Organizacin y planificacin SEG 4: Catalogacin de los productos generados durante el proceso PSI PSI-SEG 4.1: Clasificacin y catalogacin de los productos generados durante el proceso PSI EVS: Estudio de viabilidad del sistema SEG 1: Estudio de la seguridad requerida en el proceso EVS EVS-SEG 1.1: Estudio de la seguridad requerida en el proceso EVS SEG 2: Seleccin del equipo de seguridad EVS-SEG 2.1: Seleccin del equipo de seguridad SEG 6: Catalogacin de los productos generados durante el proceso EVS EVS-SEG 6.1: Clasificacin y catalogacin de los productos generados durante el proceso EVS ASI: Anlisis del sistema de informacin SEG 1: Estudio de la seguridad requerida en el proceso ASI ASI-SEG 1.1: Estudio de la seguridad requerida en el proceso ASI SEG 4: Catalogacin de los productos generados durante el proceso ASI ASI-SEG 4.1: Clasificacin y catalogacin de los productos generados durante el proceso ASI DSI: Diseo del sistema de informacin SEG 1: Estudio de la seguridad requerida en el proceso DSI DSI-SEG 1.1: Estudio de la seguridad requerida en el proceso DSI SEG 5: Catalogacin de los productos generados durante el proceso DSI DSI-SEG 5.1: Clasificacin y catalogacin de los productos generados durante el proceso DSI CSI: Construccin del sistema de informacin SEG 1: Estudio de la seguridad requerida en el proceso CSI CSI-SEG 1.1: Estudio de la seguridad requerida en el proceso CSI SEG 4: Clasificacin de los productos generados durante el proceso CSI CSI-SEG 4.1: Clasificacin y catalogacin de los productos generados durante el proceso CSI
pgina 86 (de 154)
Magerit versin 2
Desarrollo de sistemas de informacin Tareas afectadas en la Interfaz de Seguridad de Mtrica v3
IAS: Implantacin y aceptacin del sistema SEG 1: Estudio de la seguridad requerida en el proceso IAS IAS-SEG 1.1: Estudio de la seguridad requerida en el proceso IAS SEG 4: Catalogacin de los productos generados durante el proceso IAS IAS-SEG 4.1: Clasificacin y catalogacin de los productos generados durante el proceso IAS MSI: Mantenimiento del sistema de informacin SEG 1: Estudio de la seguridad requerida en el proceso MSI MSI-SEG 1.1: Estudio de la seguridad requerida en el proceso MSI SEG 3: Catalogacin de los productos generados durante esta etapa MSI-SEG 3.1: Clasificacin y catalogacin de los productos generados durante esta etapa
Activos a considerar
En cada proceso se requiere un anlisis de riesgos especfico que contemple:
los datos que se manejan:

especificaciones y documentacin de los sistemas cdigo fuente manuales del operador y del usuario datos de prueba herramientas de tratamiento de la documentacin: generacin, publicacin, control de documentacin, etc. herramientas de tratamiento del cdigo: generacin, compilacin, control de versiones, etc.
el entorno software de desarrollo:

el entorno hardware de desarrollo: equipos centrales, puestos de trabajo, equipos de archivo, etc. el entorno de comunicaciones de desarrollo las instalaciones el personal involucrado: desarrolladores, personal de mantenimiento y usuarios (de pruebas)
Actividades
Se siguen los siguientes pasos 1. el equipo de desarrollo expone a travs del jefe de proyecto los elementos involucrados 2. el equipo de anlisis de riesgos recibe a travs del director de seguridad la informacin de los activos involucrados 3. el equipo de anlisis de riesgos realiza el anlisis 4. el equipo de anlisis de riesgos expone a travs de su director el estado de riesgo, proponiendo una serie de medidas a tomar 5. el equipo de desarrollo elabora un informe del coste que supondran las medidas recomendadas, incluyendo costes de desarrollo y desviaciones en los plazos de entrega 6. la direccin califica el riesgo y decide las salvaguardas a implantar oyendo el informe conjunto de anlisis de riesgos y coste de las soluciones propuestas Ministerio de Administraciones Pblicas pgina 87 (de 154)
Magerit versin 2
7. el equipo de anlisis de riesgos elabora los informes correspondientes a las soluciones adoptadas 8. el equipo de seguridad elabora la normativa de seguridad pertinente 9. la direccin aprueba el plan para ejecutar el proceso con la seguridad requerida
Resultados del anlisis y gestin de riesgos

En todos los casos

salvaguardas recomendadas normas y procedimientos de tratamiento de la informacin
Otras consideraciones
Aunque cada proceso requiere su anlisis de riesgos especfico, es cierto que se trata de modelos tremendamente similares por lo que el mayor esfuerzo lo llevar el primero que se haga, siendo los dems adaptaciones de aquel primero. En los primeros procesos, notablemente en PSI, pueden aparecer contribuciones de alto nivel que afecten a la normativa de seguridad de la Organizacin e incluso a la propia poltica de seguridad corporativa. Entre las normas y procedimientos generados es de destacar la necesidad de una normativa de clasificacin de la documentacin y procedimientos para su tratamiento. En todos los procesos hay que prestar una especial atencin al personal involucrado. Como reglas bsicas conviene:

identificar los roles y las personas determinar los requisitos de seguridad de cada puesto e incorporarlos a los criterios de seleccin y condiciones de contratacin limitar el acceso a la informacin: slo por necesidad segregar tareas; en particular evitar la concentracin en una sola persona de aquellas aplicaciones o partes de una aplicacin que soporten un alto riesgo
4.5.2. SSI Seguridad del sistema de informacin

Todo la existencia de un sistema de informacin puede verse como etapas de concrecin creciente, desde una perspectiva muy global durante los procesos de planificacin hasta una visin en detalle durante el desarrollo y explotacin. No obstante, este ciclo de vida no es lineal, sino que frecuentemente habr que tantear opciones alternativas y revisar decisiones tomadas. El anlisis de riesgos debe basar sus estimaciones de impacto y riesgo en la realidad de los sistemas, concretada en sus activos. En consecuencia, se puede entender el modelo de valor como evolutivo, recogiendo en cada momento el nivel de detalle de que se dispone. Magerit, como metodologa, permite un tratamiento sistemtico y homogneo que es esencial para poder comparar opciones alternativas y para gestionar la evolucin de los sistemas. La utilizacin de herramientas de soporte debe permitir 1. capturar un modelo inicial (PSI), 2. estudiar variaciones (EVS y ASI), 3. pasar de lo general a lo concreto, previniendo amenazas potenciales y preparando mecanismos de deteccin y reaccin (DSI y CSI) 4. dirigir su aceptacin y explotacin (IAS) 5. revisar peridicamente los cambios que se propongan (MSI)
pgina 88 (de 154)
Magerit versin 2
Uso de las tareas de la metodologa Magerit

Proceso P1: Planificacin Actividad A1.1: Estudio de oportunidad Tarea T1.1.1: Determinar la oportunidad Esta tarea se reduce a la decisin, interna, de desarrollar el sistema de informacin teniendo en cuenta la seguridad. Actividad A1.2: Determinacin del alcance del proyecto Tarea T1.2.1: Objetivos y restricciones generales Los del sistema de informacin bajo desarrollo. Tarea T1.2.2: Determinacin de dominio y lmites Los del sistema de informacin bajo desarrollo. Tarea T1.2.3: Identificacin del entorno Los del sistema de informacin bajo desarrollo. Tarea T1.2.4: Estimacin de dimensiones y coste Parte de proyecto (o proyectos) de desarrollo del sistema de informacin. Actividad A1.3: Planificacin del proyecto Tarea T1.3.1: Evaluar cargas y planificar entrevistas Esta tarea se lleva a cabo como en cualquier proyecto AGR. Esta tarea se debe realizar con el primer proceso, PSI, quedando establecida la relacin de entrevistas para el resto de los procesos, salvo ajustes puntuales que se detecten necesarios. Tarea T1.3.2: Organizar a los participantes Esta tarea se lleva a cabo como en cualquier proyecto AGR. Durante el primer proceso, PSI, debe establecerse la relacin de participantes a entrevistar, sin precisar ms all el papel que desempean. Segn vaya avanzando el desarrollo del sistema, se ir identificando a las personas que satisfacen los roles previstos. Tarea T1.3.3: Planificar el trabajo Parte de proyecto (o proyectos) de desarrollo del sistema de informacin. Actividad A1.4: Lanzamiento del proyecto Tarea T1.4.1: Adaptar los cuestionarios Esta tarea se lleva a cabo como en cualquier proyecto AGR. Esta tarea se debe realizar con el primer proceso, PSI, quedando establecidos para el resto de los procesos, salvo ajustes puntuales. Tarea T1.4.2: Criterios de evaluacin Esta tarea se lleva a cabo como en cualquier proyecto AGR. Esta tarea se debe realizar con el primer proceso, PSI, quedando establecidos para el resto de los procesos. Tarea T1.4.3: Recursos necesarios Parte de proyecto (o proyectos) de desarrollo del sistema de informacin. Tarea T1.4.4: Sensibilizacin Parte de proyecto (o proyectos) de desarrollo del sistema de informacin. Proceso P2: Anlisis de riesgos Actividad A2.1: Caracterizacin de los activos Tarea T2.1.1: Identificacin de los activos Ministerio de Administraciones Pblicas pgina 89 (de 154)
Magerit versin 2
En los primeros procesos, PSI, se identifican activos genricos. Segn se avanza en el desarrollo, esta identificacin se va precisando de forma que los activos genricos se traducen en activos concretos. La concrecin debe ser mxima al llegar al proceso CSI. Tarea T2.1.2: Dependencias entre activos En los primeros procesos, PSI, aparecen relaciones de trazo grueso. Segn se avanza en el desarrollo, las dependencias se van precisando segn los activos genricos se traducen en activos concretos. La concrecin debe ser mxima al llegar al proceso CSI. Tarea T2.1.3: Valoracin de los activos La valoracin de los servicios ltimos y de los datos esenciales se puede realizar prcticamente desde el primer proceso PSI, si bien segn avance el desarrollo pueden segmentarse los servicios y/o los datos, requiriendo una valoracin singular que nunca deber suponer la superacin de la valoracin de los servicios o datos agregados. Es decir, pueden desagregarse los servicios y/o los datos en fracciones de menor valor. Tpicamente la valoracin del resto de los activos puede analizarse como simple valor acumulado desde los activos superiores, explotando las relaciones de dependencia. Actividad A2.2: Caracterizacin de las amenazas Tarea T2.2.1: Identificacin de las amenazas Las amenazas sobre activos genricos pueden incorporarse desde el primer proceso PSI; pero segn se vaya concretando el conjunto detallado de componentes habr que incorporar amenazas especficas de la tecnologa que se emplea. Tarea T2.2.2: Valoracin de las amenazas Esta tarea se lleva a cabo como en cualquier proyecto AGR. Actividad A2.3: Caracterizacin de las salvaguardas Tarea T2.3.1: Identificacin de las salvaguardas existentes Buena parte de las salvaguardas pueden incorporarse desde el primer proceso PSI. No obstante, las salvaguardas de carcter tcnico, debern irse precisando segn se vaya concretando el conjunto detallado de componentes y la tecnologa que se emplea. Tarea T2.3.2: Valoracin de las salvaguardas existentes Esta tarea se lleva a cabo como en cualquier proyecto AGR. Actividad A2.4: Estimacin del estado de riesgo Tarea T2.4.1: Estimacin del impacto Esta tarea se lleva a cabo como en cualquier proyecto AGR. Tarea T2.4.2: Estimacin del riesgo Esta tarea se lleva a cabo como en cualquier proyecto AGR. Tarea T2.4.3: Interpretacin de los resultados Esta tarea se lleva a cabo como en cualquier proyecto AGR. Proceso P3: Gestin de riesgos Actividad A3.1: Toma de decisiones Tarea T3.1.1: Calificacin de los riesgos Esta tarea se lleva a cabo como en cualquier proyecto AGR. Ministerio de Administraciones Pblicas pgina 90 (de 154)
Magerit versin 2
En la toma de decisiones debe participar tanto el equipo de desarrollo como el equipo de anlisis de riesgos. Actividad A3.2: Elaboracin del plan director de seguridad de la informacin Tarea T3.2.1: Programas de seguridad Esta tarea queda subsumida en las tareas de desarrollo. Tarea T3.2.2: Plan de ejecucin Esta tarea queda subsumida en las tareas de desarrollo. Actividad A3.3: Ejecucin del plan Tarea T3.3.*: Ejecucin de cada programa de seguridad Estas tareas quedan subsumidas en las tareas de desarrollo.
Otras consideraciones
Es importante llevar a cabo los diferentes anlisis de riesgos de una forma evolutiva, incorporando mayor detalle segn avanza el desarrollo; pero nunca volviendo a comenzar desde cero. En los primeros procesos, notablemente en PSI, pueden aparecer contribuciones de alto nivel que afecten a la normativa de seguridad de la Organizacin e incluso a la propia poltica de seguridad corporativa. Las normas y procedimientos que se derivan en cada proceso van constituyendo el conjunto de normas y procedimientos que se emplearn durante la explotacin del sistema.

Tpicamente la normativa debe cerrarse en los primeros procesos: PSI, EVS y ASI, siendo infrecuente su modificacin en los procesos siguientes. Por el contrario, los procedimientos no se pueden derivar hasta concretar el detalle en los procesos DSI, CSI e IAS. No deberan modificarse, salvo ajustes y correcciones, en los procesos siguientes. El proceso IAS pasa normas y procedimientos a explotacin. El proceso MSI puede suponer la reparacin de normas o procedimientos errneos, o la extensin de normas o procedimientos incompletos que no hayan contemplado todas las circunstancias prcticas.
La especificacin de salvaguardas debe incorporar tanto los mecanismos de actuacin como los mecanismos de configuracin, monitorizacin y control de su eficacia y eficiencia. Es frecuente que aparezcan algunos desarrollos especficamente destinados a configurar el conjunto de salvaguardas y a monitorizar su operacin.
Tareas afectadas en la Interfaz de Seguridad de Mtrica v3 PSI: Planificacin del sistema de informacin SEG 2: Evaluacin del riesgo para la arquitectura tecnolgica PSI-SEG 2.1: Estudio y evaluacin del riesgo de las alternativas de arquitectura tecnolgica PSI-SEG 2.2: Revisin de la evaluacin del riesgo de las alternativas de arquitectura tecnolgica SEG 3: Determinacin de la seguridad en el plan de accin PSI-SEG 3.1: Determinacin de la seguridad en el plan de accin
pgina 91 (de 154)
Magerit versin 2
Desarrollo de sistemas de informacin Tareas afectadas en la Interfaz de Seguridad de Mtrica v3
EVS: Estudio de viabilidad del sistema SEG 3: Recomendaciones adicionales de seguridad para el SI EVS-SEG 3.1: Elaboracin de recomendaciones de seguridad SEG 4: Evaluacin de la seguridad de las alternativas de solucin EVS-SEG 4.1: Valoracin y evaluacin de la seguridad de las alternativas de solucin SEG 5: Evaluacin detallada de la seguridad de la solucin propuesta EVS-SEG 5.1: Descripcin detallada de la seguridad de la solucin propuesta ASI: Anlisis del sistema de informacin SEG 2: Descripcin de las funciones y mecanismos de seguridad ASI-SEG 2.1: Estudio de las funciones y mecanismos de seguridad a implantar SEG 3: Definicin de los criterios de aceptacin de la seguridad ASI-SEG 3.1: Actualizacin del plan de pruebas DSI: Diseo del sistema de informacin SEG 2: Especificacin de requisitos de seguridad del entorno tecnolgico DSI-SEG 2.1: Anlisis de los riesgos del entorno tecnolgico SEG 3: Requisitos de seguridad del entorno de construccin DSI-SEG 3.1: Identificacin de los requisitos de seguridad del entorno de construccin SEG 4: Diseo de pruebas de seguridad DSI-SEG 4.1: Diseo de las pruebas de seguridad CSI: Construccin del sistema de informacin SEG 2: Evaluacin de los resultados de pruebas de seguridad CSI-SEG 2.1: Evaluacin de los resultados de pruebas de seguridad SEG 3: Elaboracin del plan de formacin de seguridad CSI-SEG 3.1: Elaboracin del plan de formacin de seguridad IAS: Implantacin y aceptacin del sistema SEG 2: Revisin de medidas de seguridad en el entorno de operacin IAS-SEG 2.1: Revisin de medidas de seguridad en el entorno de operacin SEG 3: Evaluacin de resultados de pruebas de seguridad de implantacin del sistema IAS-SEG 3.1: Estudio de los resultados de pruebas de seguridad de implantacin del sistema SEG 5: Revisin de medidas de seguridad en el entorno de produccin IAS-SEG 5.1: Revisin de medidas de seguridad en el entorno de produccin MSI: Mantenimiento del sistema de informacin SEG 2: Especificacin e identificacin de las funciones y mecanismos de seguridad MSI-SEG 2.1: Estudio de la peticin MSI-SEG 2.2: Anlisis de las funciones y mecanismos de seguridad afectados o nuevos
4.6. Referencias

NIST Special Publication 800-64, Security Considerations in the Information System Development Life Cycle, Rev.1. June 2004. NIST Special Publication 800-27 Rev. A, Engineering Principles for Information Technology Security (A Baseline for Achieving Security), Rev. A, June 2004. Seguridad de las Tecnologas de la Informacin. La construccin de la confianza para una sociedad conectada, E. Fernndez-Medina y R. Moya (editores). AENOR, 2003.
pgina 92 (de 154)
Magerit versin 2
Metodologa de Planificacin, Desarrollo y Mantenimiento de sistemas de informacin. Mtrica v3. Consejo Superior de Informtica y para el Impulso de la Administracin Electrnica, 2000.
pgina 93 (de 154)
Magerit versin 2
Consejos prcticos
5. Consejos prcticos
Todo el planteamiento anterior puede quedar un poco abstracto y no permitir al analista progresar con solvencia a travs de los pasos indicados. Por ello se ha considerado conveniente incluir algunos comentarios que puedan servir de gua para avanzar. Se recomienda tambin la consulta del "Catlogo de Elementos" que recopila tipos de activos, dimensiones de valoracin, guas de valoracin, catlogos de amenazas y de salvaguardas.
5.1. Para identificar activos

Conviene repetir que slo interesan los recursos de los sistemas de informacin que tienen un valor para la Organizacin, bien en s mismos, bien porque sobre sus hombros descansan activos de valor. A ttulo de ejemplo, un servidor de presentacin web es un activo de escaso valor propio. Esto puede asegurarse porque no es normal que una Organizacin despliegue un servidor de presentacin web salvo que lo necesite para prestar un servicio. Todo su valor es imputado:

la indisponibilidad del servidor supone la interrupcin del servicio; el coste que suponga la interrupcin del servicio es el valor de disponibilidad que se le imputar al servidor el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta; el coste que suponga la prdida de confidencialidad de los datos es el valor de confidencialidad que se le imputar al servidor ... y as con las diferentes dimensiones en consideracin
Los intangibles
Ciertos elementos de valor de las organizaciones son de naturaleza intangible:

credibilidad o buena imagen conocimiento acumulado independencia de criterio o actuacin intimidad de las personas integridad fsica de las personas
Estos elementos pueden incorporarse al anlisis de riesgos como activos 37 o como elementos de valoracin 38. La cuantificacin de estos conceptos es a menudo difcil; pero de una u otra forma nunca puede olvidarse que lo que hay que proteger en ltima instancia es la misin de la Organizacin y el valor de sta reside en estos intangibles como ya se reconoca en Magerit versin 1.0 39.
Identificacin de activos
Quizs la mejor aproximacin para identificar los activos sea preguntar directamente:
Qu activos son fundamentales para que usted consiga sus objetivos?
37 No todos los autores son unnimes en que sea una buena idea identificar activos intangibles. Es cierto que son activos en el sentido financiero; pero es discutible que sean recursos propiamente dichos del sistema de informacin. Ocurre que si a los interlocutores se les pregunta durante las entrevistas en trminos de valores intangibles de la Organizacin, se pierde la perspectiva del da a da, pues la mayor parte de los miembros de la Organizacin tienen objetivos ms concretos y cercanos sobre los que s pueden emitir una opinin fundada. 38 Ver Catlogo de Elementos, captulo 4. Criterios de valoracin. 39 Ver Magerit versin 1.0, Gua de Procedimientos / 3. Submodelo de Elementos / 3.4. Impactos / 3.4.3. Tipos.
pgina 94 (de 154)
Magerit versin 2

Consejos prcticos
Hay ms activos que tenga que proteger por obligacin legal? Hay activos relacionados con los anteriores?
No siempre es evidente qu es un activo en singular. Si por ejemplo en su unidad tiene 300 puestos de trabajo PC, todos idnticos a efectos de configuracin y datos que manejan, no es conveniente analizar 300 activos idnticos. Baste analizar un PC genrico que cuya problemtica representa la de todos. Agrupar simplifica el modelo. Otras veces se presenta el caso contrario, un servidor central que se encarga de mil funciones: servidor de ficheros, de mensajera, de la intranet, del sistema de gestin documental y ... En este caso conviene segregar los servicios prestados como servicios (internos) independientes. Slo cuando se llegue al nivel de equipamiento fsico habr que hacer confluir en un nico equipo todos los servicios. Si en el futuro se consigue segregar servicios entre varios servidores, entonces es fcil revisar el modelo de valor y dependencias.
5.2. Para descubrir y modelar las dependencias entre activos

A veces es ms difcil de lo esperado porque los responsables de los activos suelen estar ms preocupados por el encadenamiento funcional entre activos que por la dependencia en el sentido de propagacin de valor. Es necesario transmitir al interlocutor que no se busca qu es necesario para que el sistema funciones, sino al revs, se busca dnde puede fallar el sistema o, ms precisamente, dnde puede verse comprometida la seguridad de los activos.

Si unos datos son importantes por su confidencialidad, se necesita saber en qu sitios van a residir dichos datos y por qu lugares van a circular: en esos puntos pueden ser revelados. Si unos datos son importantes por su integridad, se necesita saber en qu sitios van a residir dichos datos y por qu lugares van a circular: en esos puntos pueden ser alterados. Si un servicio es importante por su disponibilidad, se necesita saber qu elementos se usan para prestar dicho servicio: el fallo de esos elementos detendra el servicio. si usted quisiera acceder a estos datos, dnde atacara? si usted quisiera detener este servicio, dnde atacara?
Estas consideraciones pueden plantearse con argumentos del tipo:

Este planteamiento de pngase en el lugar del atacante es el que da pie a las tcnicas denominadas rboles de ataque 40 que van parejas a lo que en esta metodologa se denominan dependencias. En efecto, un activo puede ser atacado directamente o indirectamente a travs de otro activo del que dependa. Las anteriores consideraciones pueden desembocar en un diagrama plano de dependencias que se puede (y conviene a efectos prcticos) convertir en un rbol ms compacto. As, es normal decir que los servicios dependen del equipamiento, que depende a su vez de los locales donde se ubican los equipos, sin necesidad de explicitar que los servicios dependen de los locales 41. Es frecuente identificar servicios internos o servicios horizontales que son agrupaciones de activos para una cierta funcin. Estos servicios intermedios son eficaces para compactar el grafo de dependencias, pues las dependencias de dichos servicios se interpretan sin ambigedad como dependencia de todos los elementos que prestan el servicio. Cuando se usen diagramas de flujo de datos o diagramas de procesos, no debe preocupar tanto la ruta que siguen los datos como el conjunto (desordenado) de elementos que intervienen. Un proceso depende de todos los activos que aparecen en su diagrama. Unos datos dependen de todos los sitios por donde pasen. Tanto en unos como en otros diagramas es frecuente encontrar
40 Ver Gua de Tcnicas, seccin 2.3. 41 En la "Gua de Tcnicas" encontrar el modelo algortmico para calcular las dependencias totales entre activos a partir de las dependencias directas.
pgina 95 (de 154)
Magerit versin 2
Consejos prcticos
descripciones jerarquizadas donde un proceso se subdivide en niveles de mayor detalle. Estas jerarquas de diagramas pueden ayudar a elaborar el grafo de dependencias.
Errores tpicos
No es correcto decir que una aplicacin depende de los datos que maneja. El razonamiento de quien tal afirma es que la aplicacin no funcionara sin datos, lo que es correcto; pero no es lo que interesa reflejar. Ms bien es todo lo contrario: los datos dependen de la aplicacin. En trminos de valor, se puede asegurar que la aplicacin no vale nada sin datos. Como el valor es una propiedad de los datos, es ese valor el que hereda la aplicacin. Luego los datos dependen de la aplicacin. Desde otro punto de vista, a travs de la aplicacin puede accederse a los datos, convirtindose la aplicacin en la va de ataque a los datos. Dado que datos y aplicaciones suelen aunar esfuerzos para la prestacin de un servicio, el valor del servicio se transmite tanto a los datos como a las aplicaciones intervinientes. mal

bien

servicio aplicacin servicio datos aplicacin datos datos aplicacin servicio aplicacin
No es correcto decir que una aplicacin dependa del equipo donde se ejecuta. El razonamiento de quien tal afirma es que la aplicacin no funcionara sin equipo, lo que es correcto; pero no es lo que interesa reflejar. Si tanto la aplicacin como el equipo son necesarios para prestar un servicio, se debe decir explcitamente, sin buscar caminos retorcidos. mal

bien
servicio aplicacin servicio aplicacin aplicacin equipo servicio equipo
Los errores comentados a veces pasan desapercibidos mientras el sistema es muy reducido (slo hay un servicio, una aplicacin y un equipo); pero aparecen en cuanto el sistema crece. Por ejemplo, una aplicacin X puede ejecutarse en diferentes equipos con diferentes datos para prestar diferentes servicios. Resulta entonces imposible relacionar la aplicacin con uno o ms equipos, salvo considerando cada caso
servicio 11 servicio
servicio 22 servicio
datos 11 datos
datos 22 datos
aplicacin aplicacin
equipo 11 equipo
equipo 22 equipo
Estn bien modeladas las dependencias?

Establecer dependencias es una tarea delicada que puede acabar mal. Antes de dar por bueno un modelo de dependencias hay que trazar para cada activo todos los activos de los que depende directa o indirectamente. Y se debe responder positivamente a las preguntas de si Ministerio de Administraciones Pblicas pgina 96 (de 154)
Magerit versin 2

Consejos prcticos
Estn todos los que son? Es decir, si se han identificado todos los activos en los que puede ser atacado indirectamente el activo valorado. Son todos los que estn? Es decir, si realmente el activo valorado puede ser atacado en todos esos activos de los que depende
Como la relacin de dependencia propaga el valor acumulado, encontrar un activo sin valor acumulado es sntoma de que las dependencias estn mal modeladas o, simplemente, que el activo es irrelevante.
5.3. Para valorar activos

Siempre conviene valorar la informacin o datos que constituyen la razn de ser del sistema de informacin. Si se han modelado servicios finales (prestados a usuarios externos al dominio de anlisis), conviene valorarlos igualmente. Es fcil identificar activos de tipo datos o informacin y valorarlos siguiendo clasificaciones pautadas como su carcter personal o su clasificacin de seguridad. Pero pasa a ser mucho ms delicado valorar datos de tipo comercial u operacional porque hay que ir a las consecuencias del dao sufrido. El resto de los activos puede frecuentemente pasar sin valorar, pues su valor ms importante es soportar los datos y/o los servicios y de ese clculo se encargan las relaciones de dependencias. No obstante, si considera oportuno valorar otro tipo de activos ... Los activos ms sencillos de valorar son aquellos que se adquieren en un comercio. Si se avera, hay que poner otro. Esto cuesta dinero y tiempo (o sea, ms dinero). Se habla de un coste de reposicin. Salvo notorias excepciones, frecuentemente ocurre que el coste de los activos fsicos es despreciable frente a otros costes, pudiendo obviarse. Es difcil valorar las personas, en general; pero si un puesto supone una formacin lenta y trabajosa, hay que tener en cuenta que la persona que desempea ese puesto se convierte en muy valiosa, pues su coste de reposicin es notable. En cualquier caso, para valorar un activo se debe identificar al responsable, que ser la persona adecuada para valorar el activo. A este responsable hay que ayudarle con tablas de valoracin como las del captulo 4 del "Catlogo de Elementos" que, adaptadas al caso concreto, permitan traducir la percepcin de valor en una medida cualitativa o cuantitativa del mismo. A menudo no existe el responsable nico y singular de un activo y/o servicio, sino que varias personas dentro de la Organizacin tienen opinin cualificada al respecto. Hay que orlas todas. Y llegar a un consenso. Si el consenso no es obvio, puede requerir un careo: junte a los que opinan e intente que lleguen a una opinin comn un Delphi 42: mande cuestionarios a los que opinan e intente que converjan a una opinin comn En los procesos de valoracin de activos es frecuente recurrir a personas diferentes para valorar activos diferentes. Y es frecuente que cada entrevistado considere sus activos como de la mxima importancia; tanto ms frecuente cuanto ms especializado est el entrevistado. Como muchas valoraciones son estimaciones de valor, hay que cuidar que todo el mundo use la misma escala de estimar. Por ello es importante usar una tabla como la del captulo 4 del "Catlogo de Elementos", directamente o adaptada al caso concreto. Y es importante que tras haber preguntado a los que entienden de cada activo, todos reciban una copia de la valoracin global del sistema para que aprecien el valor relativo de sus activos y opinen en contexto.
42 Ver "Gua de Tcnicas", captulo 3.7.
pgina 97 (de 154)
Magerit versin 2
Consejos prcticos
Datos de carcter personal

Los datos de carcter personal estn tipificados por leyes y reglamentos, requiriendo de la Organizacin que adopte una serie de medidas de proteccin independientes del valor del activo 43. La forma ms realista de enfrentarse a los activos de carcter personal es caracterizarlos como tales en el nivel que corresponda y, adems, determinar su valor: el dao que supondra su revelacin o alteracin indebida. Con esta aproximacin, el anlisis de impactos y riesgos permitir proteger los datos tanto por obligacin legal como por su propio valor.
5.4. Para identificar amenazas

La tarea aparece como imposible: para cada activo, en cada dimensin, identificar amenazas. Se puede partir de la experiencia pasada, propia o de organizaciones similares. Lo que ha ocurrido puede repetirse y, en cualquier caso, sera impresentable no tenerlo en cuenta. Complementariamente, un catlogo de amenazas como el incluido en el "Catlogo de Elementos" ayuda a localizar lo que conviene considerar en funcin del tipo de activo y de las dimensiones en las que tiene un valor propio o acumulado. A menudo se recurre a idear escenarios de ataque que no son sino dramatizaciones de cmo un atacante se enfrentara a nuestros sistemas. Esta tcnica es la que a veces se denomina rboles de ataque. Pngase en la piel del atacante e imagine qu hara con sus conocimientos y su capacidad econmica. Puede que tenga que plantearse diferentes situaciones dependiendo del perfil tcnico del atacante o de sus recursos tcnicos y humanos. Estas dramatizaciones son interesantes para poder calcular impactos y riesgos; pero adems sern muy tiles a la hora de convencer a la alta direccin y a los usuarios de por qu una amenaza no es terica sino muy real. Es ms, cuando evale las salvaguardas puede ser conveniente revisar estos escenarios de ataque.
5.5. Para valorar amenazas

La tarea es desmoralizadora: para cada activo en cada dimensin, determinar la degradacin que causaran y la frecuencia probable de ocurrencia. Siempre que sea posible conviene partir de datos estndar. En el caso de desastres naturales o accidentes industriales, se puede disponer de series histricas, genricas o del lugar en el que se ubican los equipos de nuestro sistema de informacin bajo estudio. Probablemente tambin se disponga de un historial que informe de lo que es frecuente y de lo que no pasa nunca. Ms complicado es calificar los errores humanos; pero la experiencia permite ir aquilatando valores realistas. Y lo ms complejo es calificar los ataques deliberados pues dependen de la suerte, buena o mala. Hay muchos motivos que agudizan el peligro de una amenaza:

que no requiera grandes conocimientos tcnicos por parte del atacante 44 que no requiera gran inversin en equipo por parte del atacante 45 que haya un enorme beneficio econmico en juego (que el atacante puede enriquecerse)
43 Es posible aproximarse a la valoracin de los activos que son de carcter personal cuantificando la multa que impondra la Agencia de Proteccin de Datos. Esta aproximacin no vale en un anlisis cualitativo. En un anlisis cuantitativo, esta aproximacin parte de la hiptesis de que lo peor que puede pasar con ese dato es ser motivo de multa. 44 Hay que estar atentos a la comercializacin de las herramientas de ataque pues un ataque puede requerir un gran experto para realizarlo manualmente (es decir, es poco frecuente); pero si el experto empaqueta su ataque en una herramienta con una simple interfaz grfica, usar la herramienta se convierte en un deporte que no requiere del atacante sino ausencia de escrpulos (es decir, la amenaza ha pasado a ser muy frecuente). 45 Hay que tener muy en cuenta que Internet es una red inmensa de poder de cmputo. Si alguien sabe cmo organizarse, no es difcil poner a la red a trabajar para m lo que supone que el atacante disponga de muchsimos ms medios efectivos que el atacado.
pgina 98 (de 154)
Magerit versin 2
Consejos prcticos
que haya un enorme beneficio en juego (que el atacante pueda salir fuertemente beneficiado, en su estima, en su conocimiento por todo el mundo, ...); por lo que ms quiera, evite los retos y jams alardee de que su sistema de informacin es invulnerable: no lo es y no tiene gracia que se lo demuestren que haya un mal ambiente de trabajo, semilla de empleados descontentos que se vengan a travs de los sistemas, simplemente para causar dao que haya una mala relacin con los usuarios externos, que se vengan a travs de nuestros sistemas
Partiendo de un valor estndar, hay que ir aumentando o disminuyendo sus calificaciones de frecuencia y degradacin hasta reflejar lo ms posible el caso concreto. A menudo no es evidente determinar el valor correcto y es necesario recurrir a simulaciones que orienten. El uso de algn tipo de herramienta es muy til para estudiar las consecuencias de un cierto valor, lo que algunos autores denominan la sensibilidad del modelo a cierto dato. Si se aprecia que los resultados cambian radicalmente ante pequeas alteraciones de una estimacin de frecuencia o degradacin, hay que (1) ser realistas y (2) prestar extrema atencin a por qu el sistema es tan sensible a algo tan concreto y tomar medidas orientadas a independizar el sistema; es decir, a no hacer crtica una cierta amenaza. Recuerde que la frecuencia no afecta al impacto, por lo que estudiando el impacto se puede ajustar la degradacin y, posteriormente, estudiando el riesgo se puede ajustar la frecuencia. Nunca se debe aceptar un valor injustificado de degradacin en la esperanza de compensarlo con la frecuencia, pues la estimacin del impacto es importante en s misma, adems de la de riesgo. Sea cual sea la decisin final que se tome para estimar un valor, hay que documentarla pues antes o despus se pedirn explicaciones, sobre todo si como consecuencia se van a recomendar salvaguardas costosas.
5.6. Para seleccionar salvaguardas

Probablemente la nica forma es tirar de catlogo. Use un (sistema) experto que le ayude a ver qu solucin es adecuada para cada combinacin de

tipo de activo amenaza a la que est expuesto dimensin de valor que es motivo de preocupacin nivel de riesgo
A menudo encontrar muchas soluciones para un problema, con diferentes calidades. En estos casos debe elegir una solucin proporcionada a los niveles de impacto y riesgo calculados. Muchas salvaguardas son de bajo coste, bastando configurar adecuadamente los sistemas u organizar normativa para que el personal haga las cosas de forma adecuada. Pero algunas contra medidas son realmente costosas (en su adquisicin, en su despliegue, en su mantenimiento peridico, en la formacin del personal a su cargo, ...). En estos casos conviene ponderar si el coste de la salvaguarda no supera el riesgo potencial; es decir, tomar siempre decisiones de gasto que supongan un ahorro neto. Por ltimo, y no menos importante, a la hora de desplegar salvaguardas hay que considerar su facilidad de uso. Lo ideal es que la salvaguarda sea transparente de forma que el usuario no tenga que hacer nada o, en su defecto, cuanto menos haya que hacer, mejor. Simplemente porque una salvaguarda de complejo manejo requiere personal especializado y aade a las amenazas que ya tena el sistema la amenaza que supone su defectuosa utilizacin.
5.7. Aproximaciones sucesivas

El lector ya se habr percibido de que el anlisis de riesgos puede ser muy laborioso, requiriendo tiempo y esfuerzo. Adems, hay que introducir muchos elementos que no son objetivos, sino estimaciones del analista, lo que implica que haya que explicar y consensuar lo que significa cada Ministerio de Administraciones Pblicas pgina 99 (de 154)
Magerit versin 2
Consejos prcticos
cosa para no estar expuestos a impactos o riesgos que se ignoran o se infravaloran, ni convertir la paranoia en un dispendio de recursos injustificados. Si hay que ser prcticos y efectivos, conviene realizar aproximaciones sucesivas. Se empieza por un anlisis somero, de alto nivel, identificando rpidamente lo ms crtico: activos de gran valor, vulnerabilidades manifiestas o, simplemente, recomendaciones de libro de texto porque no hay nada ms prudente que aprender en cabeza ajena, aprovechando la experiencia de los dems. Este anlisis de riesgos es imperfecto, evidentemente; pero cabe confiar en que lleve en la direccin correcta. Los prrafos siguientes dan indicaciones de cmo orientarse rpidamente hacia el objetivo final: tener impactos y riesgos bajo control. Ntese que estas aproximaciones imperfectas permiten desplegar rpidamente sistemas razonablemente protegidos cuando no hay tiempo para un anlisis de riesgos en toda su plenitud. Cuando, con tiempo, se llegue a la fase de gestin de riesgos tras un anlisis exhaustivo, muy probablemente ocurra que muchas salvaguardas estn ya dispuestas, necesitndose slo la introduccin de algunas nuevas y/o la mejora de la eficacia de las existentes. No es pues trabajo perdido seguir estas aproximaciones informales.
5.7.1. Proteccin bsica

Es frecuente or hablar de medidas bsicas de proteccin (baseline) que deberan implantarse en todos los sistemas, salvo que se demuestre que no son pertinentes a algn caso particular. Por favor, no discuta; ni lo dude: a sus sistemas de informacin no puede acceder cualquiera en cualquier momento. Puede protegerlos fsica o lgicamente, ponindolos en una sala donde no entra cualquiera, o imponiendo una identificacin de acceso lgico. Pero protjalos! Este tipo de razonamientos se pueden aplicar con frecuencia y llevan a desplegar un mnimo de salvaguardas de puro sentido comn. Una vez avanzado lo que es obvio y no se debera nunca discutir, se puede avanzar a niveles ms elaborados, especficos de cada sistema. Para aplicar un tratamiento bsico se requiere un catlogo de salvaguardas. Existen numerosas fuentes, entre las que cabe destacar:

normas internacionales, por ejemplo ISO/IEC 17799:2005 normas nacionales, por ejemplo los Criterios de Seguridad normas sectoriales normas corporativas, especialmente frecuentes en pequeas delegaciones de grandes organizaciones es muy rpido no cuesta apenas esfuerzo se logra un nivel homogneo con otras organizaciones parecidas el sistema puede protegerse frente a amenazas que no padece, lo que supone un gasto injustificado el sistema puede estar inadecuadamente protegido frente a amenazas reales
Las ventajas de protegerse por catlogo son:

Los inconvenientes de protegerse por catlogo son:

En general, con la proteccin bsica no se sabe lo que se hace y, an estando probablemente en la senda correcta, no hay medida de si falta o si sobra. No obstante, puede ser un punto de partida til para refinar posteriormente. La proteccin por catlogo puede refinarse un poco considerando el valor de los activos o cuantificando las amenazas.
pgina 100 (de 154)
Magerit versin 2
Consejos prcticos
En base a la tipificacin de los activos

Si usted tiene datos de carcter personal calificados de nivel alto, tiene que cifrarlos. Si usted tiene datos clasificados como confidenciales, tiene que etiquetarlos y cifrarlos. Aparte de cumplir con la legislacin y normativa especfica, habr llevado a cabo una especie de vacunacin preventiva de activos que seguro que son importantes. Si usted tiene una red local conectada al exterior, tiene que poner un cortafuegos en el punto de conexin.
En base al valor de los activos

Si usted tiene todos los datos operacionales en soporte informtico, tiene que hacer copias de seguridad. Si usted tiene equipos informticos, mantngalos al da con las actualizaciones del fabricante. Lo que vale hay que cuidarlo, por si le pasara algo, sin entrar en muchas precisiones de qu les puede pasar exactamente.
En base a las amenazas

Si se trata de un sistema de la llamada administracin electrnica (tramitacin administrativa no presencial) o si los sistemas se usan para comerciar electrnicamente (compras y ventas no presenciales), registre cuidadosamente quin hace qu en cada momento pues se enfrentar a incidencias con los usuarios, teniendo que determinar quin tiene razn y quien paga los perjuicios. Tambin habr quien quiera usar sus servicios sin tener derecho a ello (fraude). Lo que se puede necesitar, es necesario, y parte de las responsabilidades del responsable de seguridad es disponer de la informacin correcta cuando haga falta.
En base a las vulnerabilidades

Si usted tiene una red de equipos antiguos y se conecta a Internet, debe instalar un cortafuegos. Si tiene usted una aplicacin en produccin, debe mantenerla al da aplicando mejoras y corrigiendo los defectos anunciados por el fabricante. Cuando se sabe que los sistemas de informacin son vulnerables, hay que protegerlos.
5.8. Referencias

ISO/IEC 17799:2005, Information technology Security techniques Code of practice for information security management, Junio 2005. Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el ejercicio de potestades, MAP, 2004 C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE Approach, Addison Wesley, 2003. UNE-ISO/IEC 17799:2002, Tecnologa de la Informacin. Cdigo de Buenas Prcticas de la Gestin de la Seguridad de la Informacin, 2002. United States General Accounting Office, Accounting and Information Management Division, Information Security Risk Assessment -- GAO Practices of Leading Organizations. Ministerio de Administraciones Pblicas, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAP, versin 1.0, 1997.
pgina 101 (de 154)
Magerit versin 2
Glosario
Apndice 1. Glosario
Diferentes autores u organizaciones definen los mismos trminos de diferentes formas y maneras. Las siguientes tablas recopilan definiciones acordes al sentido en el cual se emplean los trminos en esta gua metodolgica, tanto en espaol como en ingls. De las mltiples definiciones se ha seleccionado la preferida en Magerit v2, resaltndola en negrita. Cuando la definicin procede de alguna fuente, se cita esta. La ausencia de fuente indica que es definicin propia de esta gua. Salvo razones en contra, siempre se ha preferido mantener la definicin propuesta en Magerit v1 (1997).
1.1. Trminos en espaol

Acreditacin Accin de facultar a un sistema o red de informacin para que procese datos sensibles, determinando el grado en el que el diseo y la materializacin de dicho sistema cumple los requerimientos de seguridad tcnica preestablecidos. [CESID:1997] Accreditation: Formal declaration by the responsible management approving the operation of an automated system in a particular security mode using a particular set of safeguards. Accreditation is the official authorization by management for the operation of the system, and acceptance by that management of the associated residual risks. Accreditation is based on the certification process as well as other management considerations. [154431:2005] Activo Recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. Recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. [Magerit:1997] Bienes: En la teora de los valores, la realidad que posee un valor positivo y por ello es estimable. [DRAE] Asset: Anything that has value to the organization. [13335-1:2004] Asset: A component or part of the total system. Assets may be of four types: physical, application software, data, or end user services. [CRAMM:2003] Asset: Something of value to the enterprise. [Octave:2003] Asset: Any information resource with value that is worth protecting or preserving. [TDIR:2003] Assets: Information or resources to be protected by the countermeasures of a Target of Evaluation. [CC:1999] AGR Amenaza Anlisis y Gestin de Riesgos Eventos que pueden desencadenar un incidente en la Organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Eventos que pueden desencadenar un incidente en la Organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. [Magerit:1997] Condicin del entorno del sistema de informacin que, dada una oportunidad, podra dar lugar a que se produjese una violacin de la seguridad. Ministerio de Administraciones Pblicas pgina 102 (de 154)
Magerit versin 2 [CESID:1997]
Glosario
Threat: A potential cause of an incident which may result in harm to a system or organization. [17799:2005][13335-1:2004] Threat: Any circumstance or event with the potential to adversely impact agency operations (including mission, functions, image, or reputation), agency assets, or individuals through an information system via unauthorized access, destruction, disclosure, modification of information, and/or denial of service. [800-53:2004] Threat: Any circumstance or event with the potential to adversely impact an information system through unauthorized access, destruction, disclosure, modification of data, and/or denial of service. [CNSS:2003] Threat: An activity, deliberate or unintentional, with the potential for causing harm to an automated information system or activity. [TDIR:2003] Threat: Any circumstance or event that could harm a critical asset through unauthorized access, compromise of data integrity, denial or disruption of service, or physical destruction or impairment. [CIAO:2000] A threat is an indication of a potential undesirable event. [NSTISSI:1998] Threat: A potential violation of security. [7498-2:1989] Anlisis de impacto Estudio de las consecuencias que tendra una parada de X tiempo sobre la Organizacin. Anlisis de riesgos Proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una Organizacin. Identificacin de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de informacin (conocidos como activos); para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organizacin, obteniendo cierto conocimiento del riesgo que se corre. [Magerit:1997] Risk analysis: Systematic use of information to identify sources and to estimate the risk. [17799:2005][Guide 73:2002] Risk assessment: Process of evaluating the risks of information loss based on an analysis of threats to, and vulnerabilities of, a system, operation or activity. [OPSEC] Risk analysis: The systematic process of estimating the magnitude of risks. [13335-1:2004] Risk Analysis: Examination of information to identify the risk to an information system. [CNSS:2003] Risk Assessment:: Process of analyzing threats to and vulnerabilities of an information system, and the potential impact resulting from the loss of information or capabilities of a system. This analysis is used as a basis for identifying appropriate and cost-effective security countermeasures. [CNSS:2003] Risk Analysis: An analysis of system assets and vulnerabilities to establish an expected loss from certain events based on estimated probabilities of occurrence. [TDIR:2003] Risk Assessment: A study of vulnerabilities, threats, likelihood, loss or impact, and theoretical effectiveness of security measures. The process of evaluating threats and vulnerabilities, known and postulated, to determine expected loss and establish the degree of acceptability to system opera Ministerio de Administraciones Pblicas pgina 103 (de 154)
Magerit versin 2 tions. [TDIR:2003] Ataque Auditora de seguridad
Glosario
Cualquier accin deliberada encaminada a violar los mecanismos de seguridad de un sistema de informacin. [CESID:1997] Estudio y examen independiente del historial y actividades de un sistema de informacin, con la finalidad de comprobar la idoneidad de los controles del sistema, asegurar su conformidad con la estructura de seguridad y procedimientos operativos establecidos, a fin de detectar brechas en la seguridad y recomendar cambios en los procedimientos, controles y estructuras de seguridad. Aseguramiento de la identidad u origen. Autenticacin: Caracterstica de dar y reconocer la autenticidad de los activos del dominio (de tipo informacin) y/o la identidad de los actores y/o la autorizacin por parte de los autorizadores, as como la verificacin de dichas tres cuestiones. [Magerit:1997] Authenticity: Having an undisputed identity or origin. [OPSEC] Authenticity: The property of being genuine and being able to be verified and trusted; confidence in the validity of a transmission, a message, or message originator. [800-53:2004] Authenticity: The property that ensures that the identity of a subject or resource is the one claimed. Authenticity applies to entities such as users, processes, systems, and information. [13335-1:2004]
Autenticidad
Certificacin Confidencialidad
Confirmacin del resultado de una evaluacin, y que los criterios de evaluacin utilizados fueron correctamente aplicados. Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. [17799:2002] Caracterstica que previene contra la divulgacin no autorizada de activos del dominio. [Magerit:1997] Confidentiality: An assurance that information is not disclosed to unauthorized entities or processes (DOD JP 1994; JCS 1997) [OPSEC] Confidentiality: Preserving authorized restrictions on information access and disclosure, including means for protecting personal privacy and proprietary information. [800-53:2004] Confidentiality: The requirement of keeping proprietary, sensitive, or personal information private and inaccessible to anyone that is not authorized to see it. [Octave:2003] Confidentiality: Assurance that information is not disclosed to unauthorized persons, processes, or devices. [CNSS:2003] [TDIR:2003] Confidentiality: The property that information is not made available or disclosed to unauthorized individuals, entities, or processes. [7498-2:1989]
Contra medida Control Degradacin Dimensin
Vase salvaguarda. Vase salvaguarda. Prdida de valor de un activo como consecuencia de la materializacin de una amenaza. (de seguridad) Un aspecto, diferenciado de otros posibles aspectos, respecto del que se puede medir el valor de un activo en el sentido del perjuicio que causara su prdida de valor. pgina 104 (de 154)
Magerit versin 2 Disponibilidad
Glosario Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. [17799:2002] Caracterstica que previene contra la denegacin no autorizada de acceso a activos del dominio. [Magerit:1997] Availability: The assurance that data transmissions, computer processing systems, and/or communications are not denied to those who are authorized to use them (JCS 1997) [OPSEC] Availability: Ensuring timely and reliable access to and use of information. [800-53:2004] Availability: The extend to which, or frequency with which, an asset must be present or ready for use. [Octave:2003] Availability: Timely, reliable access to data and information services for authorized users. [CNSS:2003] [TDIR:2003] [CIAO:2000] Availability: The property of being accessible and usable upon demand by an authorized entity. [7498-2:1989]
Documento de seleccin de controles Estado de riesgo
Documento formal en el que, para un conjunto de salvaguardas, se indica sin son de aplicacin en el sistema de informacin bajo estudio o si, por el contrario, carecen de sentido. Informe: Caracterizacin de los activos por su riesgo residual; es decir lo que puede pasar tomando en consideracin las salvaguardas desplegadas. Informe: Evaluacin de la eficacia de las salvaguardas existentes en relacin al riesgo que afrontan. Tasa de ocurrencia de una amenaza.
Evaluacin de salvaguardas Frecuencia
Gestin de riesgos Seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Seleccin e implantacin de las medidas o salvaguardas de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios. La gestin de riesgos se basa en los resultados obtenidos en el anlisis de los riesgos. [Magerit:1997] Risk treatment: process of selection and implementation of measures to modify risk. [17799:2005][13335-1:2004][Guide 73:2002] Risk management: A security philosophy which considers actual threats, inherent vulnerabilities, and the availability and costs of countermeasures as the underlying basis for making security decisions (JSCR 1994). [OPSEC] Risk management: Process of identifying and applying countermeasures commensurate with the value of the assets protected based on a risk assessment. [CNSS:2003] The identification, assessment, and mitigation of probabilistic security events (risks) in information systems to a level commensurate with the value of the assets protected. [CIAO:2000] Impacto Consecuencia que sobre un activo tiene la materializacin de una amenaza. Consecuencia que sobre un activo tiene la materializacin de una amena Ministerio de Administraciones Pblicas pgina 105 (de 154)
Magerit versin 2 za. [Magerit:1997]
Glosario
Impact: The result of an information security incident. [13335-1:2004] Impact: The effect of a threat on an organization's mission and business objectives. [Octave:2003] Impact: The effect on the organisation of a breach in security. [CRAMM:2003] Impacto residual Incidente Impacto remanente en el sistema tras la implantacin de las salvaguardas determinadas en el plan de seguridad de la informacin. Evento con consecuencias en detrimento de la seguridad del sistema de informacin. Information security event: An identified occurrence of a system, service or network state indicating a possible breach of information security policy or failure of safeguards, or a previously unknown situation that may be security relevant. [17799:2005] Information security incident: Any unexpected or unwanted event that might cause a compromise of business activities or information security. [13335-1:2004] Incident: A successful or unsuccessful action attempting to circumvent technical controls, organizational policy, or law. This is often called an attack. [TDIR:2003] Informe de insuficiencias Integridad Informe: Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir el riesgo sobre el sistema. Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. [17799:2002] Caracterstica que previene contra la modificacin o destruccin no autorizadas de activos del dominio. [Magerit:1997] Information integrity: The state that exists when information is unchanged from its source and has not been accidentally or intentionally modified, altered, or destroyed (NSC EO 1995; JCS 1997). [OPSEC] Integrity: Guarding against improper information modification or destruction, and includes ensuring information non-repudiation and authenticity. [800-53:2004] Integrity: the property of safeguarding the accuracy and completeness of assets. [13335-1:2004] Integrity: the authenticity, accuracy, and completeness of an asset. [Octave:2003] Data integrity: A condition existing when data is unchanged from its source and has not been accidentally or maliciously modified, altered, or destroyed. [CNSS:2003] [TDIR:2003] [CIAO:2000] Data integrity: The data quality that exists as long as accidental or malicious destruction, alteration, or loss of data does not occur. [CRAMM:2003] Integrity: Condition existing when an information system operates without unauthorized modification, alteration, impairment, or destruction of any of its components. [CIAO:2000] Mapa de riesgos Informe: Relacin de las amenazas a que estn expuestos los actipgina 106 (de 154)
Magerit versin 2 vos.
Glosario
Threat Analysis: The examination of all actions and events that might adversely affect a system or operation. [TDIR:2003] Threat Assessment: An evaluation of the nature, likelihood, and consequence of acts or events that could place sensitive information and assets as risk. [TDIR:2003] Modelo de valor Informe: Caracterizacin del valor que representan los activos para la Organizacin as como de las dependencias entre los diferentes activos. Conjunto de programas de seguridad que permiten materializar las decisiones de gestin de riesgos. Agrupacin de tareas orientadas a afrontar el riesgo del sistema. La agrupacin se realiza por conveniencia, bien porque se trata de tareas que en singular careceran de eficacia, bien porque se trata de tareas con un objetivo comn, bien porque se trata de tareas que competen a una nica unidad de accin. Programa de seguridad cuya envergadura es tal que requiere una planificacin especfica. Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. Posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la Organizacin. [Magerit:1997] Probabilidad de que una vulnerabilidad propia de un sistema de informacin sea explotada por las amenazas a dicho sistema, con el objetivo de penetrarlo. [CESID:1997] Risk: combination of the probability of an event and its consequence. [17799:2005][Guide 73:2002] Risk: A measure of the potential degree to which protected information is subject to loss through adversary exploitation. [OPSEC] Risk: the potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization. [133351:2004] Risk: Possibility that a particular threat will adversely impact an information system by exploiting a particular vulnerability. [CNSS:2003] Risk: A combination of the likelihood that a threat will occur, the likelihood that a threat occurrence will result in an adverse impact, and the severity of the resulting adverse impact. Reducing either the threat or the vulnerability reduces the risk. [TDIR:2003] Total risk: The potential for the occurrence of an adverse event if no mitigating action is taken (i.e., the potential for any applicable threat to exploit a system vulnerability). [TDIR:2003] Risk: A measure of the exposure to which a system or potential system may be subjected. [CRAMM:2003] Riesgo residual Riesgo remanente en el sistema tras la implantacin de las salvaguardas determinadas en el plan de seguridad de la informacin. Riesgo que se da tras la aplicacin de salvaguardas dispuestas en un escenario de simulacin o en el mundo real. [Magerit:1997] Ministerio de Administraciones Pblicas pgina 107 (de 154)
Plan de seguridad Programa de seguridad
Proyecto de seguridad Riesgo
Magerit versin 2
Glosario Residual risk: The risk that remains after risk treatment. [13335-1:2004] Residual risk: Portion of risk remaining after security measures have been applied. [CNSS:2003] [CRAMM:2003] Residual Risk: The potential for the occurrence of an adverse event after adjusting for the impact of all in-place safeguards. [TDIR:2003]
Riesgo acumulado
Dcese del calculado tomando en consideracin el valor propio de un activo y el valor de los activos que depende de l. Este valor se combina con la degradacin causada por una amenaza y la frecuencia estimada de la misma.
Riesgo repercutido Dcese del calculado tomando en consideracin nicamente el valor propio de un activo. Este valor se combina con la degradacin causada por una amenaza y la frecuencia estimada de la misma, medidas ambas sobre activos de los que depende. Salvaguarda Procedimiento o mecanismo tecnolgico que reduce el riesgo. Control: Means of managing risks, including policies, procedures, guidelines, practices or organizational structures, which can be of administrative, technical, management or legal nature. [17799:2005] Countermeasure: Anything which effectively negates or mitigates an adversary's ability to exploit vulnerabilities. [OPSEC] Safeguard: Protective measures prescribed to meet the security requirements (i.e., confidentiality, integrity, and availability) specified for an information system. Safeguards may include security features, management constraints, personnel security, and security of physical structures, areas, and devices. [800-53:2004] Safeguard: a practice, procedure or mechanism that treats risk. [133351:2004] Countermeasure: Action, device, procedure, technique, or other measure that reduces the vulnerability of an information system. [CNSS:2003] Security safeguard: Protective measures and controls prescribed to meet the security requirements specified for an information system. Safeguards may include security features, management constraints, personnel security, and security of physical structures, areas, and devices. [CNSS:2003] Countermeasure: Any action, device, procedure, technique, or other measure that mitigates risk by reducing the vulnerability of, threat to, or impact on a system. [TDIR:2003] Seguridad La capacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Information System Security: Protection of information systems against unauthorized access to or modification of information, whether in storage, processing or transit, and against the denial of service to authorized users, including those measures necessary to detect, document, and counter such threats. [CNSS:2003] Sistema de informacin Los ordenadores y redes de comunicaciones electrnicas, as como los datos electrnicos almacenados, procesados, recuperados o transmitidos por los mismos para su operacin, uso, proteccin y pgina 108 (de 154)
Magerit versin 2 mantenimiento.
Glosario
Conjunto de elementos fsicos, lgicos, elementos de comunicacin, datos y personal que permiten el almacenamiento, transmisin y proceso de la informacin. [Magerit:1997] Cualquier sistema o producto destinado a almacenar, procesar o transmitir informacin. [CESID:1997] Information System: Set of information resources organized for the collection, storage, processing, maintenance, use, sharing, dissemination, disposition, display, or transmission of information. [CNSS:2003] Information System: Any procedure or process, with or without IT support, that provides a way of acquiring, storing, processing or disseminating information. Information systems include applications and their supporting infrastructure. [CRAMM:2003] Trazabilidad Aseguramiento de que en todo momento se podr determinar quin hizo qu y en qu momento. Responsabilidad: Cualidad que permite que todas las acciones realizadas sobre un sistema de tecnologa de la informacin sean asociadas de modo inequvoco a un individuo o entidad. [CESID:1997] Accountability: The property that ensures that the actions of an entity may be traced uniquely to the entity. [13335-1:2004] Accountability: Process of tracing information system activities to a responsible source. [CNSS:2003] Valor De un activo. Es una estimacin del coste inducido por la materializacin de una amenaza. Cualidad que poseen algunas realidades, consideradas bienes, por lo cual son estimables. [DRAE] Valor acumulado Considera tanto el valor propio de un activo como el valor de los activos que dependen de l. Bienes de abolengo: Los heredados de los abuelos. [DRAE] Vulnerabilidad Estimacin de la exposicin efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradacin causada. Vulnerabilidad de un activo es la potencialidad o posibilidad de ocurrencia de la materializacin de una amenaza sobre dicho activo. [Magerit:1997] Debilidad en la seguridad de un sistema de informacin. [CESID:1997] Vulnerability: A weakness of an asset or group of assets that can be exploited by one or more threats. [17799:2005][13335-1:2004] Vulnerability: The susceptibility of information to exploitation by an adversary. [OPSEC] Vulnerability: Weakness in an information system, system security procedures, internal controls, or implementation that could be exploited. [CNSS:2003] Vulnerability: A weakness or lack of controls that would allow or facilitate a threat actuation against a specific asset or target. [CRAMM:2003]
1.2. Trminos anglosajones

Breve diccionario ingls-espaol de trminos habituales en anlisis y gestin de riesgos: Ministerio de Administraciones Pblicas pgina 109 (de 154)
Magerit versin 2
Glosario
Accountability ALE ARO Authenticity Availability Asset BIA Business Impact Analysis Confidentiality Countermeasure Frequency Impact Integrity Residual risk Risk Risk analysis Risk assessment Risk management Risk map Risk treatment Safeguard Security Statement of applicability Traceability Threat Value Vulnerability
Trazabilidad Annual Loss Expectancy Annual Rate of Occurrence Autenticidad Disponibilidad Activo Business Impact Analysis Anlisis de impacto Confidencialidad Contra medida Frecuencia Impacto Integridad Riesgo residual Riesgo Anlisis de riesgos Anlisis de riesgos Gestin de riesgos Mapa de riesgo Tratamiento del riesgo Salvaguarda Seguridad Documento de seleccin de controles Trazabilidad Amenaza Valor Vulnerabilidad
1.3. ISO/IEC Guide 73:2002

La Gua 73 de ISO [2002] estructura los conceptos de gestin de riesgos de la siguiente forma: Risk management: coordinated activities to direct and control an organization with regard to risk. Risk assessment: overall process of risk analysis and risk evaluation. Risk analysis: systematic use of information to identify sources and to estimate risk. Source identification: process to find, list and characterize sources 46. Risk estimation: process used to assign values to the probability 47 and consequences of a risk.
46 Source: item or activity having a potential for a consequence. Consequence: outcome of an event. Event: occurrence of a particular set of circumstances. 47 Probability: extend to which an event is likely to occur.
pgina 110 (de 154)
Magerit versin 2
Glosario
Risk evaluation: process of comparing the estimated risk against given risk criteria to determine the significance of the risk. Risk treatment: process of selection and implementation of measures to modify risk. La siguiente tabla resume la relacin entre la terminologa identificada en la Guide 73 y Magerit:
Guide 73:2002 Risk management Risk assessment Risk analysis Source identification Risk estimation Risk evaluation Risk treatment
Magerit v2 Anlisis y gestin de riesgos P1 + P2 + P3 Anlisis de riesgos P2
A3.1 Gestin de riesgos A3.2 + A3.3
1.4. Referencias
[DRAE] Real Academia Espaola. Diccionario de la Lengua Espaola. 22. edicin, 2001. http://buscon.rae.es/diccionario/drae.htm [OPSEC] OPSEC Glossary of Terms, http://www.ioss.gov/docs/definitions.html [17799:2005] ISO/IEC 17799:2005, Information technology -- Code of practice for information security management, 2005. [15443-1:2005] ISO/IEC TR 15443:2005, Information technology -- Security techniques -- A framework for IT security assurance -- Part 1: Overview and framework, 2005. [800-53:2004] NIST, Recommended Security Controls for Federal Information Systems, National Institute of Standards and Technology, special publication 800-53, 2004. [13335-1:2004] ISO/IEC 13335-1:2004, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management, 2004. [CRAMM:2003] CCTA Risk Analysis and Management Method (CRAMM), Version 5.0, 2003. [Octave:2003] C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE Approach, Addison Wesley, 2003.
pgina 111 (de 154)
Magerit versin 2
Glosario
[TDIR:2003] Texas Department of Information Resources, Practices for Protecting Information Resources Assets, Revised September 2003. [CNSS:2003] Committee on National Security Systems, Instruction No. 4009, National Information Assurance (IA) Glossary, May 2003. [Guide 73:2002] ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in Standards, 2002. [17799:2002] UNE ISO/IEC:2002, Tecnologa de la Informacin Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin, 2002. [CIAO:2000] Critical Infrastructure Assurance Office, Practices for Securing Critical Information Assets, January 2000. [CC:1999] ISO/IEC 15408:1999, Information technology Security techniques Evaluation criteria for IT security, 1999. [NSTISS:1998] National Security Telecommunications and Information Systems Security Committee, Index of National Security Telecommunications Information Systems Security Issuances, NSTISSI no. 4014, NSTISSC Secretariat, 1998. [CESID:1997] Centro Superior de Informacin de la Defensa, Glosario de Trminos de Criptologa, Ministerio de Defensa, 3 edicin, 1997. [Magerit:1997] Ministerio de Administraciones Pblicas, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAP, versin 1.0, 1997. [Ribagorda:1997] A. Ribagorda, Glosario de Trminos de Seguridad de las T.I., Ediciones CODA, 1997. [7498-2:1989] ISO 7498-2:1989, Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2: Security Architecture, 1989.
pgina 112 (de 154)
Magerit versin 2
Referencias
Apndice 2. Referencias
Aunque los captulos y apndices incluyen referencias bibliogrficas especficas al tema que enfocan, en este apndice se recopilan las referencias a mtodos y metodologas que afrontan el anlisis y gestin de riesgos como actividad integral. Las referencias se ordenan temporalmente: de ms recientes a ms antiguas.
Federal Office for Information Security (BSI). IT Baseline Protection Manual, October 2003. Germany. http://www.bsi.de/gshb/english/etc/index.htm The Vulnerability Assessment and Mitigation Methodology, P.S. Antn et al., RAND National Defense Research Institute, MR-1601-DARPA, 2003. Managing Information Security Risks: The OCTAVE Approach, C.J. Alberts and A.J. Dorofee, Addison-Wesley Pub Co; 1st edition (July 9, 2002) http://www.cert.org/octave/ Information Security Risk Analysis, T.R. Peltier, Auerbach Pub; 1st edition (January 23, 2001) Risk Management: Multiservice Tactics, Techniques, and Procedures for Risk Management, Air Land Sea Application Center, FM 3-100.12, MCRP 5-12.1C, NTTP 5-03.5, AFTTP(I) 3-2.30. February 2001. Air Force Pamphlet 90-902, Operational Risk Management (ORM) Guidelines and Tools, December 2000. KPMG Peat Marwick LLP, Vulnerability Assessment Framework 1.1, October 1998. Magerit, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAP, versin 1.0, 1997 http://www.csi.map.es/csi/pg5m20.htm GMITS, ISO/IEC TR 13335-2:1997, Information technology - Security techniques - Guidelines for the management of IT security - Part 2: Managing and planning IT security.
Por ltimo se debe citar una herramienta que lleva implcitamente una metodologa. Al ser un producto, le fecha se limita a indicar la de la ultima versin en el mercado.
CRAMM, CCTA Risk Analysis and Management Method (CRAMM), Version 5.0, 2003.
pgina 113 (de 154)
Magerit versin 2
Marco legal
Apndice 3. Marco legal

En este apndice se recopila la normativa legal, nacional e internacional, relevante al caso del anlisis y gestin de riesgos, bien por exigirlo, bien por sustentarlo, bien por ser de utilidad en un proyecto AGR. La relacin no pretende ser exhaustiva, amn de estar sujeta a un proceso legislativo activo, por lo que es obligacin del responsable prestar atencin a las novedades que vayan apareciendo.. La documentacin actualizada puede encontrarse en las pginas web del SSISTAD 48 del CSAE 49: http://www.csi.map.es/ Por ltimo, se han incluido algunas referencias a acuerdos de carcter poltico o de otra naturaleza a los cuales conviene tambin prestar atencin. Por ejemplo, las Guas de la OCDE.
3.1. Procedimiento administrativo

Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, LRJ-PAC. Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilizacin de tcnicas electrnicas, informticas y telemticas por la Administracin General del Estado. Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemticas, as como la utilizacin de medios telemticos para la sustitucin de la aportacin de certificados por los ciudadanos. Resolucin de 26 de mayo de 2003 de la Secretara de Estado para la Administracin Pblica por la que se dispone la publicacin del Acuerdo del Pleno de la Comisin Interministerial de Adquisicin de Bienes y Servicios Informticos (CIABSI) de 18 de diciembre de 2002 por el que se aprueban los Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas por la Administracin General del Estado en el ejercicio de sus potestades. Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la Disposicin final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemticas, as como la utilizacin de medios telemticos para la sustitucin de la aportacin de certificados por los ciudadanos.
3.2. Proteccin de datos de carcter personal

LOPD, Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal. Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal.
3.3. Firma electrnica

Ley 59/2003, de 19 de diciembre, de firma electrnica. Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social; art. 81. Real Decreto 1317/2001, de 30 de noviembre, por el que se desarrolla el artculo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, en materia de prestacin de servicios de seguridad por la Fbrica Nacional de Moneda y Timbre-Real Casa de la Moneda, en las comunicaciones a travs de tcnicas y medios electrnicos, informticos y telemticos, con las Administraciones Pblicas.
48 SSITAD: Seguridad de los Sistemas de Informacin y Proteccin de Datos Personalizados Automatizados, comit tcnico del CSAE. 49 CSAE: Consejo Superior de Administracin Electrnica.
pgina 114 (de 154)
Magerit versin 2
Marco legal
3.4. Informacin clasificada

Ley 9/1968, de 5 de abril, sobre Secretos Oficiales. Decreto 242/1969, de 20 de Febrero. por el que se desarrollan las disposiciones de la Ley 9/1968. de 5 de abril sobre Secretos Oficiales. Ley 48/1978, de 7 de octubre, que modifica la Ley 9/1968, de 5 de abril, sobre secretos oficiales. Orden Ministerial nmero 76/2002, de 18 de abril, por la que se establece la poltica de seguridad para la proteccin de la informacin del Ministerio de Defensa almacenada, procesada o transmitida por sistemas de informacin y telecomunicaciones. LEY 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia. Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptolgico Nacional. Decisin del Consejo de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo (2001/264/EC) Decisin de la Comisin de 29 de noviembre de 2001, por la que se modifica su Reglamento interno (2001/844/CE, CECA, Euratom)
3.5. Seguridad de las redes y de la informacin

COM(2001)298 final -- Seguridad de las redes y de la informacin: Propuesta para un enfoque poltico europeo Guas de la OCDE para la seguridad de los sistemas de informacin y redes. Hacia una cultura de seguridad
pgina 115 (de 154)
Magerit versin 2
Evaluacin y certificacin
Apndice 4. Marco de evaluacin y certificacin

La complejidad de los sistemas de informacin conlleva un gran esfuerzo para determinar la calidad de las medidas de seguridad de que se ha dotado y la confianza que merecen. Es frecuente la aparicin de terceras partes que de forma independiente emiten juicios sobre dichos aspectos, juicios que se emiten tras una evaluacin rigurosa y que se plasman en un documento reconocido. En este captulo se repasan someramente dos marcos en los que se ha formalizado el proceso de evaluacin y certificacin (o registro):

en los sistemas de gestin de la seguridad de la informacin en los productos de seguridad
Para cada uno de estos marcos se indica su oportunidad, la forma de organizarse para alcanzar la certificacin y el marco administrativo y normativo en el que se desarrolla la actividad.
4.1. Sistemas de gestin de la seguridad de la informacin (SGSI)

Los problemas de seguridad de los sistemas de informacin tienen un origen tcnico pero son tan complejos que la solucin no puede ser solamente tcnica. La tecnologa es demasiado rica en oportunidades y por tanto hay que mantenerla bajo control asegurando que trabaje para los objetivos de la Organizacin. Seguridad es estar prevenido (antes); es estar preparado para reaccionar a las emergencias, previstas o imprevistas; y es saber rehacerse tras el desastre. Todo esto no es gratis: cuesta dinero, tiempo y esfuerzo. Por ello es necesario racionalizar, con criterio econmico, una solucin equilibrada entre lo que se evita que ocurra, lo que se monta para detectar fallos, y lo que se tiene preparado para cuando ocurra lo que, tericamente, nunca debiera haber ocurrido. Y, todo eso, sin olvidar la dimensin tiempo, porque hay que racionalizar gastos e inversiones tanto para lo que sabemos hoy como para lo que descubriremos maana. Aparece pues un componente de gestin, tan necesario como los componentes tcnicos. Sistema de gestin de la seguridad de la informacin Es un sistema de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestin de la seguridad de la informacin. El sistema es la herramienta de que dispone la Direccin de las organizaciones para llevar a cabo las polticas y los objetivos de seguridad (integridad, confidencialidad y disponibilidad, asignacin de responsabilidad, autenticacin, etc.). Proporciona mecanismos para la salvaguarda de los activos de informacin y de los sistemas que los procesan, en concordancia con las polticas de seguridad y planes estratgicos de la organizacin. [UNE 71502:2004] Esta es la esencia del modelo PDCA (de ingls Plan, Do, Check, Act) que se usa en los modelos de gestin de la calidad.
Plan planificacin planificacin Act mantenimiento mantenimiento y mejora y mejora Check monitorizacin monitorizacin y evaluacin y evaluacin Do implementacin implementacin y operacin y operacin
La planificacin (P de Plan) debe incluir una poltica de seguridad que marque objetivos y un anlisis de riesgos que modele el valor del sistema, su exposicin a amenazas, y lo que se tiene (o se Ministerio de Administraciones Pblicas pgina 116 (de 154)
Magerit versin 2
necesita) para mantener el riesgo bajo control. Es natural que con estas bases se genere un plan de seguridad razonado para la gestin de riesgos. La accin (D de Do) es la ejecucin del plan, en sus aspectos tcnicos y de organizacin, involucrando a las personas que se hacen cargo del sistema o estn relacionadas con ste. Un plan tiene xito cuando lleva a una operacin diaria sin sorpresas. La monitorizacin (C de Check) de la operacin del sistema parte del hecho de que no se puede confiar ciegamente en la eficacia de las medidas, sino que continuamente hay que evaluar si responden a lo esperado con la eficacia deseada. Hay que medir tanto lo que ocurre como lo que ocurrira si no se hubieran tomado medidas. A veces se habla del coste de la inseguridad como justificacin de que el gasto de dinero y esfuerzo tiene fundamento. Y hay que atender a las novedades que se produzcan, tanto en cuanto a modificaciones del propio sistema de informacin, como a nuevas amenazas. La reaccin (A de Act) es saber derivar consecuencias de la experiencia, propia y de sistemas similares, repitiendo el ciclo PDCA. La evaluacin de un sistema de gestin de la seguridad parte del supuesto de que el esquema anterior vertebra las actuaciones de la Organizacin en materia de seguridad, y juzga la eficacia de los controles implantados para alcanzar los objetivos propuestos.
4.1.1. La certificacin
Certificar un sistema de gestin de la seguridad consiste en que alguien, competente, afirma que un sistema est sano y compromete en ello su palabra (por escrito). Con todas las cautelas de alcance y tiempo que se consideren oportunas (y se recojan explcitamente). Y sabiendo que lo que se asegura hoy, hay que revisarlo a medio plazo pues todo evoluciona. Para obtener un certificado hay que seguir una serie de formalismos. Sin entrar en excesivo detalle nos centraremos en qu evala el equipo que enva el organismo de certificacin a juzgar a la Organizacin. Lo primero que hay que hacer es delimitar el alcance de lo que se va a evaluar como Sistema de Gestin de la Seguridad de la Informacin. Esta es una delimitacin propia de cada Organizacin, que refleja su misin y su organizacin interna. Es importante delimitar con claridad. Si el permetro es difuso no quedar claro qu hay que hacer en los pasos siguientes; en particular, no se sabr muy bien a qu personas y departamentos hay que dirigirse para reclamar la informacin pertinente. Ntese que esto puede no ser evidente. Actualmente es raro encontrar una organizacin cerrada desde el punto de vista de sus sistemas de informacin: la externalizacin de servicios, la administracin electrnica y el comercio electrnico han diluido las fronteras. Por otra parte, el organigrama interno rara vez responde a las responsabilidades en seguridad. Lo siguiente que hay que tener claro, escrito y mantenido es la poltica de seguridad corporativa. A menudo la poltica de seguridad incluye la relacin de la legislacin que afecta. Es absolutamente necesario delimitar el marco legislativo y regulatorio al que hay que atenerse. Todo debe estar escrito. Y bien escrito: se entiende, es coherente, se divulga, es conocido por los involucrados y se mantiene al da. Un proceso de certificacin siempre tiene un fuerte componente de revisin de documentacin. Antes de que venga el equipo evaluador, hay que tener una foto del estado de riesgo de la Organizacin. Es decir, que hay que hacer un anlisis de riesgos identificando activos, valorndolos, identificando y valorando las amenazas significativas. En este proceso se determina qu salvaguardas requiere el sistema y con qu calidad. Cada caso es un mundo aparte: ni todo el mundo tiene los mismos activos, ni valen lo mismo, ni estn igualmente interconectados, ni todo el mundo est sujeto a las mismas amenazas, ni todo el mundo adopta la misma estrategia para protegerse. El caso es tener una estrategia, marcada por la poltica y el detalle del mapa de riesgos. El anlisis de riesgos es una herramienta (imprescindible) de gestin. Por hacer o dejar de hacer un anlisis de riesgos no se est ni ms ni menos seguro: simplemente, se sabe dnde se est.
pgina 117 (de 154)
Magerit versin 2
Los resultados del anlisis de riesgos permiten elaborar un documento de seleccin de controles, as como una justificacin de la calidad que deben tener. Todo esto deber ser verificado por el equipo evaluador que, de quedar satisfecho, avalar la concesin del certificado. El equipo evaluador inspecciona el sistema de informacin que se desea certificar contrastndolo con una referencia reconocida que permita objetivar la evaluacin a fin de evitar cualquier tipo de arbitrariedad o subjetividad y permitir la utilizacin universal de las certificaciones emitidas. Se utiliza un esquema de certificacin (por ejemplo, en Espaa, disponemos de la norma UNE 71502). La norma UNE 71502:2004 tiene por objeto la especificacin de los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestin de la Seguridad de la Informacin de acuerdo con la norma UNE ISO/IEC 17799:2002 dentro del contexto de los riesgos identificados por las organizaciones. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones con independencia de su tipo, tamao o rea de actividad. La norma UNE 71502:2004 parte de una relacin de controles basada en la norma UNE-ISO/IEC 17799:2002, relacin que hay que ajustar a la organizacin sujeta a evaluacin, obviando los elementos que no son pertinentes. De considerarse necesario se seleccionarn controles especficos adicionales, fuera de la UNE-ISO/IEC 17799, para cada organizacin, adecuados a su modelo particular de negocio, as como los objetivos que se pretenden obtener con los mismos, justificando la seleccin. La relacin bsica es la siguiente: Poltica de seguridad Revisin y evaluacin peridica de la poltica de seguridad Control y gestin de la documentacin Aspectos organizativos para la seguridad Asignacin de responsabilidades sobre Seguridad de la Informacin Identificacin de riesgo por el acceso de terceros Contratacin de servicios Contratacin de outsourcing Contratacin de empresas colaboradoras Clasificacin y control de activos Inventario de activos Clasificacin de activos Clasificacin de la informacin Revisin y clasificacin peridica de activos Revisin peridica del anlisis de riesgos Marcado y tratamiento de la informacin Seguridad ligada al personal Contratacin del personal Formacin Comunicacin de incidencias Seguridad fsica y del entorno Instalacin y proteccin de los equipos Mantenimiento de los equipos Gestin de comunicaciones y operaciones Procesos operativos Control de cambios Gestin de incidencias Ministerio de Administraciones Pblicas pgina 118 (de 154)
Magerit versin 2 Medidas y controles contra software daino Recuperacin de informacin Gestin de soportes removibles Eliminacin de soportes Seguridad del correo electrnico Disponibilidad de sistemas pblicos Control de entrada, almacenamiento y salida de informacin Anlisis y gestin de registros Planificacin de la capacidad del sistema Intercambio fsico de informacin Intercambio lgico de informacin Autorizacin de salida de material y/o informacin Copias de respaldo y restauracin Control de accesos Identificacin y autenticacin de usuarios Restriccin de acceso a la informacin Control de acceso a la red Control de acceso al sistema operativo Control de acceso lgico a la informacin Gestin de contraseas Gestin remota de equipos Desarrollo y mantenimiento de sistemas Control del paso de desarrollo a pruebas Control de paso de pruebas a produccin Control de cambios de sistema operativo Control de cambios en el software Seleccin, control y aprobacin de software externo Control del diseo de aplicaciones Especificacin de los requerimientos de seguridad Control de software en operacin Gestin de continuidad del negocio Gestin de la continuidad de negocio Mantenimiento y evaluacin de los planes de continuidad Conformidad Identificacin de la legislacin aplicable Revisin de cumplimiento de legislacin Auditoras internas
4.1.2. La acreditacin de la entidad certificadora

La credibilidad del certificado es la confianza que merezca el certificador. Cmo se construye esta confianza? Un componente esencial es la credibilidad del esquema de certificacin. Un segundo componente es la credibilidad de la organizacin que emite los certificados. Esta organizacin es responsable de la competencia del equipo evaluador y de la ejecucin del proceso de evaluacin. Para certificar que estas responsabilidades se cumplen se procede al llamado proceso de acreditacin donde una nueva organizacin evala al evaluador. En Espaa, la organizacin encargada de Ministerio de Administraciones Pblicas pgina 119 (de 154)
Magerit versin 2
acreditar organismos certificadores es ENAC, que se acoge a la normativa internacional de reconocimiento mutuo de certificados emitidos por diferentes certificadores en diferentes pases.
4.1.3. Terminologa
Se recogen a continuacin los trminos usados en las actividades de certificacin de sistemas de informacin, tal y como se entienden en este contexto. Acreditacin Procedimiento mediante el cual un Organismo autorizado reconoce formalmente que una organizacin es competente para la realizacin de una determinada actividad de evaluacin de la conformidad. Auditora Ver evaluacin. Certificacin El objetivo de la certificacin es declarar pblicamente que un producto, proceso o servicio es conforme con requisitos establecidos . Certification: A comprehensive assessment of the management, operational, and technical security controls in an information system, made in support of security accreditation, to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for the system. [NIST SP 800-37] Documento de certificacin (o registro) Documento que afirma que el sistema de gestin de la seguridad de la informacin (SGSI) de una organizacin es conforme a la normativa de referencia adaptada a la singularidad de la organizacin certificada. Documento de seleccin de controles Documento que describe los objetivos de control y los controles relevantes y aplicables al Sistema de Gestin de la Seguridad de la Informacin de la organizacin. ste documento debe estar basado en los resultados y conclusiones del proceso de anlisis y gestin de riesgos. Esquema de certificacin Marco tcnico y administrativo que establece la referencia de trabajo frente a la que se contrasta el cumplimiento de la organizacin sometida a evaluacin, se emite el certificado o registro y se mantiene actualizado y vlido. Evaluacin Conjunto de actividades que permiten determinar si la organizacin satisface los criterios aplicables dentro del esquema de certificacin. Incluye actividades preparatorias, revisin de la documentacin, inspeccin del sistema de informacin y la preparacin de la documentacin pertinente para la emisin del certificado de conformidad, si procede. Organismo de certificacin (o registro) Entidad que, a la vista del informe de evaluacin, certifica (o registra) la satisfaccin por la organizacin de los requisitos establecidos en el esquema de certificacin. Organismos de evaluacin de la conformidad Son los encargados de evaluar y realizar una declaracin objetiva de que los servicios y productos cumplen unos requisitos especficos, ya sean del sector reglamentario o del voluntario. Poltica de seguridad Conjunto de normas reguladoras, reglas y prcticas que determinan el modo en que los activos, incluyendo la informacin considerada como sensible, son gestionados, protegidos y distribuidos dentro de una organizacin. Ministerio de Administraciones Pblicas pgina 120 (de 154)
Magerit versin 2
4.1.4. Referencias

ISO/IEC 17799:2005, Information technology -- Code of practice for information security management, 2005. UNE 71502:2004, Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI), 2004. UNE-ISO/IEC 17799:2002, Tecnologa de la Informacin. Cdigo de Buenas Prcticas de la Gestin de la Seguridad de la Informacin, 2002. ISO Guide 72:2001, Guidelines for the justification and development of management system standards, 2001. European Co-Operation for Accreditation, Guidelines for the Accreditation of Bodies Operating Certification / Registration of Information Security Management Systems, EA-7/03, February 2000.
4.2. Criterios comunes de evaluacin (CC)

La necesidad de evaluar la seguridad de un sistema de informacin aparece muy temprano de la mano de los procesos de adquisicin de equipos del Departamento de Defensa de los EEUU que, en 1983, publica el llamado Libro Naranja (TCSEC Trusted Computer System Evaluation Criteria). El objetivo es especificar sin ambigedad qu se necesita por parte del comprador y qu se ofrece por parte del vendedor, de forma que no haya malentendidos sino un esquema transparente de evaluacin, garantizando la objetividad de las adquisiciones. La misma necesidad lleva a la aparicin de iniciativas europeas como ITSEC (Information Technology Security Evaluation Criteria). A mediados de los aos 90, existe en el mundo una proliferacin de criterios de evaluacin que dificulta enormemente el comercio internacional, llegndose a un acuerdo de convergencia que recibe el nombre de Common Criteria for Information Technology Security Evaluation, normalmente conocidos como Criterios Comunes o por sus siglas, CC. Los CC, adems de la necesidad de un entendimiento universal, capturan la naturaleza cambiante de las tecnologas de la informacin que, en el periodo desde 1980, han pasado de estar centradas en los equipos de computacin, a englobar sistemas de informacin mucho ms complejos. Los CC permiten 1. definir las funciones de seguridad 50 de los productos y sistemas (en tecnologas de la informacin) y 2. determinar los criterios para evaluar [la calidad] de dichas funciones. Es esencial la posibilidad que los CC abren para que la evaluacin sea objetiva y pueda realizarse por una tercera parte (ni por el proveedor, ni por el usuario) de forma que la eleccin de salvaguardas adecuadas se vea notablemente simplificada para las organizaciones que necesitan mitigar sus riesgos. La administracin espaola, y otras muchas, reconocen las certificaciones de seguridad emitidas en otros pases en base al Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el Campo de la Tecnologa de la Informacin 51. La evaluacin de un sistema es la base para su certificacin. Para certificar es necesario disponer de
50 En CC se emplea una terminologa propia, rigurosa pero no siempre intuitiva. Ms adelante se recoge la definicin precisa de cada trmino en el contexto de los CC. 51 El da 23 de mayo de 2000 tuvo lugar en Baltimore (Maryland, Estados Unidos) la ratificacin de la adhesin de Alemania, Australia, Canad, Espaa, Estados Unidos, Finlandia, Francia, Grecia, Italia, Noruega, Nueva Zelanda, Pases Bajos y Reino Unido, al Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la Seguridad de la Tecnologa de la Informacin (en lo sucesivo Arreglo). Posteriormente, se han incorporado Israel, Suecia, Austria, Turqua, Hungra, Japn, Repblica Checa, Corea, Singapur e India. Vase http://www.csi.map.es/csi/pg3433.htm.
pgina 121 (de 154)
Magerit versin 2 2. una metodologa, que marque cmo se lleva a cabo la evaluacin
1. unos criterios, que definen el significado de los elementos que se van a evaluar 3. un esquema de certificacin 52 que fije el marco administrativo y regulatorio bajo el que se realiza la certificacin
De esta forma se puede garantizar la objetividad del proceso; es decir, construir la confianza en que los resultados de un proceso de certificacin son vlidos universalmente, independientemente de dnde se realice la certificacin. Dado que [la calidad de] la seguridad requerida de un sistema no es siempre la misma, sino que depende de para qu se quiera emplear, CC establece una escala de niveles de aseguramiento 53: EAL0: sin garantas EAL1: probado funcionalmente EAL2: probado estructuralmente EAL3: probado y chequeado metdicamente EAL4: diseado, probado y revisado metdicamente EAL5: diseado y probado semi-formalmente EAL6: diseado, probado y verificado semi-formalmente EAL7: diseado, probado y verificado formalmente Los niveles superiores requieren un mayor esfuerzo de desarrollo y de evaluacin, ofreciendo a cambio unas grandes garantas a los usuarios. Por ejemplo, en el mbito de la firma electrnica, los dispositivos seguros de firma suelen certificarse contra un perfil de nivel EAL4+ 54.
4.2.1. Beneficiarios
Los CC se dirigen a una amplia audiencia de potenciales beneficiarios de la formalizacin de los conceptos y elementos de evaluacin: los consumidores (usuarios de productos de seguridad), los desarrolladores y los evaluadores. Un lenguaje comn entre todos ellos se traduce en ventajas apreciables:
52 El Real Decreto 421/2004 de 12 de marzo, regula las funciones del Centro Criptolgico Nacional, entre cuyas funciones aparece la de constituir el organismo de certificacin del esquema nacional de evaluacin y certificacin de la seguridad de las tecnologas de informacin, de aplicacin a productos y sistemas en su mbito. El esquema nacional puede encontrarse en http://www.oc.ccn.cni.es/ . 53 EAL: Evaluation Assurance Level 54 Cuando un producto est entre dos niveles, se indica su nivel inferior seguido de un signo + que se lee como aumentado. As, un producto evaluado EAL4+ significa que cumple todos los niveles de calidad del nivel 4 y algunos de niveles superiores.
pgina 122 (de 154)
Magerit versin 2
Para los consumidores que pueden expresar sus necesidades, antes de adquirir los servicios o productos que las satisfagan; esta caracterizacin puede resultar til tanto en adquisiciones individuales, como en la identificacin de necesidades de grupos de usuarios

que pueden analizar las caractersticas de los servicios o productos que ofrece el mercado que pueden comparar diferentes ofertas
Para los desarrolladores que saben qu se les va a exigir y cmo se van a evaluar sus desarrollos

que saben, objetivamente, qu requieren los usuarios que pueden expresar sin ambigedad lo que hacen sus desarrollos
Para los evaluadores que disponen de un marco formalizado para saber qu tienen que evaluar y cmo tienen que calificarlo Para todo el mundo que dispone de unos criterios objetivos que permiten aceptar las certificaciones realizadas en cualquier parte Todos estos participantes convergen sobre un objeto a evaluar denominado TOE (Target Of Evaluation), que no es sino el servicio o producto (de seguridad) cuyas caractersticas (de seguridad) se quieren evaluar. Cuando un anlisis de riesgos expone la relacin de salvaguardas adecuadas, estas pueden venir expresadas en terminologa CC, lo que permite engarzar con las ventajas citadas, convirtindose en una especificacin normalizada.
4.2.2. Requisitos de seguridad

Dado un sistema se pueden determinar, a travs de un anlisis de riesgos, qu salvaguardas se requieren y con qu calidad. Este anlisis puede hacerse sobre un sistema genrico o sobre un sistema concreto. En CC, el conjunto de requisitos que se le exigen a un sistema genrico se denomina perfil de proteccin (PP Protection Profile). Si no se est hablando de un sistema genrico, sino de un sistema concreto, el conjunto de requisitos se conoce como declaracin de seguridad (ST Security Target). Los PP, dado su carcter genrico, cubren diferentes productos concretos. Suelen ser preparados por grupos de usuarios u organismos internacionales que quieren modelar el mercado 55. Los ST, dado su carcter especfico, cubren un producto concreto. Suelen ser preparados por los propios fabricantes que de esta manera formalizan su oferta 56. CC determina los apartados en que debe estructurarse un PP o un ST. El ndice de estos documentos es un buen indicador de su alcance:
55 Un ejemplo tpico de PP podra ser aquel que fija las caractersticas de seguridad que se deben exigir a un cortafuegos. 56 Un ejemplo tpico de ST podra ser aquel que fija las caractersticas de seguridad del modelo 3000 del fabricante XXL S.A., un modelo que permite cifrar las comunicaciones telefnicas.
pgina 123 (de 154)
Magerit versin 2 PP- perfil de proteccin Introduction TOE description Security environment assumptions threats organizational security policies Security objectives for the TOE for the environment Security requirements for the environment TOE functional requirements TOE assurance requirements Application notes Rationale
Evaluacin y certificacin ST declaracin de seguridad Introduction TOE description Security environment assumptions threats organizational security policies Security objectives for the TOE for the environment Security requirements for the environment TOE functional requirements TOE assurance requirements TOE summary specification PP claims PP reference PP tailoring PP additions Rationale
Los PP y los ST pueden ser a su vez sometidos a una evaluacin formal que verifique su completitud e integridad. Los PP as evaluados pueden pasar a registros pblicos para ser compartidos por diferentes usuarios. En la elaboracin de un ST se hace referencia a los PP a los que se acoge.
4.2.3. Creacin de perfiles de proteccin

La generacin de un PP o un ST es bsicamente un proceso de anlisis de riesgos donde el analista, habiendo determinado el dominio del anlisis (el TOE en terminologa de CC), identifica amenazas y determina, a travs de los indicadores de impacto y riesgo, las salvaguardas que se requieren. En la terminologa de CC, las salvaguardas requeridas se denominan requisitos de seguridad y se subdividen en dos grandes grupos requisitos funcionales de seguridad (functional requirements)

qu hay que hacer? definen el comportamiento funcional del TOE est el TOE bien construido? es eficaz? satisface el objetivo para el que se requiere? es eficiente? alcanza sus objetivos con un consumo razonable de recursos?
requisitos de garanta de la funcionalidad de la seguridad (assurance requirements)

Es importante destacar que CC establece un lenguaje comn para expresar los objetivos funcionales y de aseguramiento. Es necesario pues que el anlisis de riesgos utilice esta terminologa en la seleccin de salvaguardas. La norma CC nos proporciona en su parte 2 el catlogo estandarizado de objetivos funcionales, mientras que en su parte 3 nos proporciona el catlogo estandarizado de objetivos de aseguramiento.
pgina 124 (de 154)
Magerit versin 2 Parte 2: Requisitos funcionales FAU: Security audit FCO: Communication FCS: Cryptographic support FDP: User data protection FIA: Identification and authentication FMT: Security management FPR: Privacy FPT: Protection of the TOE security functions FRU: Resource utilisation FTA: TOE access FTP: Trusted path / channels
Evaluacin y certificacin Parte 3: Requisitos de garanta ACM: Configuration management ADO: Delivery and operation ADV: Development AGD: Guidance documents ALC: Life cycle support ATE: Tests AVA: Vulnerability assessment APE: PP evaluation ASE: ST evaluation
4.2.4. Uso de productos certificados

Cuando un TOE ha sido certificado de acuerdo a un PP o un ST, segn convenga en cada caso, se puede tener la certeza de que dicho TOE satisface las necesidades y adems las satisface con la calidad requerida (por ejemplo, EAL4). La certificacin de un sistema o producto no es garanta ciega de idoneidad: es necesario cerciorarse de que el PP o ST respecto del que se han certificado satisface los requisitos de nuestro sistema. El anlisis de riesgos nos ha permitido elaborar el PP o el ST o, en ocasiones, seleccionar un conjunto apropiado a nuestro mapa de riesgos. Pero lo esencial es que de anlisis de riesgos se han obtenido unos requisitos de seguridad cuya satisfaccin permitir mantener impacto y riesgo residuales bajo control. En la medida en que un producto certificado se ajusta a un PP o ST que satisface nuestras necesidades, la gestin de riesgos se reduce a adquirir el producto, instalarlo y operarlo en las condiciones adecuadas. Es importante destacar que tanto los PP como los ST incluyen una seccin denominada hiptesis (assumptions) en la que se establecen una serie de prerrequisitos que debe satisfacer el entorno operacional en el que se instala TOE. No se hace sino reconocer que el mejor producto, inadecuadamente instalado u operado, es incapaz de garantizar la satisfaccin de los objetivos globales. Por ello, los productos certificados son componentes muy slidos de un sistema; pero adems hay que garantizar su entorno para asegurar el sistema completo.
4.2.5. Terminologa
Debido a que su objetivo es servir de referencia internacional y sustentar evaluaciones y certificaciones, los criterios comunes deben ser muy precisos en su terminologa. En el texto previo se han venido introduciendo los trminos segn se necesitaban; estos trminos se recogen formalmente a continuacin: Assurance (garanta) Base de la confianza en que una entidad cumple sus objetivos de seguridad. Evaluation (evaluacin) Valoracin de un PP, ST o TOE frente a criterios definidos. Evaluation Assurance Level (EAL) (nivel de garanta de evaluacin) Paquete que consiste en componentes de garanta de la Parte 3 y que representa un nivel en la escala de garanta predefinida de CC.
pgina 125 (de 154)
Magerit versin 2
Evaluation authority (autoridad de evaluacin) Organismo que implementa los CC para una comunidad especfica mediante un esquema de evaluacin por el que se establecen las normas y se supervisa la calidad de las evaluaciones realizadas por organismos de dicha comunidad. Evaluation scheme (esquema de evaluacin) Marco administrativo y regulador bajo el que una autoridad de evaluacin aplica los CC en una comunidad especfica. Formal Expresado en un lenguaje de sintaxis restringida con una semntica definida basada en conceptos matemticos bien establecidos. Informal Expresado en lenguaje natural. Organisational security policies (Polticas de seguridad organizativas ) Una o ms reglas de seguridad, procedimientos, prcticas o directrices impuestas por una organizacin sobre sus operaciones. Product (producto) Paquete de software, firmware y/o hardware de TI que proporciona una funcionalidad diseado para su uso o su incorporacin en una gran variedad de sistemas. Protection Profile (PP) (perfil de proteccin) Conjunto de requisitos de seguridad, independiente de la implementacin, para una categora de TOEs que satisfacen unas necesidades especficas del consumidor. Security objective (objetivo de seguridad) Declaracin de la intencin de contrarrestar las amenazas identificadas y/o de cumplir las polticas e hiptesis de seguridad identificadas de la organizacin. Security Target (ST) (declaracin de seguridad) Conjunto de requisitos de seguridad y especificaciones utilizados como base de la evaluacin de un TOE identificado. Semiformal Expresado en un lenguaje de sintaxis restringida con semntica definida. System (sistema) Instalacin especfica de TI, con un propsito y en un entorno particulares. Target of Evaluation (TOE) (objeto a evaluar) Producto o sistema de TI y sus manuales de administrador y de usuario asociados que se somete a evaluacin. TOE Security Functions (TSF) (funciones de seguridad del TOE) Conjunto compuesto de todo el hardware, firmware y software del TOE con el que hay que contar para la correcta aplicacin de la TSP. TOE Security Policy (TSP) (poltica de seguridad del TOE) Conjunto de reglas que regulan cmo se gestionan, protegen y distribuyen los activos en el TOE.
4.2.6. Referencias

Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la Seguridad de las Tecnologas de la Informacin, Mayo, 2000. CC, Common Criteria for Information Technology Security Evaluation, Version 2.3, 2005.
Part 1: Introduction and general model pgina 126 (de 154)
Magerit versin 2

Part 2: Security functional requirements Part 3: Security assurance requirements Tambin publicados como norma ISO/IEC 15408:2005, partes -1, -2 y -3.
ITSEC, European Commission, Information Technology Security Evaluation Criteria, version 1.2, 1991. TCSEC, Department of Defence, Trusted Computer System Evaluation Criteria, DOD 5200.28-STD, Dec. 1985.
pgina 127 (de 154)
Magerit versin 2
Herramientas
Apndice 5. Herramientas
La realizacin de un proyecto AGR supone trabajar con una cierta cantidad de activos que rara vez baja de las decenas y que habitualmente son algunos centenares. El nmero de amenazas tpicamente est del orden de las decenas, mientras que el nmero de salvaguardas est en los millares. Todo ello nos indica que hay que manejar multitud de datos y combinaciones entre ellos, lo que lleva lgicamente a buscar apoyo de herramientas automticas. Como requisitos generales, una herramienta de apoyo a los proyectos AGR debe:

permitir trabajar con un conjunto amplio de activos, amenazas y salvaguardas; permitir un tratamiento flexible del conjunto de activos para acomodar un modelo cercano a la realidad de la Organizacin; ser utilizada a lo largo de los tres procesos que constituyen el proyecto, especialmente como soporte al proceso P2, Anlisis de Riesgos y no ocultar al analista el razonamiento que lleva a las conclusiones.
Las herramientas pueden hacer un tratamiento cualitativo o cuantitativo de la informacin. La opcin entre uno y otro planteamiento ha sido motivo de largo debate. Los modelos cualitativos ofrecen resultados tiles antes que los modelos cuantitativos, simplemente porque la captura de datos cualitativa es ms gil que la cuantitativa 57. Los modelos cualitativos son eficaces relativizando lo ms importante de lo que no es tan importante; pero agrupan las conclusiones en grandes grupos. Los modelos cuantitativos, por el contrario, consiguen una ubicacin precisa de cada aspecto. Impacto y riesgo residual pueden ser cualitativos hasta que aparecen grandes inversiones y hay que determinar su racionalidad econmica: qu es lo que interesa ms? En este punto se necesitan nmeros. Una opcin mixta es til: un modelo cualitativo para el sistema de informacin completo, con capacidad de entrar en un modelo cuantitativo para aquellos componentes cuya proteccin va a requerir fuertes desembolsos. Tambin es cierto que el modelo de valor de una Organizacin debe emplearse durante largo tiempo, al menos durante los aos que dure el plan de seguridad para analizar el efecto de la ejecucin de los programas. Es notablemente ms dificultoso generar un modelo de valor desde cero que ir adaptando un modelo existente a la evolucin de los activos del sistema y a la evolucin de los servicios que presta la Organizacin. En esta evolucin continua puede afrontarse la progresiva migracin de un modelo cualitativo inicial hacia un modelo cada vez ms cuantitativo. Es de destacar que los datos de caracterizacin de las posibles amenazas son datos tentativos en los primeros modelos; pero la experiencia permite ir ajustando las valoraciones a la realidad. Sean herramientas cualitativas o cuantitativas, estas deben:

Manejar un catlogo razonablemente completo de tipos de activos. En esta lnea se orienta el captulo 2 del "Catlogo de Elementos". Manejar un catlogo razonablemente completo de dimensiones de valoracin. En esta lnea se orienta el captulo 3 del "Catlogo de Elementos". Ayudar a valorar los activos ofreciendo criterios de valoracin. En esta lnea se orienta el captulo 4 del "Catlogo de Elementos". Manejar un catlogo razonablemente completo de amenazas. En esta lnea se encamina el captulo 5 del "Catlogo de Elementos".
57 Hay que valorar activos y esta es una tarea de consenso. Tanto la valoracin como la bsqueda del consenso son notablemente ms rpidas si hay que determinar un orden de magnitud que si hay que determinar un nmero absoluto.
pgina 128 (de 154)
Magerit versin 2

Herramientas
Manejar un catlogo razonablemente completo de salvaguardas. En esta lnea se orienta el captulo 6 del "Catlogo de Elementos". Evaluar el impacto y el riesgo residuales.
Es interesante que las herramientas puedan importar y exportar los datos que manejan en formatos fcilmente procesables por otras herramientas, cabiendo citar
XML Extended Markup Language que es la opcin tomada en esta gua, que establece formatos XML de intercambio CSV Comma Separated Values
5.1. PILAR
PILAR, acrnimo de Procedimiento Informtico-Lgico para el Anlisis de Riesgos es una herramienta desarrollada bajo especificacin del Centro Nacional de Inteligencia para soportar el anlisis de riesgos de sistemas de informacin siguiendo la metodologa Magerit. La herramienta soporta todas las fases del mtodo Magerit:

Caracterizacin de los activos: identificacin, clasificacin, dependencias y valoracin Caracterizacin de las amenazas Evaluacin de las salvaguardas
La herramienta incorpora los catlogos del "Catlogo de Elementos" permitiendo una homogeneidad en los resultados del anlisis:

tipos de activos dimensiones de valoracin criterios de valoracin catlogo de amenazas
Para incorporar este catlogo, PILAR diferencia entre el motor de clculo de riesgos y la biblioteca de elementos, que puede ser reemplazada para seguir el paso de la evolucin en el tiempo de los catlogos de elementos. La herramienta evala el impacto y el riesgo, acumulado y repercutido, potencial y residual, presentndolo de forma que permita el anlisis de por qu se da cierto impacto o cierto riesgo. Las salvaguardas se califican por fases, permitiendo la incorporacin a un mismo modelo de diferentes situaciones temporales. Tpicamente se puede incorporar el resultado de los diferentes programas de seguridad a lo largo de la ejecucin del plan de seguridad, monitorizando la mejora del sistema. Los resultados se presentan en varios formatos: informes RTF, grficas y tablas para incorporar a hojas de clculo. De esta forma es posible elaborar diferentes tipos de informes y presentaciones de los resultados. Por ltimo, la herramienta calcula calificaciones de seguridad siguiendo los epgrafes de normas de iure o de facto de uso habitual. Caben citarse:

Criterios de Seguridad, normalizacin y conservacin UNE-ISO/IEC 17799:2002: sistemas de gestin de la seguridad RD 994/1999: datos de carcter personal
Por ltimo hay que destacar que PILAR incorpora tanto los modelos cualitativo como cuantitativo, pudiendo alternarse entre uno y otro para extraer el mximo beneficio de las posibilidades tericas de cada uno de ellos.
pgina 129 (de 154)
Magerit versin 2
Herramientas
5.2. Referencias
CARVER Criticality, Accessibility, Recuperability, Vulnerability, Effect, and Recognizability, National Infrastructure Institutes Center for Infrastructure Expertise, USA. COBRA Security Risk Analysis & Assessment, and ISO 17799 / BS7799 Compliance, C&A Systems Security Ltd, UK. CRAMM CCTA Risk Analysis and Management Method. Insight Consulting. UK. The CRAMM Risk Analysis and Management Method is owned, administered and maintained by the Security Service on behalf of the UK Government. EBIOS Mthode pour lExpression des Besoins et lIdentification des Objectifs de Scurit. Service Central de la Scurit des Systmes d'Information. France. RIS2K Soporte de Magerit v1.0. Ministerio de Administraciones Pblicas. Espaa. PILAR Procedimiento Informtico-Lgico para el Anlisis de Riesgos. Centro Nacional de Inteligencia. Ministerio de Defensa. Espaa.
pgina 130 (de 154)
Magerit versin 2
Evolucin de Magerit
Apndice 6. Evolucin de Magerit versin 1.0

La versin 1.0 de Magerit, publicada en 1997 ha resistido en su mayor parte el paso del tiempo, ratificndose en lo fundamental. No obstante, el tiempo pasado permite mejorar notablemente aquella primera versin. Esta segunda versin no parte con nimo de ruptura, sino que se plantea con nimo de mejora, adaptndola al tiempo presente e incorporando la experiencia de estos aos. Las siguientes secciones servirn de gua dentro de la versin 2 a los profesionales familiarizados con la versin 1.
6.1. Libro I. Gua de aproximacin a la seguridad de los sistemas de informacin

En estos aos la consciencia de la necesidad de la seguridad ha avanzado enormemente y ya no se ha considerado necesario una aproximacin tan general. La introduccin es ms sucinta y toda la gua se centra en el anlisis y gestin de riesgos. La Gua de Aproximacin sealaba una serie de salvaguardas, denominadas mnimas, que siguen vigentes: 1. Documentacin de la poltica de seguridad 2. Asignacin de funciones y responsabilidades 3. Responsabilidades del usuario en el acceso 4. Proceso de seleccin 5. Comportamiento ante incidentes 6. Controles fsicos de seguridad 7. Seguridad del equipamiento 8. Cumplimiento de obligaciones jurdicas 9. Proteccin, transporte y destruccin 10. Gestin externa de servicios Todos ellos recogidos en el catlogo de salvaguardas que se incluye en el "Catlogo de Elementos". Esta gua no pretende en cambio extenderse en estas salvaguardas, sino que prefiere referir al lector a la abundante bibliografa disponible, tanto tcnica como de organismos internacionales de normalizacin.
6.2. Libro II. Gua de procedimientos

El submodelo de elementos se respeta en su mayor parte, aunque se evita la voz submodelo en beneficio de una terminologa ms directa. El trmino vulnerabilidad (de los activos frente a las amenazas), origen de algunas confusiones, se ha sustituido por una denominacin genrica de valoracin de las amenazas que, como antes, se traduce en dos medidas: frecuencia de ocurrencia y degradacin del activo. El concepto de impacto recibe un trato de primer rango, paralelo al de riesgo. Los tipos de activos han merecido captulo ntegro en el Catlogo de Elementos. En particular se recomienda no introducir como activos los valores intangibles de la Organizacin que se incorporarn al modelo como criterios de valoracin (tambin en captulo ntegro en el Catlogo de Elementos)
pgina 131 (de 154)
Magerit versin 2
mide el inters de los
Evolucin de Magerit
activos activos
sufren una se materializan sobre los
amenazas amenazas
valor valor
permiten estimar el
degradacin degradacin
causan una cierta ocurren con una cierta
impacto impacto
permiten estimar el
frecuencia frecuencia
limitan el perjuicio
riesgo riesgo
mitigan el
reducen la ocurrencia (preventivas)
salvaguardas salvaguardas
limitan el riesgo a un valor
riesgo residual riesgo residual
El submodelo de procesos se ha redenominado aproximacin formal. Las etapas de la versin 1.0 han evolucionado a procesos en esta versin 2. La Etapa 1, Planificacin del anlisis y gestin de riesgos, se reproduce en el proceso P1, manteniendo la estructura de actividades y tareas. La Etapa 2, Anlisis de riesgos, se ha reordenado en el proceso P2, con una estructuracin ms sistemtica. Es explcito el anlisis de las salvaguardas existentes. Se eleva la medida de impacto de mero paso intermedio a resultado final. Se formalizan los informes emitidos. De la Etapa 3, Gestin del riesgo, la primera tarea, Interpretacin del riesgo, pasa a ser el colofn del proceso P2, diferencindola de la tarea de Calificacin de los riesgos que si es parte del proceso P3. Las etapas E3, Gestin del riesgo, y E4, Seleccin de salvaguardas se han condensado en el proceso P3 que se vertebra alrededor de la generacin de un Plan de Seguridad, reconociendo que la seleccin e implantacin de mecanismos de seguridad es frecuentemente objeto de proyectos de envergadura que conviene singularizar dentro de un marco estratgico que garantice la unidad de objetivo. Globalmente, el proceso P2 se convierte en subsidiario del proceso P3, que recurrir a aquel para todos los replanteamiento evolutivos; o sea, reclculo de los valores residuales de impacto y riesgo.
6.3. Libro III. Gua de tcnicas

Se ha aligerado notablemente, mantenindose los procesos Delphi de valoracin en escenarios de incertidumbre, las tcnicas grficas y los modelos de clculo mediante tablas y algoritmos, que se exponen con ms detalle por ser tcnicas especficas de los proyectos de anlisis y gestin de riesgos. Se presentan como libro anejo.
6.4. Libro IV. Gua para desarrolladores de aplicaciones

El paso de Mtrica v2.1 a Mtrica v3.0 ha supuesto una completa revisin de este punto. Aqu aparece en el captulo de Desarrollo de Sistemas Informticos, enfatizando primero el desarrollo de aplicaciones aisladas y luego el proceso de desarrollo de sistemas de informacin completos.
pgina 132 (de 154)
Magerit versin 2
Evolucin de Magerit
6.5. Libro V. Gua para responsables del dominio protegible

Toda esta informacin se ha distribuido en la nueva estructuracin. Hay partes en la aproximacin informal, en el mtodo formal, en los consejos prcticos y en el "Catlogo de Elementos".
6.6. Libro VI. Arquitectura de la informacin y especificaciones de la interfaz para el intercambio de datos
Se presentaba un modelo de datos orientado a una herramienta, lo que se ha considerado excesivo detalle para una gua metodolgica. Lo que si se incluye en esta nueva versin es una serie de especificaciones XML para el intercambio de informacin. Esta gua incluye la estructura para compartir modelos de valor (activos) y el "Catlogo de Elementos" incluye estructuras para compartir otros tipos de informacin.
6.7. Libro VII. Referencia de normas legales y tcnicas

Actualizada, pasa al apndice 3 de esta gua.
pgina 133 (de 154)
Magerit versin 2
Caso prctico
Apndice 7. Caso prctico

A ttulo de ejemplo, este apndice analiza el caso de una unidad administrativa que utiliza sistemas de informacin propios y de terceros para sus tareas internas y para prestar servicios de atencin a los ciudadanos (administracin electrnica). El ejemplo slo pretende ser ilustrativo, sin que el lector deba derivar mayores consecuencias o conclusin alguna de obligado cumplimiento. Incluso ante los mismos impactos y riesgos, las soluciones pueden ser diferentes, sin poder extrapolarse ciegamente de una a otra circunstancia. En particular hay que destacar el papel de la Direccin de la Organizacin como ltimo punto de decisin respecto de qu poltica adoptar para mantener impactos y riesgos bajo control. Buena parte del texto que sigue presenta la situacin en palabras normales, tal y como puede llegarle al equipo de trabajo a lo largo de las entrevistas. Es la misin de este equipo traducir el conocimiento adquirido a los trminos formales definidos por esta metodologa.
7.1. La historia
La unidad objeto de estudio no es de nueva creacin, sino que lleva aos tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema informtico propio. A este sistema informtico se le ha aadido recientemente una conexin a un archivo central que funciona como memoria histrica: permite recuperar datos y conservar los expedientes cerrados. La ltima novedad consiste en ofrecer un servicio propio de la administracin electrnica, en el que los usuarios pueden realizar sus tramitaciones va web, usando su NIF como identificacin, mas una contrasea personal. El mismo sistema de tramitacin es usado localmente por un funcionario que atiende a los ciudadanos que se personan en las dependencias de la unidad. El responsable del proyecto de administracin electrnica, alarmado por las noticias aparecidas en los medios sobre la inseguridad de Internet, y sabiendo que un fallo en el servicio conllevara un serio dao a la imagen de su unidad, asume el papel de promotor. En este papel escribe un informe interno 58, dirigido al director de la unidad, en el que da cuenta de

los medios informticos con que se est trabajando y los que se van a instalar las incidencias acaecidas desde que la unidad existe las incertidumbres que le causa el uso de Internet para la prestacin del servicio
En base a dicho informe argumenta la conveniencia de lanzar un proyecto AGR. La direccin, convencida de la necesidad de tomar medidas antes de que ocurra una desgracia, crea un comit de seguimiento formado por los responsables de los servicios involucrados: atencin a usuarios, asesora jurdica, servicios informticos y seguridad fsica. Se determina que el alcance del proyecto (actividad A1.2) ser el servicio de tramitacin electrnica, presencial y remoto. Tambin se estudiar la seguridad de la informacin que se maneja: expedientes. Respecto del equipamiento, se analizarn equipos y redes de comunicaciones. Se toma la decisin de dejar fuera del estudio elementos que pudieran ser relevantes en un anlisis ms detallado como pudieran ser los datos de identificacin y autenticacin de los usuarios de los sistemas, las reas de trabajo del personal que los maneja, la sala de equipos (centro de proceso de datos) y las personas relacionadas con el proceso. Esta previsto lanzar un futuro proyecto AGR ms detallado que profundice en dichos aspectos. Explcitamente se excluir la evaluacin de la seguridad de los servicios subsidiarios que se emplean. El anlisis es local, circunscrito a la unidad que nos ocupa. Dichos servicios remotos se consideran, a efectos de este anlisis, opacos; es decir, que no entraremos en analizar cmo se prestan.
58 Como es habitual, en estas fases iniciales el proyecto no est formalizado; no obstante, se est realizando el Informe Preliminar resultado de la actividad A1.1. Estudio de oportunidad.
pgina 134 (de 154)
Magerit versin 2
Caso prctico
El lanzamiento del proyecto (actividad A1.4) incluye una reunin de la direccin con el comit de seguimiento en la que se exponen los puntos principales del anlisis somero realizado por el promotor que queda habilitado como director del proyecto AGR en el que participaran dos personas de su equipo junto con un contrato de asesora establecido con una empresa consultora externa. Uno de los miembros del equipo interno tendr un perfil tcnico: ingeniero de sistemas. A la consultora externa se le exige identificar nominalmente a las personas que van a participar y firmar un acuerdo de confidencialidad. El proyecto se anuncia internamente mediante comunicacin general a todo el personal de la unidad y notificacin personal a aquellas personas que se vern directamente afectadas. En estas comunicaciones se identifican las personas responsables del proyecto.
7.2. Proceso P2: Anlisis de riesgos

La fase de anlisis de riesgos arranca con una serie de entrevistas a los responsables designados por el comit de seguimiento, entrevistas en las que participan

la persona de enlace, como introductor el personal de la consultora externa como director de la entrevista el personal propio como secretario: acta de la reunin y recopilacin de datos
Servicio de tramitacin
El servicio de tramitacin se presta por medio de una aplicacin informtica desarrollada en el pasado sobre una base de datos. A esta aplicacin se accede a travs de una identificacin local del usuario que controla sus privilegios de acceso. En la faceta de tramitacin presencial, es la persona que est atendiendo al usuario final la que se identifica frente al sistema. En el caso de la tramitacin remota, el el propio administrado quien se identifica. Toda la tramitacin incluye una fase de solicitud (y entrada de datos) y una fase de respuesta (y entrega de datos). El usuario realiza su solicitud y espera una notificacin para recoger la respuesta. La notificacin es por correo, certificado en el caso de tramitacin presencial, y electrnico en el caso de tramitacin electrnica. Iniciar una tramitacin supone abrir un expediente que se almacena localmente en la oficina. Tambin supone recabar una serie de datos del archivo central de informacin, datos que se copian localmente. Al cierre del expediente, los datos y un informe de las actuaciones realizadas se remiten al archivo central para su custodia, eliminndose la informacin de los equipos locales. El personal de la unidad se identifica por medio de su cuenta de usuario, mientras que los usuarios remotos se identifican por su NIF. En ambos casos el sistema requiere una contrasea para autenticarlos. Por ltimo, hay que destacar el papel que presta la mensajera electrnica en todo el proceso de tramitacin, usado tanto como medio interno de comunicacin entre el personal, y como mecanismo de notificacin a los usuarios externos. Como norma, no se debe emplear el correo como transporte de documentos; estos siempre sern servidos por medio de accesos web.
Servicio de archivo central

En forma de intranet, se presta un servicio centralizado de archivo y recuperacin de documentos. Los usuarios acceden por medio de una interfaz web local, que se conecta por medio de una red privada virtual con el servidor remoto, identificndose por medio de su NIF. Este servicio slo est disponible para el personal de la unidad y para el empleado virtual que presta el servicio de tramitacin remota.
Equipamiento informtico
La unidad dispone de varios equipos personales de tipo PC situados dentro de los locales. Estos equipos disponen de un navegador web, de un cliente de correo electrnico sin almacenamiento local de los mensajes y un paquete ofimtico estndar (procesador de textos y hoja de clculo). Ministerio de Administraciones Pblicas pgina 135 (de 154)
Magerit versin 2
Caso prctico
Existe una capacidad de almacenamiento local de informacin en el disco del PC, del que no se realizan copias de seguridad; es ms, existe un procedimiento de instalacin / actualizacin que borra el disco local y reinstala el sistema ntegro. Los equipos no disponen de unidades de disco removible de ningn tipo: disquetes, CD, DVD, USB, etc. Se dispone de un servidor de tamao medio, de propsito general, dedicado a las tareas de:

servidor de ficheros servidor de mensajera electrnica, con almacenamiento local y acceso va web servidor de bases de datos: expedientes en curso e identificacin de usuarios servidor web para la tramitacin remota y para la intranet local
Comunicaciones
Se dispone de una red de rea local que cubre las dependencias de trabajo y la sala de equipos. Est explcitamente prohibida la instalacin de mdems de acceso remoto y redes inalmbricas, existiendo un procedimiento rutinario de inspeccin. Existe una conexin a Internet, de ADSL, contratada a un operador comercial. Sobre este enlace se prestan mltiples servicios

servicio (propio) de tramitacin remota servicio de correo electrnico (como parte del servicio de tramitacin remota) servicio (propio) de acceso a informacin red privada virtual con el archivo central
La conexin a Internet se realiza nica y exclusivamente a travs de un cortafuegos que limita las comunicaciones a nivel de red, permitiendo nicamente:

el intercambio de correo electrnico con el servidor de correo el intercambio web con el servidor web
La red privada virtual con el archivo central utiliza una aplicacin informtica software. La red se establece al inicio de la jornada, cortndose automticamente a la hora de cierre. En el establecimiento los equipos terminales se reconocen mutuamente y establecen una clave de sesin para la jornada. No hay intervencin de ningn operador local. Hay una sensacin de que muchos servicios dependen de la conexin a Internet. Adems, en el pasado ha habido incidencias tales como cortes de servicio debidos a obras municipales y a una deficiente prestacin del servicio por parte del proveedor. Por todo ello: 1. se ha establecido un contrato de servicio que establece un cierto nivel de calidad, por encima del cual el operador debe abonar unas indemnizaciones pactadas de antemano en proporcin al periodo de interrupcin o a la lentitud (insuficiente volumen de datos transmitidos en periodos determinados de tiempo) del enlace. 2. se ha contratado con otro proveedor un enlace digital (RDSI) de respaldo, enlace que habitualmente no est establecido, pero que se activa automticamente cuando el enlace ADSL se interrumpe durante ms de 10 minutos Durante la entrevista se descubre que estos enlaces se prestan sobre la misma acometida de red telefnica que presta los servicios de voz de la unidad.
Seguridad fsica
El personal trabaja en los locales de la unidad, principalmente en zonas interiores, salvo una serie de terminales en los puntos de atencin al pblico. El acceso a las zonas interiores est limitado a las horas de oficina, quedando cerrado con llave fuera de dicho horario. En horas de oficina hay un control de entrada que identifica a los empleados y registra su hora de entrada y de salida. Ministerio de Administraciones Pblicas pgina 136 (de 154)
Magerit versin 2
Caso prctico
La sala de equipos es simplemente una habitacin interior que permanece cerrada con llave, de la que es custodio el administrador de sistemas. La sala dispone de un sistema de deteccin y extincin de incendios que se revisa anualmente. Esta sala dista 50 metros de la canalizacin de agua ms cercana. Los locales de la unidad ocupan ntegramente la planta 4 de un edificio de oficinas de 12 plantas. Los controles de acceso son propios de la unidad, no del edificio, que es de uso compartido con otras actividades. No hay ningn control sobre qu hay en el piso de arriba o en el piso de abajo.
7.2.1. Tarea T2.1.1. Identificacin de activos

Resultado de las anteriores entrevistas se determina trabajar 59 con el siguiente conjunto de activos 60:
El sistema descrito es, evidentemente, ms complejo; pero el nmero de activos significativos se ha reducido drsticamente para que el ejemplo sea realmente simple, centrado en la casustica tpica que se desea ilustrar.
59 En este apndice se utilizar la herramienta PILAR en su versin de anlisis cualitativo. 60 La relacin de activos agrupa a estos en tres capas (en negrita). La estructuracin en capas es mero artilugio de ordenacin de la informacin. En cada capa se indican qu activos hay de cara tipo. Se ha empleado la relacin del Catlogo de Elementos, captulo 2. Tipos de activos.
pgina 137 (de 154)
Magerit versin 2
Caso prctico
7.2.2. Tarea T2.1.2: Dependencias

Teniendo en cuenta las dependencias para operar (disponibilidad) y de almacenamiento de datos (integridad y confidencialidad), se ha determinado la siguiente matriz de dependencias entre activos: [S_T_presencial]
[S_T_remota]
[SW_exp]
[archivo]
[firewall]
[D_exp]
[S_T_presencial] [S_T_remota] [D_exp] [email] [archivo] [SW_exp] [PC] [SRV] [firewall] [LAN] [ADSL]
Estas tablas se pueden representar grficamente, cuidando de que no haya una saturacin de dependencias; es decir, rara vez se puede presentar todo el sistema en un slo grfico. Para el caso de los datos de expedientes en curso, el grfico de dependencias queda as:
[ADSL] pgina 138 (de 154)
[email]
[SRV]
[LAN]
[PC]
Magerit versin 2
Caso prctico
7.2.3. Tarea T2.1.3: Valoracin

La direccin est preocupada por el potencial abuso de los procesos de tramitacin, algunos de los cuales pueden incluir el abono de cantidades econmicas importantes, bien a beneficio de la Organizacin, bien a beneficio de los usuarios. La existencia de un mvil econmico puede incitar al abuso tanto al personal interno como a los usuarios remotos, existiendo una especial incomodidad relacionada con la impunidad de atacantes que pudieran perpetrar ataques desde cualquier remoto punto del planeta. Tambin hay una especial sensibilidad relativa a la disponibilidad de los servicios. En particular hay preocupacin porque no se pudiera atender una demanda presencial. Los servicios web a usuarios externos, se consideran emblemticos y se quieren cuidar con esmero para dar una imagen de modernidad, eficacia y vocacin de servicio. Todo lo que suponga dar una mala imagen, bien porque no est disponible el servicio, bien porque se presta de forma errnea, bien porque las incidencias no son atendidas con presteza, ..., todas estas situaciones se quieren evitar en la medida de lo posible. Las bases de datos locales hospedan informacin relativa a personas que quedarn adscritos al nivel medio dentro de la calificacin de datos de carcter personal. En vista de todo ello, se ha consensuado la siguiente valoracin 61 de los activos del sistema. Slo se han valorado explcitamente los activos superiores del rbol de dependencias, que quedan de la siguiente manera: dimensiones de seguridad activo [S_T_remota] Tramitacin remota [D_exp] Expedientes en curso [D]
(1)
[I]
[C] [A_S] [A_D] [T_S] [T_D] [7](2) [7](5) [6](3) [6](6) [5](9) [5](10)
[S_T_presencial] Tramitacin presencial [5]
[3](4) [5](7) [6](8)
Concretamente, los niveles se han asignado por las siguientes razones (llamadas en la tabla anterior): (1) (2) [5.da] Probablemente cause la interrupcin de actividades propias de la Organizacin con impacto en otras organizaciones [7.da] Probablemente cause una interrupcin seria de las actividades propias de la Organizacin con un impacto significativo en otras organizaciones [5.lro] Obligaciones legales: probablemente sea causa de incumplimiento de una ley o regulacin [6.pi2] Informacin personal: probablemente quebrante seriamente la ley o algn reglamento de proteccin de informacin personal [3.da] Probablemente cause la interrupcin de actividades propias de la Organizacin [7.da] Probablemente cause una interrupcin seria de las actividades propias de la Organizacin con un impacto significativo en otras organizaciones [6.pi1] Informacin personal: probablemente afecte gravemente a un grupo de individuos [5.lro] Obligaciones legales: probablemente sea causa de incumplimiento de una ley o regulacin [6.pi2] Informacin personal: probablemente quebrante seriamente la ley o algn reglamento de proteccin de informacin personal [5.da] Probablemente cause la interrupcin de actividades propias de la Organizacin
(3) (4) (5)
(6) (7)
61 Para cada activo se indica su valoracin en cada dimensin de seguridad. Como criterios de valoracin se ha empleado el captulo 4. Criterios de valoracin del Catlogo de Elementos. Como dimensiones de seguridad se ha empleado la relacin del captulo 3. Dimensiones de valoracin del Catlogo de Elementos.
pgina 139 (de 154)
Magerit versin 2 (8)
Caso prctico
con impacto en otras organizaciones [6.pi2] Informacin personal: probablemente quebrante seriamente la ley o algn reglamento de proteccin de informacin personal (9) [5.lro] Obligaciones legales: probablemente sea causa de incumplimiento de una ley o regulacin (10) [5.lro] Obligaciones legales: probablemente sea causa de incumplimiento de una ley o regulacin Cuando esta valoracin se propaga a travs del rbol de dependencias 62, resulta la siguiente tabla de valor acumulado en cada uno de los activos del sistema (se muestra sobre fondo blanco lo que es valor propio, y sobre fondo de color lo que es acumulado): dimensiones de seguridad activo [S_T_presencial] Tramitacin presencial [S_T_remota] Tramitacin remota [D_exp] Expedientes en curso [email] Mensajera electrnica [archivo] Archivo histrico central [SW_exp] Tramitacin de expedientes [PC] Puestos de trabajo [SRV] Servidor [firewall] Cortafuegos [LAN] Red local [ADSL] Conexin a Internet [D] [5] [3] [5] [5] [5] [5] [5] [5] [5] [5] [5] [5] [5] [5] [5] [5] [5] [5] [6] [6] [6] [6] [6] [6] [6] [5] [6] [I] [C] [A_S] [A_D] [T_S] [T_D] [7] [7] [7] [7] [7] [7] [7] [7] [7] [7] [7] [5] [5] [5] [5] [5] [5] [5] [5] [6] [6] [6] [6] [6] [6] [6] [6] [6] [6] [6] [5] [5] [5] [5] [5] [5] [5] [5]
En este punto se obtiene el Modelo de Valor 63 de la organizacin.
62 Ver Gua de Tcnicas seccin 2.2.1. Modelo cualitativo. 63 Ver Apndice 4.1. Modelo de valor del Catlogo de Elementos.
pgina 140 (de 154)
Magerit versin 2
Caso prctico
7.2.4. Actividad A2.2: Caracterizacin de las amenazas

Siendo difcil, por no decir imposible, caracterizar lo que podra ocurrirle a los activos si no hubiera salvaguardas desplegadas, se recurre a una calificacin estndar de las amenazas tpicas sobre los activos teniendo en cuenta su naturaleza y su valor. Con todas estas consideraciones, y a ttulo ilustrativo, la siguiente tabla 64 muestra las amenazas que se han considerado tpicas para el caso de los expedientes administrativos.
dimensiones de seguridad activo / amenaza [D_exp] Expedientes en curso [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.14] Escapes de informacin [E.15] Alteracin de la informacin [E.16] Introduccin de falsa informacin [E.17] Degradacin de la informacin [E.18] Destruccin de la informacin [E.19] Divulgacin de informacin [A.4] Manipulacin de la configuracin [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.15] Modificacin de informacin [A.16] Introduccin de falsa informacin [A.17] Corrupcin de la informacin [A.18] Destruccin de la informacin [A.19] Divulgacin de informacin 10 1 1 0,5 1 10 100 10 10 1 0,1 100 10 10 20 10 10 10 50% 100% 50% 50% 50% 1% 10% 50% 10% 50% 100% 100% 100% 100% 10% 50% 50% 50% 1% 1% 1% frecuencia D I C A_S A_D T_S T_D
50% 50% 100% 100% 100% 100% 100% 10% 10% 20% 20% 10% 10% 10% 20% 20% 50% 50% 50% 10% 10% 50% 50% 50% 50% 1%
Ntese que hay una diferencia entre la percepcin del usuario y las amenazas potenciales en el sistema. Esta diferencia se debe a la existencia de salvaguardas, que se tendr en cuenta ms adelante. En este punto se obtiene el Mapa de Riesgos 65 de la organizacin.
64 La primera columna muestra las amenazas tpicas sobre el activo. La segunda columna recoge la frecuencia de ocurrencia expresada como tasa anual (incidencias por ao). Las dems columnas recogen la degradacin del activo expresada como porcentaje de su valor. Hay una columna por dimensin de seguridad (vase Catlogo de Elementos, captulo 3. Dimensiones de valoracin). 65 Ver Apndice 4.2. Mapa de riesgos del Catlogo de Elementos.
pgina 141 (de 154)
Magerit versin 2
Caso prctico
7.2.5. Actividad A2.4: Estimacin de impacto y riesgo

Sin tener todava en cuenta las salvaguardas, se derivan las siguientes estimaciones de impacto y riesgo acumulado sobre los diferentes activos. Las tablas siguientes recogen para cada activo (filas) la estimacin de impacto y riesgo en cada dimensin de seguridad (columnas).
Impacto acumulado 66
Riesgo acumulado 67
66 Para el clculo del impacto acumulado se sigue lo indicado en la seccin 2.1.3. Paso 4: Determinacin del impacto, donde se tiene en cuenta el valor acumulado sobre el activo (en la citada dimensin) y la degradacin causada por la amenaza (en la citada dimensin). Vase tambin la seccin 2.2.1. Modelo cualitativo de la Gua de Tcnicas. 67 Para el clculo del riesgo acumulado se sigue lo indicado en la seccin 2.1.4. Determinacin del riesgo, donde se incorpora la frecuencia estimada de ocurrencia de la amenaza. Se utiliza un modelo tabular similar al descrito en la seccin 2.1. Anlisis mediante tablas de la Gua de Tcnicas. Se utiliza una escala de {0} a {5} para calibrar el riesgo.
pgina 142 (de 154)
Magerit versin 2
Caso prctico
Impacto repercutido 68
En estas tablas se analiza cada activo (superior) valorado en s mismo (con valor propio) y se hace un seguimiento de aquellos otros activos (inferiores) de los que depende. Cuando las amenazas se materializan sobre los activos inferiores, el perjuicio repercute sobre los superiores.
68 Para el clculo del impacto repercutido se sigue lo indicado en la seccin 2.1.3. Paso 4: Determinacin del impacto, donde se utiliza el valor propio del activo superior y la degradacin causada por la amenaza sobre el activo inferior indicado.
pgina 143 (de 154)
Magerit versin 2
Caso prctico
Riesgo repercutido 69
69 Para el clculo del riesgo repercutido se sigue lo indicado en la seccin 2.1.4. Determinacin del riesgo, donde se incorpora la frecuencia estimada de ocurrencia de la amenaza sobre el activo inferior indicado.
pgina 144 (de 154)
Magerit versin 2
Caso prctico
7.2.6. Actividad A2.3: Caracterizacin de las salvaguardas

A la hora de evaluar el estado de seguridad de la unidad bajo estudio, hay que indagar una serie de aspectos generales y una serie de aspectos especficos de cada activo. En esta indagacin hay que tener en cuenta tanto la naturaleza de los activos como su valor y las amenazas a que est expuesto. En aspectos generales hay que averiguar

cmo se organiza la seguridad: responsables, toma de decisiones, contactos externos, etc. si hay una identificacin de roles del personal, asociados a privilegios de acceso s hay segregacin efectiva de tareas si existe una poltica de seguridad documentada y revisada peridicamente cmo se gestionan las incidencias cmo se gestionan los registros de actividad si existe un plan de contingencia: gestin de emergencias, continuidad y recuperacin si existe normativa y procedimientos de uso, conocidos y empleados si hay una planificacin de capacidades si hay mecanismos de prevencin del repudio si hay mecanismos de prevencin de ataques de denegacin de servicio cmo se gestionan los usuarios qu registro queda de lo que se hace si hay un inventario de ficheros, con identificacin de responsable si existe normativa y procedimientos de uso, conocidos y empleados si se hacen copias de respaldo y con qu calidad si se han previsto mecanismos para garantizar el secreto si se han previsto mecanismos para garantizar la integridad si se han previsto mecanismos de registro de acceso cmo se gestiona su mantenimiento cmo se controla su configuracin, en particular de usuarios y derechos de acceso si se ha inspeccionado el cdigo, especialmente frente a puertas traseras de acceso si existe normativa y procedimientos de uso, conocidos y empleados cmo se gestionan los usuarios cmo se controla el contenido de los mensajes y de los ficheros adjuntos

Respecto de los servicios prestados por la Organizacin, hay que averiguar

Respecto de los datos manejados por la Organizacin, hay que averiguar

Respecto de los aplicativos en uso, hay que averiguar

Respecto del servicio de mensajera (email), hay que averiguar

desde el punto de vista de fugas de informacin desde el punto de vista de inyeccin de programas dainos (por ejemplo, virus) desde el punto de vista de autenticidad del origen
cmo se asegura la disponibilidad del servicio pgina 145 (de 154)
Magerit versin 2 Respecto del servicio de archivo, hay que averiguar

Caso prctico
si existe normativa y procedimientos de uso, conocidos y empleados cmo se controla quin accede a su uso cmo se garantiza el secreto de los datos que transportan cmo se garantiza su disponibilidad si existe normativa y procedimientos de uso, conocidos y empleados cmo se gestiona su mantenimiento cmo se controla su configuracin, en particular de usuarios y derechos de acceso cmo se garantiza su disponibilidad si existe normativa y procedimientos de uso, conocidos y empleados cmo se controla quin accede a su uso cmo se garantiza el secreto de los datos que transportan cmo se garantiza su disponibilidad
Respecto del equipamiento informtico, hay que averiguar

Respecto de las comunicaciones, hay que averiguar

Tenga en cuenta el lector que esto es slo un ejemplo que no pretende ser exhaustivo. Se han referenciado los aspectos ms relevantes; no todos. Es especialmente de destacar la ausencia de un anlisis de las instalaciones fsicas y del personal, que han quedado fuera por mantener el ejemplo reducido.. Indagando se averigua que:
Existe una poltica de seguridad heredada de la Organizacin matriz de la unidad que nos ocupa. Al ser una unidad de pequeas dimensiones, existe un responsable nico de seguridad que informa directamente a la Direccin y es el contacto frente a otras organizaciones. Adems existe un procedimiento local de escalado de incidencias que puede provocar un escalado ms all de la propia unidad. El servidor central hospeda una tabla para controlar qu privilegios de acceso tiene cada usuario, en particular diferenciando la capacidad administrativa para dar curso a los expedientes a lo largo de su proceso. Toda la actividad se registra en un fichero al que slo se tiene acceso el operador y que se remite diariamente al archivo central. Los procedimientos de trabajo con los sistemas no estn escritos. Se confa en que las propias aplicaciones web adapten las actividades que se pueden realizar en cada momento segn el estado del expediente en curso y los privilegios del usuario. S se realiza un registro de todas y cada una de las actuaciones del personal sobre los servicios web. Para el proceso manual existen una serie de impresos disponibles con instrucciones incluidas sobre cundo usarlos, qu datos proporcionar y cmo tramitarlos. Una persona de la unidad tiene las funciones de operador, encargndose de todas las tareas de instalacin, configuracin y resolucin de incidencias. Esta persona dispone de procedimientos escritos para las actividades rutinarias; pero debe improvisar en situaciones atpicas, para las que puede recurrir al soporte tcnico de la Organizacin matriz. No existe ningn plan de contingencia (ms all del proceso manual de las actividades). Existen contratos de mantenimiento con los suministradores de los equipos y de los programas bsicos: sistema operativo, ofimtica, correo y servidores web. Los usuarios internos son administrados por el operador, que requiere solicitud por escrito de altas, bajas y cambios. Dicha solicitud debe venir firmada por el gerente.
pgina 146 (de 154)
Magerit versin 2
Caso prctico
Los usuarios externos se dan de alta personalmente, indicando su NIF. Para recabar su contrasea deben personarse fsicamente la primera vez. Una vez registrados no se hace un seguimiento de las cuentas, que duran indefinidamente. Tanto los usuarios internos como externos se identifican por medio de un nombre de usuario y una contrasea. Todos reciben unas someras instrucciones sobre cmo elegir contraseas; pero no se verifica que las cumplan, ni que las contraseas se cambien regularmente. Se ha realizado recientemente una auditora de los datos de carcter personal, habiendo sido superada plenamente en todos los aspectos. Los datos procedentes del archivo central se consideran correctos. Los datos introducidos por los ciudadanos deben ser validados por el personal de la unidad. Los datos introducidos por los usuarios internos deben ser validados por un segundo usuario; normalmente los introduce una persona y los valida quien firma el progreso del expediente. El aplicativo de tramitacin de expedientes es suministrado por la Organizacin matriz, considerndose de calidad suficiente. Se ha instalado un sistema anti-virus y se ha contratado un servicio de mantenimiento 24x7 a travs de la Organizacin matriz con un tiempo de respuesta inferior a 1 da. El servicio de mensajera se centraliza en el servidor de forma que el acceso de los usuarios internos es a travs de una interfaz web. Sistemticamente se elimina todo tipo de anexo en el correo saliente y se analiza con el anti-virus los anexos del correo entrante. El servicio de archivo central es un servicio prestado externamente que se va a considerar de calidad suficiente. En un anlisis ms detallado habr que entrar en la prestacin de este servicio. Las comunicacin a Internet responde a un contrato ADSL estndar, no habindose realizado un estudio de necesidades, ni estar prevista ninguna clusula contractual de calidad de servicio o ampliacin de capacidad. La conexin al archivo central se realiza sobre Internet, usando una red privada virtual que se establece entre los extremos. Esta red est configurada y mantenida desde el archivo central, sin tener capacidad local de configuracin alguna. Se considerar de calidad suficiente.
En este punto se obtiene la Evaluacin de Salvaguardas 70 de la organizacin.
Insuficiencias detectadas
Cotejados los descubrimientos, se aprecian las siguientes insuficiencias:
La segregacin de tareas es adecuada excepto en el caso del administrador de sistemas que dispone de amplia capacidad de acceso a todos los sistemas, instalaciones y configuraciones. Debera existir un plan de contingencia: gestin de emergencias, plan de continuidad y plan de recuperacin. Deberan existir procedimientos escritos para todas las tareas ordinarias y para las incidencias previsibles, incluyendo todas las que se hayan dado en el pasado. Debera realizarse un estudio del uso de la conexin ADSL y su evolucin para poder planificar una ampliacin de capacidad. Tambin debera establecerse con el proveedor un acuerdo de calidad de servicio. Deberan establecerse mecanismos para detectar y reaccionar a un ataque de denegacin de servicio.
70 Ver Apndice 4.3. Evaluacin de salvaguardas del Catlogo de Elementos.
pgina 147 (de 154)
Magerit versin 2
Caso prctico
Debera hacerse un seguimiento de las cuentas de los usuarios externos, al menos detectando largos periodos de inactividad, intentos de penetracin y comportamientos anmalos en general. El uso de contraseas como mecanismo de autenticacin se considera dbil, recomendndose el uso de tarjetas criptogrficas de identificacin.
En este punto se obtiene el Informe de Insuficiencias 71 de la organizacin.
7.2.7. Actividad A2.4: Estimacin del estado de riesgo

Conocidos el Modelo de Valor, el Mapa de Riesgos y la Evaluacin de Salvaguardas se procede a la estimacin del los indicadores de impacto y riesgo, tanto acumulados (sobre los activos inferiores) como repercutidos (sobre los activos superiores).
Impacto acumulado residual 72
Riesgo acumulado residual 73
71 Ver Apndice 4.5. Informe de insuficiencias del Catlogo de Elementos. 72 Para el clculo del impacto residual se sigue lo indicado en la seccin 2.1.6. Revisin del paso 4: impacto residual. Vase tambin la seccin 2.2.1. Modelo cualitativo de la Gua de Tcnicas. 73 Para el clculo del riesgo residual se sigue lo indicado en la seccin 2.1.7. Revisin del paso 5: riesgo residual. Vase tambin la seccin 2.1. Anlisis mediante tablas de la Gua de Tcnicas.
pgina 148 (de 154)
Magerit versin 2
Caso prctico
Impacto repercutido residual
pgina 149 (de 154)
Magerit versin 2
Caso prctico
Riesgo repercutido residual
En este punto se obtiene el Estado de Riesgo 74 de la organizacin. Este Estado de Riesgo viene documentado por el informe de Evaluacin de Salvaguardas que recoge de despliegue actual de seguridad, y el Informe de Insuficiencias 75 que recoge las debilidades descubiertas.
7.3. Proceso P3: Gestin de riesgos

7.3.1. Actividad A3.1: Toma de decisiones
Vistos los indicadores de riesgo residual y las insuficiencias de la unidad, la Direccin decide clasificar en los siguientes niveles los programas de seguridad a desarrollar: De carcter urgente P1: Desarrollar un plan de contingencia P2: Monitorizar y gestionar las cuentas de usuarios externos Consideraciones importantes P3.1: Documentar todos los procedimientos de trabajo, revisando los actuales y aadiendo los que falten P3.2: Segregar las funciones del administrador de sistemas
74 Ver Apndice 4.4. Estado de riesgo del Catlogo de Elementos. 75 Ver Apndice 4.5. Informe de insuficiencias del Catlogo de Elementos.
pgina 150 (de 154)
Magerit versin 2 Temas a considerar en el futuro

Caso prctico
Uso de tarjetas de identificacin Relaciones con el proveedor de comunicaciones para garantizar la calidad del servicio Contratacin de un servicio alternativo de comunicaciones Medidas frente a ataques de denegacin de servicio
7.3.2. Actividad A3.2: Plan de seguridad

Todas las consideraciones anteriores hay que plasmarlas en un Plan de Seguridad 76 que organiza las actividades de forma planificada y gestionada. El desarrollo del plan de contingencia (programa P1) se traduce en un proyecto especfico para el que 1. este ao se realizar una estimacin de costes del proyecto y una solicitud de propuestas que se completar con la adjudicacin a un contratista externo 2. a la vista de la oferta ganadora se destinarn fondos el ao que viene para la realizacin del plan; en esta realizacin se incluirn todas las tareas administrativas (dimensionado, seleccin de soluciones, procedimientos, etc.), exceptundose las posibles ejecuciones de obra civil o contratacin de servicios externalizados de continuidad, que sern objeto de futuras licitaciones Para la monitorizacin de cuentas (programa P2) se lanza un proyecto para el desarrollo de un sistema de gestin de cuentas que incluya la deteccin de intrusiones y el lanzamiento de alarmas. Se estima que este proyecto se puede lanzar inmediatamente y que su duracin ser de un ao. Para la documentacin de todos los procedimientos (programa P3.1) se recurrir a una ampliacin del contrato de consultora y asesoramiento que la Organizacin matriz tiene actualmente. En esta ampliacin, consultores externos se encargarn de recabar la informacin pertinente, completando los manuales actuales. Esta tarea no se acometer hasta el prximo ejercicio. En la elaboracin de procedimientos se definirn las tareas especficas de un operador (local) y un administrador (remoto) de forma que se alcance el objetivo del programa P3.2. Se negocia con archivo central la disposicin de un servicio centralizado de administracin, dejando a nivel local las meras funciones de operacin. Por ltimo se recaba de la Organizacin matriz informacin sobre el uso de tarjetas de identificacin corporativas e incluso del DNI electrnico, como medios que pudieran utilizarse en el futuro para mejorar la autenticidad de los usuarios. Para el prximo ejercicio se contratar un estudio de las modificaciones requeridas para incorporar dichos mecanismos, tanto para los usuarios internos como para los usuarios externos. Parte de ese estudio ser un plan detallado de realizacin, que en ningn caso se acometer antes de dos aos.
76 Ver Apndice 4.6. Plan de seguridad del Catlogo de Elementos.
pgina 151 (de 154)
Magerit versin 2
Caso prctico
7.3.3. Evolucin de los indicadores de impacto y riesgo

Las siguientes figuras muestran la evolucin de los indicadores de impacto y riesgo, acumulado y repercutido, en tres instantes de la gestin del sistema de informacin sometido a estudio:

sin salvaguardas en el momento presente tras la ejecucin de los programas P1, P2 y P3 del plan de seguridad
Impacto acumulado
Riesgo acumulado
pgina 152 (de 154)
Magerit versin 2
Caso prctico
Impacto repercutido
Riesgo repercutido
pgina 153 (de 154)
Magerit versin 2
Caso prctico
7.3.4. Calificacin segn los Criterios de Seguridad del CSAE

Los Criterios de Seguridad, Normalizacin y Conservacin de las Aplicaciones Utilizadas para el Ejercicio de Potestades proporcionan en su libro de Criterios de Seguridad una larga relacin de salvaguardas que deben implantarse en los sistemas. La siguiente grfica muestra el grado de satisfaccin de dichos criterios a lo largo del desarrollo del plan de seguridad:
7.3.5. Calificacin segn la norma ISO/IEC 17799:2005

La norma ISO/IEC 17799:2005, Code of practice for information security management 77, define una serie de controles recomendables para sistemas de gestin de la seguridad de la informacin (SGSI). La siguiente grfica muestra el grado de satisfaccin de dichos criterios a lo largo del desarrollo del plan de seguridad:
77 Cuando se edita este documento, no existe una traduccin oficial de la norma; el texto de los epgrafes puede ser diferente cuando se publique la traduccin oficial.
pgina 154 (de 154)
II - Catlogo de Elementos
Magerit versin 2
ndice
1. Introduccin ...................................................................................................................5 2. Tipos de activos.............................................................................................................6
2.1. Relacin de tipos....................................................................................................................6 2.2. Datos de carcter personal ..................................................................................................11 2.3. Datos clasificados ................................................................................................................11 2.3.1. Ley de secretos oficiales ..............................................................................................13 2.4. Sintaxis XML ........................................................................................................................14 2.5. Referencias ..........................................................................................................................14
3. Dimensiones de valoracin ........................................................................................16

3.1. Relacin de dimensiones .....................................................................................................16 3.2. Sintaxis XML ........................................................................................................................17 3.3. Referencias ..........................................................................................................................18
4. Criterios de valoracin ................................................................................................19

4.1. Escala estndar....................................................................................................................20 4.2. Sintaxis XML ........................................................................................................................25 4.3. Referencias ..........................................................................................................................26
5. Amenazas .....................................................................................................................27
5.1. [N] Desastres naturales........................................................................................................27 5.2. [I] De origen industrial ..........................................................................................................28 5.3. [E] Errores y fallos no intencionados....................................................................................31 5.4. [A] Ataques intencionados....................................................................................................35 5.5. Correlacin de errores y ataques .........................................................................................41 5.6. Amenazas por tipo de activos ..............................................................................................42 5.6.1. [S] Servicios..................................................................................................................42 5.6.2. [D] Datos / Informacin .................................................................................................43 5.6.3. [SW] Aplicaciones (software)........................................................................................43 5.6.4. [HW] Equipos informticos (hardware) .........................................................................43 5.6.5. [COM] Redes de comunicaciones ................................................................................44 5.6.6. [SI] Soportes de informacin ........................................................................................44 5.6.7. [AUX] Equipamiento auxiliar .........................................................................................45 5.6.8. [L] Instalaciones............................................................................................................45 5.6.9. [P] Personal ..................................................................................................................45 5.6.10. Disponibilidad .............................................................................................................46 5.7. Sintaxis XML ........................................................................................................................46 5.8. Referencias ..........................................................................................................................47
6. Salvaguardas ...............................................................................................................48
6.1. Salvaguardas de tipo general...............................................................................................48 6.2. Salvaguardas para la proteccin de los servicios ................................................................49 6.3. Salvaguardas para la proteccin de los datos / informacin................................................49 6.4. Salvaguardas para la proteccin de las aplicaciones (software) .........................................50 6.5. Salvaguardas para la proteccin de los equipos (hardware) ...............................................50 6.6. Salvaguardas para la proteccin de las comunicaciones ....................................................50 6.7. Seguridad fsica....................................................................................................................51 6.8. Salvaguardas relativas al personal ......................................................................................51 6.9. Externalizacin .....................................................................................................................51 6.10. Referencias ........................................................................................................................52
Apndice 1. Notacin XML..............................................................................................53 Apndice 2. Fichas ..........................................................................................................54 Apndice 3. Modelo de valor ..........................................................................................82
3.1. Formato XML........................................................................................................................82
Apndice 4. Informes.......................................................................................................84
4.1. Modelo de valor....................................................................................................................84 4.2. Mapa de riesgos...................................................................................................................84 4.3. Evaluacin de salvaguardas ................................................................................................85 Ministerio de Administraciones Pblicas pgina 3 (de 87)
Magerit versin 2 4.4. Estado de riesgo ..................................................................................................................85 4.5. Informe de insuficiencias......................................................................................................85 4.6. Plan de seguridad ................................................................................................................86
pgina 4 (de 87)
Magerit versin 2
Introduccin
1. Introduccin
El objetivo de este catlogo de elementos que aparecen en un proyecto de anlisis y gestin de riesgos es doble: 1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles tem estndar a los que puedan adscribirse rpidamente, centrndose en lo especfico del sistema objeto del anlisis. 2. Por otra, homogeneizar los resultados de los anlisis, promoviendo una terminologa y unos criterios que permitan comparar e incluso integrar anlisis realizados por diferentes equipos. Persiguiendo estos objetivos, y sabiendo que la tecnologa cambia rpidamente, las secciones que siguen describen un catlogo 1 que marca unas pautas en cuanto a Tipos de activos, sabiendo que aparecern nuevos tipos de activos continuamente. Dimensiones de valoracin, sabiendo que en casos especficos pueden aparecer dimensiones especficas; pero en la certidumbre de estar recogido lo esencial. Criterios de valoracin, sabiendo que hay un fuerte componente de estimacin por los expertos; pero marcando una primera pauta de homogeneidad. El nimo es relativizar el valor de los diferentes activos en sus diferentes dimensiones de valoracin, de forma que no slo se propone una escala dentro de una dimensin, sino que tambin se propone cmo se relacionan las diferentes dimensiones entre s. Amenazas, sabiendo que no todas las amenazas son significativas sobre todos los sistemas; pero con una razonable esperanza de que este catlogo crezca lentamente. Salvaguardas, sabiendo que es un terreno extremadamente complejo por su riqueza de tecnologas, productos y combinaciones ingeniosas de elementos bsicos. Las salvaguardas se tratan con un enfoque de identificacin de necesidades por parte de los responsables de los sistemas de informacin, mientras que se tratan con un enfoque de controles de eficacia y eficiencia por los auditores de sistemas. Se ha intentado un lenguaje intermedio que satisfaga a ambos colectivos. Cada seccin incluye una notacin XML que se emplear para publicar los elementos en un formato estndar capaz de ser procesado automticamente por herramientas de anlisis y gestin.
1 Este catlogo deber adaptarse a la evolucin de los sistemas de informacin. Es por ello que para cada categora de elementos se define una notacin XML que permitir publicar gilmente actualizaciones de este catlogo.
pgina 5 (de 87)
Magerit versin 2
Tipos de activos
2. Tipos de activos
La tipificacin de los activos es tanto un informacin documental de inters como un criterio de identificacin de amenazas potenciales y salvaguardas apropiadas a la naturaleza del activo. La siguiente tabla no puede ser exhaustiva, ni tan siquiera vlida para siempre. Consulte las referencias. La relacin que sigue clasifica los activos dentro de una jerarqua, determinando para cada uno un cdigo que refleja su posicin jerrquica, un nombre y una breve descripcin de las caractersticas que recoge el epgrafe. Ntese que las pertenencia de un activo a un tipo no es excluyente de su pertenencia a otro tipo; es decir, un activo puede ser simultneamente de varios tipos.
2.1. Relacin de tipos

[S] Servicios Funcin que satisface una necesidad de los usuarios (del servicio). Para la prestacin de un servicio se requieren una serie de medios. Los servicios aparecen como activos de un anlisis de riesgos bien como servicios finales (prestados por la Organizacin a terceros), bien como servicios instrumentales (donde tanto los usuarios como los medios son propios), bien como servicios contratados (a otra organizacin que los proporciona con sus propios medios). As se encuentran servicios pblicos prestados por la Administracin para satisfacer necesidades de la colectividad; servicios empresariales prestados por empresas para satisfacer necesidades de sus clientes; servicios internos prestados por departamentos especializados dentro de la Organizacin, que son usados por otros departamentos u empleados de la misma; etc. Al centrarse esta gua en la seguridad de las tecnologas de la informacin y las comunicaciones, es natural que aparezcan servicios de informacin, servicios de comunicaciones, servicios de seguridad, etc. sin por ello ser bice para encontrar otros servicios requeridos para el eficaz desempeo de la misin de la organizacin.
[anon] annimo (sin requerir identificacin del usuario) [pub] al pblico en general (sin relacin contractual) [ext] a usuarios externos (bajo una relacin contractual) [int] interno (usuarios y medios de la propia organizacin) [cont] contratado a terceros (se presta con medios ajenos) [www] world wide web [telnet] acceso remoto a cuenta local [email] correo electrnico [file] almacenamiento de ficheros [ftp] transferencia de ficheros [edi] intercambio electrnico de datos [dir] [idm] [ipm] [pki] servicio de directorio (1) gestin de identidades (2) gestin de privilegios PKI - infraestructura de clave pblica (3)
1. Localizacin de personas (pginas blancas), empresas o servicios (pginas amarillas); permitiendo la identificacin y facilitando los atributos que caracterizan al elemento determinado. 2. Servicios que permiten altas y bajas de usuarios de los sistemas, incluyendo su caracterizacin y activando los servicios de aprovisionamiento asociados a sus cambios de estado respecto de la organizacin. 3. Servicios asociados a sistemas de criptografa de clave pblica, incluyendo especialmente la gestin de certificados.
pgina 6 (de 87)
Magerit versin 2 [D] Datos / Informacin
Tipos de activos
Elementos de informacin que, de forma singular o agrupados de alguna forma, representan el conocimiento que se tiene de algo. Los datos son el corazn que permite a una organizacin prestar sus servicios. Son en cierto sentido un activo abstracto que ser almacenado en equipos o soportes de informacin (normalmente agrupado en forma de bases de datos) o ser transferido de un lugar a otro por los medios de transmisin de datos. Es habitual que en un anlisis de riesgos e impactos, el usuario se limite a valorar los datos, siendo los dems activos meros sirvientes que deben cuidar y proteger los datos que se les encomiendan.
[vr] datos vitales (vital records) (1) [com] datos de inters comercial (2) [adm] datos de inters para la administracin pblica [int] datos de gestin interna [voice] voz [multimedia] multimedia [source] cdigo fuente [exe] cdigo ejecutable [conf] datos de configuracin [log] registro de actividad (log) [test] datos de prueba [per] [A] [M] [B] datos de de nivel de nivel de nivel carcter personal (3) alto medio bsico
[label] datos clasificados (4) [S] secreto [R] reservado [C] confidencial [DL] difusin limitada [SC] sin clasificar
1. Dcese de aquellos que son esenciales para la supervivencia de la Organizacin; es decir que su carencia o dao afectara directamente a la existencia de la Organizacin. Se pueden identificar aquellos que son imprescindibles para que la Organizacin supere una situacin de emergencia, aquellos que permiten desempear o reconstruir las misiones crticas, aquellos sustancian la naturaleza legal o los derechos financieros de la Organizacin o sus usuarios. 2. Dcese de aquellos que tienen valor para la prestacin de los servicios propios de la organizacin. 3. Dcese de cualquier informacin concerniente a personas fsicas identificadas o identificables. Los datos de carcter personal estn regulados por leyes y reglamentos en cuanto afectan a las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente su honor e intimidad personal y familiar. 4. Dcese de aquellos sometidos a normativa especfica de control de acceso y distribucin; es decir aquellos cuya confidencialidad es especialmente relevante. La tipificacin de qu datos deben ser clasificados y cuales son las normas para su tratamiento, vienen determinadas por regulaciones sectoriales, por acuerdos entre organizaciones o por normativa interna.
pgina 7 (de 87)
Magerit versin 2 [SW] Aplicaciones (software)
Tipos de activos
Con mltiples denominaciones (programas, aplicativos, desarrollos, etc.) este epgrafe se refiere a tareas que han sido automatizadas para su desempeo por un equipo informtico. Las aplicaciones gestionan, analizan y transforman los datos permitiendo la explotacin de la informacin para la prestacin de los servicios. No preocupa en este apartado el denominado cdigo fuente o programas que sern datos de inters comercial, a valorar y proteger como tales. Dicho cdigo aparecera como datos.
[prp] desarrollo propio (in house) [sub] desarrollo a medida (subcontratado) [std] estndar (off the shelf) [browser] navegador web [www] servidor de presentacin [app] servidor de aplicaciones [email_client] cliente de correo electrnico [file] servidor de ficheros [dbms] sistema de gestin de bases de datos [tm] monitor transaccional [office] ofimtica [av] anti virus [os] sistema operativo [ts] servidor de terminales [backup] sistema de backup
pgina 8 (de 87)
Magerit versin 2 [HW] Equipos informticos (hardware)
Tipos de activos
Dcese de bienes materiales, fsicos, destinados a soportar directa o indirectamente los servicios que presta la organizacin, siendo pues depositarios temporales o permanentes de los datos, soporte de ejecucin de las aplicaciones informticas o responsables del procesado o la transmisin de datos.
[host] grandes equipos (1) [mid] equipos medios (2) [pc] informtica personal (3) [mobile] informtica mvil (4) [pda] agendas electrnicas [easy] fcilmente reemplazable (5) [data] que almacena datos (6) [peripheral] perifricos [print] medios de impresin (7) [scan] escneres [crypto] dispositivos criptogrficos [network] soporte de la red (8) [modem] mdems [hub] concentradores [switch] conmutadores [router] encaminadores [bridge] pasarelas [firewall] cortafuegos [wap] punto de acceso wireless [pabx] centralita telefnica
1. Se caracterizan por haber pocos, frecuentemente uno slo, ser econmicamente gravosos y requerir un entorno especfico para su operacin. Son difcilmente reemplazables en caso de destruccin. 2. Se caracterizan por haber varios, tener un coste econmico medio tanto de adquisicin como de mantenimiento e imponer requerimientos estndar como entorno de operacin. No es difcil reemplazarlos en caso de destruccin. 3. Se caracterizan por ser multitud, tener un coste econmico relativamente pequeo e imponer solamente unos requerimientos mnimos como entorno de operacin. Son fcilmente reemplazables en caso de destruccin. 4. Se caracterizan por ser equipos afectos a la clasificacin como informtica personal que, adems, son fcilmente transportables de un sitio a otro, pudiendo estar tanto dentro del recinto propio de la organizacin como en cualquier otro lugar. 5. Son aquellos equipos que, en caso de avera temporal o definitiva pueden ser reemplazados pronta y econmicamente. 6. Son aquellos equipos en los que los datos permanecen largo tiempo. En particular, se clasificarn de este tipo aquellos equipos que disponen de los datos localmente, a diferencia de aquellos que slo manejan datos en trnsito. 7. Dcese de impresoras y servidores de impresin. 8. Dcese de equipamiento necesario para transmitir datos: routers, mdems, etc.
pgina 9 (de 87)
Magerit versin 2 [COM] Redes de comunicaciones
Tipos de activos
Incluyendo tanto instalaciones dedicadas como servicios de comunicaciones contratados a terceros; pero siempre centrndose en que son medios de transporte que llevan datos de un sitio a otro.
[PSTN] red telefnica [ISDN] rdsi (red digital) [X25] X25 (red de datos) [ADSL] ADSL [pp] punto a punto [radio] red inalmbrica [sat] por satlite [LAN] red local [MAN] red metropolitana [Internet] Internet [vpn] red privada virtual
[SI] Soportes de informacin En este epgrafe se consideran dispositivos fsicos que permiten almacenar informacin de forma permanente o, al menos, durante largos periodos de tiempo.
[electronic] electrnicos [disk] discos [san] almacenamiento en red [disquette] disquetes [cd] cederrn (CD-ROM) [usb] dispositivos USB [dvd] DVD [tape] cinta magntica [mc] tarjetas de memoria [ic] tarjetas inteligentes [non_electronic] no electrnicos [printed] material impreso [tape] cinta de papel [film] microfilm [cards] tarjetas perforadas
[AUX] Equipamiento auxiliar En este epgrafe se consideran otros equipos que sirven de soporte a los sistemas de informacin, sin estar directamente relacionados con datos.
[power] fuentes de alimentacin [ups] sistemas de alimentacin ininterrumpida [gen] generadores elctricos [ac] equipos de climatizacin [cabling] cableado [robot] robots [tape] ... de cintas [disk] ... de discos [supply] suministros esenciales [destroy] equipos de destruccin de soportes de informacin [furniture] mobiliario: armarios, etc [safe] cajas fuertes
pgina 10 (de 87)
Magerit versin 2 [L] Instalaciones
Tipos de activos
En este epgrafe entran los lugares donde se hospedan los sistemas de informacin y comunicaciones.
[site] emplazamiento [building] edificio [local] local [mobile] plataformas mviles [car] vehculo terrestre: coche, camin, etc. [plane] vehculo areo: avin, etc. [ship] vehculo martimo: buque, lancha, etc. [shelter] contenedores [channel] canalizacin
[P] Personal En este epgrafe aparecen las personas relacionadas con los sistemas de informacin.
[ue] usuarios externos [ui] usuarios internos [op] operadores [adm] administradores de sistemas [com] administradores de comunicaciones [dba] administradores de BBDD [des] desarrolladores [sub] subcontratas [prov] proveedores
2.2. Datos de carcter personal

La clasificacin de los datos de carcter personal depende de la legislacin aplicable en cada lugar y circunstancia. En el caso de la legislacin espaola, se ajusta a los dispuesto en

Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (B.O.E. N 298, de 14 de diciembre de 1999) Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal (B.O.E. N 151, de 25 de junio de 1999)
Esta legislacin establece los siguientes criterios: Nivel bsico Datos de carcter personal: cualquier informacin concerniente a personas fsicas identificadas o identificables. LOPD artculo 3. RD artculo 4.1. Nivel medio Datos de carcter personal relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica o servicios financieros. RD artculos 4.2 y 4.4. Nivel alto Datos de carcter personal relativos a ideologa, religin, creencias, origen racial, salud o vida sexual, as como los recabados para fines policiales sin consentimiento de las personas afectadas. RD artculo 4.3.
2.3. Datos clasificados

La clasificacin de datos es un procedimiento administrativo propio de cada organizacin o sector de actividad, que determina las condiciones de tratamiento de la informacin en funcin de la necesidad de preservar su confidencialidad. La Comunidad Europea se rige por
Decisin de la Comisin de 29 de noviembre de 2001, por la que se modifica su Reglamento pgina 11 (de 87)
Magerit versin 2 interno (2001/844/CE, CECA, Euratom)
Tipos de activos
Decisin del Consejo de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo (2001/264/EC)
en la que se establecen los siguientes niveles: Secreto (Trs secret UE / EU Top Secret) Esta clasificacin se aplicar nicamente a la informacin y al material cuya divulgacin no autorizada pueda causar un perjuicio excepcionalmente grave a los intereses esenciales de la Unin Europea o de uno o ms de sus Estados miembros. Si existe la probabilidad de que la puesta en peligro de materiales marcados TRS SECRET UE/EU TOP SECRET:

amenace directamente la estabilidad interna de la UE o de alguno de sus Estados miembros o de pases amigos; cause un perjuicio excepcionalmente grave a las relaciones con gobiernos amigos; ocasione directamente la prdida generalizada de vidas humanas; ocasione un dao excepcionalmente grave a la capacidad de funcionar efectivamente o a la seguridad de las fuerzas de los Estados miembros o a las de otros contribuyentes, o haga que cese la efectividad de operaciones de seguridad o de inteligencia sumamente valiosas; ocasione un grave dao a largo plazo a la economa de la UE o de los Estados miembros.
Reservado (Secret UE) Esta clasificacin se aplicar nicamente a la informacin y al material cuya divulgacin no autorizada pueda suponer un perjuicio grave para los intereses de la Unin Europea o de uno o ms de sus Estados miembros. Si existe la probabilidad de que la puesta en peligro de materiales marcados SECRET UE:

cree tensiones internacionales; cause un perjuicio grave a las relaciones con gobiernos amigos; ponga vidas en peligro directamente o dae gravemente el orden pblico o la seguridad o libertad individuales; ocasione un dao grave a la capacidad de funcionar efectivamente o a la seguridad de las fuerzas de los Estados miembros o a las de otros contribuyentes, o haga que cese la efectividad de operaciones de seguridad o de inteligencia sumamente valiosas; ocasione un considerable dao material a los intereses financieros, monetarios, econmicos o comerciales de la UE o de uno de sus Estados miembros.
Confidencial (Confidentiel UE) Esta clasificacin se aplicar a la informacin y al material cuya divulgacin no autorizada pueda suponer un perjuicio para los intereses esenciales de la Unin Europea o de uno o ms de sus Estados miembros. Si existe la probabilidad de que la puesta en peligro de materiales marcados CONFIDENTIEL UE:

perjudique las relaciones diplomticas, es decir, ocasione una protesta formal u otras sanciones; perjudique la seguridad o libertad individuales; perjudique la capacidad de funcionar efectivamente o a la seguridad de las fuerzas de los Estados miembros o las de otros contribuyentes, o disminuya la efectividad de operaciones de seguridad o de inteligencia valiosas; pgina 12 (de 87)
Magerit versin 2

Tipos de activos
menoscabe notablemente la viabilidad financiera de organizaciones importantes; impida la investigacin de delitos graves o facilite su comisin; menoscabe notablemente los intereses financieros, econmicos y comerciales de la UE o de sus Estados miembros; ponga graves obstculos al desarrollo o al funcionamiento de polticas prioritarias de la UE; interrumpa o perturbe notablemente actividades importantes de la UE.
Difusin limitada (Restreint UE) Esta clasificacin se aplicar a la informacin y al material cuya divulgacin no autorizada pueda resultar desventajosa para los intereses de la Unin Europea o de uno o ms de sus Estados miembros. Si existe la probabilidad de que la puesta en peligro de materiales marcados RESTREINT UE:

afecte desfavorablemente a las relaciones diplomticas; causar considerable sufrimiento a individuos; dificulte el mantenimiento de la eficacia operativa o la seguridad de las fuerzas de los Estados miembros o de otros contribuyentes; ocasione prdidas financieras o facilite ganancias o ventajas indebidas a individuos o empresas; quebrante el debido esfuerzo por mantener la reserva de la informacin facilitada por terceros; quebrante restricciones legales a la divulgacin de informacin; dificulte la investigacin o facilite la comisin de delitos; ponga en desventaja a la UE o a sus Estados miembros en negociaciones comerciales o en actuaciones de otra ndole con terceros; ponga obstculos al desarrollo o al funcionamiento efectivos de polticas prioritarias de la UE; menoscabe la adecuada gestin de la UE y sus operaciones.
2.3.1. Ley de secretos oficiales

La normativa europea citada anteriormente recoge la normativa espaola previa, Ley y Reglamento de Secretos Oficiales, que regula los procedimientos y medidas necesarias para la proteccin de las materias clasificadas.

Ley 48/1978 de 7 de octubre, que modifica la Ley 9/1968, de 5 de abril, sobre secretos oficiales. Decreto 242/1969, de 20 de Febrero. por el que se desarrollan las disposiciones de la Ley 9/1968. de 5 de abril sobre Secretos Oficiales. Ley 9/1968, de 5 de abril, reguladora de los Secretos Oficiales.
La ley 9 determina: Artculo 2. A los efectos de esta Ley podrn ser declaradas materias clasificadas los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda daar o poner en riesgo la seguridad y defensa del Estado. Artculo 3. Las materias clasificadas sern calificadas en las categoras de secreto y reservado en Ministerio de Administraciones Pblicas pgina 13 (de 87)
Magerit versin 2 atencin al grado de proteccin que requieran. Precisndose en el reglamento: Articulo tercero, Materias clasificadas de secreto y de reservado
Tipos de activos
I. La clasificacin de secreto se aplicar a todas las materias referidas en el artculo anterior que precisen del ms alto grado de proteccin por su excepcional importancia y cuya revelacin no autorizada por autoridad competente para ello, pudiera dar lugar a riesgos o perjuicios de la seguridad del Estado, o pudiera comprometer los Intereses fundamentales de la Nacin en materia referente a la defensa nacional, la paz exterior o el orden constitucional. II. La clasificacin de reservado se aplicar a los asuntos, actos, documentos, informaciones, datos y objetos no comprendidos en el apartado anterior por su menor importancia, pero cuyo conocimiento o divulgacin pudiera afectar a los referidos intereses fundamentales de la Nacin, la seguridad del Estado, la defensa nacional, la paz exterior o el orden constitucional.
2.4. Sintaxis XML

Los tipos de activos cabe esperar que evolucionen en el tiempo para adaptarse a la evolucin tecnolgica. Por ello se incluye a continuacin una gramtica de tipo XML que permita publicar peridicamente actualizaciones de los tipos antes descritos. La notacin se describe en el apndice 1.
tipos ::= <tipos> { tipo }* </tipos> tipo ::= <tipo cdigo> #nombre# [ descripcin ] { tipo }* </tipo> descripcin ::= <descripcion> #texto# </descripcion>
Atributos
Atributo cdigo Ejemplo C=X Descripcin X es un identificador nico que permite determinar unvocamente a qu tipo se refiere.
2.5. Referencias
Existen numerosas fuentes que identifican activos dentro del mbito de las tecnologas de la informacin y las comunicaciones.
GMITS, ISO/IEC IS 13335-1:2004, Information technology - Security techniques - Guidelines for the management of IT security - Part 1: Concepts and models for information and communications technology security management. SP 800-60, Guide for Mapping Types of Information and Information Systems to Security Categories, NIST, June 2004. http://csrc.nist.gov/publications/nistpubs/index.html UNE-ISO/IEC 17799:2002, Tecnologa de la Informacin. Cdigo de Buenas Prcticas de la pgina 14 (de 87)
Magerit versin 2 Gestin de la Seguridad de la Informacin. 2002.
Tipos de activos
Managing Information Security Risks: The OCTAVE Approach, C.J. Alberts and A.J. Dorofee, Addison-Wesley Pub Co; 1st edition (July 9, 2002) http://www.cert.org/octave/ GMITS, ISO/IEC TR 13335-5: 2001, Information technology - Security techniques - Guidelines for the management of IT security - Part 5: Management guidance of network security GMITS, ISO/IEC TR 13335-4: 2000, Information technology - Security techniques - Guidelines for the management of IT security - Part 4: Selection of safeguards GMITS, ISO/IEC TR 13335-3:1998, Information technology - Security techniques - Guidelines for the management of IT security - Part 3: Techniques for management of IT security Publicado como UNE 71501-3. MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAP, versin 1.0, 1997 http://www.csi.map.es/csi/pg5m20.htm GMITS, ISO/IEC TR 13335-2:1997, Information technology - Security techniques - Guidelines for the management of IT security - Part 2: Managing and planning IT security Publicado como UNE 71501-2.
pgina 15 (de 87)
Magerit versin 2
Dimensiones de valoracin
3. Dimensiones de valoracin
Son las caractersticas o atributos que hacen valioso un activo. Una dimensin es una faceta o aspecto de un activo, independiente de otras facetas. Pueden hacerse anlisis de riesgos centrados en una nica faceta, independientemente de lo que ocurra con otros aspectos 2. Las dimensiones se utilizan para valorar las consecuencias de la materializacin de una amenaza. La valoracin que recibe un activo en una cierta dimensin es la medida del perjuicio para la organizacin si el activo se ve daado en dicha dimensin.
3.1. Relacin de dimensiones

[D] disponibilidad Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. Qu importancia tendra que el activo no estuviera disponible? Un activo tiene un gran valor desde el punto de vista de disponibilidad cuando si una amenaza afectara a su disponibilidad, las consecuencias seran graves. Y recprocamente, un activo carece de un valor apreciable desde el punto de vista de disponibilidad cuando puede no estar disponible frecuentemente y durante largos periodos de tiempo sin por ello causar mayor dao. La disponibilidad es una caracterstica que afecta a todo tipo de activos. A menudo la disponibilidad requiere un tratamiento por escalones pues el coste de la indisponibilidad aumenta de forma no lineal con la duracin de la interrupcin, desde breves interrupciones sin importancia, pasando por interrupciones que causan daos considerables y llegando a interrupciones que no admiten recuperacin: la organizacin est acabada. [I] integridad de los datos Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. Qu importancia tendra que los datos fueran modificados fuera de control? Los datos reciben una alta valoracin desde el punto de vista de integridad cuando su alteracin, voluntaria o intencionada, causara graves daos a la organizacin. Y, recprocamente, los datos carecen de un valor apreciable desde el punto de vista de integridad cuando su alteracin no supone preocupacin alguna. [C] confidencialidad de los datos Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. Qu importancia tendra que el dato fuera conocido por personas no autorizadas? Los datos reciben una alta valoracin desde el punto de vista de confidencialidad cuando su revelacin causara graves daos a la organizacin. Y, recprocamente, los datos carecen de un valor apreciable desde el punto de vista de confidencialidad cuando su conocimiento por cualquiera no supone preocupacin alguna.
2 Como es el caso tpico conocido como anlisis de impacto (BIA) que busca determinar el coste de las paradas de los sistemas y desarrollar planes de contingencia para poner coto al tiempo de parada de la organizacin. En este caso se hace un anlisis sectario de la disponibilidad.
pgina 16 (de 87)
Magerit versin 2 [A_S] autenticidad de los usuarios del servicio Aseguramiento de la identidad u origen.
Qu importancia tendra que quien accede al servicio no sea realmente quien se cree? La autenticidad de los usuarios de un servicio es lo contrario de la oportunidad de fraude o uso no autorizado de un servicio. As, un servicio recibe una elevada valoracin desde el punto de vista de autenticidad cuando su prestacin a falsos usuarios supondra un grave perjuicio para la organizacin. Y, recprocamente, un servicio carece de un valor apreciable desde el punto de vista de autenticidad cuando su acceso por cualquiera no supone preocupacin alguna. [A_D] autenticidad del origen de los datos Aseguramiento de la identidad u origen. Qu importancia tendra que los datos no fueran realmente imputables a quien se cree? Los datos reciben una elevada valoracin desde el punto de vista de autenticidad del origen cuando un defecto de imputacin causara graves quebrantos a la organizacin. Tpicamente, se habilita la oportunidad de repudio. Y, recprocamente, los datos carecen de un valor apreciable desde el punto de vista de autenticidad del origen cuando ignorar la fuente es irrelevante. [T_S] trazabilidad del servicio Aseguramiento de que en todo momento se podr determinar quin hizo qu y en qu momento. Qu importancia tendra que no quedara constancia fehaciente del uso del servicio? Abrira las puertas al fraude, incapacitara a la Organizacin para perseguir delitos y podra suponer el incumplimiento de obligaciones legales. [T_D] trazabilidad de los datos Aseguramiento de que en todo momento se podr determinar quin hizo qu y en qu momento. Qu importancia tendra que no quedara constancia del acceso a los datos? Abrira las puertas al fraude, incapacitara a la Organizacin para perseguir delitos y podra suponer el incumplimiento de obligaciones legales.
3.2. Sintaxis XML

Las dimensiones de valoracin cabe esperar que evolucionen en el tiempo para adaptarse a la evolucin tecnolgica. Por ello se incluye a continuacin una gramtica de tipo XML que permita publicar peridicamente actualizaciones de las dimensiones antes descritas. La notacin se describe en el apndice 1.
dimensiones ::= <dimensiones> { dimensin }* </dimensiones> dimensin ::= <dimension cdigo> #nombre# [ descripcin ]
pgina 17 (de 87)
Magerit versin 2
</dimension> descripcin ::= <descripcion> #texto# </descripcion>
Atributos
Atributo cdigo Ejemplo C=X Descripcin X es un identificador nico que permite determinar unvocamente a qu dimensin se refiere.
3.3. Referencias
ISO/IEC 13335-1:2004, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management, 2004. C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE Approach, Addison Wesley, 2003. http://www.cert.org/octave/ FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems, December 2003. http://csrc.nist.gov/publications/fips/index.html ISO/IEC 17799:2000, Information technology -- Code of practice for information security management, 2000. Ministerio de Administraciones Pblicas, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAP, versin 1.0, 1997. http://www.csi.map.es/csi/pg5m20.htm ISO 7498-2:1989, Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2: Security Architecture, 1989.
pgina 18 (de 87)
Magerit versin 2
Criterios de valoracin
4. Criterios de valoracin
Para valorar los activos vale, tericamente, cualquier escala de valores. A efectos prcticos es sin embargo muy importante que

se use una escala comn para todas las dimensiones, permitindo comparar riesgos, se use una escala logartmica, centrada en diferencias relativas de valor, que no en diferencias absolutas 3 y se use un criterio homogneo que permita comparar anlisis realizados por separado
Si la valoracin es econmica, hay poco ms que hablar; pero frecuentemente la valoracin es cualitativa, quedando a discrecin del usuario; es decir, respondiendo a criterios subjetivos. Se ha elegido una escala detallada de diez valores, dejando en valor 0 como determinante de lo que sera un valor despreciable (a efectos de riesgo). Si se realiza un anlisis de riesgos de poco detalle, se puede optar por la tabla simplificada de 5 niveles. Ambas escalas, detallada y simplificada se correlacionan como se indica a continuacin:
10 9 8 7 6 5 4 3 2 1 0 despreciable bajo medio alto muy alto
valor 10 7-9 4-6 1-3 0 muy alto alto medio bajo despreciable
criterio dao muy grave a la organizacin dao grave a la organizacin dao importante a la organizacin dao menor a la organizacin irrelevante a efectos prcticos
La tabla siguiente pretende guiar con ms detalle a los usuarios valorando de forma homognea activos cuyo valor es importante por diferentes motivos, habindose tomado en consideracin los siguientes:
seguridad de las personas
informacin de carcter personal 4
obligaciones derivadas de la ley, del marco regulatorio, de contratos, etc. capacidad para la persecucin de delitos intereses comerciales y econmicos prdidas financieras interrupcin del servicio
3 As siempre es igual de relevante que un activo sea el doble de valioso que otro, independientemente de su valor absoluto. Por el contrario, sera extrao opinar que un activo vale dos ms que otro sin explicitar su valor absoluto pues no es igual de relevante pasar de 0,1 a 2,1, que pasar de 1.000.000 a 1.000.002. 4 La informacin de carcter personal se califica por dos vas: administrativa y valorada. La va administrativa consiste en indicar a qu nivel pertenece el dato en cuestin; siendo esta una decisin cualitativa, las salvaguardas a emplear son independientes del valor que el dato en s tenga para la organizacin. La va valorada asigna un nivel a las consecuencias que para la organizacin tendra el deterioro del dato. De esta forma se distingue entre las obligaciones legales y los perjuicios para el servicio, sin obviar ninguno de estos aspectos, ambos importantes.
pgina 19 (de 87)
Magerit versin 2

orden pblico poltica corporativa otros valores intangibles
Lo ms normal es que un activo reciba una simple valoracin en cada dimensin en la que es valioso. Este planteamiento puede y debe ser enriquecido en el caso de dimensiones ms complejas como es el caso de la disponibilidad, en la que las consecuencias varan dependiendo del tiempo que dure la interrupcin. En estos casos, la dimensin no recibe una nica calificacin, sino tantas como escalones se hayan considerado relevantes. Los criterios que siguen se aplican en cada escaln, pudiendo variar el motivo 5.
4.1. Escala estndar

valor criterio
10 [olm] Probablemente cause un dao excepcionalmente serio a la eficacia o seguridad de la misin operativa o logstica [iio] [si] [ps] [po] [ir] [lbl] Probablemente cause daos excepcionalmente graves a misiones extremadamente importantes de inteligencia o informacin Seguridad: probablemente sea causa de un incidente excepcionalmente serior de seguridad o dificulte la investigacin de incidentes excepcionalmente serios Seguridad de las personas: probablemente suponga gran prdida de vidas humanas Orden pblico: alteracin seria del orden constitucional Probablemente cause un impacto excepcionalmente grave en llas relaciones internacionales Datos clasificados como secretos
5 Por ejemplo, una interrupcin breve puede causar la desafeccin de los usuarios mientras que una interrupcin larga puede llevar a penalizaciones por incumplimiento de obligaciones administrativas.
pgina 20 (de 87)
Magerit versin 2 valor 9 [da] criterio
Probablemente cause una interrupcin excepcionalmente seria de las actividades propias de la Organizacin con un serio impacto en otras organizaciones
[adm] Administracin y gestin: probablemente impedira seriamente la operacin efectiva de la organizacin, pudiendo llegar a su cierre [lg] Probablemente causara causara una publicidad negativa generalizada por por afectar de forma excepcionalmente grave a las relaciones ... [lg.a] a las relaciones con otras organizaciones [lg.b] a las relaciones con el pblico en general [lg.c] a las relaciones con otros paises [olm] Probablemente cause un dao serio a la eficacia o seguridad de la misin operativa o logstica [iio] [cei] Probablemente cause serios daos a misiones muy importantes de inteligencia o informacin Intereses comerciales o econmicos: [cei.a] de enorme inters para la competencia [cei.b] de muy elevado valor comercial [cei.c] causa de prdidas econmicas excepcionalmente elevadas [cei.d] causa de muy significativas ganancias o ventajas para individuos u organizaciones [cei.e] constituye un incumplimiento excepcionalmente grave de las obligaciones contractuales relativas a la seguridad de la informacin proporcionada por terceros [lro] [si] [ps] [po] [ir] [lbl] 8 [ps] Obligaciones legales: probablemente cause un incumplimiento excepcionalmente grave de una ley o regulacin Seguridad: probablemente sea causa de un serio incidente de seguridad o dificulte la investigacin de incidentes serios Seguridad de las personas: probablemente suponga la muerte de uno o ms individuos Orden pblico: alteracin seria del orden pblico Probablemente cause un serio impacto en las relaciones internacionales Datos clasificados como reservados Seguridad de las personas: probablemente cause dao a la seguridad o libertad individual (por ejemplo, es probable que llegue a amenazar la vida de uno o ms individuos) Datos clasificados como confidenciales
[crm] Impida la investigacin de delitos graves o facilite su comisin [lbl]
pgina 21 (de 87)
Probablemente cause una interrupcin seria de las actividades propias de la Organizacin con un impacto significativo en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin efectiva de la organizacin [lg] Probablemente causara una publicidad negativa generalizada [lg.a] por afectar gravemente a las relaciones con otras organizaciones [lg.b] por afectar gravemente a las relaciones con el pblico en general [lg.c] por afectar gravemente a las relaciones con otros paises [olm] Probablemente cause perjudique la eficacia o seguridad de la misin operativa o logstica [iio] [cei] Probablemente cause serios daos a misiones importantes de inteligencia o informacin Intereses comerciales o econmicos: [cei.a] de alto inters para la competencia [cei.b] de elevado valor comercial [cei.c] causa de graves prdidas econmicas [cei.d] proporciona ganancias o ventajas desmedidas a individuos u organizaciones [cei.e] constituye un serio incumplimiento de obligaciones contractuales relativas a la seguridad de la informacin proporcionada por terceros [lro] [si] [ps] [ir] [lbl] 6 [pi1] [pi2] [ps] [po] [lbl] Obligaciones legales: probablemente cause un incumplimiento grave de una ley o regulacin Seguridad: probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves Seguridad de las personas: probablemente cause daos de cierta consideracin a varios individuos Probablemente cause un impacto significativo en las relaciones internacionales Datos clasificados como confidenciales Informacin personal: probablemente afecte gravemente a un grupo de individuos Informacin personal: probablemente quebrante seriamente la ley o algn reglamento de proteccin de informacin personal Seguridad de las personas: probablemente cause daos de cierta consideracin, restringidos a un individuo Orden pblico: probablemente cause manifestaciones, o presiones significativas Datos clasificados como de difusin limitada
pgina 22 (de 87)
Probablemente cause la interrupcin de actividades propias de la Organizacin con impacto en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin efectiva de ms de una parte de la organizacin [lg] Probablemente sea causa una cierta publicidad negativa [lg.a] por afectar negativamente a las relaciones con otras organizaciones [lg.b] por afectar negativamente a las relaciones con el pblico [olm] Probablemente merme la eficacia o seguridad de la misin operativa o logstica ms all del mbito local [iio] [pi1] [pi2] [lro] [ir] [lbl] 4 [pi1] [pi2] [ps] [lbl] Probablemente dae a misiones importantes de inteligencia o informacin Informacin personal: probablemente afecte gravemente a un individuo Informacin personal: probablemente quebrante seriamente leyes o regulaciones Obligaciones legales: probablemente sea causa de incumplimiento de una ley o regulacin Probablemente tenga impacto en las relaciones internacionales Datos clasificados como de difusin limitada Informacin personal: probablemente afecte a un grupo de individuos Informacin personal: probablemente quebrante leyes o regulaciones Seguridad de las personas: probablemente cause daos menores a varios individuos Datos clasificados como de difusin limitada
[crm] Dificulte la investigacin o facilite la comisin de delitos
pgina 23 (de 87)
Probablemente cause la interrupcin de actividades propias de la Organizacin
[adm] Administracin y gestin: probablemente impedira la operacin efectiva de una parte de la organizacin [lg] Probablemente afecte negativamente a las relaciones internas de la Organizacin [olm] Probablemente merme la eficacia o seguridad de la misin operativa o logstica (alcance local) [iio] [cei] Probablemente cause algn dao menor a misiones importantes de inteligencia o informacin Intereses comerciales o econmicos: [cei.a] de cierto inters para la competencia [cei.b] de cierto valor comercial [cei.c] causa de prdidas financieras o merma de ingresos [cei.d] facilita ventajas desproporcionadas a individuos u organizaciones [cei.e] constituye un incumplimiento leve de obligaciones contractuales para mantener la seguridad de la informacin proporcionada por terceros [pi1] [pi2] [lro] [si] [ps] [po] [ir] [lbl] 2 [lg] [cei] Informacin personal: probablemente afecte a un individuo Informacin personal: probablemente suponga el incumplimiento de una ley o regulacin Obligaciones legales: probablemente sea causa de incumplimiento leve o tcnico de una ley o regulacin Seguridad: probablemente sea causa de una merma en la seguridad o dificulte la investigacin de un incidente Seguridad de las personas: probablemente cause daos menores a un individuo Orden pblico: causa de protestas puntuales Probablemente cause un impacto leve en las relaciones internacionales Datos clasificados como de difusin limitada Probablemente cause una prdida menor de la confianza dentro de la Organizacin Intereses comerciales o econmicos: [cei.a] de bajo inters para la competencia [cei.b] de bajo valor comercial [pi1] [pi2] [ps] [lbl] Informacin personal: pudiera causar molestias a un individuo Informacin personal: pudiera quebrantar de forma leve leyes o regulaciones Seguridad de las personas: pudiera causar dao menor a varios individuos Datos clasificados como sin clasificar
pgina 24 (de 87)
Pudiera causar la interrupcin de actividades propias de la Organizacin
[adm] Administracin y gestin: pudiera impedir la operacin efectiva de una parte de la organizacin [lg] Pudiera causar una prdida menor de la confianza dentro de la Organizacin [olm] Pudiera mermar la eficacia o seguridad de la misin operativa o logstica (alcance local) [iio] [cei] Pudiera causar algn dao menor a misiones importantes de inteligencia o informacin Intereses comerciales o econmicos: [cei.a] de pequeo inters para la competencia [cei.b] de pequeo valor comercial [pi1] [lro] [si] [ps] [po] [ir] [lbl] 0 [1] [2] [3] [4] Informacin personal: pudiera causar molestias a un individuo Obligaciones legales: pudiera causar el incumplimiento leve o tcnico de una ley o regulacin Seguridad: pudiera causar una merma en la seguridad o dificular la investigacin de un incidente Seguridad de las personas: pudiera causar daos menores a un individuo Orden pblico: pudiera causar protestas puntuales Pudiera tener un impacto leve en las relaciones internacionales Datos clasificados como sin clasificar no afectara a la seguridad de las personas sera causa de inconveniencias mnimas a las partes afectadas supondra prdidas econmicas mnimas no supondra dao a la reputacin o buena imagen de las personas u organizaciones
4.2. Sintaxis XML

Los tipos de activos cabe esperar que evolucionen en el tiempo para adaptarse a la evolucin tecnolgica. Por ello se incluye a continuacin una gramtica de tipo XML que permita publicar peridicamente actualizaciones de los tipos antes descritos. La notacin se describe en el apndice 1.
valoracin ::= <valoracion> { nivel }* </valoracion> nivel ::= <nivel valor cdigo> { tem }* </nivel> tem ::= <item> #descripcin# </item>
pgina 25 (de 87)
Magerit versin 2
Atributos
Atributo valor cdigo Ejemplo V=X C=X Descripcin X es un ndice entre 0 y 10 de valoracin cualitativa de activos. X es un cdigo nico para identificar el criterio; en relacin a la tabla previa, se identificar el epgrafe; por ejemplo, 7.4.c
4.3. Referencias
SP 800-60, Guide for Mapping Types of Information and Information Systems to Security Categories, NIST, June 2004. http://csrc.nist.gov/publications/nistpubs/index.html HMG, Residual Risk Assessment Method, INFOSEC Standard No. 1. 2003. C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE Approach, Addison Wesley, 2003. http://www.cert.org/octave/
pgina 26 (de 87)
Magerit versin 2
Amenazas
5. Amenazas
Se presenta a continuacin un catlogo de amenazas posibles sobre los activos de un sistema de informacin. Para cada amenaza se presenta un cuadro como el siguiente: [cdigo] descripcin sucinta de lo que puede pasar Tipos de activos: que se pueden ver afectados por este tipo de amenazas Dimensiones: 1. de seguridad que se pueden ver afectadas por este tipo de amenaza, ordenadas de ms a menos relevante
Descripcin: complementaria o ms detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas
5.1. [N] Desastres naturales

Sucesos que pueden ocurrir sin intervencin de los seres humanos como causa directa o indirecta. [N.1] Fuego Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: incendios: posibilidad de que el fuego acabe con recursos del sistema. [N.2] Daos por agua Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: inundaciones: posibilidad de que el agua acabe con recursos del sistema. [N.*] Desastres naturales Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
pgina 27 (de 87)
Magerit versin 2
Amenazas
Descripcin: otros incidentes que se producen sin intervencin humana: rayo, tormenta elctrica, terremoto, ciclones, avalancha, corrimiento de tierras, ... Se excluyen desastres especficos tales como incendios (ver [N.1]) e inundaciones (ver [N.2]). Se excluye al personal por cuanto se ha previsto una amenaza especfica [E.31] para cubrir la indisponibilidad involuntaria del personal sin entrar en sus causas.
5.2. [I] De origen industrial

Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas puede darse de forma accidental o deliberada. [I.1] Fuego Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: incendio: posibilidad de que el fuego acabe con los recursos del sistema. [I.2] Daos por agua Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: escapes, fugas, inundaciones: posibilidad de que el agua acabe con los recursos del sistema. [I.*] Desastres industriales Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: otros desastres debidos a la actividad humana: explosiones, derrumbes, ... contaminacin qumica, ... sobrecarga elctrica, fluctuaciones elctricas, ... accidentes de trfico, ... Se excluyen amenazas especficas como incendio (ver [I.1]) e inundacin (ver [I.2]). Se excluye al personal por cuanto se ha previsto una amenaza especfica, [E.31], para cubrir la indisponibilidad involuntaria del personal sin entrar en sus causas.
pgina 28 (de 87)
Magerit versin 2
Amenazas
[I.3] Contaminacin mecnica Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar Descripcin: vibraciones, polvo, suciedad, ... [I.4] Contaminacin electromagntica Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin (electrnicos) [AUX] equipamiento auxiliar Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: interferencias de radio, campos magnticos, luz ultravioleta, ... [I.5] Avera de origen fsico o lgico Tipos de activos: [SW] aplicaciones (software) [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema. En sistemas de propsito especfico, a veces es difcil saber si el origen del fallo es fsico o lgico; pero para las consecuencias que se derivan, esta distincin no suele ser relevante. [I.6] Corte del suministro elctrico Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin (electrnicos) [AUX] equipamiento auxiliar Descripcin: cese de la alimentacin de potencia Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
pgina 29 (de 87)
Magerit versin 2 [I.7] Condiciones inadecuadas de temperatura y/o humedad Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar Dimensiones:
Amenazas
1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: deficiencias en la aclimatacin de los locales, excediendo los mrgenes de trabajo de los equipos: excesivo calor, excesivo fro, exceso de humedad, ... [I.8] Fallo de servicios de comunicaciones Tipos de activos: [COM] redes de comunicaciones Dimensiones: 1. [D] disponibilidad
Descripcin: cese de la capacidad de transmitir datos de un sitio a otro. Tpicamente se debe a la destruccin fsica de los medios fsicos de transporte o a la detencin de los centros de conmutacin, sea por destruccin, detencin o simple incapacidad para atender al trfico presente. [I.9] Interrupcin de otros servicios y suministros esenciales Tipos de activos: [AUX] equipamiento auxiliar Dimensiones: 1. [D] disponibilidad
Descripcin: otros servicios o recursos de los que depende la operacin de los equipos; por ejemplo, papel para las impresoras, toner, refrigerante, ... [I.10] Degradacin de los soportes de almacenamiento de la informacin Tipos de activos: [SI] soportes de informacin Dimensiones: 1. [D] disponibilidad 2. [T_S] trazabilidad de los servicios 3. [T_D] trazabilidad de los datos
Descripcin: como consecuencia del paso del tiempo [I.11] Emanaciones electromagnticas Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [L] instalaciones Dimensiones: 1. [C] confidencialidad
pgina 30 (de 87)
Magerit versin 2
Amenazas
Descripcin: hecho de poner va radio datos internos a disposicin de terceros. Es una amenaza donde el emisor es vctima pasiva del ataque. Prcticamente todos los dispositivos electrnicos emiten radiaciones al exterior que pudieran ser interceptadas por otros equipos (receptores de radio) derivndose una fuga de informacin. Esta amenaza se denomina, incorrecta pero frecuentemente, ataque TEMPEST (del ingls Transient Electromagnetic Pulse Standard). Abusando del significado primigenio, es frecuente or hablar de que un equipo disfruta de "TEMPEST protection", queriendo decir que se ha diseado para que no emita, electromagnticamente, nada de inters por si alguien lo captara. No se contempla en esta amenaza la emisin por necesidades del medio de comunicacin: redes inalmbricas, enlaces de microondas, etc. que estarn amenazadas de interceptacin.
5.3. [E] Errores y fallos no intencionados

Fallos no intencionales causados por las personas. La numeracin no es consecutiva, sino que est alineada con los ataques deliberados, muchas veces de naturaleza similar a los errores no intencionados, difiriendo nicamente en el propsito del sujeto. [E.1] Errores de los usuarios Tipos de activos: [S] servicios [D] datos / informacin [SW] aplicaciones (software) Dimensiones: 1. [I] integridad 2. [D] disponibilidad
Descripcin: equivocaciones de las personas cuando usan los servicios, datos, etc. [E.2] Errores del administrador Tipos de activos: [S] servicios [D] datos / informacin [SW] aplicaciones (software) [HW] equipos informticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. 2. 3. 4. 5. 6. 7. [D] disponibilidad [I] integridad [C] confidencialidad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [T_S] trazabilidad del servicio [T_D] trazabilidad de los datos
Descripcin: equivocaciones de personas con responsabilidades de instalacin y operacin [E.3] Errores de monitorizacin (log) Tipos de activos: [S] servicios [D] datos / informacin [SW] aplicaciones (software) Dimensiones: 1. [T_S] trazabilidad del servicio 2. [T_D] trazabilidad de los datos
Descripcin: inadecuado registro de actividades: falta de registros, registros incompletos, registros incorrectamente fechados, registros incorrectamente atribuidos, ...
pgina 31 (de 87)
Magerit versin 2 [E.4] Errores de configuracin Tipos de activos: [S] servicios [D] datos / informacin [SW] aplicaciones (software) [HW] equipos informticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. 2. 3. 4. 5. 6. 7.
Amenazas
[D] disponibilidad [I] integridad [C] confidencialidad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [T_S] trazabilidad del servicio [T_D] trazabilidad de los datos
Descripcin: introduccin de datos de configuracin errneos. Prcticamente todos los activos dependen de su configuracin y sta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc. [E.7] Deficiencias en la organizacin Tipos de activos: [P] personal Dimensiones: 1. [D] disponibilidad
Descripcin: cuando no est claro quin tiene que hacer exactamente qu y cundo, incluyendo tomar medidas sobre los activos o informar a la jerarqua de gestin. Acciones descoordinadas, errores por omisin, etc. [E.8] Difusin de software daino Tipos de activos: [SW] aplicaciones (software) Dimensiones: 1. 2. 3. 4. 5. 6. 7. [D] disponibilidad [I] integridad [C] confidencialidad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [T_S] trazabilidad del servicio [T_D] trazabilidad de los datos
Descripcin: propagacin inocente de virus, espas (spyware), gusanos, troyanos, bombas lgicas, etc. [E.9] Errores de [re-]encaminamiento Tipos de activos: [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. 2. 3. 4. [C] confidencialidad [I] integridad [A_S] autenticidad del servicio [T_S] trazabilidad del servicio
Descripcin: envo de informacin a travs de un sistema o una red usando, accidentalmente, una ruta incorrecta que lleve la informacin a donde o por donde no es debido; puede tratarse de mensajes entre personas, entre procesos o entre unos y otros. Es particularmente destacable el caso de que el error de encaminamiento suponga un error de entrega, acabando la informacin en manos de quien no se espera.
pgina 32 (de 87)
Magerit versin 2 [E.10] Errores de secuencia Tipos de activos: [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. [I] integridad
Amenazas
Descripcin: alteracin accidental del orden de los mensajes transmitidos. [E.14] Escapes de informacin Tipos de activos: [D] datos / informacin [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. [C] confidencialidad
Descripcin: la informacin llega accidentalmente al conocimiento de personas que no deberan tener conocimiento de ella, sin que la informacin en s misma se vea alterada. [E.15] Alteracin de la informacin Tipos de activos: [D] datos / informacin Descripcin: alteracin accidental de la informacin. Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico, hay amenazas especficas. [E.16] Introduccin de informacin incorrecta Tipos de activos: [D] datos / informacin Descripcin: insercin accidental de informacin incorrecta. Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico, hay amenazas especficas. [E.17] Degradacin de la informacin Tipos de activos: [D] datos / informacin Descripcin: degradacin accidental de la informacin. Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico, hay amenazas especficas. [E.18] Destruccin de informacin Tipos de activos: [D] datos / informacin Ministerio de Administraciones Pblicas Dimensiones: 1. [D] disponibilidad pgina 33 (de 87) Dimensiones: 1. [I] integridad Dimensiones: 1. [I] integridad Dimensiones: 1. [I] integridad
Magerit versin 2 Descripcin: prdida accidental de informacin.
Amenazas
Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico, hay amenazas especficas. [E.19] Divulgacin de informacin Tipos de activos: [D] datos / informacin Descripcin: revelacin por indiscrecin. Incontinencia verbal, medios electrnicos, soporte papel, etc. [E.20] Vulnerabilidades de los programas (software) Tipos de activos: [SW] aplicaciones (software) Dimensiones: 1. [I] integridad 2. [D] disponibilidad 3. [C] confidencialidad Dimensiones: 1. [C] confidencialidad
Descripcin: defectos en el cdigo que dan pie a una operacin defectuosa sin intencin por parte del usuario pero con consecuencias sobre la integridad de los datos o la capacidad misma de operar. [E.21] Errores de mantenimiento / actualizacin de programas (software) Tipos de activos: [SW] aplicaciones (software) Dimensiones: 1. [I] integridad 2. [D] disponibilidad
Descripcin: defectos en los procedimientos o controles de actualizacin del cdigo que permiten que sigan utilizndose programas con defectos conocidos y reparados por el fabricante. [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) Tipos de activos: [HW] equipos informticos (hardware) Dimensiones: 1. [D] disponibilidad
Descripcin: defectos en los procedimientos o controles de actualizacin de los equipos que permiten que sigan utilizndose ms all del tiempo nominal de uso. [E.24] Cada del sistema por agotamiento de recursos Tipos de activos: [S] servicios [HW] equipos informticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. [D] disponibilidad
Descripcin: la carencia de recursos suficientes provoca la cada del sistema cuando la carga de trabajo es desmesurada. Ministerio de Administraciones Pblicas pgina 34 (de 87)
Magerit versin 2 [E.28] Indisponibilidad del personal Tipos de activos: [P] personal interno Dimensiones: 1. [D] disponibilidad
Amenazas
Descripcin: ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden pblico, guerra bacteriolgica, ...
5.4. [A] Ataques intencionados

Fallos deliberados causados por las personas. La numeracin no es consecutiva para coordinarla con los errores no intencionados, muchas veces de naturaleza similar a los ataques deliberados, difiriendo nicamente en el propsito del sujeto. [A.4] Manipulacin de la configuracin Tipos de activos: [S] servicios [D] datos / informacin [SW] aplicaciones (software) [HW] equipos informticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. 2. 3. 4. 5. 6. 7. [I] integridad [C] confidencialidad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [T_S] trazabilidad del servicio [T_D] trazabilidad de los datos [D] disponibilidad
Descripcin: prcticamente todos los activos dependen de su configuracin y sta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc. [A.5] Suplantacin de la identidad del usuario Tipos de activos: [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. 2. 3. 4. [C] confidencialidad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [I] integridad
Descripcin: cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios. Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la Organizacin o por personal contratado temporalmente. [A.6] Abuso de privilegios de acceso Tipos de activos: [S] servicios [SW] aplicaciones (software) [HW] equipos informticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. [C] confidencialidad 2. [I] integridad
pgina 35 (de 87)
Magerit versin 2
Amenazas
Descripcin: cada usuario disfruta de un nivel de privilegios para un determinado propsito; cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de su competencia, hay problemas. [A.7] Uso no previsto Tipos de activos: [S] servicios [SW] aplicaciones (software) [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [D] disponibilidad
Descripcin: utilizacin de los recursos del sistema para fines no previstos, tpicamente de inters personal: juegos, consultas personales en Internet, bases de datos personales, programas personales, almacenamiento de datos personales, etc. [A.8] Difusin de software daino Tipos de activos: [SW] aplicaciones (software) Dimensiones: 1. 2. 3. 4. 5. 6. 7. [D] disponibilidad [I] integridad [C] confidencialidad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [T_S] trazabilidad del servicio [T_D] trazabilidad de los datos
Descripcin: propagacin intencionada de virus, espas (spyware), gusanos, troyanos, bombas lgicas, etc. [A.9] [Re-]encaminamiento de mensajes Tipos de activos: [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. 2. 3. 4. [C] confidencialidad [I] integridad [A_S] autenticidad del servicio [T_S] trazabilidad del servicio
Descripcin: envo de informacin a un destino incorrecto a travs de un sistema o una red, que llevan la informacin a donde o por donde no es debido; puede tratarse de mensajes entre personas, entre procesos o entre unos y otros. Un atacante puede forzar un mensaje para circular a travs de un nodo determinado de la red donde puede ser interceptado. Es particularmente destacable el caso de que el ataque de encaminamiento lleve a una entrega fraudulenta, acabando la informacin en manos de quien no debe.
pgina 36 (de 87)
Magerit versin 2 [A.10] Alteracin de secuencia Tipos de activos: [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. [I] integridad
Amenazas
Descripcin: alteracin del orden de los mensajes transmitidos. Con nimo de que el nuevo orden altere el significado del conjunto de mensajes, perjudicando a la integridad de los datos afectados. [A.11] Acceso no autorizado Tipos de activos: [S] servicios [D] datos / informacin [SW] aplicaciones (software) [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dim1nsiones: 1. [C] confidencialidad 2. [I] integridad 3. [A_S] autenticidad del servicio
Descripcin: el atacante consigue acceder a los recursos del sistema sin tener autorizacin para ello, tpicamente aprovechando un fallo del sistema de identificacin y autorizacin. [A.12] Anlisis de trfico Tipos de activos: [COM] redes de comunicaciones Dimensiones: 1. [C] confidencialidad
Descripcin: el atacante, sin necesidad de entrar a analizar el contenido de las comunicaciones, es capaz de extraer conclusiones a partir del anlisis del origen, destino, volumen y frecuencia de los intercambios. A veces se denomina monitorizacin de trfico. [A.13] Repudio Tipos de activos: [S] servicios Dimensiones: 1. [T_S] trazabilidad del servicio
Descripcin: negacin a posteriori de actuaciones o compromisos adquiridos en el pasado. Repudio de origen: negacin de ser el remitente u origen de un mensaje o comunicacin. Repudio de recepcin: negacin de haber recibido un mensaje o comunicacin. Repudio de entrega: negacin de haber recibido un mensaje para su entrega a otro.
pgina 37 (de 87)
Magerit versin 2 [A.14] Interceptacin de informacin (escucha) Tipos de activos: [D] datos / informacin [SW] aplicaciones (software) [HW] equipos informticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. [C] confidencialidad
Amenazas
Descripcin: el atacante llega a tener acceso a informacin que no le corresponde, sin que la informacin en s misma se vea alterada. [A.15] Modificacin de la informacin Tipos de activos: [D] datos / informacin Dimensiones: 1. [I] integridad
Descripcin: alteracin intencional de la informacin, con nimo de obtener un beneficio o causar un perjuicio. Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico, hay amenazas especficas. [A.16] Introduccin de falsa informacin Tipos de activos: [D] datos / informacin Dimensiones: 1. [I] integridad
Descripcin: insercin interesada de informacin falsa, con nimo de obtener un beneficio o causar un perjuicio. Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico, hay amenazas especficas. [A.17] Corrupcin de la informacin Tipos de activos: [D] datos / informacin Dimensiones: 1. [I] integridad
Descripcin: degradacin intencional de la informacin, con nimo de obtener un beneficio o causar un perjuicio. Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico, hay amenazas especficas. [A.18] Destruccin la informacin Tipos de activos: [D] datos / informacin Dimensiones: 1. [D] disponibilidad
Descripcin: eliminacin intencional de informacin, con nimo de obtener un beneficio o causar un perjuicio. Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico, hay amenazas especficas. Ministerio de Administraciones Pblicas pgina 38 (de 87)
Magerit versin 2 [A.19] Divulgacin de informacin Tipos de activos: [D] datos / informacin Descripcin: revelacin de informacin. [A.22] Manipulacin de programas Tipos de activos: [SW] aplicaciones (software) Dimensiones: 1. 2. 3. 4. 5. 6. Dimensiones: 1. [C] confidencialidad
Amenazas
[C] confidencialidad [I] integridad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [T_S] trazabilidad del servicio [T_D] trazabilidad de los datos
Descripcin: alteracin intencionada del funcionamiento de los programas, persiguiendo un beneficio indirecto cuando una persona autorizada lo utiliza. [A.24] Denegacin de servicio Tipos de activos: [S] servicios [HW] equipos informticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. [D] disponibilidad
Descripcin: la carencia de recursos suficientes provoca la cada del sistema cuando la carga de trabajo es desmesurada. [A.25] Robo Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar Dimensiones: 1. [D] disponibilidad 2. [C] confidencialidad
Descripcin: la sustraccin de equipamiento provoca directamente la carencia de un medio para prestar los servicios, es decir una indisponibilidad. El robo puede afectar a todo tipo de equipamiento, siendo el robo de equipos y el robo de soportes de informacin los ms habituales. El robo puede realizarlo personal interno, personas ajenas a la Organizacin o personas contratadas de forma temporal, lo que establece diferentes grados de facilidad para acceder al objeto sustrado y diferentes consecuencias. En el caso de equipos que hospedan datos, adems se puede sufrir una fuga de informacin.
pgina 39 (de 87)
Magerit versin 2 [A.26] Ataque destructivo Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Descripcin: vandalismo, terrorismo, accin militar, ... Dimensiones: 1. [D] disponibilidad
Amenazas
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la Organizacin o por personas contratadas de forma temporal. [A.27] Ocupacin enemiga Tipos de activos: [HW] equipos informticos (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [D] disponibilidad 2. [C] confidencialidad
Descripcin: cuando los locales han sido invadidos y se carece de control sobre los propios medios de trabajo. [A.28] Indisponibilidad del personal Tipos de activos: [P] personal interno Dimensiones: 1. [D] disponibilidad
Descripcin: ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral, bajas no justificadas, bloqueo de los accesos, ... [A.29] Extorsin Tipos de activos: [P] personal interno Dimensiones: 1. 2. 3. 4. 5. 6. [C] confidencialidad [I] integridad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [T_S] trazabilidad del servicio [T_D] trazabilidad de los datos
Descripcin: presin que, mediante amenazas, se ejerce sobre alguien para obligarle a obrar en determinado sentido.
pgina 40 (de 87)
Magerit versin 2 [A.30] Ingeniera social Tipos de activos: [P] personal interno Dimensiones: 1. 2. 3. 4. 5. 6.
Amenazas
[C] confidencialidad [I] integridad [A_S] autenticidad del servicio [A_D] autenticidad de los datos [T_S] trazabilidad del servicio [T_D] trazabilidad de los datos
Descripcin: abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero.
5.5. Correlacin de errores y ataques

Errores y amenazas constituyen frecuentemente las dos caras de la misma moneda: algo que le puede pasar a los activos sin animosidad o deliberadamente. Se pueden dar hasta tres combinaciones:

amenazas que slo pueden ser errores, nunca ataques deliberados amenazas que nunca son errores: siempre son ataques deliberados amenazas que pueden producirse tanto por error como deliberadamente
Para afrontar esta casustica, errores y amenazas se han numerado de tal manera que pueda establecerse este paralelismo. La siguiente tabla alinea errores con ataques mostrando cmo se correlacionan 6: nmero 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Escapes de informacin Alteracin de la informacin Introduccin de informacin incorrecta Degradacin de la informacin Destruccin de informacin Divulgacin de informacin Deficiencias en la organizacin Difusin de software daino Errores de [re-]encaminamiento Errores de secuencia error Errores de los usuarios Errores del administrador Errores de monitorizacin (log) Errores de configuracin Manipulacin de la configuracin Suplantacin de la identidad del usuario Abuso de privilegios de acceso Uso no previsto Difusin de software daino [Re-]encaminamiento de mensajes Alteracin de secuencia Acceso no autorizado Anlisis de trfico Repudio Interceptacin de informacin (escucha) Modificacin de la informacin Introduccin de falsa informacin Corrupcin de la informacin Destruccin la informacin Divulgacin de informacin ataque
6 Se deja en blanco la columna ataque cuando la amenaza es simplemente por error. Se deja en blanco la columna error cuando la amenaza siempre es deliberada.
pgina 41 (de 87)
Magerit versin 2 nmero 20 21 22 23 24 25 26 27 28 29 30 Indisponibilidad del personal Errores de mantenimiento / actualizacin de equipos (hardware) Cada del sistema por agotamiento de Denegacin de servicio recursos Robo Ataque destructivo Ocupacin enemiga Indisponibilidad del personal Extorsin Ingeniera social error Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Manipulacin de programas ataque
Amenazas
5.6. Amenazas por tipo de activos

Para completar la anterior presentacin amenaza por amenaza, los siguientes cuadros agrupan las amenazas segn el tipo de activo, indicando en qu dimensin puede afectarles significativamente. Ntese que debido a las dependencias entre activos, los activos inferiores soportan el valor de los activos superiores, siendo aquellos la va por la que resultan perjudicados estos.
5.6.1. [S] Servicios

Las siguientes amenazas pueden materializarse sobre los activos de tipo [S], con consecuencias para la seguridad del sistema de informacin. [D] E.1 E.2 E.4 E.24 A.4 A.7 A.24 E.1 E.2 E.4 E.9 E.10 A.4 A.5 A.6 A.9 A.10 A.11 [I] E.2 E.4 E.9 [C] E.2 E.4 E.9 [A_*] E.2 E.3 E.4 E.9 A.4 A.9 A.13 [T_*]
A.4 A.5 A.6 A.9 A.11
A.4 A.5 A.9 A.11
pgina 42 (de 87)
Magerit versin 2
Amenazas
5.6.2. [D] Datos / Informacin

Las siguientes amenazas pueden materializarse sobre los activos de tipo [D], con consecuencias para la seguridad del sistema de informacin. [D] E.1 E.2 E.3 E.18 E.1 E.2 E.3 E.15 E.16 E.17 A.4 A.11 A.15 A.16 A.17 [I] E.2 E.3 E.14 E.19 [C] E.2 E.4 [A_*] E.2 E.3 E.4 [T_*]
A.4 A.18
A.4 A.11 A.14 A.19
A.4 A.11
A.4
5.6.3. [SW] Aplicaciones (software)

Las siguientes amenazas pueden materializarse sobre los activos de tipo [SW], con consecuencias para la seguridad del sistema de informacin. [D] I.5 E.1 E.2 E.4 E.8 E.20 E.21 E.1 E.2 E.4 E.8 E.9 E.10 E.20 E.21 A.4 A.5 A.6 A.8 A.9 A.10 A.11 A.22 E.2 E.4 E.8 E.9 E.14 E.20 E.2 E.4 E.8 E.9 [I] [C] [A_*] I.5 E.2 E.3 E.4 E.8 E.9 [T_*]
A.4 A.7 A.8
A.4 A.5 A.6 A.8 A.9 A.11 A.14 A.22
A.4 A.5 A.8 A.9 A.11 A.22
A.4 A.8 A.9 A.22
5.6.4. [HW] Equipos informticos (hardware)

Las siguientes amenazas pueden materializarse sobre los activos de tipo [HW], con consecuencias para la seguridad del sistema de informacin. [D] N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.6 I.7 [I] I.11 [C] [A_*] [T_*] N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.6 I.7
pgina 43 (de 87)
Magerit versin 2 [D] E.2 E.4 E.23 E.24 A.4 A.7 A.24 A.25 A.26 A.27 E.2 E.4 [I] E.2 E.4 [C] E.2 E.4 [A_*] E.2 E.4
Amenazas [T_*]
A.4 A.6 A.11
A.4 A.6 A.11 A.14 A.25 A.27
A.4 A.11
A.4
5.6.5. [COM] Redes de comunicaciones

Las siguientes amenazas pueden materializarse sobre los activos de tipo [COM], con consecuencias para la seguridad del sistema de informacin. [D] N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.6 I.7 I.8 E.2 E.4 E.24 A.4 A.7 A.24 A.25 A.26 A.27 E.2 E.4 E.9 E.10 A.4 A.5 A.6 A.9 A.10 A.11 [I] I.11 [C] [A_*] [T_*] N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.6 I.7 E.2 E.4 E.9 A.4 A.5 A.9 A.11 E.2 E.4 E.9 A.4 A.9
E.2 E.4 E.9 E.14 A.4 A.5 A.6 A.9 A.11 A.12 A.14 A.25
5.6.6. [SI] Soportes de informacin

Las siguientes amenazas pueden materializarse sobre los activos de tipo [SI], con consecuencias para la seguridad del sistema de informacin. [D] N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.6 I.7 I.10 [I] [C] [A_*] [T_*] N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.6 I.7 I.10
pgina 44 (de 87)
Magerit versin 2 [D] A.7 A.25 A.26 A.27 A.11 [I] A.11 A.25 A.27 [C] [A_*] A.11
Amenazas [T_*]
5.6.7. [AUX] Equipamiento auxiliar

Las siguientes amenazas pueden materializarse sobre los activos de tipo [AUX], con consecuencias para la seguridad del sistema de informacin. [D] N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.6 I.7 I.9 A.7 A.25 A.26 A.27 A.11 A.11 A.25 A.27 A.11 [I] [C] [A_*] [T_*] N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.6 I.7
5.6.8. [L] Instalaciones

Las siguientes amenazas pueden materializarse sobre los activos de tipo [L], con consecuencias para la seguridad del sistema de informacin. [D] N.1 N.2 N.* I.1 I.2 I.* A.7 A.26 A.27 A.11 A.11 A.27 A.11 [I] [C] [A_*] [T_*] N.1 N.2 N.* I.1 I.2 I.*
5.6.9. [P] Personal

Las siguientes amenazas pueden materializarse sobre los activos de tipo [P], con consecuencias para la seguridad del sistema de informacin. [D] E.7 E.28 A.28 A.29 A.30 A.29 A.30 A.29 A.30 A.29 A.30 [I] [C] [A_*] [T_*]
pgina 45 (de 87)
Magerit versin 2
Amenazas
5.6.10. Disponibilidad
Las siguientes amenazas pueden materializarse sobre diferentes tipos de activos, con consecuencias para la disponibilidad del sistema de informacin. destruccin fsica [S] servicios [D] datos / informacin [SW] aplicaciones (software) E.1 E.2 E.18 A.18 avera lgica E.1 E.2 E.3 A.4 E.1 E.2 E.4 A.4 I.5 E.1 E.2 E.4 E.20 E.21 A.4 E.8 A.8 N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.7 N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.5 I.7 N.2 I.2 I.3 I.4 I.5 I.4 E.2 E.4 A.4 E.23 I.4 E.2 E.4 A.4 A.7 A.7 E.24 A.24 saturacin carencia
[HW] equipos in- N.1 N.2 N.* formticos (hard- I.1 I.2 I.* I.3 I.7 ware) A.26 A.27 [COM] redes de comunicaciones N.1 N.2 N.* I.1 I.2 I.* I.3 I.7 A.26 A.27 N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 I.7 I.10 A.26 A.27 N.1 N.2 N.* I.1 I.2 I.* I.3 I.4 A.26 A.27 N.1 N.2 N.* I.1 I.2 I.* A.26 A.27
A.7 E.24 A.24
I.6 A.25
A.7 E.24 A.24
I.6 I.8 A.25 I.6 A.25
[SI] soportes de informacin
A.7
[AUX] equipamiento auxiliar
N.1 N.2 N.* I.1 I.2 I.2* I.3 I.4 I.5 I.7 N.1 N.2 N.* I.1 I.2 I.* E.7
A.7
I.6 I.9 A.25
[L] instalaciones
A.7
[P] personas
E.28 A.28
5.7. Sintaxis XML

Los amenazas cabe esperar que evolucionen en el tiempo para adaptarse a la evolucin tecnolgica. Por ello se incluye a continuacin una gramtica de tipo XML que permita publicar peridicamente actualizaciones de las amenazas antes descritas. La notacin se describe en el apndice 1.
amenazas ::= <amenazas> { grupo }* </amenazas> grupo ::= <grupo> { grupo | amenaza }* [ descripcin ]
pgina 46 (de 87)
Magerit versin 2
</grupo> amenaza ::= <amenaza cdigo_amenaza> #nombre# { dimensin }+ [ descripcin ] </amenaza > dimensin ::= <dimension cdigo_dimensin> descripcin ::= <descripcion> #texto# </descripcion>
Amenazas
Atributos
Atributo cdigo_amenaza cdigo_dimensin Ejemplo Z=X D=X Descripcin X es un identificador nico que permite determinar unvocamente a qu amenaza se refiere. X es un identificador nico que permite determinar unvocamente a qu dimensin se refiere.
5.8. Referencias
Existen numerosas fuentes que catalogan amenazas dentro del mbito de las tecnologas de la informacin y las comunicaciones.
GMITS, ISO/IEC IS 13335-1:2004, Information technology - Security techniques - Guidelines for the management of IT security - Part 1: Concepts and models for information and communications technology security management. IT Baseline Protection Manual, Federal Office for Information Security (BSI), Germany. October 2003. http://www.bsi.de/gshb/english/etc/index.htm Managing Information Security Risks: The OCTAVE Approach, C.J. Alberts and A.J. Dorofee, Addison-Wesley Pub Co; 1st edition (July 9, 2002) http://www.cert.org/octave/ GMITS, ISO/IEC TR 13335-5: 2001, Information technology - Security techniques - Guidelines for the management of IT security - Part 5: Management guidance of network security GMITS, ISO/IEC TR 13335-4: 2000, Information technology - Security techniques - Guidelines for the management of IT security - Part 4: Selection of safeguards GMITS, ISO/IEC TR 13335-3:1998, Information technology - Security techniques - Guidelines for the management of IT security - Part 3: Techniques for management of IT security Publicado como UNE 71501-3. MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAP, versin 1.0, 1997 http://www.csi.map.es/csi/pg5m20.htm GMITS, ISO/IEC TR 13335-2:1997, Information technology - Security techniques - Guidelines for the management of IT security - Part 2: Managing and planning IT security Publicado como UNE 71501-2.
pgina 47 (de 87)
Magerit versin 2
Salvaguardas
6. Salvaguardas
Las salvaguardas permiten hacer frente a las amenazas. Hay diferentes aspectos en los cuales puede actuar una salvaguarda para alcanzar sus objetivos de limitacin del impacto y/o mitigacin del riesgo: [PR] procedimientos, que siempre son necesarios; a veces bastan procedimientos, pero otras veces los procedimientos son un componente de una salvaguarda ms compleja. Se requieren procedimientos tanto para la operacin de las salvaguardas preventivas como para la gestin de incidencias y la recuperacin tras las mismas. Los procedimientos deben cubrir aspectos tan diversos como van del desarrollo de sistemas la configuracin del equipamiento. [PER] poltica de personal, que es necesaria cuando se consideran sistemas atendidos por personal. La poltica de personal debe cubrir desde las fases de especificacin del puesto de trabajo y seleccin, hasta la formacin continua. Soluciones tcnicas, frecuentes en el entorno de las tecnologas de la informacin, que pueden ser [SW] aplicaciones (software) [HW] dispositivos fsicos [COM] proteccin de las comunicaciones [FIS] seguridad fsica, de los locales y reas de trabajo La proteccin integral de un sistema de informacin requerir una combinacin de salvaguardas de los diferentes aspectos comentados, debiendo la solucin final 1. estar equilibrada en los diferentes aspectos 2. tener en cuenta las salvaguardas adecuadas a cada tipo de activos 3. tener en cuenta las salvaguardas adecuadas a la dimensin de valor del activo 4. tener en cuenta las salvaguardas adecuadas a la amenaza a conjurar Las salvaguardas, especialmente las tcnicas, varan con el avance tecnolgico

porque aparecen tecnologas nuevas, porque van desapareciendo tecnologas antiguas, porque cambian los [tipos de] activos a considerar, porque evolucionan las posibilidades de los atacantes o porque evoluciona el catlogo de salvaguardas disponibles.
En consecuencia, este catlogo de salvaguardas no entra en la seleccin de paquetes o productos a instalar, limitndose a determinar requisitos que debern ser satisfechos por la solucin prctica que se elija.
6.1. Salvaguardas de tipo general

Son aquellas que se refieren al buen gobierno de la seguridad con efectos beneficiosos sobre todo tipo de activos.

Organizacin de la seguridad: roles, comits, ... Poltica corporativa de seguridad de la informacin Gestin de privilegios: adjudicacin, revisin y terminacin Procedimientos de escalado y gestin de incidencias Procedimientos de continuidad de operaciones: emergencia y recuperacin pgina 48 (de 87)
Magerit versin 2
Salvaguardas
Auditora, registro (certificacin) y acreditacin del sistema
6.2. Salvaguardas para la proteccin de los servicios

ciclo de vida

proteccin del valor [A_S]
Especificacin del servicio Desarrollo del servicio Despliegue del servicio Operacin del servicio Terminacin del servicio
Control de acceso Registro de actuaciones Registro de incidencias Plan de continuidad
[T_S]

[D]
El control de acceso es un servicio de salvaguarda recurrente que se aplica en mltiples tipos de activos: acceso a los servicios, acceso a las aplicaciones, acceso al sistema operativo, acceso a los soportes de informacin, acceso fsico a las instalaciones, etc. En todos ellos se requiere un sistema de identificacin y autenticacin que determine quin es el aspirante (sea persona u otro programa) y se coordine con el sistema de gestin de privilegios. Los mecanismos de identificacin y autenticacin son mltiples y pueden combinarse de diferentes formas. Cabe destacar los siguientes:

contraseas: til para sistemas que soportan poco riesgo, o como complemento a otros mecanismos certificados digitales: til en sistemas expuestos a amenazas de repudio dispositivos (tokens o tarjetas): til en sistemas que soportan riesgo elevado o requisitos de urgente disponibilidad caractersticas biomtricas: til para identificar personas, que no roles.
6.3. Salvaguardas para la proteccin de los datos / informacin

organizacin
proteccin del valor [A_D]

Carcter personal, si procede
documento de seguridad
Control de acceso Firma electrnica Registro de actuaciones Registro de incidencias Copias de respaldo Deteccin y recuperacin Cifrado (preventivo) Marcado (persecucin)
Clasificacin, si procede Gestin de claves, si se emplea cifrado
[T_D]

[D]
[I]
[C]

pgina 49 (de 87)
Magerit versin 2
Salvaguardas
6.4. Salvaguardas para la proteccin de las aplicaciones (software)

ciclo de vida

proteccin del valor [I]
Especificacin funcional y no funcional Desarrollo

desarrollo seguro proteccin del cdigo fuente
Proteccin frente a cdigo daino: virus, troyanos, puertas traseras, etc. Control de acceso Registro de actuaciones
[A_S, A_D] [T_S, T_D]
Aceptacin y puesta en operacin Explotacin

gestin de cambios y configuracin gestin de incidencias
Homologacin / certificacin / acreditacin
6.5. Salvaguardas para la proteccin de los equipos (hardware)

seguridad fsica

seguridad del sistema operativo
Inventario Control de entradas y salidas Destruccin Homologacin / certificacin / acreditacin
Configuracin

equipos internos equipos que salen de los locales
Mantenimiento

[I] Proteccin frente a cdigo daino: virus, espas, etc. deteccin de intrusin
Registro de actuaciones Gestin de privilegios Control de acceso
6.6. Salvaguardas para la proteccin de las comunicaciones

ciclo de vida

proteccin del valor

Planificacin de capacidad Adquisicin y mantenimiento Configuracin

[D] Plan de continuidad [I] Garantas de integridad [C] Cifrado [A_S] Control de acceso [T_S] Registro de actuaciones
segregacin de redes configuracin de routers configuracin de cortafuegos
Gestin de claves, si se emplea cifrado Deteccin de intrusin
monitorizacin de uso
pgina 50 (de 87)
Magerit versin 2
Salvaguardas
6.7. Seguridad fsica

proteccin de las instalaciones
Proteccin frente a accidentes naturales
terremotos, riadas, incendios, tormentas, etc. incendio, inundacin, etc. contaminacin mecnica: polvo, vibraciones contaminacin electromagntica
Proteccin frente a accidentes industriales

Proteccin frente a emanaciones electromagnticas Proteccin del recinto: edificios, locales y reas de trabajo

anuncio mnimo barreras fsicas proteccin del cableado
Control de acceso: entrada y salida de personas, equipos, soportes de informacin, etc.
6.8. Salvaguardas relativas al personal

ciclo de vida

Especificacin del puesto de trabajo Seleccin de personal Condiciones contractuales: responsabilidad en seguridad Formacin continua
6.9. Externalizacin
Es cada vez ms flexible la frontera entre los servicios de seguridad prestados internamente y los servicios contratados a terceras partes:

Desarrollo de aplicaciones o equipos Aplicaciones que ejecutan en otro lugar con acceso remoto (ASP Application Service Provisioning) Mantenimiento de programas y equipos Seguridad gestionada: monitorizacin remota y gestin delegada de incidencias Prestacin de servicios de comunicaciones Prestacin de servicios de custodia de datos / informacin etc. SLA: nivel de servicio, si la disponibilidad es un valor NDA: compromiso de secreto, si la confidencialidad es un valor Identificacin y calificacin del personal encargado Procedimientos de escalado y resolucin de incidencias Procedimiento de terminacin (duracin en el tiempo de las responsabilidades asumidas) pgina 51 (de 87)
En todos estos casos es fundamental cerrar los aspectos de relacin contractual:

Magerit versin 2
Salvaguardas
Asuncin de responsabilidades y penalizaciones por incumplimiento
6.10. Referencias
Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el ejercicio de potestades, MAP, 2004 http://www.csi.map.es/csi/pg5c10.htm Centro Criptolgico Nacional. Instruccin Tcnica de Seguridad de las TIC (CCN-STIC-302). Interconexin de CIS que manejen informacin clasificada nacional en la Administracin. Versin 1.2. Marzo de 2004. ISO/IEC TR 15446:2004, Information technology -- Security techniques -- Guide for the production of Protection Profiles and Security Targets. GMITS, ISO/IEC IS 13335-1:2004, Information technology - Security techniques - Guidelines for the management of IT security - Part 1: Concepts and models for information and communications technology security management. COBIT Security Baseline, ISACA, 2004. http://www.isaca.org/ IT Baseline Protection Manual, Federal Office for Information Security (BSI), Germany. October 2003. http://www.bsi.de/gshb/english/etc/index.htm The Standard of Good Practice for Information Security, ISF. 2003 http://www.isfsecuritystandard.com/index_ns.htm NIST Special Publication 800-53: Recommended Security Controls for Federal Information Systems. 31 October, 2003. http://csrc.nist.gov/publications/index.html DoD Instruction 8500-2p, Information Assurance (IA) Implementation. Feb. 2003. UNE-ISO/IEC 17799:2002, Tecnologa de la Informacin. Cdigo de Buenas Prcticas de la Gestin de la Seguridad de la Informacin. 2002. Managing Information Security Risks: The OCTAVE Approach, C.J. Alberts and A.J. Dorofee, Addison-Wesley Pub Co; 1st edition (July 9, 2002) http://www.cert.org/octave/ GMITS, ISO/IEC TR 13335-5: 2001, Information technology - Security techniques - Guidelines for the management of IT security - Part 5: Management guidance of network security GMITS, ISO/IEC TR 13335-4: 2000, Information technology - Security techniques - Guidelines for the management of IT security - Part 4: Selection of safeguards ISO/IEC 15408, Information technology Security techniques Evaluation criteria for IT security, 1999. http://www.commoncriteriaportal.org/ Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal. GMITS, ISO/IEC TR 13335-3:1998, Information technology - Security techniques - Guidelines for the management of IT security - Part 3: Techniques for management of IT security Publicado como UNE 71501-3. MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAP, versin 1.0, 1997 http://www.csi.map.es/csi/pg5m20.htm GMITS, ISO/IEC TR 13335-2:1997, Information technology - Security techniques - Guidelines for the management of IT security - Part 2: Managing and planning IT security Publicado como UNE 71501-2.
pgina 52 (de 87)
Magerit versin 2
Notacin XML
Apndice 1. Notacin XML

Las descripciones de formatos XML se ajustan a la siguiente notacin de tipo BNF 7:

las etiquetas XML se muestran como tales los atributos XML se explican en la seccin atributos { ... }* denota que hay 0 o ms { ... }+ denota que hay 1 o ms | denota que son alternativas [...] denota que es opcional (0 o 1) #texto# es contenido literal: un nombre o una descripcin lo dems es obligatorio
7 BNF: Backus-Naur Form. Es una forma de representar la gramtica de un lenguaje. Una gramtica BNF consiste en una serie de reglas de produccin, donde el lado izquierdo se materializa en lo que se indica en el lado derecho. El lado derecho puede explicitar trminos finales, o bien ser a su vez desarrollado mediante nuevas reglas de produccin.
pgina 53 (de 87)
Magerit versin 2
Fichas
Apndice 2. Fichas
Las siguientes secciones proporciona fichas para la captura de datos en un proyecto de anlisis y gestin de riesgos. Para cada tipo de activo:

[D] datos / informacin [S] servicios [SW] aplicaciones (software) [HW] equipamiento informtico (hardware) [COM] redes de comunicaciones [SI] soportes de informacin [AUX] equipamiento auxiliar [L] instalaciones [P] personal
Reproduzca las fichas siguientes, una por activo, del tipo que corresponda.
pgina 54 (de 87)
Magerit versin 2
Fichas
[D] Datos / informacin

[D] Datos / Informacin cdigo: descripcin: nombre:
propietario: responsable:
tipo (marque todos los adjetivos que procedan): ( ) [vr] datos vitales (vital records) ( ) [com] datos de inters comercial ( ) [adm] datos de inters para la administracin pblica ( ) [int] datos de gestin interna ( ) [source] cdigo fuente ( ) [exe] cdigo ejecutable ( ) [conf] datos de configuracin ( ) [log] registro de actividad (log) ( ) [test] datos de prueba ( ) [per] datos de carcter personal ( ) [A] de nivel alto ( ) [M] de nivel medio ( ) [B] de nivel bsico ( ) [label] datos clasificados ( ) [S] secreto ( ) [R] reservado ( ) [C] confidencial ( ) [DL] difusin limitada ( ) [SC] sin clasificar
pgina 55 (de 87)
Magerit versin 2 [I] integridad [C] confidencialidad [A_D] autenticidad de quin accede a los datos [T_D] trazabilidad de quin accede a los datos, cundo y qu hace
Fichas
Valoracin de los datos / informacin, tpicamente en las siguientes dimensiones de seguridad:
Valoracin dimensin [I] [C] [A_D] [T_D] valor justificacin
pgina 56 (de 87)
Magerit versin 2 Dependencias de activos inferiores (hijos) activo: por qu?: activo: por qu?: activo: por qu?: grado: grado: grado:
Fichas
pgina 57 (de 87)
Magerit versin 2
Fichas
[S] Servicios
[S] Servicios cdigo: descripcin: nombre:
responsable:
tipo (marque todos los adjetivos que procedan): ( ) [anon] annimos (sin requerir identificacin del usuario) ( ) [pub] al pblico en general (sin relacin contractual) ( ) [ext] a usuarios externos (bajo una relacin contractual) ( ) [int] interno (usuarios y medios de la propia organizacin) ( ) [cont] contratado a terceros (se presta con medios ajenos) ( ) [www] world wide web ( ) [telnet] acceso remoto a cuenta local ( ) [email] correo electrnico ( ) [ftp] transferencia de ficheros ( ) [edi] intercambio electrnico de datos ( ) [dir] servicio de directorio ( ) [idm] gestin de identidades ( ) [ipm] gestin de privilegios ( ) [pki] PKI infraestructura de clave pblica
pgina 58 (de 87)
Magerit versin 2
Fichas
Valoracin de los servicios que ofrece la Organizacin a otros, tpicamente en las siguientes dimensiones: [D] disponibilidad [A_S] autenticidad de quin accede al servicio [T_S] trazabilidad de quin accede al servicio, cundo y que hace
Valoracin dimensin [D] [A_S] [T_S] valor justificacin
pgina 59 (de 87)
Fichas
pgina 60 (de 87)
Magerit versin 2
Fichas
[SW] Aplicaciones (software)

[SW] Aplicaciones (software) cdigo: descripcin: nombre:
responsable: tipo (marque todos los adjetivos que procedan): ( ) [prp] desarrollo propio (in house) ( ) [sub] desarrollo a medida (subcontratado) ( ) [std] estndar (off the shelf) ( ) [browser] navegador web ( ) [www] servidor de presentacin ( ) [email_client] cliente de correo electrnico ( ) [app] servidor de aplicaciones ( ) [file] servidor de ficheros ( ) [dbms] sistema de gestin de bases de datos ( ) [tm] monitor transaccional ( ) [office] ofimtica ( ) [av] anti virus ( ) [backup] sistema de backup ( ) [os] sistema operativo
pgina 61 (de 87)
Magerit versin 2 Valoracin (si procede) dimensin valor justificacin
Fichas
pgina 62 (de 87)
Fichas
pgina 63 (de 87)
Magerit versin 2
Fichas
[HW] Equipamiento informtico (hardware)

[HW] Equipamiento informtico (hardware) cdigo: descripcin: nombre:
responsable: ubicacin: nmero: tipo (marque todos los adjetivos que procedan): ( ) [host] grandes equipos ( ) [mid] equipos medios ( ) [pc] informtica personal ( ) [mobile] informtica mvil ( ) [pda] agendas personales ( ) [easy] fcilmente reemplazable ( ) [data] que almacena datos ( ) [peripheral] perifricos ( ) [print] medios de impresin ( ) [scan] escneres ( ) [crypto] dispositivos criptogrficos ( ) [network] soporte de la red ( ) [modem] mdems ( ) [hub] concentradores ( ) [switch] conmutadores ( ) [router] encaminadores ( ) [bridge] pasarelas ( ) [firewall] cortafuegos ( ) [pabx] centralita telefnica
pgina 64 (de 87)
Fichas
pgina 65 (de 87)
Fichas
pgina 66 (de 87)
Magerit versin 2
Fichas
[COM] Redes de comunicaciones

[COM] Redes de comunicaciones cdigo: descripcin: nombre:
responsable: ubicacin: nmero: tipo (marque todos los adjetivos que procedan): ( ) [PSTN] red telefnica ( ) [ISDN] rdsi (red digital) ( ) [X25] X25 (red de datos) ( ) [ADSL] ADSL ( ) [pp] punto a punto ( ) [radio] red inalmbrica ( ) [sat] satlite ( ) [LAN] red local ( ) [MAN] red metropolitana ( ) [Internet] Internet ( ) [vpn] red privada virtual
pgina 67 (de 87)
Fichas
pgina 68 (de 87)
Fichas
pgina 69 (de 87)
Magerit versin 2
Fichas
[SI] Soportes de informacin

[SI] Soportes de informacin cdigo: descripcin: nombre:
responsable: ubicacin: nmero: tipo (marque todos los adjetivos que procedan): ( ) [electronic] electrnicos ( ) [disk] discos ( ) [disquette] disquetes ( ) [cd] cederrn (CD-ROM) ( ) [usb] dispositivos USB ( ) [dvd] DVD ( ) [tape] cinta magntica ( ) [mc] tarjetas de memoria ( ) [ic] tarjetas inteligentes ( ) [non_electronic] no electrnicos ( ) [printed] material impreso ( ) [tape] cinta de papel ( ) [film] microfilm ( ) [cards] tarjetas perforadas
pgina 70 (de 87)
Fichas
pgina 71 (de 87)
Fichas
pgina 72 (de 87)
Magerit versin 2
Fichas
[AUX] Equipamiento auxiliar

[AUX] Equipamiento auxiliar cdigo: descripcin: nombre:
responsable: ubicacin: nmero: tipo (marque todos los adjetivos que procedan): ( ) [power] fuentes de alimentacin ( ) [ups] sistemas de alimentacin ininterrumpida ( ) [gen] generadores elctricos ( ) [ac] equipos de climatizacin ( ) [cabling] cableado ( ) [robot] robots ( ) [tape] ... de cintas ( ) [disk] ... de discos ( ) [supply] suministros esenciales ( ) [destroy] equipos de destruccin de soportes de informacin ( ) [furniture] mobiliario: armarios, etc ( ) [safe] cajas fuertes
pgina 73 (de 87)
Fichas
pgina 74 (de 87)
Fichas
pgina 75 (de 87)
Magerit versin 2
Fichas
[L] Instalaciones
[L] Instalaciones cdigo: descripcin: nombre:
responsable: ubicacin: nmero: tipo (marque todos los adjetivos que procedan): ( ) [site] emplazamiento ( ) [building] edificio ( ) [local] local ( ) [mobile] plataformas mviles ( ) [car] vehculo terrestre: coche, camin, etc. ( ) [plane] vehculo areo: avin, etc. ( ) [ship] vehculo martimo: buque, lancha, etc. ( ) [shelter] contenedores ( ) [channel] canalizacin
pgina 76 (de 87)
Fichas
pgina 77 (de 87)
Fichas
pgina 78 (de 87)
Magerit versin 2
Fichas
[P] Personal
[P] Personal cdigo: descripcin: nombre:
nmero: tipo (marque todos los adjetivos que procedan): ( ) [ue] usuarios externos ( ) [ui] usuarios internos ( ) [op] operadores ( ) [adm] administradores de sistemas ( ) [com] administradores de comunicaciones ( ) [dba] administradores de BBDD ( ) [des] desarrolladores ( ) [sub] subcontratas ( ) [prov] proveedores
pgina 79 (de 87)
Fichas
pgina 80 (de 87)
Fichas
pgina 81 (de 87)
Magerit versin 2
Modelo de valor
Apndice 3. Modelo de valor

En este apndice se describe un formato XML para el intercambio de modelos de activos entre herramientas. Este formato debe entenderse como de mnimos, en el sentido de que las herramientas pueden incorporar informacin adicional a la prescrita. La informacin que se intercambia incluye

identificacin de los activos, con un cdigo y un nombre descriptivo identificacin de bajo qu tipo(s) cabe clasificar el activo identificacin de las dependencias entre activos valoracin de los activos en diferentes dimensiones
La notacin se describe en el apndice 1.
3.1. Formato XML

modelo ::= <modelo> { dato }* { activo }* { dependencia }* { valoracin }* </modelo> dato ::= <dato clave texto /> activo ::= <activo cdigo> #nombre# { tipo }+ { dato }* </activo> tipo ::= <tipo tipo /> dependencia ::= <dependencia superior inferior grado /> valoracin ::= <valoracion activo dimension valor />
atributo cdigo
ejemplo
codigo=X
descripcin Acrnimo que identifica unvocamente un activo en un modelo; es decir, que no pueden haber cdigos repetidos. Aparece como caractersticas adicionales que informan sobre el modelo o activo. Tpicamente aparecen claves como autor, organizacin, documentacin relevante, clasificacin, ubicacin, fecha, versin, etc. Texto asociado a la clave en una caracterstica. T es el cdigo de alguno de los tipos definidos. Ver captulo 2. X es el cdigo de algn activo del modelo.
clave
clave=responsable
texto tipo superior
texto=JRP tipo=T superior=X
pgina 82 (de 87)
Magerit versin 2 atributo inferior grado activo dimension valor ejemplo

inferior=X grado=valor activo=X dimension=D valor=[clave] valor=valor
Modelo de valor descripcin X es el cdigo de algn activo del modelo. Un nmero real entre 0.0 y 1.0. X es el cdigo de algn activo del modelo. D es el cdigo de alguna de las dimensiones definidas. Ver captulo 3. Puede ser una clave simblica o una cantidad real, positiva. Ver captulo 4.
pgina 83 (de 87)
Magerit versin 2
Informes
Apndice 4. Informes
A lo largo del proyecto de anlisis y gestin de riesgos se han identificado una serie de informes para los cuales se propone un ndice a continuacin. Frecuentemente, se puede extraer de estos informes un informe ejecutivo que excluye los detalles.
4.1. Modelo de valor

Caracterizacin del valor que representan los activos para la Organizacin as como de las dependencias entre los diferentes activos. 1. Identificacin del proyecto Cdigo, descripcin, propietario, organizacin. Versin, fecha. Biblioteca de referencia. 2. Activos 2.1. rbol de activos (relaciones de dependencia) 2.2. Valoracin de los activos (valor propio) Indicando la razn de la valoracin atribuida a cada activo en cada dimensin. 3. Descripcin detallada Para cada activo: clasificacin (ver captulo 2) activos superiores e inferiores valoracin: valor propio y acumulado en cada dimensin
4.2. Mapa de riesgos

Relacin de las amenazas a que estn expuestos los activos. 1. Identificacin del proyecto Cdigo, descripcin, propietario, organizacin. Versin, fecha. Biblioteca de referencia. 2. Activos 2.1. rbol de activos (relaciones de dependencia) 2.2. Valoracin de los activos (valor propio) Indicando la razn de la valoracin atribuida a cada activo en cada dimensin. 3. Amenazas por activo Para cada activo: amenazas relevantes (ver captulo 5) degradacin estimada en cada dimensin frecuencia anual estimada 4. Activos por amenaza Para cada amenaza: activos afectados degradacin estimada en cada dimensin frecuencia anual estimada
pgina 84 (de 87)
Magerit versin 2
Informes
4.3. Evaluacin de salvaguardas

Evaluacin de la eficacia de las salvaguardas existentes en relacin al riesgo que afrontan. Se trabaja respecto de
un catlogo de salvaguardas (ver captulo 5)
1. Identificacin del proyecto Cdigo, descripcin, propietario, organizacin. Versin, fecha. Biblioteca de referencia. 2. Salvaguardas (ver captulo 5) Para cada salvaguarda, al nivel de detalle que se estime oportuno, indicacin de su eficacia frente a los riesgos a los que se enfrenta. Si procede, mustrese la evolucin histrica y la planificacin actual.
4.4. Estado de riesgo

Caracterizacin de los activos por su riesgo residual; es decir lo que puede pasar tomando en consideracin las salvaguardas desplegadas. 1. Identificacin del proyecto Cdigo, descripcin, propietario, organizacin. Versin, fecha. Biblioteca de referencia. 2. Activos Para cada activo: 1. Impacto acumulado 2. Riesgo acumulado 3. Impacto repercutido 4. Riesgo repercutido Si procede, mustrese la evolucin histrica y el efecto de la planificacin actual.
4.5. Informe de insuficiencias

Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir el riesgo sobre el sistema. Se trabaja respecto de

un catlogo de salvaguardas (ver captulo 5) un umbral de eficacia
1. Identificacin del proyecto Cdigo, descripcin, propietario, organizacin. Versin, fecha. Biblioteca de referencia. 2. Salvaguardas Para cada salvaguarda, al nivel de detalle que se estime oportuno, cuya eficacia sea inferior a un umbral determinado, indicacin de su eficacia frente a los riesgos a los que se enfrenta. Si procede, mustrese la evolucin histrica y la planificacin actual.
pgina 85 (de 87)
Magerit versin 2
Informes
4.6. Plan de seguridad

Conjunto de programas de seguridad que permiten materializar las decisiones de gestin de riesgos. 1. Marco de referencia

Poltica de seguridad de la organizacin Relacin de normas y procedimientos
2. Responsables y responsabilidades (a nivel de organizacin) 3. Programas de seguridad Por cada programa identificado:

objetivo genrico prioridad o urgencia ubicacin temporal: cundo se llevar a cabo? salvaguardas involucradas unidad responsable de su ejecucin estimacin de costes financieros estimacin de recursos estimacin de impacto para la organizacin
Cuando llega el momento para ser acometido, cada programa de seguridad debe detallar:

Su objetivo genrico. Las salvaguardas concretas a implantar o mejorar, detallando sus objetivos de calidad, eficacia y eficiencia La relacin de escenarios de impacto y/o riesgo que afronta: activos afectados, tipos de activos, amenazas afrontadas, valoracin de activos y amenazas y niveles de impacto y riesgo La unidad responsable de su ejecucin. Una estimacin de costes, tanto econmicos como de esfuerzo de realizacin, teniendo en cuenta:

costes de adquisicin (de productos), o de contratacin (de servicios), o de desarrollo (de soluciones llave en mano), pudiendo ser necesario evaluar diferentes alternativas costes de implantacin inicial y mantenimiento en el tiempo costes de formacin, tanto de los operadores como de los usuarios, segn convenga al caso costes de explotacin impacto en la productividad de la Organizacin cambios en la normativa y desarrollo de procedimientos solucin tcnica: programas, equipos, comunicaciones y locales, plan de despliegue plan de formacin
Una relacin de subtareas a afrontar, teniendo en cuenta

Una estimacin del tiempo de ejecucin desde su arranque hasta su puesta en operacin. Una estimacin del estado de riesgo (impacto y riesgo residual a su complecin). pgina 86 (de 87)
Magerit versin 2
Informes
Un sistema de indicadores de eficacia y eficiencia que permitan conocer en cada momento la calidad del desempeo de la funcin de seguridad que se desea y su evolucin temporal.
pgina 87 (de 87)
III - Gua de Tcnicas
Magerit versin 2
Introduccin
ndice
1. Introduccin ...................................................................................................................4 2. Tcnicas especficas .....................................................................................................5
2.1. Anlisis mediante tablas.........................................................................................................6 2.1.1. Referencias.....................................................................................................................7 2.2. Anlisis algortmico. ...............................................................................................................8 2.2.1. Un modelo cualitativo .....................................................................................................8 2.2.2. Un modelo cuantitativo .................................................................................................13 2.2.3. Un modelo escalonado .................................................................................................17 2.2.4. Sobre la eficacia de las salvaguardas ..........................................................................20 2.3. rboles de ataque ................................................................................................................22 2.3.1. Nodos con atributos......................................................................................................22 2.3.2. Riesgo residual .............................................................................................................23 2.3.3. Construccin del rbol ..................................................................................................23 2.3.4. Referencias...................................................................................................................24
3. Tcnicas generales......................................................................................................25
3.1. Anlisis coste-beneficio........................................................................................................26 3.1.1. Conceptos.....................................................................................................................26 3.1.2. Realizacin de un anlisis coste / beneficio .................................................................26 3.1.3. Referencias...................................................................................................................29 3.2. Diagramas de flujo de datos (DFD)......................................................................................30 3.2.1. Descripcin ...................................................................................................................30 3.2.2. Descomposicin o explosin por niveles......................................................................31 3.2.3. Notacin........................................................................................................................33 3.2.4. Consistencia de los diagramas de flujo de datos .........................................................37 3.2.5. Ejemplo de construccin...............................................................................................40 3.2.6. Utilizacin en el proyecto de anlisis y gestin de riesgos...........................................44 3.2.7. Referencias...................................................................................................................44 3.3. Diagramas de procesos .......................................................................................................45 3.3.1. Conceptos.....................................................................................................................45 3.3.2. SADT (Structured Analysis and Design Technique).....................................................46 3.3.3. Utilizacin en el proyecto de anlisis y gestin de riesgos...........................................48 3.3.4. Referencias...................................................................................................................49 3.4. Tcnicas grficas .................................................................................................................50 3.4.1. Diagramas de GANTT ..................................................................................................50 3.4.2. Por puntos y lneas .......................................................................................................52 3.4.3. Por barras .....................................................................................................................53 3.4.4. Grficos de radar ........................................................................................................54 3.4.5. Diagramas de Pareto....................................................................................................55 3.4.6. Diagramas de tarta .......................................................................................................59 3.5. Planificacin de proyectos....................................................................................................60 3.5.1. Diagramas PERT..........................................................................................................60 3.5.2. Referencias...................................................................................................................63 3.6. Sesiones de trabajo..............................................................................................................64 3.6.1. Entrevistas ....................................................................................................................64 3.6.2. Reuniones.....................................................................................................................65 3.6.3. Presentaciones .............................................................................................................66 3.6.4. Referencias...................................................................................................................67 3.7. Valoracin Delphi .................................................................................................................68 3.7.1. Resumen ejecutivo .......................................................................................................68 3.7.2. Aspectos sociolgicos ..................................................................................................69 3.7.3. Anlisis de las respuestas ............................................................................................70 3.7.4. Resumen ......................................................................................................................71 3.7.5. Referencias...................................................................................................................72
pgina 3 (de 72)
Magerit versin 2
Introduccin
1. Introduccin
Este libro de tcnicas completa la gua metodolgica Magerit. Se presume el conocimiento y comprensin de los conceptos de anlisis y gestin de riesgos, segn se exponen en la gua metodolgica. El objetivo es describir las tcnicas utilizadas en los proyectos de anlisis y gestin de riesgos 1. Se considera tcnica al conjunto de heursticas y procedimientos que se apoyan en estndares, es decir, que utilizan una o varias notaciones especficas en trminos de sintaxis y semntica y cumplen unos criterios de calidad en cuanto a la forma de obtencin del producto asociado. Las prcticas representan un medio para la consecucin de unos objetivos especficos de manera rpida, segura y precisa, sin necesidad de cumplir unos criterios o reglas preestablecidas. Para cada una de las tcnicas y prcticas referenciadas:

se explica brevemente el objetivo que se persigue al utilizarlas, se describen los elementos bsicos asociados, se exponen los principios fundamentales de elaboracin, se presenta una notacin textual y/o grfica y y se citan las fuentes bibliogrficas que, sin ser exhaustivas, se han estimado de inters para que el lector profundice en cada materia.
Todas las tcnicas de este libro pueden utilizarse sin ayudas automatizadas; pero su aplicacin repetitiva o compleja recomienda el empleo de herramientas tan amplia y frecuentemente como sea posible. Es importante resaltar que la notacin que se propone en la aplicacin de la tcnica en ningn caso se considerar obligatoria. Cada organizacin podr utilizar la notacin que desee, la que suele utilizar o la que ofrecen sus herramientas de desarrollo, respetando las reglas y restricciones especficas de las distintas tcnicas.
1 Varias de las tcnicas referenciadas se han incorporado de Mtrica versin 3.
pgina 4 (de 72)
Magerit versin 2
Tcnicas especficas
2. Tcnicas especficas
En este captulo nos centraremos en algunas tcnicas muy especficas de los proyectos de anlisis y gestin de riesgos, tcnicas que no se utilizan en otros contextos de trabajo. Se han considerado de especial inters: 1. uso de tablas para la obtencin sencilla de resultados 2. tcnicas algortmicas para la obtencin de resultados elaborados 3. rboles de ataque para complementar los razonamientos de qu amenazas se ciernen sobre un sistema de informacin que se desarrollan en las siguientes secciones.
pgina 5 (de 72)
Magerit versin 2
Anlisis tabular
2.1. Anlisis mediante tablas

Dcese anlisis de la distincin y separacin de las partes de un todo hasta llegar a conocer sus principios o elementos. En el anlisis de riesgos hay que trabajar con mltiples elementos que hay que combinar en un sistema para ordenarlo por importancia sin que los detalles, muchos, perjudiquen la visin de conjunto. La experiencia ha demostrado la utilidad de mtodos simples de anlisis llevados a cabo por medio de tablas que, sin ser muy precisas, s aciertan en la identificacin de la importancia relativa de los diferentes activos sometidos a amenazas. Sea la escala siguiente til para calificar el valor de los activos, la magnitud del impacto y la magnitud del riesgo: MB: muy bajo B: bajo M: medio A: alto MA: muy alto Estimacin del impacto Se puede calcular el impacto en base a tablas sencillas de doble entrada:
impacto 1% MA A valor M B MB M B MB MB MB
degradacin 10% A M B MB MB 100% MA A M B MB
Aquellos activos que reciban una calificacin de impacto muy alto (MA) deberan ser objeto de atencin inmediata.
pgina 6 (de 72)
Magerit versin 2 Estimacin del riesgo Por otra parte se modela la frecuencia por medio de alguna escala sencilla: MF: muy frecuente (a diario) F: frecuente (mensual) FN: frecuencia normal (anual) PF: poco frecuente (cada varios aos) Pudiendo combinarse impacto y frecuencia en una tabla para calcular el riesgo:
Anlisis tabular
riesgo PF MA A impacto M B MB A M B MB MB
frecuencia FN MA A M B MB F MA MA A M B MF MA MA MA A M
Aquellos activos que reciban una calificacin de riesgo muy alto (MA) deberan ser objeto de atencin inmediata. Los que reciban una calificacin de riesgo alto, deberan ser objeto de planificacin inmediata de salvaguardas.
2.1.1. Referencias
ISO/IEC 13335-1:2004 Information technology Guidelines for the management of IT security Part 1: Concepts and models for Information and communications technology security management.
pgina 7 (de 72)
Magerit versin 2
Anlisis algortmico
2.2. Anlisis algortmico.

Dcese anlisis de la distincin y separacin de las partes de un todo hasta llegar a conocer sus principios o elementos. En ciencias qumicas, dcese anlisis cualitativo del que tiene por objeto descubrir y aislar los elementos o ingredientes de un cuerpo compuesto. A diferencia del anlisis cuantitativo que es el que se emplea para determinar la cantidad de cada elemento o ingrediente. En las siguientes secciones se presentan dos enfoques algortmicos. Primero, un modelo cualitativo que busca una valoracin relativa del riesgo que corren los activos (qu es lo ms frente a qu es lo menos?). Segundo, un modelo cuantitativo que ambiciona responder a la pregunta de cunto ms y cunto menos. A continuacin se presenta un modelo escalonado, tpico del anlisis de impacto sobre la disponibilidad de los sistemas de informacin. Por ltimo se incluye un modelo para estimar la eficacia de un paquete de salvaguardas.
2.2.1. Un modelo cualitativo

En un anlisis de riesgos cualitativo se busca saber qu es lo que hay, sin cuantificarlo con precisin ms all de relativizar los elementos del modelo. En esta seccin se presenta un modelo de clculo que trabaja sobre una escala discreta de valores. Valores. En un anlisis de riesgos es necesario poder valorar, al menos relativamente, los elementos involucrados. En particular, los activos, el impacto de las amenazas y el riesgo que se corre. Para todo ello se usar una escala de niveles simblicos: V = { ..., v0, v1, ..., vi, ... } Esta serie de niveles satisface las siguientes propiedades:

orden total: i, vi < vi+1 existe un elemento singular, v0, que se denomina despreciable 2.
Informalmente, se dice que un activo tiene i puntos para indicar que su valoracin es vi 3. El valor de los activos. Cada activo, en cada dimensin, recibe un valor de la escala V. Las diferentes dimensiones de un anlisis son independientes entre s, mereciendo un activo una calificacin de valor en cada una de las dimensiones. Las dependencias entre activos. Slo hay que preocuparse de si un activo A depende, significativamente, o no de otro activo B. Es decir, la dependencia entre activos es un valor booleano: s o no. AB La dependencia puede ser transitiva: (A B) (B C) A depende de B; B depende de C.
2 Este nivel despreciable establece una frontera, subjetiva, entre lo que es apreciable y debe preocupar, y lo que es despreciable y se puede obviar. Se despreciarn los valores por debajo de v0. 3 Si el lector lo desea, en este sistema de valoracin, puede interpretar los puntos como rdenes de magnitud; por ejemplo, interpretando vx como 10x.
pgina 8 (de 72)
Magerit versin 2 E incluso puede dibujar figuras de diamante: (A B1) (A B2) (B1 C) (B2 C) A depende de B1 y B2; B1 y B2 dependen de C.
Anlisis algortmico
A
B1
B2
Interesa pues del cierre transitivo de las dependencias directas entre activos. A C B, ( A B ) ( B C ) A depende (indirectamente) de C s y slo si existe algn activo B tal que A depende directa o indirectamente de B y B depende directamente de C. En lo que sigue no se distingue entre dependencias directas o indirectas. El valor acumulado. Sea SUP(B) el conjunto superiores de B, es decir el conjunto de activos que dependen directa o indirectamente de B: SUP(B) = { Ai , Ai B } Se define el valor acumulado sobre B como el mayor valor entre el propio y el de cualquiera de sus superiores: valor_acumulado(B) = max (valor(B), maxi {valor(Ai)}) La frmula anterior dice que el valor acumulado sobre un activo es el mayor de los valores que soporta, bien propio, bien de alguno de sus superiores. La degradacin [del valor] de un activo. Cuando un activo es vctima de una amenaza, una parte de su valor se pierde. Intuitivamente, se habla de un porcentaje de degradacin del activo, de forma que se puede perder entre un 0% y un 100%. Se recoge d como un valor real entre 0,0 (degradacin del 0%) y 1,0 (degradacin del 100%). Impacto acumulado de una amenaza sobre un activo. Es la medida de lo que implica una amenaza; es decir, la prdida de valor acumulado. Si un activo tiene un valor acumulado vx y se degrada un porcentaje d, el valor del impacto ser impacto = vround(x d) Ejemplo. Si un activo vale v8 y se degrada un 90%, el impacto ser v7: round(80,9) = round(7,2) = 7 Cuando el impacto queda reducido a v0, se dice que el impacto es despreciable.
pgina 9 (de 72)
Magerit versin 2 Impacto repercutido de una amenaza sobre un activo. Si el activo A depende del activo B, las amenazas sobre B repercuten sobre A. Si B sufre una degradacin d, eso mismo le ocurre a A, siendo el impacto sobre A la prdida de su valor propio. Si A tiene un valor propio vx, el impacto es impacto = vround(x d) Ejemplo.
Anlisis algortmico
activo A activo A
activo B activo B
amenaza Z
Si A vale v5 y depende de B (cuyo valor no interesa aqu) que se degrada un 20%, el impacto repercutido sobre A ser v1: round(50,2) = round(1,0) = 1 Cuando el impacto queda reducido a v0, se dice que el impacto es despreciable. Frecuencia de una amenaza. Para caracterizar la frecuencia de las amenazas se usar una escala de valores simblicos: F = { ..., f0, f1, ..., fi, } Es decir, una serie de niveles de frecuencia, que son los elementos o tomos de anlisis. Esta serie de niveles satisface las siguientes propiedades:

orden total:
j, fj < fj+1
existe un elemento singular, f0, que se denomina frecuencia despreciable existe un elemento singular, fn, que se denomina frecuencia normal 4
Informalmente, se dice que una amenaza tiene j puntos de frecuencia para indicar a que su frecuencia es fj. Riesgo. El riesgo se mide por medio de la escala de valores, siendo una funcin del impacto y la frecuencia: riesgo = (impacto, frecuencia) funcin que hay que definir con los siguientes requisitos:

crece con el valor: fi, (vi, fj) < (vi+1 , fj) crece con la frecuencia: vi, (vi, fj) < (vi , fj+1)
(v0, fn) = v0 (vi, fj) = vi+j-n
Una funcin sencilla que satisface estas propiedades es
El riesgo es un valor, pudiendo tomar el valor v0, e incluso valores inferiores, en cuyo caso se entiende que el riesgo es despreciable.
4 Si se quiere hacer un estudio anualizado, fn se referir a una vez al ao.
pgina 10 (de 72)
Magerit versin 2 Ejemplo. Si un activo vale v8 y se degrada un 90%, el impacto ser v7: round(80,9) = round(7,2) = 7 Si la frecuencia estimada para la amenaza es f2, y se considera f3 como frecuencia normal, entonces el riesgo ser v6.
10 9 8 7 6 5 4 3 2 1 0 d= 90% valor
Anlisis algortmico
impacto riesgo f= fn-1
Riesgo acumulado. En el clculo del riesgo acumulado, se usar el impacto acumulado sobre el activo. Riesgo repercutido. En el clculo del riesgo repercutido, se usar el impacto repercutido sobre el activo. Paquete de salvaguardas. Frente a una amenaza se desplegar una serie de salvaguardas, un paquete de salvaguardas, cuya eficacia, e, se calcula segn se indica ms adelante. Baste adelantar que la eficacia es un valor real entre 0,0 (no protege) y 1,0 (salvaguarda plenamente eficaz), valor que se puede descomponer en una eficacia frente al impacto, ei, y una eficacia frente a la frecuencia ef. Degradacin residual. Si el activo, sin proteccin, poda sufrir una degradacin d, gracias a las salvaguardas la degradacin se ve reducida a un valor residual dr: dr = d (1-ei) Donde ei es la medida de la eficacia de las salvaguardas disminuyendo la degradacin de este activo (o sea, limitando el impacto sobre este activo). Los casos extremos son:

si las salvaguardas no tienen efecto sobre este activo, ei= 0 y dr= d si las salvaguardas son ideales, ei= 1 y dr= 0
Ejemplo. Si un activo se ve degradado en un 66% (o sea, 2/3 de su valor); pero las salvaguardas son eficaces en un 90%, la degradacin residual es del 7%: dr = 0,66 (1-0,9) = 0,07 El impacto residual. El impacto residual se calcula como el impacto, pero utilizando la degradacin residual: impacto_residual = v round(x dr) Un paquete de salvaguardas perfectamente eficaz reduce el impacto a un valor residual v0, es decir, al nivel de despreciable. Si las salvaguardas son insuficientes, el impacto seguir siendo apreciable. El impacto acumulado residual se calcula sobre el valor acumulado. El impacto residual repercutido se calcula sobre el valor propio. Ministerio de Administraciones Pblicas pgina 11 (de 72)
Magerit versin 2 La frecuencia residual.
Anlisis algortmico
De forma similar al impacto, la frecuencia de la amenaza sobre el activo se ve reducida a un valor residual. Si la frecuencia era fj, ahora queda: frecuencia_residual = fk para k = round(j (1 ef)) Siendo ef la eficacia de las salvaguardas mitigando la frecuencia de ocurrencia de la amenaza. ef es un valor entre 0,0 (0% de eficacia; o sea, intil) y 1,0 (100% de eficacia; o sea, perfecta). Riesgo residual. Es el riesgo calculado a partir del impacto y frecuencia residuales: riesgo_residual = (impacto_residual, frecuencia_residual) El riesgo residual acumulado se calcula sobre el impacto residual acumulado. El riesgo residual repercutido se calcula sobre el impacto residual repercutido. Ejemplo. Sea un activo A de valor v5, que depende de otro activo B de valor v8. Sea una amenaza sobre el activo B que lo degrada un 90%, con una frecuencia estimada f2, siendo f3 la frecuencia normal. Sobre este sistema se despliega un paquete de salvaguardas que reduce el impacto en un 50% y la frecuencia de ocurrencia en otro 50%. Los clculos arrojan los siguientes indicadores: sobre A valor acumulado: v5 impacto repercutido: v4 riesgo repercutido: v3 degradacin residual: 45% impacto residual: v2 frecuencia residual: f1 riesgo residual: v0 Resumen En este modelo, denominado cualitativo, se han posicionado los activos en una escala de valor relativo, definiendo arbitrariamente un valor v0 como frontera entre los valores que preocupan y los que son despreciables. Sobre esta escala de valor se ha medido tanto el valor del activo, propio o acumulado, como el impacto de una amenaza cuando ocurra y el riesgo al que est expuesto. Mientras el impacto mide el valor de la desgracia potencial, el riesgo pondera ese impacto con la frecuencia estimada de ocurrencia de la amenaza. El impacto es la medida del coste si ocurriera mientras que el riesgo mide la exposicin en un determinado periodo de tiempo. Las estimaciones de impacto y riesgo residual incorporan la eficacia de las salvaguardas para enfrentarse a la amenaza, bien limitando el impacto, ei, bien reduciendo la frecuencia, ef. El modelo pues combina los siguientes parmetros de anlisis:

sobre B valor acumulado: v5 + v8 = v8 impacto acumulado: v7 riesgo acumulado: v6 degradacin residual: 45% impacto residual: v3 frecuencia residual: f1 riesgo residual: v1
calibracin del valor del activo por medio de una escala discreta calibracin de la degradacin que supone una amenaza como un porcentaje calibracin de la frecuencia de ocurrencia de la amenaza por medio de una escala discreta vertebracin de un paquete de salvaguardas calibracin de la eficacia de las salvaguardas por medio de un porcentaje
Parmetros todos ellos que permiten moverse arriba y abajo por la escala de valores. Ministerio de Administraciones Pblicas pgina 12 (de 72)
Magerit versin 2
Anlisis algortmico
2.2.2. Un modelo cuantitativo

En un anlisis de riesgos cuantitativo se busca saber qu y cunto hay, cuantificando todos los aspectos posibles. El modelo que sigue no trabaja sobre una escala discreta de valores, sino con nmeros reales (en el sentido matemtico) positivos. El valor de los activos. El valor de un activo en una cierta dimensin es un valor real superior a cero. Se determina que un cierto valor, v0, representa la frontera entre los valores que son despreciables y los que son relevantes. Las dependencias entre activos. Interesa tanto de saber si un activo A depende o no de otro activo B, como de saber en qu grado. Se aplican los conceptos de dependencia directa o indirecta expuestos en el modelo cualitativo; pero ahora se calificar la dependencia por medio de un coeficiente entre 0,0 (activos independientes) y 1,0 (activos con dependencia absoluta). A este coeficiente se le denomina grado de dependencia. Como la dependencia puede ser directa o indirecta, se calcular del cierre transitivo de las dependencias directas entre activos. A C B, ( A B ) ( B C ) A depende (indirectamente) de C s y slo si existe algn activo B tal que A depende directa o indirectamente de B y B depende directamente de C. Calculando el grado de dependencia como: grado(A C) = i { grado(A Bi) grado(Bi C) } Donde las sumas se realizan de acuerdo con esta frmula: a + b = 1 (1 a) (1 b) 5 Ejemplos.
50%
100%
100% 50%
50%
30%
50%
30%
30%
15%
65%
55%
En lo que sigue no se distingue entre dependencias directas o indirectas. El valor acumulado. Sea SUP(B) el conjunto de superiores de B, es decir el conjunto de activos que dependen directa
5 Esta manera de sumar satisface las propiedades conmutativa, asociativa y existencia de un elemento neutro, amn de acotar el resultado al rango [0..1] si los sumandos estn dentro de dicho rango. La eleccin de esta curiosa frmula, tomada del clculo de probabilidades de Bayes, deriva de la necesidad de reflejar el hecho de que si un activo depende de otro por varias vas (estructuras de diamante), la dependencia total no puede superar el 100%.
pgina 13 (de 72)
Magerit versin 2 o indirectamente de B: SUP(B) = { Ai , Ai B }
Anlisis algortmico
Se define el valor acumulado sobre B como la suma (tradicional) de valores de los activos superiores, ponderados por el grado de dependencia: valor_acumulado(B) = valor(B) +i { valor(Ai) grado(Ai B) } La degradacin [del valor] de un activo. Cuando un activo es vctima de una amenaza, una parte de su valor se pierde. Intuitivamente, se habla de un porcentaje de degradacin del activo, de forma que se puede perder entre un 0% y un 100%. Se recoger d como un valor real entre 0,0 (degradacin del 0%) y 1,0 (degradacin del 100%). Impacto acumulado de una amenaza sobre un activo. Es la prdida de valor acumulado. Si un activo tiene un valor acumulado v y sufre una degradacin d, el impacto es impacto = i = v d Ejemplo. Si un activo est valorado en 1.000.000 y sufre una degradacin del 90%, el impacto acumulado es de cuanta 900.000. Cuando el impacto queda reducido a v0, o menos, se dice que el impacto es despreciable. Impacto repercutido de una amenaza sobre un activo. Si el activo A depende del activo B, las amenazas sobre B repercuten sobre A. Si B sufre una degradacin d, A pierde en la proporcin en que dependa de B. Si el activo A tiene un valor propio v, el impacto es impacto = v d grado(A B) Ejemplo. Sea un activo A valorado en 1.000.000, que depende de otro activo B (cuyo valor no interesa aqu) en un 30%. Si B es vctima de una amenaza que lo degrada un 90%, A sufre un impacto repercutido de cuanta 1.000.000 x 90% x 30% = 270.000 Cuando el impacto queda reducido a v0, o menos, se dice que el impacto es despreciable. Frecuencia de una amenaza. La frecuencia de una amenaza es un valor real superior a cero. Se determina un valor f0 como frecuencia despreciable, por debajo de la cual la amenaza no merece ser tomada en consideracin. Riesgo. El riesgo se calcula como riesgo = impacto frecuencia Es un valor real, mayor que cero. Se determina un umbral r0 por debajo del cual el riesgo es despreciable, que es r0 = v0
pgina 14 (de 72)
Magerit versin 2 Ejemplo.
Anlisis algortmico
Sea un activo valorado en 1.000.000, que es vctima de una amenaza que lo degrada un 90%. El impacto es de cuanta 1.000.000 x 90% = 900.000 Si el activo est expuesto a la amenaza con una frecuencia estimada de 0,1, el riesgo estimado es de cuanta 900.000 x 0,1 = 90.000 Si los valores son euros y la frecuencia mide tasa anual (o sea, si 0,1 significa una vez cada 10 aos), entonces la prdida posible de valor es de 900.000 euros, mientras que la prdida anual prevista es de 90.000 euros. Riesgo acumulado. En el clculo del riesgo acumulado, se usar el impacto acumulado sobre el activo; es decir, la prdida de valor acumulado por amenazas sobre el mismo. Riesgo repercutido. En el clculo del riesgo repercutido, se usar el impacto repercutido sobre el activo; es decir, la prdida de valor propio por amenazas en activos inferiores. Paquete de salvaguardas. Frente a una amenaza se despliega una serie de salvaguardas, un paquete de salvaguardas, cuya eficacia, e, se calcula segn se indica ms adelante. Baste adelantar que la eficacia es un valor real entre 0,0 (no protege) y 1,0 (salvaguarda plenamente eficaz), valor que se puede descomponer en una eficacia frente al impacto, ei, y una eficacia frente a la frecuencia ef, de forma que (1 ei) (1 ef) = 1 e 6 Degradacin residual. Es la parte de la degradacin que no consigue contrarrestar la eficacia del paquete de salvaguardas aplicado. El impacto residual. Un sistema de salvaguardas absolutamente ineficaz (ei = 0) deja el impacto donde estaba, mientras que un sistema de salvaguardas plenamente eficaz (ei = 1) reduce el impacto a 0. En forma de clculo: impacto_residual = impacto x (1 ei) Ejemplo. Sea un activo valorado en 1.000.000, que es vctima de una amenaza que lo degrada un 90%. El impacto es de cuanta 1.000.000 x 90% = 900.000 Si las salvaguardas tienen un 90% de eficacia sobre el impacto, el impacto residual es 900.000 x (1 0,9) = 90.000 El impacto acumulado se realiza con los datos de impacto acumulado sobre un activo y las salva6 La frmula elegida disfruta de las siguientes propiedades. Si ei= 0% y ef= 0%, e= 0%. Si ei= 0%, e= ef. Si ef= 0%, e= ei. Si ei o ef= 100%, e= 100%. El resultado es pues creciente con los componentes ei y ef, estando al tiempo acotado al rango [0%..100%].
pgina 15 (de 72)
Magerit versin 2 guardas adecuadas para las amenazas sobre dicho activo.
Anlisis algortmico
El impacto repercutido se realiza con los datos de impacto repercutido sobre el activo superior y las salvaguardas adecuadas para las amenazas del activo inferior. La frecuencia residual. Un sistema de salvaguardas absolutamente ineficaz (ef = 0) deja la frecuencia donde estaba, mientras que un sistema de salvaguardas plenamente eficaz (ef = 1) reduce la frecuencia a 0. En forma de clculo: frecuencia_residual = frecuencia x (1 ef) El riesgo residual. Puede derivarse indirectamente como riesgo_residual = impacto_residual x frecuencia residual Ejemplo. Sea un activo valorado en 1.000.000, que es vctima de una amenaza que lo degrada un 90%. El impacto es de cuanta 1.000.000 x 90% = 900.000 Si la frecuencia estimada es de 0,1, el riesgo es de cuanta 900.000 x 0,1 = 90.000 Si las salvaguardas tienen un 90% de eficacia sobre el impacto, el impacto residual es 900.000 x (1 0,9) = 90.000 Si las salvaguardas tienen un 50% de eficacia sobre la frecuencia, la frecuencia residual queda en 0,1 x (1 0,5) = 0,05 El riesgo residual queda en 90.000 x 0,05 = 4.500 La eficacia combinada de las salvaguardas es 1 (1 90%) x (1 50%) = 95% Si las cantidades son euros y las frecuencias anuales, la prdida posible es de 90.000 euros y la prdida anual se estima en 4.500 euros. Resumen En este modelo, denominado cuantitativo, se trabaja con valores reales, siempre superiores a cero. Se modela el grado de dependencia entre activos como un continuo entre 0,0 (activos independientes) y 1,0 (activos absolutamente dependientes; lo que ocurre sobre el inferior repercute contundentemente sobre el superior). Se mide tanto el valor del activo, propio o acumulado, como el impacto de una amenaza cuando ocurra y el riesgo que supone. Mientras el impacto mide el valor de la desgracia potencial, el riesgo pondera ese impacto con la frecuencia estimada de ocurrencia de la amenaza. El impacto mide el coste si ocurriera mientras que el riesgo es la medida de la exposicin en un periodo de tiempo. Si la valoracin del activo es econmica (coste monetario que significara su prdida total y absoluta), el impacto calculado es el coste inducido por la amenaza y el riesgo calculado es la cantidad que hay que prever como prdidas anuales. El modelo cuantitativo permite pues comparar el gasto en salvaguardas con la disminucin de prdidas. Ministerio de Administraciones Pblicas pgina 16 (de 72)
Magerit versin 2
Anlisis algortmico
Las estimaciones de impacto y riesgo residual incorporan la eficacia de las salvaguardas para enfrentarse a la amenaza. Si la valoracin del activo es econmica, el modelo cuantitativo permite comparar el gasto en salvaguardas con la disminucin de prdidas. El modelo pues combina los siguientes parmetros de anlisis:

calibracin del valor del activo por medio de una cantidad numrica calibracin de la dependencia entre activos por medio de un porcentaje calibracin de la degradacin que supone una amenaza por medio de un porcentaje calibracin de la frecuencia de ocurrencia de la amenaza por medio de una frecuencia vertebracin de un paquete de salvaguardas calibracin de la eficacia de las salvaguardas por medio de un porcentaje
Parmetros todos ellos que permiten moverse arriba y abajo por la escala de valores.
2.2.3. Un modelo escalonado

Ciertas dimensiones de degradacin de un activo se modelan ms adecuadamente como escalones de valor. El caso tpico es la interrupcin del servicio, que responde a esquemas como el siguiente
coste de [la interrupcin de la] disponibilidad

10 8 6 coste 4 2 15m 0 30m
1h
2h
6h
1d
2d
2s
1m
2m
6m
1a
S1 total
duracin de la parada
donde se observa una serie de escalones de interrupcin que terminan con la destruccin total o permanente del activo. En los prrafos siguientes se indica como analizar este tipo de dimensiones, bien sea de forma cualitativa (escala discreta de niveles de valor) o cuantitativa (valor continuo). Los escalones. Se determina una serie, ordenada, de escalones de valoracin: E = { e1, e2, ..., en } Cada escaln refleja un tiempo de parada (ver grfica ilustrativa anterior). El valor de los activos. El activo recibe un valor para cada uno de los escalones Ministerio de Administraciones Pblicas pgina 17 (de 72)
1s
Magerit versin 2 v[ei]
Anlisis algortmico
valor que puede ser cualitativo o cuantitativo, segn el tipo de anlisis de inters; pero siempre con la condicin de que la serie sea montona creciente: v[e1] v[e2] v[en] Las dependencias entre activos. Se usar el tratamiento cualitativo (s o no depende) o el cuantitativo (depende en tal grado) segn corresponda. El valor acumulado. Se calcular independientemente (en paralelo) para cada escaln. Es decir, para cada activo se estima un valor propio y un valor acumulado en cada escaln. Ejemplo. Una unidad administrativa proporciona un servicio de reclamaciones que, tradicionalmente, se ha prestado de forma escrita: el afectado reclama por carta y se le responde en el plazo mximo de 1 semana. Actualmente ha introducido una ventanilla electrnica alternativa en la que se ha considerado excelente una respuesta en menos de 1 hora (en horario de atencin al pblico). A partir de una hora, la imagen ofrecida a los ciudadanos empieza a resentirse. Si el servicio se demora ms de un da, se considera intil, aunque de una gravedad relativa pues siempre queda la opcin de la reclamacin por escrito. Ambos servicios dependen de un equipamiento informtico que hereda las valoraciones de ambos servicios: activo escrito web servidor 1h [0] [3] [3] 1d [0] [5] [5] 1s [8] [5] [8]
acumulado
Degradacin [del valor] de un activo. Se indicar como el escaln ei al que conduce la materializacin de la amenaza. As, si la consecuencia de una amenaza Z es una parada de 2 horas, se tomar el escaln correspondiente, cuyo valor econmico se valor anteriormente. El impacto de una amenaza sobre un activo. Es el valor correspondiente al escaln de degradacin, v[ei]. El impacto acumulado emplear en valor acumulado sobre el activo que es vctima de la amenaza. El impacto repercutido emplear el valor propio del activo superior en el escaln de degradacin del impacto inferior que es vctima de la amenaza. Si el anlisis es cuantitativo, se multiplica el valor propio por el grado de dependencia. Ejemplo. En el ejemplo anterior, un virus informtico provoca una detencin de unas 48 horas. El impacto en el servidor es [5], lo mismo que en el servicio web. El impacto repercutido en el servicio escrito es [0]. La frecuencia de una amenaza. Se emplear el modelo cualitativo o cuantitativo, segn corresponda. El riesgo que supone una amenaza para un activo. Se emplear el modelo cualitativo o cuantitativo, segn corresponda. Ministerio de Administraciones Pblicas pgina 18 (de 72)
Magerit versin 2 La eficacia de una salvaguarda frente al impacto.
Anlisis algortmico
Una salvaguarda frente a la interrupcin del servicio se caracteriza por un tiempo de reaccin: lo que tarde en reponer el servicio. A fin de calificar la eficacia de la salvaguarda, se toma el escaln correspondiente a dicho tiempo de respuesta garantizada 7. Ejemplo. En el caso anterior, se puede desplegar un sistema antivirus que permite reactivar el servicio en 6 horas. Se dice que su eficacia est en el escaln de las 6 horas. Este escaln de eficacia puede ser e0, si la salvaguarda es tan contundente que no deja lugar ni al primer escaln valorado, e1. Este escaln de eficacia es el mismo que la degradacin cuando la salvaguarda es incapaz de reducir el impacto 8. Este escaln de eficacia nunca puede ser superior al escaln de degradacin, pues una salvaguarda no puede empeorar la situacin de un activo frente a una amenaza. Adems del escaln de eficacia, las salvaguardas que se consideran aplicables al caso constituyen un paquete que se puede caracterizar por su eficacia reduciendo el impacto, ei, y su eficacia reduciendo la frecuencia, ef. El clculo de estos coeficientes se describe ms adelante. Lo que s hay que indicar es cmo calcular el escaln de efectividad de un paquete de salvaguardas: escaln(ps)= escaln(s) maxk { escaln(psk) } mink { escaln(psk) } mink { escaln(psk) } si s es singular si ps= todas (psk) si ps= algunas (psk) si ps= una (psk)
Donde el valor especial na 9 se comporta como elemento neutro en las operaciones. De forma que, de un conjunto de salvaguardas alternativas se requiere al menos una que sea efectiva. Y que, de un conjunto de salvaguardas concurrentes, la eficacia la marca la peor de ellas. La degradacin residual. Si el activo, sin proteccin, se posicionada en el escaln ed de degradacin, gracias a las salvaguardas se colocar en el escaln propuesto como escaln de eficacia, es; pero modulado por la eficacia ei frente al impacto, resultado en un escaln residual er: r = d ((d s) ei)
10
Donde el valor especial na se valora como 0. El impacto residual. Es el valor correspondiente al escaln residual: impacto_residual = valor[er]
7 El razonamiento es como sigue. Si una parada superior a x1 horas supone un perjuicio v1, y una parada superior a x2 horas, un perjuicio v2; entonces, una parada de x horas, siendo x1 x < x2, supone un perjuicio v1, dado que no ha llegado al nivel x2. 8 Un centro de respaldo que empieza a funcionar en 48 horas es intil frente a amenazas que detienen el servicio durante 6 horas. 9 na: no aplica. 10 La notacin v indica el entero que resulta de un redondeo por defecto.
pgina 19 (de 72)
Magerit versin 2
Anlisis algortmico
Ejemplo. En el caso anterior, si se despliega un sistema antivirus que permite reactivar el servicio en 6 horas, el impacto residual en servidor y servicio web quedan en [3]. Si se desplegara un sistema antivirus que garantizase la reposicin del servicio en 30 minutos, el impacto residual sera [0]. La frecuencia residual. Se emplear el modelo cualitativo o cuantitativo, segn corresponda. El riesgo residual. En base al impacto residual y la frecuencia residual, se emplear el modelo cualitativo o cuantitativo, segn corresponda.
2.2.4. Sobre la eficacia de las salvaguardas

Todos los modelos requieren una evaluacin de la eficacia de las salvaguardas que se despliegan para proteger a un activo de una amenaza. Se describe a continuacin un modelo comn para evaluar la eficacia de un conjunto de salvaguardas aplicadas sobre un activo. Paquete de salvaguardas. Frente a una amenaza se despliega un paquete de salvaguardas que no es sino un conjunto de salvaguardas singulares acumuladas sobre un activo. Las diferentes salvaguardas se pueden acumular de forma concurrente (todas son necesarias para surtir efecto), de forma excluyente (slo tiene efecto una de un conjunto) o de forma aditiva (cuantas ms, mejor). ps::= | | | salvaguarda todas(ps0, ps1, ...) algunas (ps0, ps1, ...) una (ps0, ps1, ...)
La eficacia de una salvaguarda. Cada salvaguarda se valora segn su eficacia reduciendo el riesgo del activo que protege. La eficacia de un paquete de salvaguardas es un nmero real entre 0,0 y 1,0:

si una salvaguarda es idnea (100% eficaz), se dice que e = 1 si una salvaguarda es insuficiente, se dice que e < 1 si una salvaguarda no sirve para nada, se dice que e= 0 si una salvaguarda no tiene sentido en este contexto, se dice que e = na
La eficacia de la salvaguarda depende tanto de su capacidad natural para proteger el activo como de la calidad de su despliegue. El valor de la eficacia recoge ambos aspectos en un nico parmetro. La eficacia de un paquete de salvaguardas. e(ps)= e(s) mediak { e(psk) }
11
si s es singular si ps= todas (psk) si ps= algunas (psk) si ps= una (psk)
min { 1,0, k e(psk) maxk { e(psk) }
11 El valor medio se calcula de la forma habitual: se suman las eficacias diferentes de NA y se divide por el nmero de sumandos.
pgina 20 (de 72)
Magerit versin 2
Anlisis algortmico
Donde el valor especial na se comporta como elemento neutro en las operaciones de clculo del mximo, producto o suma. De forma que, de un conjunto de salvaguardas concurrentes, la eficacia es la media de ellas; de un conjunto de salvaguardas aditivas, la eficacia de las salvaguardas se acumula, con un lmite del 100%; y de un conjunto de salvaguardas alternativas, la eficacia la marca la mejor. Eficacia ponderada de un paquete de salvaguardas Como eficacia de un paquete de salvaguardas se ha tomado el valor medio de las eficacias de los componentes. Este clculo puede modularse si se tiene en cuenta que no todas las salvaguardas son de la misma naturaleza, introduciendo una ponderacin p: e(ps) = k e(psk) pk
/ k p
El caso particular de que todas las salvaguardas sean igual de importantes, se consigue tomando p = 1. La eficacia frente al impacto y la frecuencia de una amenaza. El riesgo combina impacto y frecuencia. Una salvaguarda puede reducir el impacto, o la frecuencia, o ambas facetas. Depende de la naturaleza de la salvaguarda el que acte sobre el impacto o sobre la frecuencia. As, en los prrafos anteriores, se puede diferenciar entre la eficacia reduciendo el impacto, ei, y la eficacia reduciendo la frecuencia ef, Ambas eficacias se estiman con el mismo criterio: satisfaccin de su cometido. Por ltimo se puede calcular la eficacia reduciendo el riesgo, e, como (1 ei) (1 ef) = 1 e
pgina 21 (de 72)
Magerit versin 2
rboles de ataque
2.3. rboles de ataque

Los rboles de ataque son una tcnica para modelar las diferentes formas de alcanzar un objetivo. Aunque han existido durante aos con diferentes nombres, se hicieron famosos a partir de los trabajos de B. Schneier que propuso sus sistematizacin en el rea de los sistemas de informacin. El objetivo del atacante se usa como raz del rbol. A partir de este objetivo, de forma iterativa e incremental se van detallando como ramas del rbol las diferentes formas de alcanzar aquel objetivo, convirtindose las ramas en objetivos intermedios que a su vez pueden refinarse. Los posibles ataques a un sistema se acaban modelando como un bosque de rboles de ataque. Un rbol de ataque pasa revista a cmo se puede atacar un sistema y por tanto permite identificar qu salvaguardas se necesita desplegar para impedirlo. Tambin permiten estudiar la actividad del atacante y por tanto lo que necesita saber y lo que necesita tener para realizar el ataque; de esta forma forma es posible refinar las posibilidades de que el ataque se produzca si se sabe a quin pudiera interesar el sistema y/o la informacin y se cruza esta informacin con la habilidades que se requieren. Veamos un ejemplo ilustrativo sobre como usar fraudulentamente (sin pagar) un servicio de pago: 1. Objetivo: usar sin pagar (OR) 1. suplantar la identidad de un usuario legtimo 2. soslayar la identificacin de acceso al servicio 3. abusar del contrato (AND) 1. ser un usuario legtimo 2. conseguir que no se facture el servicio (OR) 1. que no queden trazas de uso 2. que se destruyan las trazas antes de facturacin (OR) 1. las destruyo yo 2. engao al operador para que las borre 3. manipulo del sw para que no las sume 3. repudiar las trazas 4. dar datos de cargo falsos Lo ms habitual para alcanzar un objetivo o subobjetivo es que se disponga de varias maneras alternativas (nodos OR); aunque en ocasiones se requiere la concurrencia de varias actividades (nodos AND). En conjunto, se consigue un esquema de las diferentes maneras en las que un usuario podra usarlo sin pagar por ello.
2.3.1. Nodos con atributos

Identificadas las diferentes maneras de alcanzar un objetivo, los nodos del rbol se pueden enriquecer con informacin de detalle, que puede ser de muy diferentes tipos:

conocimientos que se requieren del atacante: cualquiera, alguna experiencia, un ingeniero, un hacker profesional, etc. inversin del atacante: cantidad de dinero y tiempo que tendra que desembolsar para realizar la accin riesgo para el atacante: si es capturado, qu consecuencias afrontara?
Si la informacin del rbol con estos atributos se procesa automticamente, podemos obtener escenarios simplificados de ataque:

usuarios inexpertos pero con bastante dinero atacantes profesionales pero sin capacidad de inversin (o sin necesidad de realizar una inpgina 22 (de 72)
Magerit versin 2 versin adicional para perpetrar este ataque)

rboles de ataque
atacantes que quedaran impunes etc.
Para alcanzar estos escenarios especializados basta eliminar del rbol las ramas que no satisfagan una condicin cualitativa o cuantitativa 12. Sobre un rbol con atributos es posible determinar el ataque ms probable, simplemente extrayendo aquel ataque que requiere menos medios y menos conocimiento por parte del atacante. Tambin es posible determinar cul ser la lnea de accin de un posible perfil de atacante (que se determina en base al tipo de servicio o informacin que estamos protegiendo): aquel que con menos coste satisfaga los conocimientos mnimos para realizar el ataque.
2.3.2. Riesgo residual

Cuando se han desplegado salvaguardas, su efecto puede reflejarse sobre el rbol de ataque:

incrementando el conocimiento que el atacante necesitara para alcanzar su objetivo pese a las salvaguardas desplegadas: idealmente debera ser imposible por mucho que supiera incrementando el desembolso que el atacante tendra que realizar para alcanzar su objetivo a la vista de las salvaguardas desplegadas: idealmente el coste debera ser superior al beneficio para el atacante
Un sistema ideal de salvaguardas eliminara todas las ramas del rbol. Un sistema real suele llevar los atributos a niveles elevados de conocimiento e inversin que reducen la posibilidad de que el ataque se materialice a un nivel residual aceptado por la Direccin.
2.3.3. Construccin del rbol

La construccin del rbol es laboriosa. Marcar el objetivo final requiere un conocimiento de dnde est el valor en la Organizacin y cual puede ser el objetivo del atacante respecto del mismo. El enriquecimiento en forma de ramas debera ser exhaustivo; pero est limitado por la imaginacin del analista; si el atacante es ms listo tiene una oportunidad para utilizar una va imprevista. La experiencia permite ir enriqueciendo el rbol con nuevos ataques realmente perpetrados o simplemente detectados en el permetro con un buen sistema de monitorizacin. Puede encontrarse ayuda a la construccin del rbol en

la experiencia propia o ajena en sistemas similares grupos de reflexin (brain storming meetings) en los que de forma informal se van exponiendo cosas que posiblemente pensaran los atacantes; estas sesiones suelen generar mucho material en bruto que hay que organizar y estructurar para ser utilizado como herramienta de anlisis herramientas que sugieran ataques en base a la naturaleza de los activos presentes en el sistema
Si se dispone de un modelo de valor como el desarrollado en las actividades de la metodologa Magerit, es posible utilizar ste para determinar la naturaleza de los activos y las dependencias entre ellos, de forma que podemos elaborar el rbol de ataques en base al conocimiento de los activos inferiores que constituyen la va de ataque para alcanzar los activos superiores en los que suele residir el valor para la Organizacin. Resumen Los rboles de ataque son una herramienta grfica para analizar y presentar qu puede pasar y
12 Los clculos suelen ser sencillos y permiten trabajar con diferentes niveles de refinamiento. Los nodos OR cuestan lo que el ms barato de sus hijos. Los nodos AND suman los costes. En el caso de analizar conocimientos, los nodos OR requieren en conocimiento ms bajo, mientras que los nodos AND requieren el conocimiento del hijo ms sofisticado. Ntese que para tomar decisiones combinadas hay que ir al ltimo nodo de detalle, pues frecuentemente lo ms barato y lo ms sofisticado son condiciones contradictorias.
pgina 23 (de 72)
Magerit versin 2
rboles de ataque
cmo lo prevenimos. Capturan de alguna forma el razonamiento del atacante y permiten anticiparse a lo que pudiera ocurrir. Aunque es difcil construir rboles exhaustivos en el primer intento, s son un buen soporte para ir incorporando la experiencia acumulada y recopilar en cada momento el mejor conocimiento de que se dispone. De esta forma es posible realizar simulaciones:

qu pasara si introducimos nuevos activos? qu pasara si cambiamos las salvaguardas? cmo lo enfocara un atacante de perfil X?
Ntese que los rboles de ataque constituyen una documentacin extremadamente valiosa para un atacante, especialmente cuando incorporan el estado actual de salvaguardas, pues facilitan en extremo su trabajo. Por ello debern extremarse las medidas de proteccin de su confidencialidad. Su principal inconveniente se encuentra en que es explosivo por la cantidad de rboles y detalle que pueden ser necesarios para recopilar todas las amenazas posibles sobre un sistema medianamente complejo. Por ello cabe esperar su uso como complemento a un anlisis de riesgos, permitiendo profundizar en algunas lneas de ataque y dramatizar sus consecuencias.
2.3.4. Referencias

J. Viega et al., Risk Analysis: Attack Trees and Other Tricks, Software Development Magazine, August 2002. A.P. Moore et al., Attack Modeling for Information Security and Survivability, Software Engineering Institute, Carnegie Mellon University, Technical Note CMU/SEI-2001-TN-001, 2001. B. Schneier, Secrets and Lies: Digital Security in a Networked World, John Wiley & Sons, 2000. B. Schneier, Attack Trees: Modeling Security Threats, Dr. Dobb's Journal, December 1999.
pgina 24 (de 72)
Magerit versin 2
Tcnicas generales
3. Tcnicas generales
En este captulo nos referiremos a tcnicas generales que, entre otros casos, son de utilizad en el desarrollo de un proyecto de anlisis y gestin de riesgos. No obstante su generalidad, cuando procede se ha indicado cmo se aplican en el contexto del anlisis y gestin de riesgos. Las indicaciones dadas en este libro complementan a las presentadas a lo largo de la metodologa. Se han considerado de especial inters: 1. anlisis coste beneficio 2. diagramas de flujo de datos (DFD) 3. diagramas de procesos (SADT) 4. tcnicas grficas: GANTT, histogramas, diagramas de Pareto y de tarta 5. tcnicas de planificacin y gestin de proyectos (PERT) 6. sesiones de trabajo: entrevistas, reuniones y presentaciones 7. valoraciones Delphi que se desarrollan en las siguientes secciones.
pgina 25 (de 72)
Magerit versin 2
Anlisis coste-beneficio
3.1. Anlisis coste-beneficio

La tcnica de anlisis coste/beneficio tiene como objetivo fundamental proporcionar una medida de los costes en que se incurre en la realizacin de un proyecto y comparar dichos costes previstos con los beneficios esperados de la realizacin de dicho proyecto. Esta medida o estimacin servir para:

Valorar la necesidad y oportunidad de acometer la realizacin del proyecto. Seleccionar la alternativa ms beneficiosa para la realizacin del proyecto. Estimar adecuadamente los recursos econmicos necesarios en el plazo de realizacin del proyecto.
Es de destacar la necesidad cada vez mayor de guiarse por criterios econmicos y no slo tcnicos para la planificacin de trabajos y proyectos. Por ello se hace una primera introduccin sobre las tcnicas y mtodos de evaluacin de conceptos econmicos, con el fin de proporcionar a los profesionales criterios que les ayuden en la planificacin de proyectos y evaluacin de alternativas.
3.1.1. Conceptos
Punto de amortizacin (Break-Even Point) Es el momento en el tiempo en que el conjunto de beneficios obtenidos por la explotacin del nuevo sistema iguala al conjunto de costes de todo tipo que ha ocasionado. A partir del punto de amortizacin (Break-Even Point), el sistema entra en fase de aportar beneficios netos a la Organizacin. Periodo de amortizacin (PayBack) Es el periodo de tiempo que transcurre desde que los costes son mximos hasta que se alcanza el punto de amortizacin (Break-Even Point), es decir, en cuanto el sistema empieza a aportar beneficios. Cuanto menor sea el periodo de amortizacin (Payback) de un Sistema, ms atractivo ser para la Organizacin acometer su implantacin. Retorno de la Inversin - ROI (Return of Investment) Es el rendimiento de la inversin expresada en trminos de porcentaje. Se calcula mediante la frmula siguiente:
ROI
Beneficio Neto Anual Coste Desarrollo Anualizado x100 Inversin Promedio
Siendo: Beneficio Neto Anual: Ganancia que aporta el sistema como consecuencia de su uso, es decir los beneficios obtenidos ms los gastos no incurridos. Deben restrsele los gastos operacionales anuales y los de mantenimiento del sistema. Coste de Desarrollo Anualizado: Total del gasto inicial de desarrollo del sistema, dividido por los aos que se supone que va a ser operativo. Inversin Promedio: Total de la inversin realizada (costes de desarrollo, hardware, software, etc.) dividido por el total de conceptos en los que se invierte.
3.1.2. Realizacin de un anlisis coste / beneficio

Para la realizacin del anlisis coste/beneficio se seguirn los siguientes pasos: 1. Producir estimaciones de costes/beneficios. 2. Determinar la viabilidad del proyecto y su aceptacin.
3.1.2.1. Producir estimaciones de costes-beneficios

Se realizar una lista de todo lo que es necesario para implementar el sistema y una lista de los Ministerio de Administraciones Pblicas pgina 26 (de 72)
Magerit versin 2 beneficios esperados del nuevo sistema.
En general, los costes suelen ser mensurables y estimables en unidades econmicas, no as los beneficios, los cuales pueden ser tangibles o no tangibles. En un anlisis de costes y beneficios se deben considerar aquellos aspectos tangibles, es decir, mensurables en valores como dinero, tiempo, etc., y no tangibles, es decir, no ponderables de una forma objetiva. Entre los beneficios no tangibles pueden estar:

El aumento de cuentas debido a un mejor servicio a los clientes. La mejora en la toma de decisiones debido a una mejora en el soporte informtico.
La valoracin de los beneficios no tangibles se debe estimar de una forma subjetiva y ser realizada por las reas correspondientes. A menudo es conveniente desglosar los costes estimados a lo largo del proyecto, para ofrecer una informacin ms detallada de la distribucin de los recursos de cara a la direccin. En la estimacin de costes se considerarn, entre otros, los siguientes aspectos: Adquisicin de hardware y software: El que sea preciso para el desarrollo, implantacin y normal funcionamiento del sistema. Se debe considerar la saturacin de mquinas o sistemas actuales como consecuencia de la entrada en vigor del nuevo sistema. Gastos de mantenimiento de hardware y software anteriores. Gastos de comunicaciones: Lneas, telfono, correo, etc. Gastos de instalacin: Cableado, acondicionamiento de sala, recursos humanos y materiales, gastos de viaje, etc. Coste de desarrollo del sistema. Gastos del mantenimiento del sistema: Coste anual. Gastos de consultora: En caso de requerirse algn consultor externo en cualquier etapa del proyecto. Gastos de formacin: De todo tipo (Desarrolladores, Operadores, Implantadores, Usuario Final, etc.). Gastos de material: Papel, toner, etc. Costes derivados de la curva de aprendizaje: De todo el personal involucrado: Desarrolladores, Tcnicos de Sistemas, Operadores, y desde luego, Usuarios. Costes financieros, de publicidad, etc. En la estimacin de beneficios se pueden considerar cuestiones como las siguientes: Incremento de la productividad: Ahorro o mejor utilizacin de recursos humanos. Ahorro de gastos de mantenimiento del sistema actual. Ahorros de adquisicin y mantenimiento de hardware y software, o reutilizacin de plataformas sustituidas. Incremento de ventas o resultados, disminucin de costes: Producidos por una mejora de la gestin (rotacin de stock, "just in time", analtica de clientes, etc.). Ahorro de material de todo tipo: Sustituido por datos electrnicos que proporciona el sistema, como por ejemplo: papel, correo, etc. Beneficios financieros. Otros beneficios tangibles: Ahorro de recursos externos, consultora, formacin, etc. Beneficios intangibles: Incremento de la calidad del producto o servicio, mejora de la imagen de la compaa, mejora en la atencin al cliente, mejora en la explotacin, etc.
pgina 27 (de 72)
Magerit versin 2
3.1.2.2. Determinar la viabilidad del proyecto

Se basar en uno de los mtodos siguientes:

retorno de la inversin valor actual
Retorno de la Inversin Este mtodo consiste en calcular el coste y el beneficio anual, conociendo el coste total al inicio del proyecto "C0, para determinar en qu ao se recupera el coste total inicialmente estimado.
AO COSTE BENEFICIO BENEFICIO NETO 0 1 2 n C0 C1 C2 Cn 0 B1 B2 Bn B1 - C1 B2 - C2 Bn - Cn
El ao de recuperacin de la inversin se produce cuando

i
Bi C i
C0
Valor Actual Este mtodo permite tener en cuenta que un gasto invertido durante un cierto tiempo produce un beneficio. El mtodo consiste en determinar el dinero que es viable invertir inicialmente para que se recupere la inversin en un periodo de tiempo definido previamente. El resultado depende del tipo de inters (r) utilizado en la evaluacin. Se debe calcular, en primer lugar, el beneficio neto que se obtendr cada ao. Dicho beneficio no es real, ya que se debe estimar el valor real de dicha cantidad en el ao n. Para ello se aplica la frmula:
Valor actual
Para n= 1, 2, ... aos.
Beneficio neto 1 r 100 n
Se debe estudiar en cuntos aos se recupera la inversin realizada inicialmente, o bien, si en un periodo de aos fijado previamente se retorna la inversin y, por tanto, es viable el proyecto. Si la inversin es el C0, se determinar la viabilidad del proyecto consultando la siguiente tabla:
AO COSTE BENEFICIO 0 1 2 C0 C1 C2 0 B1 B2
VALOR ACTUAL
VA1
VA 2
B1 C 1
B 2 C2
1 r 100
1 r 100
2
Cn
Bn
VA n
Bn C n
1 r 100
pgina 28 (de 72)
Magerit versin 2 El proyecto ser viable si

i
VA i C0
a lo largo del periodo fijado.
3.1.3. Referencias

R.A. Brealey and S.C. Myers, Principles of Corporate Finance, Mcgraw-Hill College; 6th edition, December 2000. A.E. Boardman, Cost-Benefit Analysis: Concepts and Practice, Prentice Hall, 2nd Edition, October 2000. H.M. Levin and P.J. McEwan, Cost-Effectiveness Analysis Methods and Applications, Sage Publications, Inc., 2nd edition, September 2000. Office of The Deputy Chief Information Officer, Cost-Benefit Analysis Guide for NIH IT Projects, Revised May, 1999. Office of Management and Budget, Circular No. A-94 Revised, Guidelines and Discount Rates for Benefit-Cost Analysis of Federal Programs, October 29, 1992.
pgina 29 (de 72)
Magerit versin 2
Diagramas de flujo de datos
3.2. Diagramas de flujo de datos (DFD)

El objetivo de los diagramas de flujo de datos es la obtencin de un modelo lgico que presente cmo los datos progresan por el sistema de informacin. As se facilita su comprensin por los usuarios y los miembros del equipo de desarrollo, sin entrar en detalles de las manipulaciones que sufren los datos. El sistema se divide en distintos niveles de detalle, con el objetivo de:

Simplificar la complejidad del sistema, representando los diferentes procesos de que consta. Facilitar el mantenimiento del sistema.
3.2.1. Descripcin
Un diagrama de flujo de datos es una tcnica muy apropiada para reflejar de una forma clara y precisa los procesos que conforman el sistema de informacin. Permite representar grficamente los lmites del sistema y la lgica de los procesos, estableciendo qu funciones hay que desarrollar. Adems, muestra el flujo o movimiento de los datos a travs del sistema y sus transformaciones como resultado de la ejecucin de los procesos. Esta tcnica consiste en la descomposicin sucesiva de los procesos, desde un nivel general, hasta llegar al nivel de detalle necesario para reflejar toda la semntica que debe soportar el sistema en estudio. El diagrama de flujo de datos se compone de los siguientes elementos: Entidad externa: representa un ente ajeno al sistema que proporciona o recibe informacin del mismo. Puede hacer referencia a departamentos, personas, mquinas, recursos u otros sistemas. El estudio de las relaciones entre entidades externas no forma parte del modelo. Puede aparecer varias veces en un mismo diagrama, as como en los distintos niveles del DFD para mejorar la claridad del diagrama. Proceso: representa una funcionalidad que tiene que llevar a cabo el sistema para transformar o manipular datos. El proceso debe ser capaz de generar los flujos de datos de salida a partir de los de entrada, ms una informacin constante o variable al proceso. El proceso nunca es el origen ni el final de los datos, puede transformar un flujo de datos de entrada en varios de salida y siempre es necesario como intermediario entre una entidad externa y un almacn de datos. Almacn de datos: representa la informacin en reposo utilizada por el sistema independientemente del sistema de gestin de datos (por ejemplo un. fichero, base de datos, archivador, etc.). Contiene la informacin necesaria para la ejecucin del proceso. El almacn no puede crear, transformar o destruir datos, no puede estar comunicado con otro almacn o entidad externa y aparecer por primera vez en aquel nivel en que dos o ms procesos accedan a l. Flujo de datos: representa el movimiento de los datos, y establece la comunicacin entre los procesos y los almacenes de datos o las entidades externas. Un flujo de datos entre dos procesos slo es posible cuando la informacin es sncrona, es decir, el proceso destino comienza cuando el proceso origen finaliza su funcin. Los flujos de datos que comunican procesos con almacenes pueden ser de los siguientes tipos: De consulta: representan la utilizacin de los valores de uno o ms campos de un almacn o la comprobacin de que los valores de los campos seleccionados cumplen unos criterios determinados. De actualizacin: representan la alteracin de los datos de un almacn como consecuencia de la creacin de un nuevo elemento, por eliminacin o modificacin de otros ya existentes. De dilogo: es un flujo entre un proceso y un almacn que representa una consulta y una actualizacin. Existen sistemas que precisan de informacin orientada al control de datos y requieren flujos y Ministerio de Administraciones Pblicas pgina 30 (de 72)
Magerit versin 2
procesos de control, as como los mecanismos que desencadenan su ejecucin. Para que resulte adecuado el anlisis de estos sistemas, se ha ampliado la notacin de los diagramas de flujo de datos incorporando los siguientes elementos: Proceso de control: representa procesos que coordinan y sincronizan las actividades de otros procesos del diagrama de flujo de datos. Flujo de control: representa el flujo entre un proceso de control y otro proceso. El flujo de control que sale de un proceso de control activa al proceso que lo recibe y el que entra le informa de la situacin de un proceso. A diferencia de los flujos tradicionales, que pueden considerarse como procesadores de datos porque reflejan el movimiento y transformacin de los mismos, los flujos de control no representan datos con valores, sino que en cierto modo, se trata de eventos que activan los procesos (seales o interrupciones).
3.2.2. Descomposicin o explosin por niveles

Los diagramas de flujo de datos han de representar el sistema de la forma ms clara posible, por ello su construccin se basa en el principio de descomposicin o explosin en distintos niveles de detalle. La descomposicin por niveles se realiza de arriba abajo (top-down), es decir, se comienza en el nivel ms general y se termina en el ms detallado, pasando por los niveles intermedios necesarios. De este modo se dispondr de un conjunto de particiones del sistema que facilitarn su estudio y su desarrollo. La explosin de cada proceso de un DFD origina otro DFD y es necesario comprobar que se mantiene la consistencia de informacin entre ellos, es decir, que la informacin de entrada y de salida de un proceso cualquiera se corresponde con la informacin de entrada y de salida del diagrama de flujo de datos en el que se descompone. En cualquiera de las explosiones puede aparecer un proceso que no necesite descomposicin. A ste se le denomina Proceso primitivo y slo se detalla en l su entrada y su salida, adems de una descripcin de lo que realiza. En la construccin hay que evitar en lo posible la descomposicin desigual, es decir, que un nivel contenga un proceso primitivo, y otro que necesite ser fragmentado en uno o varios niveles ms. El modelo de procesos deber contener:

Un diagrama de contexto (Nivel 0). Un diagrama 0 (Nivel 1). Tantos diagramas 1, 2, 3, ... n como funciones haya en el diagrama 0 (Nivel 2). Tantos niveles intermedios como sea necesario. Varios DFD en el ltimo nivel de detalle.
El diagrama de contexto tiene como objetivo delimitar el mbito del sistema con el mundo exterior definiendo sus interfaces. En este diagrama se representa un nico proceso que corresponde al sistema en estudio, un conjunto de entidades externas que representan la procedencia y destino de la informacin y un conjunto de flujos de datos que representan los caminos por los que fluye dicha informacin. A continuacin, este proceso se descompone en otro DFD, en el que se representan los procesos principales o subsistemas. Un subsistema es un conjunto de procesos cuyas funcionalidades tienen algo en comn. stos debern ser identificados en base a determinados criterios, como por ejemplo: funciones organizativas o administrativas propias del sistema, funciones homogneas de los procesos, localizacin geogrfica de los mismos, procesos que actualicen los mismos almacenes de datos, etc. Cada uno de los procesos principales se descompone a su vez en otros que representan funciones ms simples y se sigue descomponiendo hasta que los procesos estn suficientemente detallados y tengan una funcionalidad concreta, es decir, sean procesos primitivos. Como resultado se obtiene un modelo de procesos del sistema de informacin que consta de un conjunto de diagramas de flujo de datos de diferentes niveles de abstraccin, de modo que cada Ministerio de Administraciones Pblicas pgina 31 (de 72)
Magerit versin 2
uno proporciona una visin ms detallada de una parte definida en el nivel anterior. Adems de los diagramas de flujo de datos, el modelo de procesos incluye la especificacin de los flujos de datos, de los almacenes de datos y la especificacin detallada de los procesos que no precisan descomposicin, es decir los procesos de ltimo nivel o primitivos. En la especificacin de un proceso primitivo se debe describir, de una manera ms o menos formal, cmo se obtienen los flujos de datos de salida a partir de los flujos de datos de entrada y caractersticas propias del proceso. Dependiendo del tipo de proceso se puede describir el procedimiento asociado utilizando un lenguaje estructurado o un pseudocdigo, apoyndose en tablas de decisin o rboles de decisin.
pgina 32 (de 72)
Magerit versin 2
A continuacin se muestra un ejemplo grfico que representa la de descomposicin jerrquica de los diagramas de flujo de datos.
3.2.3. Notacin
Entidad externa: Se representa mediante una elipse con un identificador y un nombre significativo en su interior:
pgina 33 (de 72)
Magerit versin 2
Si la entidad externa aparece varias veces en un mismo diagrama, se representa con una lnea inclinada en el ngulo superior izquierdo:
Proceso: Se representa por un rectngulo subdividido en tres casillas donde se indica el nombre del proceso, un nmero identificativo y la localizacin.
Si el proceso es de ltimo nivel, se representa con un asterisco en el ngulo inferior derecho separado con una lnea inclinada.
El nombre del proceso debe ser lo ms representativo posible. Normalmente estar constituido por un verbo ms un sustantivo. El nmero identificativo se representa en la parte superior izquierda e indica el nivel del DFD en que se est. Hay que resaltar que el nmero no indica orden de ejecucin alguno entre los procesos ya que en un DFD no se representa una secuencia en el tratamiento de los datos. El nmero que identifica el proceso es nico en el sistema y debe seguir el siguiente estndar de notacin:

El proceso del diagrama de contexto se numera como cero. Los procesos del siguiente nivel se enumeran desde 1 y de forma creciente hasta completar el nmero de procesos del diagrama. En los niveles inferiores se forma con el nmero del proceso en el que est incluido seguido de un nmero que lo identifica en ese contexto.
La localizacin expresa el nombre del proceso origen de la descomposicin que se est tratando.
pgina 34 (de 72)
Magerit versin 2 Almacn de datos:
Se representa por dos lneas paralelas cerradas en un extremo y una lnea vertical que las une. En la parte derecha se indica el nombre del almacn de datos y en la parte izquierda el identificador de dicho almacn en el DFD.
Si un almacn aparece repetido dentro un DFD se puede representar de la siguiente forma:
Flujo de datos: Se representa por una flecha que indica la direccin de los datos, y que se etiqueta con un nombre representativo.
La representacin de los flujos de datos entre procesos y almacenes es la siguiente:
pgina 35 (de 72)
Magerit versin 2 Proceso de control:
Se representa por un rectngulo, con trazo discontinuo, subdividido en tres casillas donde se indica el nombre del proceso, un nmero identificativo y la localizacin.
Flujo de control: Se representa por una flecha con trazo discontinuo que indica la direccin de flujo y que se etiqueta con un nombre representativo.
pgina 36 (de 72)
Magerit versin 2
Ejemplo
La figura es un diagrama de flujos de un Sistema Gestor de Pedidos. En l estn representados todos los elementos que pueden intervenir en una Diagrama de Flujo de Datos.
3.2.4. Consistencia de los diagramas de flujo de datos

Una vez construidos los diagramas de flujo de datos que componen el modelo de procesos del sistema de informacin, es necesario comprobar y asegurar su validez. Para ello, se debe estudiar cada diagrama comprobando que es legible, de poca complejidad y si los nombres asignados a sus elementos ayudan a su comprensin sin ambigedades. Adems, los diagramas deben ser consistentes. En los diagramas hay que comprobar que en un DFD resultado de una explosin:

No falten flujos de datos de entrada o salida que acompaaban al proceso del nivel superior. No aparezca algn flujo que no estuviese ya asociado al proceso de nivel superior. Todos los elementos del DFD resultante deben estar conectados directa o indirectamente con los flujos del proceso origen.
A continuacin se incluyen ejemplos de la consistencia o inconsistencia de los diagramas de flujo de datos.
pgina 37 (de 72)
Magerit versin 2
Sea el diagrama de contexto de la figura. Los flujos A, C y D, entran al sistema, y el flujo B sale de l.
Ejemplo de consistencia de diagramas de flujo de datos En la explosin del sistema en el diagrama de nivel 1, aparecen todos los flujos, y en su sentido correcto: A y C entran al subsistema o proceso 1, B sale del proceso 2, y D entra en el proceso 3. Se observa que el proceso 3, origina dos flujos de salida: E que va a al proceso 1, y F al proceso 2.
pgina 38 (de 72)
Magerit versin 2
La descomposicin del proceso 1, muestra los flujos A, C y E correctamente, como entradas a las funciones del diagrama.
Ejemplo de inconsistencia de diagramas de flujo de datos Partiendo del mismo diagrama de contexto utilizado en el anterior ejemplo, los flujos A, C y D, que entran al sistema, y el flujo B, que sale de l, deben aparecer en la primera descomposicin, el diagrama de nivel 1. En la figura se aprecia que falta el flujo D, y hay un flujo G que o bien falta en el nivel anterior, sobra en este. Por otro lado, en el proceso 3 no entra ningn flujo, no es posible por tanto que transforme datos saliendo los flujos E y F y adems est desconectado del nivel anterior.
pgina 39 (de 72)
Magerit versin 2
En el siguiente paso, la inconsistencia ms clara es la falta del flujo C, que entra al proceso 1, y sin embargo no aparece en su explosin.
Adems, hay otra inconsistencia respecto al almacn A1: en el diagrama del nivel anterior, el proceso 1 se conectaba con un flujo de entrada-salida este almacn, cosa que no se refleja en el diagrama de este proceso, en el que slo aparece uno de entrada.
3.2.5. Ejemplo de construccin.

El caso en estudio es un modelo de procesos de un sistema de informacin de Conocimientos de tcnicos. Segn estos conocimientos, los tcnicos podrn ser asignados a determinados proyectos de la Organizacin. El sistema recoger la informacin referente a los tcnicos, procedente de la Direccin tcnica de la Organizacin y de los proyectos, procedente de cualquier seccin o Unidad de Negocio en las que est dividida dicha Organizacin.
pgina 40 (de 72)
Magerit versin 2
Las entidades externas son pues Direccin Tcnica y Unidad de Negocio, que introducen los datos al sistema y hacen peticiones de consultas e informes sobre los tcnicos y sus conocimientos. El diagrama de contexto ser el siguiente:
Los flujos de entrada son: Datos Tcnicos, con datos de los tcnicos introducidos por la Direccin Tcnica, as como posibles peticiones de informacin sobre ellos; y Datos Unidad, que proviene de la Unidad de Negocio, conteniendo datos referentes a la unidad, de proyectos y clientes, as como posibles peticiones de consultas sobre los mismos. Los flujos de salida son: Informacin Tcnicos, que contendr datos de tcnicos, de consulta o informes, para uso de la Direccin Tcnica y Consultas Unidad, con datos requeridos por la Unidad de Negocio. El sistema de Conocimientos se descompone en el diagrama de nivel 1, conteniendo dos subsistemas. El subsistema 1 recoger las funciones a realizar con los datos de los tcnicos de la Organizacin (actualizaciones, consultas, informes, etc.), por lo que se denomina Tratar Tcnicos. El subsistema 2 contendr las funciones asociadas al procesamiento de datos de proyectos, por lo que se le da el nombre Tratar Proyectos.
pgina 41 (de 72)
Magerit versin 2
En el diagrama se encuentran cuatro almacenes, tres de los cuales son accedidos por funciones de los dos subsistemas: A1 Conocimientos, A2 Proyectos y A3 Tcnicos. El cuarto, A4 Clientes, slo es accedido por el subsistema Tratar Proyectos. Los flujos sin nombre indican que hay entrada y/o salida de todos los datos del almacn. En este diagrama siguen apareciendo las entidades externas para la mayor comprensin del mismo. A partir de ahora, se centrar el ejemplo en la descomposicin del subsistema 1 Tratar Tcnicos, hasta llegar a su nivel ms detallado. En el diagrama resultado de la explosin de Tratar Tcnicos, se incluyen cuatro procesos o funciones para el tratamiento completo de stos. El flujo de entrada Datos Tcnicos se compone tanto de los datos profesionales de los tcnicos, como de datos de peticiones de informacin sobre los mismos, por lo cual se ha dividido en dos: Datos Profesionales, que es entrada del proceso 1.1 Validar datos Tcnicos y Peticiones Informacin Tcnicos, que entra en la funcin 1.4 Informar.
pgina 42 (de 72)
Magerit versin 2
Para la validacin, el proceso 1.1 Validar Datos Tcnicos obtiene informacin del almacn A3 Tcnicos y genera una salida, el flujo Datos Tcnicos Correctos, que lleva los datos vlidos a la funcin 1.2 Actualizar Almacenes Tcnicos. Esta funcin se encarga de actualizar los almacenes A3 Tcnicos y A1 Conocimientos, pero tambin emite un flujo al proceso 1.3 Asignar a Proyectos. ste se encarga de hacer asignaciones de tcnicos en el almacn A2 Proyectos. La funcin 1.4 Informar, recibe las peticiones de informacin sobre tcnicos, las procesa utilizando los almacenes necesarios y genera el flujo Informacin Tcnicos que ir a la entidad Direccin Tcnica, segn muestran los primeros diagramas. Obsrvese que para mayor claridad no se ha incluido ya ninguna entidad externa, y adems, se ha repetido el almacn A3 Tcnicos, evitando que el cruce de flujos oscurezca la lectura del diagrama. En este momento, todos los procesos se consideran primitivos, excepto el proceso 1.4 Informar, del que se obtiene su descomposicin. Sus funciones han de obtener Informes Tcnicos y Consultas Tcnicos, flujos que componen Informacin Tcnicos que apareca en el nivel anterior.
pgina 43 (de 72)
Magerit versin 2
Por otro lado, tambin aparece dividido el flujo de entrada Peticiones Informacin Tcnicos, diferenciando la entrada al proceso de consultas o al de emisin de informes. Por ltimo, se puede apreciar que los almacenes son los mismos que se conectaban con el proceso en el nivel anterior y los flujos son de entrada a las funciones.
3.2.6. Utilizacin en el proyecto de anlisis y gestin de riesgos

Los diagramas DFD son un producto de entrada en varias tareas del proyecto AGR. Son convenientes para

delimitar el dominio en el que se centra el proyecto (T1.2.2) descubrir el entorno del dominio y las relaciones entre el dominio y su entorno (T1.2.3) identificar activos (T2.1.1), principalmente de tipo datos y aplicaciones (software) aunque tambin ayuda a descubrir servicios determinar dependencias entre activos (T2.2.2): cuando una informacin X es procesada por una aplicacin A, se dice que X depende de A aunque por definicin los DFD no entran en detalles de los componentes fsicos donde residen los datos y las aplicaciones, cuando se averige dnde residen las diferentes aplicaciones, se puede recurrir de nuevo a los DFD para analizar las dependencias de las comunicaciones
3.2.7. Referencias

S.W. Ambler, The Object Primer. Agile Model Driven Development with UML 2, Cambridge University Press, 3rd ed. 2004. C.P. Gane and T. Sarson, Structured Systems Analysis: Tools and Techniques, Prentice Hall, 1st ed. 1979.
pgina 44 (de 72)
Magerit versin 2
Diagramas de procesos
3.3. Diagramas de procesos

Existen muchas tcnicas para el modelado de procesos de la Organizacin, aunque la eleccin de una de ellas se debe llevar a cabo dentro del contexto de cada organizacin o incluso del de un determinado proyecto, en funcin de los objetivos que se persigan. Se describe la tcnica SADT (Structured Analysis and Design Technique) que es una de las posibles elecciones para el modelado de procesos de la Organizacin.
3.3.1. Conceptos
Se incluyen unas definiciones de carcter general, relacionadas con los procesos de la Organizacin. Proceso de la Organizacin Un proceso de la Organizacin se descompone en una serie de actividades (qu se hace) y stas en procedimientos (cmo se hace). Adems hay que saber quin lo hace. Se caracteriza porque:

Tiene un disparador que es un evento externo. Posee unas actividades que proporcionan las salidas adecuadas en respuesta al evento. Transforma entradas de todos los tipos en salidas, siguiendo unas reglas. Utiliza pasos lgicos que afectan a distintas funciones en distintos departamentos. Contiene indicadores de rendimiento para los que se pueden establecer objetivos mensurables. Proporciona un producto o servicio a una entidad externa o a otro proceso interno.
Modelo de procesos de la Organizacin Es el mapa o diagrama del proceso que representa las interacciones entre actividades, objetos y recursos de la Organizacin, con la documentacin adicional de sus caractersticas y la informacin que fluye entre ellos. Tipos de procesos De acuerdo a sus caractersticas se distinguen los procesos:

Principales: que estn en contacto directo con el cliente o que dan respuesta a las demandas del mercado. A menudo denominados procesos finales. De soporte: para guiar, controlar, planificar o aportar recursos a los procesos principales o a otros procesos de soporte. A menudo denominados procesos internos.
La representacin de un proceso se realiza mediante una caja rectangular. Cada caja se etiqueta con un nombre formado por una accin y un objeto (por ejemplo: rellenar formularios, confirmar con cliente, instalar equipos, reservar viaje, etc.) Entre las propiedades que rene un buen modelo de procesos se encuentran las siguientes:

Tiene un objetivo claramente definido Permite obtener una visin general y de detalle de los procesos Identifica eventos que disparan actividades del proceso Identifica conexiones lgicas entre actividades Establece las relaciones con el cliente final Acta como repositorio y organizador del proceso de informacin Establece medidas de tiempo de proceso, esfuerzo y coste pgina 45 (de 72)
Magerit versin 2

Ayuda en la identificacin de las reas con problemas que afectan al nivel de satisfaccin del cliente Contiene grficos y texto Crea un vocabulario comn
3.3.2. SADT (Structured Analysis and Design Technique)

La tcnica que se describe a continuacin se refiere al diagrama de actividades de SADT, que se puede emplear para el modelado de procesos de la Organizacin debido a que permite representar un proceso con las actividades que lo componen.
3.3.2.1. Descripcin
Un modelo realizado con la tcnica SADT permite representar las actividades de un proceso, definir las dependencias y relaciones entre dichas actividades, los controles que determinan o limitan su ejecucin, los mecanismos que los ponen en marcha, as como los datos que se utilizan, comparten o transforman en los procesos. Los diagramas SADT incorporan los procesos de la Organizacin en orden secuencial, de acuerdo a su lgica de ejecucin mediante una numeracin que se refleja en la esquina inferior derecha de cada actividad. De esta manera se consigue un modelo de actividades que refleja el nivel de influencia de una actividad sobre el resto de las del proceso. El resultado final es un conjunto de diagramas que contienen las actividades del proceso, cuidadosamente coordinados y organizados en niveles, que empiezan por el diagrama de nivel ms general y terminan por los de detalle. Cualquier actividad compleja puede subdividirse en actividades ms detalladas. Los flujos que interconectan actividades se clasifican en cuatro tipos de acuerdo a su significado: Entrada: hace referencia a la informacin que se utilizar para producir las salidas de la actividad. La entrada es transformada por la actividad. Salida: se trata de informacin que se produce en la actividad. Control: se trata de restricciones que afectan a una actividad. Regula la produccin de las salidas a partir de las entradas, pudiendo indicar cmo y cuando se producen las salidas. Mecanismo: normalmente se refiere a mquinas, personas, recursos o sistemas existentes que ejecutan la actividad. Es importante incluir aquellos mecanismos que sern diferentes en el entorno actual y en el entorno futuro. Al incorporar controles que regulan las actividades, los flujos de salida de una actividad pueden actuar como controles e incluso mecanismos en la actividad precedente o dependiente. Los diagramas SADT requieren una serie de puntos de partida:

Concretar el tema a tratar Asumir un punto de vista determinado Fijar un objetivo
El primero permite definir el mbito dentro y fuera de la Organizacin y el segundo proporciona una gua al construir el modelo. Por ltimo, el objetivo ayuda a decidir cundo se finaliza en la construccin del modelo.
3.3.2.2. Notacin
En la cabecera del diagrama se incluye informacin relativa al autor, proyecto, fecha de creacin o de ltima revisin y estado. Los dos elementos principales de los diagramas SADT son las actividades del proceso a modelizar y los flujos que establecen la comunicacin entre las actividades. Las actividades se representan mediante una caja rectangular cuyo nombre contiene un verbo, que responde a una funcin o parte activa del proceso, y los flujos mediante flechas. El nmero de Ministerio de Administraciones Pblicas pgina 46 (de 72)
Magerit versin 2 Cada lado de la caja tiene un significado especfico:

actividades en un diagrama, para hacerlo comprensible, debe oscilar entre 3 y 6. El lado izquierdo est reservado para las entradas El superior corresponde a los controles El lado derecho para las salidas El inferior se reserva para los mecanismos
Esta notacin responde a los siguientes principios: las entradas son transformadas en salidas, los controles son restricciones bajo las que se desarrollan las actividades y los mecanismos son los medios, humanos o materiales, que permiten su ejecucin. Cada flujo (flecha) representa planes, datos, mquinas e informacin, etc., y debe nombrarse con un sustantivo.
Las actividades en los diagramas SADT no se ubican de forma aleatoria, sino por la influencia que una actividad tiene sobre otras. La ms dominante, es decir, la que ms influye en las restantes, debe ser normalmente la primera en la secuencia de actividades y se sita en la esquina superior izquierda del diagrama. Por ejemplo, si se trata de realizar un proceso de seleccin de personal, la actividad ms dominante ser la de revisar las referencias de los candidatos. La menos dominante, por el contrario, se sita en la esquina inferior derecha, por ejemplo, en el caso anterior, sera la de contratar o rechazar a un candidato a empleo. Cada actividad se numera siguiendo una secuencia que empieza en la que se corresponde con la actividad ms dominante y as sucesivamente. La influencia de una actividad sobre otra se manifiesta en una salida de la primera que o bien es entrada o bien es un control en la segunda. Un diagrama de actividades SADT no es un diagrama de flujo de datos ya que recoge, adems de las transformaciones de entrada y salida de informacin, las reglas que ponen restricciones a dicha transformacin. En este sentido, las flechas documentan las interfaces entre las actividades del proceso y entre ste y su entorno. Existen cinco tipos de interconexiones entre actividades, que son las siguientes:

Control Entrada Control Realimentacin Entrada Realimentacin Salida Mecanismo
La conexin por control o entrada se da cuando una salida de una actividad se convierte en control o entrada, respectivamente, de una actividad de menor influencia. Cualquiera de las conexiones con realimentacin tienen lugar cuando una salida de una actividad afecta a otra de mayor influencia como entrada o como control. La conexin de una salida de una actividad que acta Ministerio de Administraciones Pblicas pgina 47 (de 72)
Magerit versin 2
como un mecanismo de otra, implica que la primera le proporciona medios a la segunda para su ejecucin (aunque este tipo de conexin es poco usual).
Ejemplo
A continuacin se muestra un ejemplo del proceso de seleccin de personal de una organizacin mediante la tcnica SADT.
3.3.3. Utilizacin en el proyecto de anlisis y gestin de riesgos

Los diagramas SADT son un producto de entrada en varias tareas del proyecto AGR. Son convenientes para

delimitar el dominio en el que se centra el proyecto (T1.2.2) descubrir el entorno del dominio y las relaciones entre el dominio y su entorno (T1.2.3) identificar activos (T2.1.1), principalmente de tipo servicios (procesos), datos, aplicaciones (software) y personal determinar dependencias entre activos (T2.2.2):

cuando un proceso P utiliza una informacin X, se dice que P depende de X cuando un proceso P utiliza una aplicacin A, se dice que P depende de A cuando una informacin X es procesada por una aplicacin A, se dice que X depende de A cuando un proceso P es manipulado por una persona (o role) H, se dice que P depende de H
aunque por definicin los diagramas SADT no entran en detalles de los componentes fsicos donde residen los procesos, cuando se averige dnde residen estos, se puede recurrir de nuevo a los diagramas para analizar las dependencias de las comunicaciones
pgina 48 (de 72)
Magerit versin 2
3.3.4. Referencias

Clarence G. Feldmann, The Practical Guide to Business Process Reengineering Using IDEF0, Dorset House Publishing Company, 1998. Hill, S. and L. Robinson, A Concise Guide to the IDEF0 Technique, Enterprise Technology Concepts, 1995. FIPS 183: Integration Definition for Function Modeling (IDEF0). Federal Information Processing Standards. December, 1993. David A. Marca and Clement L. McGowan, SADT: Structured Analysis and Design Techniques. McGraw-Hill, New York, NY, 1988.
pgina 49 (de 72)
Magerit versin 2
Tcnicas grficas
3.4. Tcnicas grficas

Esta seccin se centra en cmo algunas representaciones grficas de los elementos de un proyecto AGR pueden apoyar a dicho proyecto, tanto como soporte a presentaciones, como en la toma de decisiones. Se presentan:

Diagramas de GANTT, para seguimiento de proyectos Grficas para presentar resultados

puntos barras radar
Diagramas de Pareto, para priorizacin de acciones Diagramas de tarta
3.4.1. Diagramas de GANTT

Henry Laurence Gantt (1861-1919) fue un ingeniero que asesoraba a empresas. Ide una forma de representar grficamente la evolucin prevista y la evolucin real de los proyectos en el tiempo. Esta representacin ha sido bautizada con su nombre. Los diagramas GANTT ayudan a la representacin de actividades y recursos en funcin del tiempo, es decir, dan una aproximacin ordenada de un proceso y modelizan su planificacin. El objetivo de los Diagramas GANTT consiste en facilitar la comprensin de los detalles de un plan y el progreso en su ejecucin. Este mtodo sencillo parte de una matriz organizada en filas y columnas:

Las filas recogen las actividades a realizar y/o los recursos a emplear. Las columnas recogen la escala de tiempos.
La duracin y ubicacin en el tiempo de cada actividad o recurso se representa mediante un lnea (que puede ser de distintos grosores y colores).
pgina 50 (de 72)
Magerit versin 2 GANTT de actividades
Tcnicas grficas
despliega la ocupacin temporal de cada actividad y las relaciones requisito previo para entre ellas. Frecuentemente se incluyen informaciones adicionales tales como hitos de control, el estado de ejecucin de cada tarea (porcentaje de progreso), el responsable de su ejecucin, etc. GANTT de recursos despliega el consumo de recursos, humanos o de otro tipo, a lo largo del tiempo. El tratamiento informtico de los diagramas GANTT facilita la actualizacin de la planificacin, que es dinmica (o sea, que debe controlarse y modificarse permanentemente).
pgina 51 (de 72)
Magerit versin 2
Tcnicas grficas
3.4.2. Por puntos y lneas

Es la forma ms clsica de presentacin de resultados. Se limita a usar los ejes cartesianos usando las abscisas para recoger los datos y las ordenadas para mostrar su valor. Los datos en ordenadas se pueden representar en escala lineal o en escala logartmica. La escala lineal es razonable cuando el rango de valores es reducido, imponindose la escala logartmica cuando el rango es grande (rdenes de magnitud). No obstante, el principal criterio para elegir el tipo de escala debera ser la naturaleza del valor que se quiere representar. Una escala lineal es adecuada cuando importa transmitir la diferencia absoluta entre valores
xi x j
Por el contrario, una escala logartmica es adecuada cuando importa transmitir la diferencia relativa entre valores:
xi xi
xj
En proyectos de anlisis y gestin de riesgos se trabaja con mltiples magnitudes que son percepciones de valor que se ajustan naturalmente a escalas logartmicas. A veces se pintan las lneas que unen los puntos correspondientes a cada valor en el eje Y para cada dato en el eje X. Otras veces slo se pintan los puntos. A veces se introducen lneas horizontales de nivel para marcan umbrales: valores mnimos o mximos para alguna toma de decisiones.
pgina 52 (de 72)
Magerit versin 2
Tcnicas grficas
Como ejemplo, se presenta el resultado de clculo de riesgo en un sistema de informacin, a lo largo de varias fases del proyecto:
Estas grficas permiten acumular gran cantidad de informacin. Informalmente, se puede decir que son ms apreciadas por personas con perfil tcnico.
3.4.3. Por barras

Los diagramas de barras disponen los elementos en unas coordenadas cartesianas convencionales: los elementos a considerar en un eje y los valores en el otro eje. Son muy similares a las presentaciones por puntos y lneas, aunque permiten menos resultados (dado que las barras ocupan ms espacio que los puntos). El eje Y puede disfrutar de una escala lineal o logartmica. Ver consideraciones expuestas en la seccin anterior.
pgina 53 (de 72)
Magerit versin 2
Tcnicas grficas
Como ejemplo, se presenta el resultado de clculo de riesgo en un sistema de informacin, a lo largo de varias fases del proyecto:
En este tipo de diagramas es fcil recopilar todos los valores. A veces se introducen lneas horizontales de nivel para marcan umbrales: valores mnimos o mximos para alguna toma de decisiones. Informalmente, se puede decir que son presentaciones apreciadas por personas con perfil tcnico.
3.4.4. Grficos de radar

Estos grficos representan las distintas variables o factores del fenmeno en estudio sobre semiejes o radios que parten de un centro. Estos radios, tantos como factores, se gradan para representar sus niveles y posibles umbrales en escala normal o logartmica, segn convenga. El valor alcanzado por cada factor o variable se marca en su radio respectivo (el centro representa el valor cero). Se unen por segmentos los puntos consecutivos as marcados, correspondientes a los valores de las variables definidas en los semiejes, obteniendo un polgono irregular estrellado denominado grfico de radar o rosa de los vientos. Todos ellos ofrecen una visin sinttica del fenmeno que permite estudiarlo globalmente, facilitando la observacin de sus caractersticas y tendencias as como el balance entre sus distintos factores o elementos. Esta visin sinttica es especialmente importante en el anlisis y gestin de riesgos, donde se busca cierto equilibrio entre factores complementarios. La seguridad procede ms de una cobertura homognea sin fisuras que de una cobertura muy alta en ciertos aspectos frente a claras deficiencias en otros buscando una cierta compensacin. El grfico de radar bsico exige empezar por decidir qu factores o variables se van a incluir. As, si se busca representar el estado global de seguridad de una Organizacin, los factores sern los diferentes servicios. Tras obtener, calcular, clasificar y tabular los valores de cada factor, se dibujan las escalas como radios (dentro de un crculo mximo cuyo radio sea el valor ms alto normalizado en cada semieje). Hay que cuidar siempre que exista la misma distancia angular entre los semiejes (es decir que stos dividan el crculo mximo en arcos iguales). El siguiente ejemplo muestra la evolucin del riesgo sobre los activos de tipo servicio y datos:
pgina 54 (de 72)
Magerit versin 2
Tcnicas grficas
A veces se marcan algunos niveles (circunferencias) con valores especiales tales como umbrales mnimos o cotas mximas. A veces se rellena la superficie abarcada, aunque otras veces se pintan slo las lneas del permetro. Las superficies son tiles cuando no se da el caso de que un rea tape a otra. Las lneas siempre son utilizables. Este tipo de diagramas permiten:

sintetizar grficamente el equilibrio o desequilibrio en varios ejes acumular perfiles de mximos o de mnimos mostrar la evolucin temporal
Informalmente, se puede decir que son presentaciones apreciadas por personas con perfil gerencial o de direccin.
3.4.5. Diagramas de Pareto

Vilfredo Pareto (1848-1923) fue economista italiano estudioso de la distribucin de la riqueza. Descubri que la minora de la poblacin posea la mayor parte de la riqueza y la mayora de la poblacin posea la menor parte de la riqueza. Con esto estableci la llamada "Ley de Pareto" segn la cual la desigualdad econmica es inevitable en cualquier sociedad. Posteriormente, se aplic este concepto a la calidad, obtenindose lo que hoy se conoce como la regla 80/20. Segn este concepto, si se tiene un problema con muchas causas, se puede decir que el 20% de las causas resuelven el 80% del problema y el 80% de las causas solo resuelven el 20% del problema. El anlisis de Pareto es una tcnica que separa los pocos vitales de los muchos normales. Una grfica de Pareto es utilizada para separar grficamente los aspectos ms significativos de un problema que el equipo sepa dnde dirigir sus esfuerzos para mejorar. Reducir los problemas ms significativos (las barras ms largas en una grfica Pareto) servir ms para una mejora general que reducir los ms pequeos. Con frecuencia, un aspecto tendr el 80% de los problemas. En el resto de los casos, entre 2 y 3 aspectos sern responsables por el 80% de los problemas. La minora vital aparece a la izquierda de la grfica y la mayora normal a la derecha. Hay veces que es necesario combinar elementos de la mayora normal en una sola clasificacin denominada otros, la cual siempre deber ser colocada en el extremo derecho. La escala vertical es para el costo en unidades monetarias, frecuencia o porcentaje. La grfica es muy til al permitir identificar visualmente en una sola revisin tales minoras de ca Ministerio de Administraciones Pblicas pgina 55 (de 72)
Magerit versin 2
Tcnicas grficas
ractersticas vitales a las que es importante prestar atencin y de esta manera utilizar todos los recursos necesarios para llevar acabo una accin correctiva sin malgastar esfuerzos. Algunos ejemplos de tales minoras vitales podran ser:

La minora de clientes que representen la mayora de las ventas. La minora de productos, procesos, o caractersticas de la calidad causantes del grueso de desperdicio o de los costos de reelaboracin. La minora de rechazos que representa la mayora de quejas de la clientela. La minora de vendedores que esta vinculada a la mayora de partes rechazadas. La minora de problemas causantes del grueso del retraso de un proceso. La minora de productos que representan la mayora de las ganancias obtenidas. La minora de elementos que representan al grueso del costo de un inventarios.
Un equipo puede utilizar la Grfica de Pareto para varios propsitos durante un proyecto para lograr mejoras:

Para analizar las causas Para estudiar los resultados Para planear una mejora continua Para comparar fotos de antes y despus y estudiar qu progreso se ha logrado. riesgo del sistema en funcin de los activos, quizs para cierta dimensin de seguridad, permitiendo detectar qu activos contribuyen fundamentalmente al riesgo del sistema riesgo del sistema en funcin de las amenazas, quizs para cierta dimensin de seguridad, permitiendo detectar qu amenazas contribuyen fundamentalmente al riesgo del sistema
Aplicado a proyectos anlisis y gestin de riesgos, cabe citar los siguientes usos

3.4.5.1. Construccin
1. Seleccionar las categoras lgicas 2. Reunir datos: valor para cada categora 3. Ordenar los datos de mayor a menor a menor valor
a menudo conviene introducir una nueva categora otros para agrupar los datos de menor valor para los que no se requiere detalle; esta categora siempre es la ltima y calcular el porcentaje del total que cada categora representa eje horizontal (x) para las categoras eje vertical (Y) primario, para la magnitud propia del valor a representar; puede ser lineal o logartmica, segn convenga eje vertical (Y) secundario, para el porcentaje del total: lineal
4. Calcular el valor agregado para cada categora
5. Trazar los ejes:

6. De izquierda a derecha trazar las barras para cada categora. Si existe una categora otros, debe ser colocada al final, sin importar su valor. Es decir, que no debe tenerse en cuenta al momento de ordenar de mayor a menor la frecuencia de las categoras. 7. Trazar el grfico para el porcentaje agregado 8. Analizar la grfica para determinar los pocos vitales
3.4.5.2. Ejemplo prctico

Se aplican los pasos anteriores a un caso prctico, a ttulo de ilustracin. Ministerio de Administraciones Pblicas pgina 56 (de 72)
Magerit versin 2 Pasos 1 y 2: seleccionar categoras y recopilar valores
Tcnicas grficas
Como resultado del anlisis de riesgos, se dispone de la siguiente tabla que resume el riesgo en los diferentes servicios y datos del sistema de informacin activos [S] Servicios [S_T_remota] tramitacin va www [S_T_presencial] tramitacin presencial [S_notificacin] notificacin telemtica [S_info] informacin de normativa [S_news] noticias y modificaciones [D] Datos / informacin [D_ciudadanos] identificacin de usuarios [D_econmicos] datos econmicos [D_expedientes] estado de la tramitacin [D_normativa] normativa legal [D_histrico] de cambios Paso 3: ordenar los datos e introducir otros activos [S_T_remota] tramitacin va www [D_econmicos] datos econmicos [S_T_presencial] tramitacin presencial [S_notificacin] notificacin telemtica [D_normativa] normativa legal [D_expedientes] estado de la tramitacin [S_info] informacin de normativa OTROS Paso 4: agregar datos y calcular porcentajes activos [S_T_remota] tramitacin va www [D_econmicos] datos econmicos [S_T_presencial] tramitacin presencial [S_notificacin] notificacin telemtica [D_normativa] normativa legal [D_expedientes] estado de la tramitacin [S_info] informacin de normativa OTROS riesgo agregado 22% 42% 59% 72% 82% 89% 96% 132.400 132.400 120.600 253.000 99.300 352.300 83.400 435.700 55.100 490.800 45.000 535.800 40.400 576.200 601.000 riesgo 132.400 120.600 99.300 83.400 55.100 45.000 40.400 24.800 7.300 120.600 45.000 55.100 12.200 132.400 99.300 83.400 40.400 5.300 riesgo
24.800 601.000 100%
pgina 57 (de 72)
100.000
120.000
140.000
20.000
40.000
60.000
80.000
0 [S_T_remota] tramitacin va www [D_econmicos] datos econmicos [S_T_presencial] tramitacin presencial [S_notificacin] notificacin telemtica [D_normativa] normativa legal
Magerit versin 2
Pasos 5, 6 y 7: dibujar la grfica

activos [D_expedientes] estado de la tramitacin [S_info] informacin de normativa OTROS 0% 20% 40% riesgo agregado 60% 80% 100%
pgina 58 (de 72)
Tcnicas grficas
Magerit versin 2
Tcnicas grficas
3.4.6. Diagramas de tarta

Estos diagramas presentan los datos como fracciones de un crculo, distribuidos los 360 de ste en proporcin al valor que es representado en cada seccin. La proporcin suele ser lineal; rara vez logartmica.
Aunque los datos pueden ordenarse de la forma que ms interese en cada momento, es frecuente usar una ordenacin de valor decreciente (siguiendo el procedimiento indicado para los diagramas de Pareto). Los diagramas de tarta no permiten presentar muchos datos simultneamente; pero si son una indicacin muy grfica de cmo las diferentes partes contribuyen al total.
pgina 59 (de 72)
Magerit versin 2
Planificacin de proyectos
3.5. Planificacin de proyectos

Un proyecto complejo consta de una serie de tareas o actividades, algunas de las cuales son independientes entre s, mientras que otras estn relacionadas de tal forma que hay que terminar una para empezar otra. Las tcnicas del camino crtico (CP Critical Path) y PERT (Program Evaluation and Review Technique) fueron desarrolladas hacia 1950 con el objetivo de modelar proyectos complejos, estimar su tiempo de realizacin y analizar las consecuencias que sobre el conjunto tendra una desviacin en una tarea.
3.5.1. Diagramas PERT

Para capturar las dependencias entre tareas de un proyecto se construyen los llamados diagramas PERT que son grafos constituidos por: hitos que marcan el comienzo o terminacin de una tarea; se usan como nodos del grafo, asignndoseles un nombre nico que suele ser numrico tareas que recogen las actividades; se usan como arcos del grafo, entre nodos, asignndoseles un nombre nico La siguiente figura muestra un diagrama de un proyecto con 8 hitos y 10 tareas:
4
E D
3
B
1
I G
8
El diagrama nos dice, entre otras cosas que:

hito 1: arranque del proyecto hito 2: las tareas B y C no pueden empezar hasta que termine la tarea A hito 3: las tareas D y E no pueden empezar hasta que termine la tarea B hito 5: la tarea I no puede empezar hasta que terminen D, F y G hito 8: culminacin del proyecto
Para construir un diagrama PERT se siguen los siguientes pasos: 1. se identifican hitos y tareas 2. se identifican las dependencias entre tareas 3. se construye el grafo 4. se estima la duracin requerida por cada tarea 5. se determina el camino crtico 6. se usa el diagrama PERT a lo largo de la ejecucin del proyecto, revisando la duracin de las tareas y calculando de nuevo el camino crtico Los pasos 1-4, sobre el ejemplo anterior, se traducen en la siguiente tabla Ministerio de Administraciones Pblicas pgina 60 (de 72)
Magerit versin 2 hito tarea A B C D E F G H I J inicial 1 2 2 3 3 4 6 6 5 7 final 2 3 6 5 4 5 5 7 8 8 optimista 2 3 2 1 4 1 4 4 1 4
Planificacin de proyectos tiempo estimado realista 2 5 3 2 7 1 5 4 2 6 pesimista 3 6 6 3 10 2 10 6 4 8 PERT 2,2 4,8 3,3 2,0 7,0 1,2 5,7 4,3 2,2 6,0
En las estimaciones de tiempo se han incluido 3 valores, un valor mnimo de duracin (aproximacin optimista, si todo fuera perfectamente), un valor mximo (aproximacin pesimista, lo peor que puede pasar) y un valor intermedio (aproximacin realista, lo que parece razonable que cueste llevar a cabo la tarea). La ltima columna muestra la estimacin realizada por el mtodo PERT, que responde a la siguiente frmula
optimista 4 realista 6
pesimista
Con estos datos se puede estimar el tiempo mnimo necesario para alcanzar cada hito. El primer hito se considera en tiempo 0,0. Para los dems hitos se toman en consideracin cada una de las tareas Ti que llevan a l (anteriores). Para cada una de dichas tareas Ti, sea H1i el hito de arranque y H2i el hito de terminacin. Para cada Ti se calcula 1. T1i, momento de arranque, que es el tiempo del hito H1i 2. T2i, momento de terminacin, que es T1i + duracin estimada de la tarea El momento en que se alcanza el hito H2i es el mximo de los T2i de las tareas que convergen en l. La siguiente tabla resume los clculos para el ejemplo anterior.
hito cundo? camino crtico 1 0,0 2 2,2 A 3 7,0 A, B 4 14,0 A, B, E 5 15,2 A, B, E, F 6 5,5 A, C 7 9,8 A, C, H 8 17,4 A, B, E, F, I
tarea A B C D E F G H I J
inicio 0,0 2,2 2,2 7,0 7,0 14,0 5,5 5,5 15,2 9,8
final 2,2 7,0 5,5 9,0 14,0 15,2 11,2 9,8 17,4 15,8
El camino crtico se calcula de atrs hacia adelante (esto es, del hito 8 al hito 1, en el ejemplo propuesto) teniendo en cuenta qu tarea de las que convergen en el nodo termina ms tarde:

hito 8: el caso peor es: hito 5 + tarea I hito 5: el caso peor es: hito 4 + tarea F pgina 61 (de 72)
Magerit versin 2

hito 4: el caso peor es: hito 3 + tarea E hito 3: el caso peor es: hito 2 + tarea B hito 2: el caso peor es: hito 1 + tarea A hito 1: tiempo 0,0
4
E D
3
B
1
I G
8
Dado que el camino crtico impone un tiempo mnimo de realizacin del proyecto y, por tanto, la fecha ms temprana en la que se espera terminarlo, dicho camino crtico se convierte en el objeto a optimizar si la fecha de terminacin no fuera aceptable. Identificadas las tareas crticas, se puede intentar reducir su tiempo de realizacin a base de incrementar los recursos dedicadas a la misma, posiblemente derivndolos de otras tareas que no son crticas. Las herramientas de soporte de los clculos PERT permiten realizar simulaciones hasta modelar los objetivos deseados. Ntese que la optimizacin del camino crtico supone alterar la asignacin de recursos al proyecto. Puede ocurrir que baste una adecuada reubicacin de otras tareas que comparten recursos para, sin aumentar el gasto total, se optimice la asignacin de recursos al proyecto. Pero en otras ocasiones, reducir el tiempo consumido por una tarea puede implicar el incremento neto de recursos y, por tanto, el incremento de coste del proyecto. En estos casos, hay que llegar a un equilibrio entre gasto y duracin. La tcnica mostrada permite analizar diferentes posibilidades justificando en cada caso el aumento de gasto. A lo largo de la realizacin del proyecto, los tiempos estimados pueden irse reemplazando por los tiempo incurridos reales, actualizando el clculo del camino crtico y permitiendo detectar a tiempo si hay desviaciones que impacten en la terminacin del proyecto o no. Los recursos asignados al proyecto en cada momento pueden irse optimizando en funcin de la evolucin de los clculos PERT. Es habitual utilizar diagramas de GANTT (presentados anteriormente) para trabajar con los conceptos del modelo PERT y estudiar grficamente el camino crtico del proyecto. Resumen La tcnica PERT permite:

identificar tareas, hitos y relaciones entre todo ello estimar tiempos:

duracin de cada tarea, momento en el que se alcanza cada hito, momento de arranque y culminacin de cada tarea y tiempo estimado para completar el proyecto que se debe monitorizar para gestionar desviaciones en la ejecucin del proyecto, y pgina 62 (de 72)
determinar el camino crtico
Magerit versin 2
que es el conjunto de tareas a optimizar para reducir la duracin global del proyecto.
La principal limitacin del mtodo PERT es su dependencia de las estimaciones de tiempo. La prctica muestra una tendencia invariable al optimismo por parte del planificador, tanto mayor alejado de la realidad como menor es su experiencia. Por ello es tan importante usar PERT como herramienta de planificacin previa y de seguimiento a lo largo del proyecto, incluyendo los tiempos reales en el informe final de forma que sirva de experiencia para futuros proyectos de carcter similar.
3.5.2. Referencias

R. Burke, Project Management: Planning and Control Techniques, John Wiley & Sons; 3rd edition. May 16, 2001. J.J. Moder, C.R. Phillips, E.W. Davis, Project Management With Cpm, Pert & Precedence Diagramming, Blitz Publishing Company; 3rd edition. February, 1995. K. Lockyer, J. Gordon, Project Management and Project Network Techniques, TransAtlantic Publications; 6th edition. December 1, 1995. R.D. Archibald, R.L. Yilloria, Network-based Management Systems, (Information Science S.) John Wiley & Sons Inc. March, 1967.
pgina 63 (de 72)
Magerit versin 2
Sesiones de trabajo
3.6. Sesiones de trabajo

Las sesiones de trabajo tienen diversos objetivos. Dependiendo del tipo de sesin que se realice, los objetivos pueden ser: obtener informacin, comunicar resultados, reducir el tiempo de desarrollo, activar la participacin de usuarios y directivos o aumentar la calidad de los resultados. Las sesiones de trabajo pueden ser de varios tipos en funcin de las personas que participen en ellas, el objetivo que se persiga y el modo de llevarlas a cabo. Las entrevistas son un tipo de sesiones de trabajo dirigidas a obtener la informacin de una forma individual dnde aparecen los perfiles de entrevistado y entrevistador. Las reuniones pueden tener el mismo objetivo, pero la informacin est dispersa entre varias personas y nicamente trabajando en grupo, se conseguir extraer y depurar toda la informacin de forma global. El objetivo de las presentaciones es la comunicacin de avances, conclusiones y resultados por parte del equipo de trabajo al auditorio que corresponda. Se llevan a cabo con el fin de informar sobre el estado de un proyecto en su totalidad o de alguno de los procesos, o exponer uno o varios productos finales de un proceso para su aprobacin.
3.6.1. Entrevistas
Las entrevistas son reuniones con una persona o un grupo de personas con el objetivo de recabar cierta informacin. Las entrevistas se dicen estructuradas cuando se atiene a una serie de preguntas planificadas sin margen para la improvisacin. Las entrevistas se dicen libres cuando, existiendo un objetivo claro, no existe un formulario rgido. En proyectos de anlisis y gestin de riesgos suelen practicarse entrevistas semi-estructuradas en las que, existiendo un guin preestablecido de preguntas, el entrevistado tiene margen para extenderse en puntos no previstos o, ms frecuentemente, responderlas en un orden diferente al previsto. En cualquier caso el guin se emplea para no olvidar nada. Por ser ms precisos, en las primeras tareas (T1.1.1, Determinar la oportunidad) es casi imposible disponer de un cuestionario rgido, y el entrevistado debe disfrutar de una elevada flexibilidad. En las tareas de descubrimiento (como, por ejemplo, T2.1.1, Identificacin de activos) las entrevistas son semi-estructuradas, usando el cuestionario como gua que hay que adaptar. En las tareas de detalle (como, por ejemplo, T2.1.3, Valoracin de activos), el margen de maniobra est fuertemente pautado, usndose entrevistas estructuradas. El mayor volumen de entrevistas en un proyecto AGR se encuentra en las tareas del proceso P2, Anlisis de riesgos, en el que hay que centrarse especialmente. Las actividades A2.1 (caracterizacin de los activos), A2.2 (caracterizacin de las amenazas) y A2.3 (caracterizacin de las salvaguardas) del proceso P2 (anlisis de riesgos), permiten conocer los elementos objeto del anlisis de riesgos, identificndolos, valorndolos y relacionndolos. Para capturar este conocimiento se procede por medio de una serie de entrevistas con los participantes, segn se determin en la tarea T1.3.2 (organizar a los participantes) y de acuerdo al plan del proyecto (T1.3.3). Estas entrevistas tienen una importancia crucial porque la informacin a recoger condiciona el conocimiento del equipo del proyecto (ajeno en parte al funcionamiento del dominio o sea dependiente de los conocedores de su comportamiento cotidiano). La recogida de informacin es una operacin delicada que exige una buena sintona entre los participantes para no que no quede oculta (ni voluntaria ni involuntariamente) alguna informacin que posteriormente pudiera revelarse importante y, al tiempo, no caer en un excesivo nivel de detalle que impida separar lo esencial de lo accesorio. Por todo ello es necesario: Durante la preparacin de la entrevista: 1. Recopilar los cuestionarios personalizados distribuidos en la tarea T1.4.1. 2. Disponer del documento acreditativo de la Direccin. 3. Ubicar y localizar a los entrevistados, para optimizar la realizacin de las entrevistas, tanto Ministerio de Administraciones Pblicas pgina 64 (de 72)
Magerit versin 2 espacial como temporalmente.
Sesiones de trabajo
4. Confirmar cada entrevista, informando de los documentos que se van a requerir durante la entrevista, para facilitar su disponibilidad. Durante la entrevista 5. Informar al entrevistado de los principales conceptos relacionados con la seguridad y la de los sistemas de informacin, en un grado que depende de su informacin y experiencia en la materia. 6. Recordar los objetivos de cada entrevista al entrevistado. 7. Perfilar el entorno de trabajo del entrevistado. 8. Recabar las funciones y objetivos del entrevistado. 9. Recabar el modo de actuacin del entrevistado. 10. Identificar los medios de que dispone para realizar las funciones y del personal a su cargo. 11. Identificar los procesos realizados y de la informacin manejada. 12. Identificar posibles situaciones conflictivas (internas o externas, accidentales o provocadas). Para la adquisicin de este conocimiento puede ser necesario entrevistar a diferentes colectivos dentro de la Organizacin:

direccin o gerencia, que conocen las consecuencias que para la misin de la Organizacin tendran los incidentes responsables de los servicios, que conocen los servicios que se manejan y las consecuencias de la no prestacin del servicio o de su prestacin degradada responsables de los datos, que conocen los datos que se manejan, su valor y las consecuencias de los incidentes que pudieran afectarles responsables de sistemas de informacin y responsables de operacin, que:

conocen qu sistemas hay en operacin tienen el conocimiento histrico de lo que ha pasado anteriormente conocen las consecuencias de un incidente conocen las salvaguardas tcnicas implantadas conocen las actividades en curso relacionadas con la seguridad de los sistemas
3.6.2. Reuniones
Las reuniones tienen como objetivo obtener informacin que se encuentra repartida entre varias personas, tomar decisiones estratgicas, tcticas u operativas, transmitir ideas sobre un determinado tema, analizar nuevas necesidades de informacin, as como comunicar los resultados obtenidos como consecuencia de un estudio. Para realizar una reunin es necesario designar a las personas que deben participar en ella y determinar el lugar en el que poder llevarla a cabo. Las directrices bsicas de una reunin son:

Preparar y convocar la reunin (orden del da) Realizar la reunin Consolidar el resultado de la reunin Elaborar el acta de reunin
Previamente a la convocatoria de la reunin, se definen los objetivos, se planifica el mtodo de trabajo que se va a seguir y el tiempo del que se dispone, se eligen los participantes y se prepara el material necesario. Ministerio de Administraciones Pblicas pgina 65 (de 72)
Magerit versin 2
Sesiones de trabajo
Despus de la preparacin, es imprescindible enviar al usuario la convocatoria con el orden del da de la reunin. Este orden incluye la fecha, hora de inicio, hora de finalizacin prevista, lugar, asistentes y los puntos a tratar, detallando, entre otros, el tiempo que se dedicar a cada tema y la persona responsable de exponerlo. Dicha convocatoria se enva con antelacin suficiente para que los asistentes puedan organizar su agenda y prepararse para la reunin con tiempo. Al inicio de la reunin, es importante hacer un resumen general de los temas a tratar, los objetivos que se persiguen, el mtodo de trabajo y la agenda de la reunin. Si se considera oportuno se puede utilizar la tcnica de presentacin. Desde su inicio se debe crear un clima de confianza entre los asistentes. La persona responsable de la reunin ejercita la dinmica de direccin de grupos, estimulando la participacin, controlando el ritmo de la sesin y centrando o clarificando el tema cuando sea necesario. Al finalizar, se sintetizan las conclusiones, se comprueba si hay acuerdo o si quedan puntos pendientes de reflexin y se propone fechas para prximas reuniones. El responsable de tomar las notas en la reunin, levanta el acta y la remite a los asistentes que deben confirmar su recepcin.
3.6.3. Presentaciones
El objetivo de las presentaciones es la comunicacin de avances, conclusiones y resultados por parte del equipo de trabajo al auditorio que corresponda. Se llevan a cabo con el fin de informar sobre el estado de un proyecto en su totalidad o de alguno de los procesos, o exponer uno o varios productos finales de un proceso para su aprobacin. En primer lugar se establece el alcance de la presentacin, determinando cul es el objetivo principal y qu contenido general se quiere comunicar. Una vez que estn claros estos puntos, se inicia la preparacin de la presentacin considerando quin es el ponente, qu tema se va a exponer, cul va ser la duracin estimada y a qu tipo de audiencia o auditorio va dirigida la presentacin considerando, a su vez, el nivel de decisin que tengan sus componentes. Todos estos factores van a influir en el tono ms o menos formal de la presentacin, en el nivel de detalle que requiere la presentacin y en los medios a utilizar. La eficacia de una presentacin est directamente relacionada con el conocimiento que posea el ponente sobre el tema a exponer, as como de la audiencia a quin va dirigido. Las cuestiones que guan esta preparacin responden a las preguntas, a quin se dirige, qu se espera conseguir, de cunto tiempo se dispone, dnde se va exponer y con qu medios. Una vez analizados todos estos aspectos, se estructura el mensaje que se quiere transmitir a la audiencia de forma que sea significativo y est bien organizado. Su estructura se apoya en los objetivos y en el concepto esencial que se est tratando y se divide en una apertura o introduccin, una visin previa, el cuerpo del tema, una revisin y la conclusin final. Previamente, el ponente debe decidir cul es el enfoque ms eficaz que le quiere dar al tema que va a exponer en funcin de la audiencia a quien va dirigido. Para conseguir el objetivo de una presentacin no es suficiente preparar de una forma estructurada el mensaje, sino que adems, el contenido se debe exponer de una forma convincente, utilizando pruebas o materiales de apoyo que refuercen la credibilidad a la audiencia. Por este motivo es importante seleccionar cuidadosamente el material de apoyo que se va a utilizar como pueden ser datos estadsticos, anlisis de resultados, etc. Tambin tiene especial relevancia escoger los apoyos audiovisuales oportunos que aclaren conceptos o datos difciles de captar, resaltar puntos significativos, reforzar la comunicacin verbal, despertar inters, cambiar el ritmo de la presentacin, etc. Habr que seleccionar los temas que requieren mayor soporte audiovisual. Conviene sealar que no se debe utilizar un nmero excesivo de medios ya que no son un fin en s mismos y podran dispersar la atencin de la audiencia convirtindose en fuente de posibles imprevistos por fallos tcnicos y repercutiendo negativamente en el ritmo de la presentacin. Por este motivo, es importante conocer las ventajas e inconvenientes de cada medio como son pizarras, transparencias, diapositivas, vdeos, ayudas informatizadas, etc., para seleccionar el ms apropiado y garantizar el xito de la presentacin. Ministerio de Administraciones Pblicas pgina 66 (de 72)
Magerit versin 2
Sesiones de trabajo
Antes de iniciar la exposicin, habr que asegurar la disponibilidad de todos los recursos materiales necesarios que se hayan considerado oportunos en la preparacin de la presentacin. Durante el desarrollo, es fundamental que el ponente hable con el ritmo adecuado y con un estilo verbal claro, correcto y conciso, y que cuide los aspectos formales. Tambin debe mantener centrado el tema objeto de la presentacin, resaltando los puntos ms importantes y utilizando el material de soporte de forma adecuada y en el momento preciso, con el fin de captar la atencin del auditorio. Conviene prestar atencin a la correccin con que el ponente se relaciona con la audiencia. Debe intentar mantener una actitud positiva y abierta ante las posibles preguntas o comentarios. El estilo no verbal es la suma de todas las claves vocales (tono, voz, etc.) y visuales (expresin facial, gestos, movimiento, etc.) que el ponente transmite a la audiencia y es especialmente importante, ya que con l se puede ejercer un impacto significativo sobre la percepcin y respuesta de la audiencia. Al finalizar la presentacin, puede ser conveniente realizar una evaluacin en la que se recojan las capacidades del ponente, el modo en que se llev a cabo, las caractersticas del contenido, material utilizado, etc. y con esta informacin valorar el grado de satisfaccin de la audiencia y tomar las medidas que se consideren oportunas.
3.6.4. Referencias
Managing Information Security Risks: The OCTAVE Approach, C.J. Alberts and A.J. Dorofee, Addison-Wesley Pub Co; 1st edition (July 9, 2002) http://www.cert.org/octave/ Magerit, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAP, versin 1.0, 1997 http://www.csi.map.es/csi/pg5m20.htm
pgina 67 (de 72)
Magerit versin 2
Valoracin Delphi
3.7. Valoracin Delphi

La tcnica o mtodo Delphi 13, original de la Rand Corporation (Research ANd Development), comenz a aplicarse desde 1948 en un proyecto avanzado de las Fuerzas Areas de los Estados Unidos y la Compaa Douglas de Aviacin, orientndose desde entonces a los estudios prospectivos de investigacin espacial. De forma paulatina la tcnica diseada por la Rand Corporation ha ido ampliando sus campos de aplicacin: as esta "reflexin intuitiva de expertos" (como algn autor denomina al mtodo Delphi), puede ser utilizada con xito en multitud de campos y sectores. Delphi es especialmente adecuada para Magerit por las razones siguientes:

Es una tcnica netamente cualitativa que relativamente permite tratar con alta precisin problemas tcnicamente complejos. Est planteada como una reflexin organizada de expertos sobre un tema concreto, reflexin que permite recoger las ideas y opiniones ms cualificadas en el mbito de la seguridad (valoracin de activos e identificacin de amenazas e impactos). Se desarrolla a partir de un cierto escenario inicial de modo que permita una adecuada recapitulacin e identificacin de los problemas que ya existen actualmente. Desarrolla una prospectiva mucho ms rica que la mera identificacin de la opinin mayoritaria, por medio de un proceso de convergencia de opiniones que se consigue mediante rondas sucesivas de entrevistas. Garantiza satisfactoriamente la limpieza de la investigacin, impidiendo el predominio de unos expertos sobre otros por razones ajenas a la calidad de sus opiniones. Identificar problemas. Desarrollar estrategias para la solucin de problemas, fijando un rango de alternativas posibles. Identificar factores de resistencia en el proceso de cambio. Establecer previsiones de futuro sobre la evolucin de las tendencias que se observan en un determinado campo o sector. Contrastar opiniones en un tema abarcando un amplio campo de disciplinas o sectores.
La tcnica Delphi es un instrumento de uso mltiple que se utiliza con muy variados objetivos:

3.7.1. Resumen ejecutivo

1. Se prepara un cuestionario con los temas cuya valoracin se desea conocer. Este punto es crtico para el xito de los siguientes pasos. Para la elaboracin de un buen cuestionario se requiere experiencia y conocimiento del tema que se desea investigar. 2. Se distribuye entre los sujetos que tienen una opinin relevante en el tema a investigar: los expertos. 3. Con las respuestas recibidas, se prepara un histograma indicando cuntos entrevistados se decantan por cada nivel de valoracin. 4. Si hay una clara concentracin de respuestas en torno a un nico valor, el proceso ha acabado: hay un claro consenso en el valor buscado. 5. Si hay diferencias importantes de opinin, se remite de nuevo el mismo cuestionario; pero esta vez acompaado del histograma. Si se han apreciado ambigedades en el primer cuestionario, deben aclararse en esta segunda ronda. A los entrevistados se les inquiere sobre si consideran que deben mantener su primera opinin o prefieren modificarla.
13 Delphi es la forma inglesa de pronunciar Delfos, poblacin griega famosa por su orculo. Pese al origen fontico, el mtodo usado por el Orculo de Delphos (adivinacin) no tena nada que ver con el usado con el mtodo Delphi (consenso de opinin entre expertos). Delphi basa la calidad de sus resultados en la hiptesis de que cuando no existe un conocimiento preciso de la realidad, lo mejor que se puede hacer es recoger la opinin, consensuada, de un grupo lo ms amplio posible de expertos en la materia.
pgina 68 (de 72)
Magerit versin 2
Valoracin Delphi
6. Si el histograma de esta segunda ronda sigue sin mostrar una respuesta clara, se pueden realizar nuevas rondas o convocar a los entrevistados en una reunin conjunta para llegar a un consenso. 7. Ante un histograma disperso, siempre hay que preguntarse si se ha hecho la pregunta correcta a las personas correctas, si la pregunta estaba claramente expresada o si, por el contrario se debe volver a empezar con nuevas preguntas y/o nuevos entrevistados.
Se determina qu opiniones cuentan Se elabora un cuestionario cunto vale X? Se distribuye el cuestionario Se recogen las respuestas Se tabulan las respuestas Se distribuye 1. el cuestionario 2. las respuestas
no
consenso?
si
ya est
En sentido estricto, Delphi no es tanto un mtodo como un conjunto de tcnicas que se aplican segn las circunstancias. Algunos aspectos hay que determinarlos en cada caso: Nmero de participantes. Se estima que el nmero ideal se encuentra entre 15 y 35 expertos. Aplicado al anlisis de riesgos, se pueden establecer grupos amplios en temas generales (por ejemplo, frecuencia tpica de una amenaza o idoneidad de una salvaguarda para un riesgo); pero en temas puntuales es difcil pasar de unos pocos participantes (por ejemplo, para valorar un activo). Nmero de rondas. La segunda ronda es necesaria salvo que haya un consenso suficiente en la primera. Sucesivas rondas pueden dar una opinin ms refinada; pero no esto no siempre se consigue por diferentes motivos:

los expertos muestran rpidamente sntomas de agotamiento, disminuyendo su disposicin a colaborar probablemente lo que est mal es el diseo del cuestionario y ms vale revisarlo que insistir en el error
Como recomendacin general para proyectos de anlisis y gestin de riesgos, se puede centrar en nmero estndar en dos rondas.
3.7.2. Aspectos sociolgicos

Delphi permite que un grupo trabaje aisladamente y de forma annima. Es un instrumento que agrupa sistemticamente las opiniones de un grupo y evita el excesivo protagonismo que pueden ejercer algunas personas, adems de cualidades como stas:
La generacin de ideas de forma aislada produce una mayor cantidad de stas en el conjunto del grupo seleccionado. pgina 69 (de 72)
Magerit versin 2

Valoracin Delphi
El proceso de respuestas escritas a las preguntas formuladas obliga a los que responden a pensar en toda la complejidad del problema y a proponer, por tanto, ideas de gran calidad. La conducta del grupo es proactiva, puesto que los que responden no pueden reaccionar ante las ideas expresadas por los otros, eliminando posibles excesos de protagonismo que se manifiestan cuando se expresan opiniones de forma directa y simultnea. El anonimato y el aislamiento entre los que responden proporciona una gran libertad frente a la presin hacia el conformismo en las opiniones. La tcnica es vlida para obtener opiniones de expertos que se encuentren fsicamente alejados. Se puede comprobar que el error de prediccin de un conjunto de expertos en un tema es siempre menor que la media de los errores de las opiniones individuales de las personas que lo integran.
3.7.3. Anlisis de las respuestas

Delphi implica un anlisis estadstico del producto de cada una de las rondas de cuestionarios. El anlisis debe garantizar que la opinin de cada uno de los expertos se encuentre representada en la respuesta final. Para determinar si hay consenso se necesita una medida de la dispersin de las respuestas. Para determinar cual es el consenso se necesita un punto de convergencia. El anlisis es diferente si se busca un valor en una escala continua de valoracin (por ejemplo, intentando determinar el valor de un activo para la Organizacin) o si se intenta identificar elementos a considerar (por ejemplo, activos que deben incluirse en el anlisis). En el caso de opiniones de valor, se recurre a estimaciones estadsticas. En el caso de opiniones, se recurre a esquemas de votacin.
3.7.3.1. Anlisis estadstico

Las respuestas se ubican sobre una escala de valores, lineal o logartmica segn la naturaleza del problema que se est analizando. En aspectos de percepcin subjetiva de valor, las escalas logartmicas suelen ser las ms adecuadas. Dados n valores, x 1, x 2, ... , x n se definen los siguientes estadsticos: Media o valor medio
n
x
Mediana
1 n
xi
i 1
Habiendo ordenado los valores xi en orden ascendente (de menor a mayor), se denomina mediana al primer valor que deja por debajo al 50% de los datos; es decir al valor en la posicin n 2 Desviacin estndar o tpica
1 n 1
Desviacin media
xi x
i 1
desviacin media
1 ni
xi x
1
Cuartiles. Habiendo ordenado los valores en orden ascendente, se definen 3 puntos de inters Q1: primer valor que deja por debajo al 25% de los datos Q2: primer valor que deja por debajo al 50% de los datos (la mediana) Ministerio de Administraciones Pblicas pgina 70 (de 72)
Magerit versin 2 Q3: primer valor que deja por debajo al 75% de los datos Recorrido intercuartlico Se define como la distancia Q3 Q1.
Valoracin Delphi
Es el rango que recoge las opiniones del 50% de los expertos ms centrados. Para determinar el valor de consenso se pueden utilizar la media o la mediana, si bien esta ltima es habitualmente ms adecuada por ser inmune a las opiniones ms extremas. Para determinar la dispersin se puede utilizar la desviacin estndar, la media o el recorrido intercuartlico. La desviacin estndar da una importancia mayor a la existencia de respuestas muy alejadas de la media, lo que suele considerarse mala idea. El recorrido intercuartlico es el ms adecuado para desechar opiniones extremas. En cualquier caso, cuando se remiten los resultados de una ronda para la siguiente ronda, conviene acompaar los estadsticos de un histograma o diagrama de frecuencia de las respuestas agrupadas en intervalos. Sobre este histograma conviene indicar algunos los valores importantes:

la mediana o cuartil Q3 la media el cuartil Q1 el cuartil Q3 los valores extremos: los ms alejados por arriba y por abajo
3.7.3.2. Votaciones
Cuando las respuestas no se pueden asociar a un valor numrico sobre una escala continua de valores, hay que recurrir a tcnicas de votacin. Sea una pregunta con N posibles respuestas, de las que hay que determinar cual es ms adecuada. Una opcin es pedirle al experto que valore de 0 a 10 la conveniencia de cada una de las posibles respuestas. En el anlisis se puede determinar la valoracin media recibida por cada respuesta. En la siguiente ronda, el experto puede estar de acuerdo con la puntuacin de consenso, o seguir insistiendo en su opinin divergente. La valoracin de consenso y la medida de dispersin se pueden estimar estadsticamente (ver seccin anterior). Otra opcin es pedirle al experto que seleccione las 5 mejores respuestas y les asigne 5 puntos a la mejor, 4 a la segunda mejor, 3 a la tercera, 2 a la cuarta y uno a la quinta 14. En el anlisis se suman los puntos recibidos por cada respuesta para determinar su posicin relativa en la ordenacin de consenso. En la siguiente ronda, el experto puede estar de acuerdo en la ordenacin de consenso, o seguir insistiendo en su opinin divergente.
3.7.4. Resumen
Se pueden resumir los rasgos esenciales de un proceso Delphi en los siguientes puntos:

Anonimato de respuestas, que reduce las distorsiones de personalidades dominantes que pudieran producirse en reuniones o comits de expertos. Feedback o realimentacin controlada por medio de interacciones sucesivas de modo que en cada una el experto posee la informacin que se refiere a la interaccin previa. Anlisis estadstico de las respuestas del grupo, que permite ir consiguiendo el acuerdo razonado de los expertos evitando cualquier modo de presin para obtener modificaciones en sus puntos de vista. nfasis puesto en la opinin informada, que en ocasiones puede ser contraria a la ms co-
14 Obviamente, hay que adecuar estos nmeros a cada caso concreto.
pgina 71 (de 72)
Magerit versin 2 mn o generalizada en la sociedad.
Valoracin Delphi
3.7.5. Referencias

J. Fowles, Handbook of Futures Research. Westport, Greenwood Press, 1978. H.A. Linstone and M. Turoff (eds), The Delphi Method: Techniques and Applications, Reading, MA: Addison-Wesley Publishing Company, 1975. N.C. Dalkey, The Delphi Method: An Experimental Study of Group Opinion, RAND Corporation, RM-5888-PR, 1969. O. Helmer, Analysis of the Future: The Delphi Method. RAND Corporation Technical Report, P-3558, March 1967. N. Dalkey and O. Helmer, An Experimental Application of the Delphi Method to the Use of Experts. Management Science, vol. 9, no. 3, April 1963. M. Girshick, A. Kaplan and A. Skogstad, The Prediction of Social and Technological Events. Public Opinion Quarterly, Spring 1950.
pgina 72 (de 72)

MAGERIT v2 Metodología de Análisis y Gestión de Riesgos

Încărcat de

Informații document

Descriere originală:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

MAGERIT v2 Metodología de Análisis y Gestión de Riesgos

Încărcat de

Drepturi de autor:

Formate disponibile

MINISTERIO DE ADMINISTRACIONES PBLICAS

MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin

2. Realizacin del anlisis y de la gestin .....................................................................16

3. Estructuracin del proyecto .......................................................................................32

4. Desarrollo de sistemas de informacin .....................................................................80

Apndice 1. Glosario .....................................................................................................102

Apndice 2. Referencias ...............................................................................................113 Apndice 3. Marco legal ................................................................................................114

Apndice 4. Marco de evaluacin y certificacin .......................................................116

Apndice 6. Evolucin de Magerit versin 1.0 ............................................................131

Apndice 7. Caso prctico ............................................................................................134

Ministerio de Administraciones Pblicas

pgina 5 (de 154)

1.1. Objetivos de Magerit

Ministerio de Administraciones Pblicas

pgina 6 (de 154)

Magerit versin 2 Indirectos:

1.2. Introduccin al anlisis y gestin de riesgos

1.3. El anlisis y gestin de riesgos en su contexto

implantacin de implantacin de salvaguardas salvaguardas

concienciacin concienciacin y formacin y formacin

gestin de config. gestin de config. y cambios y cambios

incidencias y incidencias y recuperacin recuperacin

pgina 8 (de 154)

1.3.1. Concienciacin y formacin

1.3.2. Incidencias y recuperacin

1.4. Organizacin de las guas

Ministerio de Administraciones Pblicas

pgina 9 (de 154)

1.4.1. Modo de empleo

Ministerio de Administraciones Pblicas

pgina 10 (de 154)

1.4.2. El catlogo de elementos

1.4.3. La gua de tcnicas

tcnicas especficas para el anlisis de riesgos

1.5. Para los que han trabajado con Magerit v1.0

1.6. Evaluacin, certificacin, auditora y acreditacin

Ministerio de Administraciones Pblicas

pgina 12 (de 154)

Ministerio de Administraciones Pblicas

pgina 13 (de 154)

1.7. Cundo procede analizar y gestionar los riesgos?

Por precepto legal

Ministerio de Administraciones Pblicas

pgina 15 (de 154)

Realizacin del anlisis y gestin

2. Realizacin del anlisis y de la gestin

2.1. Anlisis de Riesgos

Ministerio de Administraciones Pblicas

pgina 16 (de 154)

Realizacin del anlisis y gestin

valor valor degradacin degradacin impacto impacto

causan una cierta

con una cierta

frecuencia frecuencia riesgo riesgo

2.1.1. Paso 1: Activos

Ministerio de Administraciones Pblicas

pgina 17 (de 154)

Realizacin del anlisis y gestin

capa 2: el sistema de informacin propiamente dicho

objetivos y misin bienes y servicios producidos

capa 5: otros activos

Ministerio de Administraciones Pblicas

pgina 18 (de 154)