“técnicas recomendadas para análisis de riesgo”

UNIVERSIDAD NACIONAL DE LA AMAZONÍA PERUANA

FACULTAD DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA

“Técnicas Recomendadas Para Análisis De Riesgo”

INFORME DE TRABAJO PRACTICO DE SUFICIENCIA

PARA OPTAR EL TÍTULO PROFESIONAL DE:

INGENIERO DE SISTEMAS E INFORMÁTICA

Presentado por la Bachiller:

MAYCLER BERNUY PANDURO

Asesor:

ING. LUIS HONORATO PITA ASTENGO

IQUITOS – PERÚ

2015

Universidad Nacional de la Amazonia Peruana

Facultad de Ingenieria de Sistemas e Informatica

Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos

Autora: Bach. Maycler Bernuy Panduro





DEDICATORIA

A mis padres Oliver y Olivia, por su apoyo incondicional. Por su amor infinito.

A mi hermano Bill Irving, por siempre estar al pendiente de mi seguridad y bienestar.

A Edgard Juárez por su amor, compañía, compresión, paciencia, consejos y por

estar ahí siempre apoyándome en todo.

A mis amigos, Miguel Cueva, Willy Vásquez, por brindarme las facilidades

necesarias, para realizar este informe.

A mi asesor “Luis Pita. A”, por guiarme y darme las pautas necesarios, para culminar

mi informe.





RESUMEN

1. HISTORIA DE ANÁLISIS DE RIESGO

Se originó el Análisis de Riesgo, desde hace tiempo; se ha utilizado en proyectos de

economía e ingeniería.

A partir de 1994 se empezó a utilizar el término Análisis de Riesgo sobre aranceles

aduaneros y Comercio.

Después de 1997 nace la necesidad de organizar e interpretar datos científicos y otra

información facilitando la toma de decisiones.

2. FUNDAMENTOS BÁSICOS

Se define los fundamentos teóricos de las terminologías utilizadas en el Análisis de

Riesgo. Se puntualizan conceptos de Riesgo, amenaza, vulnerabilidades, Mapa de

riesgos, niveles de aceptación del riesgo, Plan de acción, Control y Monitoreo de

Riesgo, Identificación de los riesgos, Realización del Análisis cualitativo y cuantitativo

y la planificación de la respuesta a los riesgos.

Riesgo se define como un evento o condición incierta que, de producirse, tiene

un efecto positivo o negativo en uno o más objetivos del proyecto.

Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o

acción que puede producir un daño (material o inmaterial).

Es la capacidad, las condiciones y características que lo hace susceptible a

amenazas, con el resultado de sufrir algún daño.

Mapa de Riesgo. Es una herramienta que permite organizar la información

sobre los riesgos de las empresas y visualizar su magnitud, con el fin de

establecer las estrategias adecuadas para su manejo.

Un plan de acción es una presentación resumida de las tareas que deben

realizarse por ciertas personas, en un plazo de tiempo específico, utilizando un

monto de recursos asignados con el fin de lograr un objetivo dado.

Control y Monitoreo del Riesgo. Consiste en rastrear los riesgos identificados,

monitorear los riesgos residuales, identificar nuevos riesgos, asegurar que los

planes de respuesta a riesgos se ejecuten en el momento apropiado, y evaluar

su efectividad a través del ciclo del proyecto.

Pág. i





Identificar los riesgos. Es el proceso de determinar los riesgos que pueden

afectar al proyecto y documentar sus características.

Realizar el Análisis Cualitativo de Riesgos es el proceso de priorizar riesgos

para análisis o acción posterior, evaluando y combinando la probabilidad de

ocurrencia e impacto de dichos riesgos.

Realizar el Análisis Cuantitativo de Riesgos es el proceso de analizar

numéricamente el efecto de los riesgos identificados sobre los objetivos

generales del proyecto.

Planificación de la respuesta a los riesgos. Este proceso desarrolla las opciones

y acciones para mejorar las oportunidades y reducir las amenazas a los objetos

del proyecto.

3. METODOLOGÍAS PARA EL ANÁLISIS DE RIESGO

En este capítulo se definen las metodologías existentes los cuales nos indican los

pasos a seguir para su correcta ejecución, ya que, como hemos visto, suelen ser muy

complejos y tienen multitud de variables.

Estas metodologías son:

Citicus One

CRAMM

MAGERIT

OCTAVE

NIST SP 800-39

Mehari

AS/NZS

4. INTRODUCCIÓN METODOLOGÍA MAGERIT

MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT).La Metodología

MAGERIT fue desarrollada por el Consejo Superior de Administración Electrónica

(CSAE).

La Metodología consta de tres volúmenes:

Volumen I – Método, es el volumen principal en el que se explica

detalladamente la metodología.

Pág. ii





Volumen II – Catalogo de Elementos, complementa el volumen principal

proporcionando diversos inventarios de utilidad en la aplicación de la

metodología. Los inventarios que incluye son:

Tipos de Activos

Dimensiones y Criterios de Valoración

Amenazas

Salvaguardas

Volumen III – Guía de Técnicas, complementa el volumen principal

proporcionando una introducción de algunas técnicas a utilizar en las distintas

fases del análisis de riesgos. Las técnicas que recoge son:

Técnicas específicas para el análisis de riesgos:

Análisis mediante tablas

Análisis algorítmico

Arboles de ataque

Técnicas Generales:

Análisis coste-beneficio

Diagrama de Flujo de Datos (DFD)

Diagrama de Procesos

Técnicas Graficas:

Planificación de Proyectos

Sesiones de trabajo: entrevistas, reuniones y presentaciones

Valoración Delphi

Pág. iii





ÍNDICE

I. JUSTIFICACION .............................................................................................. 1

II. OBJETIVO ....................................................................................................... 2

2.1Objetivo General ....................................................................................................... 2

2.2 Objetivo Específicos .................................................................................. 2

III. DESARROLLO DEL TEMA ............................................................................ 3

3.1 Historia Análisis de Riesgo ....................................................................... 3

3.2 Fundamentos Básicos ......................................................................... 3

3.2.1 Definición y Componentes de Riesgos ........................................ 3

3.2.1.1 Definiciones ..................................................................... 4

3.2.1.2 Componentes de Riesgo ................................................. 4

3.2.1.3 Clases de Riesgo ............................................................. 4

3.2.2 Amenazas y Vulnerabilidades .................................................... 5 3.2.2.1 Amenazas ........................................................................ 5

3.2.2.1.1 Clasificación de las Amenazas ......................... 5

3.2.2.2 Vulnerabilidad .................................................................. 6

3.2.2.2.1 Tipos de Vulnerabilidades ................................. 7

3.2.3 Mapa de Riesgo......................................................................... 10

3.2.4 Niveles de Aceptación del Riesgo ............................................. 11

3.2.5 Plan de Acción .......................................................................... 11

3.2.6 Control y Monitoreo del Riesgo ................................................. 12

3.2.7 Identificar los Riesgos ................................................................ 12

3.2.7.1 Revisión de Documentación ......................................... 12 3.2.7.2 Técnicas de Recopilación de Información .................... 13 3.2.7.3 Análisis con Lista de Verificación .................................. 14 3.2.7.4 Análisis de Supuestos .................................................. 14 3.2.7.5 Identificación de Riesgos Basados en Taxonomía ....... 14

3.2.8 Realizar el Análisis Cualitativo de Riesgos ................................ 16

3.2.8.1 Evaluación de Probabilidad e Impacto de los Riesgos . 16 3.2.8.2 Matriz de Probabilidad e Impacto ................................ 17 3.2.8.3 Categorización de Riesgos .......................................... 18 3.2.8.4 Evaluación de la Urgencia de los Riesgos ................... 18

3.2.9 Realizar el Análisis Cuantitativo de Riesgos .............................. 19

3.2.9.1Realizar el Análisis Cuantitativo de Riesgos: Herramientas y Técnicas .... 20 3.2.9.1.1 Técnicas de Recopilación y Representación de Datos ........ 20

3.2.9.1.2 Técnicas de Análisis Cuantitativo de Riesgos y de Modelado 21

3.2.9.1.3 Realizar el Análisis Cuantitativo de Riesgos: Salidas .......... 22

Pág. iv





3.2.10 Planificar la respuesta a los Riesgos ....................................... 23

3.2.10.1 Herramientas y Técnicas ........................................... 24 3.2.10.1.1Estrategias para Riesgos Negativos o Amenazas .... 24 3.2.10.1.2Estrategias para Riesgos Positivos u Oportunidades 25 3.3 Metodologías para Análisis de RIESGO ............................................ 27

3.3.1 Metodología OCTAVE ............................................................... 27 3.3.2 Metodología NIST SP 800-30 .................................................... 27 3.4 Introducción Metodología Magerit ..................................................... 28

3.4.1 Magerit ....................................................................................... 30 3.4.2 El Análisis y Tratamiento de Riesgos en su contexto ................ 32 3.4.3 Realización del Análisis y Tratamiento ...................................... 34 3.4.3.1 Método de Análisis de Riesgo .................................... 36 3.4.3.1.1 Paso 1: Activos .............................................. 37 3.4.3.1.2 Paso 2: Amenazas ........................................ 42 3.4.3.1.3 Determinación del Impacto ............................ 44 3.4.3.1.4 Determinación del Riesgo Potencial .............. 46 3.4.3.1.5 Paso 3: Salvaguardas ................................... 48 3.4.3.1.6 Paso 4: Impacto Residual .............................. 50 3.4.3.1.7 Paso 5: Riesgo Residual ............................... 50 3.4.3.2 Formalización de las Actividades ................................ 51 3.4.3.3 Documentación Final .................................................. 53 3.4.4 Proyecto de Análisis de Riesgo .............................................. 54 3.4.4.1 PAR1: Actividades Preliminares ................................. 55 3.4.4.2 PAR2: Elaboración del Análisis de Riesgos ................ 56 3.4.4.3 PAR3: Comunicación de Resultados .......................... 59 3.4.5 EAR (Entorno de Análisis de Riesgo) ..................................... 59 3.4.6 PILAR (Procedimiento Informático – Lógico para el AR) ........ 59

IV. Conclusión .................................................................................................... 66

V. Referencias Bibliográficas ............................................................................ 67

Pág. v





INDICE DE FIGURAS

FIGURA N° 01: Interacción entre Vulnerabilidades, amenazas y riesgos .................. 9

FIGURA N° 02: Realizar el Análisis Cuantitativo de Riesgos: Entradas, Herramientas y Técnicas, y Salidas ................................................................................................ 20 FIGURA N° 03: Metodología .................................................................................... 30

FIGURA N° 04: ISO 31000- Marco de trabajo para la gestión de riesgos ................ 31

FIGURA N° 05: Ciclo PDCA ..................................................................................... 33

FIGURA N° 06: Gestión de Riesgos ......................................................................... 35

FIGURA N° 07: Elementos del Análisis de Riesgos Potenciales ............................ 37

FIGURA N° 08: El riesgo en función del impacto y la probabilidad .......................... 47

FIGURA N° 09: Elementos de Análisis del Riesgo Residual .................................... 49

FIGURA N° 10: EAR, Pantalla Principal ................................................................... 62

FIGURA N° 11: EAR, Etapas de Magerit .................................................................. 63

FIGURA N° 12: EAR, Informes Contemplados y Calificaciones evaluadas .............. 64

INDICE DE TABLAS

TABLA N° 01: Degradación del Valor ....................................................................... 44

TABLA N° 02: Probabilidad de Ocurrencia ............................................................... 44 TABLA N° 03: Método Análisis de Riesgos- MAR .................................................... 52

TABLA N° 04: Proyecto de Análisis de Riesgos- PAR ............................................. 55

TABLA N° 05: Método de Análisis de Riesgo- MAR ................................................. 57

Pág. vi





I.- JUSTIFICACIÓN

El uso de tecnologías computacionales y de la interconexión por medio de una red de

datos se ha incrementado de manera significativa durante los últimos 10 años y a

medida que aparecen nuevos avances en las comunicaciones, también se crea el

conocimiento y las nuevas formas de violentar la seguridad de los computadores con

la intención de dañar o extraer información con malos propósitos, también en muchas

ocasiones la naturaleza podría afectar los proyectos generados en el transcurso del

tiempo o simplemente a veces falla esta tecnología por falta de mantenimiento o por

agentes extraños que producen su deterioro, en otras circunstancias podría

producirse una alteración de la información por desconocimiento del usuario, en fin,

existen muchas razones que pueden poner en peligro nuestra información y muchas

veces el computador, por este motivo es de gran importancia el estudio de las

Amenazas y vulnerabilidades a las que estamos expuestos cotidianamente. Por esta

razón es necesario conocer algunas técnicas que ayuden a realizar un análisis de

riesgo.

Pág. 1





II.- OBJETIVO

2.1 OBJETIVO GENERAL

Conocer y comprender los fundamentos teóricos, identificar las técnicas

existentes y explicar una de las metodologías que se utiliza para realizar el

análisis de riesgos.

2.2 OBJETIVOS ESPECIFICOS

1. Definir los fundamentos teóricos del análisis de riesgo.

2. Identificar las etapas que se utilizan en el proceso de análisis de riesgo.

3. Mostrar en un ejemplo el empleo de la metodología Magerit, identificando los

pasos para realizar un análisis de riesgo, mediante un caso práctico.

Pág. 2





III. DESARROLLO DEL TEMA

3.1. HISTORIA ANÁLISIS DE RIESGO

Se ha utilizado desde hace tiempo en proyectos de ingeniería y economía.

Se ha incrementado su uso últimamente por los acuerdos sobre Aranceles

Aduaneros y Comercio [GATT 1994] y las directrices de la Organización

Mundial de Comercio. Se incorporan también la Aplicación de Medidas

Sanitarias y Fitosanitarias, donde se plantean los principios de Análisis de

Riesgo, Regionalización, Armonización, Equivalencia y Trasparencia.

Nace de la necesidad de organizar e interpretar datos científicos y otras

informaciones, facilitando las decisiones y los acuerdos.

Se aplica tanto en lo público como en lo privado, cuando la información es

limitada y especialmente si existe incertidumbre para la toma de decisiones.

3.2. FUNDAMENTOS BÁSICOS

3.2.1. Definición y componentes del Riesgo

3.2.1.1. Definiciones:

Según la definición del PMBOK (PMI 2008). Es un evento o condición

incierta que, de producirse, tiene un efecto positivo o negativo en uno

o más de los objetivos del proyecto, tales como el alcance, el

cronograma, el costo y la calidad. Incluye, por tanto, oportunidades y

amenazas

Es la posibilidad de ocurrencia de aquella situación (interna o externa),

que puede afectar negativamente el logro del objetivo, o la gestión de

un proceso.

El riesgo indica lo que le podría pasar a los activos si no se protegieran

adecuadamente. Es importante saber qué características son de

Pág. 3





interés en cada activo, así como saber en qué medida estas

características están en peligro, es decir, analizar el sistema.

Es la probabilidad o posibilidad de que pueda ocurrir un daño a partir

de un peligro.

Se representa como la combinación de la frecuencia y la consecuencia

de un incidente identificado.

3.2.1.2. Componentes del Riesgo:

Un evento definible: Acción o situación que se da o que sucede

dentro de un grupo de acciones o situaciones posibles de suceder.

Probabilidad de ocurrencia: Probabilidad de ocurrencia de cada

riesgo

Consecuencia de la ocurrencia (impacto)

3.2.1.3. CLASES DE RIESGOS

Riesgo Estratégico: Relacionados con la misión y el cumplimiento

de los objetivos estratégicos, la clara definición de políticas.

Riesgos de Imagen: Están relacionados con la percepción y la

confianza por parte de la ciudadanía hacia la institución.

Riesgos Operativos: Provenientes del funcionamiento y

operatividad de los sistemas de información institucional, de la

definición de los procesos, de la estructura de la entidad.

Riesgos Financieros: Relacionados con el manejo de los recursos

de la entidad.

Riesgos de Cumplimiento: Se asocian con el cumplimiento de los

requisitos legales, contractuales, de ética pública, compromiso ante

la comunidad.

Pág. 4





Riesgos de Tecnología: Relacionados con la capacidad

tecnológica de la Entidad para satisfacer sus necesidades actuales

y futuras.

3.2.2. Amenazas y Vulnerabilidades

3.2.2.1. Amenazas:

Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento

o acción que puede producir un daño (material o inmaterial). (La Guía del

PMBOK, 2008).

Las amenazas son agentes capaces de explotar los fallos de seguridad,

que denominamos puntos débiles y, como consecuencia de ello, causar

pérdidas o daños a los activos de una empresa, afectando a sus negocios.

Los activos están constantemente sometidos a amenazas que pueden

colocar en riesgo la integridad, confidencialidad y disponibilidad de la

información. Estas amenazas siempre existirán y están relacionadas a

causas que representan riesgos, las cuales pueden ser: causas naturales

o no naturales causas internas o externas. [Carolina Cols]

Las amenazas son constantes y pueden ocurrir en cualquier momento.

Esta relación de frecuencia-tiempo, se basa en el concepto de riesgo, lo

cual representa la probabilidad de que una amenaza se concrete por

medio de una vulnerabilidad o punto débil.

3.2.2.1.1. Clasificación de las Amenazas:

1. Amenazas naturales – condiciones de la naturaleza y la intemperie

que podrán causar daños a los activos, tales como fuego,

inundación, terremotos, entre otros.

Pág. 5





2. Intencionales – son amenazas deliberadas, fraudes, vandalismo,

sabotajes, espionaje, invasiones y ataques, robos y hurtos de

información, entre otras.

3. Involuntarias - son amenazas resultantes de acciones

inconscientes de usuarios, por virus electrónicos, muchas veces

causadas por la falta de conocimiento en el uso de los activos, tales

como errores y accidentes.

Entre las principales amenazas, la ocurrencia de virus, la

divulgación de contraseñas y la acción de hackers están entre los

más frecuentes.

3.2.2.2. Vulnerabilidad:

Es la capacidad, las condiciones y características que lo hace

susceptible a amenazas, con el resultado de sufrir algún daño. En otras

palabras, es la capacidad y posibilidad de responder o reaccionar a una

amenaza o de recuperarse de un daño. (La Guía del PMBOK, 2008). Las

vulnerabilidades están en directa interrelación con las amenazas porque

si no existe una amenaza tampoco existe la vulnerabilidad o no tiene

importancia, porque no se puede ocasionar un daño.

Uno de los primeros pasos para la implementación de la seguridad es

rastrear y eliminar los puntos débiles de un ambiente de tecnología de la

información.

Al ser identificados los puntos débiles, será posible dimensionar los

riesgos a los cuales el ambiente está expuesto y definir las medidas de

seguridad apropiadas para su corrección. [Carolina Cols]

Los puntos débiles dependen de la forma en que se organizó el ambiente

en que se maneja la información. La existencia de puntos débiles está

relacionada con la presencia de elementos que perjudican el uso

adecuado de la información y del medio en que la misma se está

utilizando.

Pág. 6





3.2.2.2.1. Tipos de Vulnerabilidades

a) Vulnerabilidades físicas

Los puntos débiles de orden físico son aquellos presentes en los

ambientes en los cuales la información se está almacenando o

manejando.

Ejemplo Como ejemplos de este tipo de vulnerabilidad se distinguen:

instalaciones inadecuadas del espacio de trabajo, ausencia de

recursos para el combate a incendios; disposición desorganizada de

cables de energía y de red, ausencia de identificación de personas y

de locales, entre otros.

b) Vulnerabilidades naturales

Los puntos débiles naturales son aquellos relacionados con las

condiciones de la naturaleza que puedan colocar en riesgo la

información.

Muchas veces, la humedad, el polvo y la contaminación podrán

causar daños a los activos. Por ello, los mismos deberán estar

protegidos para poder garantizar sus funciones.

Entre las amenazas naturales más comunes podemos mencionar:

Ambientes sin protección contra incendios, locales próximos a ríos

propensos a inundaciones, infraestructura incapaz de resistir a las

manifestaciones de la naturaleza como terremotos, maremotos,

huracanes etc.

c) Vulnerabilidades de hardware

Los posibles defectos en la fabricación o configuración de los equipos

de la empresa que pudieran permitir el ataque o alteración de los

mismos.

Existen muchos elementos que representan puntos débiles de

hardware. Entre ellos podemos mencionar: la ausencia de

actualizaciones conforme con las orientaciones de los fabricantes de

Pág. 7





los programas que se utilizan, y conservación inadecuada de los

equipos.

d) Vulnerabilidades de software

Los puntos débiles de aplicaciones permiten que ocurran accesos

indebidos a sistemas informáticos incluso sin el conocimiento de un

usuario o administrador de red. Los puntos débiles relacionados con

el software podrán ser explotados por diversas amenazas ya

conocidas: La configuración e instalación indebidas de los programas

de computadora, Ejemplo: Lectores de e-mail que permiten la

ejecución de códigos maliciosos, editores de texto que permiten la

ejecución de virus de macro etc.

e) Vulnerabilidades de medios de almacenaje

Los medios de almacenamiento son los soportes físicos o magnéticos

que se utilizan para almacenar la información. Entre los tipos de

soporte o medios de almacenamiento de la información que están

expuestos podemos citar: disquetes, cd, discos duros de los

servidores y de las bases de datos, así como lo que está registrado

en papel.

f) Vulnerabilidades de comunicación

Este tipo de punto débil abarca todo el tránsito de la información.

Donde sea que la información transite, ya sea vía cable, satélite, fibra

óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito

de los datos es un aspecto crucial en la implementación de la

seguridad de la información.

g) Vulnerabilidades humanas

Esta categoría de vulnerabilidad está relacionada con los daños que

las personas pueden causar a la información y al ambiente

tecnológico que la soporta.

Pág. 8





Los puntos débiles humanos también pueden ser intencionales o no.

Muchas veces, los errores y accidentes que amenazan a la seguridad

de la información ocurren en ambientes institucionales. La mayor

vulnerabilidad es el desconocimiento de las medidas de seguridad

adecuadas para ser adoptadas por cada elemento constituyente,

principalmente los miembros internos de la empresa. Se Destacan

dos puntos débiles humanos por su grado de frecuencia: la falta de

capacitación específica para la ejecución de las actividades

inherentes a las funciones de cada uno, la falta de conciencia de

seguridad para las actividades de rutina, los errores, omisiones,

insatisfacciones etc.

Interacción entre vulnerabilidades, amenazas y riesgos

Figura n °1: Interacción de Vulnerabilidades, amenazas y riesgos Fuente: Metodología Magerit- Libro 1

Pág. 9

Enfoque General sobre Impacto

Enfoque En bienes O controles

Enfoque General De causas

Amenazas

Vulnerabilidad

Riesgo

Estudio de las causas potenciales de daño

Estudio de las debilidades en bienes o controles.

Estudio de las probabilidad de ocurrencia de un incidente y su impacto





3.2.3. MAPA DE RIESGOS

3.2.3.1. DEFINICIÓN

Es una herramienta que permite organizar la información sobre los riesgos de

las empresas y visualizar su magnitud, con el fin de establecer las estrategias

adecuadas para su manejo.

Los mapas de riesgos pueden representarse con gráficos o datos. Los gráficos

corresponden a la calificación de los riesgos con sus respectivas variables y a

su evaluación de acuerdo con el método utilizado en cada empresa. Los datos

pueden agruparse en tablas, con información referente a los riesgos; a su

calificación, evaluación, controles y los demás datos que se requieran para

contextualizar la situación de la empresa y sus procesos, con respecto a los

riesgos que la pueden afectar y a las medidas de tratamiento implementadas.

Según la guía para la valoración de riesgos en proyectos, el mapa de riesgos

es un instrumento metodológico mediante el cual se identifica un conjunto

ordenado y flexible de factores que pueden dar origen tanto a hechos que

contribuyan al logro de un objetivo (aprovechar la oportunidad) o a calificar la

presencia de riesgo (negativo) y se prevén sus posibles daños.

Igualmente, el mapa de riesgos es una herramienta gerencial que puede

adaptarse a las necesidades y objetivos de quienes desean utilizarlo.

Observando los factores que lo integran y valorando la situación existente. En

cada entidad es posible diseñar estrategias y acciones orientadas a evitar,

controlar o minimizar la presencia de tales riesgos.

En el caso de los proyectos el Mapa de Riesgos se convierte en un instrumento

de control y seguimiento que facilita la toma de decisiones para la consecución

de los objetivos propios de los proyectos y los estratégicos institucionales.

Pág. 10





3.2.4. Niveles de aceptación del riesgo

El nivel de riesgo aceptado en los proyectos tiene una especial vinculación con

los procesos de administración de costos, tiempo y calidad de los proyectos. Su

definición se orienta hacia al disposición y capacidad de la institución en aceptar

o retener las variaciones de los costos, cronogramas y requisitos de calidad de

proyectos, de manera que no se vean afectados los objetivos de los proyectos.

Los niveles de riesgos aceptables es un tipo de criterio de aceptación de riesgos

que se emplea durante la etapa de evaluación de riesgos. Se debe definir antes

de iniciar la valoración de riesgos, con el fin de contar con un elemento para la

toma de decisión para la gestión del riesgo, para ello se toma en cuenta:

Parámetros de aceptabilidad del riesgo: Se entiende como los criterios

que permiten determinar si un de riesgo especifico se ubica dentro del nivel

de riesgo aceptado por la institución.

Nivel de riesgo aceptable: Nivel de riesgo que el equipo de proyecto están

dispuestos y en capacidad de aceptar para cumplir con los objetivos

(relacionado a tiempo, costo, calidad, alcance), sin incurrir en costos ni

efectos adversos excesivos en relación con sus beneficios esperados o ser

incompatible con las expectativas de los interesados.

3.2.5. Plan de Acción

Un plan de acción es una presentación resumida de las tareas que deben

realizarse por ciertas personas, en un plazo de tiempo específico, utilizando un

monto de recursos asignados con el fin de lograr un objetivo dado. De esta

manera, un plan de acción se constituye como una especie de guía que brinda un

marco o una estructura a la hora de llevar a cabo un proyecto.

En la gestión de riesgos es un documento que registra los eventos riesgosos que

sucederán en un proyecto y reduce el impacto de dichos eventos si llegaran a

suceder. Se desarrollan opciones y acciones introduciendo recursos y actividades

Pág. 11





en un plan de mitigación para mejorar las oportunidades del proyecto y también

reducir las amenazas a los objetivos del proyecto.

3.2.6. Control y Monitoreo del Riesgo

Consiste en rastrear los riesgos identificados, monitorear los riesgos residuales,

identificar nuevos riesgos, asegurar que los planes de respuesta a riesgos se

ejecuten en el momento apropiado, y evaluar su efectividad a través del ciclo del

proyecto. [GPY051, Sesión 08].

Para cada riesgo o conjunto de riesgos para los cuales se ha definido una

respuesta de contingencia, se debe haber especificado un correspondiente

conjunto de condiciones o acciones llamados disparadores (triggers). Es la

responsabilidad del propietario de acción asegurar que estas condiciones sean

monitoreadas efectivamente y que las acciones correspondientes se lleven a cabo

como se definieron, de una manera oportuna.

3.2.7. Identificar Los Riesgos

Es el proceso de determinar los riesgos que pueden afectar al proyecto y

documentar sus características. El beneficio clave de este proceso es la

documentación de los riesgos existentes y el conocimiento y la capacidad que

confiere al equipo del proyecto para anticipar eventos.

Identificar los riesgos es un proceso iterativo debido a que pueden solucionar o se

pueden descubrir nuevos riesgos conforme el proyecto avanza a lo largo de su

ciclo de vida.

Existen varias herramientas y técnicas para identificar riesgos de un proyecto:

3.2.7.1. Revisión de documentación: Consiste en una revisión estructurada

de la documentación del proyecto, incluidos los planes, los supuestos, los

archivos de proyectos anteriores, los acuerdos y otra información.

Pág. 12





La calidad de los planes, así como la consistencia entre dichos planes y

los requisitos y supuestos del proyecto, pueden ser indicadores de riesgo

en el proyecto.

3.2.7.2. Técnicas de recopilación de información

Tormenta de ideas:

El objetivo de la tormenta de ideas es obtener una lista completa de los

riesgos del proyecto. Por lo general, el equipo del proyecto efectúa

tormentas de ideas, a menudo con un grupo multidisciplinario de

expertos que no forman parte del equipo. Bajo el liderazgo de un

facilitador, se generan ideas acerca de los riesgos del proyecto, ya sea

por medio de una sesión tradicional y abierta de tormenta de ideas, o en

una sesión estructurada donde se utilizan técnicas de entrevista masiva.

Como marco de referencia pueden utilizarse categorías de riesgo, como

en una estructura de desglose de riesgos. Posteriormente se identifican

y categorizan los riesgos según su tipo y se refinan sus definiciones.

Técnica de Delphi:

La técnica Delphi es una manera de lograr un consenso de expertos. Los

expertos en riesgos del proyecto participan en esta técnica de forma

anónima. Un facilitador utiliza un cuestionario para solicitar ideas acerca

de los riesgos importantes del proyecto. Las respuestas son resumidas

y posteriormente enviadas nuevamente a los expertos para recabar

comentarios adicionales. En pocas rondas de este proceso se puede

lograr el consenso. La técnica Delphi ayuda a reducir sesgos en los datos

y evita que cualquier persona ejerza influencias indebidas en el

resultado.

Entrevistas:

La realización de entrevistas a los participantes experimentados del

proyecto, a los interesados y a los expertos en la materia ayuda a

identificar los riesgos.

Pág. 13





3.2.7.3. Análisis Con Lista de Verificación

Las listas de verificación para la identificación de riesgos se desarrollan

sobre la base de la información histórica y del conocimiento acumulado a

partir de proyectos anteriores similares y de otras fuentes de información.

Si bien una lista de verificación puede ser rápida y sencilla, es importante

elaborar una lista exhaustiva, y se debe tener cuidado para asegurar que

la lista de verificación no sea utilizada para evitar el esfuerzo de una

adecuada identificación de riesgos. El equipo también debe explorar

elementos que no aparecen en la lista de verificación.

Además la lista de verificación se debe depurar de vez en cuando para

eliminar o archivar elementos relacionados. La lista de verificación debe

revisarse durante el cierre del proyecto para incorporar nuevas lecciones

aprendidas a fin de mejorarla para poder usarla en proyectos futuros.

3.2.7.4. Análisis de supuestos

Cada proyecto y su plan conciben y desarrollan sobre la base de un

conjunto de hipótesis, escenarios o supuestos. El análisis de supuestos

explora la validez de los supuestos según se aplican al proyecto,

identifican los riesgos del proyecto relacionados con el carácter inexacto,

inestable, inconsistente o incompleto de los supuestos.

3.2.7.5. Identificación de Riesgos Basados en Taxonomía

Este método de identificación de riesgos ha sido desarrollado por el

Instituto de Ingeniería de Software (SEI por sus siglas en ingles). El

método está basado en la taxonomía de riesgos para proyectos de

desarrollo de software, la cual sirve como marco de trabajo para organizar

y estudiar la amplitud de los problemas y asuntos inherentes a estos

Pág. 14





proyectos, y por lo tanto provee una estructura para dar organización y

facilitar la compresión de los riesgos.

El proceso de identificación de riesgos consiste en un cuestionario basado

en la taxonomía. La taxonomía organiza los riesgos de desarrollo de

software en 3 niveles – clases, elementos y atributos. El cuestionario

basado en taxonomía (TBQ basado por sus siglas en inglés) consiste en

elaborar preguntas debajo de cada atributo designado para obtener el

rango de riesgos y problemas potenciales que afectan un producto de

software. La aplicación de este proceso esta designada de manera que el

cuestionario pueden ser aplicados de manera práctica y eficiente, con el

propósito de descubrir e identificar los riesgos del proyecto.

El TBQ es un método semi estructurado. Las preguntas y su secuencia

son utilizadas como una guía pero como una limitación. Las preguntas se

han desarrollado de manera que permita el desarrollo de una discusión de

manera natural. En efecto, el método TBQ puede ser considerado como

una tormenta de ideas estructurada.

En el centro del método de identificación se encuentra la taxonomía de

desarrollo de software. Como se mencionó anteriormente la taxonomía

provee un marco de trabajo para organizar y estudiar la amplitud o rango

de problemas potenciales que se pueden presentar en proyectos de

desarrollo de software.

La Taxonomía está organizada en 3 clases principales:

Ingeniería del Producto: Los aspectos técnicos del trabajo a

realizar.

Ambiente de Desarrollo: Los métodos, procedimientos y

herramientas a utilizar para producir el producto.

Restricciones del Producto: Factores contractuales,

organizacionales y operacionales dentro de los cuales el software es

Pág. 15





desarrollado pero los cuales están generalmente fuera de control

directo de la gerencia del proyecto.

3.2.8. Realizar el análisis cualitativo de Riesgos

Realizar el Análisis Cualitativo de Riesgos es el proceso de priorizar riesgos para

análisis o acción posterior, evaluando y combinando la probabilidad de ocurrencia

e impacto de dichos riesgos. El beneficio clave de este proceso es que permite a

los directores de proyecto reducir el nivel de incertidumbre y concentrarse en los

riesgos de alta prioridad.

Realizar el Análisis Cualitativo de Riesgos evalúa la prioridad de los riesgos

identificados a través de la probabilidad relativa de ocurrencia, del impacto

correspondiente sobre los objetivos del proyecto si los riesgos llegaran a

presentarse, así como de otros factores, tales como el plazo de respuesta y la

tolerancia al riesgo por parte de la organización, asociados con las restricciones

del proyecto en términos de costo, cronograma, alcance y calidad.

Realizar el Análisis Cualitativo de Riesgos es por lo general un medio rápido y

económico de establecer prioridades para Planificar la Respuesta a los Riesgos y

sienta las bases para Realizar el Análisis Cuantitativo de Riesgos.

3.2.8.1. Evaluación de Probabilidad e Impacto de los Riesgos

La evaluación de la probabilidad de los riesgos estudia la probabilidad

de ocurrencia de cada riesgo específico. La evaluación del impacto de

los riesgos estudia el efecto potencial de los mismos sobre un objetivo

del proyecto, tal como el cronograma, el costo, la calidad o el

desempeño, incluidos tanto los efectos negativos en el caso de las

amenazas, como los positivos, en el caso de las oportunidades.

Para cada uno de los riesgos identificados, se evalúan la probabilidad y

el impacto. Los riesgos se pueden evaluar a través de entrevistas o

Pág. 16





reuniones con participantes seleccionados por estar familiarizados con

las categorías de riesgo.

Durante estas entrevistas o reuniones, se evalúan el nivel de

probabilidad de cada riesgo y su impacto sobre cada objetivo del

proyecto. También se registran los detalles explicativos, incluidos los

supuestos que justifican los niveles asignados. Las probabilidades e

impactos de los riesgos se califican de acuerdo con las definiciones

proporcionadas en el plan de gestión de los riesgos. Los riesgos con una

baja calificación en cuanto a probabilidad e impacto se incluirán en el

registro de riesgos como parte de una lista de observación para su futuro

monitoreo.

3.2.8.2. Matriz de Probabilidad e Impacto

La Matriz de probabilidad e impacto permite una evaluación de la

importancia de los riesgo de su prioridad de atención visualiza los riesgos

en combinaciones de probabilidad e impacto, clasificándolos con una

prioridad baja, moderado o alta.

Cada riesgo se califica de acuerdo con su probabilidad de ocurrencia y

con el impacto sobre un objetivo, en caso de que se materialice. La

organización debe determinar qué combinaciones de probabilidad e

impacto dan lugar a una clasificación de riesgo alto, riesgo moderado y

riesgo bajo. En una matriz en blanco y negro, estas condiciones se

presentan mediantes diferentes tonalidades de gris:

El área gris oscuro (con las cifras más altas) representa un riesgo

alto.

El área gris intermedio (con las cifras más bajas) representa un

riesgo bajo.

El área gris claro (con las cifras intermedias) representa el riesgo

moderado.

Pág. 17





La calificación de los riesgos ayuda a definir las respuestas a los mismos.

Por ejemplo, los riesgos que tienen un impacto negativo sobre los

objetivos, conocidos como amenazas cuando se materializan, y que se

encuentran en la zona de riesgo alto (gris oscuro) de la matriz, pueden

requerir prioridad en la acción y estrategias de respuesta agresivas. Las

amenazas que se encuentran en la zona de riesgo bajo (gris intermedio)

pueden no requerir una acción de gestión proactiva, más allá de ser

incluidas en el registro de riesgos como parte de la lista de observación o

de ser agregadas a una reserva para contingencias. Lo mismo ocurre para

las oportunidades, debe darse prioridad a las oportunidades que se

encuentran en la zona de riesgo alto (gris oscuro), ya que se pueden

obtener más fácilmente y proporcionar mayores beneficios. Las

oportunidades en la zona de riesgo bajo (gris intermedio) deben

monitorearse.

3.2.8.3. Categorización de Riesgos

Los riesgos del proyecto se pueden categorizar por fuentes de riesgo

(p.ej., utilizando la RBS), por área del proyecto afectada (p.ej., utilizando

la EDT/WBS) o por otras categorías útiles (p.ej., fase del proyecto) a fin

de determinar qué áreas del proyecto están más expuestas a los efectos

de la incertidumbre. Los riesgos también se pueden categorizar por

causas raíces comunes. Esta técnica ayuda a determinar los paquetes de

trabajo, las actividades, las fases del proyecto o incluso los roles del

proyecto que pueden conducir al desarrollo de respuestas eficaces frente

al riesgo.

3.2.8.4. Evaluación de la Urgencia de los Riesgos

Los riesgos que requieren respuestas a corto plazo pueden ser

considerados de atención más urgente. Entre los indicadores de prioridad

se pueden incluir la probabilidad de detectar el riesgo, el tiempo para dar

una respuesta a los riesgos, los síntomas y las señales de advertencia, y

la calificación del riesgo. En algunos análisis cualitativos, la evaluación de

la urgencia de un riesgo se combina con la calificación del riesgo obtenida

Pág. 18





a través de la matriz de probabilidad e impacto para obtener una

calificación final de la severidad del riesgo.

Como resultado de este proceso de Realizar el Análisis Cualitativo de

Riesgos se obtiene:

Actualizaciones de los documentos:

Actualizaciones al registro de riesgos. A medida que se dispone de

nueva información a través de la evaluación cualitativa de riesgos, se va

actualizando el registro de riesgos. Las actualizaciones al registro de

riesgos pueden incluir evaluaciones de probabilidad e impacto para cada

riesgo, clasificación y calificación de riesgos, información de la urgencia

o categorización de los riesgos, así como una lista de observación para

los riesgos de baja probabilidad o que requieren análisis adicional.

Actualizaciones al registro de supuestos. A medida que se dispone

de nueva información a través de la evaluación cualitativa de riesgos, los

supuestos pueden cambiar. Es preciso revisar el registro de supuestos

para dar cabida a esta nueva información. Los supuestos se pueden

incorporar en el enunciado del alcance del proyecto o en un registro de

supuestos independiente.

3.2.9. Realizar el Análisis Cuantitativo de Riesgos

Realizar el Análisis Cuantitativo de Riesgos es el proceso de analizar

numéricamente el efecto de los riesgos identificados sobre los objetivos generales

del proyecto. El beneficio clave de este proceso es que genera información

cuantitativa sobre los riesgos para apoyar la toma de decisiones a fin de reducir

la incertidumbre del proyecto.

El proceso Realizar el Análisis Cuantitativo de Riesgos se aplica a los riesgos

priorizados mediante el proceso Realizar el Análisis Cualitativo de Riesgos por

tener un posible impacto significativo sobre las demandas concurrentes del

proyecto.

Pág. 19





Figura N°2: Realizar el Análisis Cuantitativo de Riesgos: Entradas, Herramientas y Técnicas, y Salidas

Fuente: PMBOK- Guía 5

En algunos casos puede que no sea posible llevar a cabo el proceso Realizar

el Análisis Cuantitativo de Riesgos debido a la falta de datos suficientes para

desarrollar los modelos adecuados. El director del proyecto debe utilizar el juicio

de expertos para determinar la necesidad y la viabilidad del análisis cuantitativo

de riesgos. La disponibilidad de tiempo y presupuesto, así como la necesidad

de declaraciones cualitativas o cuantitativas acerca de los riesgos y sus

impactos, determinarán qué método o métodos emplear para un determinado

proyecto. El proceso Realizar el Análisis Cuantitativo de Riesgos debe

repetirse, según las necesidades, como parte del proceso Controlar los

Riesgos, para determinar si se ha reducido satisfactoriamente el riesgo global

del proyecto. Las tendencias pueden indicar la necesidad de una mayor o

menor atención a las actividades adecuadas en materia de gestión de riesgos.

Para realizar el Análisis Cuantitativo de Riesgos se utilizan Técnicas y

herramientas

3.2.9.1. Realizar el Análisis Cuantitativo de Riesgos: Herramientas y

Técnicas

3.2.9.1.1. Técnicas de Recopilación y Representación de Datos

Entrevistas. Las técnicas de entrevistas se basan en la

experiencia y en datos históricos para cuantificar la probabilidad y

Pág.20





el impacto de los riesgos sobre los objetivos del proyecto. La

información necesaria depende del tipo de distribuciones de

probabilidad que se vayan a utilizar. Por ejemplo, para algunas

distribuciones comúnmente usadas, la información se podría

recopilar agrupándola en escenarios optimistas (bajo), pesimistas

(alto) y más probables.

Distribuciones de probabilidad. Las distribuciones continuas de

probabilidad, utilizadas ampliamente en el modelado y simulación,

representan la incertidumbre en valores tales como las duraciones

de las actividades del cronograma y los costos de los componentes

del proyecto. Las distribuciones discretas pueden emplearse para

representar eventos inciertos, como el resultado de una prueba o

un posible escenario en un árbol de decisiones

3.2.9.1.2. Técnicas de Análisis Cuantitativo de Riesgos y de Modelado

Las técnicas comúnmente utilizadas recurren tanto a los análisis

orientados a eventos como a los orientados a proyectos, e incluyen:

Análisis de sensibilidad. El análisis de sensibilidad ayuda a

determinar qué riesgos tienen el mayor impacto potencial en el

proyecto. Ayuda a comprender la correlación que existe entre las

variaciones en los objetivos del proyecto y las variaciones en las

diferentes incertidumbres. Por otra parte, evalúa el grado en que

la incertidumbre de cada elemento del proyecto afecta al objetivo

que se está estudiando cuando todos los demás elementos

inciertos son mantenidos en sus valores de línea base.

Análisis del valor monetario esperado. El análisis del valor

monetario esperado (EMV) es un concepto estadístico que

calcula el resultado promedio cuando el futuro incluye

Pág.21





escenarios que pueden ocurrir o no (es decir, análisis bajo

incertidumbre).

Juicio de Expertos

El juicio de expertos (que idealmente recurre a expertos con

experiencia relevante y reciente) se requiere para identificar los

impactos potenciales sobre el costo y el cronograma, para

evaluar la probabilidad y definir las entradas tales como las

distribuciones de probabilidad a las herramientas.

3.2.9.1.3. Realizar el Análisis Cuantitativo de Riesgos: Salidas

Actualizaciones a los Documentos del Proyecto

Los documentos del proyecto se actualizan con la información

resultante del análisis cuantitativo de riesgos. Por ejemplo, las

actualizaciones al registro de riesgos podrían incluir:

• Análisis probabilístico del proyecto. Se realizan

estimaciones de los resultados potenciales del cronograma y

costos del proyecto, enumerando las fechas de conclusión y

los costos posibles con sus niveles de confianza asociados.

Esta salida, a menudo expresada como una distribución de

frecuencia acumulativa, se utiliza con las tolerancias al riesgo

de los interesados para permitir la cuantificación de las

reservas para contingencias de costo y tiempo. Dichas

reservas para contingencias son necesarias para reducir el

riesgo de desviación con respecto a los objetivos establecidos

para el proyecto a un nivel aceptable para la organización.

Probabilidad de alcanzar los objetivos de costo y tiempo.

Con los riesgos que afronta el proyecto, se puede estimar la

probabilidad de alcanzar los objetivos del proyecto de acuerdo

Pág.22





con el plan actual utilizando los resultados del análisis

cuantitativo de riesgos.

• Lista priorizada de riesgos cuantificados. Esta lista incluye

los riesgos que representan la mayor amenaza o suponen la

mayor oportunidad para el proyecto. Se incluyen los riesgos

que pueden tener el mayor efecto en las contingencias de

costos y aquéllos que tienen mayor probabilidad de influir en

la ruta crítica. En algunos casos, estos riesgos pueden

evaluarse mediante un diagrama con forma de tornado, el

cual se genera como resultado del análisis de simulación.

•Tendencias en los resultados del análisis cuantitativo de

riesgos. Conforme se repite el análisis, puede hacerse

evidente una tendencia que lleve a conclusiones que afecten

las respuestas a los riesgos. La información histórica de la

organización relativa al cronograma, al costo, a la calidad y al

desempeño del proyecto debe reflejar los nuevos

conocimientos adquiridos a través del proceso Realizar el

Análisis Cuantitativo de Riesgos. Dicho historial puede

adoptar la forma de un informe de análisis cuantitativo de

riesgos. Este informe se puede presentar de manera

independiente o vinculada con el registro de riesgos.

3.2.10. Planificar La Respuesta a Los Riesgos

Este proceso desarrolla las opciones y acciones para mejorar las oportunidades

y reducir las amenazas a los objetos del proyecto. Se realiza después de los

procesos Realizar el Análisis Cualitativo de Riesgos y Realizar el Análisis

Cuantitativo de Riesgos (en el caso que este se aplique).

Incluye la identificación y asignación de una persona (el “propietario de la

respuesta a los riesgos”) para que asuma la responsabilidad de cada respuesta

a los riesgos acordada y financiada. El Proceso Planificar la Respuesta a los

Pág.23





riesgos aborda los riesgos en función de su prioridad, introduciendo recursos y

actividades en el presupuesto, el cronograma y el plan para la dirección del

Proyecto. Según requiera.

La respuesta a los riesgos planificados deben ser congruentes a con la

importancia del riesgo, tener un coste efectivo en relación al desafío, ser

aplicadas a su debido tiempo, ser realistas dentro del contexto del Proyecto,

estar acordadas por todas las partes implicadas, y a cargo de una persona

responsable. A menudo es necesario seleccionar la mejor respuesta a los

riesgos entre varias opciones. La sección planificación de la respuesta a los

riesgos presenta los enfoques comúnmente usados para planificar la respuesta

a los riesgos. Los riesgos incluyen las amenazas y las oportunidades que pueden

afectar al éxito del Proyecto, y se discuten las respuestas para cada una de ellas.

3.2.10.1. Herramientas y Técnicas

Existen varias estrategias de respuesta a los riesgos. Para cada riesgo, se

debe seleccionar la estrategia o la combinación de estrategias con mayor

probabilidad de eficacia.

Se pueden utilizar herramientas de análisis de riesgos, tales como el análisis

mediante árbol de decisiones, para seleccionar las respuestas más

adecuadas. Se desarrollan acciones específicas para implementar esa

estrategia, incluidas estrategias principales y de refuerzo, según sea

necesario.

3.2.10.1.1. Estrategias para Riesgos Negativos o Amenazas

Las tres estrategias que normalmente abordan las amenazas o los

riesgos que pueden tener impactos negativos sobre los objetivos del

proyecto en caso de materializarse, son: evitar, transferir y mitigar.

Evitar. Evitar el riesgo es una estrategia de respuesta a los riesgos

según la cual el equipo del proyecto actúa para eliminar la amenaza o

Pág.24





para proteger al proyecto de su impacto. Por lo general implica cambiar

el plan para la dirección del proyecto, a fin de eliminar por completo la

amenaza.

Transferir. Transferir el riesgo es una estrategia de respuesta a los

riesgos según la cual el equipo del proyecto traslada el impacto de una

amenaza a un tercero, junto con la responsabilidad de la respuesta. La

transferencia de un riesgo simplemente confiere a una tercera parte la

responsabilidad de su gestión; no lo elimina. La transferencia no implica

que se deje de ser el propietario del riesgo por el hecho de transferirlo

a un proyecto posterior o a otra persona sin su conocimiento o

consentimiento.

Mitigar. Mitigar el riesgo es una estrategia de respuesta a los riesgos

según la cual el equipo del proyecto actúa para reducir la probabilidad

de ocurrencia o impacto de un riesgo. Implica reducir a un umbral

aceptable la probabilidad y/o el impacto de un riesgo adverso.

Aceptar. Aceptar el riesgo es una estrategia de respuesta a los

riesgos según la cual el equipo del proyecto decide reconocer el riesgo

y no tomar ninguna medida a menos que el riesgo se materialice.

3.2.10.1.2. Estrategias para Riesgos Positivos u Oportunidades

Tres de las cuatro respuestas se sugieren para tratar riesgos con

impactos potencialmente positivos sobre los objetivos del proyecto.

Explotar. La estrategia de explotar se puede seleccionar para los

riesgos con impactos positivos, cuando la organización desea

asegurarse de que la oportunidad se haga realidad. Esta estrategia

busca eliminar la incertidumbre asociada con un riesgo a la alza en

Pág.25





particular, asegurando que la oportunidad definitivamente se

concrete.

Mejorar. La estrategia de mejorar se utiliza para aumentar la

probabilidad y/o los impactos positivos de una oportunidad.

Aceptar. Aceptar una oportunidad es estar dispuesto a aprovechar la

oportunidad si se presenta, pero sin buscarla de manera activa.

3.3. Metodologías para Análisis de Riesgo

Existen multitud de metodologías que nos pueden facilitar la realización de un

análisis de riesgos.

Estas metodologías nos indican los pasos a seguir para su correcta ejecución, ya

que, como hemos visto, suelen ser muy complejos y tienen multitud de variables.

Utilizar una herramienta para llevar a cabo el análisis de riesgos facilita su

elaboración y permite realizar las labores de manera más sistemática. Esto facilita

que la información resultante sea reutilizable y comparable con resultados de

sucesivos análisis.

Algunas de estas metodologías son:

Citicus One: software comercial de Citicus, implementa el método FIRM del

Foro de Seguridad de la Información;

CRAMM: “CCTA Risk Assessment and Management Methodology” fue

originalmente desarrollado para uso del gobierno de UK pero ahora es

propiedad de Siemens;

ISO TR 13335: fue el precursor de la ISO/IEC 27005;

MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información” está disponible tanto en español como en inglés.

OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation”

Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT;

NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una

perspectiva organizacional”;

Pág.26





NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología

de la Información, es gratuito;

Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF

(Club de la Sécurité de l'Information Français);

AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia

y Nueva Zelanda y ampliamente utilizada en todo el mundo.

Las Metodologías anteriores se puede decir o aclarar que en si buscan lo mismo,

analizar los riesgos informáticos en una compañía u organización.

3.1.1 La metodología OCTAVE está compuesta en tres fases:

1. Visión de organización: Donde se definen los siguientes elementos:

activos, vulnerabilidades de organización, amenazas, exigencias de

seguridad y normas existentes.

2. Visión tecnológica: se clasifican en dos componentes o elementos:

componentes claves y vulnerabilidades técnicas.

3. Planificación de las medidas y reducción de los riesgos: se clasifican en

los siguientes elementos: evaluación de los riesgos, estrategia de protección,

ponderación de los riesgos y plano de reducción de los riesgos.

3.3.2 La Metodología NIST SP 800-30 está compuesta por 9 pasos básicos para

el análisis de riesgo:

1. Caracterización del sistema.

2. Identificación de amenazas.

3. Identificación de vulnerabilidades.

4. Control de análisis.

5. Determinación del riesgo.

6. Análisis de impacto.

7. Determinación del riesgo.

8. Recomendaciones de control.

9. Resultado de la implementación o documentación.

Pág.27





Como podemos ver en los enunciados anteriores de las metodologías, podemos

sacar varias conclusiones. Una de ellas es que todas las metodologías para el

análisis de riesgo siempre están en busca de realizar un buen análisis de riesgo.

Pero la diferencia es que cada metodología maneja sus propios conceptos y una

forma diferente de adquirir un análisis de riesgo. En si todas las metodologías hacen

lo mismo pero con diferente estructura a la hora de realizar un análisis de riesgo.

3.2 INTRODUCCION METODOLOGÍA MAGERIT

Para lograr un buen nivel de seguridad se utilizará una metodología que es

necesaria para realizar un plan de seguridad, la cual nos ayuda a realizar el análisis

y gestión de riesgos, hablamos de la metodología MAGERIT (Metodología de

Análisis y Gestión de Riesgos de IT).

La Metodología MAGERIT fue desarrollada por el Consejo Superior de

Administración Electrónica (CSAE), y publicada por el Ministerio de

Administraciones Publica (MAP) encargado de la preparación, elaboración,

desarrollo y aplicación de la política informática del Gobierno Español.

La primera versión se publicó en 1997, la segunda en el 2005 y la versión vigente

en la actualidad es la versión 3.0, publicada en 2012. Se trata de una metodología

abierta, de uso muy extendido en el ámbito español, y de uso obligatorio por parte

de la Administración Pública Española.

Dispone de una herramienta de soporte, PILAR (Proceso Informático-Lógico para

el Análisis y la gestión de Riesgos), de uso gratuito para la Administración Pública

española y comercial para organizaciones privadas.

La Metodología consta de tres volúmenes:

• Volumen I – Método, es el volumen principal en el que se explica

detalladamente la metodología.

Pág.28





• Volumen II – Catalogo de Elementos, complementa el volumen principal

proporcionando diversos inventarios de utilidad en la aplicación de la

metodología. Los inventarios que incluye son:

Tipos de Activos

Dimensiones y Criterios de Valoración

Amenazas

Salvaguardas

• Volumen III – Guía de Técnicas, complementa el volumen principal

proporcionando una introducción de algunas técnicas a utilizar en las

distintas fases del análisis de riesgos. Las técnicas que recoge son:

Técnicas específicas para el análisis de riesgos:

Análisis mediante tablas

Análisis algorítmico

Arboles de ataque

Técnicas Generales:

Análisis coste-beneficio

Diagrama de Flujo de Datos (DFD)

Diagrama de Procesos

Técnicas Graficas

Planificación de Proyectos

Sesiones de trabajo: entrevistas, reuniones y presentaciones

Valoración Delphi

La Metodología MAGERIT se puede resumir gráficamente de la siguiente

forma:

Pág.29





Figura Nº 03: Metodología

Fuente: Magerit Libro I-Método

3.4.1 MAGERIT

El CSAE ha elaborado y promueve MAGERIT como respuesta a la percepción

de que la Administración Pública (y en general toda la sociedad) depende de

forma creciente de los sistemas de in-formación para alcanzar sus objetivos.

El uso de tecnologías de la información y comunicaciones (TIC) supone unos

beneficios evidentes para los ciudadanos; pero también da lugar a ciertos

riesgos que deben gestionarse prudentemente con medidas de seguridad que

sustenten la confianza de los usuarios de los servicios.

Siguiendo la terminología de la normativa ISO 31000, MAGERIT responde a

lo que se denomina “Proceso de Gestión de los Riesgos”, sección 4.4

(“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión

de Riesgos”. En otras palabras, MAGERIT implementa el Proceso de Gestión

de Riesgos dentro de un marco de trabajo para que los órganos de gobierno

tomen decisiones teniendo en cuenta los riesgos derivados del uso de

tecnologías de la información.

Interesan por su

Activos

Amenazas

Salvaguardas

Están expuestos a

Valor

Impacto

residual

Riesgo

residual

Degradación

residual

Frecuencia

residual

Causan una cierta

Con una cierta

Pág.30





Figura N° 04: ISO 31000 - Marco de trabajo para la gestión de riesgos

Fuente: Magerit, Libro I-Método

Magerit persigue los siguientes objetivos:

Directos:

1. Concienciar a los responsables de las organizaciones de información de

la existencia de riesgos y de la necesidad de gestionarlos

2. Ofrecer un método sistemático para analizar los riesgos derivados del

uso de tecnologías de la información y comunicaciones (TIC)

3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los

riesgos bajo control.

Indirectos:

Preparar a la Organización para procesos de evaluación, auditoría,

certificación o acreditación, según corresponda en cada caso.

También se ha buscado la uniformidad de los informes que recogen los

hallazgos y las conclusiones de las actividades de análisis y gestión de

riesgos:

4.2 Mandato y

Compromiso 3. Principios

4.4 Implementación de

la gestión de riesgos

4.3 Diseño del

marco de trabajo

4.6. Mejora

Continua del marco

4.3 Seguimiento y

revisión del

marco MAGERIT

Pág.31





Modelo de valor: Caracterización del valor que representan los

activos para la Organización así como de las dependencias entre

los diferentes activos.

Mapa de riesgos: Relación de las amenazas a que están

expuestos los activos.

Declaración de aplicabilidad: Para un conjunto de salvaguardas,

se indica sin son de aplicación en el sistema de información bajo

estudio o si, por el contrario, carecen de sentido.

Evaluación de salvaguardas: Evaluación de la eficacia de las

salvaguardas existentes en relación al riesgo que afrontan.

Estado de riesgo: Caracterización de los activos por su riesgo

residual; es decir, por lo que puede pasar tomando en

consideración las salvaguardas desplegadas.

Informe de insuficiencias: Ausencia o debilidad de las

salvaguardas que aparecen como oportunas para reducir los

riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del

sistema, entendidas como puntos débilmente protegidos por los

que las amenazas podrían materializarse.

Cumplimiento de normativa: Satisfacción de unos requisitos.

Declaración de que se ajusta y es conforme a la normativa

correspondiente.

Plan de seguridad: Conjunto de proyectos de seguridad que

permiten materializar las decisiones de tratamiento de riesgos.

3.4.2 El Análisis y Tratamiento de Riesgos en su Contexto

Las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas

sino que se encajan en la actividad continua de gestión de la seguridad.

El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de

protegido se encuentra el sistema. En coordinación con los objetivos, estrategia

y política de la Organización, las actividades de tratamiento de los riesgos

permiten elaborar un plan de seguridad que, implantado y operado, satisfaga

Pág.32





los objetivos propuestos con el nivel de riesgo que acepta la Dirección. Al

conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos.

La implantación de las medidas de seguridad requiere una organización

gestionada y la participación informada de todo el personal que trabaja con el

sistema de información. Es este personal el responsable de la operación diaria,

de la reacción ante incidencias y de la monitorización en general del sistema

para determinar si satisface con eficacia y eficiencia los objetivos propuestos.

Este esquema de trabajo debe ser repetitivo pues los sistemas de información

rara vez son inmutables; más bien se encuentran sometidos a evolución

continua tanto propia (nuevos activos) como del entorno (nuevas amenazas),

lo que exige una revisión periódica en la que se aprende de la experiencia y se

adapta al nuevo contexto.

El análisis de riesgos proporciona un modelo del sistema en términos de

activos, amenazas y salvaguardas, y es la piedra angular para controlar todas

las actividades con fundamento. La fase de tratamiento estructura las acciones

que se acometen en materia de seguridad para satisfacer las necesidades

detectadas por el análisis.

Los sistemas de gestión de la seguridad de la información (SGSI) [ISO 27001]

formalizan cuatro etapas cíclicas:

Figura N° 05: Ciclo PDCA Fuente: Magerit, Libro I-Método

Do

Planificación

Implementació

n y operación Mantenimient

o y mejora

Monitorización

y evaluación

Observar a

los demás

Plan

Chec

k

Pág.33





El análisis de riesgos es parte de las actividades de planificación, donde se toman

decisiones de tratamiento. Estas decisiones se materializan en la etapa de

implantación, donde conviene desplegar elementos que permitan la monitorización

de las medidas desplegadas para poder evaluar la efectividad de las mismas y

actuar en consecuencia, dentro de un círculo de excelencia o mejora continua

Incidencias y Recuperación

Las personas involucradas en la utilización y operación del sistema deben ser

conscientes de su papel y relevancia continua para prevenir problemas y

reaccionar cuando se produzcan. Es importante crear una cultura de

responsabilidad donde los potenciales problemas, detectados por los que están

cercanos a los activos afectados, puedan ser canalizados hacia los puntos de

decisión. De esta forma el sistema de seguridad responderá con presteza a las

circunstancias de cada momento.

Cuando se produce una incidencia, el tiempo empieza a correr en contra del

sistema: su supervivencia depende de la agilidad y corrección de las actividades

de reporte y reacción. Cualquier error, imprecisión o ambigüedad en estos

momentos críticos, se ve amplificado convirtiendo lo que podía ser un mero

incidente en un desastre.

Conviene aprender continuamente, tanto de los éxitos como de los fracasos, e

incorporar lo que vamos aprendiendo al proceso de gestión de riesgos. La madurez

de una organización se refleja en la pulcritud y realismo de su modelo de valor y,

consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde

medidas técnicas hasta una óptima organización.

3.4.3 Realización del Análisis y del Tratamiento

Hay dos grandes tareas a realizar:

Análisis de riesgos,

Que permite determinar qué tiene la Organización y estimar lo que podría

pasar.

Pág.34





Tratamiento de los riesgos,

Que permite organizar la defensa concienzuda y prudente, defendiendo

para que no pase nada malo y al tiempo estando preparados para atajar

las emergencias, sobrevivir a los incidentes y seguir operando en las

mejores condiciones; como nada es perfecto, se dice que el riesgo se

reduce a un nivel residual que la Dirección asume.

Ambas actividades, análisis y tratamiento se combinan en el proceso

denominado Gestión de Riesgos.

Figura N° 06. Gestión de Riesgos Fuente: Magerit, Libro I-Método

El análisis de riesgos considera los siguientes elementos:

1. Activos, que son los elementos del sistema de información (o

estrechamente relacionados con este) que soportan la misión de la

Organización

2. Amenazas, que son cosas que les pueden pasar a los activos

causando un perjuicio a la Organización

3. Salvaguardas (o contra medidas), que son medidas de protección

desplegadas para que aquellas amenazas no causen [tanto] daño.

Con estos elementos se puede estimar:

1. El impacto: lo que podría pasar

2. El riesgo: lo que probablemente pase

Pág.35





El análisis de riesgos permite analizar estos elementos de forma metódica para

llegar a conclusiones con fundamento y proceder a la fase de tratamiento.

Informalmente, se puede decir que la gestión de la seguridad de un sistema de

información es la gestión de sus riesgos y que el análisis permite racionalizar

dicha gestión.

3.4.3.1 Método de Análisis de Riesgos

Conceptos Pasos a Paso

El análisis de riesgos es una aproximación metódica para determinar el

riesgo siguiendo unos pasos pautados:

1. Determinar los activos relevantes para la Organización, su interrelación

y su valor, en el sentido de qué perjuicio (coste) supondría su

degradación

2. Determinar a qué amenazas están expuestos aquellos activos

3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son

frente al riesgo.

4. Estimar el impacto, definido como el daño sobre el activo derivado de

la materialización de la amenaza.

5. Estimar el riesgo, definido como el impacto ponderado con la tasa de

ocurrencia (o expectativa de materialización) de la amenaza.

Con el objeto de organizar la presentación, se introducen los conceptos de

“impacto y riesgo potenciales” entre los pasos 2 y 3. Estas valoraciones son

“teóricas”: en el caso de que no hubiera salvaguarda alguna desplegada.

Una vez obtenido este escenario teórico, se incorporan las sal-vaguardas

del paso 3, derivando estimaciones realistas de impacto y riesgo.

La siguiente figura recoge este primer recorrido, cuyos pasos se detallan

en las siguientes secciones:

Pág.36





Figura N° 07. Elementos del Análisis de Riesgos Potenciales


3.4.3.1.1 Paso 1: Activos

Componente o funcionalidad de un sistema de información susceptible de ser

atacado deliberada o accidentalmente con consecuencias para la organización.

Incluye: información, datos, servicios, aplicaciones (software), equipos

(hardware), comunicaciones, recursos administrativos, recursos físicos y

recursos humanos.

En un sistema de información hay 2 cosas esenciales:

La información que maneja y

Los servicios que presta.

Estos activos esenciales marcan los requisitos de seguridad para todos los

demás componentes del sistema.

Subordinados a dicha esencia se pueden identificar otros activos relevantes:

Datos que materializan la información.

Servicios auxiliares que se necesitan para poder organizar el sistema.

Las aplicaciones informáticas (software) que permiten manejar los

datos.

Pág.37





Los equipos informáticos (hardware) y que permiten hospedar datos,

aplicaciones y servicios.

Los soportes de información que son dispositivos de almacenamiento

de datos.

El equipamiento auxiliar que complementa el material informático.

Las redes de comunicaciones que permiten intercambiar datos.

Las instalaciones que acogen equipos informáticos y de

comunicaciones.

Las personas que explotan u operan todos los elementos anteriormente

citados.

No todos los activos son de la misma especie. Dependiendo del tipo de activo,

las amenazas y las salvaguardas son diferentes.

Dependencias

Los activos esenciales son la información y los servicios prestados; pero estos

activos dependen de otros activos más prosaicos como pueden ser los equipos,

las comunicaciones, las instalaciones y las frecuentemente olvidadas personas

que trabajan con aquellos.

De manera que los activos vienen a formar árboles o grafos de dependencias

donde la seguridad de los activos que se encuentran más arriba en la estructura

o ‘superiores’ depende de los activos que se encuentran más abajo o ‘inferiores’.

Estas estructuras reflejan de arriba hacia abajo las dependencias, mientas que

de abajo hacia arriba la propagación del daño caso de materializarse las

amenazas.

Por ello aparece como importante el concepto de “dependencias entre activos”

o la medida en que un activo superior se vería afectado por un incidente de

seguridad en un activo inferior.

Se dice que un “activo superior” depende de otro “activo inferior” cuando las

necesidades de seguridad del superior se reflejan en las necesidades de

seguridad del inferior. O, dicho en otras palabras, cuando la materialización de

Pág.38





una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el

activo superior. Informalmente puede interpretarse que los activos inferiores son

los pilares en los que se apoya la seguridad de los activos superiores.

Aunque en cada caso hay que adaptarse a la Organización objeto del análisis,

con frecuencia se puede estructurar el conjunto de activos en capas, donde las

capas superiores dependen de las inferiores:

Activos esenciales

Información que se maneja

Servicios prestados

Servicios internos

Que estructuran ordenadamente el sistema de información

El equipamiento informático

Aplicaciones (software)

Equipos informáticos (hardware)

Comunicaciones

Soportes de información: discos, cintas, etc.

El entorno: activos que se precisan para garantizar las siguientes capas

Equipamiento y suministros: energía, climatización, etc.

Mobiliario

Los servicios subcontratados a terceros

Las instalaciones físicas

El personal

Usuarios

Operadores y administradores

Desarrolladores

Valoración

¿Por qué interesa un activo? Por lo que vale.

No se está hablando de lo que cuestan las cosas, sino de lo que valen. Si algo

no vale para nada, prescíndase de ello. Si no se puede prescindir impunemente

Pág.39





de un activo, es que algo vale; eso es lo que hay que averiguar pues eso es lo que

hay que proteger.

La valoración se puede ver desde la perspectiva de la ‘necesidad de proteger’

pues cuanto más valioso es un activo, mayor nivel de protección requeriremos en

la dimensión (o dimensiones) de seguridad que sean pertinentes.

El valor puede ser propio, o puede ser acumulado. Se dice que los activos

inferiores en un esquema de dependencias, acumulan el valor de los activos que

se apoyan en ellos.

El valor nuclear suele estar en la información que el sistema maneja y los

servicios que se prestan (activos denominados esenciales), quedando los demás

activos subordinados a las necesidades de explotación y protección de lo esencial.

Por otra parte, los sistemas de información explotan los datos para proporcionar

servicios, internos a la Organización o destinados a terceros, apareciendo una

serie de datos necesarios para prestar un servicio. Sin entrar en detalles técnicos

de cómo se hacen las cosas, el conjunto de información y servicios esenciales

permite caracterizar funcionalmente una organización. Las dependencias entre

activos permiten relacionar los demás activos con datos y servicios.

La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en

alguna escala de niveles). Los criterios más importantes a respetar son:

La homogeneidad: es importante poder comparar valores aunque sean de

diferentes dimensiones a fin de poder combinar valores propios y valores

acumulados, así como poder determinar si es más grave el daño en una

dimensión o en otra

La relatividad: es importante poder relativizar el valor de un activo en

comparación con otros activos.

Pág.40





Ambos criterios se satisfacen con valoraciones económicas (coste dinerario

requerido para “curar” el activo) y es frecuente la tentación de ponerle precio a

todo. Si se consigue, excelente. Incluso es fácil ponerle precio a los aspectos más

tangibles (equipamiento, horas de trabajo, etc.); pero al entrar en valoraciones

más abstractas (intangibles como la credibilidad de la Organización) la valoración

económica exacta puede ser escurridiza y motivo de agrias disputas entre

expertos.

Dimensiones

De un activo puede interesar calibrar diferentes dimensiones:

Su confidencialidad: ¿qué daño causaría que lo conociera quien no debe?

Esta valoración es típica de datos.

Su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto?

Esta valoración es típica de los datos, que pueden estar manipulados, ser

total o parcialmente falsos o, incluso, faltar datos.

Su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo?

Esta valoración es típica de los servicios.

En sistemas dedicados a servicios de la sociedad de la información como puedan

ser los de administración electrónica o comercio electrónico, el conocimiento de

los actores es fundamental para poder prestar el servicio correctamente y poder

perseguir los fallos (accidentales o deliberados) que pudieran darse. Así pues, en

los activos esenciales, frecuentemente es útil valorar:

La autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace

o ha hecho cada cosa?

Esta valoración es típica de servicios (autenticidad del usuario) y de los datos

(autenticidad de quien accede a los datos para escribir o, simplemente,

consultar)

La trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién

se le presta tal servicio? O sea, ¿quién hace qué y cuándo?

Pág.41





La trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién

accede a qué datos y qué hace con ellos?

Casi todas las dimensiones mencionadas anteriormente permiten una valoración

simple, cualitativa o cuantitativa. Pero hay una excepción, la disponibilidad.

No es lo mismo interrumpir un servicio una hora o un día o un mes. Puede que

una hora de detención sea irrelevante, mientras que un día sin servicio causa un

daño moderado; pero un mes detenido suponga la terminación de la actividad. Por

ello hay que saber valorar qué es lo que interesa evitar de forma que se ahorren

esfuerzos (no sólo económicos) para interrupciones de disponibilidad irrelevantes

pasando directamente a evaluar los relevantes.

3.4.3.1.2 Paso 2: Amenazas

Causa potencial de un incidente que puede causar daños a un sistema de

información o a una organización.

El siguiente paso consiste en determinar las amenazas que pueden afectar a

cada activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede

ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.

Identificación de las Amenazas

El capítulo 5 del "Catálogo de Elementos" presenta una relación de amenazas

típicas.

De origen natural

Hay accidentes naturales (terremotos, inundaciones, entre otros). Ante

esos avatares el sistema de información es víctima pasiva, pero de todas

formas tendremos en cuenta lo que puede suceder.

Del entorno (de origen industrial)

Hay desastres industriales (contaminación, fallos eléctricos, entre otros)

ante los cuales el sistema de información es víctima pasiva; pero no por

ser pasivos hay que permanecer indefensos.

Pág.42





Defectos de las aplicaciones

Hay problemas que nacen directamente en el equipamiento propio por

defectos en su diseño o en su implementación, con consecuencias

potencialmente negativas sobre el sistema. Frecuentemente se

denominan vulnerabilidades técnicas o, simplemente, ‘vulnerabilidades’.

Causadas por las personas de forma accidental

Las personas con acceso al sistema de información pueden ser causa de

problemas no intencionados, típicamente por error o por omisión.

Causadas por las personas de forma deliberada

Las personas con acceso al sistema de información pueden ser causa de

problemas intencionados: ataques deliberados; bien con ánimo de

beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios

a los legítimos propietarios.

No todas las amenazas afectan a todos los activos, sino que hay una cierta

relación entre el tipo de activo y lo que le podría ocurrir.

Valoración de las Amenazas

Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus

dimensiones, ni en la misma cuantía.

Una vez determinado que una amenaza puede perjudicar a un activo, hay que

valorar su influencia en el valor del activo, en dos sentidos:

Degradación: cuán perjudicado resultaría el [valor del] activo

Probabilidad: cuán probable o improbable es que se materialice la

amenaza

La degradación mide el daño causado por un incidente en el supuesto de que

ocurriera.

La degradación se suele caracterizar como una fracción del valor del activo y

así aparecen expresiones como que un activo se ha visto “totalmente

degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no

son intencionales, probablemente baste conocer la fracción físicamente

Pág.43





perjudicada de un activo para calcular la pérdida proporcional de valor que se

pierde. Pero cuando la amenaza es intencional, no se puede pensar en

proporcionalidad alguna pues el atacante puede causar muchísimo daño de

forma selectiva.

La probabilidad de ocurrencia es más compleja de determinar y de expresar. A

veces se modela cualitativamente por medio de alguna escala nominal:

Tabla Nº 01: Degradación del Valor.


A veces se modela numéricamente como una frecuencia de ocurrencia. Es

habitual usar 1 año como referencia, de forma que se recurre a la tasa anual

de ocurrencia15 como medida de la probabilidad de que algo ocurra. Son

valores típicos:

Tabla Nº 02: Probabilidad de Ocurrencia.


3.4.3.1.3 Determinación del Impacto

Se denomina impacto a la medida del daño sobre el activo derivado de la

materialización de una amenaza. Conociendo el valor de los activos (en varias

MA muy alta casi seguro fácil

A alta muy alto medio

M media posible difícil

B baja poco probable muy difícil

MB muy baja muy raro extremadamente difícil

MA 100 muy frecuente a diario

A 10 frecuente mensualmente

M 1 normal una vez al año

B 1/10 poco frecuente cada varios años

MB 1/100 muy poco frecuente siglos

Pág.44





dimensiones) y la degradación que causan las amenazas, es directo derivar el

impacto que estas tendrían sobre el sistema.

La única consideración que queda hacer es relativa a las dependencias entre

activos. Es frecuente que el valor del sistema se centre en la información que

maneja y los servicios que presta; pero las amenazas suelen materializarse en

los medios. Para enlazar unos con otros recurriremos al grafo de dependencias.

Impacto acumulado

Es el calculado sobre un activo teniendo en cuenta

Su valor acumulado (el propio mas el acumulado de los activos que

dependen de él)

Las amenazas a que está expuesto

El impacto acumulado se calcula para cada activo, por cada amenaza y en cada

dimensión de valoración, siendo una función del valor acumulado y de la

degradación causada.

El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre

un activo.

El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.

El impacto acumulado, al calcularse sobre los activos que soportan el peso del

sistema de información, permite determinar las salvaguardas de que hay que

dotar a los medios de trabajo: protección de los equipos, copias de respaldo,

etc.

Impacto repercutido


Su valor propio

Las amenazas a que están expuestos los activos de los que depende

El impacto repercutido se calcula para cada activo, por cada amenaza y en

cada dimensión de valoración, siendo una función del valor propio y de la

degradación causada.

Pág.45





El impacto es tanto mayor cuanto mayor es el valor propio de un activo.

El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.

El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado.

El impacto repercutido, al calcularse sobre los activos que tienen valor propio,

permite determinar las consecuencias de las incidencias técnicas sobre la

misión del sistema de información. Es pues una presentación gerencial que

ayuda a tomar una de las decisiones críticas de un análisis de riesgos: aceptar

un cierto nivel de riesgo.

Agregación de valores de impacto

Los párrafos anteriores determinan el impacto que sobre un activo tendría una

amenaza en una cierta dimensión. Estos impactos singulares pueden

agregarse bajo ciertas condiciones:

Puede agregarse el impacto repercutido sobre diferentes activos.

Puede agregarse el impacto acumulado sobre activos que no sean

dependientes entre sí, y no hereden valor de un activo superior común.

No debe agregarse el impacto acumulado sobre activos que no sean

independientes, pues ello supondría sobre ponderar el impacto al incluir

varias veces el valor acumulado de activos superiores.

Puede agregarse el impacto de diferentes amenazas sobre un mismo

activo, aunque con-viene considerar en qué medida las diferentes

amenazas son independientes y pueden ser concurrentes.

Puede agregarse el impacto de una amenaza en diferentes dimensiones.

3.4.3.1.4 Determinación del Riesgo Potencial

Se denomina riesgo a la medida del daño probable sobre un sistema.

Conociendo el impacto de las amenazas sobre los activos, es directo derivar

el riesgo sin más que tener en cuenta la probabilidad de ocurrencia.

El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una

serie de zonas a tener en cuenta en el tratamiento del riesgo (que veremos

más adelante):

Pág.46





Zona 1 – riesgos muy probables y de muy alto impacto

Zona 2 – franja amarilla: cubre un amplio rango desde situaciones

improbables y de impacto medio, hasta situaciones muy probables pero

de impacto bajo o muy bajo

Zona 3 – riesgos improbables y de bajo impacto

Zona 4 – riesgos improbables pero de muy alto impacto

Figura N° 08. El riesgo en función del impacto y la probabilidad


Riesgo acumulado


El impacto acumulado sobre un activo debido a una amenaza y

La probabilidad de la amenaza

El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada

dimensión de valoración, siendo una función del valor acumulado, la

degradación causada y la probabilidad de la amenaza. El riesgo acumulado,

al calcularse sobre los activos que soportan el peso del sistema de

información, permite determinar las salvaguardas de que hay que dotar a los

medios de trabajo: protección de los equipos, copias de respaldo, etc.

Pág.47





Riesgo repercutido


El impacto repercutido sobre un activo debido a una amenaza y

La probabilidad de la amenaza

El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada

dimensión de valoración, siendo una función del valor propio, la degradación

causada y la probabilidad de la amenaza. El riesgo repercutido, al calcularse

sobre los activos que tienen valor propio, permite determinar las

consecuencias de las incidencias técnicas sobre la misión del sistema de

información. Es pues una presentación gerencial que ayuda a tomar una de

las decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de

riesgo.

Agregación de riesgos

Los párrafos anteriores determinan el riesgo que sobre un activo tendría una

amenaza en una cierta dimensión. Estos riesgos singulares pueden agregarse

bajo ciertas condiciones:

Puede agregarse el riesgo repercutido sobre diferentes activos,

Puede agregarse el impacto acumulado sobre activos que no sean

dependientes entre sí, y no hereden valor de un activo superior común

No debe agregarse el riesgo acumulado sobre activos que no sean

independientes, pues ello supondría sobre ponderar el riesgo al incluir

varias veces el valor acumulado de activos superiores

Puede agregarse el riesgo de diferentes amenazas sobre un mismo

activo, aunque conviene considerar en qué medida las diferentes

amenazas son independientes y pueden ser concurrentes

Puede agregarse el riesgo de una amenaza en diferentes dimensiones.

3.4.3.1.5 Paso 3: Salvaguardas

En los pasos anteriores no se han tomado en consideración las salvaguardas

desplegadas. Se miden, por tanto, los impactos y riesgos a que estarían

expuestos los activos si no se protegieran en absoluto. En la práctica no es

Pág.48





frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo

que ocurriría si se retiraran las salvaguardas presentes. Se definen las

salvaguardas o contra medidas como aquellos procedimientos o mecanismos

tecnológicos que reducen el riesgo. Hay amenazas que se conjurar

simplemente organizándose adecuadamente, otras requieres elementos

técnicos (programas o equipos), otras, seguridad física y, por último, está la

política de personal.

Efecto de las salvaguardas

Las salvaguardas entran en el cálculo del riesgo de dos formas:

Reduciendo la probabilidad de las amenazas.

Se llaman salvaguardas preventivas. Las ideales llegan a impedir

completamente que la amenaza se materialice.

Limitando el daño causado.

Hay salvaguardas que directamente limitan la posible degradación,

mientras que otras permiten detectar inmediatamente el ataque para frenar

que la degradación avance. Incluso algunas salvaguardas se limitan a

permitir la pronta recuperación del sistema cuando la amenaza lo destruye.

En cualquiera de las versiones, la amenaza se materializa; pero las

consecuencias se limitan.

Figura N° 9. Elementos de Análisis del Riesgo Residual


Pág.49





3.4.3.1.6 Paso 4: Impacto Residual

Dado un cierto conjunto de salvaguardas desplegadas y una medida de la

madurez de su proceso de gestión, el sistema queda en una situación de

posible impacto que se denomina residual. Se dice que hemos modificado el

impacto, desde un valor potencial a un valor residual.

El cálculo del impacto residual es sencillo. Como no han cambiado los activos,

ni sus dependencias, sino solamente la magnitud de la degradación, se

repiten los cálculos de impacto con este nuevo nivel de degradación.

La magnitud de la degradación tomando en cuenta la eficacia de las

salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia

real.

El impacto residual puede calcularse acumulado sobre los activos inferiores,

o repercutido sobre los activos superiores.

3.4.3.1.7 Paso 5: Riesgo Residual

Dado un cierto conjunto de salvaguardas desplegadas y una medida de la

madurez de su proceso de gestión, el sistema queda en una situación de

riesgo que se denomina residual. Se dice que hemos modificado el riesgo,

desde un valor potencial a un valor residual.

El cálculo del riesgo residual es sencillo. Como no han cambiado los activos,

ni sus dependencias, sino solamente la magnitud de la degradación y la

probabilidad de las amenazas, se repiten los cálculos de riesgo usando el

impacto residual y la probabilidad residual de ocurrencia.

La magnitud de la degradación se toma en consideración en el cálculo del

impacto residual.

La magnitud de la probabilidad residual tomando en cuenta la eficacia de las

salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia

real.

El riesgo residual puede calcularse acumulado sobre los activos inferiores, o

repercutido sobre los activos superiores.

Pág.50





3.4.3.2 Formalización de las Actividades

Este conjunto de actividades tiene los siguientes objetivos:

Levantar un modelo del valor del sistema, identificando y valorando los

activos relevantes.

Levantar un mapa de riesgos del sistema, identificando y valorando las

amenazas sobre aquellos activos.

Levantar un conocimiento de la situación actual de salvaguardas.

Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto

potencial (sin salvaguardas), como el impacto residual (incluyendo el

efecto de las salvaguardas desplegadas para proteger el sistema).

Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin

salvaguardas), como el riesgo residual (incluyendo el efecto de las

salvaguardas desplegadas para proteger el sistema).

Informar de las áreas del sistema con mayor impacto y/o riesgo a fin de

que se puedan tomar las decisiones de tratamiento con motivo

justificado.

El análisis de los riesgos se lleva a cabo por medio de las siguientes

Tabla Nº 03: Método Análisis de Riesgos - MAR

MAR – Método de Análisis de Riesgos

MAR.1 – Caracterización de los activos

MAR.11 – Identificación de los activos

MAR.12 – Dependencias entre activos

MAR.13 – Valoración de los activos

MAR.2 – Caracterización de las amenazas

MAR.21 – Identificación de las amenazas

MAR.22 – Valoración de las amenazas

MAR.3 – Caracterización de las salvaguardas

MAR.31 – Identificación de las salvaguardas pertinentes

MAR.32 – Valoración de las salvaguardas

MAR.4 – Estimación del estado de riesgo

MAR.41 – Estimación del impacto

Pág.51






MAR.1: Caracterización de los activos

Esta actividad busca identificar los activos relevantes dentro del sistema a

analizar, caracterizándolos por el tipo de activo, identificando las relaciones

entre los diferentes activos, determinando en qué dimensiones de seguridad

son importantes y valorando esta importancia.

El resultado de esta actividad es el informe denominado “modelo de valor”.

Sub-tareas:

Tarea MAR.11: Identificación de los activos

Tarea MAR.12: Dependencias entre activos

Tarea MAR.13: Valoración de los activos

MAR.2: Caracterización de las amenazas

Esta actividad busca identificar las amenazas relevantes sobre el sistema a

analizar, caracterizándolas por las estimaciones de ocurrencia (probabilidad) y

daño causado (degradación).

El resultado de esta actividad es el informe denominado “mapa de riesgos”.

Sub-tareas:

Tarea MAR.21: Identificación de las amenazas

Tarea MAR.22: Valoración de las amenazas

MAR.3: Caracterización de las salvaguardas

Esta actividad busca identificar las salvaguardas desplegadas en el sistema a

analizar, calificándolas por su eficacia frente a las amenazas que pretenden

mitigar.

El resultado de esta actividad se concreta en varios informes:

Declaración de aplicabilidad

Evaluación de salvaguardas

Insuficiencias (o vulnerabilidades del sistema de protección)

Sub-tareas:

MAR.42 – Estimación del riesgo

Pág.52





Tarea MAR.31: Identificación de las salvaguardas pertinentes

Tarea MAR.32: Valoración de las salvaguardas

MAR.4: Estimación del estado de riesgo

Esta actividad procesa todos los datos recopilados en las actividades anteriores

para

Realizar un informe del estado de riesgo: estimación de impacto y riesgo

Realizar un informe de insuficiencias: deficiencias o debilidades en el

sistema de salvaguardas

Sub-tareas:

Tarea MAR.41: Estimación del impacto

Tarea MAR.42: Estimación del riesgo

Es frecuente que las tareas relacionadas con los activos (MAR.1) se realicen

concurrentemente con las tareas relacionadas con las amenazas sobre dichos

activos (MAR.2) e identificación de las salvaguardas actuales (MAR.3),

simplemente porque suelen coincidir las personas y es difícil que el interlocutor

no tienda de forma natural a tratar cada activo “verticalmente”, viendo todo lo

que le afecta antes de pasar al siguiente.

3.4.3.3 Documentación Final

Esta documentación es un fiel reflejo del estado de riesgo y de las razones

por la que este riesgo no es aceptable. Es fundamental entender las

razones que llevan a una valoración determinada de riesgo para que el

proceso de gestión de riesgos esté bien fundamentado. El proceso de

ges-tión de riesgos partirá de estas valoraciones para atajar el riesgo o

reducirlo a niveles aceptables.

Modelo de valor

Informe que detalla los activos, sus dependencias, las dimensiones

en las que son valiosos y la estimación de su valor en cada dimensión.

Pág.53





Mapa de riesgos:

Informe que detalla las amenazas significativas sobre cada activo,

caracterizándolas por su frecuencia de ocurrencia y por la

degradación que causaría su materialización sobre el activo.

Declaración de aplicabilidad:

Informe que recoge las contramedidas que se consideran apropiadas

para defender el sistema de información bajo estudio.

Evaluación de salvaguardas:

Informe que detalla las salvaguardas existentes calificándolas en su

eficacia para reducir el riesgo que afrontan.

Informe de insuficiencias o vulnerabilidades:

Informe que detalla las salvaguardas necesarias pero ausentes o

insuficientemente eficaces.

Estado de riesgo:

Informe que detalla para cada activo el impacto y el riesgo, potenciales

y residuales, frente a cada amenaza.

3.4.4 PROYECTO DE ANÁLISIS DE RIESGO (PAR)

Cuando se realiza un análisis de riesgos partiendo de cero, se consumen una

serie de recursos apreciables y conviene planificar estas actividades dentro de

un proyecto, sea interno o se sub-contrate a una consultora externa.

En esta sección se presentan las consideraciones que se deben tener en cuenta

para que este proyecto llegue a buen término.

PAR.1 – Actividades preliminares

PAR.2 – Elaboración del análisis de riesgos

PAR.3 – Comunicación de resultados

Pág.54





El proyecto de análisis de los riesgos se lleva a cabo por medio de las siguientes

tareas:

Tabla Nº 04: Proyecto de Análisis de Riesgos - PAR Fuente: Magerit, Libro I-Método

3.4.4.1 PAR 1: Actividades Preliminares

Tarea PAR 11: Estudio de Oportunidad

Se fundamenta la oportunidad de la realización, ahora, del proyecto de

análisis de riesgos, enmarcándolo en el desarrollo de las demás

actividades de la Organización.

El resultado de esta actividad es el informe denominado “preliminar”.

Tarea PAR 12: Determinación del Alcance del Proyecto

Se definen los objetivos finales del proyecto, su dominio y sus límites.

El resultado de esta actividad es un perfil de proyecto de análisis de

riesgos.

Tarea PAR 13: Planificación del Proyecto

Se determinan las cargas de trabajo que supone la realización del

proyecto. Normalmente la evolución del proyecto viene marcada por una

serie de entrevistas con los interlocutores que conocen la información

relativa a algún activo o grupo de activos del sistema bajo análisis. Se

planifican las entrevistas que se van a realizar para la recogida de

información: quiénes van a ser entrevistados. Se elabora el plan de

trabajo para la realización del proyecto.

PAR – Proyecto de Análisis de Riesgos

PAR.1 – Actividades preliminares

PAR.11 – Estudio de oportunidad

PAR.12 – Determinación del alcance del proyecto

PAR.13 – Planificación del proyecto

PAR.14 – Lanzamiento del proyecto

PAR.2 – Elaboración del análisis de riesgos

PAR.3 – Comunicación de resultados

Pág.55





En esta actividad se determinan los participantes y se estructuran los

diferentes grupos y comités para llevar a cabo el proyecto.

El resultado de esta actividad está constituido por:

Un plan de trabajo para el proyecto

Procedimientos de trabajo

Tarea PAR 14: Lanzamiento del Proyecto

Se adaptan los cuestionarios para la recogida de información

adaptándolos al proyecto presente. Para ello se parte de los criterios

establecidos dentro del Proceso de Gestión de Riesgos.

También se realiza una campaña informativa de sensibilización a los

afectados sobre las finalidades y requerimientos de su participación.

El resultado de esta actividad está constituido por:

Los cuestionarios para las entrevistas

El catálogo de tipos de activos

La relación de dimensiones de seguridad y

Los criterios de valoración

3.4.4.2 PAR 2: Elaboración del Análisis de Riesgos

Este conjunto de actividades tiene los siguientes objetivos:

Levantar un modelo del valor del sistema, identificando y valorando

los activos relevantes.

Levantar un mapa de riesgos del sistema, identificando y valorando

las amenazas sobre aquellos activos.

Levantar un conocimiento de la situación actual de salvaguardas.

Evaluar el impacto posible sobre el sistema en estudio, tanto el

impacto potencial (sin salvaguardas), como el impacto residual

(incluyendo el efecto de las salvaguardas desplegadas para proteger

el sistema).

Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin

salvaguardas), como el riesgo residual (incluyendo el efecto de las

salvaguardas desplegadas para proteger el sistema).

Pág.56





Informar de las áreas del sistema con mayor impacto y/o riesgo a fin

de que se puedan tomar las decisiones de tratamiento con motivo

justificado.

El análisis de los riesgos se lleva a cabo por medio de las siguientes

Tabla Nº 05: Método de Análisis de Riesgos - MAR


MAR.1: Caracterización de los activos

Esta actividad busca identificar los activos relevantes dentro del sistema a

analizar, caracterizándolos por el tipo de activo, identificando las relaciones

entre los diferentes activos, determinando en qué dimensiones de seguridad

son importantes y valorando esta importancia.

El resultado de esta actividad es el informe denominado “modelo de valor”.

Sub-tareas:

Tarea MAR.11: Identificación de los activos

Tarea MAR.12: Dependencias entre activos

Tarea MAR.13: Valoración de los activos

MAR – Método de Análisis de Riesgos

MAR.1 – Caracterización de los activos

MAR.11 – Identificación de los activos

MAR.12 – Dependencias entre activos

MAR.13 – Valoración de los activos

MAR.2 – Caracterización de las amenazas

MAR.21 – Identificación de las amenazas

MAR.22 – Valoración de las amenazas

MAR.3 – Caracterización de las salvaguardas

MAR.31 – Identificación de las salvaguardas pertinentes

MAR.32 – Valoración de las salvaguardas

MAR.4 – Estimación del estado de riesgo

MAR.41 – Estimación del impacto

MAR.42 – Estimación del riesgo

Pág.57





MAR.2: Caracterización de las amenazas

Esta actividad busca identificar las amenazas relevantes sobre el sistema a

analizar, caracterizándolas por las estimaciones de ocurrencia (probabilidad) y

daño causado (degradación).

El resultado de esta actividad es el informe denominado “mapa de riesgos”.

Sub-tareas:

Tarea MAR.21: Identificación de las amenazas

Tarea MAR.22: Valoración de las amenazas

MAR.3: Caracterización de las salvaguardas

Esta actividad busca identificar las salvaguardas desplegadas en el sistema a

analizar, calificándolas por su eficacia frente a las amenazas que pretenden

mitigar.

El resultado de esta actividad se concreta en varios informes:

Declaración de aplicabilidad

Evaluación de salvaguardas

Insuficiencias (o vulnerabilidades del sistema de protección)

Sub-tareas:

Tarea MAR.31: Identificación de las salvaguardas pertinentes

Tarea MAR.32: Valoración de las salvaguardas

MAR.4: Estimación del estado de riesgo

Esta actividad procesa todos los datos recopilados en las actividades anteriores

para

Realizar un informe del estado de riesgo: estimación de impacto y riesgo

Realizar un informe de insuficiencias: deficiencias o debilidades en el

sistema de salvaguardas

Sub-tareas:

Tarea MAR.41: Estimación del impacto

Tarea MAR.42: Estimación del riesgo

Es frecuente que las tareas relacionadas con los activos (MAR.1) se realicen

concurrentemente con las tareas relacionadas con las amenazas sobre dichos

Pág.58





activos (MAR.2) e identificación de las salvaguardas actuales (MAR.3),

simplemente porque suelen coincidir las personas y es difícil que el interlocutor

no tienda de forma natural a tratar cada activo “verticalmente”, viendo todo lo

que le afecta antes de pasar al siguiente.

3.4.4.3 PAR 3: Comunicación de resultados

Para el informe ejecutivo final basta destacar gráficamente los

escenarios de mayor impacto, de mayor nivel de riesgo y

combinaciones peligrosas de ambos indicadores

3.4.5 EAR (Entorno de Análisis de Riesgo)

EAR es una herramienta informática que soporta el análisis y gestión de

riesgos de un sistema de información siguiendo la metodología Magerit.

Esta herramienta está basada en otra herramienta denominada PILAR.

La diferencia entre EAR y PILAR es el público al que va destinado. Mientras

que PILAR es de uso exclusivo del Estado y las Instituciones pertenecientes

al mismo; EAR está destinada a empresas privadas y a todo aquel que

desee adquirir la licencia de la misma.

3.4.6 PILAR (Procedimiento Informático – Lógico para el Análisis de

Riesgos)

PILAR es una herramienta desarrollada bajo la especificación del CNI

(Centro Nacional de Inteligencia) para soportar el análisis de riesgos de los

sistemas de información siguiendo la metodología Magerit. En el desarrollo

de la herramienta se ha contado con la colaboración del CCN (Centro

Cristológico Nacional), estableciendo requisitos, y la Fábrica Nacional de

Moneda y Timbre.

Especificaciones

Tanto PILAR como EAR están desarrolladas en Java, pudiéndose emplear

sobre cualquier plataforma que soporte este entorno de programación, sin

Pág.59





depender de licencias de productos de terceras partes. El resultado es una

aplicación gráfica monopuesto.

La herramienta soporta todas las fases del método Magerit:

Caracterización de los activos: identificación, clasificación,

dependencias y valoración

Caracterización de las amenazas

Evaluación de las salvaguardas

La herramienta incorpora los catálogos del "Catálogo de Elementos" de

Magerit, permitiendo una homogeneidad en los resultados del análisis:

Tipos de activos

Dimensiones de valoración

Criterios de valoración

Catálogo de amenazas

Para incorporar este catálogo, EAR (así como PILAR) diferencia entre el

motor de cálculo de riesgos y la biblioteca de elementos, que puede ser

reemplazada para seguir el paso de la evolución en el tiempo de los

catálogos de elementos.

La herramienta evalúa el impacto y el riesgo, acumulado y repercutido,

potencial y residual, presentándolo de forma que permita el análisis de por

qué se da cierto impacto o cierto riesgo.

Las salvaguardas se califican por fases, permitiendo la incorporación a un

mismo modelo de diferentes situaciones temporales. Típicamente se puede

incorporar el resultado de los diferentes programas de seguridad a lo largo

de la ejecución del plan de seguridad, monitorizando la mejora del sistema.

Los resultados se presentan en varios formatos: informes RTF, gráficas y

tablas para incorporar a hojas de cálculo. De esta forma es posible elaborar

diferentes tipos de informes y presentaciones de los resultados.

Pág.60





Por último, la herramienta calcula calificaciones de seguridad siguiendo los

epígrafes de normas de iure o de facto de uso habitual. Cabe citarse:

Criterios de Seguridad, normalización y conservación

UNE-ISO/IEC 17799:2005: sistemas de gestión de la seguridad

RD 994/1999: datos de carácter personal

Así mismo hay que destacar que EAR y PILAR incorporan tanto los

modelos cualitativos como cuantitativos, pudiendo alternarse entre uno y

otro para extraer el máximo beneficio de las posibilidades teóricas de cada

uno de ellos.

Análisis Cualitativo

La herramienta permite un análisis cualitativo, de trazo grueso, utilizando

escalas simples para valorar activos, amenazas y salvaguardas.

Un análisis cualitativo se recomienda como primer paso, antes de entrar en

un análisis detallado. Dicho análisis permite:

Identificar los activos relevantes.

Identificar las amenazas relevantes.

Identificar las salvaguardas inexistentes.

Determinar los activos críticos (sujetos a máximo riesgo)

En el caso práctico analizado se emplea este análisis.

Análisis Cuantitativo

La herramienta permite un análisis cuantitativo, el cual permite:

Detallar el valor económico de los daños causados por las amenazas

sobre los activos.

Precisar la tasa esperada de ocurrencia (frecuencia).

Precisar el grado de eficacia de las salvaguardas, su coste de

implantación y de mantenimiento anual.

Precisar la justificación de un gasto en seguridad como diferencia

entre lo que cuesta protegerse (más) y lo que se arriesga perder.

Presentación del AGR en EAR

Todas las funciones de EAR están explicadas mediante la ayuda contenida

en la herramienta, la cual se presenta en formato HTML. Así mismo las

Pág.61





funciones contempladas en EAR abarcan toda la metodología Magerit,

siguiendo el proceso descrito en la metodología.

La presentación que EAR muestra al usuario se basa en la forma en que

Magerit divide cada una de las etapas. Las partes principales de la

herramienta son:

D: Proyecto

A: Análisis de Riesgos

G: Gestión de Riesgos

I: Informes

E: Calificaciones de Seguridad

Figura N° 10. EAR, Pantalla Principal Fuente: Informe de Practica Pre-Profesional Análisis de Riesgo del SI-TUPA

La relación entre EAR y Magerit es completa. Una de las razones por las que se

ha empleado Magerit como metodología AGR ha sido la existencia de EAR como

herramienta informática que facilita el proceso AGR y la consecución de todos

los hitos marcados.

Gracias a EAR el AGR es mucho más sencillo, dinámico y flexible; pudiendo en

todo momento volver a revisar un paso anterior sin tener que dar marcha atrás,

hacer el AGR de forma vertical y no horizontal (analizar una parte de los activos

Pág.62





con sus amenazas de forma independiente del resto de activos y posteriormente

volver atrás para analizar el resto de activos), ver los resultados de forma gráfica

o mediante indicadores, etc.

Figura N° 11. EAR, Etapas de Magerit Fuente: Informe de Practica Pre-Profesional Análisis de Riesgo del SI-TUPA

La parte referente a proyecto puede ser todo lo relacionado con el proceso de

planificación, mientras que los dos siguientes procesos están definidos en la

herramienta con el mismo nombre que en Magerit (A, G).

En los datos del proyecto se puede poner todo aquello referente a la gestión del

proyecto que se creó conveniente. Así por ejemplo se puede poner el nombre

del proyecto, la propietaria del mismo y/o del sistema de información analizado,

la persona que lo lleva a cabo, la versión en la que se encuentra, la fecha… o

Pág.63





cualquier otro tipo de información. El subconjunto de dimensiones a analizar se

define (selecciona) en el apartado D (Proyecto). Hay que recordar que Magerit

define siete dimensiones diferentes, las cuales se pueden tener en cuenta en el

análisis o no.

Figura N° 12. EAR, Informes Contemplados y Calificaciones evaluadas Fuente: Informe de Practica Pre-Profesional Análisis de Riesgo del SI-TUPA

Uno de los objetivos de Magerit es dar uniformidad a los informes presentados

en un AGR. EAR contempla esto, soportando la creación de todos los informes

descritos en Magerit. Los informes se obtienen desde el apartado llamado con el

mismo nombre.

EAR soporta realizar el AGR frente a tres normas de calidad:

ISO/IEC 17799:2005

Criterios de seguridad, normalización y conservación

Reglamento de medidas de seguridad

Pág.64





En el apartado criterios de valoración se puede ver en qué medida se cumplen

cada una de las normas y donde hay que mejorar el sistema.

Pág.65





IV.- CONCLUSIÓN

1. Se definió los fundamentos teóricos, tales como concepto de riesgo,

amenazas, vulnerabilidades, entre otros; que permiten tener un amplio

conocimiento de cómo realizar un análisis de riesgo.

2. Se identificó las etapas del proceso de análisis de riesgo.

3. Se logró identificar los activos, amenazas, vulnerabilidades, en un ejemplo

utilizando la metodología MAGERIT, mediante un caso práctico.

Pág.66





V. REFERENCIAS BIBLIOGRÁFICAS

Libros Digitales:

[Guía PMBOK, 2008]

Fundamentos Para la Dirección de Proyectos

Quinta Edición, 2008, 595 Pág.

[ GATT, 1994]

Acuerdo General sobre Aranceles Aduaneros y Comercio.

[GPY051, Sesión 08]

Curso de Preparación para la Certificación (PMI - RMP) ® Sesión 08,

Material de Lectura v1.

[MAGERIT – versión 2.0]

Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información -

Libro I, II, III.

[MAGERIT – versión 3.0]

Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información -

Libro I, II, III.

[Vásquez Meléndez, Willy J.]

Análisis de Riesgo del SI-TUPA – GOREL

Informe de Practica Pre-Profesional – Año 2013

Páginas Web:

[Carolina Cols]

Amenazas y Vulnerabilidades en la Informática.

Pág.67

“técnicas recomendadas para análisis de riesgo”

Documents