ndice de contenido

5. Ficha de Caracterizacin del Subproceso Gestin del Riesgo.........................................................3

5.1. Descripcin de la Actividades del procediiento ! Gestin del Riesgo"...................................5
5.# G$%AS............................................................................................................................................&
5.#.1. Generalidades 'AG(R%).....................................................................................................&
5.#.#. %denti*icacin de los Activos...............................................................................................1+
5.#.3. ,aloracin de los Activos ..................................................................................................1#
5.#.-. %denti*icacin de aenazas asociadas a los activos............................................................1-
5.#.5. %denti*icacin . valoracin de las ,ulnerabilidades ..........................................................1/
5.#.0. %denti*icacin . valorizacin de ipactos...........................................................................1/
5.#.&. (stiacin del Riesgo.........................................................................................................##
1
5. Ficha de Caracterizacin del Subproceso Gestin del
Riesgo.
#
3
5.1. Descripcin de la Actividades del procediiento !Gestin del Riesgo"
Nombre de la Actividad Descripcin Responsables
Artefactos
Relacionados
(Productos)
Guas
1. Identificacin de Activos re-
queridos para desarrollar un
proyecto de software
Los activos son los recursos del proyecto o
el software relacionados con ste, requeri-
dos y necesarios para que se alcance efi-
cientemente los objetivos propuestos, pue-
den ser de diferente tipo como el entorno,
las personas , la organizacin etc
Lder del Proyecto
Plan de Riesgos
- Generalidades Magerit
- Identificacin de los acti-
vos
- Valoracin de los Activos
2. Definicin de Criterios de va-
loracin de activos
Una vez se identifique los activos asociados
al proyecto y/o al software , se establecen
los criterios o dimensiones que permiten
evaluarlos y valorarlos.
Lder del Proyecto
3. Valoracin de activos Los criterios definidos deben valorarse en
forma cualitativa, cuantitativa o ambas me-
diante escalas trazables.
Lder del Proyecto
4. Identificacin de amenazas Este paso consiste en identificar las amena-
zas que afectan los activos relevantes que
previamente fueron valorados. Las amena-
zas son eventos o cosas que ocurren o pue-
den ocurrir y que pueden generar daos a
los activos .
Lder del Proyecto - Generalidades Magerit
- Identificacin de las ame-
nazas asociadas a los acti-
vos.
5.Identificacin de vulnerabilida-
des
Una vulnerabilidad es un estado de debili-
dad que si ocurriese se materializa una o
varias amenazas que afecta los activos del
proyecto y/o software, por lo que es indis-
pensable identificarlas, valorarlas y priorizar-
las.
Lder del Proyecto - Generalidades Magerit
- Identificacin y valoracin
de vulnerabilidades
6. Definicin de criterios y va-
loracin de vulnerabilidades
Lder del Proyecto
-
Plan de Riesgos
7. Identificacin y valoracin del
Impacto
Los impactos son los daos que se pueden
originar por la materializacin de las amena-
zas, estos se valoran de acuerdo a ciertos
criterios preestablecidos tomando en cuenta
el activo y las amenazas que lo potenciali-
zan.
Lder del Proyecto - Generalidades Magerit
- Identificacin y valoracin
de impactos
8. Estimacin y priorizacin del
riesgo a travs de la matriz de
riesgo
Al tener la valoracin de los elementos: acti-
vos, amenazas y vulnerabilidades, se desa-
rrolla la matriz de riesgos que permite con-
trarrestar vulnerabilidades e impactos, per-
mitiendo identificar, estimar, clasificar y prio-
rizar los riesgos existen en el proyecto.
Lder del Proyecto - Estimacin del Riesgo
9. Definicin de Plan de Mejora-
miento
Una vez identificados los riesgos con sus
respectivos impactos y vulnerabilidades se
procede a definir las acciones correctivas y
preventivas pertinentes que permitan mitigar
en forma proactiva las amenazas a los que
esta expuesto el proyecto.
Lder del Proyecto
- Manejo del Riesgo
10. Puesta en marcha del Plan
de Mejoramiento
Los actores responsables de las acciones
de mejora proceden a ejecutarlas de tal ma-
nera que se evidencie un mejoramiento con-
tinuo del proyecto.
Equipo de Desarrollo
11. Seguimiento del Plan de Me-
joramiento
El lder del proyecto lleva un seguimiento a
las acciones de mejora
Lder del Proyecto
12. Actualizacin del Plan de
Riesgos
El lder de proyecto constantemente actuali-
za el Plan de Riesgos con sus respectivas
acciones de mejoramiento.
Lder del Proyecto
5
5.# G$%AS
5.2.1. Generalidades MAGERIT
MAGERIT es el acrnimo de "Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin de las Administraciones Pblicas". Es un mtodo de carcter pblico elaborado por el
Consejo Superior de Informtica (CSI), rgano del Ministerio de Administraciones Pblicas (MAP),
encargado de la preparacin, elaboracin, desarrollo y aplicacin de la poltica informtica del
Gobierno Espaol.
Este metodo nace para minimizar los riesgos asociados al uso de Sistemas Informticos y
Telemticos, garantizando la autenticacin, confidencialidad, integridad y disponibilidad de dichos
sistemas y generando de este modo confianza en el usuario de los mismos.
Se persigue, por tanto, un doble objetivo:
Estudiar los riesgos asociados a un sistema de informacin y su entorno.
Recomendar las medidas necesarias para conocer, prevenir, impedir, reducir o controlar los
riesgos estudiados.
El modelo MAGERIT se apoya en 3 submodelos representados as:
0
Submdelo elementos
El Submdelo de elementos proporciona los Componentes que el Submdelo de eventos
relacionar entre s.
Componente Definicin Ejemplos
Activo
Son los recursos necesarios para que el
proyecto o relacionados con este, alcance
los objetivos propuestos
-Recurso Humano
-Recurso Tecnolgico
-Recursos Fsicos
-Informacin
Amenaza Evento que puede desencadenar un
incidente en la organizacin, produciendo
daos materiales o inmateriales en los
activos. Al materializarse se transforman en
Agresiones.
-Accidentes naturales,
industriales o humanos
-Errores y fallos intencionados
y no intencionados.
Vulnerabilidad Estado, debilidad o incapacidad de
resistencia cuando se presenta un
fenmeno amenazante y que al ser
explotado afecta el estado de los activos del
proyecto
-Disposicin desorganizada
de cables de energa y de red
-Ambientes sin proteccin
contra incendios.
Impacto Es el dao producido sobre un activo por la
materializacin de una amenaza.
-Perdidas econmicas,
-Incumplimiento de Objetivos
del Proyecto
Riesgo Es la probabilidad de que las amenazas
exploten los puntos dbiles
(vulnerabilidades), causando prdidas o
daos a los activos e impacto al proyecto o
sistema.
Medidas de
Control
Son acciones orientadas hacia la
eliminacin de vulnerabilidades, teniendo en
mira evitar que una amenaza se vuelva
realidad.
-Especificacin de puestos de
trabajo
-Formacin continua
-Configuracin de cortafuegos
&
Submdelo de Eventos
Relacin de los Elementos o componentes
1
& R ' & % ( ) A R % ' S
* ( D % D A S D ( C ' + ) R ' ,
- $ , + ( R A . % , % D A D ( S
R % ( S G '
A C ) % - ' S A * ( + A / A S
A ) A C A + ) ( S
V a l o r a n
D e s e a n M i n i m i z a r
I m p o n e n
P a r a R e d u c i r
Q u e p u e d e n t e n e r
L l e v a n a
S o b r e
I n c r e m e n t a n
S o b r e
A b u s a n d e y / o p u e d e n d a a r
D a n p i e a
o n s c i e n t e s
R e d u c i d a s p o r
! " p l o t a n
Submdelo Procesos
El Submdelo de Procesos se divide en 4 etapas
1. Planificacin : Como consideraciones iniciales para arrancar el proyecto de anlisis y gestin
de riesgos se estudia la viabilidad de desarrollarlo, se definen los objetivos que ha de cumplir
y el mbito que abarcar, especificando los medios materiales y humanos para su ejecucin.
En esta etapa se hacen estimaciones iniciales de los riesgos que pueden afectar al sistema de
informacin as como del tiempo y los recursos que su tratamiento conllevar.
2. Anlisis de riesgos: Se identifican y valoran las diversas entidades, obteniendo una
evaluacin del riesgo.
3. Gestin de riesgos: Se identifican las medidas de control reductoras del riesgo,
seleccionando los que son aceptables en funcin de las ya existentes y tomando en cuenta las
restricciones.
4. Seleccin de Medidas de Control: Se definen actividades para desarrollar el plan de
implantacin de los mecanismos de control elegidos y los procedimientos de seguimiento para
la implantacin.
5.2.2. Identificacin de los Activos
Para que el anlisis de riesgos tenga un efecto positivo y real, es necesario identificar los elementos
relevantes.
Se entiende Relevancia los puntos claves a considerar durante la realizacin del anlisis de riesgos.
Dicha relevancia ser de gran importancia para identificar el rumbo de las acciones del plan de
Riesgos.
Este paso consiste en identificar y valorar la relevancia de los activos determinantes para el proyecto.
Los activos se evalan sobre una escala de valor crtico donde se define qu tan importantes son
para cumplir con los objetivos del proyecto.
La relevancia de los activos marcar el rumbo definitivo de las acciones a seguir en el anlisis del
Riesgo.
Cuanta mayor relevancia tenga un activo o mayor es la importancia crtica, mayor ser el riesgo al que
est expuesto el proyecto en caso de ocurrir un incidente que materialice una amenaza.
Para alcanzar el objetivo de identificar la relevancia de los activos, el anlisis de riesgos debe proveer
los datos cuantitativos y cualitativos que permitan su evaluacin.
/
En la identificacin de los Activos se debern detallar las siguientes variables:
Fecha de
Identificacin
Nombre del
Activo
Tipo Valoracin
Cuantitativa
Valoracin
Cualitativa
Valoracin
Final
Los activos identificados se agruparn en el siguiente cuadro, de acuerdo al tipo de funcin que
desempean:

Tipo Definicin Ejemplo
Servicios Funcin que satisface una necesidad de los
usuarios del servicio. Para la prestacin de un
servicio los servicios aparecen como activos de un
anlisis de riesgos bien como servicios finales
(prestados por la Organizacin a terceros), bien
como servicios instrumentales (donde los usuarios
y los medios son propios), bien como servicios
contratados (a otra organizacin que los
proporciona con sus propios medios).
Servicios pblicos
prestados por la
Administracin para
satisfacer necesidades
de la colectividad
Servicios internos
prestados
Datos/ Informacin Elementos de informacin que de forma singular o
agrupados de alguna forma, representan el
conocimiento que se tiene de algo.
Los datos son el corazn que permite a una
organizacin prestar sus servicios
Base de datos
Leyes o reglamentos
Cdigo Fuente
Cdigo Ejecutable
Aplicaciones
(Software)
Este tipo se refiere a tareas que han sido
automatizadas para su desempeo por un equipo
informtico. Las aplicaciones gestionan, analizan y
transforman los datos permitiendo la explotacin de
la informacin para la prestacin de los servicios.
Programas, aplicativos,
desarrollos
Equipos informticos Dcese de los bienes materiales, fsicos, destinados
a soportar directa o indirectamente los servicios
Computador, Video
1+
( Hardware) que presta la organizacin, siendo pues
depositarios temporales o permanentes de los
datos, soporte de ejecucin de las aplicaciones
informticas o responsables del proceso o la
transmisin de datos.
Beam, Impresora
Redes de
Comunicaciones
Incluyendo tanto instalaciones dedicadas como
servicios de comunicaciones contratados a
terceros; pero siempre centrndose en que son
medios de transporte que llevan datos de un sitio a
otro.
Red Local
Internet
Red telefnica
Red inalmbrica
Soportes de
Informacin
Se consideran dispositivos fsicos que permiten
almacenar informacin de forma permanente o al
menos durante largos periodos de tiempo.
Memoria USB
Disco duro
Equipamiento Auxiliar Se consideran dispositivos fsicos que permiten
almacenar informacin de forma permanente o al
menos durante largos periodos de tiempo.
Cintas
Mobiliarios
Cajas Fuertes
Instalaciones Los lugares donde se hospedan los sistemas de
informacin y comunicaciones.
Edificio
Personal Aparecen las personas relacionadas con los
sistemas de informacin.
Administradores
Desarrolladores
5.2.3. Valoracin de los Activos
Una vez identificados los activos que estn relacionados con el proyecto de software es necesario
valorar el nivel de importancia que tienen estos en el desarrrollo del mismo, para ello se debe definir
las dimensiones o criterios bajo los cuales se van a evaluar, como por ejemplo:
- Autenticidad: qu perjuicio causara no saber exactamente quien hace o ha hecho cada cosa?
Esta valoracin es tpica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien
accede a los datos para escribir o, simplemente, consultar)
- Confidencialidad: qu dao causara que lo conociera quien no debe?
Esta valoracin es tpica de datos.
11
- Integridad: qu perjuicio causara que estuviera daado o corrupto?
Esta valoracin es tpica de los datos, que pueden estar manipulados, ser total o parcialmente falsos
o, incluso, faltar datos.
- Disponibilidad: qu perjuicio causara no tenerlo o no poder utilizarlo?
Esta valoracin es tpica de los servicios.
-Trazabilidad del uso del servicio: qu dao causara no saber a quin se le presta tal servicio? O
sea, quin hace qu y cundo?
- Nivel de Importancia para el cumplimiento de los objetivos del proyecto
La valoracin del activo puede ser cualitativa , cualitativa o ambas
Por ejemplo, esta puede ser una escala para una valoracin cualitativa
Escala de
Valoracin
Valor Descripcin
MB:Muy Bajo 1 Irrelevante para efectos Prcticos
B: Bajo 2 Importancia menor para el desarrollo del proyecto
M: Medio 3 Importante para el proyecto
A: Alto 4 Altamente importante para el proyecto
MA: Muy alto 5 De vital importancia para los objetivos que persigue
el proyecto
Y una escala cuantitativa se determina, de acuerdo al valor del activo en pesos, de la siguiente
manera:
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy Bajo 1 0 a 500.000
B: Bajo 2 501.000 a 1.500.000
M: Medio 3 1.501.000 a 3.000.000
A: Alto 4 3.001.000 a 5.000.000
1#
MA: Muy alto 5 5.000.001 o ms
Si se toma en cuenta tanto la escala cuantitativa como cualitativa se deben promediar haciendo
relevancia en aquellos con valor mayor a 3.
5.2.4. Identificacin de amenazas asociadas a los activos
Una vez se hallan detectado los activos realmente importantes y relevantes para el desarrollo del
proyecto, se inicia la identificacin de las amenazas a los que estn expuestos, diligenciado el
siguiente cuadro:
Activo Amenaza
A continuacin se presenta una relacin de amenazas tpicas que pueden guiar este paso.
a. Desastres Naturales
AMENAZA DESCRIPCIN
Fuego Incendios: posibilidad de que el fuego acabe con recursos del
sistema.
Daos por Agua inundaciones: posibilidad de que el agua acabe con recursos
del sistema.
Desastres
Naturales
Incidentes que se producen sin intervencin humana: rayo,
tormenta elctrica, terremoto, ciclones, avalancha, corrimiento
de tierras...
b. De Origen Industrial
AMENAZA DESCRIPCIN
Fuego Incendio: posibilidad de que el fuego acabe con los recursos
del sistema.
Daos por Agua Escapes, fugas, inundaciones: posibilidad de que el agua
acabe con los recursos del sistema
Desastres Desastres debidos a la actividad humana: explosiones,
13
Industriales derrumbes, ...
contaminacin qumica, sobrecarga elctrica,.
Contaminacin
Mecnica
Vibraciones, polvo, suciedad, ...
Contaminacin
Electromagntica
Interferencias de radio, campos magnticos, luz ultravioleta,
Avera de origen
Fsico o lgico
Fallos en los equipos y/o fallos en los programas. Puede ser
debida a un defecto de origen o sobrevenida durante el
funcionamiento del sistema
Corte del
suministro
elctrico
Cese de la alimentacin de potencia
Condiciones
inadecuadas de
temperatura y/o
humedad
Deficiencias en la aclimatacin de los locales, excediendo los
mrgenes de trabajo de los equipos: excesivo calor, excesivo
fro, exceso de humedad
Fallos de servicios
de comunicacin
Cese de la capacidad de transmitir datos de un sitio a otro.
Interrupcin de
otros servicios y
suministros
esenciales
Otros servicios o recursos de los que depende la operacin de
los equipos; por ejemplo, papel para las impresoras, tner,
refrigerante, etc.
Degradacin de
los soportes de
almacenamiento
de la informacin
Como consecuencia del paso del tiempo
1-
c. Errores y fallos no Intecionados
AMENAZA DESCRIPCIN
Errores de los usuarios Equivocaciones de las personas cuando usan los servicios, datos,
etc.
Errores del administrador Equivocaciones de personas con responsabilidades de instalacin y
operacin.
Errores de monitorizacin Inadecuado registro de actividades: falta de registros, registros
incompletos.
Errores de configuracin Introduccin de datos de configuracin errneos.
Deficiencias en la organizacin Cuando no est claro quin tiene que hacer exactamente qu y
cundo.
Difusin de software daino Propagacin inocente de virus, espas (spyware), gusanos,
troyanos, bombas lgicas,
Errores de re-encaminamiento Envo de informacin a travs de un sistema o una red usando,
accidentalmente, una ruta incorrecta que lleve la informacin a
donde o por donde no es debido
Errores de secuencia Alteracin accidental del orden de los mensajes transmitidos
Escapes de informacin La informacin llega accidentalmente al conocimiento de personas
que no deberan tener conocimiento de ella, sin que la informacin
en s misma se vea alterada
Alteracin de la informacin Alteracin accidental de la informacin.
Introduccin de informacin
incorrecta
Insercin accidental de informacin incorrecta.
Degradacin de la informacin Esta amenaza slo se identifica sobre datos en general, pues
cuando la informacin est en algn soporte informtico hay
amenazas especficas.
Destruccin de informacin Prdida accidental de informacin.
Divulgacin de informacin Revelacin por indiscrecin.
Incontinencia verbal, medios electrnicos, soporte papel.
15
Vulnerabilidades de los
programas (software)
Defectos en el cdigo que dan pie a una operacin defectuosa sin
intencin por parte del usuario
Errores de mantenimiento /
actualizacin de programas
(software
Defectos en los procedimientos o controles de actualizacin del
cdigo que permiten que sigan utilizndose programas con defectos
conocidos y reparados por el fabricante.
Errores de mantenimiento /
actualizacin de equipos
(hardware).
Defectos en los procedimientos o controles de actualizacin de los
equipos que permiten que sigan utilizndose ms all del tiempo
nominal de uso.
Cada del sistema por
agotamiento de recursos
La carencia de recursos suficientes provoca la cada del sistema
cuando la carga de trabajo es desmesurada.
Indisponibilidad del personal Ausencia accidental del puesto de trabajo: enfermedad, alteraciones
del orden pblico,
d. Ataques Intencionados
AMENAZA DESCRIPCIN
Manipulacin de la
configuracin
Prcticamente todos los activos dependen de su configuracin y sta
de la diligencia del administrador: privilegios de acceso, flujos de
actividades, registro de actividad, encaminamiento
Suplantacin de la identidad
del usuario
Cuando un atacante consigue hacerse pasar por un usuario
autorizado, disfruta de los privilegios de este para sus fines propios
Abuso de privilegios de
acceso
Cada usuario disfruta de un nivel de privilegios para un determinado
propsito: cuando un usuario abusa de su nivel de privilegios para
realizar tareas que no son de su competencia hay problemas.
Uso no previsto Utilizacin de los recursos del sistema para fines no previstos,
tpicamente de inters personal: juegos, consultas personales en
Internet, bases de datos personales, programas personales,
almacenamiento de datos personales, etc.
Difusin de software daino Propagacin intencionada de virus, espas (spyware), gusanos,
troyanos, bombas lgicas, etc
Encaminamiento de
mensajes
Envo de informacin a un destino incorrecto a travs de un sistema
o una red que llevan la informacin a donde o por donde no es
10
debido: puede tratarse de mensajes entre personas, entre procesos
o entre unos y otros.
Alteracin de secuencia Alteracin del orden de los mensajes transmitidos con nimo de que
el nuevo orden altere el significado del conjunto de mensajes,
perjudicando a la integridad de los datos afectados.
Acceso no autorizado El atacante consigue acceder a los recursos del sistema sin tener
autorizacin para ello, tpicamente aprovechando un fallo del sistema
de identificacin y autorizacin.
Anlisis de trfico El atacante, sin necesidad de entrar a analizar el contenido de las
comunicaciones, es capaz de extraer conclusiones a partir del
anlisis del origen, destino, volumen y frecuencia de los
intercambios.
Repudio Negacin a posteriori de actuaciones o compromisos adquiridos en
el pasado.
Repudio de origen: negacin de ser el remitente u origen de un
mensaje o comunicacin.
Intercepcin de informacin
(escucha)
El atacante llega a tener acceso a informacin que no le
corresponde, sin que la informacin en s misma se vea alterada.
Modificacin de la
informacin
Alteracin intencional de la informacin, con nimo de obtener un
beneficio o causar un perjuicio.
Introduccin de falsa
informacin
Insercin interesada de informacin falsa, con nimo de obtener un
beneficio o causar un perjuicio.
Corrupcin de la informacin Degradacin intencional de la informacin, con nimo de obtener un
beneficio o causar un perjuicio.
Destruccin la informacin Eliminacin intencional de informacin, con nimo de obtener un
beneficio o causar un perjuicio.
Divulgacin de informacin Revelacin de informacin.
Manipulacin de programas Alteracin intencionada del funcionamiento de los programas,
persiguiendo un beneficio indirecto cuando una persona autorizada
lo utiliza.
Denegacin de servicio La carencia de recursos suficientes provoca la cada del sistema
cuando la carga de trabajo es desmesurada
Robo La sustraccin de equipamiento provoca directamente la carencia de
1&
un medio para prestar los servicios, es decir una indisponibilidad
Ataque destructivo Vandalismo, terrorismo, accin militar, ...
Ocupacin enemiga Cuando los locales han sido invadidos y se carece de control sobre
los propios medios de trabajo.
Indisponibilidad del personal Ausencia deliberada del puesto de trabajo: como huelgas,
absentismo laboral, bajas no justificadas, bloqueo de los accesos, ...
Extorsin Presin que, mediante amenazas, se ejerce sobre alguien para
obligarle a obrar en determinado sentido.
Ingeniera social Abuso de la buena fe de las personas para que realicen actividades
que interesan a un tercero
5.2.5. Identificacin y valoracin de las Vulnerabilidades
Una vulnerabilidad se define en este mtodo de Gestin del Riesgo, como un estado de debilidad o
incapacidad para resistir un fenmeno amenazante y que al ser explotado afecta el estado de los
activos del proyecto, dicho en otras palabras es la potencialidad o 'cercana' previsible de la
materializacin de la Amenaza en Agresin.
Al igual que los activos las vulnerabilidades deben valorarse y priorizarse, pero antes deben
describirse claramente y evaluarla tomando como criterios la frecuencia de ocurrencia.
Valor Descripcin Probabilidad de Ocurrencia
Muy Frecuente (MF) A diario 75-100%
Frecuente (F) Una vez al mes 50% -75%
Frecuencia Normal (FN) Una vez al ao 25% -50%
Poco Frecuente ( PF) Cada varios Aos 0-25%
Y los resultados registrarlos en el siguiente cuadro:
Activo Amenaza Vulnerabilidad Valoracin Probabilidad de
Ocurrencia
11
5.2.6. Identificacin y valorizacin de impactos
Un impacto es el dao que causa o puede causar sobre el activo derivado de la materializacin de
una amenaza.
La tipificacin de los impactos puede variar de acuerdo al proyecto. Para efectos de esta gua se
presenta se evalan los impactos de acuerdo al tipo de perdida ya sea organizacional o tcnica.
- Los organizacionales se clasifican en :
a. Perdidas econmicas
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy Bajo 1 Costos entre 10.000 y 100.000
B: Bajo 2 Costos entre 100.001 y 1.000.000
M: Medio 3 Costos entre 1.000.001 y 5.000.001
A: Alto 4 Costos entre 5.000.001 y 10.000.000
MA: Muy alto 5 Costos 10.000.000 o ms
1/
%*&AC)'S
)0cnicos 'rganizacionales
&
0
r
d
i
d
a

d
e

C
o
n
1
i
d
e
n
c
i
a
l
i
d
a
d
&
0
r
d
i
d
a

d
e

%
n
t
e
g
r
i
d
a
d
&
0
r
d
i
d
a

d
e

D
i
s
p
o
n
i
b
i
l
i
d
a
d
&
0
r
d
i
d
a
s

(
c
o
n

i
c
a
s
&
0
r
d
i
d
a

d
e

%

a
g
e
n
b. Prdida de Imagen
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy
Bajo
1 Leve prdida de imagen
B: Bajo 2 Prdida moderada
M: Medio 3 Prdida importante
A: Alto 4 Prdida alta
MA: Muy
alto
5 Prdida muy alta
Las tcnicas se clasifican en:
a. Prdida de Confidencialidad
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy Bajo 1 Informacin revelada mnima y no sensible
B: Bajo 2 Informacin revelada mnima
M: Medio 3 Importante Cantidad de informacin no sensible
revelada
A: Alto 4 Importante cantidad de informacin revelada
MA: Muy alto 5 Toda la informacin revelada
b. Prdida de Integridad
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy Bajo 1 Mnima informacin daada
B: Bajo 2 Mnima informacin importante daada
M: Medio 3 Gran cantidad de informacin daada
#+
A: Alto 4 Gran cantidad de informacin importante daada
MA: Muy alto 5 Toda la informacin destruida
c. Prdida de Disponibilidad
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy Bajo 1 Mnima interrupcin del servicio
B: Bajo 2 Mnima interrupcin de servicios primarios
M: Medio 3 Amplia interrupcin de servicios
A: Alto 4 Amplia interrupcin de servicios primarios
MA: Muy alto 5 Todos los servicios interrumpidos
Posteriormente se promedia la valoracin de esta variables y se calificar el posible dao de acuerdo
o tipo de degradacin de la siguiente manera:
5 Muy alto (MA) Dao muy grave para el
proyecto
4 Alto (A) Dao grave al proyecto
3 Medio (M) Dao importante al proyecto
2 Bajo (B) Dao menor al proyecto
1 Muy Bajo (MB) Dao despreciable
#1
5.2.7. stimacin del !ies"o
El valor de la Vulnerabilidad y su Impacto sobre el Activo determinan conjuntamente el valor del
Riesgo.
Esto se puede ver con facilidad cuando se representa el riesgo con una sencilla tcnica matricial. En
esta tcnica se relacionan los niveles de Vulnerabilidad (puestos en filas) y los de Impacto (puestos
en columnas). En las casillas correspondientes, los valores del nivel de Riesgo, como es lgico, son
crecientes con los niveles de ambos factores, pero sern sistemticamente mayores por debajo de la
diagonal, pues se considera que el Impacto influye ms en el nivel de Riesgo que la Vulnerabilidad.
Matriz Cualitativa
RIESGO
VULNERABILIDAD
PF FN F MF

IMPACTO
MA A MA MA MA
A M A MA MA
M B M A MA
B MB B M A
MB MB MB B M
Matriz Cuantitativa
##
Clase
Crtico Muy Alto 10 a 20
Grave Alto 5 a 9
Moderado Medio 4 a 6
Valoracin
Cualitativa
Valoracin
Cuantitativa
5.2.#. $ane%o del !ies"o
Una vez que se realiza el anlisis de riesgos, el equipo de desarrollo tiene en sus manos una
poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnstico general sobre el
estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer
polticas para la correccin de los problemas ya detectados y la gestin de seguridad de ellos a lo
largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no persistan,
gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del
tiempo.
La matriz de valor crtico indica a travs de datos cualitativos y cuantitativos la situacin de seguridad
en que se encuentran los activos analizados. Luego de listar las vulnerabilidades o amenazas
potenciales, se deben fijar las respectivas recomendaciones de seguridad para su correccin.
Aqu se deben determinar medidas de control que son acciones orientadas hacia la eliminacin de
vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el
paso inicial para el aumento de la seguridad de la informacin en un ambiente de tecnologa de la
informacin por tanto deben considerar todo.
Tipo de Manejo de los Riesgos
Antes de definir las medidas de control se debe tomar la decisin de qu manejo se le va a hacer a
los riesgos definidos, analizados y valorados en los pasos anteriores.
Medida Descripcin
Evitar el riesgo Es siempre la primera alternativa a considerar. Se logra cuando al
interior de los procesos se generan cambios sustanciales por
mejoramiento, rediseo o eliminacin, resultado de unos adecuados
controles y acciones emprendidas. Un ejemplo de esto puede ser el
control de calidad, manejo de los insumos, mantenimiento preventivo de
los equipos.
#3
1 2 3 4
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 2 4
RIESGO
VULNERABILIDAD


IMPACTO
Reducir el riesgo Si el riesgo no puede ser evitado porque crea grandes dificultades
operacionales, el paso a seguir es reducirlo al ms bajo nivel posible.
La reduccin del riesgo es probablemente el mtodo ms sencillo y
econmico para superar las debilidades antes de aplicar medidas ms
costosas y difciles. Se consigue mediante la optimizacin de los
procedimientos y la implementacin de controles. Ejemplo: Planes de
contingencia.
Dispersar y
atomizar el riesgo
Se logra mediante la distribucin o localizacin del riesgo en diversos
lugares. Es as como por ejemplo, la informacin de gran importancia
se puede duplicar y almacenar en un lugar distante y de ubicacin
segura, en vez de dejarla concentrada en un solo lugar.
Transferir el riesgo Hace referencia a buscar respaldo y compartir con otro parte del riesgo,
como por ejemplo, tomar plizas de seguros, as se traslada el riesgo a
otra parte o fsicamente se traslada a otro lugar. Esta tcnica es usada
para eliminar el riesgo de un lugar y pasarlo a otro, o de un grupo a
otro. As mismo, el riesgo puede ser minimizado compartindolo con
otro grupo o dependencia.
Asumir el riesgo Luego de que el riesgo ha sido reducido o transferido puede quedar un
riesgo residual que se mantiene, en este caso el gerente del proceso
simplemente acepta la prdida residual probable y elabora planes de
contingencia para su manejo.
Una vez establecidos cules de los anteriores manejos del riesgo se
van a concretar, estos deben evaluarse con relacin al beneficio-costo
para definir, cules son susceptibles de ser aplicadas y proceder a
elaborar el plan de manejo de riesgo, teniendo en cuenta, el anlisis
elaborado para cada uno de los riesgos de acuerdo con su impacto,
probabilidad y nivel de riesgo.
Posteriormente se definen los responsables de llevar a cabo las
acciones especificando el grado de participacin de las dependencias
en el desarrollo de cada una de ellas. As mismo, es importante
construir indicadores, entendidos como los elementos que permiten
determinar
de forma prctica el comportamiento de las variables de riesgo que van
a permitir medir el impacto de las acciones.
#-
Medidas para el Manejo del Riesgo
Una vez definidos los riesgos que se va a asumir se deben especificar medidas del manejo del riesgo
especificando:
Las medidas que se tomen deben ser objeto de evaluacin y seguimiento constante, actualizando la
valoracin de las vulnerabilidades, impactos y riesgos.
#5
Recursos
Accin
2*e3oraiento
(SC(+AR%'S
4Actividad donde
se debe aplicar el
control5
Responsable
de iplantar
acci6n de
e3ora
F
e
c
h
a

d
e

%

p
l
a
n
t
a
c
i

n
F
e
c
h
a

d

e

S
e
g
u
i

i
e
n
t
o