Resumen Magerit v3 Libro1 Método Es NIPO

UNIVERSIDAD NACIONAL DEL
S A N TA
F A C U LT A D D E I N G E N I E R I A
E A P : S I S T E M A S E I N F O R M AT I C A
AUDITORIA DE SISTEMAS
Tema:
Metodologa de Anlisis y
Gestin de Riesgos de los
Sistemas de Informacin.
Docente:
Ing. Camilo Ernesto Suarez
Rebaza
Ciclo:
Integrantes:
Chvez Otiniano Melquisedec

Fernndez Ipanaque Mara Yolanda
Marcelo Gmez Luis Ricardo
Lpez Torres Kevin Marino
Silva Huertas Consuelo Isabel
Utrilla Camones Javier
Nuevo Chimbote, Setiembre del 2015
Magerit 3.0
Proyectos de anlisis de riesgos
METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS D ELOS SISTEMAS DE INFORMACION

-MAGERIT-
1. INTRODUCCION:
El uso de tecnologas de la informacin y comunicaciones (TIC) supone unos beneficios
evidentes para los ciudadanos; pero tambin da lugar a ciertos riesgos que deben gestionarse
prudentemente con medidas de seguridad que sustenten la confianza de los usuarios de los
servicios.
1.1
BUEN GOBIERNO:
La gestin de los riesgos es una piedra angular en las guas de buen gobierno [ISO
38500], pblico o privado, donde se considera un principio fundamental que las
decisiones de gobierno se fundamenten en el conocimiento de los riesgos que
implican:
1.6.12 Propuesta
Recopilacin de los beneficios, costos, riesgos, oportunidades, y otros factores que
deben tenerse en cuenta en las decisiones que se tomen.
Cubriendo riesgos en general y riesgos TIC en particular:
Esta norma establece los principios para el uso eficaz, eficiente y aceptable de las
tecnolo-gas de la informacin. Garantizando que sus organizaciones siguen estos
principios ayuda-r a los directores a equilibrar riesgos y oportunidades derivados del
uso de las TI.
1.2
1.3
CONFIANZA:
La confianza es la esperanza firme que se tiene de que algo responder a lo previsto.
La confianza es un valor crtico en cualquier organizacin que preste servicios. Las
administraciones pblicas son especialmente sensibles a esta valoracin.
GESTION:
Conocer el riesgo al que estn sometidos los elementos de trabajo es, simplemente,
imprescindi-ble para poder gestionarlos.
6) Evaluacin del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo.
Artculo 6. Gestin de la seguridad basada en los riesgos.
1. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y
deber mantenerse permanentemente actualizado.
1.4
2. La gestin de riesgos permitir el mantenimiento de un entorno controlado,

minimizando los riesgos hasta niveles aceptables.
MAGERIT:
Magerit responde a lo que se denomina Proceso de Gestin de los Riesgos
MAGERIT implementa el Proceso de Gestin de Riesgos dentro de un marco de
trabajo para que los rganos de gobierno tomen decisiones teniendo en cuenta los
riesgos derivados del uso de tecnologas de la informacin
Ministerio de Hacienda y Administraciones Pblicas
Magerit 3.0
1.5
1.6
INTRODUCCION AL ANALISIS DE GESTION DE RIESGOS:

Seguridad es la capacidad de las redes o de los sistemas de informacin para resistir,
con un de-terminado nivel de confianza, los accidentes o acciones ilcitas o
malintencionadas que compro metan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas
redes y sistemas ofrecen o hacen accesibles
ANALISIS Y TRATAMIENTO DE LOS RIESGOS EN SU CONTEXTO:
El anlisis de riesgos permite determinar cmo es, cunto vale y cmo de protegido se
encuentra el sistema. En coordinacin con los objetivos, estrategia y poltica de la
Organizacin, las actividades de tratamiento de los riesgos permiten elaborar un plan
de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel
de riesgo que acepta la Direccin. Al conjunto de estas actividades se le denomina
Proceso de Gestin de Riesgos.
1.6.1
1.6.2
CONCIENCIACION Y FORMACION:
Es por ello que se requiere la creacin de una cultura de seguridad que,
emanan-do de la alta direccin, conciencie a todos los involucrados de su
necesidad y pertinencia.
CONCIDECIAS Y RECUPERACION
Magerit 3.0
1.7
ORGANIZACIN DE LAS GUIAS
Esta versin 3 de Magerit se ha estructurado en dos libros y una gua de tcnicas:
Libro I Mtodo
Libro II Catlogo de elementos
Gua de Tcnicas Recopilacin de tcnicas de diferente tipo que pueden ser de
utilidad para la aplicacin del mtodo.
1.7.1 MODO DE EMPLEO:
Siempre se explican informalmente las actividades a realizar, y en ciertos casos se
formalizan co-mo tareas que permiten una planificacin y seguimiento
1.7.2
1.8
CATALOGO DE ELEMENTOS
Se propone un catlogo, abierto a ampliaciones, que marca unas pautas en
cuanto a:
tipos de activos
dimensiones de valoracin de los activos
criterios de valoracin de los activos
amenazas tpicas sobre los sistemas de informacin
salvaguardas a considerar para proteger sistemas de informacin
EVALUACION, CERTIFICACION, AUDITORIA Y ACREDITACION:
El anlisis de riesgos es una piedra angular de los procesos de evaluacin,
certificacin, auditora y acreditacin que formalizan la confianza que merece un
sistema de informacin
Magerit 3.0
1.9 CUANDO PROCEDE ANALIZAR Y GESTIONAR LOS RIEGOS:

En particular en cualquier entorno donde se practique la tramitacin electrnica de
bienes y servicios, sea en contexto pblico o privado.
2. VISION DE CONJUNTO:
I.
ANALISIS DE RIESGOS:
3. METODO DE ANALISISI DE RIESGOS

3.1
CONCEPTOS PASO A PASO:
Magerit 3.0
El anlisis de riesgos es una aproximacin metdica para determinar el riesgo siguiendo unos
pa-sos pautados: 1. determinar los activos relevantes para la Organizacin, su interrelacin y
su valor, en el sen-tido de qu perjuicio (coste) supondra su degradacin 2. determinar a qu
amenazas estn expuestos aquellos activos 3. determinar qu salvaguardas hay dispuestas y
cun eficaces son frente al riesgo 4. estimar el impacto, definido como el dao sobre el activo
derivado de la materializacin de la amenaza 5. estimar el riesgo, definido como el impacto
ponderado con la tasa de ocurrencia (o expecta-tiva de materializacin) de la amenaza
3.1.2. Paso 2: Amenazas

El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las
amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a
nuestros activos y causar un dao.
Identificacin de las amenazas
El captulo 5 del "Catlogo de Elementos" presenta una relacin de amenazas tpicas.
De origen natural (terremotos, inundaciones,etc)

Del entorno (de origen industrial) (contaminacin, fallos elctricos, ...)
Defectos de las aplicaciones
Causadas por las personas de forma accidental
Causadas por las personas de forma deliberada
Valoracin de las amenazas

Hay que valorar su influencia en el valor del activo, en dos sentidos:
degradacin: cun perjudicado resultara el [valor del] activo
probabilidad: cun probable o improbable es que se materialice la amenaza
3.1.3. Determinacin del impacto potencial
Magerit 3.0
Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una
amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradacin que causan
las amenazas, es directo derivar el impacto que estas tendran sobre el sistema.
Impacto acumulado
Es el calculado sobre un activo teniendo en cuenta:
Su valor acumulado (el propio mas el acumulado de los activos que dependen de l)
Las amenazas a que est expuesto
El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de
informacin, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: proteccin de los equipos, copias de respaldo, etc.
Impacto repercutido
Es el calculado sobre un activo teniendo en cuenta
su valor propio
las amenazas a que estn expuestos los activos de los que depende
El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de
valoracin, siendo una funcin del valor propio y de la degradacin causada.
Agregacin de valores de impacto

Estos impactos singulares pueden agregarse bajo ciertas condiciones:
Puede agregarse el impacto repercutido sobre diferentes activos,
puede agregarse el impacto acumulado sobre activos que no sean dependientes entre s, y no
hereden valor de un activo superior comn,
no debe agregarse el impacto acumulado sobre activos que no sean independientes, pues
ello supondra sobre ponderar el impacto al incluir varias veces el valor acumulado de acti-vos
superiores,
puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qu medida las diferentes amenazas son independientes y pueden ser
concurrentes,
puede agregarse el impacto de una amenaza en diferentes dimensiones.
Magerit 3.0
3.1.4. Determinacin del riesgo potencial

Se denomina riesgo a la medida del dao probable sobre un sistema. Conociendo el impacto de las
amenazas sobre los activos, es directo derivar el riesgo sin ms que tener en cuenta la proba-bilidad
de ocurrencia.
zona 1 riesgos muy probables y de muy alto impacto
zona 2 franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto
medio, hasta situaciones muy probables pero de impacto bajo o muy bajo
zona 3 riesgos improbables y de bajo impacto
zona 4 riesgos improbables pero de muy alto impacto
Riesgo acumulado
Es el calculado sobre un activo teniendo en cuenta:
El impacto acumulado sobre un activo debido a una amenaza y
La probabilidad de la amenaza
El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor acumulado, la degradacin causada y la probabilidad de la
amenaza.
Riesgo repercutido
Es el calculado sobre un activo teniendo en cuenta
El impacto repercutido sobre un activo debido a una amenaza y
Magerit 3.0
La probabilidad de la amenaza
El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor propio, la degradacin causada y la probabilidad de la ame-naza.
Agregacin de riesgos
Estos riesgos singulares pueden agregarse bajo ciertas condiciones:
puede agregarse el riesgo repercutido sobre diferentes activos,
puede agregarse el impacto acumulado sobre activos que no sean dependientes entre s, y no
hereden valor de un activo superior comn,
no debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues
ello supondra sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos
su-periores.
3.1.5. Paso 3: Salvaguardas

Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos
tecnolgicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizndose
adecuadamente, otras requieres elementos tcnicos (programas o equipos), otras seguridades fsicas
y, por ltimo, est la poltica de personal.
Seleccin de salvaguardas
En esta criba se deben tener en cuenta los siguientes aspectos:
1. tipo de activos a proteger, pues cada tipo se protege de una forma especfica
2. dimensin o dimensiones de seguridad que requieren proteccin
3. amenazas de las que necesitamos protegernos
4. si existen salvaguardas alternativas
Como resultado de estas consideraciones dispondremos de una declaracin de aplicabilidad o
relacin de salvaguardas que deben ser analizadas como componentes nuestro sistema de proteccin.
Efecto de las salvaguardas
Las salvaguardas entran en el clculo del riesgo de dos formas:
Reduciendo la probabilidad de las amenazas.
Limitando el dao causado.
Magerit 3.0
Tipo de proteccin
Esta aproximacin a veces resulta un poco simplificadora, pues es habitual hablar de diferentes tipos
de proteccin prestados por las salvaguardas:
[PR] prevencin
[DR] disuasin
[EL] eliminacin
[IM] minimizacin del impacto / limitacin del impacto
[CR] correccin
[RC] recuperacin
[MN] monitorizacin
[DC] deteccin
[AW] concienciacin
[AD] administracin
Eficacia de la proteccin
Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al riesgo que
pretenden conjurar. La salvaguarda ideal es 100% eficaz, eficacia que combina 2 factores:
Magerit 3.0
Vulnerabilidades
Se denomina vulnerabilidad a toda debilidad que puede ser aprovechada por una amenaza, o ms
detalladamente a las debilidades de los activos o de sus medidas de proteccin que facilitan el xito
de una amenaza potencial.
3.1.6. Paso 4: impacto residual

El clculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus dependencias,
sino solamente la magnitud de la degradacin, se repiten los clculos de impacto con este nuevo
nivel de degradacin.
3.1.7. Paso 5: riesgo residual
El clculo del riesgo residual es sencillo. Como no han cambiado los activos, ni sus dependencias,
sino solamente la magnitud de la degradacin y la probabilidad de las amenazas, se repiten los
clculos de riesgo usando el impacto residual y la probabilidad residual de ocurrencia.
3.2. Formalizacin de las actividades
Este conjunto de actividades tiene los siguientes objetivos:
Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes.
Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre
aquellos activos.
Levantar un conocimiento de la situacin actual de salvaguardas.
Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial (sin salvaguardas), como el impacto residual (incluyendo el efecto de las salvaguardas desplegadas
para proteger el sistema).

Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin salvaguardas), como el
riesgo residual (incluyendo el efecto de las salvaguardas desplegadas para proteger el
sistema).
El anlisis de los riesgos se lleva a cabo por medio de las siguientes tareas:
Magerit 3.0

3.2.1.
Tarea
MAR.1:
Caracterizacin
de
los activos
sta
actividad
consta de tres subtareas:
MAR.11:
Identificacin de los activos

MAR.12: Dependencias entre activos
MAR.13: Valoracin de los activos
El objetivo de estas tareas es reconocer los activos que componen el sistema, definir las
dependencias entre ellos, y determinar que parte del valor del sistema se soporta en cada activo.
Podemos resumirlo en la expresin concete a ti mismo.
3.2.2. Tarea MAR.2: Caracterizacin de las amenazas

Esta actividad consta de dos sub-tareas:
MAR.21: Identificacin de las amenazas

MAR.22: Valoracin de las amenazas
El objetivo de estas tareas es caracterizar el entorno al que se enfrenta el sistema, qu puede pasar,
qu consecuencias se derivaran y cmo de probable es que pase. Podemos resumirlo en la
expresin conoce a tu enemigo.
3.2.3. Tarea MAR.3: Caracterizacin de las salvaguardas
Esta actividad consta de dos sub-tareas:
MAR.31: Identificacin de las salvaguardas pertinentes

MAR.32: Valoracin de las salvaguardas
El objetivo de estas tareas es doble: saber qu necesitamos para proteger el sistema y saber si
tenemos un sistema de proteccin a la altura de nuestras necesidades.
3.2.4. Tarea MAR.4: Estimacin del estado de riesgo
En esta tarea se combinan los descubrimientos de las tareas anteriores (MAR.1, MAR.2 y MAR.3)
para derivar estimaciones del estado de riesgo de la Organizacin.
Esta actividad consta de tres tareas:
MAR.41: Estimacin del impacto

MAR.42: Estimacin del riesgo
Magerit 3.0
El objetivo de estas tareas es disponer de una estimacin fundada de lo que puede ocurrir (impacto)
y de lo que probablemente ocurra (riesgo).
3.3. Documentacin
Documentacin intermedia
Documentacin auxiliar: planos, organigramas, requisitos, especificaciones, anlisis funcionales, cuadernos de carga, manuales de usuario, manuales de explotacin, diagramas de
flujo de informacin y de procesos, modelos de datos, etc.
Documentacin final
Modelo de valor
Mapa de riesgos
Declaracin de aplicabilidad
Informe de insuficiencias o vulnerabilidades
Estado de riesgo
3.4. Lista de control
4. Proceso de gestin de riesgos

A la vista de los impactos y riesgos a que est expuesto el sistema, hay que tomar una serie de
decisiones condicionadas por diversos factores:
la gravedad del impacto y/o del riesgo
las obligaciones a las que por ley est sometida la Organizacin
las obligaciones a las que por reglamentos sectoriales est sometida la Organizacin
las obligaciones a las que por contrato est sometida la Organizacin
Magerit 3.0
Dentro del margen de maniobra que permita este marco, pueden aparecer consideraciones
adicionales sobre la capacidad de la Organizacin para aceptar ciertos impactos de naturaleza
intan-gible16 tales como:
relaciones con los clientes o usuarios, tales como capacidad de retencin, capacidad de
incrementar la oferta, capacidad de diferenciarse frente a la competencia, ...
relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos

estratgicos, alianzas, etc.
4.1. Conceptos
El anlisis de riesgos determina impactos y riesgos. Los impactos recogen daos absolutos, independientemente de que sea ms o menos probable que se d la circunstancia. En cambio, el ries-go
pondera la probabilidad de que ocurra. El impacto refleja el dao posible (lo peor que puede ocurrir),
mientras que el riesgo refleja el dao probable (lo que probablemente ocurra).
A partir de aqu, las decisiones son de los rganos de gobierno de la Organizacin que actuarn en 2
pasos: paso 1: evaluacin paso 2: tratamiento.
La siguiente figura resume las posibles decisiones que se pueden tomar tras haber estudiado los
riesgos. La caja estudio de los riesgos pretende combinar el anlisis con la evaluacin.
4.1.1. Evaluacin: interpretacin de los valores de impacto y riesgo residuales.

Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen para nada,
tpicamente no porque no haya nada hecho, sino porque hay elementos fundamentales sin hacer.
4.1.2. Aceptacin del riesgo La Direccin de la Organizacin sometida al anlisis de riesgos debe
determinar el nivel de impacto y riesgo aceptable. Ms propiamente dicho, debe aceptar la
responsabilidad de las insuficiencias. Esta decisin no es tcnica. Puede ser una decisin poltica o
gerencial o puede venir determinada por ley o por compromisos contractuales con proveedores o
usuarios.
4.1.3. Tratamiento La Direccin puede decidir aplicar algn tratamiento al sistema de seguridad
desplegado para proteger el sistema de informacin.
Hay dos grandes opciones:
Magerit 3.0
Reducir el riesgo residual (aceptar un menor riesgo).
Ampliar el riesgo residual (aceptar un mayor riesgo)
Para tomar una u otra decisin hay que enmarcar los riesgos soportados por el sistema de
informacin dentro de un contexto ms amplio que cubre un amplio espectro de consideraciones de
las que podemos apuntar algunas sin pretender ser exhaustivos:
Cumplimiento de obligaciones; sean legales, regulacin pblica o sectorial, compromisos
internos, misin de la Organizacin, responsabilidad corporativa, etc.
Posibles beneficios derivados de una actividad que en s entraa riesgos
Condicionantes tcnicos, econmicos, culturales, polticos, etc.
Equilibrio con otros tipos de riesgos: comerciales, financieros, regulatorios, medioambientales,
laborales.
4.1.4. Estudio cuantitativo de costes / beneficios
Es de sentido comn que no se puede invertir en salvaguardas ms all del valor que queremos
proteger.
Aparecen en la prctica grficos como el siguiente que ponen uno frente al otro el coste de la inseguridad (lo que costara no estar protegidos) y el coste de las salvaguardas.
En
la
prctica, cuando hay que
protegerse de un riesgo que se considera significativo, aparecen varios escenarios hipotticos: E0: si
no se hace nada
E1: si se aplica un cierto conjunto de salvaguardas
E2: si se aplica otro conjunto de salvaguardas
Y as N escenarios con diferentes combinaciones de salvaguardas.
+
(recurrente) coste anual de mantenimiento de las salvaguardas

(recurrente) mejora en la productividad22
+ (recurrente) mejoras en la capacidad de la Organizacin para prestar nuevos servicios,
conseguir mejores condiciones de los proveedores, entrar en asociacin con otras organizaciones,
etc.
El escenario E0 es muy simple: todos los aos se afronta un gasto marcado por el riesgo, que se
acumula ao tras ao.
Magerit 3.0
En E0 se sabe lo que cada ao (se estima que) se pierde

El escenario E1 aparece como mala idea, pues supone un gasto aadido el primer ao; pero este
gasto no se recupera en aos venideros.
No as el escenario E2 que, suponiendo un mayor desembolso inicial, empieza a ser rentable a
partir del cuarto ao.
Ms atractivo an es el escenario E3 en el que a costa de un mayor desembolso inicial, se empieza
a ahorrar al tercer ao, e incluso se llega a obtener beneficios operativos a partir del quinto ao. Se
puede decir que en escenario E3 se ha hecho una buena inversin.
4.1.5. Estudio cualitativo de costes / beneficios
Entre los aspectos intangibles se suelen contemplar:
Aspectos reputacionales o de imagen.
Aspectos de competencia: comparacin con otras organizaciones de mismo mbito de
actividad
Cumplimiento normativo, que puede ser obligatorio o voluntario
Capacidad de operar
Productividad
4.1.6. Estudio mixto de costes / beneficios
En anlisis de riesgos meramente cualitativos, la decisin la marca el balance de costes y
beneficios intangibles, si bien siempre hay que hacer un clculo de lo que cuesta la solucin y
cerciorarse de que el gasto es asumible.
4.1.7. Opciones de tratamiento del riesgo: eliminacin

Ms viable es prescindir de otros componentes no esenciales, que estn presentes simple y
llanamente para implementar la misin, pero no son parte constituyente de la misma. Esta opcin
puede tomar diferentes formas:
Eliminar cierto tipo de activos, emplean otros en su lugar. Por ejemplo: cambiar de sistema
operativo, de fabricante de equipos.
Reordenar la arquitectura del sistema. Por ejemplo: segregar redes, equipos para atender a
necesidades concretas, alejando lo ms valioso de lo ms expuesto,
4.1.8. Opciones de tratamiento del riesgo: mitigacin
Magerit 3.0
La mitigacin del riesgo se refiere a una de dos opciones:
Reducir la degradacin causada por una amenaza (a veces se usa la expresin acotar el
impacto)
Reducir la probabilidad de que una amenaza de materializa.
4.1.9. Opciones de tratamiento del riesgo: comparticin
Hay dos formas bsicas de compartir riesgo:
Riesgo cualitativo: se comparte por medio de la externalizacin de componentes del sistema,
de forma que se reparten responsabilidades: unas tcnicas para el que opera el componen-te
tcnico.
Riesgo cuantitativo: se comparte por medio de la contratacin de seguros, de forma que a
cambio de una prima, el tomador reduce el impacto de las posibles amenazas y el asegurador
corre con las consecuencias.
4.1.10. Opciones de tratamiento del riesgo: financiacin
Cuando se acepta un riesgo, la Organizacin har bien en reservar fondos para el caso de que el
riesgo se concrete y haya que responder de sus consecuencias. A veces de habla de fondos de
contingencia y tambin puede ser parte de los contratos de aseguramiento.
4.2. Formalizacin de las actividades
4.2.1. Roles y
funciones
En el proceso
de
gestin
de
riesgos aparecen varios actores. Los siguientes prrafos intentan identificarlos de forma somera y
explicitar cuales son sus funciones y responsabilidades.
rganos de gobierno
En este epgrafe se incluyen aquellos que rganos colegiados o unipersonales que deciden la
misin y los objetivos de la Organizacin.
Direccin ejecutiva
En este epgrafe se incluyen aquellos rganos colegiados o unipersonales que toman decisiones que concretan cmo alcanzar los objetivos de negocio marcados por los rganos de
gobierno.
Direccin operacional
En este epgrafe se incluyen aquellos rganos colegiados o unipersonales que toman decisiones prcticas para materializar las indicaciones dadas por los rganos ejecutivos.
Esquema Nacional de Seguridad
En el Esquema Nacional de Seguridad de identifican ciertos roles que pueden verse involucrados en
el proceso de gestin de riesgos:
Responsable de la informacin
Magerit 3.0
Responsable del servicio
Responsable de la seguridad
Responsable del sistema
Administradores y operadores
Matriz RACI
4.2.2. Contexto
Hay que identificar las obligaciones legales, reglamentarias y contractuales. Por ejemplo, suele haber
obligaciones asociadas a:
Tratamiento de datos de carcter personal.
Tratamiento de informacin clasificada.
Tratamiento de informacin y productos sometidos a derechos de propiedad intelectual.
Prestacin de servicios pblicos.
Operacin de infraestructuras crticas.
4.2.3. Criterios
Mltiples aspectos relacionados con los riesgos son objeto de estimaciones. Conviene que las
estimaciones sean lo ms objetivas que sea posible o. al menos, que sean repetibles, explicables y
comparables.
4.2.4. Evaluacin de los riesgos Se sigue la metodologa descrita en el captulo anterior. La primera
vez que se ejecuta esta actividad puede ser conveniente lanzar un proyecto especfico de anlisis de
riesgos.
4.2.5. Decisin de tratamiento Hay mltiples formas de reducir el riesgo:
Eliminar el riesgo eliminando sus causas: informacin tratada, servicios prestados,
arquitectura del sistema.
Reducir o limitar el impacto
4.2.6. Comunicacin y consulta Antes de tomar ninguna decisin relativa al tratamiento de un
riesgo hay que entender para qu se usa el sistema y cmo se usa.
4.2.7. Seguimiento y revisin El anlisis de los riesgos es un ejercicio formal, basado en mltiples
estimaciones y valoraciones que pueden no compadecerse con la realidad.
4.3. Documentacin del proceso
Documentacin interna
1 Definicin de roles, funciones y esquemas de reporte
2 Criterios de valoracin de la informacin
3 Criterios de valoracin de los servicios
4 Criterios de evaluacin de los escenarios de impacto y riesgo
Documentacin para otros
1 Plan de Seguridad
4.4. Indicadores de control del proceso de gestin de riesgos
Magerit 3.0
5. Proyectos de anlisis de riesgos

En esta seccin se presentan las consideraciones que se deben tener en cuenta para que este
proyecto llegue a buen trmino.
PAR.1 Actividades preliminares
PAR.2 Elaboracin del anlisis de riesgos
PAR.3 Comunicacin de resultados
5.1. Roles y funciones
Comit de Seguimiento
Est constituido por los responsables de las unidades afectadas por el proyecto
Equipo de proyecto
Formado por personal experto en tecnologas y sistemas de informacin y personal tcnico
cualificado del dominio afectado, con conocimientos de gestin de seguridad en general y
de la aplicacin de la metodologa de anlisis y gestin de riesgos en particular.
Grupos de Interlocutores Est formado por usuarios representativos dentro de las
unidades afectadas por el proyecto.
Adems de dichos rganos colegiados, hay que identificar algunos roles singulares:
Promotor Debe ser una persona con visin global de los sistemas de informacin y su
papel en las actividades de la Organizacin.
Director del Proyecto Debe ser un directivo de alto nivel, con responsabilidades en
seguridad dentro de la Organizacin.
Enlace operacional Ser una persona de la Organizacin con buen conocimiento de las
personas y de las uni-dades implicadas en el proyecto, que tenga capacidad para conectar
al equipo de proyecto con el grupo de usuarios.
5.2.
PAR.1
Actividades preliminares
Magerit 3.0
Tarea PAR.11: Estudio de oportunidad
Se fundamenta la oportunidad de la realizacin, ahora, del proyecto de anlisis de riesgos,

enmarcndolo en el desarrollo de las dems actividades de la Organizacin.
El resultado de esta actividad es el informe denominado preliminar.
Tarea PAR.12: Determinacin del alcance del proyecto
Se definen los objetivos finales del proyecto, su dominio y sus lmites.
El resultado de esta actividad es un perfil de proyecto de anlisis de riesgos.
Tarea PAR.13: Planificacin del proyecto
El resultado de esta actividad est constituido por:
Un plan de trabajo para el proyecto
Procedimientos de trabajo
Tarea PAR.14: Lanzamiento del proyecto
El resultado de esta actividad est constituido por:
Los cuestionarios para las entrevistas
El catlogo de tipos de activos
La relacin de dimensiones de seguridad
Los criterios de valoracin
5.2.2. Tarea PAR.12: Determinacin del alcance del proyecto
Un proyecto de anlisis de riesgos puede perseguir objetivos a muy corto plazo tales como el
aseguramiento de cierto sistema o un cierto proceso de negocio, o puede pretender objetivos ms
amplios como fuera el anlisis global de la seguridad de la Organizacin.
Para incorporar las restricciones al anlisis y ges-tin de riesgos, estas se agrupan por distintos
conceptos, tpicamente:
Restricciones polticas o gerenciales

Restricciones estratgicas
Restricciones geogrficas
Restricciones temporales
Restricciones estructurales
Restricciones funcionales
Restricciones legales
Restricciones relacionadas con el personal
Restricciones metodolgicas
Restricciones culturales
Restricciones presupuestarias
Alcance
Para que el alcance quede determinado debemos concretar:
Los activos esenciales: informacin que se maneja y servicios que se prestan
Los puntos de intercambio de interconexin con otros sistemas, aclarando qu
informacin se intercambia y qu servicios se prestan mutuamente
Los proveedores externos en los que se apoya nuestro sistema de informacin
Magerit 3.0
PAR: Proyecto de anlisis de riesgos

PAR.1: Actividades preliminares
PAR.12: Determinacin del alcance del proyecto
Productos de entrada
Recopilacin de la documentacin pertinente de la Organizacin
Productos de salida
Especificacin detallada de los objetivos del proyecto
Relacin de restricciones generales
Relacin de unidades de la Organizacin que se vern afectadas como parte del proyecto
Lista de roles relevantes en la unidades incluidas en el alcance del proyecto
los activos esenciales
los puntos de interconexin con otros sistemas
Tcnicas, prcticas y pautas
Entrevistas (ver "Gua de Tcnicas")
Reuniones
31010:B.1: Brainstorming
31010:B.2: Structured or semi-structured interviews
Participantes
El comit de seguimiento
Un proyecto de anlisis de riesgos puede perseguir objetivos a muy corto plazo tales como el aseguramiento de cierto sistema o un cierto proceso de negocio, o puede pretender objetivos ms
amplios como fuera el anlisis global de la seguridad de la Organizacin. En todo caso, hay que
determinarlo.
Especialmente a la hora de tomar acciones correctoras, hay que tener en cuenta que no todo vale, sino que el proyecto se encontrar con una serie de restricciones, no necesariamente tcnicas, que establecen un marco al que atenerse. Para incorporar las restricciones al anlisis y gestin de riesgos, estas se agrupan por distintos conceptos, tpicamente:
Restricciones polticas o gerenciales
Tpicas de organizaciones gubernamentales o fuertemente relacionadas con organismos
gubernamentales, bien como proveedores o como suministradores de servicios.
Restricciones estratgicas
Derivadas de la evolucin prevista de la estructura u objetivos de la Organizacin.
Restricciones geogrficas
Derivadas de la ubicacin fsica de la Organizacin o de su dependencia de medios fsicos
de comunicaciones. Islas, emplazamientos fuera de las fronteras, etc.
Restricciones temporales
Que toman en consideracin situaciones coyunturales: conflictividad laboral, crisis internacional, cambio de la propiedad, reingeniera de procesos, etc.
Magerit 3.0
Restricciones estructurales
Tomando en consideracin la organizacin interna: procedimientos de toma de decisiones,
dependencia de casas matrices internacionales, etc.
Restricciones funcionales
Que tienen en cuenta los objetivos de la Organizacin.
Restricciones legales
Leyes, reglamentos, regulaciones sectoriales, contratos externos e internos, etc.
Restricciones relacionadas con el personal
Perfiles laborales, compromisos contractuales, compromisos sindicales, carreras profesionales, etc.
Restricciones metodolgicas
Derivadas de la naturaleza de la organizacin y sus hbitos o habilidades de trabajo que
pueden imponer una cierta forma de hacer las cosas.
Restricciones culturales
La cultura o forma interna de trabajar puede ser incompatible con ciertas salvaguardas tericamente ideales.
Restricciones presupuestarias
La cantidad de dinero es importante; pero tambin la forma de planificar el gasto y de ejecutar el presupuesto
Alcance
Esta tarea identifica las unidades objeto del proyecto y especifica las caractersticas generales de
dichas unidades en cuanto a responsables, servicios proporcionados y ubicaciones geogrficas.
Tambin identifica las principales relaciones de las unidades objeto del proyecto con otras entidades, por ejemplo el intercambio de informacin en diversos soportes, el acceso a medios informticos comunes, etc.
Para que el alcance quede determinado debemos concretar:
los activos esenciales: informacin que se maneja y servicios que se prestan
los puntos de intercambio de interconexin con otros sistemas, aclarando qu informacin
se intercambia y qu servicios se prestan mutuamente
los proveedores externos en los que se apoya nuestro sistema de informacin
Tarea PAR.13: Planificacin del proyecto

Proyecto de anlisis de riesgos
PAR.13: Planificacin del proyecto
Objetivos
Definir los grupos de interlocutores: usuarios afectados en cada unidad
Planificar las entrevistas de recogida de informacin
Determinar el volumen de recursos necesarios para la ejecucin del proyecto:

humanos, temporales y financieros
Elaborar el calendario concreto de realizacin de las distintas etapas, actividades y

tareas del proyecto
Establecer un calendario de seguimiento que defina las fechas tentativas de reuniones

del comit de direccin, el plan de entregas de los productos del proyecto, las posibles
modifi- caciones en los objetivos marcados, etc
Resultados de la actividad A1.2, Determinacin del alcance del proyecto
Productos de salida
Relacin de participantes en los grupos de interlocutores
Plan de entrevistas
Informe de recursos necesarios
Planificacin de proyectos
Participantes
El director de proyecto
El comit de seguimiento
El plan de entrevistas debe detallar a qu persona se va a entrevistar, cundo y con qu objetivo.

Este plan permite determinar la carga que el proyecto va a suponer para las unidades afectadas,
bien del dominio, bien del entorno.
Tarea PAR.14: Lanzamiento del proyecto

Esta actividad completa las tareas preparatorias del lanzamiento del proyecto: empezando por seleccionar y adaptar los cuestionarios que se utilizarn en la recogida de datos y por realizar la
campaa informativa de sensibilizacin a los implicados.
Proyecto de anlisis de riesgos

PAR.14: Lanzamiento del proyecto
Objetivos
Disponer de los elementos de trabajo para acometer el proyecto
Marco de trabajo establecido en el Proceso de Gestin de Riesgos: criterios y

relaciones con las partes afectadas
Productos de salida
Cuestionarios adaptados
Determinar el catlogo de tipos de activos
Determinar las dimensiones de valoracin de activos
Determinar los niveles de valoracin de activos, incluyendo una gua unificada de

criterios para asignar un cierto nivel a un cierto activo
Determinar los niveles de valoracin de las amenazas: frecuencia y degradacin
Asignar los recursos necesarios (humanos, de organizacin, tcnicos, etc.) para la

realizacin del proyecto
Informar a las unidades afectadas
Cuestionarios (ver "Catlogo de Elementos")
Participantes
El director del proyecto
El equipo de proyecto
La tarea adapta los cuestionarios a utilizar en la recogida de informacin en el proceso P1 en funcin de los objetivos del proyecto, del dominio y de los temas a profundizar con los usuarios.
Los cuestionarios se adaptan con el objetivo de identificar correctamente los elementos de trabajo:
activos, amenazas, vulnerabilidades, impactos, salvaguardas existentes, restricciones generales,
etc. en previsin de las necesidades de las actividades A2.1 (caracterizacin de los activos), A2.2
(caracterizacin de las amenazas) y A2.3 (caracterizacin de las salvaguardas).
PAR.2 Elaboracin del anlisis de riesgos

Se siguen los pasos del mtodo descrito en el captulo X anterior.
La mayor parte de las tareas requerirn dos o tres entrevistas con los interlocutores apropiados:
pgina 70 (de 127)
una primera entrevista para exponer las necesidades y recabar los datos
una segunda entrevista para validar que los datos son completos y se han entendido correctamente
segn las circunstancias puede ser necesaria alguna entrevista adicional si la validacin levanta muchas inexactitudes o dudas
El todas estas tareas debe procurarse manejar documentacin escrita sometida a un proceso formal de gestin; es decir, aprobada y con unos procedimientos de revisin continua. La informacin
de carcter verbal o informal debe limitarse a facilitar la comprensin, no a transmitir elementos
sustanciales que no estn documentados en parte alguna.
PAR.3 Comunicacin de resultados

La salida de la fase de anlisis es la entrada de la fase de tratamiento. Para la tomar decisiones
de tratamiento es necesario conocer tanto los indicadores residuales como los indicadores potenciales de impacto y riesgo. Y para cada escenario de riesgo es necesario disponer de informacin
suficiente para poder entender en qu consiste el riesgo, as como su dinmica y los razonamientos o la base de las estimaciones empleadas para derivar resultados. No basta conocer el valor
final del indicador, sino que hay que poder analizar el por qu de ese valor.
Control del proyecto

Hitos de control
Hito de control H1.1:
La Direccin proceder a la aprobacin o no de la realizacin del proyecto de anlisis de
riesgos, basndose en el estudio de oportunidad realizado por el promotor.
Hito de control H1.2:
El comit de seguimiento del proyecto validar el informe de "Planificacin del Proyecto de
Anlisis de Riesgos" que contendr una sntesis de los productos obtenidos en las actividades realizadas en el proceso P1.
Documentacin resultante
Documentacin intermedia
Resultados de las entrevistas.
Documentacin de otras fuentes: estadsticas, observaciones de expertos y observaciones

de los analistas.
Documentacin auxiliar: planos, organigramas, requisitos, especificaciones, anlisis funcionales, cuadernos de carga, manuales de usuario, manuales de explotacin, diagramas de
flujo de informacin y de procesos, modelos de datos, etc.
Anlisis de los resultados, con la deteccin de las reas crticas claves.
Informacin existente utilizable por el proyecto (por ejemplo inventario de activos)
Resultados de posibles aplicaciones de mtodos de anlisis y gestin de riesgos realizadas

anteriormente (por ejemplo catalogacin, agrupacin y valoracin de activos, amenazas,
vulnerabilidades, impactos, riesgo, mecanismos de salvaguarda, etc.).
pgina 71 (de 127)
Documentacin final
Modelo de valor: identificacin de activos junto con sus dependencias y valoracin propia y
acumulada
Mapa de amenazas junto con sus consecuencias y probabilidad de ocurrencia.
Documento de aplicabilidad de las salvaguardas.
Informe de valoracin de la efectividad de las salvaguardas presentes.
Informe de insuficiencias o debilidades del sistema de salvaguardas.
Indicadores de impacto y riesgo, potenciales y residuales.
Magerit 3.0
Plan de seguridad
6. Plan de seguridad
Esta seccin trata de cmo llevar a cabo planes de seguridad, entendiendo por tales proyectos
para materializar las decisiones adoptadas para el tratamiento de los riesgos.
Estos planes reciben diferentes nombres en diferentes contextos y circunstancias:
plan de mejora de la seguridad
plan director de seguridad
plan estratgico de seguridad
plan de adecuacin (en concreto es el nombre que se usa en el ENS) Se

identifican 3 tareas:
PS Plan de Seguridad
PS.1 Identificacin de proyectos de seguridad PS.2 Plan de ejecucin
PS.3 Ejecucin
Tarea PS.1: Identificacin de proyectos de seguridad

Se traducen las decisiones de tratamiento de los riesgos en acciones concretas.
PS: Plan de seguridad
PS.1: Identificacin de proyectos de seguridad
Objetivos
Elaborar un conjunto armnico de programas de seguridad
Resultados de las actividades de anlisis y tratamiento de riesgos
Conocimientos de tcnicas y productos de seguridad
Catlogos de productos y servicios de seguridad

Productos de salida
Relacin de programas de seguridad
Participantes
El equipo de proyecto
Especialistas en seguridad
Especialistas en reas especficas de seguridad
Tarea PS.2: Planificacin de los proyectos de seguridad

PS.2: Plan de
ejecucin
Objetivos
Ordenar temporalmente los programas de seguridad
Resultados de las actividades de anlisis y tratamiento de riesgos
Resultados de la tarea PS.1 Programas de seguridad

Productos de salida
Cronograma de ejecucin del plan
Plan de Seguridad
Anlisis de riesgos (ver Mtodo de Anlisis de Riesgos)
Participantes
Departamento de desarrollo
Departamento de compras
Hay que ordenar en el tiempo los proyectos de seguridad teniendo en cuenta los siguientes factores:
la criticidad, gravedad o conveniencia de los impactos y/o riesgos que se afrontan, teniendo
mxima prioridad los programas que afronten situaciones crticas
el coste del programa
la disponibilidad del personal propio para responsabilizarse de la direccin (y, en su caso,

ejecucin) de las tareas programadas
otros factores como puede ser la elaboracin del presupuesto anual de la Organizacin, las
relaciones con otras organizaciones, la evolucin del marco legal, reglamentario o contractual, etc.
Tpicamente un plan de seguridad se planifica en tres niveles de detalle:

Plan director (uno).
A menudo denominado plan de actuacin, trabaja sobre un periodo largo (tpicamente entre 3 y 5 aos), estableciendo las directrices de actuacin.
Plan anual (una serie de planes anuales).
Trabaja sobre un periodo corto (tpicamente entre 1 y 2 aos), estableciendo la planificacin
de los programas de seguridad.
Plan de proyecto (un conjunto de proyectos con su planificacin).
Trabaja en el corto plazo (tpicamente menos de 1 ao), estableciendo el plan detallado de
ejecucin de cada programa de seguridad.
Tarea PS.3: Ejecucin del plan

PS.3: Ejecucin
Objetivos
Alcanzar los objetivos previstos en el plan de seguridad para cada proyecto planificado
Resultados de las actividades PS.1 (proyectos de seguridad) y PS.2 (planificacin)
Proyecto de seguridad que nos ocupa
Productos de salida
Salvaguardas implantadas
Normas de uso y procedimientos de operacin
Sistema de indicadores de eficacia y eficiencia del desempeo de los objetivos de

seguridad perseguidos
Modelo de valor actualizado
Mapa de riesgos actualizado
Anlisis de riesgos (ver Mtodo de Anlisis de Riesgos)
Participantes
El equipo de proyecto: evolucin del anlisis de riesgos
Personal especializado en la salvaguarda en cuestin
Lista de control de los planes de seguridad
actividad
Se han definido las interdependencias entre proyectos (necesidades de que uno
avan- ce para que progrese otro)
tare
a
PS.
1
PS.
1
Se han asignado recursos

disponibles para los proyectos en curso
PS.
2
Se han definido los proyectos constituyentes
previstos para los proyectos que seguirn en el futuro

Se han definido roles y responsabilidades
Se ha establecido un calendario de ejecucin
Se han definido indicadores de progreso
Se han previsto necesidades de concienciacin y formacin
Se han previsto necesidades de documentacin:
normativa de seguridad y
procedimientos operativos de seguridad
PS.
1
PS.
2
PS.
3
PS.
1
PS.
1
Magerit 3.0
Desarrollo de sistemas de informacin
7. Desarrollo de sistemas de informacin

Las aplicaciones (software) constituyen un tipo de activos frecuente y nuclear para el tratamiento
de la informacin en general y para la prestacin de servicios basados en aquella informacin
El Esquema Nacional de Seguridad recoge el riesgo como pieza fundamental de la seguridad de
los sistemas en varios de sus principios bsicos:
Artculo 5. La seguridad como un proceso integral.
1. La seguridad se entender como un proceso integral constituido por todos los elementos
tcnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicacin
del Esquema Nacional de Seguridad estar presidida por este principio, que excluye
cualquier actuacin puntual o tratamiento coyuntural.
2. Se prestar la mxima atencin a la concienciacin de las personas que intervienen en el
proceso y a sus responsables jerrquicos, para que, ni la ignorancia, ni la falta de organizacin y coordinacin, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.
Artculo 6. Gestin de la seguridad basada en los riesgos.
1. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y deber
mantenerse permanentemente actualizado.
2. La gestin de riesgos permitir el mantenimiento de un entorno controlado, minimizando
los riesgos hasta niveles aceptables. La reduccin de estos niveles se realizar mediante
el despliegue de medidas de seguridad, que establecer un equilibrio entre la naturaleza
de los datos y los tratamientos, los riesgos a los que estn expuestos y las medidas de
seguridad.
Artculo 9. Reevaluacin peridica.
Las medidas de seguridad se reevaluarn y actualizarn peridicamente, para adecuar
su eficacia a la constante evolucin de los riesgos y sistemas de proteccin, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.
Durante el desarrollo de un sistema de informacin, se pueden identificar dos tipos de actividades
diferenciadas:
SSI: actividades relacionadas con la propia seguridad del sistema de informacin que se est desarrollando.
SPD: actividades que velan por la seguridad del proceso de desarrollo del sistema de informacin.
Inicializacin de los procesos

Hay varias razones que pueden llevar a plantear el desarrollo de un nuevo sistema de informacin
o la modificacin de uno ya existente:
Nuevos servicios y/o datos.
Requiere el desarrollo de un nuevo sistema o la modificacin de un sistema ya operativo.

Puede implicar la desaparicin de partes actualmente operativas.
La iniciativa la lleva el responsable de desarrollo, actuando el responsable de seguridad

como subsidiario.
Evolucin tecnolgica. Las tecnologas TIC se encuentran en evolucin continua, pudiendo

presentarse cambios en las tcnicas de desarrollo de sistemas, en los lenguajes o las plataformas de desarrollo, en las plataformas de explotacin, en los servicios de explotacin, en
los servicios de comunicaciones, etc.
Requiere el desarrollo de un nuevo sistema o la modificacin de un sistema ya operativo.

Puede implicar la desaparicin de partes actualmente operativas.
La iniciativa la lleva el responsable de desarrollo, actuando el responsable de seguridad

como subsidiario.
Modificacin de la calificacin de seguridad de servicios o datos.
Tpicamente requiere la modificacin de un sistema ya operativo. Raramente implica el

desarrollo de un nuevo sistema o la desaparicin de partes actualmente operativas.
La iniciativa la lleva el responsable de seguridad, actuando el responsable de sistemas

como subsidiario.
Consideracin de nuevas amenazas. La evolucin de las tecnologas y los servicios de comunicaciones pueden habilitar nuevas amenazas o convertir amenazas que eran despreciables en el pasado en amenazas relevantes en el futuro.
Tpicamente requiere la modificacin del sistema, bien en sus componentes o, ms frecuentemente, en sus condiciones de explotacin. Raramente implica el desarrollo de un
nuevo sistema o la desaparicin de partes actualmente operativas.

como subsidiario.
Modificacin de los cri terios de calificacin de riesgos. Puede venir inducido por criterios
de calidad operativa, por novedades en la legislacin aplicable, en la reglamentacin sectorial o por acuerdos o contratos con terceros.
Tpicamente requiere la modificacin del sistema. Raramente implica el desarrollo de un

nuevo sistema o la desaparicin de partes actualmente operativas.

como subsidiario.
SSI Seguridad del sistema de informacin

Toda la existencia de un sistema de informacin puede verse como etapas de concrecin creciente, desde una perspectiva muy global durante los procesos de planificacin hasta una visin en
detalle durante el desarrollo y explotacin. No obstante, este ciclo de vida no es lineal, sino que
frecuentemente habr que tantear opciones alternativas y revisar decisiones tomadas.
Ciclo de vida de las aplicaciones

Tpicamente, una aplicacin sigue un ciclo de vida a travs de varias fases:
especificacin
desarrollo propio
adquisicin (estndar)
desarrollo subcontratado
aceptaci
n
despliegu
e
operaci
n
mantenimiento
Ilustracin 16. Ciclo de vida de las aplicaciones
Especificacin. En esta fase se determinan los requisitos que debe satisfacer la aplicacin y
se elabora un plan para las siguientes fases.
Adquisicin o desarrollo. Para traducir una especificacin en una realidad, se puede adquirir
un producto, o se puede desarrollar, bien en casa, bien por subcontratacin externa.
Aceptacin. Tanto si es una aplicacin nueva como si es modificacin de una aplicacin anterior, nunca una aplicacin debe entrar en operacin sin haber sido formalmente aceptada.
Despliegue. Consistente en instalar el cdigo en el sistema y configurarlo para que entre en
operacin.
Operacin. La aplicacin se usa por parte de los usuarios, siendo atendidos los incidentes por
parte de usuarios y/o los operadores.
Mantenimiento. Bien porque aparecen nuevos requisitos, bien porque se ha detectado un fallo, la aplicacin puede requerir un mantenimiento que obligue a regresar a cualquiera de las
etapas anteriores, en ltima instancia a la especificacin bsica.
MTRICA versin 3
La metodologa MTRICA Versin 3 ofrece a las Organizaciones un instrumento para la sistemati-
zacin de las actividades que dan soporte al ciclo de vida del software. MTRICA versin 3 identifica los siguientes elementos:
planificacin PSI gestin de configuracin

planificacin
PSI
desarrollo aseguramiento de la calidad
EVSASI
EVS
EVS
DSI
CSI
IAS
ASI
DSI
CSI
IAS
gestin de proyectos
ASI
DSI
CSI
IAS
seguridad
desarrollo
mantenimiento MSI
Ilustracin 17. Mtrica 3 - Actividades
Mtrica 3
especificacin
adquisicin o
desarrollo
aceptacin
PSI Planificacin del sistema de

informacin EVS Estudio de viabilidad del
sistema
ASI
delsistema
sistemade
deinformacin.
informacin
DSI
Anlisis
Diseo del
CSI Construccin del sistema de informacin
IAS Implantacin y aceptacin del sistema
despliegue
operacin
mantenimiento
MSI Mantenimiento del sistema de

informacin
Tabla 7. Ciclo de vida y actividades en Mtrica 3
Contexto
Se debe determinar el contexto general:
poltica de seguridad y normas
requisitos de cumplimiento normativo
obligaciones contractuales
roles y funciones
criterios de valoracin de informacin y servicios
criterios de valoracin de riesgos
criterios de aceptacin de riesgos
Fase de especificacin: adquisicin de datos

Se debe recopilar informacin sobre
la informacin esencial y sus requisitos de seguridad
pgina 80 (de 127)
los servicios esenciales y sus requisitos de seguridad

el contexto en el que se va a desarrollar y explotar el sistema
Fase de diseo: estudio de opciones

La toma de decisiones de tratamiento de los riesgos puede recomendar salvaguardas evaluando
su efecto en los indicadores de impacto y riesgo. Las decisiones que se adopten dependern de
los criterios establecidos en la poltica de seguridad de la Organizacin y de otras consideraciones
especficas de cada caso.
Anlisis y tratamiento de los riesgos

La seguridad requerida para la informacin que se maneja y los servicios que se prestan qued
fijada en la fase de especificacin y no se puede modificar ahora.
Soporte al desarrollo: puntos crticos

Durante el desarrollo hay que incorporar las salvaguardas aprobadas en la fase de diseo, as
como controles que permitan monitorizar su eficacia. Estos requisitos de monitorizacin se suelen
concretar en los siguientes aspectos:
registros de actividad
mecanismos para procesar estos registros e informar de la efectividad del sistema de proteccin
disparo de alarmas cuando los hecho evidencian un problema de seguridad
Aceptacin y puesta en marcha: puntos crticos

Cuando el sistema se prueba antes de ponerlo en funcionamiento, debe revisarse que todos los
registros de actividad funcionan correctamente, as como los sistemas de procesamiento y de
alarma incorporados al sistema.
Tambin debe comprobarse que el sistema responde al diseo previsto, concretamente que las
salvaguardas estn desplegadas, que su despliegue es efectivo y que no existen formas de circunvalarlas u obviarlas: es decir que el sistema no permite puertas traseras fuera de control.
Sistema(s) de identificacin y autenticacin:
todo acceso al sistema requiere que el usuario se identifique y se autentique segn lo previsto, bloqueando cualquier otra forma de acceso
los mecanismos de identificacin y autenticacin estn protegidos para evitar que un atacante pueda acceder a informacin o mecanismos que pongan en peligro su efectividad
Sistema(s) de control de acceso:
todo acceso a la informacin y a los servicios verifica previamente que el usuario tiene las autorizaciones pertinentes
Servicios externalizados: cuando parte de la operacin del sistema est delegada en un tercero:
hay que revisar los contratos de prestacin del servicio
hay que revisar la completitud de los procedimientos de reporte y gestin de incidencias
Si el sistema no refleja el modelo cuyos riesgos han sido analizados, ser rechazado sin pasar a
produccin.
Hay que verificar que la documentacin de seguridad es clara y precisa. Esto incluye normativa,
procedimientos operacionales, material de concienciacin y de formacin.
Sin poder ser exhaustivos, las siguientes lneas muestran pruebas de aceptacin que conviene
realizar:
datos de prueba
si no son reales, deben ser realistas
si no se puede evitar que sean reales, hay que controlar copias y acceso
pruebas funcionales (de los servicios de seguridad)
simulacin de ataques: verificando que se detectan y reportan
pruebas en carga: verificando que no se obvian las medidas de proteccin
intrusin controlada (hacking tico)
inspeccin de servicios / inspeccin de cdigo
fugas de informacin: canales encubiertos, a travs de los registros, etc.
puertas traseras de acceso
escalado de privilegios
problemas de desbordamiento de registros (buffer overflow)
Operacin: anlisis y gestin dinmicos

Durante la vida operativa del sistema podemos encontrarnos con cambios en el escenario que invalidan el anlisis de riesgos realizado anteriormente. En entornos formales, el sistema requiere
una re-acreditacin para seguir operando bajo las nuevas condiciones.
Nuevas amenazas
Vulnerabilidades sobrevenidas
Por ejemplo, defectos reportados por los fabricantes.
Incidentes de seguridad
Los incidentes de seguridad pueden indicarnos un fallo en nuestra identificacin de amenazas o
en su valoracin, obligando a revisar el anlisis.
Cambios en la utilizacin del sistema

A veces un sistema ya operacional no se utiliza como estaba previsto:
nueva informacin con diferentes requisitos de seguridad
nuevos servicios con diferentes requisitos de seguridad
nuevos procedimientos operatives
Ciclos de mantenimiento: anlisis marginal

Cuando se propone una modificacin del sistema, los nuevos elementos deben llevar a un nuevo
anlisis de riesgos, regresando a los ciclos iterativos de propuestas y soluciones de la fase de diseo.
Terminacin
Cuando un sistema de informacin se retira del servicio, hay que realizar una serie de tareas de
seguridad proporcionadas al riesgo al que estn sometidos los componentes del sistema a retirar.
Documentacin de seguridad
La documentacin de seguridad evoluciona con el ciclo de vida del sistema:
fase
documentacin de seguridad
contexto
se revisa la poltica de seguridad

se revisa la normativa de
seguridad
se amplia la normativa de seguridad
especificacin
diseo
desarrollo
se prepara el ndice de procedimientos operacionales de

seguridad
se elaboran los procedimientos operacionales de seguridad
aceptacin y
puesta en
operacin
operacin
se validan los procedimientos operacionales de seguridad

se actualizan los procedimientos operacionales de seguridad
mantenimiento
se actualizan los procedimientos operacionales de seguridad
Tabla 8. Documentacin de seguridad a lo largo del ciclo de vida de las aplicaciones
SPD Seguridad del proceso de desarrollo

Lo que se comenta en esta seccin afecta a todas y cada uno de los procesos y subprocesos de
Mtrica: PSI, EVS, ASI, DSI, CSI, IAS y MSI.
La interfaz de seguridad de Mtrica identifica hasta 4 tareas que se repiten en cada proceso. Aqu
se tratan de forma compacta:
Activos a considerar
En cada proceso se requiere un anlisis de riesgos especfico que contemple:
los datos que se manejan
el entorno software de desarrollo
el entorno hardware de desarrollo: equipos centrales, puestos de trabajo, equipos de archivo, etc.
el entorno de comunicaciones de desarrollo
las instalaciones
el personal involucrado: desarrolladores, personal de mantenimiento y usuarios (de pruebas)
Actividades
Se siguen los siguientes pasos
1. el equipo de desarrollo expone a travs del jefe de proyecto los elementos involucrados
2. el equipo de anlisis de riesgos recibe a travs del director de seguridad la informacin de
los activos involucrados
3. el equipo de anlisis de riesgos realiza el anlisis
4. el equipo de anlisis de riesgos expone a travs de su director el estado de riesgo, proponiendo una serie de medidas a tomar
5. el equipo de desarrollo elabora un informe del coste que supondran las medidas recomendadas, incluyendo costes de desarrollo y desviaciones en los plazos de entrega
6. la direccin califica el riesgo y decide las salvaguardas a implantar oyendo el informe conjunto de anlisis de riesgos y coste de las soluciones propuestas
7. el equipo de anlisis de riesgos elabora los informes correspondientes a las soluciones
adoptadas
8. el equipo de seguridad elabora la normativa de seguridad pertinente
9. la direccin aprueba el plan para ejecutar el proceso con la seguridad requerida
Resultados del anlisis y gestin de riesgos

En todos los casos
salvaguardas recomendadas
normas y procedimientos de tratamiento de la informacin
Referencias
Seguridad de las Tecnologas de la Informacin. La construccin de la confianza para una

sociedad conectada, E. Fernndez-Medina y R. Moya (editores). AENOR, 2003.
Metodologa de Planificacin, Desarrollo y Mantenimiento de sistemas de informacin. Mtrica v3. Consejo Superior de Informtica y para el Impulso de la Administracin Electrnica,
2000.
Magerit 3.0
Consejos prcticos
8. Consejos prcticos
Todo el planteamiento anterior puede quedar un poco abstracto y no permitir al analista progresar
con solvencia a travs de los pasos indicados si confundiera lo importante con lo esencial. Por ello
se ha considerado conveniente incluir algunos comentarios que puedan servir de gua para avanzar.
Se recomienda tambin la consulta del "Catlogo de Elementos" que recopila tipos de activos, dimensiones de valoracin, guas de valoracin, catlogos de amenazas y de salvaguardas.
Alcance y profundidad
Magerit cubre un espectro muy amplio de intereses de sus usuarios. En el planteamiento de estas
guas se ha seguido un criterio de mximos, reflejando todo tipo de activos, todo tipo de aspectos de seguridad; en definitiva, todo tipo de situaciones. En la prctica, el usuario puede encontrarse ante situaciones donde el anlisis es ms restringido. Siguen algunos casos prcticos frecuentes:
slo se requiere un estudio de los ficheros afectos a la legislacin de datos de carcter

personal
slo se requiere un estudio de las garantas de confidencialidad de la informacin
slo se requiere un estudio de la seguridad de las comunicaciones
slo se requiere un estudio de la seguridad perimetral
slo se requiere un estudio de la disponibilidad de los servicios (tpicamente porque se

busca el desarrollo de un plan de contingencia)
se busca una homologacin o acreditacin del sistema o de un producto
se busca lanzar un proyecto de mtricas de seguridad, debiendo identificar qu puntos

interesa controlar y con qu grado de periodicidad y detalle
etc.
Para identificar activos

Conviene repetir que slo interesan los recursos de los sistemas de informacin
que tienen un valor para la Organizacin, bien en s mismos, bien porque sobre
sus hombros descansan activos de valor.
Los intangibles
Ciertos elementos de valor de las organizaciones son de naturaleza intangible:
credibilidad o buena imagen
conocimiento acumulado
independencia de criterio o actuacin
intimidad de las personas
integridad fsica de las personas
Identificacin de activos
Quizs la mejor aproximacin para identificar los activos sea preguntar directamente:
Qu activos son esenciales para que usted consiga sus objetivos?
Hay ms activos que tenga que proteger por obligacin legal?
Hay activos relacionados con los anteriores?
Lo esencial es siempre la informacin que se maneja y los servicios que se

prestan. A veces nos interesa singularizar la diferente informacin y los diferentes
servicios, mientras que otras veces podemos agrupar varias informaciones o
varios servicios que son equivalentes a efectos de requisitos de seguridad.
Incluso es frecuente hacer paquetes de { informacin + servicios } que la Direccin entiende como un uno.
No siempre es evidente qu es un activo en singular.
Errores tpicos
La [seguridad de la] informacin depende de la aplicacin que la maneja. En trminos
de servicio, se puede decir que la aplicacin no vale para nada sin datos.
A travs de la aplicacin puede accederse a la informacin, convirtindose la
aplicacin en la va de ataque.
Dado que datos y aplicaciones suelen aunar esfuerzos para la prestacin de un
servicio, el valor del servicio se transmite tanto a los datos como a las aplicaciones
intervinientes.
La informacin es un bien esencial, siendo los datos una concrecin TIC de la

informacin, La informacin que maneja un sistema o bien se pone por encima de los
servicios, o bien se agrupa.
1. informacin servicios equipamiento (incluyendo datos, aplicaciones,
equipos, )
2.{ informacin + servicios } equipamiento (incluyendo datos, aplicaciones,
equipos, )
Los errores comentados a veces pasan desapercibidos mientras el sistema es muy

reducido (slo hay un servicio, una aplicacin y un equipo).
Estn bien modeladas las dependencias?

Antes de dar por bueno un modelo de dependencias hay que trazar para cada activo
todos los activos de los que depende directa o indirectamente. Y se debe responder
positivamente a las preguntas de si
Estn todos los que son? Es decir, si se han identificado todos los activos en los que
pue-de ser atacado indirectamente el activo valorado.
Son todos los que estn? Es decir, si realmente el activo valorado puede ser atacado
en todos esos activos de los que depende
Como la relacin de dependencia propaga el valor acumulado, encontrar un activo sin
valor acu-mulado es sntoma de que las dependencias estn mal modeladas o,
simplemente, que el activo es irrelevante.
8.4. Para valorar activos

Siempre conviene valorar la informacin que constituye la razn de ser del sistema de
informacin.
Si se han modelado servicios esenciales (prestados a usuarios externos al dominio de
anlisis), conviene valorarlos igualmente.
En otras palabras: para saber si las dependencias estn bien establecidas, estudie el
valor acumulado.
Los activos ms sencillos de valorar son aquellos que se adquieren en un comercio. Si
se avera, hay que poner otro. Esto cuesta dinero y tiempo (o sea, ms dinero). Se
habla de un coste de re-posicin. Salvo notorias excepciones, frecuentemente ocurre
que el coste de los activos fsicos es despreciable frente a otros costes, pudiendo
obviarse.
8.5. Para identificar amenazas
Se puede partir de la experiencia pasada, propia o de organizaciones similares. Lo que
ha ocurrido puede repetirse y, en cualquier caso, sera impresentable no tenerlo en
cuenta.
Complementariamente, un catlogo de amenazas como el incluido en el "Catlogo de
Elementos" ayuda a localizar lo que conviene considerar en funcin del tipo de activo y
de las dimensiones en las que tiene un valor propio o acumulado.
8.6. Para valorar amenazas
Siempre que sea posible conviene partir de datos estndar. En el caso de desastres
naturales o accidentes industriales, se puede disponer de series histricas, genricas
o del lugar en el que se ubican los equipos de nuestro sistema de informacin bajo
estudio. Probablemente tambin se disponga de un historial que informe de lo que es
frecuente y de lo que no pasa nunca.
Ms complicado es calificar los errores humanos; pero la experiencia permite ir
aquilatando valo-res realistas.
Y lo ms complejo es calificar los ataques deliberados pues dependen de la suerte,
buena o mala. Hay muchos motivos que agudizan el peligro de una amenaza:
8.7. Para seleccionar salvaguardas

Probablemente la nica forma es tirar de catlogo. Use un (sistema) experto que le
ayude a ver qu solucin es adecuada para cada combinacin de
Tipo de activo
Amenaza a la que est expuesto
Dimensin de valor que es motivo de preocupacin
Nivel de riesgo
A menudo encontrar muchas soluciones para un problema, con diferentes calidades.
En estos casos debe elegir una solucin proporcionada a los niveles de impacto y
riesgo calculados.
8.8. Aproximaciones sucesivas

Se empieza por un anlisis somero, de alto nivel, identificando rpidamente lo ms
crtico: activos de gran valor, vulnerabilidades manifiestas o, simplemente,
recomendaciones de libro de texto porque no hay nada ms prudente que aprender en
cabeza ajena, aprovechando la experiencia de los dems.
8.8.1. Proteccin bsica:

Es frecuente or hablar de medidas bsicas de proteccin (baseline) que
deberan implantarse en todos los sistemas, salvo que se demuestre que no son
pertinentes a algn caso particular.
Para aplicar un tratamiento bsico se requiere un catlogo de salvaguardas.

Existen numerosas fuentes, entre las que cabe destacar:
Normas internacionales, por ejemplo [ISO 27002]
Normas sectoriales
Normas corporativas, especialmente frecuentes en pequeas delegaciones
de grandes organizaciones
Las ventajas de protegerse por catlogo son:
es muy rpido
cuesta menos esfuerzo que ponerse a analizar y decidir
Se logra un nivel homogneo con otras organizaciones parecidas
Apndice
1.
Glosario
Diferentes autores u organizaciones definen los mismos trminos de diferentes formas

y maneras.
A1.1. Trminos en espaol
Aceptacin del riego :
Acreditacin: Accin de facultar a un sistema o red de informacin para que

procese da-tos sensibles, determinando el grado en el que el diseo y la
materializacin de dicho sistema cumple los requerimientos de seguridad
tcnica preestablecidos.
Activo: Componente o funcionalidad de un sistema de informacin

susceptible de ser atacado deliberada o accidentalmente con consecuencias
Decisin informada a favor de tomar un riesgo
para la organizacin. Incluye: informacin, datos, servicios, aplicaciones

(software), equipos (hardware), comunicaciones, recursos administrativos,
recursos fsicos y recursos humanos.
Amenaza : Causa potencial de un incidente que puede causar daos a un

sistema de informacin o a una organizacin
Aceptacin del riesgo : Decisin informada a favor de tomar un riesgo
Anlisis de impacto: Estudio de las consecuencias que tendra una parada

de X tiempo sobre la Organizacin .
Ataque : Intento de destruir, exponer, alterar o inhabilitar un sistema de

informacin o la informacin que el sistema maneja, o violar alguna poltica de
segu-ridad de alguna otra manera.
Auditoria de seguridad : Estudio y examen independiente del historial y

actividades de un sistema de informacin, con la finalidad de comprobar la
idoneidad de los controles del sistema, asegurar su conformidad con la
estructura de seguridad y procedimientos operativos establecidos, a fin de
detectar brechas en la seguridad y recomendar cambios en los procedimientos,
controles y es-tructuras de seguridad.
Autenticidad Propiedad o caracterstica consistente en que una entidad es

quien dice ser o bien que garantiza la fuente de la que proceden los datos.
Confidencialidad: Propiedad o caracterstica consistente en que la

informacin ni se pone a dis-posicin ni se revela a individuos, entidades o
procesos no autorizados .
Aceptacin de riesgo: Decisin informada a favor de tomar un riesgo.
Declaracin de aplicabilidad : Documento formal en el que, para un conjunto

de salvaguardas, se indica sin son de aplicacin en el sistema de informacin
bajo estudio o si, por el contrario, carecen de sentido
Degradacin: Prdida de valor de un activo como consecuencia de la

materializacin de una amenaza.
Dimensin de seguridad: Un aspecto, diferenciado de otros posibles

aspectos, respecto del que se puede medir el valor de un activo en elsentido
del perjuicio que causara su prdida de valor
Disponibilidad : Aseguramiento de que los usuarios autorizados tienen acceso

cuando lo requieran a la informacin y sus activos asociados
Impacto residual : Impacto remanente en el sistema tras la implantacin de

las salvaguardas determinadas en el plan de seguridad de la informacin
Incidente de seguridad: Suceso (inesperado o no deseado)

consecuencias en detrimento de la seguridad del sistema de informacin.
Mapa de riesgo: Informe: Relacin de las amenazas a que estn expuestos

los activos.
con
Modelo de valor: Informe: Caracterizacin del valor que representan los

activos para la Organizacin as como de las dependencias entre los diferentes
activos.
Plan de seguridad: Conjunto de proyectos de seguridad que permiten

materializar las decisiones de gestin de riesgos.
Probabilidad: Probabilidad (likelihood) Posibilidad de que un hecho se

produzca.
Proyecto de seguridad: Agrupacin de tareas orientadas a tratar el riesgo del

sistema.
Riesgo Acumulado: Dcese del calculado tomando en consideracin el valor

propio de un activo y el valor de los activos que depende de l
Riesgos potenciales. Los riesgos del sistema de informacin en la hiptesis

de que no hubieran salvaguardas presentes.
Riesgo Residual: Riesgo remanente en el sistema despus del tratamiento

del riesgo.
Seguridad de la informacin : Confianza en que los sistemas de informacin

estn libres y exentos de todo peligro o dao inaceptables
Sistema de informacin : Los ordenadores y redes de comunicaciones

electrnicas, as como los datos electrnicos almacenados, procesados,
recuperados o transmitidos por los mismos para su operacin, uso, proteccin
y mantenimiento .
Trazabilidad: Aseguramiento de que en todo momento se podr determinar

quin hizo qu y en qu momento .
Valor: De un activo. Es una estimacin del coste inducido por la materializacin

de una amenaza.
Valor acumulado: Considera tanto el valor propio de un activo como el valor

de los activos que dependen de l.
Vulnerabilidad: Defecto o debilidad en el diseo, implementacin u operacin

de un sistema que habilita o facilita la materializacin de una amenaza.
A1.2. Trminos anglosajones :

Breve diccionario ingls-espaol de trminos habituales en anlisis y gestin de
riesgos:
Acrnimos
ALE
ARO
BIA
GRC
Annual Loss Expectancy

Annual Rate of Occurrence
Business Impact Analysis
Governance, Risk Management,
and
Compliance
Accountability
Authenticity
Availability
Asset
Business Impact Analysis
Compliance
Confidentiality
Countermeasure
Frequency
Impact
Information security
Information security incident
Information system
Integrity
Residual risk
Risk
Risk acceptance
Risk analysis
Risk assessment
Risk management
Risk map
Risk treatment
Safeguard
Security
Statement of applicability
Traceability
Threat
Value
Vulnerability
Trazabilidad
Autenticidad
Disponibilidad
Activo
Anlisis de impacto
Cumplimiento
Confidencialidad
Contra medida
Frecuencia
Impacto
Seguridad de la informacin
Incidente de seguridad
Sistema de informacin
Integridad
Riesgo residual
Riesgo
Aceptacin de riesgos
Anlisis de riesgos
Anlisis de riesgos
Gestin de riesgos
Mapa de riesgo
Tratamiento del riesgo
Salvaguarda
Seguridad
Documento de seleccin de
controles
Trazabilidad
Amenaza
Valor
Vulnerabilidad
A1.3. ISO Gestin del riesgo .

Definiciones:
Riesgo: Efecto de la incertidumbre sobre la consecucin de los objetivos.

Proceso de gestin del riesgo: Aplicacin sistemtica de polticas,
procedimientos y prcticas de gestin a las activi-dades de comunicacin,
consulta, establecimiento del contexto, e identificacin, anli-sis, evaluacin,
tratamiento, seguimiento y revisin del riesgo.
Dueo del riesgo :Persona o entidad que tiene la responsabilidad y autoridad
para gestionar un riesgo.
Tratamiento del riesgo :Proceso destinado a modificar el riesgo.
Apndice 3. Marco legal
Se apunta cierta normativa legal, nacional e internacional, relevante al caso del

anlisis y gestin de riesgos, bien por exigirlo, bien por sustentarlo, bien por ser de
utilidad en el Proceso de Gestin de Riesgos.
Se han incluido algunas referencias a acuerdos de carcter poltico o de otra
naturaleza a los cuales conviene tambin prestar atencin. Por ejemplo, las Guas de
la OCDE.
A3.1. Seguridad en el mbito de la Administracin electrnica
A3.2. Proteccin de datos de carcter personal
A3.3. Firma electrnica
A3.4. Informacin clasificada
A3.5. Seguridad de las redes y de la informacin
Apndice 4. Marco de evaluacin y certificacin
La complejidad de los sistemas de informacin conlleva un gran esfuerzo para
determinar la calidad de las medidas de seguridad de que se ha dotado y la confianza
que merecen. Es frecuente la aparicin de terceras partes que de forma independiente
emiten juicios sobre dichos aspectos, juicios que se emiten tras una evaluacin
rigurosa y que se plasman en un documento reconocido.
En este captulo se repasan someramente dos marcos en los que se ha formalizado el
proceso de evaluacin y certificacin (o registro):
En los sistemas de gestin de la seguridad de la informacin
En los productos de seguridad
A4.1. Sistemas de gestin de la seguridad de la informacin (SGSI)
Se define sistema de gestin para gestionar sus procesos o actividades, de forma
que los productos que fabrica o los servicios que presta satisfagan los objetivos que la
propia organizacin
satisfacer la calidad demandada por los clientes
cumplir con las obligaciones legales, regulatorias y contractuales
Los sistemas de gestin deben ajustarse al llamado ciclo de Denning (PDCA), habitual
en sistemas de gestin de la calidad:
A4.1.1. La certificacin
Certificar un sistema de gestin de la seguridad consiste en que alguien, externo a la
Organizacin y acreditado para la tarea, afirma que ha auditado el sistema y lo
considera ajustado a la norma correspondiente. En el caso que nos ocupa, la norma

es la UNE-ISO/IEC 27001:2007.
El que certifica compromete en ello su palabra (por escrito). Con todas las cautelas de
alcance y tiempo que se consideren oportunas (y se recojan explcitamente). Y
sabiendo que lo que se ase-gura hoy, hay que revisarlo a medio plazo pues todo
evoluciona.
Para obtener un certificado hay que seguir una serie de formalismos. Sin entrar en
excesivo detalle nos centraremos en qu evala el equipo que enva el organismo de
certificacin a juzgar a la Organizacin.
Antes de que venga el equipo evaluador, hay que tener una foto del estado de riesgo
de la Organizacin. Es decir, que hay que hacer un anlisis de riesgos identificando
activos, valorndolos, identificando y valorando las amenazas significativas. En este
proceso se determina qu salvaguardas requiere el sistema y con qu calidad.
El equipo evaluador inspecciona el sistema de informacin que se desea certificar
contrastndolo con una referencia reconocida que permita objetivar la evaluacin a fin
de evitar cualquier tipo de arbitrariedad o subjetividad y permitir la utilizacin universal
de las certificaciones emitidas. Se utiliza un esquema de certificacin (en el caso que
nos ocupa, la norma UNE-ISO/IEC 27001:2007).
A4.1.2. La acreditacin de la entidad certificadora
La credibilidad del certificado es la confianza que merezca el certificador. Cmo se
construye esta confianza?
Un componente esencial es la credibilidad del esquema de certificacin. Un segundo
componente es la credibilidad de la organizacin que emite los certificados. Esta
organizacin es responsable de la competencia del equipo evaluador y de la ejecucin
del proceso de evaluacin. Para certificar que estas responsabilidades se cumplen se
procede al llamado proceso de acreditacin donde una nueva organizacin evala al
evaluador.
A4.1.3. Terminologa
Se recogen a continuacin los trminos usados en las actividades de certificacin de
sistemas de informacin, tal y como se entienden en este contexto.
Acreditacin: Cuando un Organismo autorizado reconoce formalmente que

una organizacin es competente para la realizacin de una determinada
actividad de evaluacin de la conformidad.
Auditora: Ver evaluacin.
Certificacin: El objetivo es declarar pblicamente que un producto, proceso
o servicio es conforme con requisitos establecidos.
Documento de certificacin (o registro): Documento que afirma que el
(SGSI) de una organizacin es conforme a la normativa de referencia adaptada
a la singularidad de la organizacin certificada.
Documento de seleccin de controles: Describe los objetivos de control y los
controles relevantes y aplicables al (SGSI) de la organizacin. ste documento
debe estar basado en los resultados y conclusiones del proceso de anlisis y
gestin de riesgos.
Esquema de certificacin: Marco tcnico y administrativo que establece la
referencia de trabajo
Evaluacin: Conjunto de actividades que permiten determinar si la

organizacin satisface los criterios aplicables dentro del esquema de
certificacin.
Organismo de certificacin (o registro): certifica (o registra) la satisfaccin
por la organizacin de los requisitos establecidos en el esquema de
certificacin.
Organismos de evaluacin de la conformidad: Son los encargados de
evaluar y realizar una declaracin objetiva de que los servicios y productos
cumplen unos requisitos especficos.
Sistema de gestin: recursos que utiliza una organizacin para alcanzar
(SGSI)
Sistema de gestin de la seguridad de la informacin: basado en los
riesgos para el negocio, establece, implementa, opera, monitoriza, revisa,
mantiene y mejora la seguridad de la informacin.
Poltica de seguridad: Conjunto de normas reguladoras, reglas dentro de una
organizacin.
A4.2. Criterios comunes de evaluacin (CC)

El objetivo es especificar sin ambigedad qu se necesita por parte del comprador y
qu se ofrece por parte del vendedor, de forma que no haya malentendidos sino un
esquema transparente de evaluacin, garantizando la objetividad de las adquisiciones.
Los CC permiten:
definir las funciones de seguridad de los productos y sistemas (en tecnologas
de la informacin) y
determinar los criterios para evaluar la calidad de dichas funciones.
Es esencial la posibilidad que los CC abren para que la evaluacin sea objetiva y
pueda realizarse por una tercera parte (ni por el proveedor, ni por el usuario) de forma
que la eleccin de salva-guardas adecuadas se vea notablemente simplificada para
las organizaciones que necesitan mitigar sus riesgos.
La evaluacin de un sistema es la base para su certificacin. Para certificar es
necesario disponer de
1. unos criterios, que definen el significado de los elementos que se van a evaluar
2. una metodologa, que marque cmo se lleva a cabo la evaluacin
3. un esquema de certificacin37 que fije el marco administrativo y regulatorio bajo el
que se realiza la certificacin
Dado que la calidad de la seguridad requerida de un sistema no es siempre la misma,

sino que depende de para qu se quiera emplear, CC establece una escala de niveles
de aseguramiento38:
EAL0: sin garantas
EAL1: probado funcionalmente
EAL2: probado estructuralmente
EAL3: probado y chequeado metdicamente
EAL4: diseado, probado y revisado metdicamente
EAL5: diseado y probado semiformalmente
EAL6: diseado, probado y verificado semiformalmente
EAL7: diseado, probado y verificado formalmente
A4.2.1. Beneficiarios
Los CC se dirigen a una amplia audiencia de potenciales beneficiarios de la
formalizacin de los conceptos y elementos de evaluacin: los consumidores (usuarios
de productos de seguridad), los desarrolladores y los evaluadores. Un lenguaje comn
entre todos ellos se traduce en ventajas apreciables:
Para los consumidores

Para los desarrolladores
Para los evaluadores
Para todo el mundo
Cuando un anlisis de riesgos expone la relacin de salvaguardas adecuadas, estas

pueden venir expresadas en terminologa CC, lo que permite engarzar con las
ventajas citadas, convirtindose en una especificacin normalizada.
A4.2.2. Requisitos de seguridad
Dado un sistema se pueden determinar, a travs de un anlisis de riesgos, qu

salvaguardas se requieren y con qu calidad.
A4.2.3. Creacin de perfiles de proteccin La generacin de un PP o un ST es

bsicamente un proceso de anlisis de riesgos donde el analista, habiendo
determinado el dominio del anlisis (el TOE en terminologa de CC), identifica
amenazas y determina, a travs de los indicadores de impacto y riesgo, las
salvaguardas que se requieren. En la terminologa de CC, las salvaguardas requeridas
se denominan requisitos de seguridad y se subdividen en dos grandes grupos
requisitos funcionales
requisitos de garanta
A4.2.4. Uso de productos certificados
Cuando un TOE ha sido certificado de acuerdo a un PP o un ST, segn convenga en

cada caso, se puede tener la certeza de que dicho TOE satisface las necesidades y
adems las satisface con la calidad requerida (por ejemplo, EAL4).
La certificacin de un sistema o producto no es garanta ciega de idoneidad: es
necesario cerciorarse de que el PP o ST respecto del que se han certificado satisface
los requisitos de nuestro sistema.
En la medida en que un producto certificado se ajusta a un PP o ST que satisface
nuestras necesidades, la gestin de riesgos se reduce a adquirir el producto, instalarlo
y operarlo en las condiciones adecuadas.
A4.2.5. Terminologa
Debido a que su objetivo es servir de referencia internacional y sustentar evaluaciones
y certificaciones, los criterios comunes deben ser muy precisos en su terminologa. En
el texto previo se han venido introduciendo los trminos segn se necesitaban; estos
trminos se recogen formalmente a continuacin:
Assurance (garanta)
Evaluation (evaluacin)
Evaluation Assurance Level (EAL) (nivel de garanta de evaluacin)
Evaluation authority (autoridad de evaluacin)
Evaluation scheme (esquema de evaluacin)
Formal
Informal
Organisational security policies (Polticas de seguridad organizativas )
Product (producto)
Protection Profile (PP) (perfil de proteccin)
Security objective (objetivo de seguridad)
Security Target (ST) (declaracin de seguridad)
Semiformal
System (sistema)
Target of Evaluation (TOE) (objeto a evaluar)
TOE Security Functions (TSF) (funciones de seguridad del TOE)
TOE Security Policy (TSP) (poltica de seguridad del TOE)
Apndice 5. Herramientas
Todo ello nos indica que hay que manejar multitud de datos y combinaciones entre
ellos, lo que lleva lgicamente a buscar apoyo de herramientas automticas.
Como requisitos generales, una herramienta de apoyo al anlisis de riesgos debe:
permitir trabajar con un conjunto amplio de activos, amenazas y salvaguardas;

permitir un tratamiento flexible del conjunto de activos para acomodar un
modelo cercano a la realidad de la Organizacin;
ser utilizada a lo largo de los tres procesos que constituyen el proyecto,
especialmente como soporte al proceso P2, Anlisis de Riesgos y
no ocultar al analista el razonamiento que lleva a las conclusiones.
Las herramientas pueden hacer un tratamiento cualitativo o cuantitativo de la

informacin.
Sean herramientas cualitativas o cuantitativas, estas deben:

Manejar un catlogo razonablemente completo de tipos de activos. En esta
lnea se orienta el captulo 2 del "Catlogo de Elementos".
Manejar un catlogo razonablemente completo de dimensiones de valoracin.
En esta lnea se orienta el captulo 3 del "Catlogo de Elementos".
Ayudar a valorar los activos ofreciendo criterios de valoracin. En esta lnea se
orienta el captulo 4 del "Catlogo de Elementos".
Manejar un catlogo razonablemente completo de amenazas. En esta lnea se
encamina el captulo 5 del "Catlogo de Elementos".
Manejar un catlogo razonablemente completo de salvaguardas. En esta lnea
se orienta el captulo 6 del "Catlogo de Elementos".
Evaluar el impacto y el riesgo residuales.
XML Extended Markup Language que es la opcin tomada en esta gua, que
establece formatos XML de intercambio
CSV Comma Separated Values
A5.1. PILAR
PILAR, acrnimo de Procedimiento Informtico-Lgico para el Anlisis de Riesgos es
una herramienta desarrollada bajo especificacin del Centro Nacional de Inteligencia
para soportar el anlisis de riesgos de sistemas de informacin siguiendo la
metodologa Magerit.
La herramienta soporta todas las fases del mtodo Magerit:
Caracterizacin de los activos: identificacin, clasificacin, dependencias y

valoracin
Caracterizacin de las amenazas
Evaluacin de las salvaguardas
La herramienta incorpora los catlogos del "Catlogo de Elementos" permitiendo una

homogeneidad en los resultados del anlisis:
tipos de activos
dimensiones de valoracin
criterios de valoracin
catlogo de amenazas
Apndice 6. Evolucin de Magerit

La primera de Magerit, publicada en 1997 ha resistido en su mayor parte el paso del
tiempo, ratificndose en lo fundamental.
La segunda versin, publicada en 2005, se plante como revisin constructiva,
adaptndola al tiempo presente e incorporando la experiencia de estos aos.
Esta tercera versin busca una nueva adaptacin, teniendo en cuenta no solo la
experiencia prctica sino tambin la evolucin de las normas internacionales de ISO
que constituyen un referente obligado.
A6.1. Para los que han trabajado con Magerit v1
Si usted ha trabajado con Magerit v1.0, todos los conceptos le resultarn familiares,
aunque hay cierta evolucin. En particular reconocer lo que se denominaba
submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y

salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue
siendo el eje alrededor del cual se vertebran las fases fundamentales de anlisis y
gestin. Se ha corregido y ampliado lo que se denominaba subestados de seguridad
dndole el nuevo nombre de dimensiones43 e introduciendo nuevas varas de medir
lo que interesa de los activos. El submodelo de procesos aparece bajo el epgrafe de
estructuracin del proyecto de anlisis y gestin de riesgos.
Los 7 libros segregados en Magerit versin 1, han evolucionado:
A6.2. Para los que han trabajado con Magerit v2

Libro I Mtodo
Libro II Catlogo de Elementos
Tcnicas
Cambios en la versin 3:
mejor alineamiento con la normativa ISO, buscando una integracin de las

tareas de anlisis de riesgos dentro de un marco organizacional de gestin de
riesgos dirigido desde los rganos de gobierno
se aligera el texto
se eliminan partes poco importantes o poco usadas
se normalizan las diferentes actividades

Resumen Magerit v3 Libro1 Método Es NIPO

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Resumen Magerit v3 Libro1 Método Es NIPO

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD NACIONAL DEL

Ing. Camilo Ernesto Suarez

Chvez Otiniano Melquisedec

Nuevo Chimbote, Setiembre del 2015

Proyectos de anlisis de riesgos

METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS D ELOS SISTEMAS DE INFORMACION

2. La gestin de riesgos permitir el mantenimiento de un entorno controlado,

Ministerio de Hacienda y Administraciones Pblicas

Proyectos de anlisis de riesgos

INTRODUCCION AL ANALISIS DE GESTION DE RIESGOS:

Ministerio de Hacienda y Administraciones Pblicas

Ministerio de Hacienda y Administraciones Pblicas

Proyectos de anlisis de riesgos

1.9 CUANDO PROCEDE ANALIZAR Y GESTIONAR LOS RIEGOS:

3. METODO DE ANALISISI DE RIESGOS

CONCEPTOS PASO A PASO:

Ministerio de Hacienda y Administraciones Pblicas

3.1.2. Paso 2: Amenazas

De origen natural (terremotos, inundaciones,etc)

Valoracin de las amenazas

3.1.3. Determinacin del impacto potencial

Ministerio de Hacienda y Administraciones Pblicas

Agregacin de valores de impacto

Puede agregarse el impacto repercutido sobre diferentes activos,

puede agregarse el impacto de una amenaza en diferentes dimensiones.

Ministerio de Hacienda y Administraciones Pblicas

Proyectos de anlisis de riesgos

3.1.4. Determinacin del riesgo potencial

zona 1 riesgos muy probables y de muy alto impacto

zona 3 riesgos improbables y de bajo impacto

zona 4 riesgos improbables pero de muy alto impacto

El impacto acumulado sobre un activo debido a una amenaza y

El impacto repercutido sobre un activo debido a una amenaza y

Ministerio de Hacienda y Administraciones Pblicas

Proyectos de anlisis de riesgos

puede agregarse el riesgo repercutido sobre diferentes activos,

3.1.5. Paso 3: Salvaguardas

Reduciendo la probabilidad de las amenazas.

Limitando el dao causado.

Ministerio de Hacienda y Administraciones Pblicas

Proyectos de anlisis de riesgos

Ministerio de Hacienda y Administraciones Pblicas

Proyectos de anlisis de riesgos

3.1.6. Paso 4: impacto residual

para proteger el sistema).

Ministerio de Hacienda y Administraciones Pblicas

Proyectos de anlisis de riesgos

consta de tres subtareas:

Identificacin de los activos

3.2.2. Tarea MAR.2: Caracterizacin de las amenazas

MAR.21: Identificacin de las amenazas

MAR.31: Identificacin de las salvaguardas pertinentes

MAR.41: Estimacin del impacto

Ministerio de Hacienda y Administraciones Pblicas

Informe de insuficiencias o vulnerabilidades

3.4. Lista de control

4. Proceso de gestin de riesgos

la gravedad del impacto y/o del riesgo

las obligaciones a las que por ley est sometida la Organizacin

las obligaciones a las que por contrato est sometida la Organizacin

Ministerio de Hacienda y Administraciones Pblicas

Proyectos de anlisis de riesgos

relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos

4.1.1. Evaluacin: interpretacin de los valores de impacto y riesgo residuales.