COMTEL 2012

IV Congreso Internacional de Computacin y Telecomunicaciones

Un Proceso Prctico de Anlisis de Riesgos de Activos de Informacin

Mg. Marcos Sotelo Bedn 1,2, Jos Torres Utrilla3, Juan Rivera Ortega4
Marcos.sotelo@bcrp.gob.pe, jdtorresu@uni.pe, river.rbk@gmail.com
1Gerencia

de Tecnologas de Informacin, Banco Central de Reserva de Per (BCRP)

2Universidad Nacional Mayor de San Marcos (UNMSM)
3Universidad Nacional de Ingeniera (UNI)
4Universidad de San Martin de Porres (USMP)

Resumen: El artculo presenta un proceso de anlisis de riesgos de activos de informacin, en el contexto de un

Sistema de Gestin de Seguridad de Informacin (SGSI) alineado al estndar ISO/IEC 27001:2005 y un software
(prototipo) que le brinda soporte, aunado a un portal cuyo contenido tiene por finalidad sensibilizar en gestin de
riesgos y seguridad de informacin. Este proceso sigue los lineamientos de los principales estndares y buenas
prcticas en gestin de riesgos y seguridad de la informacin, y viene siendo aplicado en el pas en los ltimos cinco
aos. El presente proceso utiliza el marco referencial Magerit (Metodologa de Anlisis y Gestin de Riesgos de
Tecnologas de Informacin) como eje de la propuesta, no obstante cabe mencionar que a diferencia de este marco, el
proceso en mencin incorpora el Anlisis de Impacto de Negocio(BIA), el cual tiene por objetivo evaluar el impacto
sobre los procesos de negocio, debido a la no disponibilidad de los servicios de tecnologas de informacin, lo que
posteriormente se deriva en la obtencin del nivel de criticidad para cada activo de informacin, lo cual es
indispensable para establecer el nivel de riesgo de los mismos.
Abstract: The article presents a process of risk analysis of information assets, in the context of a System of Information
Security Management (ISMS) aligned to ISO / IEC 27001:2005, and software (prototype) that supports it. This process
follows the guidelines of the major standards and best practices in risk management and information security, and has
been applied in the country over the past five years, this process uses the frame of reference Magerit (Handbook of Risk
Management Information Technology) as the core of the proposal, however it is noteworthy that unlike this framework,
the process in question incorporates the Business Impact Analysis (BIA), which aims to assess the impact on business
processes, due to the unavailability of information technology services, which subsequently leads to obtaining the level
of criticality for each information asset, which is essential to establish the level of risk for them.
Palabras clave: Gestin de riesgos; anlisis de riesgos de activos de informacin; gestin de seguridad de la
informacin; activos de informacin.

1. Introduccin

Tcnico Peruana NTP-ISO/IEC 27001:2008 EDI

Tecnologa de la Informacin. Tcnicas de Seguridad.

La incorporacin acelerada de las tecnologas de

informacin en las entidades privadas y pblicas ha dado
paso a nuevos retos, siendo uno de los relevantes la
gestin de la seguridad de sus activos de informacin,
toda vez que son crticos para su competitividad o
supervivencia [1]. En una gestin por procesos, las
organizaciones son representadas por un conjunto de
procesos (estratgicos, tcticos y operativos), los cuales
son asistidos por diversos activos de informacin, tales
como los Servicios TI, constituidos por un conjunto de
activos TI, como se aprecia en la Figura 1.
En estos procesos, la informacin es uno de los recursos
ms importantes, por lo que su gestin eficiente
constituye un factor crtico para el desempeo
empresarial, debido a ello, requiere una adecuada
proteccin. Una estrategia para darle esa proteccin es
implantando un sistema de gestin de seguridad de
informacin (SGSI), alineado al estndar ISO/IEC 27001
[2], es decir, un proceso sistemtico, documentado y
conocido por toda la organizacin. Para el xito de estos
proyectos es fundamental la participacin de la alta
direccin y el desarrollo de una cultura de seguridad de la
informacin [3].
En muchas organizaciones existe un compromiso
intrnseco de implantar un sistema SGSI. En el caso del
sector pblico, la reciente aprobacin de la Norma

Figura 1. Procesos asistidos por Servicios TI. Fuente:

Elaboracin propia.
Sistemas de Gestin de Seguridad de la Informacin.
Requisitos mediante la Resolucin Ministerial N 1292012-PCM [4] establece su implementacin obligatoria en
las Instituciones Pblicas, siendo la Oficina Nacional de
Gobierno Electrnico e Informtica (ONGEI) el
121

COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones

organismo
encargado
de
supervisar
dicha
implementacin; ello origina la disyuntiva de cmo
iniciar un proceso que permita su implementacin exitosa.
Es en este contexto que surge la propuesta, el cual
pretende contribuir en la solucin de dicho problema, a
travs de la descripcin de un proceso de anlisis de
riesgos de activos de informacin.
En lneas generales, implantar un SGSI comprende los
procesos o actividades ilustradas en la Figura 2, que
pueden descomponerse en:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

Identificar los objetivos del negocio.

Obtener el patrocinio de la alta direccin.
Establecer el alcance (algunos procesos del negocio).
Realizar un diagnstico (Gap Analysis).
Asignar recursos y capacitar al equipo.
Analizar los riesgos de activos de informacin.
Elaborar y ejecutar un plan de tratamiento de riesgos.
Establecer la normativa para controlar el riesgo.
Monitorizar la implantacin del SGSI.
Prepararse para la auditora de certificacin.
Llevar a cabo auditoras internas peridicas.

method [5] brinda un enfoque cuantitativo de Anlisis de

Riesgos de Informacin.
La gestin integral de riesgos ha ganado impulso en los
ltimos aos, especialmente a partir de la dcada de los
noventa, lo que ha conllevado la aparicin de Modelos
de Gestin de Riesgos, algunos de ellos de carcter
general, como los estndares Australiano /neozelands
(AS/NZS 4630) e ISO/IEC 31000, y otros de carcter ms
especfico, tales como: Commitee of Sponsoring
Organizations (COSO), ISO 14000, ISO 22000, ISO
27005 y Occupational Health and Safety Advisory
Services (OHSAS).

a.

Estndar Australiano
(AS/NZS 4360:2004)

neozelands

El proceso de gestin de riesgos propuesto por la norma

AS/NZS 4360:2004 [6] contempla los siguientes subprocesos:

Establecimiento del contexto.

Identificacin de riesgos.
Anlisis de riesgos.
Evaluacin de riesgos.
Tratamiento de los riesgos.

b. ISO 31000:2009
Este estndar propone unas pautas genricas sobre cmo
gestionar los riesgos de forma sistemtica y transparente.
El enfoque est estructurado en tres elementos claves para
una efectiva gestin de riesgos:

c.
Figura 2. Actividades del SGSI. Fuente: Elaboracin
propia.
Siendo uno de los ms relevantes el proceso de Anlisis
de Riesgos, que comprende la identificacin, estimacin y
evaluacin de riesgos. Es por ello que este artculo
presenta un proceso de anlisis de riesgos de activos de
informacin y un software (prototipo) que lo asiste.
La estructura del artculo comienza con una breve
introduccin, en la cual se describe el problema y la
propuesta de solucin, consistente en la formulacin de
un proceso de Anlisis de Riesgos de activos de
Informacin. En la seccin 2, se hace un recuento breve
de trabajos relacionados y de los estndares de Gestin de
Riesgos y Seguridad de Informacin, para luego pasar a
detallar el proceso propuesto, continuando con el anlisis
de resultados y las posteriores conclusiones.

2. Trabajos Previos
En el contexto local, casi no existen publicaciones
relacionadas con la propuesta. La mayora de informacin
concerniente al tema es abordada por los estndares y
manuales de buenas prcticas en Gestin de Riesgos y
seguridad de la informacin, sin embargo un estudio
denominado ISRAM: Information security risk analysis

Los principios para la gestin de riesgos.

La estructura de soporte.
El proceso de gestin de riesgos.

ISO/IEC 27005:2008

El estndar ISO/IEC 27005:2008, define las directrices

para elaborar el proceso de anlisis de riesgos. ste forma
parte de la familia ISO 27000, y sirve de complemento a
las dos primeras normas de la familia, ISO/IEC
27001:2005 e ISO/IEC 27002:2005. La propuesta es
similar al AS/NZS y contempla los siguientes subprocesos:

Establecimiento del contexto.

Valoracin de riesgos.
Tratamiento de riesgos.
Aceptacin de riesgos.
Comunicacin de riesgos.
Monitorizacin y revisin de riesgos.

d. Mtodos de Anlisis y Gestin de Riesgos

de
Tecnologas
de
Informacin
(MAGERIT)
El mtodo MAGERIT [7], desarrollado por el Consejo
Superior de Administracin Electrnica, y publicado por
el Ministerio de Administraciones Pblicas de Espaa,
comprende dos grandes procesos: El anlisis de riesgos y
la gestin de riesgos.

122

COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones

El anlisis de riesgos permite determinar qu tiene la

organizacin y qu podra pasar. Para ello toma en
consideracin los elementos ilustrados en la Figura 3.

5.
6.
7.
8.
9.

Determinacin de probabilidades.
Anlisis de impacto.
Determinacin del riesgo.
Recomendacin de controles.
Documentacin de resultados.

3. Proceso propuesto
El proceso de anlisis de riesgos de activos de
informacin propuesto ha sido elaborado con base en su
aplicacin en una Institucin del sector pblico,
obtenindose resultados satisfactorios, lo cual ha
permitido su validacin, haciendo a sta factible de
aplicar a las dems organizaciones del sector.

Figura 3. Elementos en el anlisis de riesgos [7].

Los sub-procesos comprendidos son:

Identificar los activos a tratar, las relaciones entre

ellos y la valoracin que merecen.
Identificar las amenazas significativas sobre aquellos
activos y valorarlos en trminos de frecuencia de
ocurrencia y degradacin que causan sobre el valor
del activo afectado.
Identificar las salvaguardas existentes y se valorar la
eficacia de su implementacin.
Estimar el impacto y el riesgo al que estn expuestos
los activos del sistema.
Interpretar el significado del impacto y el riesgo.

El proceso se defini siguiendo los lineamientos de los

estndares descritos en la seccin anterior, especialmente
MAGERIT, donde la diferencia principal radica en la
forma de determinacin del impacto, que en este caso se
hace a travs del Business Impact Analysis, BIA.
El proceso comprende, la identificacin, estimacin y
evaluacin de riesgos, como se ilustra en la Figura 4. ste
asume que el contexto est establecido, y se complementa
con el tratamiento, monitorizacin y comunicacin de
riesgos, para completar la gestin de riesgos.

La gestin de riesgos consiste en la estructuracin de las

acciones de seguridad para satisfacer las necesidades
detectadas por el anlisis. Comprende las actividades:

e.

Elegir una estrategia para mitigar el impacto y riesgo.

Determinar las salvaguardas oportunas para el
objetivo anterior.
Determinar la calidad necesaria para dichas
salvaguardas.
Disear un plan de seguridad (plan de accin o plan
director) para llevar el impacto y el riesgo a niveles
aceptables.
Llevar a cabo el plan de seguridad.

National Institute of Standards and

Technology Special Publication (NIST
SP 800-30): Gua de gestin de riesgos
para sistemas de tecnologas de la
informacin

El National Institute of Standards and Technology (NIST)

ha dedicado una serie de publicaciones especiales a la
seguridad de la informacin (SP 800). Esta serie incluye
una metodologa para el anlisis y gestin de riesgos de
seguridad de la informacin, NIST SP 800-30 [8], que
comprende los siguientes subprocesos:
1.
2.
3.
4.

Caracterizacin de Sistemas.
Identificacin de amenazas.
Identificacin de vulnerabilidades.
Anlisis de controles.

Figura 4. Anlisis de riesgos de activos de informacin.

Fuente: Adaptado del estndar ISO 31000:2009.

1. Establecimiento del contexto

El anlisis de riesgos se realiza en el marco de la gestin
integral del riesgo institucional. En el mbito del SGSI el
alcance del anlisis de riesgos es el del SGSI, es decir, un
conjunto de activos de informacin (Ai), que asisten a los
procesos institucionales (Pk), que constituyen el alcance
del SGSI.
En este proceso, el riesgo se determina en forma
cualitativa, a partir de la Probabilidad, de que se
materialice una amenaza, por el Impacto, que ocasione en
la institucin, a travs de los procesos que asiste. La
valoracin de los dos factores se realiza con base en
escalas de 5 valores, consignados en la Tabla 1 y Tabla 2.
El riesgo resultante se clasifica en 4 niveles, como se
ilustra en la Figura 5.
Nivel de aceptacin o tolerancia al riesgo
Con base en el resultado del anlisis de riesgos y lo
consignado en la Tabla 3, los activos con riesgo extremo e
intolerable deben ser llevados por lo menos al nivel
tolerable, y aquellos activos crticos con nivel de riesgo
tolerable deben ser llevados al nivel aceptable.
123

COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones

2. Identificacin de riesgos
Comprende la identificacin de los riesgos de los activos
de informacin, por lo que demanda del inventario de
estos activos [9], incluyendo su valor, determinado a
partir de sus tres dimensiones de seguridad
(Disponibilidad, Integridad y Confidencialidad) como
mnimo. Para este proceso, los activos son agrupados en
las categoras consignadas en la Tabla 4.

Impacto
Valor Nivel
1
2
3
5
8

Descripcin
Impacta levemente en la
Insignificante
operatividad del proceso
Impacta en la operatividad
Menor
del proceso
Impacta en la operatividad
Moderado
del macro proceso
Impacta en la operatividad
Mayor
de los procesos
Impacta fuertemente en la
Desastroso
operatividad
de
los
procesos

Tabla 2. Valoracin del Impacto. Fuente: Elaboracin

propia.
Aceptacin/Tolerancia

Figura 5. Mapa de riesgos. Fuente: Elaboracin propia.

Probabilidad
Valor Grado
1

Raro

Muy baja

Descripcin
Puede ocurrir una vez cada 2
aos
Al ao

Baja

En 6 meses

Media

Al mes

Alta

A la semana

Valor Nivel

Descripcin

Aceptable

Tolerable

Intolerable

Extremo

Retenido
Para activos no crticos,
pero intolerable para crticos
Atencin
inmediata
y
monitoreo permanente.
Tratado como intolerable,
pero a nivel de Gerencia
General.

Tabla 3. Valoracin del Nivel de Aceptacin/Tolerancia.

Fuente: Elaboracin propia.

Tabla 1. Valoracin de la Probabilidad. Fuente:

Elaboracin propia.
Categoras de Activos de Informacin
Identificador

Categora

Ejemplos

STI

Servicios TI

SW

Software / Aplicaciones

HW

Hardware / equipos

SI
COM

Soportes de informacin
Redes de comunicaciones

DAT

Datos / Informacin

Aplicacin + infraestructura TI de soporte.

Aplicaciones, sistemas operativos, herramientas de desarrollo y
utilitarios
Servidores (S.O.), PCs, routers, hubs, firewalls, medio magntico,
gabinetes, cajas fuertes, salas, mobiliario, sistema de alarma, etc.
SAN, discos, cintas, USB, CD, DVD.
Medios de transporte que llevan datos de un sitio a otro
BD, archivos de datos, contratos y acuerdos, documentacin del
sistema, informacin de investigacin, manuales de usuario,
material de entrenamiento, de operacin, procedimientos de
soporte, planes de continuidad y contingencia, acuerdos

AUX
INS
PER
SRV

Equipamiento de soporte a los sistemas de informacin (UPS,

Generados, Aire acondicionado, cableado, etc.)
Lugares donde se hospedan los sistemas de Informacin, registros
Locales / Instalaciones
vitales y comunicaciones
Personas, calificaciones, experiencia y capacidades (usuarios,
Personal / RR.HH.
proveedores, personal de TI)
Vigilancia,
servicios
de
impresin,
computacin,
Servicios generales
telecomunicaciones, elctrica, agua, etc.
Tabla 4. Clasificacin de Activos de Informacin. Fuente: Adaptado del estndar Magerit [7].
Equipamiento auxiliar

124

COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones

Los activos estn expuestos a amenazas, que pueden

materializarse
(explotando
vulnerabilidades)
con
determinada frecuencia o probabilidad, dependiendo de la
eficacia de los controles o salvaguardas vigentes.
Para la determinacin de riesgos, este proceso utiliza el
catlogo de amenazas de MAGERIT, y las
vulnerabilidades y controles identificados por los
administradores de activos, con base en su experiencia e
informacin de los fabricantes. Las amenazas estn
organizadas en las categoras consignadas en la Tabla 5, y
pueden afectar a ms de un tipo de activo.
Categoras de Amenazas
Identificador Tipo
N

Desastres naturales

De origen industrial

Errores y fallos no intencionados

Ataques intencionados

Tabla 5. Clasificacin de las Amenazas. Fuente:

Adaptado del estndar Magerit [7].

El impacto de la interrupcin de un proceso I(Pk),

ocasionado por un incidente en uno de sus servicios Si, se
determina a partir de tres (3) factores:
a)

El impacto de su macroproceso en el cumplimiento

de los objetivos de la entidad;

b) El nivel de dependencia del proceso Pk, con relacin

a sus servicios Si.
c)

El impacto del proceso Pk en funcin a los tiempos

de recuperacin objetivo (RTO-Recovery Time
Objective).

Para el factor (a), los dueos de macroprocesos asignan

un valor de impacto (Alto, Medio, Bajo) para cada
macroproceso. Para el factor (b), utilizando la matriz
Procesos vs. Servicios, se asigna un valor de dependencia
(Alto, Medio, Bajo).
Para el factor (c), se trabaja con las reas de impacto y
valores de RTO consignados en las Tabla 6, asignndose
los valores de impacto (con base en la Tabla 2) para cada
una de las reas. Este factor resulta de la sumatoria del
producto del peso relativo de cada rea por el impacto
acumulado correspondiente.
reas de Impacto

3. Estimacin de riesgos
El equipo de anlisis de riesgos (especialistas en riesgos,
en seguridad, y administradores de activos) determina el
impacto y probabilidad, calcula el riesgo actual, establece
los controles recomendados, y determina el riesgo
residual, es decir, el riesgo resultante luego de que se
implementen los controles establecidos. El resultado es el
Informe de Anlisis de Riesgos, que establece el modo de
tratamiento y los controles recomendados. El Riesgo de
un servicio de informacin Si, denominado riesgo
repercutido (RR) [2], es obtenido a partir de sus activos
por medio de una funcin, tal como promedio (simple o
ponderado) o mximo.

reas

Peso Relativo

Objetivo Estratgicos / Funciones

30%

Financiero

20%

Objetivo y Metas del Proceso u

otros Procesos Vinculados

10%

Reputacin / Imagen / Credibilidad

30%

Situacin y Bienestar del Personal

10%

RTO

TR 10' 30'

10

1
h

2
h

4
h

8
h

2
d

5
d

15
d

3.1. Determinacin del Impacto

Impacto

En este proceso, el impacto de un activo, I(Aj) es igual al

impacto mayor de los servicios donde participa; a su vez,
el impacto de un servicio I(Si) es igual al impacto mayor
de los procesos que asiste. El impacto de un proceso I(Pk)
se determina en el proceso de anlisis de impacto en el
negocio (BIA - Business Impact Analysis).

Tabla 6. reas de impacto y RTO. Fuente: Elaboracin

propia.

El proceso BIA permite determinar el impacto de los

procesos Pk, y la criticidad de los Servicios TI Si, que lo
asisten. Asimismo, los tiempos de recuperacin objetivo
(RTO-Recovery Time Objective) y el impacto asociado
con la interrupcin de los procesos por un determinado
periodo. Este proceso se realiza con la participacin de los
dueos de procesos.

3.2. Determinacin de la probabilidad

Esta labor se realiza con el formato de trabajo ilustrado en
la Figura 6, con base en el juicio experto del equipo.
Sabiendo la probabilidad de una amenaza se decide qu
medidas establecer para reducirlas, medidas que
conllevan un coste [10]. La informacin obtenida en la
identificacin y la documentacin de vulnerabilidades,
incidentes y seguimiento de riesgos.

125

COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones

Figura 6. Formato de anlisis de riesgos de activos TI. Fuente: Elaboracin propia.

4. Evaluacin de riesgos
Con base en los resultados obtenidos en el anlisis y la
poltica de aceptacin / tolerancia al riesgo, se procede a
la evaluacin. Para cada activo, si el nivel de riesgo es
aceptable, el proceso concluye, caso contrario, se define
la estrategia de tratamiento (evitar, transferir o mitigar) y
se establecen los controles (salvaguardas) necesarios, pero
los mismos no aseguran que el nivel de riesgo sea
mnimo. La ejecucin de simulaciones permite conocer el
estado real de la implementacin de los controles [11]. En
el caso de mitigacin, los controles pueden ser
preventivos o correctivos, en el ltimo caso, ser
necesario definir un Plan de Continuidad de Servicios TI
(denominado tradicionalmente PRD - Plan de
Recuperacin ante Desastres). En esta actividad se
concluye el Informe de Anlisis de riesgos de activos de
informacin, a partir del cual se elabora el Plan de
Tratamiento de Riesgos (PTR).

5. Discusin de la Propuesta
El proceso establece una secuencia metdica para realizar
exitosamente el Anlisis de Riesgos de activos de
informacin. ste ha sido elaborado bajo las directrices
de estndares y buenas prcticas en gestin de riesgos y
seguridad de la informacin, especialmente MAGERIT.
La diferencia entre la propuesta y dichos estndares se
centra en que el proceso explica de manera detallada
cmo realizar el anlisis de riesgos (no slo qu se debe
hacer), y ste viene siendo aplicado en una institucin
pblica, observndose resultados favorables consistente
en la obtencin oportuna del Informe de Anlisis de
Riesgos de Activos de Informacin, a partir del cual se
elabora el Plan de Tratamiento de Riesgos (PTR) para su
posterior ejecucin y seguimiento.
Es importante precisar que la diferencia principal con
MAGERIT radica en la determinacin del impacto, que
en este caso se realiza a travs del proceso Business

Impact Analysis, BIA, lo cual permite establecer una

relacin directa entre los activos TI y los procesos
institucionales, quienes son los que en realidad causan el
impacto en el cumplimiento de la misin.
Considerando que este proceso puede tornarse laborioso
cuando se tiene una cantidad relevante de activos (ms de
500), se estim conveniente el diseo y desarrollo de un
software de anlisis de riesgos, el que forma parte del
proyecto Una Herramienta Peruana para la Gestin del
Riesgo Operacional y Tecnolgico, cuyo objetivo es
contribuir a la generacin de ventajas competitivas en las
organizaciones.
La idea de la elaboracin del software yace sobre el
concepto de soporte al proceso propuesto mediante la
automatizacin de puntos operativos del proceso y
proporcionando informacin relevante al especialista en
riesgos, la misma que se sintetiza en un mapa de riesgos
de activos de informacin.
Esta herramienta se viene desarrollando con tecnologa
Java EE bajo una arquitectura distribuida.
El componente que asiste al proceso de anlisis de riesgos
presentado est constituido por los mdulos:
a)

Catlogo:
Facilita la gestin de la informacin sobre los
procesos, los servicios TI que los asisten y los activos
TI que constituyen dichos servicios permitiendo la
generacin de reportes y consultas de dicha
informacin.

b) Anlisis de impacto:
Asiste al subproceso de Anlisis Impacto al Negocio
(BIA) facilitando la solucin de cuestionarios en
lnea, a partir de los cuales se determina el impacto de
los procesos en el negocio y la criticidad de los
servicios TI.

126

COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones

c)

Anlisis de riesgos:
Asiste al subproceso de anlisis de riesgos de activos
de informacin donde el especialista de TI asignado
para el anlisis de riesgos del activo, registra en lnea
su evaluacin en el sistema a travs de una interface
de usuario. Con esta informacin se realiza la
determinacin del nivel de riesgo y se genera el
Informe de anlisis de riesgos.

Tal como se mencion en la introduccin del artculo, la

concepcin del proceso responde a la necesidad creciente
de las Organizaciones de implementar proyectos de
Seguridad de Informacin en los cuales la actividad de
Anlisis de riesgos es fundamental y dnde la
participacin de la alta direccin es determinante, por
consiguiente el inicio de un programa de sensibilizacin a
travs de la difusin de documentacin relacionada se
constituye de vital importancia, por ende el proceso
propuesto se complementa con un portal [12] para
facilitar sensibilizar e involucrar a todos los miembros
de la Organizacin mediante publicaciones peridicas
en materia de Gestin de riesgos y seguridad de
informacin.

6. Conclusiones
El nmero de implantaciones de SGSI alineados al
estndar ISO 27001 en el pas es muy bajo, y ms an las
empresas que han alcanzado la certificacin. Los pocos
proyectos en el rubro tienden a fracasar usualmente
debido a la falta de patrocinio, poca conciencia en
seguridad de la informacin y adopcin de estndares.
El artculo pretende reducir esta brecha dando los
lineamientos generales para abordar un proyecto SGSI, y
tratando en detalle el proceso clave de anlisis de riesgos.
El proceso propuesto ha sido aplicado en una entidad
pblica obtenindose resultados satisfactorios, lo cual nos
permite inferir que el proceso en mencin es factible de
aplicarse en las dems organizaciones del sector, en un
contexto donde existe la necesidad cada vez mayor de
implantar un SGSI.
El proceso manual o asistido con herramientas de
ofimtica puede tornarse engorroso para un nmero
considerable de activos (ms de 500). Frente a esta
situacin y considerando que las herramientas para este
fin son escasas y costosas, se ha iniciado el desarrollo de
un software.

La conduccin de proyectos de implantacin de SGSI

requiere de facilitadores, los que no estn disponibles o
estn fuera del alcance del presupuesto de nuestras
empresas e instituciones. Con el proceso propuesto y la
documentacin divulgada a travs del portal [12] se
pretende prestar cierta ayuda.

Referencias bibliogrficas
[1].

Jos M. Huidobro Moya, David Roldn Martnez;

Seguridad en redes y sistemas informticos
editorial, Thomson Paraninfo, Madrid 2005.
[2]. ISO27000.es: Portal de ISO 27001 en espaol.
[3]. Alberto G. Alexander; Diseo y Gestin de un
sistema de Seguridad de Informacin, ptica ISO
27001:2005, editorial: Alfaomega, 2007.
[4]. Presidencia del Consejo de Ministros (PCM/
ONGEI), Resolucin Ministerial N 129-2012PCM
[5]. Bilge
Karabacaka,
Ibrahim
Sogukpinarb;
ISRAM: information security risk analysis
method, National Research Institute of
Electronics & Cryptology (UEKAE), P.O Box 74,
41470 Gebze, Kocaeli, Turkey; Gebze Institute of
Technology, 41400 Gebze, Kocaeli, Turkey; July
2004.
[6]. AS/NZS 4360:2004. Estndar Australiano /
Neozelands para la gestin de riesgos.
[7]. Metodologa de Anlisis y Gestin de Riesgos de
los
Sistemas
de
Informacin
de
las
Administraciones Pblicas MAGERIT.
[8]. NIST - Risk Management Guide.
[9]. Eduardo Fernndez, Medina Patn; Roberto, Moya
Quiles, Seguridad de las tecnologas de
informacin, Construccin de la confianza para
una sociedad conectada. Editorial: AENOR,
Madrid, 2003.
[10]. Vicente Aceituno Canal; Seguridad de la
informacin, Expectativas, Riesgos y Tcnicas de
proteccin, Editorial Limusa, Mxico 2006.
[11]. Pedro Andrs, Morales Zamudio; Diseo de una
solucin de un sistema de seguridad informtica en
empresas estatales, Informe de Suficiencia
profesional, Lima, 2010.
[12]. Portal de difusin de la documentacin del Proceso
propuesto y de Seguridad de Informacin,
www.EmprendedorTIC.net/sgsi

127