Asignatura Datos del alumno Fecha

Apellidos: Barrón Botello

Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

Actividades

Actividad: Elaboración del documento de metodología de

análisis y gestión de riesgos de una organización

Imagina que eres el responsable de seguridad de la información de una compañía

(CISO) y la dirección te ha encargado que elabores un Plan Director de Seguridad de la
Información, una de las decisiones que debes tomar es la elección de una metodología
de análisis y gestión de riesgos, que a partir de la aprobación del PDSI será de
utilización obligatoria.

El resultado de la elección de la metodología más apropiada deber ser el documento

«metodología de análisis y gestión de riesgo», en el que se describe y desarrolla la
metodología elegida.

Para elaborar el documento debes estudiar las metodologías de análisis y gestión de

riesgos existentes, escoger la más apropiada y adaptarla a las necesidades de la
organización.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

PLAN DIRECTOR DE SEGURIDAD DE LA INFORMACIÓN (PDSI)

GLOSARIO

ACTIVO INFORMÁTICO: Se define como todo aquello pueda generar valor para la
empresa u organización y que éstas sientan la necesidad de proteger. Un activo o
recurso informático está representado por los objetos físicos (hardware, como los
routers, switches, NAC, firewalls, cámaras, computadoras), objetos abstractos
(software, sistemas de información, bases de datos, sistemas operativos) e incluso el
personal de trabajo y las oficinas.
AMENAZA: Es el potencial que un intruso o evento explote una vulnerabilidad
específica. Es cualquier probabilidad que pueda ocasionar un resultado indeseable para
el Banco Mexicano de Desarrollo o para un activo en específico. Son acciones que
puedan causar daño, destrucción, alteración, pérdida o relevancia de activos que
podrían impedir su acceso o prevenir su mantenimiento.
ATAQUE: Es cualquier intento no autorizado de acceso, uso, alteración, exposición,
robo, indisposición o destrucción de un activo.
CONTROL DE SEGURIDAD: Es un conjunto de normas, técnicas, acciones y
procedimientos que interrelacionados e interactuando entre sí con los sistemas y
subsistemas organizacionales y administrativos, permite evaluar, comparar y corregir
aquellas actividades que se desarrollan en las organizaciones, garantizando la ejecución
de los objetivos y el logro de las metas institucionales.
EVENTO: Es una situación que es posible pero no certera; es siempre un evento futuro
y tiene influencia directa o indirecta sobre el resultado. Un evento se trata como un
suceso negativo y representa algo indeseado.
IMPACTO: Es la cantidad de daño que puede causar una amenaza que explote una
vulnerabilidad.
POLÍTICAS DE SEGURIDAD: Es un documento que define el alcance de la
necesidad de la seguridad para la organización y discute los activos que necesitan
protección y el grado para el cual deberían ser las soluciones de seguridad con el fin de
proveer la protección necesaria
RIESGO INFORMÁTICO: Es la probabilidad de que una amenaza en particular
expone a una vulnerabilidad que podría afectar a la organización. Es la posibilidad de
que algo pueda dañar, destruir o revelar datos u otros recursos.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: Es un

marco de administración general a través del cual las organizaciones identifican,
analizan y direccionan sus riesgos en la seguridad de la información. Su correcta
implementación garantiza que los acuerdos de seguridad están afinados para
mantenerse al ritmo constante con las amenazas de seguridad, vulnerabilidades e
impactos en el negocio, el cual es un aspecto a considerar profundamente teniendo en
cuenta la competitividad y cambios a los que enfrentan las organizaciones hoy en día.
VULNERABILIDAD: Es una falla o debilidad en los procedimientos, diseño,
implementación o controles internos en un sistema de seguridad. Es cualquier
ocurrencia potencial que pueda causar un resultado indeseado para una organización o
para un activo en específico.
Los Sistemas de Gestión de Seguridad de la Información consisten en una serie de
procesos cuyo objetivo es proteger los activos y mantener los principios de
Confidencialidad, Integridad y Disponibilidad de ellos a través de un ciclo de
mejoramiento continuo, donde la fase de diseño o planeación comprende en establecer
políticas, objetivos, procesos y procedimientos relevantes a la gestión de los riesgos
informáticos.

La oficina de Sistemas y Telecomunicaciones es la unidad encargada de prestar los

servicios de TI en el Banco Mexicano de Desarrollo que ayudan al normal
funcionamiento de los procesos internos y es el ente encargado de velar por los activos
informáticos y la seguridad de la información del BMD. Por consiguiente, se pretende
establecer las bases para la posterior implementación de un Sistema de Gestión de la
Seguridad de la Información siguiendo las mejores prácticas de estándares de
seguridad internacionales como lo es la norma ISO 27005:2011, y mediante una
metodología de análisis de riesgos se identifican qué activos informáticos son los más
críticos y de mayor impacto que requieren mayores controles de seguridad y así
establecer una correcta Gestión de Riesgos de la Seguridad de la Información.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

PROCESO ISO 27005:2011

Se elige la metodología del proceso ISO 27005:2011, ya que es un estándar

internacional que se ocupa perfectamente de la gestión de riesgos de seguridad de
información. La norma suministra las directrices para la gestión de riesgos de
seguridad de la información en cualquier empresa o dependencia, apoyando los
requisitos del sistema de gestión de seguridad de la información definidos en ISO
27001:2013.

EL ISO 27005:2011 es aplicable a todo tipo de organización que tenga la intención de

gestionar los riesgos que puedan complicar la seguridad de la información de su
organización. La implementación de una metodología dependerá de una serie de
factores, como el alcance real del Sistema de Gestión de Seguridad de Información
(SGSI), o el sector comercial de la industria bancaria.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

https://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-
seguridad-la-informacion

ALCANCE Y OBJETIVO.

El análisis del riesgo es crucial para el desarrollo y operación de un sistema de

seguridad de la información. En esta etapa, la organización debe construir lo que será
su “modelo de seguridad”, esto es, una representación de todos sus activos y sus
dependencias jerárquicas, así como el mapa de amenazas (todo aquello que pudiera
ocurrir y que tuviera un impacto para la organización). Posteriormente se realiza la
estimación de impactos (probabilidad de que se materialice la amenaza) y se calcula el
riesgo al que está sometida la organización.

Sin embargo, este diagnóstico es válido sólo para ese momento puntual en el tiempo.
No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas
amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el
caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en
este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y
cuestionarse si tiene nuevos síntomas o si los síntomas detectados han sido ya
mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua
afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es
plantearse para el siguiente año atacar los siguientes.

Es realizar un diagnóstico de la situación actual en cuanto a la seguridad de

información que el Banco Mexicano de Desarrollo actualmente administra y diseñar un
Plan de Seguridad de Información que permita desarrollar operaciones seguras basadas
en políticas y estándares claros y conocidos por todo el personal del Banco.

ESTABLECIMIENTO DEL CONTEXTO.

El análisis realizado al BMD, así como su estudio se realizó en el marco del
conocimiento previo de su entorno, de sus necesidades y su ambiente en general, lo
anterior para garantizar el éxito del proyecto.
Este conocimiento marcará la pauta para la toma de decisiones, basadas en los
resultados obtenidos, así como especificara el objetivo a realizar, ósea, una evaluación
de riesgos.
En la primera fase, el objetivo principal es que el BMD tenga una visión global de los
factores que tienen influencia en la capacidad de conseguir sus metas y objetivos
establecidos.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

Esta fase se compone de las siguientes actividades:

o Establecer el contexto externo

 Es importante conocer la interacción que tiene el BMD con el exterior
(clientes, política, economía, regulaciones vigentes, competencia,
gobierno, sociedad en general).
 Es importante que el BMD esté consciente de sus fortalezas, debilidades,
oportunidades y amenazas (FODA), ya que le ayudará a desarrollar
criterios acertados para la administración y evaluación de riesgos.
o Establecer el contexto interno
 Después de conocer en donde se encuentra el BMD, hay que mirar al
interior: Los aspectos más importantes son:
 La cultura organizacional
 Las políticas internas
 Grupos internos como colaboradores, accionistas, trabajadores,
sindicatos, etc.
 La estructura organizacional
 La capacidad, en términos de recursos como personas, procesos,
sistemas y capitales
 Las metas y objetivos, así como las estrategias implementadas
para lograrlos
o Establecer el contexto de administración de riesgos
Una vez que sabemos de forma global donde estamos parados, es tiempo de
establecer límites y reglas bajo los cuales realizaremos la evaluación de riesgos,
aquí establécenos objetivos, metas, estrategias, alcances y límites, bajo los
cuales la evaluación y la gestión de riesgos operará.
 Necesitamos conocer y establecer los límites y alcances:
 Definir las partes de la organización, procesos, proyectos o
actividades serán sujetos a la evaluación junto con sus metas y
objetivos.
 Definir la naturaleza de las decisiones que se deben tomar
producto de la evaluación
 Establecer la duración y los lugares de ejecución.
 Identificar si existe la necesidad de realizar otros estudios
complementarios y el alcance, objetivos y recursos involucrados.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

 Determinar la existencia de alguna excepción y justificarla.

Otro punto importante en este paso, es establecer los roles y responsabilidades
de los participantes en la evaluación de riesgos.

o Desarrollar criterios
 Se deben considerar aspectos operativos, de factibilidad técnica, de
costo-beneficio, medio ambiente, legales, etc.

IDENTIFICAR RIESGOS.
Las principales preguntas son: qué, cuándo, cómo y por qué pueden suceder.
Ejemplos de vulnerabilidades y amenazas (ISO 27005:2011):
Son una extracción del Anexo D –Vulnerabilidades y Amenazas de la norma ISO
27005:2011, como ejemplo.
Es de vital importancia, cuidar la forma en que llevaremos a cabo esta fase, ya que los
riesgos que no están identificados, es muy probable que sean omitidos, pues será difícil
que salgan estas fases posteriores.

Tipo Ejemplo de Vulnerabilidades Ejemplo de amenazas

Brechas de mantenimiento
Mantenimiento insuficiente
del sistema de información
Hardware Susceptible a humedad, polvo Radiación electromagnética
Susceptible a variaciones de
Fenómenos meteorológicos
temperatura
Falta o insuficiencia de pruebas de
Abuso de privilegios
software
Software Fallas conocidas en el software Abuso de privilegios
Falta de mecanismos de autenticación e
Suplantación de identidad
identificación
Líneas de comunicación desprotegidas Espionaje
Arquitectura de red insegura Espionaje remoto
Red
Falta de identificación y autenticación
Suplantación de identidad
de emisor y receptor
Brechas en la disponibilidad
Ausencia de personal
Personal del personal
Entrenamiento de seguridad Error en el uso

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

insuficiente
Procesamiento ilegal de
Falta de mecanismos de monitoreo
datos
Uso inadecuado o descuido de controles Destrucción de equipo o
de acceso físico a edificio y cuartos. medios
Centro de Pérdida de provisión de
Alimentación de energía inestable
datos energía eléctrica y servicios
Falta de protección física del edificio,
Robo de equipo
puertas y ventanas
Falta de procedimientos formales para
Abuso de privilegios
el registro y des-registro de usuarios
Falta de procedimientos para el
Organización monitoreo de instalaciones de Abuso de privilegios
procesamiento de información
Brechas de mantenimiento
Mantenimiento de servicios inadecuado
de sistemas de información

ANÁLISIS DE RIESGOS.
En esta fase tenemos que entender los riesgos para tomar decisiones sobre las acciones
que se requieran para enfrentar el riesgo, como su tratamiento, prioridad y sobre todo
el costo-beneficio de las soluciones, esto implica considerar las fuentes del riesgo, sus
consecuencias positivas y negativas y la probabilidad de que esas consecuencias se
materialicen y causen un impacto económico en el Banco.

Determinar controles existentes.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

Lo primero es determinar la existencia de los procesos, dispositivos, prácticas o

actividades que interactúen de tal forma que minimicen la probabilidad de ocurrencia
del riesgo o el impacto.
Determinar consecuencias y probabilidades.
Cuando un evento en el Banco sucede, trae una consecuencia con cierta magnitud y a la
vez el evento tiene una determinada probabilidad de ocurrencia, in olvidar que un
mismo evento puede tener múltiples consecuencias.
Las consecuencias y probabilidades se realizaran mediante el uso de análisis y cálculos
estadísticos.
Establecer el nivel de riesgo.
Lo va establecer la combinación del nivel de consecuencias y la probabilidad y ese
análisis puede ser cualitativo (es la experiencia del personal del Banco, se utiliza como
un escaneo general de los riesgos) y cuantitativo (es la probabilidad esperada de ciertos
eventos, así como sus consecuencias).

EVALUACIÓN DEL RIESGO.

Aquí se plantea la base para la toma de decisiones futuras en el Banco.
o Se compara contra los criterios.
Se evaluaron los riesgos del BMD, significó realizar una comparación entre el
nivel de riesgo detectado durante el análisis y los criterios previamente
establecidos.
o Se establecen prioridades.
Durante la evaluación en el BMD, se les arrojo una serie de decisiones basadas
en las salidas del análisis de riesgos relativas a que deben abordar la necesidad
de algún tratamiento que requiere el riesgo, y para aquellos tratamientos
identificados se les debe asignar una prioridad, es decir arroja una lista con
prioridades para una acción posterior.
o La aceptación del riesgo.
Al momento de tomar las decisiones en la BMD, se deben considerar los
objetivos y el grado de oportunidad que resulta de tomar o no el riesgo.
Si los riesgos caen dentro de las categorías de niveles bajos o aceptables, éstos
Pueden ser atacados con un tratamiento mínimo a largo plazo. Este tipo de
riesgos deben ser monitoreados periódicamente para asegurar que se mantienen
aceptables. Si por el contrario, los riesgos caen en categorías superiores,

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

entonces deben ser tratados dependiendo su criticidad, tal como veremos en la

siguiente fase.

TRATAMIENTO DEL RIESGO.

Aquí identificamos, evaluamos y se selecciona de un rango de soluciones, aquellas que
se adapten a las necesidades del Banco y preparamos los planes y estrategias para
impedir, reducir y controlar los riesgos.

Identificar opciones de tratamiento.

El modelo de las 4 T’s proporciona las opciones más comunes para responder ante los
riesgos presentes.
 Tratar: esta opción explota la continuidad de negocios completamente, pues propone
acciones para reducir o cambiar:
 la probabilidad de ocurrencia, y
 las consecuencias o posibles impactos
 Tolerar: es aceptar el riesgo, junto con el costo del impacto.
 Transferir: involucra a una tercera parte para soportar o compartir el riesgo. Este
mecanismo incluye contratos, compra de seguros entre otros. Es importante notar que
al transferir el riesgo se adquiere uno nuevo: el del que el tercero no logre administrar
efectivamente el riesgo.
 Terminar: se decide no continuar con la actividad que genera el riesgo.

Evaluar y Seleccionar opciones de tratamiento.

El paso de evaluar y seleccionar la opción más apropiada, involucra realizar un alance

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

de costo – beneficio al realizar dicha implementación.

La regla general, es que el costo de administrar el riesgo sea menor al beneficio que se
obtendrá. Para la selección también se deberá tomar en cuenta el contexto en el que se
mueve la organización, sin dejar de lado las opiniones y percepciones de los grupos de
interés. Recuerde que puede aplicar una acción o varias acciones sobre el mismo riesgo.
Después de implementar cualquier acción de salvaguarda, siempre quedará un riesgo
residual, recuerde que es imposible eliminar el riesgo al cien por ciento, por lo que el
BMD debe considerar asumirlo y monitorearlo continuamente.

Preparar e implementar planes de tratamiento.

El propósito de este paso, es documentar las acciones de tratamiento que serán
implementadas, entre las que destacan:
 Las actividades posteriores a ejecutar
 Los recursos requeridos
 Las responsabilidades
 El tiempo requerido
 Las métricas de control
 Y los requerimientos para monitorear, tanto el desempeño de la
acción
 como el riesgo residual

MONITOREAR Y REVISAR EL RIESGO.

El entorno del Banco no es estático por lo tanto los riesgos junto con sus medidas de
control son susceptibles a sufrir cambios, ya sea que cambie su probabilidad de
ocurrencia o los impactos, por lo que se realizarán revisiones periódicas en su
administración.
También tendremos en el radar los cambios en el contexto (interno, externo) así como
los objetivos, metas, estrategias, ya que todo esto influye para la aparición de nuevos
riesgos.

COMUNICAR Y CONSULTAR EL RIESGO.

Se realizará la comunicación efectiva bidireccional con el personal de mando, las
encargadas de tomar decisiones y de implementar la administración de riesgos, así nos
permitirá contar con diferentes puntos de vista para enriquecer el contexto y así
establecer un plan de comunicación tanto interno y externo y permitir incrustar una
conciencia hacia el riesgo y el valor de administrarlo.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Barrón Botello
Análisis de Riesgos
11-06-2018
Informáticos
Nombre: Oscar Federico

Hacia el exterior, contar con un plan de comunicaciones, aún en un nivel muy

elemental, dará la impresión de responsabilidad y posiblemente impactará
positivamente en la percepción y reputación de la organización.
Es importante tener presente todas las percepciones de los interesados relativas a los
riesgos, ya que cada grupo de interés puede tener preocupaciones y suposiciones que
puedan impactar en la calificación de los riesgos y en las acciones que se tomen.
Al final, se busca integrar todas las percepciones y lograr que todas las partes
involucradas comprendan a la administración de riesgos y participen activamente en
ella.

BIBLIOGRAFÍA.
 Fernández Sánchez, C. (2012-01-01). AENOR - Asociación Española de
Normalización y Certificación.
 Ramírez Castro, A. (2011). Gestión de Riesgos tecnológicos basada en ISO
31000 e ISO 27005 y su aporte a la continuidad de negocios. Ingeniería, 16(2),
56.
 Amador-Donado, S. (2014-12-14). Gestión del riesgo con base en ISO27005
adaptando OCTAVE-S.
NORMAS.
 ISO-27005
 ISO-31000
SITIOS DE INTERNET.
 http://segweb.blogspot.mx/2012/04/27005.html
 https://universidadvirtual.sdr.com.mx
 http://sisbib.unmsm.edu.pe
 https://www.audea.com/analisis-de-riesgos-iso-27005-vs-magerit-y-otras-
metodologias/

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)