Upload
others
View
14
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD NACIONAL DE LA AMAZONÍA PERUANA
FACULTAD DE INGENIERÍA DE SISTEMAS E
INFORMÁTICA
“Técnicas Recomendadas Para Análisis De Riesgo”
INFORME DE TRABAJO PRACTICO DE SUFICIENCIA
PARA OPTAR EL TÍTULO PROFESIONAL DE:
INGENIERO DE SISTEMAS E INFORMÁTICA
Presentado por la Bachiller:
MAYCLER BERNUY PANDURO
Asesor:
ING. LUIS HONORATO PITA ASTENGO
IQUITOS – PERÚ
2015
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
DEDICATORIA
A mis padres Oliver y Olivia, por su apoyo incondicional. Por su amor infinito.
A mi hermano Bill Irving, por siempre estar al pendiente de mi seguridad y bienestar.
A Edgard Juárez por su amor, compañía, compresión, paciencia, consejos y por
estar ahí siempre apoyándome en todo.
A mis amigos, Miguel Cueva, Willy Vásquez, por brindarme las facilidades
necesarias, para realizar este informe.
A mi asesor “Luis Pita. A”, por guiarme y darme las pautas necesarios, para culminar
mi informe.
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
RESUMEN
1. HISTORIA DE ANÁLISIS DE RIESGO
Se originó el Análisis de Riesgo, desde hace tiempo; se ha utilizado en proyectos de
economía e ingeniería.
A partir de 1994 se empezó a utilizar el término Análisis de Riesgo sobre aranceles
aduaneros y Comercio.
Después de 1997 nace la necesidad de organizar e interpretar datos científicos y otra
información facilitando la toma de decisiones.
2. FUNDAMENTOS BÁSICOS
Se define los fundamentos teóricos de las terminologías utilizadas en el Análisis de
Riesgo. Se puntualizan conceptos de Riesgo, amenaza, vulnerabilidades, Mapa de
riesgos, niveles de aceptación del riesgo, Plan de acción, Control y Monitoreo de
Riesgo, Identificación de los riesgos, Realización del Análisis cualitativo y cuantitativo
y la planificación de la respuesta a los riesgos.
Riesgo se define como un evento o condición incierta que, de producirse, tiene
un efecto positivo o negativo en uno o más objetivos del proyecto.
Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o
acción que puede producir un daño (material o inmaterial).
Es la capacidad, las condiciones y características que lo hace susceptible a
amenazas, con el resultado de sufrir algún daño.
Mapa de Riesgo. Es una herramienta que permite organizar la información
sobre los riesgos de las empresas y visualizar su magnitud, con el fin de
establecer las estrategias adecuadas para su manejo.
Un plan de acción es una presentación resumida de las tareas que deben
realizarse por ciertas personas, en un plazo de tiempo específico, utilizando un
monto de recursos asignados con el fin de lograr un objetivo dado.
Control y Monitoreo del Riesgo. Consiste en rastrear los riesgos identificados,
monitorear los riesgos residuales, identificar nuevos riesgos, asegurar que los
planes de respuesta a riesgos se ejecuten en el momento apropiado, y evaluar
su efectividad a través del ciclo del proyecto.
Pág. i
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Identificar los riesgos. Es el proceso de determinar los riesgos que pueden
afectar al proyecto y documentar sus características.
Realizar el Análisis Cualitativo de Riesgos es el proceso de priorizar riesgos
para análisis o acción posterior, evaluando y combinando la probabilidad de
ocurrencia e impacto de dichos riesgos.
Realizar el Análisis Cuantitativo de Riesgos es el proceso de analizar
numéricamente el efecto de los riesgos identificados sobre los objetivos
generales del proyecto.
Planificación de la respuesta a los riesgos. Este proceso desarrolla las opciones
y acciones para mejorar las oportunidades y reducir las amenazas a los objetos
del proyecto.
3. METODOLOGÍAS PARA EL ANÁLISIS DE RIESGO
En este capítulo se definen las metodologías existentes los cuales nos indican los
pasos a seguir para su correcta ejecución, ya que, como hemos visto, suelen ser muy
complejos y tienen multitud de variables.
Estas metodologías son:
Citicus One
CRAMM
MAGERIT
OCTAVE
NIST SP 800-39
Mehari
AS/NZS
4. INTRODUCCIÓN METODOLOGÍA MAGERIT
MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT).La Metodología
MAGERIT fue desarrollada por el Consejo Superior de Administración Electrónica
(CSAE).
La Metodología consta de tres volúmenes:
Volumen I – Método, es el volumen principal en el que se explica
detalladamente la metodología.
Pág. ii
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Volumen II – Catalogo de Elementos, complementa el volumen principal
proporcionando diversos inventarios de utilidad en la aplicación de la
metodología. Los inventarios que incluye son:
Tipos de Activos
Dimensiones y Criterios de Valoración
Amenazas
Salvaguardas
Volumen III – Guía de Técnicas, complementa el volumen principal
proporcionando una introducción de algunas técnicas a utilizar en las distintas
fases del análisis de riesgos. Las técnicas que recoge son:
Técnicas específicas para el análisis de riesgos:
Análisis mediante tablas
Análisis algorítmico
Arboles de ataque
Técnicas Generales:
Análisis coste-beneficio
Diagrama de Flujo de Datos (DFD)
Diagrama de Procesos
Técnicas Graficas:
Planificación de Proyectos
Sesiones de trabajo: entrevistas, reuniones y presentaciones
Valoración Delphi
Pág. iii
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
ÍNDICE
I. JUSTIFICACION .............................................................................................. 1
II. OBJETIVO ....................................................................................................... 2
2.1Objetivo General ....................................................................................................... 2
2.2 Objetivo Específicos .................................................................................. 2
III. DESARROLLO DEL TEMA ............................................................................ 3
3.1 Historia Análisis de Riesgo ....................................................................... 3
3.2 Fundamentos Básicos ......................................................................... 3
3.2.1 Definición y Componentes de Riesgos ........................................ 3
3.2.1.1 Definiciones ..................................................................... 4
3.2.1.2 Componentes de Riesgo ................................................. 4
3.2.1.3 Clases de Riesgo ............................................................. 4
3.2.2 Amenazas y Vulnerabilidades .................................................... 5 3.2.2.1 Amenazas ........................................................................ 5
3.2.2.1.1 Clasificación de las Amenazas ......................... 5
3.2.2.2 Vulnerabilidad .................................................................. 6
3.2.2.2.1 Tipos de Vulnerabilidades ................................. 7
3.2.3 Mapa de Riesgo......................................................................... 10
3.2.4 Niveles de Aceptación del Riesgo ............................................. 11
3.2.5 Plan de Acción .......................................................................... 11
3.2.6 Control y Monitoreo del Riesgo ................................................. 12
3.2.7 Identificar los Riesgos ................................................................ 12
3.2.7.1 Revisión de Documentación ......................................... 12 3.2.7.2 Técnicas de Recopilación de Información .................... 13 3.2.7.3 Análisis con Lista de Verificación .................................. 14 3.2.7.4 Análisis de Supuestos .................................................. 14 3.2.7.5 Identificación de Riesgos Basados en Taxonomía ....... 14
3.2.8 Realizar el Análisis Cualitativo de Riesgos ................................ 16
3.2.8.1 Evaluación de Probabilidad e Impacto de los Riesgos . 16 3.2.8.2 Matriz de Probabilidad e Impacto ................................ 17 3.2.8.3 Categorización de Riesgos .......................................... 18 3.2.8.4 Evaluación de la Urgencia de los Riesgos ................... 18
3.2.9 Realizar el Análisis Cuantitativo de Riesgos .............................. 19
3.2.9.1Realizar el Análisis Cuantitativo de Riesgos: Herramientas y Técnicas .... 20 3.2.9.1.1 Técnicas de Recopilación y Representación de Datos ........ 20
3.2.9.1.2 Técnicas de Análisis Cuantitativo de Riesgos y de Modelado 21
3.2.9.1.3 Realizar el Análisis Cuantitativo de Riesgos: Salidas .......... 22
Pág. iv
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
3.2.10 Planificar la respuesta a los Riesgos ....................................... 23
3.2.10.1 Herramientas y Técnicas ........................................... 24 3.2.10.1.1Estrategias para Riesgos Negativos o Amenazas .... 24 3.2.10.1.2Estrategias para Riesgos Positivos u Oportunidades 25 3.3 Metodologías para Análisis de RIESGO ............................................ 27
3.3.1 Metodología OCTAVE ............................................................... 27 3.3.2 Metodología NIST SP 800-30 .................................................... 27 3.4 Introducción Metodología Magerit ..................................................... 28
3.4.1 Magerit ....................................................................................... 30 3.4.2 El Análisis y Tratamiento de Riesgos en su contexto ................ 32 3.4.3 Realización del Análisis y Tratamiento ...................................... 34 3.4.3.1 Método de Análisis de Riesgo .................................... 36 3.4.3.1.1 Paso 1: Activos .............................................. 37 3.4.3.1.2 Paso 2: Amenazas ........................................ 42 3.4.3.1.3 Determinación del Impacto ............................ 44 3.4.3.1.4 Determinación del Riesgo Potencial .............. 46 3.4.3.1.5 Paso 3: Salvaguardas ................................... 48 3.4.3.1.6 Paso 4: Impacto Residual .............................. 50 3.4.3.1.7 Paso 5: Riesgo Residual ............................... 50 3.4.3.2 Formalización de las Actividades ................................ 51 3.4.3.3 Documentación Final .................................................. 53 3.4.4 Proyecto de Análisis de Riesgo .............................................. 54 3.4.4.1 PAR1: Actividades Preliminares ................................. 55 3.4.4.2 PAR2: Elaboración del Análisis de Riesgos ................ 56 3.4.4.3 PAR3: Comunicación de Resultados .......................... 59 3.4.5 EAR (Entorno de Análisis de Riesgo) ..................................... 59 3.4.6 PILAR (Procedimiento Informático – Lógico para el AR) ........ 59
IV. Conclusión .................................................................................................... 66
V. Referencias Bibliográficas ............................................................................ 67
Pág. v
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
INDICE DE FIGURAS
FIGURA N° 01: Interacción entre Vulnerabilidades, amenazas y riesgos .................. 9
FIGURA N° 02: Realizar el Análisis Cuantitativo de Riesgos: Entradas, Herramientas y Técnicas, y Salidas ................................................................................................ 20 FIGURA N° 03: Metodología .................................................................................... 30
FIGURA N° 04: ISO 31000- Marco de trabajo para la gestión de riesgos ................ 31
FIGURA N° 05: Ciclo PDCA ..................................................................................... 33
FIGURA N° 06: Gestión de Riesgos ......................................................................... 35
FIGURA N° 07: Elementos del Análisis de Riesgos Potenciales ............................ 37
FIGURA N° 08: El riesgo en función del impacto y la probabilidad .......................... 47
FIGURA N° 09: Elementos de Análisis del Riesgo Residual .................................... 49
FIGURA N° 10: EAR, Pantalla Principal ................................................................... 62
FIGURA N° 11: EAR, Etapas de Magerit .................................................................. 63
FIGURA N° 12: EAR, Informes Contemplados y Calificaciones evaluadas .............. 64
INDICE DE TABLAS
TABLA N° 01: Degradación del Valor ....................................................................... 44
TABLA N° 02: Probabilidad de Ocurrencia ............................................................... 44 TABLA N° 03: Método Análisis de Riesgos- MAR .................................................... 52
TABLA N° 04: Proyecto de Análisis de Riesgos- PAR ............................................. 55
TABLA N° 05: Método de Análisis de Riesgo- MAR ................................................. 57
Pág. vi
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
I.- JUSTIFICACIÓN
El uso de tecnologías computacionales y de la interconexión por medio de una red de
datos se ha incrementado de manera significativa durante los últimos 10 años y a
medida que aparecen nuevos avances en las comunicaciones, también se crea el
conocimiento y las nuevas formas de violentar la seguridad de los computadores con
la intención de dañar o extraer información con malos propósitos, también en muchas
ocasiones la naturaleza podría afectar los proyectos generados en el transcurso del
tiempo o simplemente a veces falla esta tecnología por falta de mantenimiento o por
agentes extraños que producen su deterioro, en otras circunstancias podría
producirse una alteración de la información por desconocimiento del usuario, en fin,
existen muchas razones que pueden poner en peligro nuestra información y muchas
veces el computador, por este motivo es de gran importancia el estudio de las
Amenazas y vulnerabilidades a las que estamos expuestos cotidianamente. Por esta
razón es necesario conocer algunas técnicas que ayuden a realizar un análisis de
riesgo.
Pág. 1
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
II.- OBJETIVO
2.1 OBJETIVO GENERAL
Conocer y comprender los fundamentos teóricos, identificar las técnicas
existentes y explicar una de las metodologías que se utiliza para realizar el
análisis de riesgos.
2.2 OBJETIVOS ESPECIFICOS
1. Definir los fundamentos teóricos del análisis de riesgo.
2. Identificar las etapas que se utilizan en el proceso de análisis de riesgo.
3. Mostrar en un ejemplo el empleo de la metodología Magerit, identificando los
pasos para realizar un análisis de riesgo, mediante un caso práctico.
Pág. 2
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
III. DESARROLLO DEL TEMA
3.1. HISTORIA ANÁLISIS DE RIESGO
Se ha utilizado desde hace tiempo en proyectos de ingeniería y economía.
Se ha incrementado su uso últimamente por los acuerdos sobre Aranceles
Aduaneros y Comercio [GATT 1994] y las directrices de la Organización
Mundial de Comercio. Se incorporan también la Aplicación de Medidas
Sanitarias y Fitosanitarias, donde se plantean los principios de Análisis de
Riesgo, Regionalización, Armonización, Equivalencia y Trasparencia.
Nace de la necesidad de organizar e interpretar datos científicos y otras
informaciones, facilitando las decisiones y los acuerdos.
Se aplica tanto en lo público como en lo privado, cuando la información es
limitada y especialmente si existe incertidumbre para la toma de decisiones.
3.2. FUNDAMENTOS BÁSICOS
3.2.1. Definición y componentes del Riesgo
3.2.1.1. Definiciones:
Según la definición del PMBOK (PMI 2008). Es un evento o condición
incierta que, de producirse, tiene un efecto positivo o negativo en uno
o más de los objetivos del proyecto, tales como el alcance, el
cronograma, el costo y la calidad. Incluye, por tanto, oportunidades y
amenazas
Es la posibilidad de ocurrencia de aquella situación (interna o externa),
que puede afectar negativamente el logro del objetivo, o la gestión de
un proceso.
El riesgo indica lo que le podría pasar a los activos si no se protegieran
adecuadamente. Es importante saber qué características son de
Pág. 3
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
interés en cada activo, así como saber en qué medida estas
características están en peligro, es decir, analizar el sistema.
Es la probabilidad o posibilidad de que pueda ocurrir un daño a partir
de un peligro.
Se representa como la combinación de la frecuencia y la consecuencia
de un incidente identificado.
3.2.1.2. Componentes del Riesgo:
Un evento definible: Acción o situación que se da o que sucede
dentro de un grupo de acciones o situaciones posibles de suceder.
Probabilidad de ocurrencia: Probabilidad de ocurrencia de cada
riesgo
Consecuencia de la ocurrencia (impacto)
3.2.1.3. CLASES DE RIESGOS
Riesgo Estratégico: Relacionados con la misión y el cumplimiento
de los objetivos estratégicos, la clara definición de políticas.
Riesgos de Imagen: Están relacionados con la percepción y la
confianza por parte de la ciudadanía hacia la institución.
Riesgos Operativos: Provenientes del funcionamiento y
operatividad de los sistemas de información institucional, de la
definición de los procesos, de la estructura de la entidad.
Riesgos Financieros: Relacionados con el manejo de los recursos
de la entidad.
Riesgos de Cumplimiento: Se asocian con el cumplimiento de los
requisitos legales, contractuales, de ética pública, compromiso ante
la comunidad.
Pág. 4
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Riesgos de Tecnología: Relacionados con la capacidad
tecnológica de la Entidad para satisfacer sus necesidades actuales
y futuras.
3.2.2. Amenazas y Vulnerabilidades
3.2.2.1. Amenazas:
Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento
o acción que puede producir un daño (material o inmaterial). (La Guía del
PMBOK, 2008).
Las amenazas son agentes capaces de explotar los fallos de seguridad,
que denominamos puntos débiles y, como consecuencia de ello, causar
pérdidas o daños a los activos de una empresa, afectando a sus negocios.
Los activos están constantemente sometidos a amenazas que pueden
colocar en riesgo la integridad, confidencialidad y disponibilidad de la
información. Estas amenazas siempre existirán y están relacionadas a
causas que representan riesgos, las cuales pueden ser: causas naturales
o no naturales causas internas o externas. [Carolina Cols]
Las amenazas son constantes y pueden ocurrir en cualquier momento.
Esta relación de frecuencia-tiempo, se basa en el concepto de riesgo, lo
cual representa la probabilidad de que una amenaza se concrete por
medio de una vulnerabilidad o punto débil.
3.2.2.1.1. Clasificación de las Amenazas:
1. Amenazas naturales – condiciones de la naturaleza y la intemperie
que podrán causar daños a los activos, tales como fuego,
inundación, terremotos, entre otros.
Pág. 5
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
2. Intencionales – son amenazas deliberadas, fraudes, vandalismo,
sabotajes, espionaje, invasiones y ataques, robos y hurtos de
información, entre otras.
3. Involuntarias - son amenazas resultantes de acciones
inconscientes de usuarios, por virus electrónicos, muchas veces
causadas por la falta de conocimiento en el uso de los activos, tales
como errores y accidentes.
Entre las principales amenazas, la ocurrencia de virus, la
divulgación de contraseñas y la acción de hackers están entre los
más frecuentes.
3.2.2.2. Vulnerabilidad:
Es la capacidad, las condiciones y características que lo hace
susceptible a amenazas, con el resultado de sufrir algún daño. En otras
palabras, es la capacidad y posibilidad de responder o reaccionar a una
amenaza o de recuperarse de un daño. (La Guía del PMBOK, 2008). Las
vulnerabilidades están en directa interrelación con las amenazas porque
si no existe una amenaza tampoco existe la vulnerabilidad o no tiene
importancia, porque no se puede ocasionar un daño.
Uno de los primeros pasos para la implementación de la seguridad es
rastrear y eliminar los puntos débiles de un ambiente de tecnología de la
información.
Al ser identificados los puntos débiles, será posible dimensionar los
riesgos a los cuales el ambiente está expuesto y definir las medidas de
seguridad apropiadas para su corrección. [Carolina Cols]
Los puntos débiles dependen de la forma en que se organizó el ambiente
en que se maneja la información. La existencia de puntos débiles está
relacionada con la presencia de elementos que perjudican el uso
adecuado de la información y del medio en que la misma se está
utilizando.
Pág. 6
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
3.2.2.2.1. Tipos de Vulnerabilidades
a) Vulnerabilidades físicas
Los puntos débiles de orden físico son aquellos presentes en los
ambientes en los cuales la información se está almacenando o
manejando.
Ejemplo Como ejemplos de este tipo de vulnerabilidad se distinguen:
instalaciones inadecuadas del espacio de trabajo, ausencia de
recursos para el combate a incendios; disposición desorganizada de
cables de energía y de red, ausencia de identificación de personas y
de locales, entre otros.
b) Vulnerabilidades naturales
Los puntos débiles naturales son aquellos relacionados con las
condiciones de la naturaleza que puedan colocar en riesgo la
información.
Muchas veces, la humedad, el polvo y la contaminación podrán
causar daños a los activos. Por ello, los mismos deberán estar
protegidos para poder garantizar sus funciones.
Entre las amenazas naturales más comunes podemos mencionar:
Ambientes sin protección contra incendios, locales próximos a ríos
propensos a inundaciones, infraestructura incapaz de resistir a las
manifestaciones de la naturaleza como terremotos, maremotos,
huracanes etc.
c) Vulnerabilidades de hardware
Los posibles defectos en la fabricación o configuración de los equipos
de la empresa que pudieran permitir el ataque o alteración de los
mismos.
Existen muchos elementos que representan puntos débiles de
hardware. Entre ellos podemos mencionar: la ausencia de
actualizaciones conforme con las orientaciones de los fabricantes de
Pág. 7
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
los programas que se utilizan, y conservación inadecuada de los
equipos.
d) Vulnerabilidades de software
Los puntos débiles de aplicaciones permiten que ocurran accesos
indebidos a sistemas informáticos incluso sin el conocimiento de un
usuario o administrador de red. Los puntos débiles relacionados con
el software podrán ser explotados por diversas amenazas ya
conocidas: La configuración e instalación indebidas de los programas
de computadora, Ejemplo: Lectores de e-mail que permiten la
ejecución de códigos maliciosos, editores de texto que permiten la
ejecución de virus de macro etc.
e) Vulnerabilidades de medios de almacenaje
Los medios de almacenamiento son los soportes físicos o magnéticos
que se utilizan para almacenar la información. Entre los tipos de
soporte o medios de almacenamiento de la información que están
expuestos podemos citar: disquetes, cd, discos duros de los
servidores y de las bases de datos, así como lo que está registrado
en papel.
f) Vulnerabilidades de comunicación
Este tipo de punto débil abarca todo el tránsito de la información.
Donde sea que la información transite, ya sea vía cable, satélite, fibra
óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito
de los datos es un aspecto crucial en la implementación de la
seguridad de la información.
g) Vulnerabilidades humanas
Esta categoría de vulnerabilidad está relacionada con los daños que
las personas pueden causar a la información y al ambiente
tecnológico que la soporta.
Pág. 8
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Los puntos débiles humanos también pueden ser intencionales o no.
Muchas veces, los errores y accidentes que amenazan a la seguridad
de la información ocurren en ambientes institucionales. La mayor
vulnerabilidad es el desconocimiento de las medidas de seguridad
adecuadas para ser adoptadas por cada elemento constituyente,
principalmente los miembros internos de la empresa. Se Destacan
dos puntos débiles humanos por su grado de frecuencia: la falta de
capacitación específica para la ejecución de las actividades
inherentes a las funciones de cada uno, la falta de conciencia de
seguridad para las actividades de rutina, los errores, omisiones,
insatisfacciones etc.
Interacción entre vulnerabilidades, amenazas y riesgos
Figura n °1: Interacción de Vulnerabilidades, amenazas y riesgos Fuente: Metodología Magerit- Libro 1
Pág. 9
Enfoque General sobre Impacto
Enfoque En bienes O controles
Enfoque General De causas
Amenazas
Vulnerabilidad
Riesgo
Estudio de las causas potenciales de daño
Estudio de las debilidades en bienes o controles.
Estudio de las probabilidad de ocurrencia de un incidente y su impacto
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
3.2.3. MAPA DE RIESGOS
3.2.3.1. DEFINICIÓN
Es una herramienta que permite organizar la información sobre los riesgos de
las empresas y visualizar su magnitud, con el fin de establecer las estrategias
adecuadas para su manejo.
Los mapas de riesgos pueden representarse con gráficos o datos. Los gráficos
corresponden a la calificación de los riesgos con sus respectivas variables y a
su evaluación de acuerdo con el método utilizado en cada empresa. Los datos
pueden agruparse en tablas, con información referente a los riesgos; a su
calificación, evaluación, controles y los demás datos que se requieran para
contextualizar la situación de la empresa y sus procesos, con respecto a los
riesgos que la pueden afectar y a las medidas de tratamiento implementadas.
Según la guía para la valoración de riesgos en proyectos, el mapa de riesgos
es un instrumento metodológico mediante el cual se identifica un conjunto
ordenado y flexible de factores que pueden dar origen tanto a hechos que
contribuyan al logro de un objetivo (aprovechar la oportunidad) o a calificar la
presencia de riesgo (negativo) y se prevén sus posibles daños.
Igualmente, el mapa de riesgos es una herramienta gerencial que puede
adaptarse a las necesidades y objetivos de quienes desean utilizarlo.
Observando los factores que lo integran y valorando la situación existente. En
cada entidad es posible diseñar estrategias y acciones orientadas a evitar,
controlar o minimizar la presencia de tales riesgos.
En el caso de los proyectos el Mapa de Riesgos se convierte en un instrumento
de control y seguimiento que facilita la toma de decisiones para la consecución
de los objetivos propios de los proyectos y los estratégicos institucionales.
Pág. 10
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
3.2.4. Niveles de aceptación del riesgo
El nivel de riesgo aceptado en los proyectos tiene una especial vinculación con
los procesos de administración de costos, tiempo y calidad de los proyectos. Su
definición se orienta hacia al disposición y capacidad de la institución en aceptar
o retener las variaciones de los costos, cronogramas y requisitos de calidad de
proyectos, de manera que no se vean afectados los objetivos de los proyectos.
Los niveles de riesgos aceptables es un tipo de criterio de aceptación de riesgos
que se emplea durante la etapa de evaluación de riesgos. Se debe definir antes
de iniciar la valoración de riesgos, con el fin de contar con un elemento para la
toma de decisión para la gestión del riesgo, para ello se toma en cuenta:
Parámetros de aceptabilidad del riesgo: Se entiende como los criterios
que permiten determinar si un de riesgo especifico se ubica dentro del nivel
de riesgo aceptado por la institución.
Nivel de riesgo aceptable: Nivel de riesgo que el equipo de proyecto están
dispuestos y en capacidad de aceptar para cumplir con los objetivos
(relacionado a tiempo, costo, calidad, alcance), sin incurrir en costos ni
efectos adversos excesivos en relación con sus beneficios esperados o ser
incompatible con las expectativas de los interesados.
3.2.5. Plan de Acción
Un plan de acción es una presentación resumida de las tareas que deben
realizarse por ciertas personas, en un plazo de tiempo específico, utilizando un
monto de recursos asignados con el fin de lograr un objetivo dado. De esta
manera, un plan de acción se constituye como una especie de guía que brinda un
marco o una estructura a la hora de llevar a cabo un proyecto.
En la gestión de riesgos es un documento que registra los eventos riesgosos que
sucederán en un proyecto y reduce el impacto de dichos eventos si llegaran a
suceder. Se desarrollan opciones y acciones introduciendo recursos y actividades
Pág. 11
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
en un plan de mitigación para mejorar las oportunidades del proyecto y también
reducir las amenazas a los objetivos del proyecto.
3.2.6. Control y Monitoreo del Riesgo
Consiste en rastrear los riesgos identificados, monitorear los riesgos residuales,
identificar nuevos riesgos, asegurar que los planes de respuesta a riesgos se
ejecuten en el momento apropiado, y evaluar su efectividad a través del ciclo del
proyecto. [GPY051, Sesión 08].
Para cada riesgo o conjunto de riesgos para los cuales se ha definido una
respuesta de contingencia, se debe haber especificado un correspondiente
conjunto de condiciones o acciones llamados disparadores (triggers). Es la
responsabilidad del propietario de acción asegurar que estas condiciones sean
monitoreadas efectivamente y que las acciones correspondientes se lleven a cabo
como se definieron, de una manera oportuna.
3.2.7. Identificar Los Riesgos
Es el proceso de determinar los riesgos que pueden afectar al proyecto y
documentar sus características. El beneficio clave de este proceso es la
documentación de los riesgos existentes y el conocimiento y la capacidad que
confiere al equipo del proyecto para anticipar eventos.
Identificar los riesgos es un proceso iterativo debido a que pueden solucionar o se
pueden descubrir nuevos riesgos conforme el proyecto avanza a lo largo de su
ciclo de vida.
Existen varias herramientas y técnicas para identificar riesgos de un proyecto:
3.2.7.1. Revisión de documentación: Consiste en una revisión estructurada
de la documentación del proyecto, incluidos los planes, los supuestos, los
archivos de proyectos anteriores, los acuerdos y otra información.
Pág. 12
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
La calidad de los planes, así como la consistencia entre dichos planes y
los requisitos y supuestos del proyecto, pueden ser indicadores de riesgo
en el proyecto.
3.2.7.2. Técnicas de recopilación de información
Tormenta de ideas:
El objetivo de la tormenta de ideas es obtener una lista completa de los
riesgos del proyecto. Por lo general, el equipo del proyecto efectúa
tormentas de ideas, a menudo con un grupo multidisciplinario de
expertos que no forman parte del equipo. Bajo el liderazgo de un
facilitador, se generan ideas acerca de los riesgos del proyecto, ya sea
por medio de una sesión tradicional y abierta de tormenta de ideas, o en
una sesión estructurada donde se utilizan técnicas de entrevista masiva.
Como marco de referencia pueden utilizarse categorías de riesgo, como
en una estructura de desglose de riesgos. Posteriormente se identifican
y categorizan los riesgos según su tipo y se refinan sus definiciones.
Técnica de Delphi:
La técnica Delphi es una manera de lograr un consenso de expertos. Los
expertos en riesgos del proyecto participan en esta técnica de forma
anónima. Un facilitador utiliza un cuestionario para solicitar ideas acerca
de los riesgos importantes del proyecto. Las respuestas son resumidas
y posteriormente enviadas nuevamente a los expertos para recabar
comentarios adicionales. En pocas rondas de este proceso se puede
lograr el consenso. La técnica Delphi ayuda a reducir sesgos en los datos
y evita que cualquier persona ejerza influencias indebidas en el
resultado.
Entrevistas:
La realización de entrevistas a los participantes experimentados del
proyecto, a los interesados y a los expertos en la materia ayuda a
identificar los riesgos.
Pág. 13
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
3.2.7.3. Análisis Con Lista de Verificación
Las listas de verificación para la identificación de riesgos se desarrollan
sobre la base de la información histórica y del conocimiento acumulado a
partir de proyectos anteriores similares y de otras fuentes de información.
Si bien una lista de verificación puede ser rápida y sencilla, es importante
elaborar una lista exhaustiva, y se debe tener cuidado para asegurar que
la lista de verificación no sea utilizada para evitar el esfuerzo de una
adecuada identificación de riesgos. El equipo también debe explorar
elementos que no aparecen en la lista de verificación.
Además la lista de verificación se debe depurar de vez en cuando para
eliminar o archivar elementos relacionados. La lista de verificación debe
revisarse durante el cierre del proyecto para incorporar nuevas lecciones
aprendidas a fin de mejorarla para poder usarla en proyectos futuros.
3.2.7.4. Análisis de supuestos
Cada proyecto y su plan conciben y desarrollan sobre la base de un
conjunto de hipótesis, escenarios o supuestos. El análisis de supuestos
explora la validez de los supuestos según se aplican al proyecto,
identifican los riesgos del proyecto relacionados con el carácter inexacto,
inestable, inconsistente o incompleto de los supuestos.
3.2.7.5. Identificación de Riesgos Basados en Taxonomía
Este método de identificación de riesgos ha sido desarrollado por el
Instituto de Ingeniería de Software (SEI por sus siglas en ingles). El
método está basado en la taxonomía de riesgos para proyectos de
desarrollo de software, la cual sirve como marco de trabajo para organizar
y estudiar la amplitud de los problemas y asuntos inherentes a estos
Pág. 14
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
proyectos, y por lo tanto provee una estructura para dar organización y
facilitar la compresión de los riesgos.
El proceso de identificación de riesgos consiste en un cuestionario basado
en la taxonomía. La taxonomía organiza los riesgos de desarrollo de
software en 3 niveles – clases, elementos y atributos. El cuestionario
basado en taxonomía (TBQ basado por sus siglas en inglés) consiste en
elaborar preguntas debajo de cada atributo designado para obtener el
rango de riesgos y problemas potenciales que afectan un producto de
software. La aplicación de este proceso esta designada de manera que el
cuestionario pueden ser aplicados de manera práctica y eficiente, con el
propósito de descubrir e identificar los riesgos del proyecto.
El TBQ es un método semi estructurado. Las preguntas y su secuencia
son utilizadas como una guía pero como una limitación. Las preguntas se
han desarrollado de manera que permita el desarrollo de una discusión de
manera natural. En efecto, el método TBQ puede ser considerado como
una tormenta de ideas estructurada.
En el centro del método de identificación se encuentra la taxonomía de
desarrollo de software. Como se mencionó anteriormente la taxonomía
provee un marco de trabajo para organizar y estudiar la amplitud o rango
de problemas potenciales que se pueden presentar en proyectos de
desarrollo de software.
La Taxonomía está organizada en 3 clases principales:
Ingeniería del Producto: Los aspectos técnicos del trabajo a
realizar.
Ambiente de Desarrollo: Los métodos, procedimientos y
herramientas a utilizar para producir el producto.
Restricciones del Producto: Factores contractuales,
organizacionales y operacionales dentro de los cuales el software es
Pág. 15
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
desarrollado pero los cuales están generalmente fuera de control
directo de la gerencia del proyecto.
3.2.8. Realizar el análisis cualitativo de Riesgos
Realizar el Análisis Cualitativo de Riesgos es el proceso de priorizar riesgos para
análisis o acción posterior, evaluando y combinando la probabilidad de ocurrencia
e impacto de dichos riesgos. El beneficio clave de este proceso es que permite a
los directores de proyecto reducir el nivel de incertidumbre y concentrarse en los
riesgos de alta prioridad.
Realizar el Análisis Cualitativo de Riesgos evalúa la prioridad de los riesgos
identificados a través de la probabilidad relativa de ocurrencia, del impacto
correspondiente sobre los objetivos del proyecto si los riesgos llegaran a
presentarse, así como de otros factores, tales como el plazo de respuesta y la
tolerancia al riesgo por parte de la organización, asociados con las restricciones
del proyecto en términos de costo, cronograma, alcance y calidad.
Realizar el Análisis Cualitativo de Riesgos es por lo general un medio rápido y
económico de establecer prioridades para Planificar la Respuesta a los Riesgos y
sienta las bases para Realizar el Análisis Cuantitativo de Riesgos.
3.2.8.1. Evaluación de Probabilidad e Impacto de los Riesgos
La evaluación de la probabilidad de los riesgos estudia la probabilidad
de ocurrencia de cada riesgo específico. La evaluación del impacto de
los riesgos estudia el efecto potencial de los mismos sobre un objetivo
del proyecto, tal como el cronograma, el costo, la calidad o el
desempeño, incluidos tanto los efectos negativos en el caso de las
amenazas, como los positivos, en el caso de las oportunidades.
Para cada uno de los riesgos identificados, se evalúan la probabilidad y
el impacto. Los riesgos se pueden evaluar a través de entrevistas o
Pág. 16
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
reuniones con participantes seleccionados por estar familiarizados con
las categorías de riesgo.
Durante estas entrevistas o reuniones, se evalúan el nivel de
probabilidad de cada riesgo y su impacto sobre cada objetivo del
proyecto. También se registran los detalles explicativos, incluidos los
supuestos que justifican los niveles asignados. Las probabilidades e
impactos de los riesgos se califican de acuerdo con las definiciones
proporcionadas en el plan de gestión de los riesgos. Los riesgos con una
baja calificación en cuanto a probabilidad e impacto se incluirán en el
registro de riesgos como parte de una lista de observación para su futuro
monitoreo.
3.2.8.2. Matriz de Probabilidad e Impacto
La Matriz de probabilidad e impacto permite una evaluación de la
importancia de los riesgo de su prioridad de atención visualiza los riesgos
en combinaciones de probabilidad e impacto, clasificándolos con una
prioridad baja, moderado o alta.
Cada riesgo se califica de acuerdo con su probabilidad de ocurrencia y
con el impacto sobre un objetivo, en caso de que se materialice. La
organización debe determinar qué combinaciones de probabilidad e
impacto dan lugar a una clasificación de riesgo alto, riesgo moderado y
riesgo bajo. En una matriz en blanco y negro, estas condiciones se
presentan mediantes diferentes tonalidades de gris:
El área gris oscuro (con las cifras más altas) representa un riesgo
alto.
El área gris intermedio (con las cifras más bajas) representa un
riesgo bajo.
El área gris claro (con las cifras intermedias) representa el riesgo
moderado.
Pág. 17
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
La calificación de los riesgos ayuda a definir las respuestas a los mismos.
Por ejemplo, los riesgos que tienen un impacto negativo sobre los
objetivos, conocidos como amenazas cuando se materializan, y que se
encuentran en la zona de riesgo alto (gris oscuro) de la matriz, pueden
requerir prioridad en la acción y estrategias de respuesta agresivas. Las
amenazas que se encuentran en la zona de riesgo bajo (gris intermedio)
pueden no requerir una acción de gestión proactiva, más allá de ser
incluidas en el registro de riesgos como parte de la lista de observación o
de ser agregadas a una reserva para contingencias. Lo mismo ocurre para
las oportunidades, debe darse prioridad a las oportunidades que se
encuentran en la zona de riesgo alto (gris oscuro), ya que se pueden
obtener más fácilmente y proporcionar mayores beneficios. Las
oportunidades en la zona de riesgo bajo (gris intermedio) deben
monitorearse.
3.2.8.3. Categorización de Riesgos
Los riesgos del proyecto se pueden categorizar por fuentes de riesgo
(p.ej., utilizando la RBS), por área del proyecto afectada (p.ej., utilizando
la EDT/WBS) o por otras categorías útiles (p.ej., fase del proyecto) a fin
de determinar qué áreas del proyecto están más expuestas a los efectos
de la incertidumbre. Los riesgos también se pueden categorizar por
causas raíces comunes. Esta técnica ayuda a determinar los paquetes de
trabajo, las actividades, las fases del proyecto o incluso los roles del
proyecto que pueden conducir al desarrollo de respuestas eficaces frente
al riesgo.
3.2.8.4. Evaluación de la Urgencia de los Riesgos
Los riesgos que requieren respuestas a corto plazo pueden ser
considerados de atención más urgente. Entre los indicadores de prioridad
se pueden incluir la probabilidad de detectar el riesgo, el tiempo para dar
una respuesta a los riesgos, los síntomas y las señales de advertencia, y
la calificación del riesgo. En algunos análisis cualitativos, la evaluación de
la urgencia de un riesgo se combina con la calificación del riesgo obtenida
Pág. 18
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
a través de la matriz de probabilidad e impacto para obtener una
calificación final de la severidad del riesgo.
Como resultado de este proceso de Realizar el Análisis Cualitativo de
Riesgos se obtiene:
Actualizaciones de los documentos:
Actualizaciones al registro de riesgos. A medida que se dispone de
nueva información a través de la evaluación cualitativa de riesgos, se va
actualizando el registro de riesgos. Las actualizaciones al registro de
riesgos pueden incluir evaluaciones de probabilidad e impacto para cada
riesgo, clasificación y calificación de riesgos, información de la urgencia
o categorización de los riesgos, así como una lista de observación para
los riesgos de baja probabilidad o que requieren análisis adicional.
Actualizaciones al registro de supuestos. A medida que se dispone
de nueva información a través de la evaluación cualitativa de riesgos, los
supuestos pueden cambiar. Es preciso revisar el registro de supuestos
para dar cabida a esta nueva información. Los supuestos se pueden
incorporar en el enunciado del alcance del proyecto o en un registro de
supuestos independiente.
3.2.9. Realizar el Análisis Cuantitativo de Riesgos
Realizar el Análisis Cuantitativo de Riesgos es el proceso de analizar
numéricamente el efecto de los riesgos identificados sobre los objetivos generales
del proyecto. El beneficio clave de este proceso es que genera información
cuantitativa sobre los riesgos para apoyar la toma de decisiones a fin de reducir
la incertidumbre del proyecto.
El proceso Realizar el Análisis Cuantitativo de Riesgos se aplica a los riesgos
priorizados mediante el proceso Realizar el Análisis Cualitativo de Riesgos por
tener un posible impacto significativo sobre las demandas concurrentes del
proyecto.
Pág. 19
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Figura N°2: Realizar el Análisis Cuantitativo de Riesgos: Entradas, Herramientas y Técnicas, y Salidas
Fuente: PMBOK- Guía 5
En algunos casos puede que no sea posible llevar a cabo el proceso Realizar
el Análisis Cuantitativo de Riesgos debido a la falta de datos suficientes para
desarrollar los modelos adecuados. El director del proyecto debe utilizar el juicio
de expertos para determinar la necesidad y la viabilidad del análisis cuantitativo
de riesgos. La disponibilidad de tiempo y presupuesto, así como la necesidad
de declaraciones cualitativas o cuantitativas acerca de los riesgos y sus
impactos, determinarán qué método o métodos emplear para un determinado
proyecto. El proceso Realizar el Análisis Cuantitativo de Riesgos debe
repetirse, según las necesidades, como parte del proceso Controlar los
Riesgos, para determinar si se ha reducido satisfactoriamente el riesgo global
del proyecto. Las tendencias pueden indicar la necesidad de una mayor o
menor atención a las actividades adecuadas en materia de gestión de riesgos.
Para realizar el Análisis Cuantitativo de Riesgos se utilizan Técnicas y
herramientas
3.2.9.1. Realizar el Análisis Cuantitativo de Riesgos: Herramientas y
Técnicas
3.2.9.1.1. Técnicas de Recopilación y Representación de Datos
Entrevistas. Las técnicas de entrevistas se basan en la
experiencia y en datos históricos para cuantificar la probabilidad y
Pág.20
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
el impacto de los riesgos sobre los objetivos del proyecto. La
información necesaria depende del tipo de distribuciones de
probabilidad que se vayan a utilizar. Por ejemplo, para algunas
distribuciones comúnmente usadas, la información se podría
recopilar agrupándola en escenarios optimistas (bajo), pesimistas
(alto) y más probables.
Distribuciones de probabilidad. Las distribuciones continuas de
probabilidad, utilizadas ampliamente en el modelado y simulación,
representan la incertidumbre en valores tales como las duraciones
de las actividades del cronograma y los costos de los componentes
del proyecto. Las distribuciones discretas pueden emplearse para
representar eventos inciertos, como el resultado de una prueba o
un posible escenario en un árbol de decisiones
3.2.9.1.2. Técnicas de Análisis Cuantitativo de Riesgos y de Modelado
Las técnicas comúnmente utilizadas recurren tanto a los análisis
orientados a eventos como a los orientados a proyectos, e incluyen:
Análisis de sensibilidad. El análisis de sensibilidad ayuda a
determinar qué riesgos tienen el mayor impacto potencial en el
proyecto. Ayuda a comprender la correlación que existe entre las
variaciones en los objetivos del proyecto y las variaciones en las
diferentes incertidumbres. Por otra parte, evalúa el grado en que
la incertidumbre de cada elemento del proyecto afecta al objetivo
que se está estudiando cuando todos los demás elementos
inciertos son mantenidos en sus valores de línea base.
Análisis del valor monetario esperado. El análisis del valor
monetario esperado (EMV) es un concepto estadístico que
calcula el resultado promedio cuando el futuro incluye
Pág.21
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
escenarios que pueden ocurrir o no (es decir, análisis bajo
incertidumbre).
Juicio de Expertos
El juicio de expertos (que idealmente recurre a expertos con
experiencia relevante y reciente) se requiere para identificar los
impactos potenciales sobre el costo y el cronograma, para
evaluar la probabilidad y definir las entradas tales como las
distribuciones de probabilidad a las herramientas.
3.2.9.1.3. Realizar el Análisis Cuantitativo de Riesgos: Salidas
Actualizaciones a los Documentos del Proyecto
Los documentos del proyecto se actualizan con la información
resultante del análisis cuantitativo de riesgos. Por ejemplo, las
actualizaciones al registro de riesgos podrían incluir:
• Análisis probabilístico del proyecto. Se realizan
estimaciones de los resultados potenciales del cronograma y
costos del proyecto, enumerando las fechas de conclusión y
los costos posibles con sus niveles de confianza asociados.
Esta salida, a menudo expresada como una distribución de
frecuencia acumulativa, se utiliza con las tolerancias al riesgo
de los interesados para permitir la cuantificación de las
reservas para contingencias de costo y tiempo. Dichas
reservas para contingencias son necesarias para reducir el
riesgo de desviación con respecto a los objetivos establecidos
para el proyecto a un nivel aceptable para la organización.
Probabilidad de alcanzar los objetivos de costo y tiempo.
Con los riesgos que afronta el proyecto, se puede estimar la
probabilidad de alcanzar los objetivos del proyecto de acuerdo
Pág.22
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
con el plan actual utilizando los resultados del análisis
cuantitativo de riesgos.
• Lista priorizada de riesgos cuantificados. Esta lista incluye
los riesgos que representan la mayor amenaza o suponen la
mayor oportunidad para el proyecto. Se incluyen los riesgos
que pueden tener el mayor efecto en las contingencias de
costos y aquéllos que tienen mayor probabilidad de influir en
la ruta crítica. En algunos casos, estos riesgos pueden
evaluarse mediante un diagrama con forma de tornado, el
cual se genera como resultado del análisis de simulación.
•Tendencias en los resultados del análisis cuantitativo de
riesgos. Conforme se repite el análisis, puede hacerse
evidente una tendencia que lleve a conclusiones que afecten
las respuestas a los riesgos. La información histórica de la
organización relativa al cronograma, al costo, a la calidad y al
desempeño del proyecto debe reflejar los nuevos
conocimientos adquiridos a través del proceso Realizar el
Análisis Cuantitativo de Riesgos. Dicho historial puede
adoptar la forma de un informe de análisis cuantitativo de
riesgos. Este informe se puede presentar de manera
independiente o vinculada con el registro de riesgos.
3.2.10. Planificar La Respuesta a Los Riesgos
Este proceso desarrolla las opciones y acciones para mejorar las oportunidades
y reducir las amenazas a los objetos del proyecto. Se realiza después de los
procesos Realizar el Análisis Cualitativo de Riesgos y Realizar el Análisis
Cuantitativo de Riesgos (en el caso que este se aplique).
Incluye la identificación y asignación de una persona (el “propietario de la
respuesta a los riesgos”) para que asuma la responsabilidad de cada respuesta
a los riesgos acordada y financiada. El Proceso Planificar la Respuesta a los
Pág.23
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
riesgos aborda los riesgos en función de su prioridad, introduciendo recursos y
actividades en el presupuesto, el cronograma y el plan para la dirección del
Proyecto. Según requiera.
La respuesta a los riesgos planificados deben ser congruentes a con la
importancia del riesgo, tener un coste efectivo en relación al desafío, ser
aplicadas a su debido tiempo, ser realistas dentro del contexto del Proyecto,
estar acordadas por todas las partes implicadas, y a cargo de una persona
responsable. A menudo es necesario seleccionar la mejor respuesta a los
riesgos entre varias opciones. La sección planificación de la respuesta a los
riesgos presenta los enfoques comúnmente usados para planificar la respuesta
a los riesgos. Los riesgos incluyen las amenazas y las oportunidades que pueden
afectar al éxito del Proyecto, y se discuten las respuestas para cada una de ellas.
3.2.10.1. Herramientas y Técnicas
Existen varias estrategias de respuesta a los riesgos. Para cada riesgo, se
debe seleccionar la estrategia o la combinación de estrategias con mayor
probabilidad de eficacia.
Se pueden utilizar herramientas de análisis de riesgos, tales como el análisis
mediante árbol de decisiones, para seleccionar las respuestas más
adecuadas. Se desarrollan acciones específicas para implementar esa
estrategia, incluidas estrategias principales y de refuerzo, según sea
necesario.
3.2.10.1.1. Estrategias para Riesgos Negativos o Amenazas
Las tres estrategias que normalmente abordan las amenazas o los
riesgos que pueden tener impactos negativos sobre los objetivos del
proyecto en caso de materializarse, son: evitar, transferir y mitigar.
Evitar. Evitar el riesgo es una estrategia de respuesta a los riesgos
según la cual el equipo del proyecto actúa para eliminar la amenaza o
Pág.24
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
para proteger al proyecto de su impacto. Por lo general implica cambiar
el plan para la dirección del proyecto, a fin de eliminar por completo la
amenaza.
Transferir. Transferir el riesgo es una estrategia de respuesta a los
riesgos según la cual el equipo del proyecto traslada el impacto de una
amenaza a un tercero, junto con la responsabilidad de la respuesta. La
transferencia de un riesgo simplemente confiere a una tercera parte la
responsabilidad de su gestión; no lo elimina. La transferencia no implica
que se deje de ser el propietario del riesgo por el hecho de transferirlo
a un proyecto posterior o a otra persona sin su conocimiento o
consentimiento.
Mitigar. Mitigar el riesgo es una estrategia de respuesta a los riesgos
según la cual el equipo del proyecto actúa para reducir la probabilidad
de ocurrencia o impacto de un riesgo. Implica reducir a un umbral
aceptable la probabilidad y/o el impacto de un riesgo adverso.
Aceptar. Aceptar el riesgo es una estrategia de respuesta a los
riesgos según la cual el equipo del proyecto decide reconocer el riesgo
y no tomar ninguna medida a menos que el riesgo se materialice.
3.2.10.1.2. Estrategias para Riesgos Positivos u Oportunidades
Tres de las cuatro respuestas se sugieren para tratar riesgos con
impactos potencialmente positivos sobre los objetivos del proyecto.
Explotar. La estrategia de explotar se puede seleccionar para los
riesgos con impactos positivos, cuando la organización desea
asegurarse de que la oportunidad se haga realidad. Esta estrategia
busca eliminar la incertidumbre asociada con un riesgo a la alza en
Pág.25
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
particular, asegurando que la oportunidad definitivamente se
concrete.
Mejorar. La estrategia de mejorar se utiliza para aumentar la
probabilidad y/o los impactos positivos de una oportunidad.
Aceptar. Aceptar una oportunidad es estar dispuesto a aprovechar la
oportunidad si se presenta, pero sin buscarla de manera activa.
3.3. Metodologías para Análisis de Riesgo
Existen multitud de metodologías que nos pueden facilitar la realización de un
análisis de riesgos.
Estas metodologías nos indican los pasos a seguir para su correcta ejecución, ya
que, como hemos visto, suelen ser muy complejos y tienen multitud de variables.
Utilizar una herramienta para llevar a cabo el análisis de riesgos facilita su
elaboración y permite realizar las labores de manera más sistemática. Esto facilita
que la información resultante sea reutilizable y comparable con resultados de
sucesivos análisis.
Algunas de estas metodologías son:
Citicus One: software comercial de Citicus, implementa el método FIRM del
Foro de Seguridad de la Información;
CRAMM: “CCTA Risk Assessment and Management Methodology” fue
originalmente desarrollado para uso del gobierno de UK pero ahora es
propiedad de Siemens;
ISO TR 13335: fue el precursor de la ISO/IEC 27005;
MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información” está disponible tanto en español como en inglés.
OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation”
Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT;
NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una
perspectiva organizacional”;
Pág.26
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología
de la Información, es gratuito;
Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF
(Club de la Sécurité de l'Information Français);
AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia
y Nueva Zelanda y ampliamente utilizada en todo el mundo.
Las Metodologías anteriores se puede decir o aclarar que en si buscan lo mismo,
analizar los riesgos informáticos en una compañía u organización.
3.1.1 La metodología OCTAVE está compuesta en tres fases:
1. Visión de organización: Donde se definen los siguientes elementos:
activos, vulnerabilidades de organización, amenazas, exigencias de
seguridad y normas existentes.
2. Visión tecnológica: se clasifican en dos componentes o elementos:
componentes claves y vulnerabilidades técnicas.
3. Planificación de las medidas y reducción de los riesgos: se clasifican en
los siguientes elementos: evaluación de los riesgos, estrategia de protección,
ponderación de los riesgos y plano de reducción de los riesgos.
3.3.2 La Metodología NIST SP 800-30 está compuesta por 9 pasos básicos para
el análisis de riesgo:
1. Caracterización del sistema.
2. Identificación de amenazas.
3. Identificación de vulnerabilidades.
4. Control de análisis.
5. Determinación del riesgo.
6. Análisis de impacto.
7. Determinación del riesgo.
8. Recomendaciones de control.
9. Resultado de la implementación o documentación.
Pág.27
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Como podemos ver en los enunciados anteriores de las metodologías, podemos
sacar varias conclusiones. Una de ellas es que todas las metodologías para el
análisis de riesgo siempre están en busca de realizar un buen análisis de riesgo.
Pero la diferencia es que cada metodología maneja sus propios conceptos y una
forma diferente de adquirir un análisis de riesgo. En si todas las metodologías hacen
lo mismo pero con diferente estructura a la hora de realizar un análisis de riesgo.
3.2 INTRODUCCION METODOLOGÍA MAGERIT
Para lograr un buen nivel de seguridad se utilizará una metodología que es
necesaria para realizar un plan de seguridad, la cual nos ayuda a realizar el análisis
y gestión de riesgos, hablamos de la metodología MAGERIT (Metodología de
Análisis y Gestión de Riesgos de IT).
La Metodología MAGERIT fue desarrollada por el Consejo Superior de
Administración Electrónica (CSAE), y publicada por el Ministerio de
Administraciones Publica (MAP) encargado de la preparación, elaboración,
desarrollo y aplicación de la política informática del Gobierno Español.
La primera versión se publicó en 1997, la segunda en el 2005 y la versión vigente
en la actualidad es la versión 3.0, publicada en 2012. Se trata de una metodología
abierta, de uso muy extendido en el ámbito español, y de uso obligatorio por parte
de la Administración Pública Española.
Dispone de una herramienta de soporte, PILAR (Proceso Informático-Lógico para
el Análisis y la gestión de Riesgos), de uso gratuito para la Administración Pública
española y comercial para organizaciones privadas.
La Metodología consta de tres volúmenes:
• Volumen I – Método, es el volumen principal en el que se explica
detalladamente la metodología.
Pág.28
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
• Volumen II – Catalogo de Elementos, complementa el volumen principal
proporcionando diversos inventarios de utilidad en la aplicación de la
metodología. Los inventarios que incluye son:
Tipos de Activos
Dimensiones y Criterios de Valoración
Amenazas
Salvaguardas
• Volumen III – Guía de Técnicas, complementa el volumen principal
proporcionando una introducción de algunas técnicas a utilizar en las
distintas fases del análisis de riesgos. Las técnicas que recoge son:
Técnicas específicas para el análisis de riesgos:
Análisis mediante tablas
Análisis algorítmico
Arboles de ataque
Técnicas Generales:
Análisis coste-beneficio
Diagrama de Flujo de Datos (DFD)
Diagrama de Procesos
Técnicas Graficas
Planificación de Proyectos
Sesiones de trabajo: entrevistas, reuniones y presentaciones
Valoración Delphi
La Metodología MAGERIT se puede resumir gráficamente de la siguiente
forma:
Pág.29
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Figura Nº 03: Metodología
Fuente: Magerit Libro I-Método
3.4.1 MAGERIT
El CSAE ha elaborado y promueve MAGERIT como respuesta a la percepción
de que la Administración Pública (y en general toda la sociedad) depende de
forma creciente de los sistemas de in-formación para alcanzar sus objetivos.
El uso de tecnologías de la información y comunicaciones (TIC) supone unos
beneficios evidentes para los ciudadanos; pero también da lugar a ciertos
riesgos que deben gestionarse prudentemente con medidas de seguridad que
sustenten la confianza de los usuarios de los servicios.
Siguiendo la terminología de la normativa ISO 31000, MAGERIT responde a
lo que se denomina “Proceso de Gestión de los Riesgos”, sección 4.4
(“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión
de Riesgos”. En otras palabras, MAGERIT implementa el Proceso de Gestión
de Riesgos dentro de un marco de trabajo para que los órganos de gobierno
tomen decisiones teniendo en cuenta los riesgos derivados del uso de
tecnologías de la información.
Interesan por su
Activos
Amenazas
Salvaguardas
Están expuestos a
Valor
Impacto
residual
Riesgo
residual
Degradación
residual
Frecuencia
residual
Causan una cierta
Con una cierta
Pág.30
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Figura N° 04: ISO 31000 - Marco de trabajo para la gestión de riesgos
Fuente: Magerit, Libro I-Método
Magerit persigue los siguientes objetivos:
Directos:
1. Concienciar a los responsables de las organizaciones de información de
la existencia de riesgos y de la necesidad de gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados del
uso de tecnologías de la información y comunicaciones (TIC)
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los
riesgos bajo control.
Indirectos:
Preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso.
También se ha buscado la uniformidad de los informes que recogen los
hallazgos y las conclusiones de las actividades de análisis y gestión de
riesgos:
4.2 Mandato y
Compromiso 3. Principios
4.4 Implementación de
la gestión de riesgos
4.3 Diseño del
marco de trabajo
4.6. Mejora
Continua del marco
4.3 Seguimiento y
revisión del
marco MAGERIT
Pág.31
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Modelo de valor: Caracterización del valor que representan los
activos para la Organización así como de las dependencias entre
los diferentes activos.
Mapa de riesgos: Relación de las amenazas a que están
expuestos los activos.
Declaración de aplicabilidad: Para un conjunto de salvaguardas,
se indica sin son de aplicación en el sistema de información bajo
estudio o si, por el contrario, carecen de sentido.
Evaluación de salvaguardas: Evaluación de la eficacia de las
salvaguardas existentes en relación al riesgo que afrontan.
Estado de riesgo: Caracterización de los activos por su riesgo
residual; es decir, por lo que puede pasar tomando en
consideración las salvaguardas desplegadas.
Informe de insuficiencias: Ausencia o debilidad de las
salvaguardas que aparecen como oportunas para reducir los
riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del
sistema, entendidas como puntos débilmente protegidos por los
que las amenazas podrían materializarse.
Cumplimiento de normativa: Satisfacción de unos requisitos.
Declaración de que se ajusta y es conforme a la normativa
correspondiente.
Plan de seguridad: Conjunto de proyectos de seguridad que
permiten materializar las decisiones de tratamiento de riesgos.
3.4.2 El Análisis y Tratamiento de Riesgos en su Contexto
Las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas
sino que se encajan en la actividad continua de gestión de la seguridad.
El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de
protegido se encuentra el sistema. En coordinación con los objetivos, estrategia
y política de la Organización, las actividades de tratamiento de los riesgos
permiten elaborar un plan de seguridad que, implantado y operado, satisfaga
Pág.32
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
los objetivos propuestos con el nivel de riesgo que acepta la Dirección. Al
conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos.
La implantación de las medidas de seguridad requiere una organización
gestionada y la participación informada de todo el personal que trabaja con el
sistema de información. Es este personal el responsable de la operación diaria,
de la reacción ante incidencias y de la monitorización en general del sistema
para determinar si satisface con eficacia y eficiencia los objetivos propuestos.
Este esquema de trabajo debe ser repetitivo pues los sistemas de información
rara vez son inmutables; más bien se encuentran sometidos a evolución
continua tanto propia (nuevos activos) como del entorno (nuevas amenazas),
lo que exige una revisión periódica en la que se aprende de la experiencia y se
adapta al nuevo contexto.
El análisis de riesgos proporciona un modelo del sistema en términos de
activos, amenazas y salvaguardas, y es la piedra angular para controlar todas
las actividades con fundamento. La fase de tratamiento estructura las acciones
que se acometen en materia de seguridad para satisfacer las necesidades
detectadas por el análisis.
Los sistemas de gestión de la seguridad de la información (SGSI) [ISO 27001]
formalizan cuatro etapas cíclicas:
Figura N° 05: Ciclo PDCA Fuente: Magerit, Libro I-Método
Do
Planificación
Implementació
n y operación Mantenimient
o y mejora
Monitorización
y evaluación
Observar a
los demás
Plan
Chec
k
Pág.33
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
El análisis de riesgos es parte de las actividades de planificación, donde se toman
decisiones de tratamiento. Estas decisiones se materializan en la etapa de
implantación, donde conviene desplegar elementos que permitan la monitorización
de las medidas desplegadas para poder evaluar la efectividad de las mismas y
actuar en consecuencia, dentro de un círculo de excelencia o mejora continua
Incidencias y Recuperación
Las personas involucradas en la utilización y operación del sistema deben ser
conscientes de su papel y relevancia continua para prevenir problemas y
reaccionar cuando se produzcan. Es importante crear una cultura de
responsabilidad donde los potenciales problemas, detectados por los que están
cercanos a los activos afectados, puedan ser canalizados hacia los puntos de
decisión. De esta forma el sistema de seguridad responderá con presteza a las
circunstancias de cada momento.
Cuando se produce una incidencia, el tiempo empieza a correr en contra del
sistema: su supervivencia depende de la agilidad y corrección de las actividades
de reporte y reacción. Cualquier error, imprecisión o ambigüedad en estos
momentos críticos, se ve amplificado convirtiendo lo que podía ser un mero
incidente en un desastre.
Conviene aprender continuamente, tanto de los éxitos como de los fracasos, e
incorporar lo que vamos aprendiendo al proceso de gestión de riesgos. La madurez
de una organización se refleja en la pulcritud y realismo de su modelo de valor y,
consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde
medidas técnicas hasta una óptima organización.
3.4.3 Realización del Análisis y del Tratamiento
Hay dos grandes tareas a realizar:
Análisis de riesgos,
Que permite determinar qué tiene la Organización y estimar lo que podría
pasar.
Pág.34
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Tratamiento de los riesgos,
Que permite organizar la defensa concienzuda y prudente, defendiendo
para que no pase nada malo y al tiempo estando preparados para atajar
las emergencias, sobrevivir a los incidentes y seguir operando en las
mejores condiciones; como nada es perfecto, se dice que el riesgo se
reduce a un nivel residual que la Dirección asume.
Ambas actividades, análisis y tratamiento se combinan en el proceso
denominado Gestión de Riesgos.
Figura N° 06. Gestión de Riesgos Fuente: Magerit, Libro I-Método
El análisis de riesgos considera los siguientes elementos:
1. Activos, que son los elementos del sistema de información (o
estrechamente relacionados con este) que soportan la misión de la
Organización
2. Amenazas, que son cosas que les pueden pasar a los activos
causando un perjuicio a la Organización
3. Salvaguardas (o contra medidas), que son medidas de protección
desplegadas para que aquellas amenazas no causen [tanto] daño.
Con estos elementos se puede estimar:
1. El impacto: lo que podría pasar
2. El riesgo: lo que probablemente pase
Pág.35
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
El análisis de riesgos permite analizar estos elementos de forma metódica para
llegar a conclusiones con fundamento y proceder a la fase de tratamiento.
Informalmente, se puede decir que la gestión de la seguridad de un sistema de
información es la gestión de sus riesgos y que el análisis permite racionalizar
dicha gestión.
3.4.3.1 Método de Análisis de Riesgos
Conceptos Pasos a Paso
El análisis de riesgos es una aproximación metódica para determinar el
riesgo siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la Organización, su interrelación
y su valor, en el sentido de qué perjuicio (coste) supondría su
degradación
2. Determinar a qué amenazas están expuestos aquellos activos
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son
frente al riesgo.
4. Estimar el impacto, definido como el daño sobre el activo derivado de
la materialización de la amenaza.
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza.
Con el objeto de organizar la presentación, se introducen los conceptos de
“impacto y riesgo potenciales” entre los pasos 2 y 3. Estas valoraciones son
“teóricas”: en el caso de que no hubiera salvaguarda alguna desplegada.
Una vez obtenido este escenario teórico, se incorporan las sal-vaguardas
del paso 3, derivando estimaciones realistas de impacto y riesgo.
La siguiente figura recoge este primer recorrido, cuyos pasos se detallan
en las siguientes secciones:
Pág.36
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Figura N° 07. Elementos del Análisis de Riesgos Potenciales
Fuente: Magerit, Libro I-Método
3.4.3.1.1 Paso 1: Activos
Componente o funcionalidad de un sistema de información susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos
(hardware), comunicaciones, recursos administrativos, recursos físicos y
recursos humanos.
En un sistema de información hay 2 cosas esenciales:
La información que maneja y
Los servicios que presta.
Estos activos esenciales marcan los requisitos de seguridad para todos los
demás componentes del sistema.
Subordinados a dicha esencia se pueden identificar otros activos relevantes:
Datos que materializan la información.
Servicios auxiliares que se necesitan para poder organizar el sistema.
Las aplicaciones informáticas (software) que permiten manejar los
datos.
Pág.37
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Los equipos informáticos (hardware) y que permiten hospedar datos,
aplicaciones y servicios.
Los soportes de información que son dispositivos de almacenamiento
de datos.
El equipamiento auxiliar que complementa el material informático.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informáticos y de
comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente
citados.
No todos los activos son de la misma especie. Dependiendo del tipo de activo,
las amenazas y las salvaguardas son diferentes.
Dependencias
Los activos esenciales son la información y los servicios prestados; pero estos
activos dependen de otros activos más prosaicos como pueden ser los equipos,
las comunicaciones, las instalaciones y las frecuentemente olvidadas personas
que trabajan con aquellos.
De manera que los activos vienen a formar árboles o grafos de dependencias
donde la seguridad de los activos que se encuentran más arriba en la estructura
o ‘superiores’ depende de los activos que se encuentran más abajo o ‘inferiores’.
Estas estructuras reflejan de arriba hacia abajo las dependencias, mientas que
de abajo hacia arriba la propagación del daño caso de materializarse las
amenazas.
Por ello aparece como importante el concepto de “dependencias entre activos”
o la medida en que un activo superior se vería afectado por un incidente de
seguridad en un activo inferior.
Se dice que un “activo superior” depende de otro “activo inferior” cuando las
necesidades de seguridad del superior se reflejan en las necesidades de
seguridad del inferior. O, dicho en otras palabras, cuando la materialización de
Pág.38
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el
activo superior. Informalmente puede interpretarse que los activos inferiores son
los pilares en los que se apoya la seguridad de los activos superiores.
Aunque en cada caso hay que adaptarse a la Organización objeto del análisis,
con frecuencia se puede estructurar el conjunto de activos en capas, donde las
capas superiores dependen de las inferiores:
Activos esenciales
Información que se maneja
Servicios prestados
Servicios internos
Que estructuran ordenadamente el sistema de información
El equipamiento informático
Aplicaciones (software)
Equipos informáticos (hardware)
Comunicaciones
Soportes de información: discos, cintas, etc.
El entorno: activos que se precisan para garantizar las siguientes capas
Equipamiento y suministros: energía, climatización, etc.
Mobiliario
Los servicios subcontratados a terceros
Las instalaciones físicas
El personal
Usuarios
Operadores y administradores
Desarrolladores
Valoración
¿Por qué interesa un activo? Por lo que vale.
No se está hablando de lo que cuestan las cosas, sino de lo que valen. Si algo
no vale para nada, prescíndase de ello. Si no se puede prescindir impunemente
Pág.39
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
de un activo, es que algo vale; eso es lo que hay que averiguar pues eso es lo que
hay que proteger.
La valoración se puede ver desde la perspectiva de la ‘necesidad de proteger’
pues cuanto más valioso es un activo, mayor nivel de protección requeriremos en
la dimensión (o dimensiones) de seguridad que sean pertinentes.
El valor puede ser propio, o puede ser acumulado. Se dice que los activos
inferiores en un esquema de dependencias, acumulan el valor de los activos que
se apoyan en ellos.
El valor nuclear suele estar en la información que el sistema maneja y los
servicios que se prestan (activos denominados esenciales), quedando los demás
activos subordinados a las necesidades de explotación y protección de lo esencial.
Por otra parte, los sistemas de información explotan los datos para proporcionar
servicios, internos a la Organización o destinados a terceros, apareciendo una
serie de datos necesarios para prestar un servicio. Sin entrar en detalles técnicos
de cómo se hacen las cosas, el conjunto de información y servicios esenciales
permite caracterizar funcionalmente una organización. Las dependencias entre
activos permiten relacionar los demás activos con datos y servicios.
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en
alguna escala de niveles). Los criterios más importantes a respetar son:
La homogeneidad: es importante poder comparar valores aunque sean de
diferentes dimensiones a fin de poder combinar valores propios y valores
acumulados, así como poder determinar si es más grave el daño en una
dimensión o en otra
La relatividad: es importante poder relativizar el valor de un activo en
comparación con otros activos.
Pág.40
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Ambos criterios se satisfacen con valoraciones económicas (coste dinerario
requerido para “curar” el activo) y es frecuente la tentación de ponerle precio a
todo. Si se consigue, excelente. Incluso es fácil ponerle precio a los aspectos más
tangibles (equipamiento, horas de trabajo, etc.); pero al entrar en valoraciones
más abstractas (intangibles como la credibilidad de la Organización) la valoración
económica exacta puede ser escurridiza y motivo de agrias disputas entre
expertos.
Dimensiones
De un activo puede interesar calibrar diferentes dimensiones:
Su confidencialidad: ¿qué daño causaría que lo conociera quien no debe?
Esta valoración es típica de datos.
Su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto?
Esta valoración es típica de los datos, que pueden estar manipulados, ser
total o parcialmente falsos o, incluso, faltar datos.
Su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo?
Esta valoración es típica de los servicios.
En sistemas dedicados a servicios de la sociedad de la información como puedan
ser los de administración electrónica o comercio electrónico, el conocimiento de
los actores es fundamental para poder prestar el servicio correctamente y poder
perseguir los fallos (accidentales o deliberados) que pudieran darse. Así pues, en
los activos esenciales, frecuentemente es útil valorar:
La autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace
o ha hecho cada cosa?
Esta valoración es típica de servicios (autenticidad del usuario) y de los datos
(autenticidad de quien accede a los datos para escribir o, simplemente,
consultar)
La trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién
se le presta tal servicio? O sea, ¿quién hace qué y cuándo?
Pág.41
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
La trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién
accede a qué datos y qué hace con ellos?
Casi todas las dimensiones mencionadas anteriormente permiten una valoración
simple, cualitativa o cuantitativa. Pero hay una excepción, la disponibilidad.
No es lo mismo interrumpir un servicio una hora o un día o un mes. Puede que
una hora de detención sea irrelevante, mientras que un día sin servicio causa un
daño moderado; pero un mes detenido suponga la terminación de la actividad. Por
ello hay que saber valorar qué es lo que interesa evitar de forma que se ahorren
esfuerzos (no sólo económicos) para interrupciones de disponibilidad irrelevantes
pasando directamente a evaluar los relevantes.
3.4.3.1.2 Paso 2: Amenazas
Causa potencial de un incidente que puede causar daños a un sistema de
información o a una organización.
El siguiente paso consiste en determinar las amenazas que pueden afectar a
cada activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede
ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.
Identificación de las Amenazas
El capítulo 5 del "Catálogo de Elementos" presenta una relación de amenazas
típicas.
De origen natural
Hay accidentes naturales (terremotos, inundaciones, entre otros). Ante
esos avatares el sistema de información es víctima pasiva, pero de todas
formas tendremos en cuenta lo que puede suceder.
Del entorno (de origen industrial)
Hay desastres industriales (contaminación, fallos eléctricos, entre otros)
ante los cuales el sistema de información es víctima pasiva; pero no por
ser pasivos hay que permanecer indefensos.
Pág.42
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Defectos de las aplicaciones
Hay problemas que nacen directamente en el equipamiento propio por
defectos en su diseño o en su implementación, con consecuencias
potencialmente negativas sobre el sistema. Frecuentemente se
denominan vulnerabilidades técnicas o, simplemente, ‘vulnerabilidades’.
Causadas por las personas de forma accidental
Las personas con acceso al sistema de información pueden ser causa de
problemas no intencionados, típicamente por error o por omisión.
Causadas por las personas de forma deliberada
Las personas con acceso al sistema de información pueden ser causa de
problemas intencionados: ataques deliberados; bien con ánimo de
beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios
a los legítimos propietarios.
No todas las amenazas afectan a todos los activos, sino que hay una cierta
relación entre el tipo de activo y lo que le podría ocurrir.
Valoración de las Amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus
dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que
valorar su influencia en el valor del activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el [valor del] activo
Probabilidad: cuán probable o improbable es que se materialice la
amenaza
La degradación mide el daño causado por un incidente en el supuesto de que
ocurriera.
La degradación se suele caracterizar como una fracción del valor del activo y
así aparecen expresiones como que un activo se ha visto “totalmente
degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no
son intencionales, probablemente baste conocer la fracción físicamente
Pág.43
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
perjudicada de un activo para calcular la pérdida proporcional de valor que se
pierde. Pero cuando la amenaza es intencional, no se puede pensar en
proporcionalidad alguna pues el atacante puede causar muchísimo daño de
forma selectiva.
La probabilidad de ocurrencia es más compleja de determinar y de expresar. A
veces se modela cualitativamente por medio de alguna escala nominal:
Tabla Nº 01: Degradación del Valor.
Fuente: Magerit, Libro I-Método
A veces se modela numéricamente como una frecuencia de ocurrencia. Es
habitual usar 1 año como referencia, de forma que se recurre a la tasa anual
de ocurrencia15 como medida de la probabilidad de que algo ocurra. Son
valores típicos:
Tabla Nº 02: Probabilidad de Ocurrencia.
Fuente: Magerit, Libro I-Método
3.4.3.1.3 Determinación del Impacto
Se denomina impacto a la medida del daño sobre el activo derivado de la
materialización de una amenaza. Conociendo el valor de los activos (en varias
MA muy alta casi seguro fácil
A alta muy alto medio
M media posible difícil
B baja poco probable muy difícil
MB muy baja muy raro extremadamente difícil
MA 100 muy frecuente a diario
A 10 frecuente mensualmente
M 1 normal una vez al año
B 1/10 poco frecuente cada varios años
MB 1/100 muy poco frecuente siglos
Pág.44
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
dimensiones) y la degradación que causan las amenazas, es directo derivar el
impacto que estas tendrían sobre el sistema.
La única consideración que queda hacer es relativa a las dependencias entre
activos. Es frecuente que el valor del sistema se centre en la información que
maneja y los servicios que presta; pero las amenazas suelen materializarse en
los medios. Para enlazar unos con otros recurriremos al grafo de dependencias.
Impacto acumulado
Es el calculado sobre un activo teniendo en cuenta
Su valor acumulado (el propio mas el acumulado de los activos que
dependen de él)
Las amenazas a que está expuesto
El impacto acumulado se calcula para cada activo, por cada amenaza y en cada
dimensión de valoración, siendo una función del valor acumulado y de la
degradación causada.
El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre
un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto acumulado, al calcularse sobre los activos que soportan el peso del
sistema de información, permite determinar las salvaguardas de que hay que
dotar a los medios de trabajo: protección de los equipos, copias de respaldo,
etc.
Impacto repercutido
Es el calculado sobre un activo teniendo en cuenta
Su valor propio
Las amenazas a que están expuestos los activos de los que depende
El impacto repercutido se calcula para cada activo, por cada amenaza y en
cada dimensión de valoración, siendo una función del valor propio y de la
degradación causada.
Pág.45
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
El impacto es tanto mayor cuanto mayor es el valor propio de un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado.
El impacto repercutido, al calcularse sobre los activos que tienen valor propio,
permite determinar las consecuencias de las incidencias técnicas sobre la
misión del sistema de información. Es pues una presentación gerencial que
ayuda a tomar una de las decisiones críticas de un análisis de riesgos: aceptar
un cierto nivel de riesgo.
Agregación de valores de impacto
Los párrafos anteriores determinan el impacto que sobre un activo tendría una
amenaza en una cierta dimensión. Estos impactos singulares pueden
agregarse bajo ciertas condiciones:
Puede agregarse el impacto repercutido sobre diferentes activos.
Puede agregarse el impacto acumulado sobre activos que no sean
dependientes entre sí, y no hereden valor de un activo superior común.
No debe agregarse el impacto acumulado sobre activos que no sean
independientes, pues ello supondría sobre ponderar el impacto al incluir
varias veces el valor acumulado de activos superiores.
Puede agregarse el impacto de diferentes amenazas sobre un mismo
activo, aunque con-viene considerar en qué medida las diferentes
amenazas son independientes y pueden ser concurrentes.
Puede agregarse el impacto de una amenaza en diferentes dimensiones.
3.4.3.1.4 Determinación del Riesgo Potencial
Se denomina riesgo a la medida del daño probable sobre un sistema.
Conociendo el impacto de las amenazas sobre los activos, es directo derivar
el riesgo sin más que tener en cuenta la probabilidad de ocurrencia.
El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una
serie de zonas a tener en cuenta en el tratamiento del riesgo (que veremos
más adelante):
Pág.46
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Zona 1 – riesgos muy probables y de muy alto impacto
Zona 2 – franja amarilla: cubre un amplio rango desde situaciones
improbables y de impacto medio, hasta situaciones muy probables pero
de impacto bajo o muy bajo
Zona 3 – riesgos improbables y de bajo impacto
Zona 4 – riesgos improbables pero de muy alto impacto
Figura N° 08. El riesgo en función del impacto y la probabilidad
Fuente: Magerit, Libro I-Método
Riesgo acumulado
Es el calculado sobre un activo teniendo en cuenta
El impacto acumulado sobre un activo debido a una amenaza y
La probabilidad de la amenaza
El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada
dimensión de valoración, siendo una función del valor acumulado, la
degradación causada y la probabilidad de la amenaza. El riesgo acumulado,
al calcularse sobre los activos que soportan el peso del sistema de
información, permite determinar las salvaguardas de que hay que dotar a los
medios de trabajo: protección de los equipos, copias de respaldo, etc.
Pág.47
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Riesgo repercutido
Es el calculado sobre un activo teniendo en cuenta
El impacto repercutido sobre un activo debido a una amenaza y
La probabilidad de la amenaza
El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada
dimensión de valoración, siendo una función del valor propio, la degradación
causada y la probabilidad de la amenaza. El riesgo repercutido, al calcularse
sobre los activos que tienen valor propio, permite determinar las
consecuencias de las incidencias técnicas sobre la misión del sistema de
información. Es pues una presentación gerencial que ayuda a tomar una de
las decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de
riesgo.
Agregación de riesgos
Los párrafos anteriores determinan el riesgo que sobre un activo tendría una
amenaza en una cierta dimensión. Estos riesgos singulares pueden agregarse
bajo ciertas condiciones:
Puede agregarse el riesgo repercutido sobre diferentes activos,
Puede agregarse el impacto acumulado sobre activos que no sean
dependientes entre sí, y no hereden valor de un activo superior común
No debe agregarse el riesgo acumulado sobre activos que no sean
independientes, pues ello supondría sobre ponderar el riesgo al incluir
varias veces el valor acumulado de activos superiores
Puede agregarse el riesgo de diferentes amenazas sobre un mismo
activo, aunque conviene considerar en qué medida las diferentes
amenazas son independientes y pueden ser concurrentes
Puede agregarse el riesgo de una amenaza en diferentes dimensiones.
3.4.3.1.5 Paso 3: Salvaguardas
En los pasos anteriores no se han tomado en consideración las salvaguardas
desplegadas. Se miden, por tanto, los impactos y riesgos a que estarían
expuestos los activos si no se protegieran en absoluto. En la práctica no es
Pág.48
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo
que ocurriría si se retiraran las salvaguardas presentes. Se definen las
salvaguardas o contra medidas como aquellos procedimientos o mecanismos
tecnológicos que reducen el riesgo. Hay amenazas que se conjurar
simplemente organizándose adecuadamente, otras requieres elementos
técnicos (programas o equipos), otras, seguridad física y, por último, está la
política de personal.
Efecto de las salvaguardas
Las salvaguardas entran en el cálculo del riesgo de dos formas:
Reduciendo la probabilidad de las amenazas.
Se llaman salvaguardas preventivas. Las ideales llegan a impedir
completamente que la amenaza se materialice.
Limitando el daño causado.
Hay salvaguardas que directamente limitan la posible degradación,
mientras que otras permiten detectar inmediatamente el ataque para frenar
que la degradación avance. Incluso algunas salvaguardas se limitan a
permitir la pronta recuperación del sistema cuando la amenaza lo destruye.
En cualquiera de las versiones, la amenaza se materializa; pero las
consecuencias se limitan.
Figura N° 9. Elementos de Análisis del Riesgo Residual
Fuente: Magerit, Libro I-Método
Pág.49
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
3.4.3.1.6 Paso 4: Impacto Residual
Dado un cierto conjunto de salvaguardas desplegadas y una medida de la
madurez de su proceso de gestión, el sistema queda en una situación de
posible impacto que se denomina residual. Se dice que hemos modificado el
impacto, desde un valor potencial a un valor residual.
El cálculo del impacto residual es sencillo. Como no han cambiado los activos,
ni sus dependencias, sino solamente la magnitud de la degradación, se
repiten los cálculos de impacto con este nuevo nivel de degradación.
La magnitud de la degradación tomando en cuenta la eficacia de las
salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia
real.
El impacto residual puede calcularse acumulado sobre los activos inferiores,
o repercutido sobre los activos superiores.
3.4.3.1.7 Paso 5: Riesgo Residual
Dado un cierto conjunto de salvaguardas desplegadas y una medida de la
madurez de su proceso de gestión, el sistema queda en una situación de
riesgo que se denomina residual. Se dice que hemos modificado el riesgo,
desde un valor potencial a un valor residual.
El cálculo del riesgo residual es sencillo. Como no han cambiado los activos,
ni sus dependencias, sino solamente la magnitud de la degradación y la
probabilidad de las amenazas, se repiten los cálculos de riesgo usando el
impacto residual y la probabilidad residual de ocurrencia.
La magnitud de la degradación se toma en consideración en el cálculo del
impacto residual.
La magnitud de la probabilidad residual tomando en cuenta la eficacia de las
salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia
real.
El riesgo residual puede calcularse acumulado sobre los activos inferiores, o
repercutido sobre los activos superiores.
Pág.50
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
3.4.3.2 Formalización de las Actividades
Este conjunto de actividades tiene los siguientes objetivos:
Levantar un modelo del valor del sistema, identificando y valorando los
activos relevantes.
Levantar un mapa de riesgos del sistema, identificando y valorando las
amenazas sobre aquellos activos.
Levantar un conocimiento de la situación actual de salvaguardas.
Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto
potencial (sin salvaguardas), como el impacto residual (incluyendo el
efecto de las salvaguardas desplegadas para proteger el sistema).
Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin
salvaguardas), como el riesgo residual (incluyendo el efecto de las
salvaguardas desplegadas para proteger el sistema).
Informar de las áreas del sistema con mayor impacto y/o riesgo a fin de
que se puedan tomar las decisiones de tratamiento con motivo
justificado.
El análisis de los riesgos se lleva a cabo por medio de las siguientes
Tabla Nº 03: Método Análisis de Riesgos - MAR
MAR – Método de Análisis de Riesgos
MAR.1 – Caracterización de los activos
MAR.11 – Identificación de los activos
MAR.12 – Dependencias entre activos
MAR.13 – Valoración de los activos
MAR.2 – Caracterización de las amenazas
MAR.21 – Identificación de las amenazas
MAR.22 – Valoración de las amenazas
MAR.3 – Caracterización de las salvaguardas
MAR.31 – Identificación de las salvaguardas pertinentes
MAR.32 – Valoración de las salvaguardas
MAR.4 – Estimación del estado de riesgo
MAR.41 – Estimación del impacto
Pág.51
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Fuente: Magerit, Libro I-Método
MAR.1: Caracterización de los activos
Esta actividad busca identificar los activos relevantes dentro del sistema a
analizar, caracterizándolos por el tipo de activo, identificando las relaciones
entre los diferentes activos, determinando en qué dimensiones de seguridad
son importantes y valorando esta importancia.
El resultado de esta actividad es el informe denominado “modelo de valor”.
Sub-tareas:
Tarea MAR.11: Identificación de los activos
Tarea MAR.12: Dependencias entre activos
Tarea MAR.13: Valoración de los activos
MAR.2: Caracterización de las amenazas
Esta actividad busca identificar las amenazas relevantes sobre el sistema a
analizar, caracterizándolas por las estimaciones de ocurrencia (probabilidad) y
daño causado (degradación).
El resultado de esta actividad es el informe denominado “mapa de riesgos”.
Sub-tareas:
Tarea MAR.21: Identificación de las amenazas
Tarea MAR.22: Valoración de las amenazas
MAR.3: Caracterización de las salvaguardas
Esta actividad busca identificar las salvaguardas desplegadas en el sistema a
analizar, calificándolas por su eficacia frente a las amenazas que pretenden
mitigar.
El resultado de esta actividad se concreta en varios informes:
Declaración de aplicabilidad
Evaluación de salvaguardas
Insuficiencias (o vulnerabilidades del sistema de protección)
Sub-tareas:
MAR.42 – Estimación del riesgo
Pág.52
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Tarea MAR.31: Identificación de las salvaguardas pertinentes
Tarea MAR.32: Valoración de las salvaguardas
MAR.4: Estimación del estado de riesgo
Esta actividad procesa todos los datos recopilados en las actividades anteriores
para
Realizar un informe del estado de riesgo: estimación de impacto y riesgo
Realizar un informe de insuficiencias: deficiencias o debilidades en el
sistema de salvaguardas
Sub-tareas:
Tarea MAR.41: Estimación del impacto
Tarea MAR.42: Estimación del riesgo
Es frecuente que las tareas relacionadas con los activos (MAR.1) se realicen
concurrentemente con las tareas relacionadas con las amenazas sobre dichos
activos (MAR.2) e identificación de las salvaguardas actuales (MAR.3),
simplemente porque suelen coincidir las personas y es difícil que el interlocutor
no tienda de forma natural a tratar cada activo “verticalmente”, viendo todo lo
que le afecta antes de pasar al siguiente.
3.4.3.3 Documentación Final
Esta documentación es un fiel reflejo del estado de riesgo y de las razones
por la que este riesgo no es aceptable. Es fundamental entender las
razones que llevan a una valoración determinada de riesgo para que el
proceso de gestión de riesgos esté bien fundamentado. El proceso de
ges-tión de riesgos partirá de estas valoraciones para atajar el riesgo o
reducirlo a niveles aceptables.
Modelo de valor
Informe que detalla los activos, sus dependencias, las dimensiones
en las que son valiosos y la estimación de su valor en cada dimensión.
Pág.53
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Mapa de riesgos:
Informe que detalla las amenazas significativas sobre cada activo,
caracterizándolas por su frecuencia de ocurrencia y por la
degradación que causaría su materialización sobre el activo.
Declaración de aplicabilidad:
Informe que recoge las contramedidas que se consideran apropiadas
para defender el sistema de información bajo estudio.
Evaluación de salvaguardas:
Informe que detalla las salvaguardas existentes calificándolas en su
eficacia para reducir el riesgo que afrontan.
Informe de insuficiencias o vulnerabilidades:
Informe que detalla las salvaguardas necesarias pero ausentes o
insuficientemente eficaces.
Estado de riesgo:
Informe que detalla para cada activo el impacto y el riesgo, potenciales
y residuales, frente a cada amenaza.
3.4.4 PROYECTO DE ANÁLISIS DE RIESGO (PAR)
Cuando se realiza un análisis de riesgos partiendo de cero, se consumen una
serie de recursos apreciables y conviene planificar estas actividades dentro de
un proyecto, sea interno o se sub-contrate a una consultora externa.
En esta sección se presentan las consideraciones que se deben tener en cuenta
para que este proyecto llegue a buen término.
PAR.1 – Actividades preliminares
PAR.2 – Elaboración del análisis de riesgos
PAR.3 – Comunicación de resultados
Pág.54
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
El proyecto de análisis de los riesgos se lleva a cabo por medio de las siguientes
tareas:
Tabla Nº 04: Proyecto de Análisis de Riesgos - PAR Fuente: Magerit, Libro I-Método
3.4.4.1 PAR 1: Actividades Preliminares
Tarea PAR 11: Estudio de Oportunidad
Se fundamenta la oportunidad de la realización, ahora, del proyecto de
análisis de riesgos, enmarcándolo en el desarrollo de las demás
actividades de la Organización.
El resultado de esta actividad es el informe denominado “preliminar”.
Tarea PAR 12: Determinación del Alcance del Proyecto
Se definen los objetivos finales del proyecto, su dominio y sus límites.
El resultado de esta actividad es un perfil de proyecto de análisis de
riesgos.
Tarea PAR 13: Planificación del Proyecto
Se determinan las cargas de trabajo que supone la realización del
proyecto. Normalmente la evolución del proyecto viene marcada por una
serie de entrevistas con los interlocutores que conocen la información
relativa a algún activo o grupo de activos del sistema bajo análisis. Se
planifican las entrevistas que se van a realizar para la recogida de
información: quiénes van a ser entrevistados. Se elabora el plan de
trabajo para la realización del proyecto.
PAR – Proyecto de Análisis de Riesgos
PAR.1 – Actividades preliminares
PAR.11 – Estudio de oportunidad
PAR.12 – Determinación del alcance del proyecto
PAR.13 – Planificación del proyecto
PAR.14 – Lanzamiento del proyecto
PAR.2 – Elaboración del análisis de riesgos
PAR.3 – Comunicación de resultados
Pág.55
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
En esta actividad se determinan los participantes y se estructuran los
diferentes grupos y comités para llevar a cabo el proyecto.
El resultado de esta actividad está constituido por:
Un plan de trabajo para el proyecto
Procedimientos de trabajo
Tarea PAR 14: Lanzamiento del Proyecto
Se adaptan los cuestionarios para la recogida de información
adaptándolos al proyecto presente. Para ello se parte de los criterios
establecidos dentro del Proceso de Gestión de Riesgos.
También se realiza una campaña informativa de sensibilización a los
afectados sobre las finalidades y requerimientos de su participación.
El resultado de esta actividad está constituido por:
Los cuestionarios para las entrevistas
El catálogo de tipos de activos
La relación de dimensiones de seguridad y
Los criterios de valoración
3.4.4.2 PAR 2: Elaboración del Análisis de Riesgos
Este conjunto de actividades tiene los siguientes objetivos:
Levantar un modelo del valor del sistema, identificando y valorando
los activos relevantes.
Levantar un mapa de riesgos del sistema, identificando y valorando
las amenazas sobre aquellos activos.
Levantar un conocimiento de la situación actual de salvaguardas.
Evaluar el impacto posible sobre el sistema en estudio, tanto el
impacto potencial (sin salvaguardas), como el impacto residual
(incluyendo el efecto de las salvaguardas desplegadas para proteger
el sistema).
Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin
salvaguardas), como el riesgo residual (incluyendo el efecto de las
salvaguardas desplegadas para proteger el sistema).
Pág.56
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Informar de las áreas del sistema con mayor impacto y/o riesgo a fin
de que se puedan tomar las decisiones de tratamiento con motivo
justificado.
El análisis de los riesgos se lleva a cabo por medio de las siguientes
Tabla Nº 05: Método de Análisis de Riesgos - MAR
Fuente: Magerit, Libro I-Método
MAR.1: Caracterización de los activos
Esta actividad busca identificar los activos relevantes dentro del sistema a
analizar, caracterizándolos por el tipo de activo, identificando las relaciones
entre los diferentes activos, determinando en qué dimensiones de seguridad
son importantes y valorando esta importancia.
El resultado de esta actividad es el informe denominado “modelo de valor”.
Sub-tareas:
Tarea MAR.11: Identificación de los activos
Tarea MAR.12: Dependencias entre activos
Tarea MAR.13: Valoración de los activos
MAR – Método de Análisis de Riesgos
MAR.1 – Caracterización de los activos
MAR.11 – Identificación de los activos
MAR.12 – Dependencias entre activos
MAR.13 – Valoración de los activos
MAR.2 – Caracterización de las amenazas
MAR.21 – Identificación de las amenazas
MAR.22 – Valoración de las amenazas
MAR.3 – Caracterización de las salvaguardas
MAR.31 – Identificación de las salvaguardas pertinentes
MAR.32 – Valoración de las salvaguardas
MAR.4 – Estimación del estado de riesgo
MAR.41 – Estimación del impacto
MAR.42 – Estimación del riesgo
Pág.57
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
MAR.2: Caracterización de las amenazas
Esta actividad busca identificar las amenazas relevantes sobre el sistema a
analizar, caracterizándolas por las estimaciones de ocurrencia (probabilidad) y
daño causado (degradación).
El resultado de esta actividad es el informe denominado “mapa de riesgos”.
Sub-tareas:
Tarea MAR.21: Identificación de las amenazas
Tarea MAR.22: Valoración de las amenazas
MAR.3: Caracterización de las salvaguardas
Esta actividad busca identificar las salvaguardas desplegadas en el sistema a
analizar, calificándolas por su eficacia frente a las amenazas que pretenden
mitigar.
El resultado de esta actividad se concreta en varios informes:
Declaración de aplicabilidad
Evaluación de salvaguardas
Insuficiencias (o vulnerabilidades del sistema de protección)
Sub-tareas:
Tarea MAR.31: Identificación de las salvaguardas pertinentes
Tarea MAR.32: Valoración de las salvaguardas
MAR.4: Estimación del estado de riesgo
Esta actividad procesa todos los datos recopilados en las actividades anteriores
para
Realizar un informe del estado de riesgo: estimación de impacto y riesgo
Realizar un informe de insuficiencias: deficiencias o debilidades en el
sistema de salvaguardas
Sub-tareas:
Tarea MAR.41: Estimación del impacto
Tarea MAR.42: Estimación del riesgo
Es frecuente que las tareas relacionadas con los activos (MAR.1) se realicen
concurrentemente con las tareas relacionadas con las amenazas sobre dichos
Pág.58
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
activos (MAR.2) e identificación de las salvaguardas actuales (MAR.3),
simplemente porque suelen coincidir las personas y es difícil que el interlocutor
no tienda de forma natural a tratar cada activo “verticalmente”, viendo todo lo
que le afecta antes de pasar al siguiente.
3.4.4.3 PAR 3: Comunicación de resultados
Para el informe ejecutivo final basta destacar gráficamente los
escenarios de mayor impacto, de mayor nivel de riesgo y
combinaciones peligrosas de ambos indicadores
3.4.5 EAR (Entorno de Análisis de Riesgo)
EAR es una herramienta informática que soporta el análisis y gestión de
riesgos de un sistema de información siguiendo la metodología Magerit.
Esta herramienta está basada en otra herramienta denominada PILAR.
La diferencia entre EAR y PILAR es el público al que va destinado. Mientras
que PILAR es de uso exclusivo del Estado y las Instituciones pertenecientes
al mismo; EAR está destinada a empresas privadas y a todo aquel que
desee adquirir la licencia de la misma.
3.4.6 PILAR (Procedimiento Informático – Lógico para el Análisis de
Riesgos)
PILAR es una herramienta desarrollada bajo la especificación del CNI
(Centro Nacional de Inteligencia) para soportar el análisis de riesgos de los
sistemas de información siguiendo la metodología Magerit. En el desarrollo
de la herramienta se ha contado con la colaboración del CCN (Centro
Cristológico Nacional), estableciendo requisitos, y la Fábrica Nacional de
Moneda y Timbre.
Especificaciones
Tanto PILAR como EAR están desarrolladas en Java, pudiéndose emplear
sobre cualquier plataforma que soporte este entorno de programación, sin
Pág.59
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
depender de licencias de productos de terceras partes. El resultado es una
aplicación gráfica monopuesto.
La herramienta soporta todas las fases del método Magerit:
Caracterización de los activos: identificación, clasificación,
dependencias y valoración
Caracterización de las amenazas
Evaluación de las salvaguardas
La herramienta incorpora los catálogos del "Catálogo de Elementos" de
Magerit, permitiendo una homogeneidad en los resultados del análisis:
Tipos de activos
Dimensiones de valoración
Criterios de valoración
Catálogo de amenazas
Para incorporar este catálogo, EAR (así como PILAR) diferencia entre el
motor de cálculo de riesgos y la biblioteca de elementos, que puede ser
reemplazada para seguir el paso de la evolución en el tiempo de los
catálogos de elementos.
La herramienta evalúa el impacto y el riesgo, acumulado y repercutido,
potencial y residual, presentándolo de forma que permita el análisis de por
qué se da cierto impacto o cierto riesgo.
Las salvaguardas se califican por fases, permitiendo la incorporación a un
mismo modelo de diferentes situaciones temporales. Típicamente se puede
incorporar el resultado de los diferentes programas de seguridad a lo largo
de la ejecución del plan de seguridad, monitorizando la mejora del sistema.
Los resultados se presentan en varios formatos: informes RTF, gráficas y
tablas para incorporar a hojas de cálculo. De esta forma es posible elaborar
diferentes tipos de informes y presentaciones de los resultados.
Pág.60
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
Por último, la herramienta calcula calificaciones de seguridad siguiendo los
epígrafes de normas de iure o de facto de uso habitual. Cabe citarse:
Criterios de Seguridad, normalización y conservación
UNE-ISO/IEC 17799:2005: sistemas de gestión de la seguridad
RD 994/1999: datos de carácter personal
Así mismo hay que destacar que EAR y PILAR incorporan tanto los
modelos cualitativos como cuantitativos, pudiendo alternarse entre uno y
otro para extraer el máximo beneficio de las posibilidades teóricas de cada
uno de ellos.
Análisis Cualitativo
La herramienta permite un análisis cualitativo, de trazo grueso, utilizando
escalas simples para valorar activos, amenazas y salvaguardas.
Un análisis cualitativo se recomienda como primer paso, antes de entrar en
un análisis detallado. Dicho análisis permite:
Identificar los activos relevantes.
Identificar las amenazas relevantes.
Identificar las salvaguardas inexistentes.
Determinar los activos críticos (sujetos a máximo riesgo)
En el caso práctico analizado se emplea este análisis.
Análisis Cuantitativo
La herramienta permite un análisis cuantitativo, el cual permite:
Detallar el valor económico de los daños causados por las amenazas
sobre los activos.
Precisar la tasa esperada de ocurrencia (frecuencia).
Precisar el grado de eficacia de las salvaguardas, su coste de
implantación y de mantenimiento anual.
Precisar la justificación de un gasto en seguridad como diferencia
entre lo que cuesta protegerse (más) y lo que se arriesga perder.
Presentación del AGR en EAR
Todas las funciones de EAR están explicadas mediante la ayuda contenida
en la herramienta, la cual se presenta en formato HTML. Así mismo las
Pág.61
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
funciones contempladas en EAR abarcan toda la metodología Magerit,
siguiendo el proceso descrito en la metodología.
La presentación que EAR muestra al usuario se basa en la forma en que
Magerit divide cada una de las etapas. Las partes principales de la
herramienta son:
D: Proyecto
A: Análisis de Riesgos
G: Gestión de Riesgos
I: Informes
E: Calificaciones de Seguridad
Figura N° 10. EAR, Pantalla Principal Fuente: Informe de Practica Pre-Profesional Análisis de Riesgo del SI-TUPA
La relación entre EAR y Magerit es completa. Una de las razones por las que se
ha empleado Magerit como metodología AGR ha sido la existencia de EAR como
herramienta informática que facilita el proceso AGR y la consecución de todos
los hitos marcados.
Gracias a EAR el AGR es mucho más sencillo, dinámico y flexible; pudiendo en
todo momento volver a revisar un paso anterior sin tener que dar marcha atrás,
hacer el AGR de forma vertical y no horizontal (analizar una parte de los activos
Pág.62
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
con sus amenazas de forma independiente del resto de activos y posteriormente
volver atrás para analizar el resto de activos), ver los resultados de forma gráfica
o mediante indicadores, etc.
Figura N° 11. EAR, Etapas de Magerit Fuente: Informe de Practica Pre-Profesional Análisis de Riesgo del SI-TUPA
La parte referente a proyecto puede ser todo lo relacionado con el proceso de
planificación, mientras que los dos siguientes procesos están definidos en la
herramienta con el mismo nombre que en Magerit (A, G).
En los datos del proyecto se puede poner todo aquello referente a la gestión del
proyecto que se creó conveniente. Así por ejemplo se puede poner el nombre
del proyecto, la propietaria del mismo y/o del sistema de información analizado,
la persona que lo lleva a cabo, la versión en la que se encuentra, la fecha… o
Pág.63
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
cualquier otro tipo de información. El subconjunto de dimensiones a analizar se
define (selecciona) en el apartado D (Proyecto). Hay que recordar que Magerit
define siete dimensiones diferentes, las cuales se pueden tener en cuenta en el
análisis o no.
Figura N° 12. EAR, Informes Contemplados y Calificaciones evaluadas Fuente: Informe de Practica Pre-Profesional Análisis de Riesgo del SI-TUPA
Uno de los objetivos de Magerit es dar uniformidad a los informes presentados
en un AGR. EAR contempla esto, soportando la creación de todos los informes
descritos en Magerit. Los informes se obtienen desde el apartado llamado con el
mismo nombre.
EAR soporta realizar el AGR frente a tres normas de calidad:
ISO/IEC 17799:2005
Criterios de seguridad, normalización y conservación
Reglamento de medidas de seguridad
Pág.64
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
En el apartado criterios de valoración se puede ver en qué medida se cumplen
cada una de las normas y donde hay que mejorar el sistema.
Pág.65
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
IV.- CONCLUSIÓN
1. Se definió los fundamentos teóricos, tales como concepto de riesgo,
amenazas, vulnerabilidades, entre otros; que permiten tener un amplio
conocimiento de cómo realizar un análisis de riesgo.
2. Se identificó las etapas del proceso de análisis de riesgo.
3. Se logró identificar los activos, amenazas, vulnerabilidades, en un ejemplo
utilizando la metodología MAGERIT, mediante un caso práctico.
Pág.66
Universidad Nacional de la Amazonia Peruana
Facultad de Ingenieria de Sistemas e Informatica
Tema: Técnicas Recomendadas para Realizar Análisis de Riesgos
Autora: Bach. Maycler Bernuy Panduro
V. REFERENCIAS BIBLIOGRÁFICAS
Libros Digitales:
[Guía PMBOK, 2008]
Fundamentos Para la Dirección de Proyectos
Quinta Edición, 2008, 595 Pág.
[ GATT, 1994]
Acuerdo General sobre Aranceles Aduaneros y Comercio.
[GPY051, Sesión 08]
Curso de Preparación para la Certificación (PMI - RMP) ® Sesión 08,
Material de Lectura v1.
[MAGERIT – versión 2.0]
Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información -
Libro I, II, III.
[MAGERIT – versión 3.0]
Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información -
Libro I, II, III.
[Vásquez Meléndez, Willy J.]
Análisis de Riesgo del SI-TUPA – GOREL
Informe de Practica Pre-Profesional – Año 2013
Páginas Web:
[Carolina Cols]
Amenazas y Vulnerabilidades en la Informática.
Pág.67