ndice de contenido

5. Ficha de Caracterizacin del Subproceso Gestin del Riesgo.........................................................3

5.1. Descripcin de la Actividades del procedimiento Gestin del Riesgo...................................5
5.2 GUIAS............................................................................................................................................7
5.2.1. Generalidades MAGERIT.....................................................................................................7
5.2.2. Identificacin de los Activos...............................................................................................10
5.2.3. Valoracin de los Activos ..................................................................................................12
5.2.4. Identificacin de amenazas asociadas a los activos............................................................14
5.2.5. Identificacin y valoracin de las Vulnerabilidades ..........................................................19
5.2.6. Identificacin y valorizacin de impactos...........................................................................19
5.2.7. Estimacin del Riesgo.........................................................................................................22

5. Ficha de Caracterizacin del Subproceso Gestin del

Riesgo.

5.1. Descripcin de la Actividades del procedimiento Gestin del Riesgo

NombredelaActividad

Descripcin

Artefactos
Relacionados
(Productos)

Responsables

1. Identificacin de Activos re Losactivossonlosrecursosdelproyectoo LderdelProyecto

queridos para desarrollar un el software relacionados con ste, requeri
proyectodesoftware
dosynecesariosparaquesealcanceefi
cientemente los objetivos propuestos, pue
denserde diferentetipo como el entorno,
laspersonas,laorganizacinetc

PlandeRiesgos

Guas
GeneralidadesMagerit
Identificacin delosacti
vos
ValoracindelosActivos

2.DefinicindeCriteriosdeva Unavezseidentifiquelosactivosasociados LderdelProyecto

alproyectoy/oalsoftware,seestablecen
loracindeactivos
los criterios o dimensiones que permiten
evaluarlosyvalorarlos.
3.Valoracindeactivos

Los criteriosdefinidosdebenvalorarse en LderdelProyecto

formacualitativa,cuantitativaoambasme
dianteescalastrazables.

4.Identificacindeamenazas

Estepasoconsisteenidentificarlasamena LderdelProyecto
zasqueafectanlosactivosrelevantesque
previamente fueron valorados. Las amena
zassoneventosocosasqueocurrenopue
denocurriryquepuedengenerardaosa
losactivos.

GeneralidadesMagerit
Identificacindelasame
nazasasociadasalosacti
vos.

5.Identificacindevulnerabilida Una vulnerabilidad es un estado de debili LderdelProyecto

des
dadquesiocurriese sematerializaunao
variasamenazasqueafectalosactivosdel
proyectoy/osoftware, porlo que esindis
6.Definicindecriterios y va
LderdelProyecto
pensableidentificarlas,valorarlasypriorizar
loracindevulnerabilidades
las.

GeneralidadesMagerit
Identificacinyvaloracin
devulnerabilidades

7.Identificacinyvaloracindel Losimpactossonlosdaosquesepueden LderdelProyecto

Impacto
originarporlamaterializacindelasamena
zas,estossevalorandeacuerdoaciertos
criteriospreestablecidostomandoencuenta
elactivoylasamenazasquelopotenciali
zan.

GeneralidadesMagerit
Identificacinyvaloracin
deimpactos

8.Estimacinypriorizacindel Altenerlavaloracindeloselementos:acti LderdelProyecto

riesgoatravsdelamatriz de vos,amenazasyvulnerabilidades,sedesa
riesgo
rrollalamatrizderiesgosquepermitecon
trarrestarvulnerabilidadese impactos,per
mitiendoidentificar,estimar,clasificaryprio
rizarlosriesgosexistenenelproyecto.

EstimacindelRiesgo

9.DefinicindePlandeMejora Una vez identificados los riesgos con sus LderdelProyecto

miento
respectivos impactos y vulnerabilidades se
procedeadefinirlasaccionescorrectivasy
preventivaspertinentesquepermitanmitigar
enformaproactivalasamenazasalosque
estaexpuestoelproyecto.
10.PuestaenmarchadelPlan Los actores responsables de las acciones EquipodeDesarrollo
deMejoramiento
demejoraprocedenaejecutarlasdetalma
neraqueseevidencieunmejoramientocon
tinuodelproyecto.
11.SeguimientodelPlandeMe Ellderdelproyectollevaunseguimientoa LderdelProyecto
joramiento
lasaccionesdemejora
12. Actualizacin del Plan de Ellderdeproyectoconstantementeactuali LderdelProyecto
Riesgos
zaelPlandeRiesgosconsusrespectivas
accionesdemejoramiento.

ManejodelRiesgo

PlandeRiesgos

5.2 GUIAS
5.2.1.GeneralidadesMAGERIT
MAGERITeselacrnimode"MetodologadeAnlisis y GestindeRiesgos delos Sistemas de
InformacindelasAdministracionesPblicas".Esunmtododecarcterpblicoelaboradoporel
ConsejoSuperiordeInformtica(CSI),rganodelMinisteriodeAdministracionesPblicas(MAP),
encargado de la preparacin, elaboracin, desarrollo y aplicacin de la poltica informtica del
GobiernoEspaol.
Este metodo nace para minimizar los riesgos asociados al uso de Sistemas Informticos y
Telemticos, garantizando la autenticacin, confidencialidad, integridad y disponibilidad de dichos
sistemasygenerandodeestemodoconfianzaenelusuariodelosmismos.
Sepersigue,portanto,undobleobjetivo:

Estudiarlosriesgosasociadosaunsistemadeinformacinysuentorno.

Recomendarlasmedidasnecesariasparaconocer,prevenir,impedir,reducirocontrolarlos
riesgosestudiados.

ElmodeloMAGERITseapoyaen3submodelosrepresentadosas:

Submdeloelementos
El Submdelo de elementos proporciona los Componentes que el Submdelo de eventos
relacionarentres.
Componente

Definicin

Activo

Son los recursos necesarios para que el Recurso

Humano
proyectoorelacionadosconeste, alcance Recurso

Tecnolgico
losobjetivospropuestos
RecursosFsicos
Informacin

Amenaza

Evento que puede desencadenar un Accidentes

naturales,
incidente en la organizacin, produciendo industrialesohumanos
daos materiales o inmateriales en los
Erroresyfallosintencionados
activos.Almaterializarsesetransformanen
ynointencionados.
Agresiones.

Vulnerabilidad

Estado, debilidad o incapacidad de Disposicin desorganizada

resistencia cuando se presenta un decablesdeenergaydered
fenmeno amenazante y que al ser
Ambientes sin proteccin
explotadoafectaelestadodelosactivosdel
contraincendios.
proyecto

Impacto

Eseldaoproducidosobreunactivoporla Perdidaseconmicas,
materializacindeunaamenaza.
Incumplimiento de Objetivos
delProyecto

Riesgo

Es la probabilidad de que las amenazas

exploten los puntos dbiles
(vulnerabilidades), causando prdidas o
daosalosactivoseimpactoalproyectoo
sistema.

Medidas
Control

Ejemplos

de Son acciones orientadas hacia la Especificacindepuestosde

eliminacindevulnerabilidades,teniendoen trabajo
mira evitar que una amenaza se vuelva
Formacincontinua
realidad.
Configuracindecortafuegos

SubmdelodeEventos
RelacindelosElementosocomponentes

I m

I E

T A

I O

n M e En D

I D

R
C

s c i e

e
t e

T A

E
D

i e

Aa

L N

T E

c i d

L
A

l e

P
u

v a

l o

t a
I n
N

n
c r e

Z A

t a

o
o

b
b

I L I D

I E

s a

V a l o r a n
i n i m
i z a r

r a
R e d u c i r
N T R O L
e
p u e d e n
t e n

s e

x p

T I V

n
r e

r e

y / o

SubmdeloProcesos
ElSubmdelodeProcesossedivideen4etapas
1. Planificacin:Comoconsideracionesinicialesparaarrancarelproyectodeanlisisygestin
deriesgosseestudialaviabilidaddedesarrollarlo,sedefinenlosobjetivosquehadecumplir
yelmbitoqueabarcar,especificandolosmediosmaterialesyhumanosparasuejecucin.
Enestaetapasehacenestimacionesinicialesdelosriesgosquepuedenafectaralsistemade
informacinascomodeltiempoylosrecursosquesutratamientoconllevar.
2. Anlisis de riesgos: Se identifican y valoran las diversas entidades, obteniendo una
evaluacindelriesgo.
3. Gestin de riesgos: Se identifican las medidas de control reductoras del riesgo,
seleccionandolosquesonaceptablesenfuncindelasyaexistentesytomandoencuentalas
restricciones.
4. Seleccin de Medidas de Control: Se definen actividades para desarrollar el plan de
implantacindelosmecanismosdecontrolelegidosylosprocedimientosdeseguimientopara
laimplantacin.

5.2.2. Identificacin de los Activos

Paraqueelanlisisderiesgostengaunefectopositivoyreal,esnecesarioidentificarloselementos
relevantes.
SeentiendeRelevancialospuntosclavesaconsiderardurantelarealizacindelanlisisderiesgos.
Dicha relevancia ser de gran importancia para identificar el rumbo de las acciones del plan de
Riesgos.
Estepasoconsisteenidentificaryvalorarlarelevanciadelosactivosdeterminantesparaelproyecto.
Losactivosseevalansobreunaescaladevalorcrticodondesedefinequtanimportantesson
paracumplirconlosobjetivosdelproyecto.
Larelevanciadelosactivos marcarelrumbodefinitivodelasaccionesaseguirenelanlisisdel
Riesgo.
Cuantamayorrelevanciatengaunactivoomayoreslaimportanciacrtica,mayorserelriesgoalque
estexpuestoelproyectoencasodeocurrirunincidentequematerialiceunaamenaza.
Paraalcanzarelobjetivodeidentificarlarelevanciadelosactivos,elanlisisderiesgosdebeproveer
losdatoscuantitativosycualitativosquepermitansuevaluacin.

EnlaidentificacindelosActivossedeberndetallarlassiguientesvariables:

Fechade Nombredel
Identificacin
Activo

Tipo

Valoracin

Valoracin

Valoracin

Cuantitativa

Cualitativa

Final

Los activosidentificadosseagruparnenelsiguientecuadro,deacuerdoaltipodefuncinque
desempean:

Tipo

Definicin

Ejemplo

Servicios

Funcin que satisface una necesidad de los Serviciospblicos

usuarios del servicio. Para la prestacin de un prestadosporla
serviciolosserviciosaparecencomoactivosdeun Administracinpara
anlisis de riesgos bien como servicios finales satisfacernecesidades
(prestados por la Organizacin a terceros), bien
delacolectividad
comoserviciosinstrumentales(dondelosusuarios
y los medios son propios), bien como servicios
contratados (a otra organizacin que los Serviciosinternos
proporcionaconsuspropiosmedios).
prestados

Datos/Informacin

Elementosdeinformacinquedeformasingularo Basededatos
agrupados de alguna forma, representan el
Leyesoreglamentos
conocimientoquesetienedealgo.
CdigoFuente
Los datos son el corazn que permite a una
CdigoEjecutable
organizacinprestarsusservicios

Aplicaciones

Este tipo se refiere a tareas que han sido Programas,aplicativos,

automatizadasparasudesempeoporunequipo desarrollos
informtico.Lasaplicacionesgestionan,analizany
transformanlosdatospermitiendolaexplotacinde
lainformacinparalaprestacindelosservicios.

(Software)

Equiposinformticos

10

Dcesedelosbienesmateriales,fsicos,destinados Computador,Video
a soportar directa o indirectamente los servicios

(Hardware)

que presta la organizacin, siendo pues Beam,Impresora

depositarios temporales o permanentes de los
datos, soporte de ejecucin de las aplicaciones
informticas o responsables del proceso o la
transmisindedatos.

Redesde
Comunicaciones

Incluyendo tanto instalaciones dedicadas como RedLocal

servicios de comunicaciones contratados a
Internet
terceros; pero siempre centrndose en que son
mediosdetransportequellevandatosdeunsitioa Redtelefnica
otro.
Redinalmbrica

Soportesde
Informacin

Seconsiderandispositivosfsicosquepermiten
almacenarinformacindeformapermanenteoal
menosdurantelargosperiodosdetiempo.

MemoriaUSB
Discoduro

EquipamientoAuxiliar Seconsiderandispositivosfsicosquepermiten
almacenarinformacindeformapermanenteoal
menosdurantelargosperiodosdetiempo.

Cintas

Instalaciones

Loslugaresdondesehospedanlossistemasde
informacinycomunicaciones.

Edificio

Personal

Aparecenlaspersonasrelacionadasconlos
sistemasdeinformacin.

Administradores

Mobiliarios
CajasFuertes

Desarrolladores

5.2.3. Valoracin de los Activos

Unavezidentificadoslosactivosqueestnrelacionadosconelproyectodesoftwareesnecesario
valorarelniveldeimportanciaquetienenestoseneldesarrrollodelmismo,paraellosedebedefinir
lasdimensionesocriteriosbajoloscualessevanaevaluar,comoporejemplo:
Autenticidad:quperjuiciocausaranosaberexactamentequienhaceohahechocadacosa?
Estavaloracinestpicadeservicios(autenticidaddelusuario)ydelosdatos(autenticidaddequien
accedealosdatosparaescribiro,simplemente,consultar)
Confidencialidad:qudaocausaraqueloconocieraquiennodebe?
Estavaloracinestpicadedatos.

11

Integridad:quperjuiciocausaraqueestuvieradaadoocorrupto?
Estavaloracinestpicadelosdatos,quepuedenestarmanipulados,sertotaloparcialmentefalsos
o,incluso,faltardatos.
Disponibilidad:quperjuiciocausaranotenerloonopoderutilizarlo?
Estavaloracinestpicadelosservicios.
Trazabilidaddelusodelservicio:qudaocausaranosaberaquinseleprestatalservicio?O
sea,quinhacequycundo?
NiveldeImportanciaparaelcumplimientodelosobjetivosdelproyecto
Lavaloracindelactivopuedesercualitativa,cualitativaoambas
Porejemplo,estapuedeserunaescalaparaunavaloracincualitativa

Escalade
Valoracin

Valor

MB:MuyBajo 1

Descripcin
IrrelevanteparaefectosPrcticos

B:Bajo

Importanciamenorparaeldesarrollodelproyecto

M:Medio

Importanteparaelproyecto

A:Alto

Altamenteimportanteparaelproyecto

MA:Muyalto 5

Devitalimportanciaparalosobjetivosquepersigue
elproyecto

Yunaescalacuantitativasedetermina,deacuerdoalvalordelactivoenpesos,delasiguiente
manera:

12

Escalade
Valoracin

Escala
Descripcin
Cuantitativa

MB:MuyBajo

0a500.000

B:Bajo

501.000a1.500.000

M:Medio

1.501.000a3.000.000

A:Alto

3.001.000a5.000.000

MA:Muyalto

5.000.001oms

Si se toma en cuenta tanto la escala cuantitativa como cualitativa se deben promediar haciendo
relevanciaenaquellosconvalormayora3.

5.2.4. Identificacin de amenazas asociadas a los activos

Unavezsehallandetectadolosactivosrealmenteimportantesyrelevantesparaeldesarrollodel
proyecto, se inicia la identificacin de las amenazas a los que estn expuestos, diligenciado el
siguientecuadro:
Activo

Amenaza

Acontinuacinsepresentaunarelacindeamenazastpicasquepuedenguiarestepaso.
a.DesastresNaturales
AMENAZA

DESCRIPCIN

Fuego

Incendios:posibilidaddequeelfuegoacabeconrecursosdel
sistema.

DaosporAgua

inundaciones:posibilidaddequeelaguaacabeconrecursos
delsistema.

Desastres
Naturales

Incidentesqueseproducensinintervencinhumana:rayo,
tormentaelctrica,terremoto,ciclones,avalancha,corrimiento
detierras...

b.DeOrigenIndustrial
AMENAZA

13

DESCRIPCIN

Fuego

Incendio:posibilidaddequeelfuegoacabeconlosrecursos
delsistema.

DaosporAgua

Escapes,fugas,inundaciones:posibilidaddequeelagua
acabeconlosrecursosdelsistema

Desastres

Desastresdebidosalaactividadhumana:explosiones,

Industriales

derrumbes,...
contaminacinqumica,sobrecargaelctrica,.

Contaminacin
Mecnica

Vibraciones,polvo,suciedad,...

Contaminacin
Electromagntica

Interferenciasderadio,camposmagnticos,luzultravioleta,

Averadeorigen
Fsicoolgico

Fallosenlosequiposy/ofallosenlosprogramas.Puedeser
debidaaundefectodeorigenosobrevenidaduranteel
funcionamientodelsistema

Cortedel
suministro
elctrico

Cesedelaalimentacindepotencia

Condiciones
inadecuadasde
temperaturay/o
humedad

Deficienciasenlaaclimatacindeloslocales,excediendolos
mrgenesdetrabajodelosequipos:excesivocalor,excesivo
fro,excesodehumedad

Fallosdeservicios Cesedelacapacidaddetransmitirdatosdeunsitioaotro.
decomunicacin

14

Interrupcinde
otrosserviciosy
suministros
esenciales

Otrosserviciosorecursosdelosquedependelaoperacinde
losequipos;porejemplo,papelparalasimpresoras,tner,
refrigerante,etc.

Degradacinde
lossoportesde
almacenamiento
delainformacin

Comoconsecuenciadelpasodeltiempo

c.ErroresyfallosnoIntecionados
AMENAZA

DESCRIPCIN

Erroresdelosusuarios

Equivocacionesdelaspersonascuandousanlosservicios,datos,
etc.

Erroresdeladministrador

Equivocacionesdepersonasconresponsabilidadesdeinstalaciny
operacin.

Erroresdemonitorizacin

Inadecuadoregistrodeactividades:faltaderegistros,registros
incompletos.

Erroresdeconfiguracin

Introduccindedatosdeconfiguracinerrneos.

Deficienciasenlaorganizacin Cuandonoestclaroquintienequehacerexactamentequy
cundo.
Difusindesoftwaredaino

Propagacininocentedevirus,espas(spyware),gusanos,
troyanos,bombaslgicas,

Erroresdereencaminamiento Envodeinformacinatravsdeunsistemaounaredusando,
accidentalmente,unarutaincorrectaquellevelainformacina
dondeopordondenoesdebido
Erroresdesecuencia

Alteracinaccidentaldelordendelosmensajestransmitidos

Escapesdeinformacin

Lainformacinllegaaccidentalmentealconocimientodepersonas
quenodeberantenerconocimientodeella,sinquelainformacin
ensmismaseveaalterada

Alteracindelainformacin

Alteracinaccidentaldelainformacin.

Introduccindeinformacin
incorrecta

Insercinaccidentaldeinformacinincorrecta.

Degradacindelainformacin Estaamenazasloseidentificasobredatosengeneral,pues
cuandolainformacinestenalgnsoporteinformticohay
amenazasespecficas.
Destruccindeinformacin

Prdidaaccidentaldeinformacin.

Divulgacindeinformacin

Revelacinporindiscrecin.
Incontinenciaverbal,medioselectrnicos,soportepapel.

15

Vulnerabilidadesdelos
programas(software)

Defectosenelcdigoquedanpieaunaoperacindefectuosasin
intencinporpartedelusuario

Erroresdemantenimiento/
actualizacindeprogramas
(software

Defectosenlosprocedimientosocontrolesdeactualizacindel
cdigoquepermitenquesiganutilizndoseprogramascondefectos
conocidosyreparadosporelfabricante.

Erroresdemantenimiento/
actualizacindeequipos
(hardware).

Defectosenlosprocedimientosocontrolesdeactualizacindelos
equiposquepermitenquesiganutilizndosemsalldeltiempo
nominaldeuso.

Cadadelsistemapor
agotamientoderecursos

Lacarenciaderecursossuficientesprovocalacadadelsistema
cuandolacargadetrabajoesdesmesurada.

Indisponibilidaddelpersonal

Ausenciaaccidentaldelpuestodetrabajo:enfermedad,alteraciones
delordenpblico,

d.AtaquesIntencionados
AMENAZA

DESCRIPCIN

Manipulacindela
configuracin

Prcticamentetodoslosactivosdependendesuconfiguracinysta
deladiligenciadeladministrador:privilegiosdeacceso,flujosde
actividades,registrodeactividad,encaminamiento

Suplantacindelaidentidad
delusuario

Cuandounatacanteconsiguehacersepasarporunusuario
autorizado,disfrutadelosprivilegiosdeesteparasusfinespropios

Abusodeprivilegiosde
acceso

Cadausuariodisfrutadeunniveldeprivilegiosparaundeterminado
propsito:cuandounusuarioabusadesuniveldeprivilegiospara
realizartareasquenosondesucompetenciahayproblemas.

Usonoprevisto

Utilizacindelosrecursosdelsistemaparafinesnoprevistos,
tpicamentedeinterspersonal:juegos,consultaspersonalesen
Internet,basesdedatospersonales,programaspersonales,
almacenamientodedatospersonales,etc.

Difusindesoftwaredaino

Propagacinintencionadadevirus,espas(spyware),gusanos,
troyanos,bombaslgicas,etc

Encaminamientode
mensajes

Envodeinformacinaundestinoincorrectoatravsdeunsistema
ounaredquellevanlainformacinadondeopordondenoes

16

debido:puedetratarsedemensajesentrepersonas,entreprocesos
oentreunosyotros.
Alteracindesecuencia

Alteracindelordendelosmensajestransmitidosconnimodeque
elnuevoordenaltereelsignificadodelconjuntodemensajes,
perjudicandoalaintegridaddelosdatosafectados.

Accesonoautorizado

Elatacanteconsigueaccederalosrecursosdelsistemasintener
autorizacinparaello,tpicamenteaprovechandounfallodelsistema
deidentificacinyautorizacin.

Anlisisdetrfico

Elatacante,sinnecesidaddeentraraanalizarelcontenidodelas
comunicaciones,escapazdeextraerconclusionesapartirdel
anlisisdelorigen,destino,volumenyfrecuenciadelos
intercambios.

Repudio

Negacinaposteriorideactuacionesocompromisosadquiridosen
elpasado.
Repudiodeorigen:negacindeserelremitenteuorigendeun
mensajeocomunicacin.

Intercepcindeinformacin
(escucha)

Elatacantellegaateneraccesoainformacinquenole
corresponde,sinquelainformacinensmismaseveaalterada.

Modificacindela
informacin

Alteracinintencionaldelainformacin,connimodeobtenerun
beneficioocausarunperjuicio.

Introduccindefalsa
informacin

Insercininteresadadeinformacinfalsa,connimodeobtenerun
beneficioocausarunperjuicio.

Corrupcindelainformacin

Degradacinintencionaldelainformacin,connimodeobtenerun
beneficioocausarunperjuicio.

Destruccinlainformacin

Eliminacinintencionaldeinformacin,connimodeobtenerun
beneficioocausarunperjuicio.

Divulgacindeinformacin

Revelacindeinformacin.

Manipulacindeprogramas

Alteracinintencionadadelfuncionamientodelosprogramas,
persiguiendounbeneficioindirectocuandounapersonaautorizada
loutiliza.

Denegacindeservicio

Lacarenciaderecursossuficientesprovocalacadadelsistema
cuandolacargadetrabajoesdesmesurada

Robo

Lasustraccindeequipamientoprovocadirectamentelacarenciade

17

unmedioparaprestarlosservicios,esdecirunaindisponibilidad
Ataquedestructivo

Vandalismo,terrorismo,accinmilitar,...

Ocupacinenemiga

Cuandoloslocaleshansidoinvadidosysecarecedecontrolsobre
lospropiosmediosdetrabajo.

Indisponibilidaddelpersonal

Ausenciadeliberadadelpuestodetrabajo:comohuelgas,
absentismolaboral,bajasnojustificadas,bloqueodelosaccesos,...

Extorsin

Presinque,medianteamenazas,seejercesobrealguienpara
obligarleaobrarendeterminadosentido.

Ingenierasocial

Abusodelabuenafedelaspersonasparaquerealicenactividades
queinteresanauntercero

5.2.5. Identificacin y valoracin de las Vulnerabilidades

UnavulnerabilidadsedefineenestemtododeGestindelRiesgo,comounestadodedebilidado
incapacidadpararesistirunfenmenoamenazanteyquealserexplotado afectaelestadodelos
activos del proyecto, dicho en otras palabras es la potencialidad o 'cercana' previsible de la
materializacindelaAmenazaenAgresin.
Al igual que los activos las vulnerabilidades deben valorarse y priorizarse, pero antes deben
describirseclaramenteyevaluarlatomandocomocriterioslafrecuenciadeocurrencia.
Valor

Descripcin

ProbabilidaddeOcurrencia

MuyFrecuente(MF)

Adiario

75100%

Frecuente(F)

Unavezalmes

50%75%

FrecuenciaNormal(FN)

Unavezalao

25%50%

PocoFrecuente(PF)

CadavariosAos

025%

Ylosresultadosregistrarlosenelsiguientecuadro:
Activo

18

Amenaza

Vulnerabilidad

Valoracin

Probabilidadde
Ocurrencia

5.2.6. Identificacin y valorizacin de impactos

Unimpactoeseldaoquecausaopuedecausarsobreelactivoderivadodelamaterializacinde
unaamenaza.
Latipificacindelosimpactospuedevariardeacuerdoalproyecto.Paraefectosdeestaguase
presentaseevalanlosimpactosdeacuerdoaltipodeperdidayaseaorganizacionalotcnica.

IMP A C TOS

Prdida de
Imagen

Prdidas
Econmicas

Org an izacio nales

Prdida de
Disponibilidad

Prdida de
Integridad

Prdida de
Confidencialidad

Tcnicos

Losorganizacionalesseclasificanen:
a.Perdidaseconmicas
Escalade
Valoracin

Escala
Cuantitativa

Descripcin

MB:MuyBajo

Costosentre10.000y100.000

B:Bajo

Costosentre100.001y1.000.000

M:Medio

Costosentre1.000.001y5.000.001

A:Alto

Costosentre5.000.001y10.000.000

MA:Muyalto

Costos10.000.000oms

19

b.PrdidadeImagen
Escalade
Valoracin

Escala
Descripcin
Cuantitativa

MB:Muy
Bajo

Leveprdidadeimagen

B:Bajo

Prdidamoderada

M:Medio

Prdidaimportante

A:Alto

Prdidaalta

MA:Muy
alto

Prdidamuyalta

Lastcnicasseclasificanen:
a.PrdidadeConfidencialidad
Escalade
Valoracin

Escala
Cuantitativa

Descripcin

MB:MuyBajo

Informacinreveladamnimaynosensible

B:Bajo

Informacinreveladamnima

M:Medio

ImportanteCantidaddeinformacinnosensible
revelada

A:Alto

Importantecantidaddeinformacinrevelada

MA:Muyalto

Todalainformacinrevelada

b.PrdidadeIntegridad
Escalade
Valoracin

Escala
Cuantitativa

Descripcin

MB:MuyBajo

Mnimainformacindaada

B:Bajo

Mnimainformacinimportantedaada

M:Medio

Grancantidaddeinformacindaada

20

A:Alto

Grancantidaddeinformacinimportantedaada

MA:Muyalto

Todalainformacindestruida

c.PrdidadeDisponibilidad
Escalade
Valoracin

Escala
Cuantitativa

Descripcin

MB:MuyBajo

Mnimainterrupcindelservicio

B:Bajo

Mnimainterrupcindeserviciosprimarios

M:Medio

Ampliainterrupcindeservicios

A:Alto

Ampliainterrupcindeserviciosprimarios

MA:Muyalto

Todoslosserviciosinterrumpidos

Posteriormentesepromedialavaloracindeestavariablesysecalificarelposibledaodeacuerdo
otipodedegradacindelasiguientemanera:

Muyalto(MA)

Daomuygraveparael
proyecto

Alto(A)

Daogravealproyecto

Medio(M)

Daoimportantealproyecto

Bajo(B)

Daomenoralproyecto

MuyBajo(MB)

Daodespreciable

21

5.2.7. Estimacin del Riesgo

Elvalorde laVulnerabilidadysuImpactosobreelActivodeterminanconjuntamenteelvalordel
Riesgo.
Estosepuedeverconfacilidadcuandoserepresentaelriesgoconunasencillatcnicamatricial.En
estatcnicaserelacionanlosnivelesdeVulnerabilidad(puestosenfilas)ylosdeImpacto(puestos
encolumnas).Enlascasillascorrespondientes,losvaloresdelniveldeRiesgo,comoeslgico,son
crecientesconlosnivelesdeambosfactores,perosernsistemticamentemayorespordebajodela
diagonal,puesseconsideraqueelImpactoinfluyemsenelniveldeRiesgoquelaVulnerabilidad.
MatrizCualitativa

VULNERABILIDAD
RIESGO

IMPACTO

PF

FN

MF

MA

MA

MA

MA

MA

MA

MA

MB

MB

MB

MB

MatrizCuantitativa

22

Clase

Valoracin
Cualitativa

Valoracin
Cuantitativa

Crtico

MuyAlto

10a20

Grave

Alto

5a9

Moderado

Medio

4a6

5.2.8. Manejo del Riesgo

Una vez que se realiza el anlisis de riesgos, el equipo de desarrollo tiene en sus manos una
poderosaherramientaparaeltratamientodesusvulnerabilidadesyundiagnsticogeneralsobreel
estadodelaseguridaddesuentornocomountodo.Apartirdeestemomentoesposibleestablecer
polticasparalacorreccindelosproblemasyadetectadosylagestindeseguridaddeellosalo
largodeltiempo,paragarantizarquelasvulnerabilidadesencontradasanteriormentenopersistan,
gestionandodeesamaneralaposibilidaddenuevasvulnerabilidadesquepuedansurgiralolargodel
tiempo.

RIESGO

IMPACTO

VULNERABILIDAD
1
2
5
10

3
15

4
20

12

16

3
2

3
2

6
4

9
6

12
8

Lamatrizdevalorcrticoindicaatravsdedatoscualitativosycuantitativoslasituacindeseguridad
en que se encuentran los activos analizados. Luego de listar las vulnerabilidades o amenazas
potenciales,sedebenfijarlasrespectivasrecomendacionesdeseguridadparasucorreccin.
Aqusedebendeterminarmedidasdecontrolque son accionesorientadashacialaeliminacinde
vulnerabilidades,teniendoenmiraevitarqueunaamenazasevuelvarealidad.Estasmedidassonel
pasoinicialparaelaumentodelaseguridaddelainformacinenunambientedetecnologadela
informacinportantodebenconsiderartodo.
TipodeManejodelosRiesgos
Antesdedefinirlasmedidasdecontrolsedebetomarladecisindequmanejoselevaahacera
losriesgosdefinidos,analizadosyvaloradosenlospasosanteriores.

23

Medida

Descripcin

Evitarelriesgo

Es siempre la primera alternativa a considerar. Se logra cuando al

interior de los procesos se generan cambios sustanciales por
mejoramiento, rediseo o eliminacin, resultado de unos adecuados
controlesyacciones emprendidas. Un ejemplo de estopuedeser el
controldecalidad,manejodelosinsumos,mantenimientopreventivode
losequipos.

Reducirelriesgo

Si el riesgo no puede ser evitado porque crea grandes dificultades

operacionales,elpasoaseguiresreducirloalmsbajonivelposible.
La reduccin del riesgo es probablemente el mtodo ms sencillo y
econmicoparasuperarlasdebilidadesantesdeaplicarmedidasms
costosas y difciles. Se consigue mediante la optimizacin de los
procedimientosylaimplementacindecontroles.Ejemplo:Planesde
contingencia.

Dispersar

y Selogramedianteladistribucinolocalizacindelriesgoendiversos
atomizarelriesgo lugares.Esascomoporejemplo,lainformacindegranimportancia
se puede duplicar y almacenar en un lugar distante y de ubicacin
segura,envezdedejarlaconcentradaenunsololugar.

Transferirelriesgo Hacereferenciaabuscarrespaldoycompartirconotropartedelriesgo,
comoporejemplo,tomarplizasdeseguros,assetrasladaelriesgoa
otraparteofsicamentesetrasladaaotrolugar.Estatcnicaesusada
paraeliminarelriesgodeunlugarypasarloaotro,odeungrupoa
otro.Asmismo,elriesgopuedeserminimizadocompartindolocon
otrogrupoodependencia.
Asumirelriesgo

Luegodequeelriesgohasidoreducidootransferidopuedequedarun
riesgoresidualquesemantiene,enestecasoelgerentedelproceso
simplementeaceptalaprdidaresidualprobableyelaboraplanesde
contingenciaparasumanejo.
Unavez establecidosculesdelosanterioresmanejosdelriesgose
vanaconcretar,estosdebenevaluarseconrelacinalbeneficiocosto
para definir, cules son susceptibles de ser aplicadas y proceder a
elaborarelplandemanejoderiesgo,teniendoencuenta,elanlisis
elaboradoparacadaunodelosriesgosdeacuerdoconsuimpacto,
probabilidadynivelderiesgo.
Posteriormente se definen los responsables de llevar a cabo las
accionesespecificandoelgradodeparticipacindelasdependencias
en el desarrollo de cada una de ellas. As mismo, es importante
construir indicadores, entendidos como los elementos que permiten
determinar
deformaprcticaelcomportamientodelasvariablesderiesgoquevan
apermitirmedirelimpactodelasacciones.

24

MedidasparaelManejodelRiesgo

ESCENARIOS
(Actividad donde
se debe aplicar el
control)

Recursos

Responsable
de implantar
accin de
mejora

Fecha d e
Seguimiento

Accin
/Mejoramiento

Fecha de
Implantacin

Unavezdefinidoslosriesgosquesevaaasumirsedebenespecificarmedidasdelmanejodelriesgo
especificando:

Lasmedidasquesetomendebenserobjetodeevaluacinyseguimientoconstante,actualizandola
valoracindelasvulnerabilidades,impactosyriesgos.

25