Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cap 5 Gestion Riesgo
Cap 5 Gestion Riesgo
Descripcin
Artefactos
Relacionados
(Productos)
Responsables
PlandeRiesgos
Guas
GeneralidadesMagerit
Identificacin delosacti
vos
ValoracindelosActivos
4.Identificacindeamenazas
Estepasoconsisteenidentificarlasamena LderdelProyecto
zasqueafectanlosactivosrelevantesque
previamente fueron valorados. Las amena
zassoneventosocosasqueocurrenopue
denocurriryquepuedengenerardaosa
losactivos.
GeneralidadesMagerit
Identificacindelasame
nazasasociadasalosacti
vos.
GeneralidadesMagerit
Identificacinyvaloracin
devulnerabilidades
GeneralidadesMagerit
Identificacinyvaloracin
deimpactos
EstimacindelRiesgo
ManejodelRiesgo
PlandeRiesgos
5.2 GUIAS
5.2.1.GeneralidadesMAGERIT
MAGERITeselacrnimode"MetodologadeAnlisis y GestindeRiesgos delos Sistemas de
InformacindelasAdministracionesPblicas".Esunmtododecarcterpblicoelaboradoporel
ConsejoSuperiordeInformtica(CSI),rganodelMinisteriodeAdministracionesPblicas(MAP),
encargado de la preparacin, elaboracin, desarrollo y aplicacin de la poltica informtica del
GobiernoEspaol.
Este metodo nace para minimizar los riesgos asociados al uso de Sistemas Informticos y
Telemticos, garantizando la autenticacin, confidencialidad, integridad y disponibilidad de dichos
sistemasygenerandodeestemodoconfianzaenelusuariodelosmismos.
Sepersigue,portanto,undobleobjetivo:
Estudiarlosriesgosasociadosaunsistemadeinformacinysuentorno.
Recomendarlasmedidasnecesariasparaconocer,prevenir,impedir,reducirocontrolarlos
riesgosestudiados.
ElmodeloMAGERITseapoyaen3submodelosrepresentadosas:
Submdeloelementos
El Submdelo de elementos proporciona los Componentes que el Submdelo de eventos
relacionarentres.
Componente
Definicin
Activo
Humano
proyectoorelacionadosconeste, alcance Recurso
Tecnolgico
losobjetivospropuestos
RecursosFsicos
Informacin
Amenaza
naturales,
incidente en la organizacin, produciendo industrialesohumanos
daos materiales o inmateriales en los
Erroresyfallosintencionados
activos.Almaterializarsesetransformanen
ynointencionados.
Agresiones.
Vulnerabilidad
Impacto
Eseldaoproducidosobreunactivoporla Perdidaseconmicas,
materializacindeunaamenaza.
Incumplimiento de Objetivos
delProyecto
Riesgo
Medidas
Control
Ejemplos
SubmdelodeEventos
RelacindelosElementosocomponentes
I m
I E
T A
I O
n M e En D
I D
R
C
s c i e
e
t e
T A
E
D
i e
Aa
L N
T E
c i d
L
A
l e
P
u
v a
l o
t a
I n
N
n
c r e
Z A
t a
o
o
b
b
I L I D
I E
s a
V a l o r a n
i n i m
i z a r
r a
R e d u c i r
N T R O L
e
p u e d e n
t e n
s e
x p
T I V
n
r e
r e
y / o
SubmdeloProcesos
ElSubmdelodeProcesossedivideen4etapas
1. Planificacin:Comoconsideracionesinicialesparaarrancarelproyectodeanlisisygestin
deriesgosseestudialaviabilidaddedesarrollarlo,sedefinenlosobjetivosquehadecumplir
yelmbitoqueabarcar,especificandolosmediosmaterialesyhumanosparasuejecucin.
Enestaetapasehacenestimacionesinicialesdelosriesgosquepuedenafectaralsistemade
informacinascomodeltiempoylosrecursosquesutratamientoconllevar.
2. Anlisis de riesgos: Se identifican y valoran las diversas entidades, obteniendo una
evaluacindelriesgo.
3. Gestin de riesgos: Se identifican las medidas de control reductoras del riesgo,
seleccionandolosquesonaceptablesenfuncindelasyaexistentesytomandoencuentalas
restricciones.
4. Seleccin de Medidas de Control: Se definen actividades para desarrollar el plan de
implantacindelosmecanismosdecontrolelegidosylosprocedimientosdeseguimientopara
laimplantacin.
EnlaidentificacindelosActivossedeberndetallarlassiguientesvariables:
Fechade Nombredel
Identificacin
Activo
Tipo
Valoracin
Valoracin
Valoracin
Cuantitativa
Cualitativa
Final
Los activosidentificadosseagruparnenelsiguientecuadro,deacuerdoaltipodefuncinque
desempean:
Tipo
Definicin
Ejemplo
Servicios
Datos/Informacin
Elementosdeinformacinquedeformasingularo Basededatos
agrupados de alguna forma, representan el
Leyesoreglamentos
conocimientoquesetienedealgo.
CdigoFuente
Los datos son el corazn que permite a una
CdigoEjecutable
organizacinprestarsusservicios
Aplicaciones
(Software)
Equiposinformticos
10
Dcesedelosbienesmateriales,fsicos,destinados Computador,Video
a soportar directa o indirectamente los servicios
(Hardware)
Redesde
Comunicaciones
Soportesde
Informacin
Seconsiderandispositivosfsicosquepermiten
almacenarinformacindeformapermanenteoal
menosdurantelargosperiodosdetiempo.
MemoriaUSB
Discoduro
EquipamientoAuxiliar Seconsiderandispositivosfsicosquepermiten
almacenarinformacindeformapermanenteoal
menosdurantelargosperiodosdetiempo.
Cintas
Instalaciones
Loslugaresdondesehospedanlossistemasde
informacinycomunicaciones.
Edificio
Personal
Aparecenlaspersonasrelacionadasconlos
sistemasdeinformacin.
Administradores
Mobiliarios
CajasFuertes
Desarrolladores
11
Integridad:quperjuiciocausaraqueestuvieradaadoocorrupto?
Estavaloracinestpicadelosdatos,quepuedenestarmanipulados,sertotaloparcialmentefalsos
o,incluso,faltardatos.
Disponibilidad:quperjuiciocausaranotenerloonopoderutilizarlo?
Estavaloracinestpicadelosservicios.
Trazabilidaddelusodelservicio:qudaocausaranosaberaquinseleprestatalservicio?O
sea,quinhacequycundo?
NiveldeImportanciaparaelcumplimientodelosobjetivosdelproyecto
Lavaloracindelactivopuedesercualitativa,cualitativaoambas
Porejemplo,estapuedeserunaescalaparaunavaloracincualitativa
Escalade
Valoracin
Valor
MB:MuyBajo 1
Descripcin
IrrelevanteparaefectosPrcticos
B:Bajo
Importanciamenorparaeldesarrollodelproyecto
M:Medio
Importanteparaelproyecto
A:Alto
Altamenteimportanteparaelproyecto
MA:Muyalto 5
Devitalimportanciaparalosobjetivosquepersigue
elproyecto
Yunaescalacuantitativasedetermina,deacuerdoalvalordelactivoenpesos,delasiguiente
manera:
12
Escalade
Valoracin
Escala
Descripcin
Cuantitativa
MB:MuyBajo
0a500.000
B:Bajo
501.000a1.500.000
M:Medio
1.501.000a3.000.000
A:Alto
3.001.000a5.000.000
MA:Muyalto
5.000.001oms
Si se toma en cuenta tanto la escala cuantitativa como cualitativa se deben promediar haciendo
relevanciaenaquellosconvalormayora3.
Amenaza
Acontinuacinsepresentaunarelacindeamenazastpicasquepuedenguiarestepaso.
a.DesastresNaturales
AMENAZA
DESCRIPCIN
Fuego
Incendios:posibilidaddequeelfuegoacabeconrecursosdel
sistema.
DaosporAgua
inundaciones:posibilidaddequeelaguaacabeconrecursos
delsistema.
Desastres
Naturales
Incidentesqueseproducensinintervencinhumana:rayo,
tormentaelctrica,terremoto,ciclones,avalancha,corrimiento
detierras...
b.DeOrigenIndustrial
AMENAZA
13
DESCRIPCIN
Fuego
Incendio:posibilidaddequeelfuegoacabeconlosrecursos
delsistema.
DaosporAgua
Escapes,fugas,inundaciones:posibilidaddequeelagua
acabeconlosrecursosdelsistema
Desastres
Desastresdebidosalaactividadhumana:explosiones,
Industriales
derrumbes,...
contaminacinqumica,sobrecargaelctrica,.
Contaminacin
Mecnica
Vibraciones,polvo,suciedad,...
Contaminacin
Electromagntica
Interferenciasderadio,camposmagnticos,luzultravioleta,
Averadeorigen
Fsicoolgico
Fallosenlosequiposy/ofallosenlosprogramas.Puedeser
debidaaundefectodeorigenosobrevenidaduranteel
funcionamientodelsistema
Cortedel
suministro
elctrico
Cesedelaalimentacindepotencia
Condiciones
inadecuadasde
temperaturay/o
humedad
Deficienciasenlaaclimatacindeloslocales,excediendolos
mrgenesdetrabajodelosequipos:excesivocalor,excesivo
fro,excesodehumedad
Fallosdeservicios Cesedelacapacidaddetransmitirdatosdeunsitioaotro.
decomunicacin
14
Interrupcinde
otrosserviciosy
suministros
esenciales
Otrosserviciosorecursosdelosquedependelaoperacinde
losequipos;porejemplo,papelparalasimpresoras,tner,
refrigerante,etc.
Degradacinde
lossoportesde
almacenamiento
delainformacin
Comoconsecuenciadelpasodeltiempo
c.ErroresyfallosnoIntecionados
AMENAZA
DESCRIPCIN
Erroresdelosusuarios
Equivocacionesdelaspersonascuandousanlosservicios,datos,
etc.
Erroresdeladministrador
Equivocacionesdepersonasconresponsabilidadesdeinstalaciny
operacin.
Erroresdemonitorizacin
Inadecuadoregistrodeactividades:faltaderegistros,registros
incompletos.
Erroresdeconfiguracin
Introduccindedatosdeconfiguracinerrneos.
Deficienciasenlaorganizacin Cuandonoestclaroquintienequehacerexactamentequy
cundo.
Difusindesoftwaredaino
Propagacininocentedevirus,espas(spyware),gusanos,
troyanos,bombaslgicas,
Erroresdereencaminamiento Envodeinformacinatravsdeunsistemaounaredusando,
accidentalmente,unarutaincorrectaquellevelainformacina
dondeopordondenoesdebido
Erroresdesecuencia
Alteracinaccidentaldelordendelosmensajestransmitidos
Escapesdeinformacin
Lainformacinllegaaccidentalmentealconocimientodepersonas
quenodeberantenerconocimientodeella,sinquelainformacin
ensmismaseveaalterada
Alteracindelainformacin
Alteracinaccidentaldelainformacin.
Introduccindeinformacin
incorrecta
Insercinaccidentaldeinformacinincorrecta.
Degradacindelainformacin Estaamenazasloseidentificasobredatosengeneral,pues
cuandolainformacinestenalgnsoporteinformticohay
amenazasespecficas.
Destruccindeinformacin
Prdidaaccidentaldeinformacin.
Divulgacindeinformacin
Revelacinporindiscrecin.
Incontinenciaverbal,medioselectrnicos,soportepapel.
15
Vulnerabilidadesdelos
programas(software)
Defectosenelcdigoquedanpieaunaoperacindefectuosasin
intencinporpartedelusuario
Erroresdemantenimiento/
actualizacindeprogramas
(software
Defectosenlosprocedimientosocontrolesdeactualizacindel
cdigoquepermitenquesiganutilizndoseprogramascondefectos
conocidosyreparadosporelfabricante.
Erroresdemantenimiento/
actualizacindeequipos
(hardware).
Defectosenlosprocedimientosocontrolesdeactualizacindelos
equiposquepermitenquesiganutilizndosemsalldeltiempo
nominaldeuso.
Cadadelsistemapor
agotamientoderecursos
Lacarenciaderecursossuficientesprovocalacadadelsistema
cuandolacargadetrabajoesdesmesurada.
Indisponibilidaddelpersonal
Ausenciaaccidentaldelpuestodetrabajo:enfermedad,alteraciones
delordenpblico,
d.AtaquesIntencionados
AMENAZA
DESCRIPCIN
Manipulacindela
configuracin
Prcticamentetodoslosactivosdependendesuconfiguracinysta
deladiligenciadeladministrador:privilegiosdeacceso,flujosde
actividades,registrodeactividad,encaminamiento
Suplantacindelaidentidad
delusuario
Cuandounatacanteconsiguehacersepasarporunusuario
autorizado,disfrutadelosprivilegiosdeesteparasusfinespropios
Abusodeprivilegiosde
acceso
Cadausuariodisfrutadeunniveldeprivilegiosparaundeterminado
propsito:cuandounusuarioabusadesuniveldeprivilegiospara
realizartareasquenosondesucompetenciahayproblemas.
Usonoprevisto
Utilizacindelosrecursosdelsistemaparafinesnoprevistos,
tpicamentedeinterspersonal:juegos,consultaspersonalesen
Internet,basesdedatospersonales,programaspersonales,
almacenamientodedatospersonales,etc.
Difusindesoftwaredaino
Propagacinintencionadadevirus,espas(spyware),gusanos,
troyanos,bombaslgicas,etc
Encaminamientode
mensajes
Envodeinformacinaundestinoincorrectoatravsdeunsistema
ounaredquellevanlainformacinadondeopordondenoes
16
debido:puedetratarsedemensajesentrepersonas,entreprocesos
oentreunosyotros.
Alteracindesecuencia
Alteracindelordendelosmensajestransmitidosconnimodeque
elnuevoordenaltereelsignificadodelconjuntodemensajes,
perjudicandoalaintegridaddelosdatosafectados.
Accesonoautorizado
Elatacanteconsigueaccederalosrecursosdelsistemasintener
autorizacinparaello,tpicamenteaprovechandounfallodelsistema
deidentificacinyautorizacin.
Anlisisdetrfico
Elatacante,sinnecesidaddeentraraanalizarelcontenidodelas
comunicaciones,escapazdeextraerconclusionesapartirdel
anlisisdelorigen,destino,volumenyfrecuenciadelos
intercambios.
Repudio
Negacinaposteriorideactuacionesocompromisosadquiridosen
elpasado.
Repudiodeorigen:negacindeserelremitenteuorigendeun
mensajeocomunicacin.
Intercepcindeinformacin
(escucha)
Elatacantellegaateneraccesoainformacinquenole
corresponde,sinquelainformacinensmismaseveaalterada.
Modificacindela
informacin
Alteracinintencionaldelainformacin,connimodeobtenerun
beneficioocausarunperjuicio.
Introduccindefalsa
informacin
Insercininteresadadeinformacinfalsa,connimodeobtenerun
beneficioocausarunperjuicio.
Corrupcindelainformacin
Degradacinintencionaldelainformacin,connimodeobtenerun
beneficioocausarunperjuicio.
Destruccinlainformacin
Eliminacinintencionaldeinformacin,connimodeobtenerun
beneficioocausarunperjuicio.
Divulgacindeinformacin
Revelacindeinformacin.
Manipulacindeprogramas
Alteracinintencionadadelfuncionamientodelosprogramas,
persiguiendounbeneficioindirectocuandounapersonaautorizada
loutiliza.
Denegacindeservicio
Lacarenciaderecursossuficientesprovocalacadadelsistema
cuandolacargadetrabajoesdesmesurada
Robo
Lasustraccindeequipamientoprovocadirectamentelacarenciade
17
unmedioparaprestarlosservicios,esdecirunaindisponibilidad
Ataquedestructivo
Vandalismo,terrorismo,accinmilitar,...
Ocupacinenemiga
Cuandoloslocaleshansidoinvadidosysecarecedecontrolsobre
lospropiosmediosdetrabajo.
Indisponibilidaddelpersonal
Ausenciadeliberadadelpuestodetrabajo:comohuelgas,
absentismolaboral,bajasnojustificadas,bloqueodelosaccesos,...
Extorsin
Presinque,medianteamenazas,seejercesobrealguienpara
obligarleaobrarendeterminadosentido.
Ingenierasocial
Abusodelabuenafedelaspersonasparaquerealicenactividades
queinteresanauntercero
Descripcin
ProbabilidaddeOcurrencia
MuyFrecuente(MF)
Adiario
75100%
Frecuente(F)
Unavezalmes
50%75%
FrecuenciaNormal(FN)
Unavezalao
25%50%
PocoFrecuente(PF)
CadavariosAos
025%
Ylosresultadosregistrarlosenelsiguientecuadro:
Activo
18
Amenaza
Vulnerabilidad
Valoracin
Probabilidadde
Ocurrencia
IMP A C TOS
Prdida de
Imagen
Prdidas
Econmicas
Prdida de
Integridad
Prdida de
Confidencialidad
Tcnicos
Losorganizacionalesseclasificanen:
a.Perdidaseconmicas
Escalade
Valoracin
Escala
Cuantitativa
Descripcin
MB:MuyBajo
Costosentre10.000y100.000
B:Bajo
Costosentre100.001y1.000.000
M:Medio
Costosentre1.000.001y5.000.001
A:Alto
Costosentre5.000.001y10.000.000
MA:Muyalto
Costos10.000.000oms
19
b.PrdidadeImagen
Escalade
Valoracin
Escala
Descripcin
Cuantitativa
MB:Muy
Bajo
Leveprdidadeimagen
B:Bajo
Prdidamoderada
M:Medio
Prdidaimportante
A:Alto
Prdidaalta
MA:Muy
alto
Prdidamuyalta
Lastcnicasseclasificanen:
a.PrdidadeConfidencialidad
Escalade
Valoracin
Escala
Cuantitativa
Descripcin
MB:MuyBajo
Informacinreveladamnimaynosensible
B:Bajo
Informacinreveladamnima
M:Medio
ImportanteCantidaddeinformacinnosensible
revelada
A:Alto
Importantecantidaddeinformacinrevelada
MA:Muyalto
Todalainformacinrevelada
b.PrdidadeIntegridad
Escalade
Valoracin
Escala
Cuantitativa
Descripcin
MB:MuyBajo
Mnimainformacindaada
B:Bajo
Mnimainformacinimportantedaada
M:Medio
Grancantidaddeinformacindaada
20
A:Alto
Grancantidaddeinformacinimportantedaada
MA:Muyalto
Todalainformacindestruida
c.PrdidadeDisponibilidad
Escalade
Valoracin
Escala
Cuantitativa
Descripcin
MB:MuyBajo
Mnimainterrupcindelservicio
B:Bajo
Mnimainterrupcindeserviciosprimarios
M:Medio
Ampliainterrupcindeservicios
A:Alto
Ampliainterrupcindeserviciosprimarios
MA:Muyalto
Todoslosserviciosinterrumpidos
Posteriormentesepromedialavaloracindeestavariablesysecalificarelposibledaodeacuerdo
otipodedegradacindelasiguientemanera:
Muyalto(MA)
Daomuygraveparael
proyecto
Alto(A)
Daogravealproyecto
Medio(M)
Daoimportantealproyecto
Bajo(B)
Daomenoralproyecto
MuyBajo(MB)
Daodespreciable
21
VULNERABILIDAD
RIESGO
IMPACTO
PF
FN
MF
MA
MA
MA
MA
MA
MA
MA
MB
MB
MB
MB
MatrizCuantitativa
22
Clase
Valoracin
Cualitativa
Valoracin
Cuantitativa
Crtico
MuyAlto
10a20
Grave
Alto
5a9
Moderado
Medio
4a6
RIESGO
IMPACTO
VULNERABILIDAD
1
2
5
10
3
15
4
20
12
16
3
2
3
2
6
4
9
6
12
8
Lamatrizdevalorcrticoindicaatravsdedatoscualitativosycuantitativoslasituacindeseguridad
en que se encuentran los activos analizados. Luego de listar las vulnerabilidades o amenazas
potenciales,sedebenfijarlasrespectivasrecomendacionesdeseguridadparasucorreccin.
Aqusedebendeterminarmedidasdecontrolque son accionesorientadashacialaeliminacinde
vulnerabilidades,teniendoenmiraevitarqueunaamenazasevuelvarealidad.Estasmedidassonel
pasoinicialparaelaumentodelaseguridaddelainformacinenunambientedetecnologadela
informacinportantodebenconsiderartodo.
TipodeManejodelosRiesgos
Antesdedefinirlasmedidasdecontrolsedebetomarladecisindequmanejoselevaahacera
losriesgosdefinidos,analizadosyvaloradosenlospasosanteriores.
23
Medida
Descripcin
Evitarelriesgo
Reducirelriesgo
Dispersar
y Selogramedianteladistribucinolocalizacindelriesgoendiversos
atomizarelriesgo lugares.Esascomoporejemplo,lainformacindegranimportancia
se puede duplicar y almacenar en un lugar distante y de ubicacin
segura,envezdedejarlaconcentradaenunsololugar.
Transferirelriesgo Hacereferenciaabuscarrespaldoycompartirconotropartedelriesgo,
comoporejemplo,tomarplizasdeseguros,assetrasladaelriesgoa
otraparteofsicamentesetrasladaaotrolugar.Estatcnicaesusada
paraeliminarelriesgodeunlugarypasarloaotro,odeungrupoa
otro.Asmismo,elriesgopuedeserminimizadocompartindolocon
otrogrupoodependencia.
Asumirelriesgo
Luegodequeelriesgohasidoreducidootransferidopuedequedarun
riesgoresidualquesemantiene,enestecasoelgerentedelproceso
simplementeaceptalaprdidaresidualprobableyelaboraplanesde
contingenciaparasumanejo.
Unavez establecidosculesdelosanterioresmanejosdelriesgose
vanaconcretar,estosdebenevaluarseconrelacinalbeneficiocosto
para definir, cules son susceptibles de ser aplicadas y proceder a
elaborarelplandemanejoderiesgo,teniendoencuenta,elanlisis
elaboradoparacadaunodelosriesgosdeacuerdoconsuimpacto,
probabilidadynivelderiesgo.
Posteriormente se definen los responsables de llevar a cabo las
accionesespecificandoelgradodeparticipacindelasdependencias
en el desarrollo de cada una de ellas. As mismo, es importante
construir indicadores, entendidos como los elementos que permiten
determinar
deformaprcticaelcomportamientodelasvariablesderiesgoquevan
apermitirmedirelimpactodelasacciones.
24
MedidasparaelManejodelRiesgo
ESCENARIOS
(Actividad donde
se debe aplicar el
control)
Recursos
Responsable
de implantar
accin de
mejora
Fecha d e
Seguimiento
Accin
/Mejoramiento
Fecha de
Implantacin
Unavezdefinidoslosriesgosquesevaaasumirsedebenespecificarmedidasdelmanejodelriesgo
especificando:
Lasmedidasquesetomendebenserobjetodeevaluacinyseguimientoconstante,actualizandola
valoracindelasvulnerabilidades,impactosyriesgos.
25