METODOLOGIAS DE GESTION DE RIESGOS

(OCTAVE, MAGERIT, DAFP)

BLANCA RUBIELA DUQUE OCHOA

CDIGO 1700210274

AUDITORA
CARLOS HERNN GMEZ

UNIVERSIDAD DE CALDAS
FACULTAD DE INGENIERA

CONTENIDO
1. Introduccin ................................................................................................................................................ 2
2. Metodologas de Gestin de Riesgo ....................................................................................................... 2
2.1. El anlisis y gestin de riesgos en su contexto ................................................................................. 2
2.2. Incidencias y recuperacin .................................................................................................................... 3
3. Octave ......................................................................................................................................................... 4
3.1. Historia y Evolucin ............................................................................................................................... 4
3.2. Descripcin General de Octave .......................................................................................................... 5
3.3. Mtodos .................................................................................................................................................. 6
3.3.1. Caractersticas y Ventajas de los Mtodos .................................................................................... 8
3.3.2. Fases ................................................................................................................................................... 8
4. Magerit ....................................................................................................................................................... 9
4.1. Historia y Evolucin .............................................................................................................................. 9
4.2. Descripcin General de Magerit .................................................................................................. 10
4.3. Organizacin de las Guas ................................................................................................................ 10
4.4. Evaluacin, Certificacin, Auditora y Acreditacin ....................................................................... 12
5. Comparativo con Cobit ......................................................................................................................... 13
6. Dafp ......................................................................................................................................................... 13
6.1. Historia y Evolucin ........................................................................................................................... 14
6.2. Descripcin General de Dafp ........................................................................................................... 15
6.3. Objetivos de DAFP ............................................................................................................................ 15
6.4 Marco Conceptual ............................................................................................................................... 15
6.5. Metodologa ........................................................................................................................................ 17
6.6. Contexto Estratgico ......................................................................................................................... 19
7. Conclusiones y Observaciones ........................................................................................................... 21
8. Referentes .............................................................................................................................................. 22

1. Introduccin

Hoy en da la gestin de riesgos, en el mbito econmico financiero, se inserta dentro de un

proceso conocido como Control Interno. El control interno es un concepto universalmente
conocido que ha carecido por mucho tiempo de un marco referencial comn. Antiguamente
los sistemas de control interno se limitaban a las actividades de las reas de contabilidad y
finanzas sin vnculo ni relaciones establecidas, no se consideraba el control interno como un
instrumento de gestin capaz de lograr la eficiencia y eficacia de sus operaciones.
Gestionar los riesgos eficientemente constituye hoy en da una preocupacin de la alta
gerencia, segn afirma Bernens (1997):" la grieta pequea ms grande en la armadura
corporativa es la direccin de riesgos". La gestin de riesgos se facilita cuando las entidades
desarrollan sus actividades sobre la base de sistemas de control interno acorde con las
exigencias actuales.
En el presente documento se presenta una descripcin de tres de las ms grandes
metodologas de gestin de riesgos usadas actualmente, estas son: Octave, Magerit y Dafp.

2. Metodologas de Gestin de Riesgos

Definicin de Riesgo:
Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos
causando daos o perjuicios a la Organizacin.
El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente. Es
importante saber qu caractersticas son de inters en cada activo, as como saber en qu
medida estas caractersticas estn en peligro, es decir, analizar el sistema.
Anlisis de riesgos:
Proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin.
Gestin de riesgos:
Seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los
riesgos identificados.

2.1 EL Anlisis y gestin de riesgos en su contexto

Las tareas de anlisis y gestin de riesgos no son un fin en s mismas sino que se encajan en la
actividad continua de gestin de la seguridad.
El anlisis de riesgos permite determinar cmo es, cunto vale y cmo de protegidos se
encuentran los activos. En coordinacin con los objetivos, estrategia y poltica de la
Organizacin, las actividades de gestin de riesgos permiten elaborar un plan de seguridad

que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se
acepta la Direccin.
La implantacin de los controles de seguridad requiere una organizacin gestionada y la
participacin informada de todo el personal que trabaja con el sistema de informacin. Es este
personal el responsable de la operacin diaria, de la reaccin ante incidencias y de la
monitorizacin en general del sistema para determinar si satisface con eficacia y eficiencia los
objetivos propuestos.
Este esquema de trabajo debe ser repetitivo pues los sistemas de informacin rara vez son
inmutables; ms bien se encuentran sometidos a evolucin continua tanto propia (nuevos
activos) como del entorno (nuevas amenazas), lo que exige una revisin peridica en la que se
aprende de la experiencia y se adapta al nuevo contexto.
El anlisis de riesgos proporciona un modelo del sistema en trminos de activos, amenazas y
salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La
gestin de riesgos es la estructuracin de las acciones de seguridad para satisfacer las
necesidades detectadas por el anlisis.

2.2 INCIDENCIAS Y RECUPERACIN

Simtricamente, las personas involucradas deben ser conscientes de su papel y relevancia
continua para prevenir problemas y reaccionar cuando se produzcan. Es importante crear una
cultura de responsabilidad donde los potenciales problemas, detectados por los que estn
cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisin. De esta
forma el sistema de salvaguardas responder a la realidad.
Cuando se produce una incidencia, el tiempo empieza a correr en contra del sistema: su
supervivencia depende de la presteza y correccin de las actividades de reporte y reaccin.
Cualquier error, imprecisin o ambigedad en estos momentos crticos, se ve amplificado
convirtiendo lo que poda ser un mero incidente en un desastre.

Tanto de los xitos como de los fracasos conviene aprender continuamente e incorporarlos al
proceso de anlisis y gestin de riesgos. La madurez de una organizacin se refleja en la
pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las
salvaguardas de todo tipo, desde medidas tcnicas hasta una ptima organizacin.

3. OCTAVE
Una evaluacin efectiva de riesgos en la seguridad de la informacin considera tanto los
temas organizacionales como los tcnicos, examina cmo la gente emplea la infraestructura
en forma diaria. La evaluacin es de vital importancia para cualquier iniciativa de mejora en
seguridad, porque genera una visin a lo ancho de la organizacin de los riesgos de seguridad
de la informacin, proveyndonos de una base para mejorar a partir de all.
Para que una empresa comprenda cules son las necesidades de seguridad de la informacin,
OCTAVE es una tcnica de planificacin y consultora estratgica en seguridad basada en el
riesgo.
En contra de la tpica consultora focalizada en tecnologa, que tiene como objetivo los riesgos
tecnolgicos y el foco en los temas tcticos, el objetivo de OCTAVE es el riesgo organizacional
y el foco son los temas relativos a la estrategia y a la prctica.
Cuando se aplica OCTAVE, un pequeo equipo de gente desde los sectores operativos o de
negocios hasta los departamentos de tecnologa de la informacin (IT) trabajan juntos
dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos,
Prcticas de seguridad Y Tecnologa.
3.1 HISTORIA Y EVOLUCIN
OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prcticas de seguridad. La
tecnologa es examinada en relacin a las prcticas de seguridad, permitiendo a las compaas
tomar decisiones de proteccin de informacin basados en los riesgos de confidencialidad,
integridad y disponibilidad de los bienes relacionados a la informacin crtica.
El mtodo OCTAVE permite la comprensin del manejo de los recursos, identificacin y
evaluacin de riesgos que afectan la seguridad dentro de una organizacin.
Exige llevar la evaluacin de la organizacin y del personal de la tecnologa de la informacin
por parte del equipo de anlisis mediante el apoyo de un patrocinador interesado en la
seguridad.
El mtodo OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y
tecnolgicos:

Identificacin de la informacin a nivel gerencial.

Identificacin de la informacin a nivel operacional.

Identificacin de la informacin a nivel de usuario final.

Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta
OCTAVE:

Consolidacin de la informacin y creacin de perfiles de amenazas.

Identificacin de componentes claves.

Evaluacin de componentes seleccionados.

Anlisis de riesgos de los recursos crticos.

Desarrollo de estrategias de proteccin.

3.2 DESCRIPCIN GENERAL DE OCTAVE

Hay tres mtodos OCTAVE:
Los mtodos de OCTAVE se basan en los criterios del estndar con un enfoque en la prctica y
evaluacin de la seguridad basada en la informacin de riesgo. Estos criterios establecen los
principios fundamentales y los atributos de gestin de riesgos que son utilizados por los
mtodos de OCTAVE.
3.3 Mtodo OCTAVE:
El mtodo fue desarrollado teniendo en cuenta grandes organizaciones de 300 ms
empleados, pero el tamao no fue la nica consideracin. Por ejemplo, las grandes
organizaciones suelen tener una jerarqua de mltiples capas y es probable que mantengan su
propia infraestructura informtica, junto con la capacidad interna para ejecutar herramientas
de evaluacin de la vulnerabilidad e interpretar los resultados en relacin a los activos crticos.
El mtodo utiliza una ejecucin en tres fases que examina las cuestiones organizacionales y
tecnolgicas, monta una visin clara de la organizacin y sus necesidades de informacin y
seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a cabo por
un equipo de anlisis interdisciplinario de tres a cinco personas de la propia organizacin. El
mtodo aprovecha el conocimiento de mltiples niveles de la organizacin, centrndose en:

Identificar los elementos crticos y las amenazas a esos activos.

La identificacin de las vulnerabilidades, tanto organizativas y tecnolgicas, que

exponen a las amenazas, creando un riesgo a la organizacin.

El desarrollo de una estrategia basada en la proteccin de prcticas y planes de

mitigacin de riesgos para apoyar la misin de la organizacin y las prioridades.

Estas actividades son apoyadas por un catlogo de buenas prcticas, as como encuestas y
hojas de clculo que se puede utilizar para obtener y captar informacin durante los debates y
la solucin de sesiones-problema.

GUA PARA LA IMPLEMENTACIN:

Proporciona todo lo que un equipo de anlisis de necesidades debe utilizar para llevar a cabo
una evaluacin de su organizacin. Incluye un conjunto completo de procesos detallados,
hojas de trabajo, y las instrucciones para cada paso en el mtodo, as como material de apoyo
y orientacin para la ejecucin.

Material Introductorio

Material del Mtodo

Materiales Adicionales

Preparacin de la
direccin.

Para cada fase y

proceso:

Libro perfil de Activos.

Catlogo de prcticas.

Adaptacin de la
direccin.
Administracin superior
de informacin.

Resumen.
Directrices detalladas.
Hojas de trabajo.
Diapositivas y apuntes.

OCTAVE de flujo de datos.

Completos ejemplos de
resultados.
Y ms

Participantes de
informacin

Mtodo OCTAVE-S:
Fue desarrollado en respuesta a las necesidades de organizaciones ms pequeas alrededor
de 100 personas o menos. Cumple con los mismos criterios que el mtodo Octave pero est
adaptado a los limitados medios y restricciones nicas de las pequeas organizaciones.
Octave-S utiliza un proceso simplificado y ms hojas de trabajo diferentes, pero produce el
mismo tipo de resultados. Las dos principales diferencias en esta versin de Octave son:
1. Octave-S requiere un pequeo equipo de 3-5 personas que entienden la amplitud y
profundidad de la empresa. Esta versin no comienza con el conocimiento formal sino
con la obtencin de talleres para recopilar informacin sobre los elementos
importantes, los requisitos de seguridad, las amenazas y las prcticas de seguridad. El
supuesto es que el equipo de anlisis de esta informacin ya se conoce.
2. Octave-S incluye slo una exploracin limitada de la infraestructura informtica. Las
pequeas empresas con frecuencia externalizan sus procesos de TI por completo y no
tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de
vulnerabilidad.

GUA DE IMPLEMENTACIN:
Proporciona la mayor parte de lo que necesita un equipo de anlisis para llevar a cabo una
evaluacin. Incluye hojas de trabajo y orientaciones para cada actividad, as como una
introduccin, la gua de preparacin, y un ejemplo completo. No se incluye an la adaptacin
de orientacin a reuniones o de informacin.

Material Introductorio

Material del Mtodo

Materiales Adicionales

Introduccin.

Para cada fase y

proceso:

Los ejemplos de
resultados completos.

Preparacin de
Orientacin.

Directrices.
Hojas de Trabajo.

Mtodo OCTAVE ALLEGRO:

Es una variante simplificada del mtodo de Octave que se centra en los activos de la
informacin. Igual que los anteriores mtodos de Octave, Allegro se puede realizar de entrada
en un taller de entorno colaborativo, pero tambin es muy apropiado para las personas que
desean realizar la evaluacin de riesgo sin una amplia participacin de la organizacin o
experiencia.
Debido a que el enfoque principal de Octave Allegro es el activo de la informacin, la
organizacin de otros importantes activos se identifican y evalan en funcin de los activos de
informacin a la que estn conectados. Este proceso elimina la posible confusin sobre el
alcance y reduce la posibilidad de que la recoleccin de datos y de anlisis se realice para los
activos que no estn claramente definidos, fuera del alcance de la evaluacin, o que necesitan
ms de la descomposicin.
Consta de ocho pasos organizados en cuatro fases:
Fase 1 - Evaluacin de los participantes desarrollando criterios de medicin del riesgo con las
directrices de la organizacin: la misin de la organizacin, los objetivos y los factores crticos
de xito.
Fase 2 Cada uno de los participantes crean un perfil de los activos crticos de informacin,
que establece lmites claros para el activo, identifica sus necesidades de seguridad, e identifica
todos sus contenedores.
Fase 3 - Los participantes identifican las amenazas a la informacin de cada activo en el
contexto de sus contenedores.

Fase 4 - Los participantes identifican y analizan los riesgos para los activos de informacin y
empiezan a desarrollar planes de mitigacin.

GUA DE IMPLEMENTACIN:
Contiene todos los recursos necesarios para llevar a cabo una evaluacin de seguridad de la
informacin. Incluye paso a paso las instrucciones detalladas para realizar la evaluacin, hojas
de trabajo que acompaa al documento de la evaluacin, materiales de apoyo para la
identificacin y anlisis de riesgos, y un ejemplo de una evaluacin efectuada.

Material Introductorio

Material del Mtodo

Materiales Adicionales

Introduccin y Objetivo.

Actividades detalladas,
mtodo para cada paso.
Incluyendo:

Informacin de gua del

contenedor del activo.
Arboles de amenazas.

Antecedentes y
definiciones.
Notas generales y
conceptos.

Cuestionarios de riesgo
para cada tipo de riesgo.
Ejemplo completo de
hojas de actividades.

Pasos de la Actividad.
Ejemplos.
Notas especiales
Hojas de actividades.
3.3.1

CARACTERSTICAS Y VENTAJAS DE LOS MTODOS

Es dirigido a equipos pequeos de trabajo a travs de las unidades de negocio y de TI de la

organizacin con el fin de trabajar juntos para abordar las necesidades de seguridad de la
organizacin.
Cada mtodo se puede adaptar a una organizacin en un nico entorno de riesgo, la
seguridad, resistencia a los objetivos y el nivel de habilidad.
Octave traslad a la organizacin hacia una visin basada en el riesgo operativo de la
seguridad y las direcciones de la tecnologa en un contexto de negocios.

3.3.2 FASES:

VSAN: Valoracin de Seguridad de Alto Nivel.

VSA: Valoracin de Seguridad de Aplicaciones.
VSR: Valoracin de Seguridad de Redes.
VSS: Valoracin de Seguridad de Servidores.
VST: Valoracin de Seguridad de Telecomunicaciones

4. MAGERIT
Magerit es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior
de Administracin Electrnica, como respuesta a la percepcin de que la Administracin, y, en
general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin
para el cumplimiento de su misin.
La razn de ser de Magerit est directamente relacionada con la generalizacin del uso de las
tecnologas de la informacin, que supone unos beneficios evidentes para los usuarios; pero
tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que
generen confianza.
Interesa a todos aquellos que trabajan con informacin digital y sistemas informticos para
tratarla. Si dicha informacin, o los servicios que se prestan gracias a ella, son valiosos,
Magerit les permitir saber cunto valor est en juego y les ayudar a protegerlo. Conocer el
riesgo al que estn sometidos los elementos de trabajo es, simplemente, imprescindible para
poder gestionarlos. Con Magerit se persigue una aproximacin metdica que no deje lugar a
la improvisacin, ni dependa de la arbitrariedad del analista.
4.1 HISTORIA Y EVOLUCIN
Actualmente se encuentra en la versin 2.0, el periodo transcurrido desde la publicacin de la
primera versin de Magerit (1997), el anlisis de riesgos se ha venido consolidando como paso
necesario para la gestin de la seguridad.
En Magerit v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta
evolucin.
En particular se reconocer lo que se denominaba submodelo de elementos: activos,
amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido
refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las
fases fundamentales de anlisis y gestin. Se ha corregido y ampliado lo que se denominaba
subestados de seguridad dndole el nuevo nombre de dimensiones e introduciendo
nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo
el epgrafe de estructuracin del proyecto de anlisis y gestin de riesgos.

Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo
mismo de los detalles tcnicos de los sistemas de informacin con los que se trabaja. Se
intenta una puesta al da; pero ante todo se intenta diferenciar lo que es esencial (y
permanente) de lo que es coyuntural y cambiar con el tiempo. Esto se traduce en
parametrizar el mtodo de trabajo, referencindolo a catlogos externos de amenazas y
salvaguardas que se podrn actualizar, adaptndose al paso del tiempo, tanto por progreso
tecnolgico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian
como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto ms xito tengan los
sistemas, ms usuarios tendrn y simultneamente, ms sujetos habr interesados en abusar
de ellos o, simplemente, destruirlos.
As pues, quede el mtodo, abierto de forma que estando claro qu se hace y cmo, se
puedan adaptar los detalles a cada momento.
Por otro lado el paso de Mtrica v2.1 a Mtrica v3.0 ha supuesto una completa revisin de
este punto. En la v2.0 de Magerit aparece en el captulo de Desarrollo de Sistemas
Informticos, enfatizando primero el desarrollo de aplicaciones aisladas y luego el proceso de
desarrollo de sistemas de informacin completos.
4.2 DESCRIPCIN GENERAL DE MAGERIT
Magerit persigue los siguientes objetivos:

Concientizar a los responsables de los sistemas de informacin de la existencia de

riesgos y de la necesidad de atajarlos a tiempo.

Ofrecer un mtodo sistemtico para analizar tales riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.

Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o

acreditacin, segn corresponda en cada caso.

4.3 ORGANIZACIN DE LAS GUAS:

La versin 2 de Magerit se ha estructurado en tres libros: El Mtodo, un "Catlogo de
Elementos" y una "Gua de Tcnicas".
EL MTODO
Describe los pasos y las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos,
y proporciona una serie de aspectos prcticos.
El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo y para gestionar
su mitigacin. Es una presentacin netamente conceptual.
El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis y gestin de
riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente

pautar roles, actividades, hitos y documentacin para que la realizacin del proyecto de
anlisis y gestin de riesgos est bajo control en todo momento.
El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de informacin, en el
entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos
desde el primer momento, tanto los riesgos a que estn expuestos, como los riesgos que las
propias aplicaciones introducen en el sistema.
Como complemento, el captulo 5 desgrana una serie de aspectos prcticos, derivados de la
experiencia acumulada en el tiempo para la realizacin de un anlisis y una gestin realmente
efectivos.
Los apndices recogen material de consulta:

Glosario

Referencias bibliogrficas consideradas para el desarrollo de esta metodologa

Referencias al marco legal que encuadra las tareas de anlisis y gestin

El marco normativo de evaluacin y certificacin

Las caractersticas que se requieren de las herramientas, presentes o futuras, para

soportar el proceso de anlisis y gestin de riesgos

Una gua comparativa de cmo Magerit versin 1 ha evolucionado en esta versin 2.

Se desarrolla un caso prctico como ejemplo.

CATLOGO DE ELEMENTOS
Ofrece unas pautas y elementos estndar en cuanto a: tipos de activos, dimensiones de
valoracin de los activos, criterios de valoracin de los activos, amenazas tpicas sobre los
sistemas de informacin y salvaguardas a considerar para proteger sistemas de informacin.
Se persiguen dos objetivos:
1.

Por una parte, facilitar la labor de las personas que acometen el proyecto, en el
sentido de ofrecerles elementos estndar a los que puedan adscribirse rpidamente,
centrndose en lo especfico del sistema objeto del anlisis.

2. Por otra, homogeneizar los resultados de los anlisis, promoviendo una terminologa y
unos criterios uniformes que permitan comparar e incluso integrar anlisis realizados
por diferentes equipos.
Cada seccin incluye una notacin XML que se emplear para publicar regularmente los
elementos en un formato estndar capaz de ser procesado automticamente por
herramientas de anlisis y gestin.

Si el lector usa una herramienta de anlisis y gestin de riesgos, este catlogo ser parte de la
misma; si el anlisis se realiza manualmente, este catlogo proporciona una amplia base de
partida para avanzar rpidamente sin distracciones ni olvidos.

GUA DE TCNICAS
Se trata de una gua de consulta que proporciona algunas tcnicas que se emplean
habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos: tcnicas
especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis algortmico, rboles de
ataque, tcnicas generales, anlisis coste-beneficio, diagramas de flujo de datos, diagramas de
procesos, tcnicas grficas, planificacin de proyectos, sesiones de trabajo (entrevistas,
reuniones y presentaciones) y valoracin Delphi.
Es una gua de consulta. Segn el lector avance por las tareas del proyecto, se le recomendar
el uso de ciertas tcnicas especficas, de las que esta gua busca ser una introduccin, as como
proporcionar referencias para que el lector profundice en las tcnicas presentadas.

4.4 EVALUACIN, CERTIFICACIN, AUDITORA Y ACREDITACIN

El anlisis de riesgos es una piedra angular de los procesos de evaluacin, certificacin,
auditora y acreditacin que formalizan la confianza que merece un sistema de informacin.
Dado que no hay dos sistemas de informacin iguales, la evaluacin de cada sistema concreto
requiere amoldarse a los componentes que lo constituyen. En anlisis de riesgos proporciona
una visin singular de cmo es cada sistema, qu valor posee, a qu amenazas est expuesto y
de qu salvaguardas se ha dotado. Es pues el anlisis de riesgos paso obligado para poder
llevar a cabo todas las tareas mencionadas, que se relacionan segn el siguiente esquema:

DERECHOS DE UTILIZACIN
Magerit es una metodologa de carcter pblico, perteneciente al Ministerio de la Presidencia
de Espaa; su utilizacin no requiere autorizacin previa del mismo.

COMPARATIVO CON COBIT

COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT", recomienda "Crear y dar
mantenimiento a un marco de trabajo de administracin de riesgos", alertndonos de esta
forma de la necesidad de realizar un Anlisis de Riesgos, con el fin de poder desarrollar una
estrategia de mitigacin de Riesgos minimizando el Riesgo Residual hasta un nivel aceptable
por la organizacin.
COBIT no especifica ninguna metodologa ni herramienta de Anlisis de Riesgos en particular,
por lo que deja a nuestra eleccin la metodologa ms conveniente segn nuestras
necesidades. Aqu es donde se presenta una relacin entre COBIT y Magerit ya que esta ltima
segn la definicin es una metodologa de administracin de riesgos que proporciona polticas
para asegurar la informacin relevante de una organizacin. A continuacin se presenta una
definicin de esta metodologa:
MAGERIT es una metodologa desarrollada en Espaa por el Ministerio de Administraciones
Pblicas, que estudia los riesgos soportados por los Sistemas de Informacin para recomendar
aquellas medidas ms encaminadas a controlar su impacto. Sus objetivos bsicos son, en
primer lugar, concienciar a los responsables de los sistemas de informacin de la existencia de

riesgos y de la necesidad de que stos sean controlados antes de que se materialicen; en

segundo lugar, ofrecer un mtodo sistemtico para el anlisis de dichos riesgos; en tercer
lugar, ayudar a descubrir y planificar medidas oportunas para mantener los riesgos bajo
control; y en cuarto lugar, ayudar a la Organizacin para que sta se encuentre preparada
para procesos de evaluacin, auditora, certificacin y acreditacin.

6 DAFP
El tema de la Administracin de Riesgos ya no es un tema nuevo para las entidades pblicas,
en virtud de que el Estado colombiano mediante el Decreto 1537 de 2001 estableci que
todas las entidades de la Administracin Pblica deben contar con una poltica de
Administracin de Riesgos tendiente a darles un manejo adecuado a los riesgos, con el fin de
lograr de la manera ms eficiente el cumplimiento de sus objetivos y estar preparados para
enfrentar cualquier contingencia que se pueda presentar.
En este sentido, las entidades de la Administracin Pblica no pueden ser ajenas al tema de
los riesgos y deben buscar cmo manejarlos y controlarlos, partiendo de la base de su razn
de ser y de su compromiso con la sociedad; por esto se debe tener en cuenta que los riesgos
no solo son de carcter econmico y estn directamente relacionados con entidades
financieras o con lo que se ha denominado riesgos profesionales, sino que hacen parte de
cualquier gestin que se realice.
6.1 HISTORIA Y EVOLUCIN
A travs del Decreto 1599 del 20 de mayo del 2005 se adopt el Modelo Estndar de Control
Interno para todas las entidades del Estado de las que habla el artculo 5 de la Ley 87 de 1993;
este modelo presenta tres Subsistemas de Control: el Estratgico, el de Gestin y el de
Evaluacin. La Administracin del Riesgo ha sido contemplada como uno de los componentes
del Subsistema de Control Estratgico y ha sido definida en el Anexo Tcnico como el
conjunto de Elementos de Control que al interrelacionarse, permiten a la entidad pblica
evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o
impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan
identificar oportunidades para un mejor cumplimiento de su funcin. Se constituye en el
componente de control que al interactuar sus diferentes elementos le permite a la entidad
pblica auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos.
Al ser un componente del Subsistema de Control Estratgico, la Administracin del Riesgo se
sirve de la planeacin estratgica (misin, visin, establecimiento de objetivos, metas,
factores crticos de xito), del campo de aplicacin (procesos, proyectos, unidades de negocio,
sistemas de informacin), del componente ambiente de control y todos sus elementos
(acuerdos, compromisos y protocolos ticos, las polticas de desarrollo del talento humano y
el estilo de direccin), de la identificacin de eventos (internos y externos) y de los resultados
generados por el componente direccionamiento estratgico y sus elementos de control
(planes y programas, modelo de operacin y estructura organizacional). As mismo, debe
tener en cuenta el elemento de control controles del Subsistema de Gestin al momento de
realizar la valoracin de los riesgos (identificacin, medicin y priorizacin) y la formulacin de

la poltica (o respuesta al riesgo: evitar, aceptar, reducir, transferir). Esta mirada sistmica
contribuye a que la entidad no solo garantice la gestin institucional y el logro de los objetivos,
sino que fortalece el ejercicio del control interno en las entidades de la Administracin Pblica.
La actualizacin de la cartilla Gua Administracin del Riesgo obedece a la adopcin del
Modelo Estndar de Control Interno y a la armonizacin de la metodologa planteada por la
Direccin de Control Interno y Racionalizacin de Trmites del Departamento Administrativo
de la Funcin Pblica con el MECI 1000:2005, con el fin de facilitarles a las entidades el
ejercicio de la Administracin del Riesgo.
Adems, esta metodologa apunta a fortalecer los principios de la funcin administrativa,
enunciados en el artculo 209 de la Constitucin Poltica de Colombia, el artculo 3 de la Ley
489 de 1998 y el Decreto 1537 de 2001, as como a dar cumplimiento a los principios
constitucionales de igualdad, moralidad, eficacia, economa, celeridad, imparcialidad y
publicidad, los cuales se ejercen mediante la descentralizacin, la delegacin y la
desconcentracin de funciones, recordando que una de las finalidades sociales del Estado es
el bienestar general y el mejoramiento de la calidad de vida de la poblacin, acorde con los
enunciados contenidos en el artculo 366 de la Carta Magna y el artculo 4 de la Ley 489 de
1998.

6.2 DESCRIPCIN GENERAL DE DAFP

6.3 OBJETIVOS DE DAFP
GENERAL
Fortalecer la implementacin y desarrollo de la poltica de la administracin del riesgo a travs
del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misin y
objetivos institucionales de las entidades de la Administracin Pblica.

ESPECFICOS

Generar una visin sistmica acerca de la administracin y evaluacin de riesgos,

consolidada en un Ambiente de Control adecuado a la entidad y un Direccionamiento
Estratgico que fije la orientacin clara y planeada de la gestin dando las bases para
el adecuado desarrollo de las Actividades de Control.

Proteger los recursos del Estado, resguardndolos contra la materializacin de los

riesgos.

Introducir dentro de los procesos y procedimientos las acciones de mitigacin

resultado de la administracin del riesgo.

Involucrar y comprometer a todos los servidores de las entidades de la Administracin

Pblica en la bsqueda de acciones encaminadas a prevenir y administrar los riesgos.

Propender a que cada entidad interacte con otras para fortalecer su desarrollo y
mantener la buena imagen y las buenas relaciones.

Asegurar el cumplimiento de normas, leyes y regulaciones.

6.4 MARCO CONCEPTUAL

La Administracin Pblica, al ocuparse de los fenmenos de organizacin y gestin, no puede
ser ajena a las herramientas disponibles y a las nuevas tendencias en administracin, para lo
cual requiere estar en constante actualizacin y abierta al cambio y a la aplicacin de
diferentes instrumentos que les permitan a las entidades ser cada vez ms eficientes, por lo
que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar
en un momento determinado el cumplimiento de los objetivos institucionales.
Por lo anterior, se hace necesario introducir el concepto de la Administracin del Riesgo en las
entidades, teniendo en cuenta que todas las organizaciones, independientemente de su
naturaleza, tamao y razn de ser, estn permanentemente expuestas a diferentes riesgos o
eventos que pueden poner en peligro su existencia. Desde la perspectiva del control, el
modelo COSO interpreta que la eficiencia del control es la reduccin de los riesgos, es decir, el
propsito principal del control es la eliminacin o reduccin de los riegos propendiendo a que
el proceso y sus controles garanticen de manera razonable que los riesgos estn minimizados
o se estn reduciendo y por lo tanto que los objetivos de la organizacin van a ser alcanzados.
Para el caso de las organizaciones pblicas, dada la diversidad y particularidad de las
entidades en cuanto a funciones, estructura, manejo presupuestal, contacto con la ciudadana
y el carcter del compromiso social, entre otros, es preciso identificar o precisar las reas, los
procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e
incurrirse en riesgos que atentan contra la buena gestin y la obtencin de resultados para
tener un adecuado manejo del riesgo.
Igualmente, es importante tener en cuenta que los riesgos estn determinados por factores
de carcter externo, tambin denominados del entorno, y factores de carcter interno.
Entre los factores externos se destacan: la normatividad (a manera de ejemplo se pueden
mencionar cambios constitucionales como el de 1991, que propuso un Estado Social de
Derecho); jurisprudenciales, como los que se expresan en sentencias que declaran sin efecto
normas que venan aplicndose y que en un momento determinado pueden afectar las
funciones especficas de una entidad pblica y por lo tanto sus objetivos.
Tambin pueden mencionarse las reformas a la Administracin y los constantes recortes
presupuestales que afectan la capacidad de gestin de las entidades pblicas, lo cual, sumado
a la reduccin o eliminacin total del presupuesto de inversin, obliga a considerar en todo
momento el riesgo en que incurren las entidades al no poder cumplir con su objeto social.

Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los
controles existentes, los procesos y procedimientos, la disponibilidad presupuestal, la forma como
se vinculan las personas a las entidades, los intereses de los directivos, el nivel del talento humano,
la motivacin y los niveles salariales, entre otros.

El Componente de la Administracin del Riesgo en el Subsistema de Control Estratgico del

Modelo Estndar de Control Interno habilita a las entidades para emprender las acciones
necesarias que les permitan el manejo de eventos (riesgos) que puedan afectar
negativamente el logro de los objetivos institucionales.
Para ello se integran cinco Elementos de Control: el Contexto Estratgico, que permite
establecer los factores internos y externos que generan posibles situaciones de riesgo; la
Identificacin de Riesgos, que define las causas (factores internos o externos) y efectos de las
situaciones de riesgo; el Anlisis de Riesgos, que aporta probabilidad de ocurrencia; la
Valoracin de Riesgos, para medir la exposicin de la entidad a los impactos del riesgo. Todos
estos elementos conducen a la definicin de criterios base a la formulacin del estndar de
control que se consolida en las Polticas de Administracin de Riesgos.
Para la implementacin de este componente se toman como base los Planes y programas, el
Modelo de Operacin y sus diferentes niveles de despliegue, a fin de establecer los posibles
riesgos de los procesos y las actividades. Este componente toma como base la identificacin
de los factores internos o externos y de operacin que puedan afectar el desarrollo de la
funcin administrativa de la entidad; una vez identificados se asocian a los procesos,
analizndolos, valorndolos y calificndolos en trminos de su impacto en la gestin.
Finalmente, este resultado permitir definir las directrices para la Administracin del Riesgo.
Al terminar la implementacin del Componente de Administracin de Riesgo se espera
obtener los siguientes productos:

Anlisis de los factores externos e internos que implican exposicin al riesgo.

Reconocimiento de situaciones de riesgo o los riesgos que afectan el cumplimiento de

los objetivos de la entidad.

Medidas de respuesta ante los riesgos identificados.

Polticas de Administracin de Riesgos identificados.

6.5 METODOLOGA
Las entidades de la Administracin Pblica deben darle cumplimiento a su misin
constitucional y legal a travs de los objetivos institucionales, los cuales desarrollan programas
y proyectos a partir del diseo y ejecucin de los diferentes planes. El cumplimiento de dichos
objetivos se puede ver afectado por la presencia de riesgos, ocasionados por factores tanto
internos como externos, razn por la cual se hace necesario contar con acciones tendientes a
administrarlos dentro de la entidad.
El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad. Con el
fin de asegurar dicho manejo, es importante que se establezca el entorno de la entidad, la
identificacin, anlisis, valoracin y definicin de las alternativas de acciones de mitigacin de
los riesgos:

Contexto estratgico

Identificacin de riesgos

Anlisis de riesgos

Valoracin de riesgos

Polticas de Administracin de Riesgos

DIRECTRICES GENERALES
Las etapas sugeridas para una adecuada Administracin del Riesgo son las siguientes:

Compromiso de la alta y media direccin:

Para el xito en la implementacin de una adecuada Administracin del Riesgo, es
indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de
estimular la cultura de la identificacin y prevencin del riesgo y, en segunda instancia, de
definir las polticas. Para lograrlo es importante la definicin de canales directos de
comunicacin y el apoyo a todas las acciones emprendidas en este sentido, propiciando los
espacios y asignando los recursos necesarios. As mismo, debe designar a un directivo de

primer nivel para que asesore y apoye todo el proceso de diseo e implementacin del
Componente de Administracin del Riesgo.
Conformacin de un Equipo MECI:
Es importante conformar un equipo que se encargue de liderar el proceso de administracin
del riesgo dentro de la entidad y cuente con un canal directo de comunicacin con el
designado de la direccin y las personas designadas para trabajar el tema en las diferentes
dependencias. Dicho equipo lo deben integrar personas de diferentes reas que conozcan
muy bien la entidad y el funcionamiento de los diferentes procesos, para que se facilite la
administracin del riesgo y la construccin de los mapas de riesgos institucionales.
Capacitacin en la metodologa:
Definido el Equipo MECI, debe capacitarse a sus integrantes en la metodologa de la
Administracin del Riesgo y su relacin con los dems Subsistemas y Elementos de Control del
MECI 1000:2005, para lo cual se podr contar con el apoyo del Departamento Administrativo
de la Funcin Pblica. As mismo, los gerentes pblicos en el proceso de actualizacin de sus
asuntos misionales deben integrar a partir de las problemticas de su entorno los factores de
riesgo inherentes al desarrollo institucional y administrativo.
ILUSTRACIN: PROCESO DE ADMINISTRACIN DEL RIESGO

6.6 CONTEXTO ESTRATGICO

Para la formulacin y operacionalizacin de la poltica de administracin del riesgo es
fundamental tener claridad de la misin institucional, sus objetivos y tener una visin
sistmica de la gestin, de manera que no se perciba esta herramienta gerencial como algo
aislado del mismo accionar administrativo. Por ende, el diseo se establece a partir de la
identificacin de los factores internos o externos a la entidad que pueden general riesgos que
afecten el cumplimiento de sus objetivos.
As, el anexo tcnico del Decreto 1599 de 2005 se define como Elemento de Control, que
permite establecer el lineamiento estratgico que orienta las decisiones de la entidad pblica,
frente a los riesgos que pueden afectar el cumplimiento de sus objetivos producto de la
observacin, distincin y anlisis del conjunto de circunstancias internas y externas que
puedan generar eventos que originen oportunidades o afecten el cumplimiento de su funcin,
misin y objetivos institucionales.
Este contexto estratgico es la base para la identificacin de los riesgos en los procesos y
actividades. El anlisis se realiza a partir del conocimiento de situaciones del entorno de la
entidad, tanto de carcter social, econmico, cultural, de orden pblico, poltico, legal y/o
cambios tecnolgicos, entre otros; se alimenta tambin con el anlisis de la situacin actual de
la entidad, basado en los resultados de los componentes de ambiente de control, estructura
organizacional, modelo de operacin, cumplimiento de los planes y programas, sistemas de
informacin, procesos y procedimientos y los recursos econmicos, entre otros.
Se recomienda la aplicacin de varias herramientas y tcnicas; por ejemplo: entrevistas
estructuradas con expertos en el rea de inters, reuniones con directivos y con personas de
todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de
ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la
entidad, usar diagramas de flujo, anlisis de escenarios y hacer revisiones peridicas de
factores econmicos y tecnolgicos que puedan afectar a la organizacin, entre otros.
Igualmente, pueden utilizarse diferentes fuentes de informacin de la entidad, tales como
registros histricos, experiencias significativas registradas, opiniones de especialistas y
expertos, informes de aos anteriores, los cuales pueden proporcionar informacin
importante. La tcnica utilizada depender de las necesidades y naturaleza de la entidad.
Con la realizacin de esta etapa se busca que la entidad obtenga los siguientes resultados:

Identificar los factores externos que pueden ocasionar la presencia de riesgos, con
base en el anlisis de la informacin externa y los planes y programas de la entidad.

Identificar los factores internos que pueden ocasionar la presencia de riesgos con base
en el anlisis de los componentes Ambiente de Control, Direccionamiento Estratgico
y dems estudios que sobre la cultura organizacional y el clima laboral se hayan
adelantado en la entidad.

Aportar informacin que facilite y enriquezca las dems etapas de la Administracin

del Riesgo.

El Contexto Estratgico debe tener en cuenta el contexto organizacional en el cual se

verifican los objetivos de la entidad y de los procesos para comprender hacia dnde va
la entidad y cul es su misin. De esta manera se logra centrar desde su inicio el
proceso de Administracin de Riesgos en la consecucin de los objetivos que se ha
planteado la entidad.

As mismo, es necesario que en este punto la entidad se plantee cul es el contexto en que se
desarrolla la Administracin del Riesgo, estableciendo las metas, los objetivos, estrategias,
alcance y parmetros para llevarla a cabo, teniendo en cuenta que esta no es un fin en s
misma, sino un medio para lograr el cumplimiento de los objetivos propuestos.

EJEMPLO DE FACTORES INTERNOS Y EXTERNOS DE RIESGO

Factores Externos

Factores Internos

Econmicos: Disponibilidad de
capital, emisin de deuda o no pago
de esta, liquidez, mercados
financieros, desempleo,
competencia.

Infraestructura: Disponibilidad de activos,

capacidad de los activos, acceso al
capital.

Medioambientales: Emisiones y
residuos, energa, catstrofes
naturales, desarrollo sostenible.

Procesos: Capacidad, diseo, ejecucin,

proveedores, entradas, salidas,
conocimiento.

Polticos:
Cambios de Gobierno.
Legislacin, polticas pblicas,
regulacin.

Sociales:
Demografa, responsabilidad social,
terrorismo.
Tecnolgicos: Interrupciones, comercio
electrnico, datos externos, tecnologa
emergente.

Personal: Capacidad del personal,

salud, seguridad.

Tecnologa: Integridad de datos,

disponibilidad de datos y sistemas,
desarrollo, produccin, mantenimiento.

CONCLUSIONES Y OBSERVACIONES

El mejor plan de seguridad se vera seriamente hipotecado sin una colaboracin activa de las
personas involucradas en el sistema de informacin, especialmente si la actitud es negativa,
contraria o de luchar contra las medidas de seguridad. Es por ello que se requiere la
creacin de una cultura de seguridad que, emanando de la alta direccin, conciencie a todos
los involucrados de su necesidad y pertinencia.
Son dos los pilares fundamentales para la creacin de esta cultura:

Una poltica de seguridad corporativa que se entienda (escrita para los que no son
expertos en la materia), que se difunda y que se mantenga al da.

Una formacin continua a todos los niveles, recordando las cautelas rutinarias y las
actividades especializadas, segn la responsabilidad adscrita a cada puesto de trabajo.

A fin de que estas actividades cuajen en la organizacin, es imprescindible que la seguridad

sea :
Mnimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque
alcanzar los objetivos de productividad propuestos.
Sea natural: que no d pie a errores gratuitos, que facilite el cumplimiento de las buenas
prcticas propuestas.
Practicada por la Direccin: que d ejemplo en la actividad diaria y reaccione con presteza a
los cambios e incidencias.
Los activos de informacin y los equipos informticos son recursos importantes y vitales, sin
ellos las organizaciones quedaran paralizadas en sus actividades y por tal razn es necesario
preservarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la
informacin y los sistemas informticos estn apropiadamente protegidos de muchas clases
de amenazas y riesgos. Para tal accin deben emplearse medidas y polticas de seguridad las
cuales tienen como finalidad proporcionar instrucciones especficas sobre qu y cmo
mantener seguras las tecnologas de informacin.
En conclusin, por tanto, podemos afirmar que cualquier metodologa de anlisis de riesgos
conlleva de forma implcita una identificacin / inventario de activos, una reflexin sobre el
posible catlogo de amenazas que pueden afectar a los mismos, la medicin de su impacto y
probabilidad de ocurrencia, as como una recomendacin final sobre las salvaguardas ms
apropiadas para minimizar el riesgo.

8 REFERENTES

Consejo Superior de Administracin Electrnica. MAGERIT-versin 2. Metodologa de

Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Disponible en:
http://www.csi.map.es/csi/pg5m20.htm

CERT Software Engineering

en:http://www.cert.org/octave/

Ministerio de Administraciones Pblicas. Madrid (2006). MAGERIT versin 2.

Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin IMtodo.
Disponible
en:
http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf

Tutorial de Seguridad Informtica. Disponible

p.unam.mx/proyectos/tsi/capi/Cap1.html

Fluidsignal Group (2003). Arquitectura de Seguridad Informtica. Disponible en:

http://www.slideshare.net/fluidsignal/arquitectura-de-seguridad-de-la-informacindelima

Escuela Superior de Administracin Pblica ESAP- (2009). Gua de Administracin del

Riesgo. Departamento administrativo de la funcin pblica. Disponible en:
http://www.dafp.gov.co/dmdocuments/GUIAADMINISTRACIONRIESGO.pdf

Institute

(2008).

en:

OCTAVE.

Disponible

http://redyseguridad.fi-