Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DECLARACIN
Yo Jonathan Patricio Carrillo Snchez, declaro bajo juramento que el trabajo aqu
descrito es de mi autora; que no ha sido previamente presentada para ningn
grado o calificacin profesional; y, que he consultado las referencias bibliogrficas
que se incluyen en este documento.
A travs de la presente declaracin cedo mis derechos de propiedad intelectual
correspondientes a este trabajo, a la Escuela Politcnica Nacional, segn lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
______________________________________
Ing. Jonathan Patricio Carrillo Snchez
ii
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Jonathan Patricio Carrillo
Snchez, bajo mi supervisin.
__________________________
PhD. Enrique Mafla Gallegos
DIRECTOR DE TESIS
iii
AGRADECIMIENTO
iv
DEDICATORIA
CONTENIDO
RESUMEN .....................................................................................................................ix
CAPITULO 1 .................................................................................................................. 1
INTRODUCCIN ............................................................................................................ 1
1.1 RIESGO Y GESTION DEL RIESGO ............................................................................................... 2
1.1.1 GESTION DEL RIESGO: CAUSA - RIESGO - EFECTO ........................................................................... 6
1.1.2 FUENTES DEL RIESGO ....................................................................................................................... 7
1.1.3 MEJORES PRCTICAS: ENFOQUE EN LA GESTIN DE RIESGOS ....................................................... 8
CAPITULO 2 ................................................................................................................ 18
GUIA DE GESTION DE RIESGOS PARA PROYECTOS DE TI ............................................... 18
2.1 EJECUCION DEL MTODO ....................................................................................................... 18
2.1.1 FASE 1: DISGREGACIN ................................................................................................................. 18
2.1.2 FASE 2: IDENTIFICACIN ................................................................................................................ 20
2.1.3 FASE 3: EVALUACIN ..................................................................................................................... 25
2.1.3.1 CMMI ...................................................................................................................................... 25
2.1.3.2 SPICE ....................................................................................................................................... 27
2.1.3.3 PMBOK ................................................................................................................................... 28
2.1.3.4 PRINCE2 .................................................................................................................................. 29
2.1.3.5 COBIT ...................................................................................................................................... 31
2.1.3.6 RISK IT ..................................................................................................................................... 33
2.1.3.7 OCTAVE................................................................................................................................... 35
2.1.3.8 NIST 800-30 ............................................................................................................................ 37
2.1.3.9 MAGERIT ................................................................................................................................ 39
2.1.2.3.10 RECOLECCION DE RESULTADOS ........................................................................................ 42
2.1.4 FASE 4: SELECCIN......................................................................................................................... 50
2.1.5 FASE 5: DEFINICIN ....................................................................................................................... 54
2.1.5.1 GUA DE GESTION DE RIESGOS ............................................................................................... 55
2.1.5.1.1Especificacin de la Gua .................................................................................................. 56
CAPITULO 3 ................................................................................................................ 68
APLICACIN DE LA GUA Y ANLISIS DE RESULTADOS.................................................. 68
3.1 MARCO GENERAL DE REFERENCIA DEL PROYECTO................................................................ 68
3.1.1 ALCANCE DEL PROYECTO ............................................................................................................... 68
3.1.2 ESTABLECER EL CONTEXTO ORGANIZACIONAL Y REAS CRTICAS ................................................ 71
3.1.3 EQUIPO DEL PROYECTO ................................................................................................................. 72
3.1.4 RECURSOS ...................................................................................................................................... 73
3.1.5 CRITERIOS DE EVALUACIN ........................................................................................................... 74
vi
CAPITULO 4 ................................................................................................................ 94
CONCLUSIONES Y RECOMENDACIONES ....................................................................... 94
4.1 CONCLUSIONES ...................................................................................................................... 94
4.2 RECOMENDACIONES: ............................................................................................................. 95
vii
INDICE DE FIGURAS
FIGURA 1. RELACIN RIESGO - COSTE ............................................................................................................... 5
FIGURA 2. PROCESO DE ANLISIS PARA DESARROLLAR LA GUA DE GESTIN DE RIESGOS DE TI .................. 13
FIGURA 3. COMPARATIVA DE MEJORES PRCTICAS QUE GESTIONAN EL RIESGO ESCALA DE MEDICIN
(EM) ........................................................................................................................................................ 44
FIGURA 4. CMMI & SPICE - GESTIN DEL RIESGO DE TI .................................................................................. 46
FIGURA 5. PMBOK & PRINCE2 - GESTIN DEL RIESGO DE TI ........................................................................... 47
FIGURA 6. COBIT & RISK IT - GESTIN DEL RIESGO DE TI ................................................................................ 48
FIGURA 7. OCTAVE & NIST 800-30 & MAGERIT - GESTIN DEL RIESGO DE TI ................................................ 49
FIGURA 8. MEJORES PRCTICAS QUE GESTIONAN EL RIESGO - CONSOLIDACIN DE RESULTADOS .............. 51
FIGURA 9. MEJORES PRCTICAS - ACTIVIDADES QUE GESTIONAN EL RIESGO RANGO DE SELECCIN ........ 52
FIGURA 10. MODELO DE GUA DE GESTIN DE RIESGOS CORRESPONDIENTE A PROYECTOS TI .................... 55
FIGURA 11. RELACIN ACTIVO-AMENAZA-VULNERABILIDAD ......................................................................... 61
FIGURA 12. PROCESO CONTRACTUAL ENTREGA-RECEPCIN DE PRODUCTOS Y SERVICIOS .......................... 71
FIGURA 13. CANTIDAD DE ACTIVOS PLAN AMANECER ................................................................................ 89
FIGURA 14. PROBABILIDAD ACUMULADA POR REA DE GESTIN DE TI PLAN AMANECER ........................ 90
FIGURA 15. IMPACTO ACUMULADO POR REA DE GESTIN DE TI PLAN AMANECER ................................ 91
FIGURA 16. RIESGO ACUMULADO POR REA DE GESTIN DE TI PLAN AMANECER .................................... 92
viii
INDICE DE TABLAS
TABLA 1. MEJORES PRCTICAS QUE GESTIONAN EL RIESGO .......................................................................... 14
TABLA 2. ELEMENTOS DE TI ............................................................................................................................. 16
TABLA 3. ESCALA DE VALORACIN .................................................................................................................. 17
TABLA 4. MEJORES PRCTICAS SOMETIDAS A ANLISIS PARA DESARROLLAR LA GUA DE GESTIN DE
RIESGOS TI .............................................................................................................................................. 19
TABLA 5. RESULTADOS FASE I: DISGREGACIN - CARACTERSTICA/REA QUE GESTIONA EL RIESGO ........... 20
TABLA 6. RESULTADOS FASE II: IDENTIFICACIN - ACTIVIDADES QUE GESTIONAN EL RIESGO ...................... 24
TABLA 7. CMMI EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO ............................................... 25
TABLA 8. SPICE EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO ................................................ 27
TABLA 9. PMBOK EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO ............................................. 28
TABLA 10. PRINCE2 EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO ......................................... 29
TABLA 11. COBIT EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO ............................................. 31
TABLA 12. RISK IT EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO ............................................ 33
TABLA 13. OCTAVE - EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO........................................... 35
TABLA 14. NIST 800-30 - EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO .................................... 37
TABLA 15. MAGERIT - EVALUACIN DE ACTIVIDADES QUE GESTIONAN EL RIEGO......................................... 39
TABLA 16. COMPARATIVA DE MEJORES PRCTICAS QUE GESTIONAN EL RIESGO NIVEL DE PUNTUACIN
(NP) ......................................................................................................................................................... 42
TABLA 17. COMPARATIVA DE MEJORES PRCTICAS QUE GESTIONAN EL RIESGO RANGO DE SELECCIN .. 43
TABLA 18. MEJORES PRCTICAS - CRITERIOS DE SEGURIDAD DE LA INFORMACIN...................................... 50
TABLA 19. MEJORES PRCTICAS LISTA DE ACTIVIDADES - RANGO DE SELECCIN SATISFACTORIO ............ 54
TABLA 20. CARACTERSTICAS DE ANLISIS CUANTITATIVO Y CUANTITATIVO ................................................ 61
TABLA 21. EQUIPO DE PROYECTO ................................................................................................................... 73
TABLA 22. RESUMEN DE COSTOS DE RECURSOS PARA EJECUTAR EL PROYECTO ........................................... 74
TABLA 23. ACUERDOS DE FORMATOS PARA EJECUTAR PROYECTOS .............................................................. 76
TABLA 24. SNTESIS: IDENTIFICACIN Y VALORIZACIN DE ACTIVOS PLAN AMANECER ............................. 78
TABLA 25. SNTESIS: ANLISIS DE VULNERABILIDADES Y AMENAZAS PLAN AMENECER ............................. 80
TABLA 26. SNTESIS: PROBABILIDAD DE OCURRENCIA DE AMENAZAS PLAN AMANECER ........................... 82
TABLA 27. SNTESIS: IDENTIFICACIN DE SALVAGUARDAS PLAN AMANECER ............................................ 84
TABLA 28. ESCALA DE VALORES DE DEGRADACIN PARA LOS ACTIVOS ........................................................ 85
TABLA 29. SNTESIS: ESTIMACIN DE IMPACTO PLAN AMANECER............................................................. 87
TABLA 30. SNTESIS: ESTIMACIN Y PRIORIZACIN DEL RIESGO .................................................................... 88
ix
RESUMEN
Partiendo de la base del control estatal dirigido por la Contralora General del
Estado, la presente investigacin se orienta a desarrollar una Gua de Gestin de
Riesgos para proyectos de Tecnologas de Informacin mediante un mtodo
propuesto en este documento con el objetivo de cumplir las metas institucionales
por medio de los proyectos que corresponden al uso, manejo y gestin de TI.
Para desarrollar la Gua se procedi a analizar los procesos de varios modelos
aplicables a proyectos de TI y de esta manera obtener una gua de Gestin del
Riesgo basada en mejores prcticas y aplicable a diferentes entornos.
Los modelos considerados y que son la base para desarrollar la gua son: CMMI,
SPICE, PMBOK, PRINCE2, COBIT, RISK IT, OCTAVE, NIST 800-30 y MAGERIT.
Los elementos de TI considerados para realizar el anlisis y comparacin de
resultados mediante una escala de valoracin para determinar el nivel de
correspondencia
son:
Hardware,
Software,
Bases
de
Datos,
Redes
as
como
tambin
los
mecanismos
de
salvaguarda
como
CAPITULO 1
INTRODUCCIN
El Gobierno Nacional ha delegado a las entidades gubernamentales, bajo el Plan
Nacional para el Buen Vivir 2009 2013, impulsar programas y proyectos de
tecnologas de informacin entre los cuales podemos mencionar educativos, de
inclusin social, tursticos, de conservacin y aumento de la productividad.
Luego del proceso de licitacin, planificacin e inicio de los proyectos, existen
eventos o condiciones inciertas que producen efectos que pueden ser favorables
o perjudiciales sobre al menos un objetivo del proyecto como tiempo, coste,
alcance, calidad y uso eficiente de los recursos. Esto se debe ya que muchos de
los administradores de contrato no consideran planes de gerencia, anlisis de
riesgos, monitoreo relacionado a proyectos, o porque no existe una poltica
pblica que asegure el cumplimiento de estndares.
En el mercado existen varios modelos que identifican y analizan los riesgos segn
aspectos relevantes de su rea como por ejemplo en proyectos, desarrollo de
software, comunicaciones, seguridad y alineamiento con el negocio. Por lo tanto,
es necesario que los profesionales cuenten con una herramienta que integre
todos los elementos de TI que analice y gestione el riesgo con un enfoque de
proyectos de Tecnologas de Informacin y Comunicaciones.
Las contribuciones de este trabajo son: analizar los procesos de varios modelos y
obtener una gua de gestin del Riesgo basada en mejores prcticas orientada a
la ejecucin de Proyectos de IT y que sea aplicable a diferentes entornos. Esto
permitir
las
instituciones
contar con
una
herramienta
que
maneje
Fecha de publicacin: 14 de diciembre de 2009. Tipo de Norma: Acuerdo de la Contralora General del
Estado No.39, Registro Oficial Suplemento No.87, 410 Tecnologa de la Informacin.
2
si la
INTECO es un centro de desarrollo de carcter e inters pblico constituido como medio propio y servicio
tcnico de la Administracin General del Estado Espaol. Se orienta a la aportacin de valor, a la industria, a
los usuarios, y a la difusin de las nuevas Tecnologas de la Informacin y gla Comunicacin (TIC).
www.inteco.es
10
11
12
1.2.2 OBJETIVOS
Objetivo General:
Desarrollar y aplicar una gua de Gestin de Riesgos de TI mediante el
anlisis de metodologas y procesos de control generalmente aceptados a
un proyecto que incorpora tecnologas de informacin y comunicaciones.
Objetivos Especficos:
Identificar y seleccionar los procesos de las mejores prcticas que
Gestionan el Riesgo mediante una evaluacin de correspondencia con
Proyectos de TI.
Desarrollar una Gua de Gestin del Riesgo para Proyectos de alcance
nacional que incorporan Tecnologas de Informacin y la Comunicacin
como aporte a la administracin pblica del estado ecuatoriano.
Aplicar la gua propuesta y realizar el Anlisis de Gestin del Riesgo al
Proyecto del Mejoramiento de la Calidad de la Educacin Plan Amanecer.
1.2.3 FASES DEL MTODO
El mtodo se estructura en 5 fases y servir para desarrollar la Gua de Gestin
de Riesgos. Las fases son las siguientes:
1. Disgregacin: Descomponer los modelos, metodologas y tcnicas para
determinar la caracterstica10 o caractersticas encargadas de la Gestin del
Riesgo.
2. Identificacin: Identificar los procesos y actividades encargadas de la
Gestin de Riesgos para someterlos a evaluacin.
10
Caracterstica: Se refiere a la Fase, rea, Dominio, Grupo o Macro-Proceso segn denomine o nombre la
Mejor Prctica.
13
14
En la siguiente Tabla se presenta las mejores prcticas que servirn de base para
desarrollar la gua:
MEJOR
PRACTICA
DESCRIPCIN
ORGANIZACIN
PAIS
CMMI
Estados Unidos
de Amrica
SPICE
ISO (International
Organization for
Standardization)
Internacional
(Suiza)
Estados Unidos
de Amrica
PMBOK
PRINCE2
Estados Unidos
de Amrica
Estados Unidos
de Amrica
Estados Unidos
de Amrica
Estados Unidos
de Amrica
Espaa
15
Software [SW]
Legal [L]
Financiero [F]
Servicios [S]
ELEMENTO DE TI
HW
Hardware
SW
Software
BD
Bases de Datos
DESCRIPCION
Equipos informticos. Bienes materiales, fsicos, destinados a
soportar directa o indirectamente los servicios que presta la
organizacin, siendo pues depositarios temporales o permanentes
de datos, soporte de ejecucin de las aplicaciones informticas o
responsables del procesado o la transmisin de datos. Tambin se
incluyen dispositivos fsicos que permiten almacenar informacin
de forma permanente o, al menos, durante largos periodos de
tiempo. Pueden ser o no porttiles. Equipos que sirven de soporte
a los sistemas de informacin, sin estar directamente relacionados
con datos.
Con varias denominaciones (programas, aplicativos, desarrollos,
etc.) se refiere a tareas que han sido automatizadas para su
desempeo por un equipo informtico. Las aplicaciones gestionan,
analizan y transforman los datos permitiendo la explotacin de la
informacin para la prestacin de los servicios. NOTA: El
denominado cdigo fuente o programas que sern datos de
inters comercial a valorar y proteger como tales, sern
considerado como datos.
Elementos de datos, informacin que, de forma singular o
agrupada representan el conocimiento que se tiene de algo.
Almacenados en equipos o soportes de informacin. Pueden ser
transferidos de un lugar a otro por los medios de transmisin de
datos. Informes, lneas de texto denominados cdigo fuente
(Source code, code base) escrito en un lenguaje de programacin
especfico.
16
ID
COM
RH
ELEMENTO DE TI
DESCRIPCION
17
ID
NIVEL DE
PUNTUACION
(NP)
NO CUMPLE
EM>=0 Y
EM <0.5
PARCIAL
P
ESCALA DE
MEDICION
(EM)
ADECUADO
EM>=0.5 Y
EM <0.75
EM>=0.75 Y
EM <1
CUMPLE
C
EM=1
DESCRIPCION DE ALCANCE
RANGO DE
SELECCIN
CONOS DEL
RANGO DE
SELECCIN
SATISFACTORIO
(S)
La herramienta para tabular, calcular e integrar las funciones lgicas de los datos
recolectados sern hojas electrnicas (Microsoft Excel V.2010). Esta tcnica nos
permitir la representacin condicional (conos de los niveles alcanzados) y
tambin incorporar grficos de la informacin para realizar un anlisis integral de
los resultados obtenidos y seleccionar los procesos para desarrollar la Gua.
En el nivel de puntuacin No Cumple, abarca dos conos de representacin el
cual considera que pueden existir valores igual a cero representados con el cono
vaco
seleccin Insatisfactorio puesto que este tiene dos puntuaciones que puede
alcanzar siendo estos no cumple o parcial.
18
CAPITULO 2
GUIA DE GESTION DE RIESGOS PARA PROYECTOS DE
TI
Para definir la gua, se lo realizar utilizando el mtodo descrito en el punto 1.2 de
esta investigacin y que consta de cinco fases: Disgregacin, Identificacin,
Evaluacin, Seleccin y Definicin.
Los modelos considerados y que servirn de base para desarrollar la gua son:
CMMI, SPICE, PMBOK, PRINCE2, COBIT, RISK IT, OCTAVE, NIST 800-30 y
MAGERIT.
Las entidades de evaluacin para el anlisis y/o comparacin de resultados sern
los elementos de TI considerados en la Tabla 2, siendo estos: Hardware,
Software, Bases de Datos, Redes y Telecomunicaciones, Recurso Humano, legal,
Financiero y Servicios.
Para analizar los procesos que gestionan el riesgo de las mejores prcticas y
determinar el nivel de correspondencia para desarrollar la gua se utilizar la
escala de valoracin de la Tabla 3.
Finalmente se presentar la gua de Gestin del Riesgo detallando los procesos y
las actividades mediante productos de entrada, productos de salida, tcnicas,
prcticas y participantes responsables.
19
MODELOS
GESTION DE RIESGOS
PROCESOS Y
CALIDAD
GESTION DE
PROYECTOS
ALINEACION CON
LA ORGANIZACIN
OCTAVE
CMMI
PMBOK
COBIT
NIST 800-30
SPICE
PRINCE2
RISK IT
MAGERIT
Tabla 4. Mejores Prcticas sometidas a Anlisis para desarrollar la Gua de Gestin de Riesgos TI
CATEGORA
CMMI
Gestin de Proyecto
SPICE
Procesos de Proyecto
PMBOK
Gestin de un proyecto
PRINCE2
Temtica
COBIT
Administracin de Riesgos
20
MEJOR
PRACTICA
CATEGORA
Dominio
OCTAVE
Fase
1. Visin de la organizacin
2. Visin tecnolgica
3. Planificacin de las medidas y reduccin de
los riesgos
NIST 800-30
Proceso
1. Anlisis de Riegos
2. Gestin de Riesgos
MAGERIT
TECNICAS11
Valoracin
Cualitativa
Cuantitativa
RISK IT
11
21
MEJOR
CARACTERISTICA / AREA
PRACTICA QUE GESTIONA EL RIEGO
CMMI
RSKM- Gestin de
Riesgos
SPICE
MAN.5 Gestin de
Riesgos
PMBOK
OBJETIVOS / PROCESOS
ACTIVIDADES
SG 3 Mitigar riesgos
3.1 Desarrollar planes de mitigacin de riesgos
3.2 Implementar planes de mitigacin de riesgos
5.1 Establecer el alcance de la gestin de riesgos
5.2 Definir estrategias de gestin de riesgos
Identificar, analizar, tratar y
5.3 Identificar riesgos
monitorizar los riesgos de forma
5.4 Analizar riesgos
continua de un proyecto a lo largo
5.5 Definir y realizar acciones de tratamiento de riesgos
de todo su ciclo de vida
5.6 Monitorizar los riesgos
5.7 Tomar acciones preventivas o correctivas
1. Planificar la Gestin de Riesgos
Describe los procesos
2. Identificar los Riesgos
involucrados en la identificacin, 3. Realizar Anlisis Cualitativo de Riesgos
anlisis y control de los riesgos
4. Realizar Anlisis Cuantitativo de Riesgos
para el proyecto.
5. Planificar la Respuesta a los Riesgos
6. Dar seguimiento y Controlar los Riesgos
22
MEJOR
CARACTERISTICA / AREA
PRACTICA QUE GESTIONA EL RIEGO
PRINCE2
COBIT
RISK IT
OBJETIVOS / PROCESOS
ACTIVIDADES
23
MEJOR
CARACTERISTICA / AREA
PRACTICA QUE GESTIONA EL RIEGO
1. Visin de la
organizacin
OCTAVE
2. Visin tecnolgica
3. Planificacin de las
medidas y reduccin
de los riesgos
NIST 80030
1. Anlisis de Riegos
2. Gestin de Riesgos
OBJETIVOS / PROCESOS
ACTIVIDADES
1. Anlisis
1.1 Caracterizacin del sistema
1.2 Identificacin de amenazas
1.3 Identificacin de vulnerabilidades
1.4 Anlisis de control Paso
1.5 Determinacin de la probabilidad
1.6 Anlisis de impacto
Anlisis y Gestin de Riesgos de la
1.7 Determinacin de riesgo
seguridad de la Informacin,
1.8 Recomendaciones de control
proporcionando controles de
1.9 Documentacin de resultados
seguridad a un coste efectivo.
2. Gestin
2.1 Priorizacin de Acciones
2.2 Evaluacin de Acciones de controles recomendados
2.3 Anlisis Costo-Beneficio
2.4 Seleccin de Controles
2.5 Asignacin de Responsabilidades
2.6 Desarrollo de plan de implantacin de salvaguardas
2.7 Implantacin de Controles seleccionados
24
MEJOR
CARACTERISTICA / AREA
PRACTICA QUE GESTIONA EL RIEGO
OBJETIVOS / PROCESOS
MAGERIT
Anlisis y Gestin de
Riesgos
ACTIVIDADES
1.
1.1
1.2
1.3
1.4
Planificacin
Estudio de oportunidad
Determinacin del alcance del proyecto
Planificacin del proyecto
Lanzamiento del proyecto
2.
2.1
2.2
2.3
2.4
Anlisis de riesgos
Caracterizacin de los activos
Caracterizacin de las amenazas
Caracterizacin de las salvaguardas
Estimacin del estado de riesgo
3.
3.1
3.2
3.3
Gestin de riesgos
Toma de decisiones
Plan de seguridad
Ejecucin del plan
25
0.5 1
1
0.5 1
1
0.75 1
1
0.5 1
1
0.75 0.75 0.75
0.75 1
1
0.75 1
1
4.5 6.75 6.75
7
7
7
0.64 0.96 0.96
P
A
A
I
0.5
0.75
0.75
0.5
0.5
0.5
0.5
4
7
0.57
P
I
RANGO DE SELECCIN
SERVICIOS
FINANCIERO
ACTIVIDAD
LEGAL
RECURSO HUMANO
REDES Y
TELECOMUNICACIONES
CM1.1
CM1.2
CM1.3
CM2.1
CM2.2
CM3.1
CM3.2
BASES DE DATOS
ID
SOFTWARE
ELEMENTO DE TI
0
0
0.5 0.75 0.53 P
I
0.75 0
0
0.5 0.56 P
I
0.75 0.5 0.5 0.75 0.75 A
S
0
0
0.5 0.75 0.53 P
I
0.5 0
0
0.5 0.47 N
I
1
0.5 0.75 1 0.81 A
S
0.5 0 0.75 0.75 0.66 P
I
3.5 1
3
5 4.31 N/A N/A N/A N/A
7
7
7
7
7 N/A N/A N/A N/A
0.50 0.14 0.43 0.71 0.62 P
I
P
N
N
P
I
26
27
2.1.3.2 SPICE
LEGAL
FINANCIERO
SERVICIOS
1
1
1
0.75
0.75
0.75
0.75
6
7
0.86
A
0.75
0.75
1
0.75
0.75
1
1
6
7
0.86
A
0.5
0.5
0.75
0.5
0.5
0.5
0.5
3.75
7
0.54
P
0.5
0.75
0.5
0.5
0.5
0.5
0.5
3.75
7
0.54
P
0.5
0
0.5
0
0.5
0.5
0.5
2.5
7
0.36
N
1
0.75
0.75
0.75
0.75
0.5
0.75
5.25
7
0.75
A
0.75
0.75
1
0.75
0.75
1
0.75
5.75
7
0.82
A
0.69 P
I
0.63 P
I
0.81 A
S
0.56 P
I
0.63 P
I
0.66 P
I
0.66 P
I
4.63 N/A N/A N/A N/A
7 N/A N/A N/A N/A
0.66 P
I
RANGO DE SELECCIN
RECURSO HUMANO
REDES Y
TELECOMUNICACIONES
0.5
0.5
1
0.5
0.5
0.5
0.5
4
7
0.57
P
BASES DE DATOS
SP5.1
SP5.2
SP5.3
SP5.4
SP5.5
SP5.6
SP5.7
SOFTWARE
ID
ACTIVIDAD
HARDWARE
ELEMENTO DE TI
28
2.1.3.3 PMBOK
1
0.75
0.75
0.75
0.75
0.75
4.75
6
0.79
A
0.75
0.5
0.5
0.5
0.75
0.5
3.5
6
0.58
P
RANGO DE SELECCIN
0.75 0
0.75 0
0.75 0
0.75 0
1
0
1
0
5
0
6
6
0.83 0.00
A
N
0.5
0.5
0.5
0.5
0.5
0.5
3
6
0.50
P
0.5
0.75
0.5
0.5
0.75
0.5
3.5
6
0.58
P
SERVICIOS
0.5
0.5
0.5
0.5
0.5
0.5
3
6
0.50
P
FINANCIERO
REDES Y
TELECOMUNICACIONES
ACTIVIDAD
LEGAL
BASES DE DATOS
0.5
0.5
0.5
0.5
0.5
0.5
3
6
0.50
P
RECURSO HUMANO
SOFTWARE
ID
HARDWARE
ELEMENTO DE TI
0.56 P
I
0.53 P
I
0.50 P
I
0.50 P
I
0.59 P
I
0.53 P
I
3.22 N/A N/A N/A N/A
6 N/A N/A N/A N/A
0.54 P
I
es
que
propone
Tcnicas,
Herramientas
la
asignacin
de
Responsabilidades del Recurso Humano para cada actividad, todo esto mediante
un registro de riesgos para anlisis, periodicidad de revisiones y si es el caso
optar por una estrategia con el fin de dar respuesta inmediata a los impactos
sobre los objetivos del proyecto.
29
El uso de Tcnicas y Herramientas que el modelo plantea es una buena gua para
los profesionales de TI, como por ejemplo: la Definicin de Escalas de Impacto en
funcin de los Objetivos del Proyecto, la Matriz probabilidad e impacto, acuerdo
de formatos de informes, documentacin de los procesos de gestin de riesgos,
listas de control, tcnicas de diagramacin, distribuciones de probabilidad. Todas
estas definidas en la Seccin 11 de la gua de PMBOK.
Conviene mencionar que para todas las actividades que Gestionan el Riesgo de
PMBOK, el juicio de expertos es significativo y deja abierta esta opcin para
actuar sobre riesgos especficos, en donde la experiencia relevante de un grupo o
persona con conocimientos concretos pueden determinar el uso de tcnicas y
herramientas as como el manejo de datos. Todo esto en un marco de parcialidad
de los expertos en este proceso.
2.1.3.4 PRINCE2
RECURSO HUMANO
LEGAL
FINANCIERO
SERVICIOS
0.5
0.5
0.5
0.5
0.5
0.5
3
6
0.50
P
0.5
0.5
0.5
0.5
0.5
0.5
3
6
0.50
P
0.5
0.5
0.5
0.5
0.5
0.5
3
6
0.50
P
0.75
0.75
0.5
0.5
0.5
0.5
3.5
6
0.58
P
0.5
0
0.5
0.5
0.5
0.5
2.5
6
0.42
N
0
0
0.5
0.5
0.5
0.5
2
6
0.33
N
0.75
0.75
0.75
0.75
0.75
0.75
4.5
6
0.75
A
RANGO DE SELECCIN
REDES Y
TELECOMUNICACIONES
BASES DE DATOS
0.5
0.5
0.5
0.5
0.5
0.5
3
6
0.50
P
SOFTWARE
ID
ACTIVIDAD
HARDWARE
ELEMENTO DE TI
0.50 P
I
0.44 N
I
0.53 P
I
0.53 P
I
0.53 P
I
0.53 P
I
3.06 N/A N/A N/A N/A
6 N/A N/A N/A N/A
0.51 P
I
La estrategia de Gestin del riesgo que PRINCE2 transmite para ejecutar los
proyectos es minimizar la incertidumbre, para esto y como objeto de nuestro
30
12
31
2.1.3.5 COBIT
CB1.0
CB2.0
CB3.0
CB4.0
CB5.0
Determinar la alineacin de la
administracin de Riesgos
Entender los objetivos de negocio
estratgicos relevantes
Entender los objetivos de los procesos
de negocio relevantes
Identificar los objetivos internos de TI y
establecer el contexto del riesgo
Identificar eventos asociados con
objetivos
0.75
0.75 0.75
RANGO DE SELECCIN
SERVICIOS
FINANCIERO
LEGAL
RECURSO HUMANO
REDES Y
TELECOMUNICACIONES
BASES DE DATOS
SOFTWARE
ID
ACTIVIDAD
ELEMENTO DE TI
0.75 0.78 A
0.75
0.75
0.75
0.75 0.78 A
0.97 A
10
10
0.75
1
8.75
10
0.88
0.75 0.75
1
9.25 7.75
10
10
1
0.75
7
10
y de
COBIT 4.1, p. 10 - 11
32
de seguridad son catalogados por COBIT como primarios y los restantes como
secundarios.
As mismo, COBIT define en su marco de trabajo cuatro Recursos de TI14 que
deben ser gestionados al momento de Administrar los Riesgos: Aplicaciones,
Informacin, infraestructura y Personas. Esto hace que el modelo en la mayora
de actividades satisfaga la correspondencia con los Proyectos de TI, segn la
Tabla 11.
Otra de las caractersticas que hace que COBIT sea slido, es que su modelo es
continuo al momento de Gestionar el Riesgo en los proyectos y sus procesos liga
a los 4 dominios: Planear y Organizar (PO), Adquirir e Implantar (AI), Entregar y
dar Soporte (DS), Mantener y Evaluar (ME); y estable roles clasificados para cada
actividad, entre los principales tenemos: Director ejecutivo (CEO), Director
Financiero (CFO), Director de Informtica (CIO), Jefe de operaciones, Jefe de
desarrollo, Arquitecto de TI, Jefe de administracin de TI y la oficina o funcin de
administracin de proyectos (PMO).
Cabe destacar que COBIT en todo su proceso de Gobierno de TI, y en nuestro
caso, la Gestin del Riesgo (PO09), presenta una serie de mtricas para medir el
cumplimiento de las principales actividades de control de los dominios. Estas
mtricas tienen su propio plan de implementacin y el mismo es gradual y
depende de la criticidad del proceso a medir.
Aunque uno de los objetivos de COBIT al momento de Evaluar y Administrar los
Riesgos de TI, es expresar en trminos financieros a las partes interesadas para
permitirles alinear el riesgo a un nivel de tolerancia aceptable15, el CFO participa
activamente en dos de las diez actividades que Gestionan el Riesgo y en las
dems se mantiene al margen o simplemente es informado y/o consultado. Esto
hace que las inversiones y/o manejo de fondos dentro de un proyecto en
ejecucin sea
Mitigacin de Riesgos.
14
15
33
2.1.3.6 RISK IT
NIVEL DE PUNTUACION (NP)
ACTIVIDAD
0.75 0.5
0.91 A
0.75
RIT3.0
RANGO DE SELECCIN
REDES Y
TELECOMUNICACIONES
SERVICIOS
BASES DE DATOS
FINANCIERO
SOFTWARE
RIT1.0
LEGAL
RECURSO HUMANO
ID
HARDWARE
ELEMENTO DE TI
0.75 0.5
0.75
0.75
0.5
0.81 A
0.75
0.75 0.5
RIT8.0
0.75 0.75
0.94 A
0.75 0.75
7.25
0.91
34
relacin directa en todos sus procesos con COBIT y Val IT, es decir, COBIT se
encarga de gestionar todas las actividades relacionadas con TI en la organizacin
y Val IT describe cmo maximizar el retorno de la inversin cuando se identifican
las oportunidades de cambios del negocio relacionados con TI.
Podemos destacar que Risk IT define roles, responsabilidades y rendicin de
cuentas al momento de Gestionar el Riesgo. La funcin que destaca es la
creacin del CRO (del Ingls Chief Risk Officer) o Director de Riesgos, quien
supervisa todos los aspectos de la gestin del riesgo tanto de TI como de la
organizacin.
En cuanto a las actividades R3.0 y R7.0 de la Tabla 12, encontramos un nivel de
correspondencia parcial ya que el nivel de fluyo de trabajo y de comunicacin
entre el CEO, CFO, CIO y CRO es limitada respecto a temas de coordinacin
valor, riesgo y beneficios que la organizacin o proyecto obtiene a travs de sus
iniciativas de TI.
Respecto al tema financiero y legal, Risk IT en sus procesos es soportado por Val
IT y estos dos modelos trabajan juntos en este aspecto para identificar,
documentar y administrar los riesgos relacionados con TI. Conviene mencionar
que respecto al tema legal existe parcial correspondencia puesto que existen
pocos lineamientos respecto a contratos, licenciamiento y tributacin.
Risk IT no se no se limita a la seguridad de la informacin sino que tambin
considera temas de Retrasos en la entrega de proyectos, cumplimiento,
arquitectura de TI, problemas en la entrega de servicios de TI, entre otros.
35
2.1.3.7 OCTAVE
SERVICIOS
0.5
0.75
SOFTWARE
RANGO DE SELECCIN
FINANCIERO
LEGAL
0.75
RECURSO HUMANO
OC1.0
BASES DE DATOS
ID
ACTIVIDAD
REDES Y
TELECOMUNICACIONES
ELEMENTO DE TI
0.56 P
0.75 0.72 P
0.5
0.5
0.5
0.81 A
0.75
0.75
0.81 A
0.75 0.5
0.5
5.5
5.5
5.75
0.96
0.5
Esto permite la
36
16
17
37
BASES DE DATOS
REDES Y
TELECOMUNICACIONES
RECURSO HUMANO
LEGAL
FINANCIERO
SERVICIOS
0.5
0.5
0.88
0.5
0.5
0.88
0.75
0.78
ID
0.75 0.75
RANGO DE SELECCIN
SOFTWARE
ACTIVIDAD
HARDWARE
ELEMENTO DE TI
0.88
0.91
0.5
0.5
0.88
0.5
0.5
0.88
0.75
0.75
0.75 0.75
0.75
0.75 0.75
0.75
0.75 0.75
0.75
0.81
0.75 0.78
0.75
16
16
16
0.92
16
16
16
16
utiliza para
38
NIST 800-30 Risk Management Guide for Information Technology Systems (RMGITS), 2001: 9
NIST 800-30 RMGITS - Risk Mitigation Action Points, 2002: 28
20
NIST 800-30 RMGITS - Technical Security Controls, 2002: 33
19
39
relacionan entre ellos para mitigar el riesgo, entre ellas podemos mencionar:
identificacin nica de usuarios, procesos y recursos; criptografa, administracin
segura,
proteccin
de
los
sistemas
mediante
privilegios;
autenticacin,
0.78
0.75
0.5
0.75
0.75 0.75
RANGO DE SELECCIN
0.5 0.75
SERVICIOS
LEGAL
0.75
FINANCIERO
RECURSO HUMANO
ACTIVIDAD
REDES Y
TELECOMUNICACIONES
SOFTWARE
ID
BASES DE DATOS
ELEMENTO DE TI
0.81
0.81
0.91
0.75
0.94
0.75
0.75
0.97
0.75
0.97
0.75
0.75
0.94
0.75
0.97
0.75
0.97
SUMA TOTAL DE VALORES ASIGNADOS 10.3 10.3 10.3 10.25 9.25 9.25 9.5 10.8 9.97 N/A N/A N/A N/A
NUMERO TOTAL DE ACTIVIDADES 11
11
11
11
0.93
11
11
11
11
40
Estos tres libros se encuentran enlazados por conceptos que son puntuales en el
desarrollo, por ejemplo: Anlisis coste-beneficio (ver "Gua de Tcnicas" 3.1) o
Catlogos de amenazas (ver "Catlogo de Elementos", captulo 5)21.
Una de las caractersticas que presenta MAGERIT en la fase de Planificacin es
que su meta es concientizar a los Directivos sobre la importancia de contar con
una herramienta que Gestione el Riesgo Tecnolgico y que sta se encuentre
alineada con la Planificacin Estratgica de la Organizacin. As mismo en esta
primera fase MAGERIT proporciona una serie de actividades y tareas para
estructurar y definir un Proyecto de Anlisis y Gestin de Riesgos (AGR)22,
tomando en cuenta el perfil y responsabilidad del recurso humano participante en
todo el proceso, alcance del Proyecto AGR, recursos necesarios para la ejecucin
y criterios de evaluacin dependiendo de los activos.
En la segunda fase, Anlisis, MAGERIT se orienta en la identificacin de los
activos, amenazas y salvaguardas, todo esto para obtener informacin necesaria
y realizar estimaciones de riesgo. Cabe indicar las estimaciones de riesgo en toda
la metodologa son expresadas en valores econmicos, y por consiguiente las
decisiones que deban tomarse y que tengan que ser validadas por los Directivos
estarn fundamentadas y sern argumentadas desde un punto de vista financiero.
21
22
41
23
42
SERVICIOS
FINANCIERO
LEGAL
RECURSO HUMANO
REDES Y
TELECOMUNICACIONES
BASES DE DATOS
SOFTWARE
MEJOR
PRACTICA
HARDWARE
ELEMENTO DE TI
CMMI
SPICE
PMBOK
PRINCE2
COBIT
RISK IT
OCTAVE
NIST 800-30
MAGERIT
No Cumple
Parcial
Adecuado
Completo
LEYENDA:
Tabla 16. Comparativa de Mejores Prcticas que Gestionan el Riesgo Nivel de Puntuacin (NP)
27
43
SERVICIOS
FINANCIERO
LEGAL
RECURSO HUMANO
REDES Y
TELECOMUNICACIONES
BASES DE DATOS
MEJOR
PRACTICA
SOFTWARE
HARDWARE
ELEMENTO DE TI
CMMI
SPICE
PMBOK
PRINCE2
COBIT
RISK IT
OCTAVE
NIST 800-30
MAGERIT
Insatisfactorio
Satisfactorio
LEYENDA:
Tabla 17. Comparativa de Mejores Prcticas que Gestionan el Riesgo Rango de Seleccin
44
Figura 3. Comparativa de Mejores Prcticas que Gestionan el Riesgo Escala de Medicin (EM)
45
A base de la Tabla 16, 17 y Figura 3, podemos destacar que COBIT, RISK IT,
OCTAVE, NIST 800-30 y MAGERIT alcanzan niveles de correspondencia
satisfactorios al momento de Gestionar el Riesgo con respecto al: Hardware,
Software, Bases de Datos, Redes y Telecomunicaciones. De igual manera CMMI
y SPICE alcanzan el nivel satisfactorio cuando se trata de la Gestin del ciclo de
vida del Software y Bases de Datos.
Aquellas buenas prcticas que podemos recalcar al momento de Administrar el
Recurso Humano son PMBOK, COBIT, NIST 800-30 y MAGERIT. Estos modelos
y metodologas al Gestionar el Riesgo matizan su accin definiendo un equipo de
trabajo con perfiles y competencias para los proyectos, con su respectiva
asignacin de funciones y responsabilidades apoyadas por una matriz RACI28
dando respuesta inmediata a los impactos sobre los objetivos del proyecto.
Respecto al tema Legal, COBIT y MAGERIT encabezan la lista cubriendo temas
de Seguridad y Normativa de la Informacin. Sin embargo, una de las bondades
que presenta MAGERIT es que la alineacin de las leyes y normativas se basan
segn requerimientos tcnicos-gubernamentales cubriendo temas que no tratan
otras buenas prcticas como: Contratos, Licenciamiento, Derechos de Autor,
Contratacin de Personal, Impuestos, Proteccin de datos de carcter personal,
entre otros que pueden servir como referencia segn el rea de aplicabilidad y
ejercicio.
El trato con las finanzas, es un tema que las buenas prcticas evaluadas en esta
investigacin adolecen con la excepcin de PMBOK y MAGERIT que sobrepasan
el umbral definido en este documento (75% para obtener niveles adecuados de
correspondencia). Un caso particular es COBIT y RISK IT los cuales son
apoyados directamente por Val IT.
En cuanto a la correspondencia de los Servicios, cada modelo y metodologa se
orienta segn su doctrina y mbito de aplicacin, por ejemplo CMMI y SPICE al
desarrollo de aplicaciones y soluciones automatizadas, PMBOK y PRINCE2 a la
28
RACI, del ingls: Responsible, Accountable, Consulted, Informed (Responsable, Aprobador, Consultado,
Informado)
46
gestin del proyecto como tal; COBIT y RISK IT en la alineacin de los objetivos
de la organizacin con la Tecnologa de la Informacin; OCTAVE, NIST 800-30 y
MAGERIT en el Anlisis y Gestin del Riesgo cuando se hace uso de la TI.
A base de lo anterior, se analiza cada uno de los modelos y metodologas:
Segn la Figura 4, en la Gestin del Riesgo CMMI y SPICE son herramientas que
brindan soporte adecuado en proyectos que implican Ingeniera de Software (SW,
BD y S), considerando que los procesos de gestin y organizativos buscan un
mayor nivel de madurez o capacidad. En la Administracin de Proyectos ambos
modelos gestionan sus actividades en un marco de actividades para cumplir los
requerimientos de usuario y servicios de informacin siendo la base la
arquitectura tecnolgica.
Estos modelos son buenas referencias para planificar, gestionar, controlar y
mejorar procesos de adquisicin, desarrollo, operacin, soporte y mantenimiento
de productos para el comercio internacional de software.
47
48
En la Figura 6, podemos observar que COBIT y RISK IT son modelos que cubren
gran parte del rea al momento de Gestionar los Riesgos en proyectos que
involucran Tecnologas de informacin y Comunicaciones.
En estos dos modelos que pertenecen a la misma familia existe un balance
caracterstico en los elementos tcnicos/administrativos, COBIT en el aspecto
Financiero, Legal y del Recurso Humano alcanza niveles superiores; RISK IT por
su parte con los elementos de tecnologa (HW, SW, BD y COM) y Servicios.
Esto no quiere decir que el uno sea superior al otro puesto que existen varios
acpites de dependencia entre RISK IT y COBIT. Es importante mencionar que al
momento de realizar esta investigacin ISACA ha evolucionado el concepto de
gobernanza sobre TI anunciando la elaboracin de la versin 5 de COBIT29, que
integrar los siguientes Framewoks30: COBIT, Val IT, RISK IT, ITAF31 y BMIS32.
29
www.isaca.org/cobit5
COBIT 5: The Framework Exposure Draft, 2011: 10
31
ITAK: IT Assurance Framewok (Marco de Aseguramiento de TI. Proporciona orientacin y asistencia a las empresas.)
32
BMIS: Business Model for Information Security (Modelo de Negocio para la Seguridad de la Informacin)
30
49
Figura 7. OCTAVE & NIST 800-30 & MAGERIT - Gestin del Riesgo de TI
50
Los criterios de seguridad que son la base para realizar el anlisis y valorar la
materializacin de amenazas e impactos sobre los Elementos de TI se muestran
en la siguiente tabla:
CRITERIO
COBIT
OCTAVE
NIST 800-30
MAGERIT
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
AUTENTICIDAD
TRAZABILIDAD
EFECTIVIDAD
EFICIENCIA
CUMPLIMIENTO
CONFIABILIDAD
51
1 n
Xi
np i =1
52
CMMI CM
SPICE SP
PMBOK PB
PRINCE2 PC
COBIT CB
RISK IT RIT
OCTAVE OC
NIST 800-30 NT
MAGERIT MG
53
EscalaDeMedicin Actividad
Dnde
1 p
= Xi
p i =1
p: Elementos de TI ([HW], [SW], [BD], [COM], [RH], [L], [F], [S]), constante=8
Xi: representa cada uno de los valores asignados
SOFTWARE
BASES DE DATOS
REDES Y
TELECOMUNICACIONES
RECURSO HUMANO
LEGAL
FINANCIERO
CMMI
0.75
0.75
0.75
0.5
0.5
CMMI
0.75
0.5
0.5
0.75
0.81
SPICE
SP5.3
0.75
0.5
0.5
0.75
0.81
0.75
0.75 0.75
MEJOR
PRACTICA
ID
Identificar riesgos
SERVICIOS
HARDWARE
ELEMENTO DE TI
0.75 0.75
COBIT
CB1.0
COBIT
CB2.0
COBIT
CB3.0
COBIT
CB5.0
COBIT
CB6.0
COBIT
CB7.0
COBIT
CB8.0
0.75
0.75
0.75 0.78
0.75
0.75
0.5
0.75 0.75
0.75
0.5
0.75 0.88
0.75
0.5
0.75 0.88
RISKIT
RISKIT
0.75 0.75
0.5
0.75 0.84
RISKIT
0.75
0.5
0.5
0.75 0.81
RISKIT
0.75
0.75
RISKIT
COBIT
COBIT
RISKIT
0.75 0.75
0.75 0.75
0.75
0.75 0.75
1
0.5
1
0.75
0.5
1
0.75 0.78
1
0.97
0.75 0.84
1
0.91
0.5
0.81
0.75 0.75
0.94
OCTAVE
OC3.0
0.5
0.5
0.5
0.81
OCTAVE
OC4.0
0.75
0.75
0.81
OCTAVE
OC5.0
0.75
0.5
0.5
0.75 0.81
OCTAVE
OC6.0
0.5
0.5
0.5
0.75 0.78
NIST 800-30
NT1.1
0.5
0.5
0.88
NIST 800-30
NT1.2
0.5
0.5
0.88
NIST 800-30
NT1.3
NIST 800-30
NT1.4
0.75
0.75
0.5
0.75
0.78
NIST 800-30
NT1.5
0.75
0.5
0.75
0.88
NIST 800-30
NT1.6
0.91
0.75 0.75
RECURSO HUMANO
LEGAL
FINANCIERO
SERVICIOS
NT1.7
0.75
0.5
0.75
0.5
0.81
NIST 800-30
NT1.8
0.5
0.5
0.88
NIST 800-30
NT1.9
0.5
0.5
0.88
NIST 800-30
NT2.1
0.75
NIST 800-30
NT2.2
NIST 800-30
NT2.3
NIST 800-30
NT2.4
NIST 800-30
NT2.5
NIST 800-30
NT2.6
NIST 800-30
NT2.7
0.75 0.75
1
BASES DE DATOS
NIST 800-30
SOFTWARE
ID
HARDWARE
MEJOR
PRACTICA
REDES Y
TELECOMUNICACIONES
ELEMENTO DE TI
54
0.75
0.75 0.75
0.75
0.75 0.75
0.75
0.75
0.81
0.75 0.78
1
0.75
MAGERIT
0.75
0.5
0.75
0.78
MAGERIT
0.75
0.5
0.81
MAGERIT
0.75
0.75 0.75
0.81
MAGERIT
MAGERIT
0.91
MAGERIT
0.75
0.75
0.94
MAGERIT
0.75
0.97
MAGERIT
0.75
0.97
MAGERIT
0.75
0.75
0.94
MAGERIT
0.75
0.97
MAGERIT
0.75
0.97
55
56
2.1.5.1.1Especificacin de la Gua
La siguiente informacin se proporciona para lograr que los profesionales de TI
puedan utilizar esta herramienta de manera gil y que las tcnicas que
actualmente se aplican en la Gestin de Riesgos sean presentadas en funcin de
las mejores prcticas.
Es importante indicar que en el Anexo C de este documento se adjunta un CD
con los manuales de todos los modelos y metodologas tratadas en esta
investigacin.
Proceso 1: Marco General de Referencia del Proyecto
Objetivos:
Determinar los objetivos del proyecto
57
33
El Comit de Proyecto representa los niveles directivos de Negocio, Usuario y Proveedor interesados en el
proyecto. Sus miembros debern poseer cierta autoridad, ya que son los que tomarn decisiones y sern
responsables del compromiso de los recursos. (PRINCE2 Manual, 3rd Edition, 2002: 195)
58
59
60
34
Director de control/seguimiento: Fiscalizacin, tambin conocido como Project Control Manager (PCM)
61
Cuantitativo
Cuantitativo
Clculos
Numricos
No Numricos
Aplicable
No siempre
Siempre
Concreto
Subjetivo
Anlisis Costo/Beneficio
Objetividad
Comprensible por la direccin
Alta
Baja
Mayor
Menor
62
en
formato
monetario
duracin
(segundos/minutos/hora/das/semanas/meses).
Cualitativamente el impacto se lo puede expresar mediante una escala de valores,
por ejemplo: Muy Alto, Alto, Medio, Bajo y Muy Bajo. (Ver NIST 800-30, Fase 6
Impact Analysis, p. 21)
Actividad 2.6: Analizar, Estimar y Priorizar el Riesgo
Una vez que se ha obtenido toda la informacin de las actividades anteriores, se
procede a analizar, cuantificar y priorizar los riesgos en comparacin con el
criterio para la aceptacin del riesgo y los objetivos relevantes para el proyecto.
63
Ejemplo Cuantitativo:
CARACTERISTICA
ACTIVO:
VALOR DEL ACTIVO:
VULNERABILIDAD:
AMENAZA:
PROBABILIDAD DE
OCURRENCIA:
SALVAGUARDA:
IMPACTO:
INFORMACIN
Servidor de aplicaciones
$10,000 USD
Material inflamable en el Centro de Procesamiento de Datos
Incendio
Datos Histricos: En los ltimos 10 aos se han producido 5
principios de incendio en la organizacin (0.5).
Sistema de deteccin / extincin de incendios
Degradacin Baja, 20% del valor del activo ($2,000 USD)
Riesgo = 0.5 * $2,000 = $1,000
IMPACTO
MUY ALTO
ALTO
MEDIO
BAJO
MUY BAJO
MUY FRECUENTE
FRECUENTE
NORMAL
POCO FRECUENTE
10%
ME
B
MB
MB
MB
MA
A
ME
B
MB
RIESGO
IMPACTO
MUY ALTO
MA
ALTO
A
MEDIO
ME
BAJO
B
MUY BAJO
MB
PROBABILIDAD DE OCURRENCIA
MF
F
N
PF
DEGRADACION
50%
100%
A
MA
ME
A
B
ME
MB
B
MB
MB
PROBABILIDAD DE OCURRENCIA
MF
MA
MA
A
M
B
F
MA
A
ME
B
MB
N
A
ME
B
MB
MB
PF
ME
B
B
MB
MB
RIESGO
MUY ALTO
ALTO
MEDIO
BAJO
MUY BAJO
MA
A
ME
B
MB
64
CARACTERISTICA
ACTIVO:
VALOR DEL ACTIVO:
VULNERABILIDAD:
AMENAZA:
INFORMACIN
PROBABILIDAD DE
OCURRENCIA:
IMPACTO:
65
Anlisis Coste - Beneficio (Ver MAGERIT Libro III - Gua de Tcnicas, 3.1,
p. 26; NIST 800-30, Cost-Benefit Analysis, 4.5, p.37)
Participantes:
Director de Riesgos (CRO)
Director Ejecutivo (CEO)
Comit de Proyecto
Actividad 3.1 Interpretacin de los Resultados
Procesar los impactos y riesgos identificados en el proceso anterior, y definir los
umbrales de riesgo considerados como aceptables o inaceptables. Es importante
indicar que el miembro del equipo de trabajo en definir el umbral de riesgo es el
Director de Riesgos del Proyecto, y este debe informar y acordar con la Direccin
Ejecutiva, y en reunin de trabajo comunicar al resto del Equipo. La Direccin
Ejecutiva por su parte comunicar al Comit de Proyecto.
Esta cadena de comunicacin permitir que todos los involucrados tengan un
conocimiento suficiente del entorno, situacin y organizacin del proyecto para
aumentar la eficacia y eficiencia de los miembros.
Los Riesgos que han sido declarados como inaceptables se los tratar de la
siguiente manera:
a.) Mitigacin: Implementar controles/salvaguardas que reduzcan el Riesgo
sea en la probabilidad de ocurrencia o en el impacto.
Para aquello la
66
b.) Aceptacin: Asumir los riesgos que se encuentran fuera del nivel
aceptable del proyecto. Esta decisin lo tomar la mxima autoridad, es
decir, el Comit de Proyecto. Es necesario definir un documento/acta en
donde se plasmen los acuerdos, la responsabilidad y el alcance de
aceptacin; con el nico objetivo de tener respaldos de compromiso dentro
del proyecto.
c.) Transferencia: Compartir parte del Riesgo con terceras partes
d.) Evitacin: Eliminar la actividad que crea el riesgo (cuando esto sea
practicable), de manera que el mismo ya no exista
El juicio de expertos en esta actividad es importante y el manejo de resultados
debe ser transparente (Ver NIST 800-30, Results Documentation, Fase 9, p.26).
El Anlisis de decisiones a base de la teora de Probabilidad y Estadstica es otra
de las tcnicas a tomar en cuenta en esta fase (Ver MAGERIT Libro III - Gua de
Tcnicas, 3.7.3.1, p. 70).
Actividad 3.2 Plan de Gestin del Riesgo
A base del anlisis de las mejores prcticas, la estructura del documento del Plan
de Gestin del Riesgo que proponemos es la siguiente:
1. Introduccin
2. Marco de Referencia
3. Objetivo
3.1 Objetivo General
3.2 Objetivos Especficos.
4. Alcance
5. Responsabilidades
6. Salvaguardas a implantar
7. Presupuesto
8. Plazos de Ejecucin
Al momento de desarrollar el Plan de gestin de Riesgos se debe detallar:
67
68
CAPITULO 3
APLICACIN DE LA GUA Y ANLISIS DE RESULTADOS
Una vez definida la Gua de Gestin de Riesgos en el captulo anterior, se
proceder a aplicar la gua a un Proyecto que integre las Tecnologas de
Informacin y las Comunicaciones considerando los Elementos IT definidos, es
decir, Hardware [HW], Software [SW], Bases de Datos [BD], Redes y
Telecomunicaciones [COM], Recurso Humano [RH], Legal [L], Financiero [F] y
Servicios [S].
de
entrada
contaremos
con
la
documentacin
del
proyecto
69
35
http://plataforma.planamanecer.com/
70
promocin
difusin
del
proyecto);
Formacin
71
Planes Contractuales:
Plan de Ejecucin: Acciones y nivel de prioridad para cumplir los objetivos.
Plan Operativo: Conjunto de actividades de carcter administrativo,
operativo y logstico en el que se especifican los responsables y los fondos
para alcanzar las metas planteadas segn el cronograma del proyecto.
Adquisicin, Instalacin y Operacin:
El equipamiento completo ser adquirido (por acuerdo gubernamental y de crdito
entre Ecuador y Espaa) en Europa, sin embargo, si algn elemento, equipo y/o
suministro que sea necesario para cumplir con los objetivos del proyecto y que
tenga mejores prestaciones, se lo podr adquirir en el Ecuador. El ejecutor
realizar el cambio tecnolgico debidamente justificado a la Unidad de Control del
Proyecto.
3.1.2 ESTABLECER EL CONTEXTO ORGANIZACIONAL Y REAS CRTICAS
La organizacin que ejecutar el proyecto ser un Consorcio (Eductrade y
Santillana) de nacionalidad espaola, con oficinas y personal Directivo en Quito.
Adicional al equipo de Espaa la empresa ha dispuesto que su personal
especialista de Argentina se radique en Quito, para establecer lineamientos de
capacitacin, soporte y estrategia para la entrega-recepcin y operacin del
equipamiento tecnolgico y de comunicaciones del proyecto.
Por su parte el Gobierno de la Repblica del Ecuador, ha dispuesto la
organizacin de un equipo de trabajo coordinado por los Ministerios de Gobierno y
Educacin para el control, fiscalizacin y Direccin del personal. La Direccin
72
Ejecutiva del Proyecto ser dirigida por el ente gobernante en las instituciones
beneficiadas fisco-misionales, Conferencia Episcopal Ecuatoriana.
En el Anexo G de este documento se encuentra una tabla resumen del marco
legal del proyecto Plan Amanecer.
El Consorcio ejecutor del Proyecto deber entregar como hitos de inicio de
proyecto los siguientes documentos:
Cronograma de Proyecto
Plan estratgico de TI
Plan de Gestin de Riesgos
Plan de Gestin de proveedores
Directrices
de
administracin
acciones
correctivas
de
riesgos
rea
Servidor (LOSEP)
Proyecto
N/A
Director de Proyecto
Proyecto
4NJS
Proyecto
4NJS
Proyecto
Servidor Pblico 14
Analista de TI - Fiscalizador
Proyecto
Servidor Pblico 5
Especialista Web
Portal
Servidor Pblico 8
Especialista de Comunicaciones
Redes y Comunicaciones
Servidor Pblico 8
Especialista de E-learning
Plataforma
Servidor Pblico 8
Especialista de Formacin
Capacitacin
Servidor Pblico 8
73
Personal
rea
Servidor (LOSEP)
Especialista Equipamiento
Bienes y Servicios
Servidor Pblico 8
Especialista Animacin
Software Educativo
Servidor Pblico 8
Especialista Administrativo
Finanzas, logstica
Servidor Pblico 8
Coordinador Tcnico
Coordinacin Proyecto
Servidor Pblico 14
Representante
Tcnico Director de
Proyecto
Daniel Lozano
Responsable
Comunicaciones
Gustavo Siles
Responsable
Equipamiento
Jos Luis Galeote
Responsable
Portal
Manuela Lara
Responsable
Plataforma
Rosana
Rodriguez
Responsable
Formacin Virtual y
a Distancia
Rosana Rodriguez
Responsable
Formacin
Gregorio Anta
Luisa Parra
Responsable
Evaluacin
Gregorio Anta
Responsable
Software Educativo
Manuela Lara
Responsable
Seguimiento
Incidencias
Leonardo
Rodriguez
EQUIPO ESPAA
CPC
Unidad de
Gestin
Pedaggica
Responsable Apoyo
Administrativo
Juan Cavallo
Apoyo
Organizacin y
Logstica
Patricia Merediz
Coordinador Tcnico
Juan Pablo Dentesano
Secretaria
Apoyo Tcnico
Unidad de
Gestin Tcnica
Red de Tcnicos
Diocesanos
Apoyo trmites
Coordina
Equipo tcnico
proveedores
SANTILLANA ECUADOR
Juan Pablo Polit
PROVEEDORES
Santillana
Microsoft
Hewlet Packard
Dell
Novadevices
Hispasat
Otros
3.1.4 RECURSOS
Esta actividad se refiere a determinar y estimar el costo de los materiales,
equipos, software y suministros, en este caso para ejecutar el proyecto durante 24
meses.
74
tem
Cantidad
Descripcin
Costo
Unitario
Tiempo
de Vida
Tiempo
Proyecto
Prorrateo
(meses
de
proyecto /
tiempo
vida)
Valor
(cantidad*
costo
unitario
*prorrateo)
Adquisicin de
PCs
Adquisicin de
Laptops
Adquisicin de
software
20
Estacin de Trabajo
1,500.00
24
24
30,000.00
10
1,200.00
24
24
12,000.00
22,500.00
24
24
675,000.00
Gastos de
mantenimiento
de hardware y
software
anteriores.
Gastos de
comunicaciones
Gastos de
instalacin
Porttiles para
Directivos
Licenciamiento SO,
Ofimtica,
Proyectos
Mantenimiento
anual
10,000.00
12
24
20,000.00
13,200.00
12
24
26,400.00
50,000.00
12
24
100,000.00
Recursos
Humanos
20
1,500.00
12
24
60,000.00
Gastos de
consultora
20
12
24
200,000.00
Gastos de
formacin
10
12
24
30,000.00
Gastos de
material
24
24
480.00
Costes
derivados de la
curva de
aprendizaje
20
24
24
20,000.00
Costes
financieros
salvauardas a
identificar
En caso de
5,000.00
requerirse algn
consultor externo
en cualquier etapa
del proyecto.
De todo tipo
1,500.00
(Desarrolladores,
Operadores,
Implantadores,
Usuario Final,etc.).
Papel, toner,
60.00
material de oficina,
etc.
De todo el personal
1,000.00
involucrado:
Desarrolladores,
Instaladores,
especialistas
Proyeccin en
300,000.00
funin del costo
total del proyecto
(1%)
TOTAL
24
24
300,000.00
30
1
1
Lneas, telfono,
correo, Internet, etc.
Acondicionamiento
de oficinas y
materiales, gastos
de viaje, logstica,
etc.
Personal de
Operativo del
Proyecto
(Directores y
especialistas dentro
del rubro de
Proyecto)
1,473,880.00
75
Descripcin
De Director a
Unidad
Ejecutora
De Unidad
Ejecutora a
Consorcio
De Project
Control Manager
a Unidad
Ejecutora a
Consorcio
Referencia del
Oficio
Formato Numeracin
Ejemplo
#-DP-ao
#-PA-ao
#-PA/FIS-ao
Envo
De:
Para:
Asunto: Codificacin
Categora - Actividad
De: director.proyecto@eductrade.com
Para: director.ejecutivo@planamanecer.com
Asunto: CAT01 - Instalacin Aulas
Definiciones,
Negociaciones y
Acuerdos en
Reuniones de
Trabajo
Lugar:
Fecha:
Objeto:
Orden del da:
Asisten:
Actas
Tablas
de
Riesgos
IMPACTO
Valores para
cada tipo de
Riesgo - datos
Cualitativos
Para informacin
se agrega este
campo. Es
importante
indicar que si el
anlisis es
cuantitativo este
campo no aplica.
MUY ALTO
ALTO
MEDIO
BAJO
MUY BAJO
10%
ME
B
MB
MB
MB
MA
A
ME
B
MB
RIESGO
IMPACTO
MUY ALTO
MA
ALTO
A
MEDIO
ME
BAJO
B
MUY BAJO
MB
DEGRADACION
50%
100%
A
MA
ME
A
B
ME
MB
B
MB
MB
PROBABILIDAD DE OCURRENCIA
MF
MA
MA
A
M
B
F
MA
A
ME
B
MB
N
A
ME
B
MB
MB
PF
ME
B
B
MB
MB
76
Tipo
Descripcin
Formato Numeracin
Riesgos
Riesgo
Cualitativo
(Si los activos
son ms de 10,
estandarizar
mediante tablas)
Caracterstica:
Activo:
Valor del activo:
Vulnerabilidad:
Amenaza:
Probabilidad de
ocurrencia:
Salvaguarda:
Impacto:
Ejemplo
Caracterstica: informacin
Activo: Servidor de Aplicaciones
Valor del activo: $10,000 USD
Vulnerabilidad: Material inflamable en el centro de
procesamiento de datos
Amenaza: Incendio
Probabilidad de ocurrencia: Datos histricos: en los
ltimos 10 aos se han producido 5 principios de
incendio en la organizacin (0.5).
Salvaguarda: Sistema de deteccin / extincin de
incendios
Degradacin: 20% del valor del activo
Impacto: $2,000 USD
Riesgo: Probabilidad * Impacto
Riesgo= 0.5*$2,000=$1,000 USD
Riesgo
Cuantitativo (Si
los activos son
ms de 10,
estandarizar
mediante tablas)
Para informacin
se agrega este
campo. Es
importante
indicar que si el
anlisis es
cuantitativo este
campo no aplica.
Caracterstica:
Activo:
Valor del activo:
Vulnerabilidad:
Amenaza:
Probabilidad de
ocurrencia:
Salvaguarda:
Impacto:
Caracterstica: informacin
Activo: Servidor de base de datos
Valor del activo: Muy alto (MA)
Vulnerabilidad: Antivirus desactualizado
Amenaza: Virus
Probabilidad de ocurrencia: Indicadores de
mercado: los ataques de virus son frecuentes (F)
Salvaguarda: Software de deteccin de actividades
anormales en la red y servidores
Degradacin: 100%
Impacto: Sobre la base de la tabla anterior, si el
valor de impacto es muy alto (MA) y la degradacin
es al 100% entonces el impacto terminal ser muy
alto (MA).
Riesgo= Probabilidad * Impacto
Riesgo= Frecuente*Muy Alto = Muy Alto
77
Hardware [HW]
Software [SW]
Bases de Datos [BD]
Redes y Telecomunicaciones [COM]
Recurso Humano [RH]
Legal [L]
Financiero [F]
Servicios [S]
Por la cantidad de informacin generada, una vez identificado los activos de TI del
Proyecto Plan Amanecer, todos los datos se encuentran en el CD adjunto a esta
investigacin (ANEXO C).
La siguiente Tabla muestra un extracto de la informacin para que el lector pueda
identificar los parmetros considerados:
78
AREA DE
GESTION
HARDWARE
HARDWARE
HARDWARE
No.
ACTIVO
1
3
43
ACTIVO
CANT.
TOTAL
1132
COMPUTADOR PERSONAL
COMPUTADOR PERSONAL
MARCA
DELL
DELL
4098
MONITOR 17"
NOVADEVICES
28
OFFICE 2007
MICROSOFT
5713
OFFICE 2007
MICROSOFT
4098
WINDOWS
MICROSOFT
7
MONITORES
DESCRIPCION ACTIVO
MODELO
OPTIPLEX
GX520
PRECISION
690
VALOR
UNITARIO
943.71
2,968.10
L-7D
113.06
OFFICE 2007
PRO
OFFICE 2007
ESTNDAR
WINDOWS
VISTA STD
140.45
VALOR
TOTAL
1,068,279.72
20,776.70
463,319.88
SOFTWARE
SOFTWARE
SOFTWARE
49
50
55
OFIMTICA
SISTEMA OPERATIVO
3,932.60
118.07
674,533.91
130.55
534,993.90
BASES DE
DATOS
BASES DE
DATOS
REDES Y
TELECOMUNI
CACIONES
92
102
132
GESTION DE PROYECTO
N/A
N/A
201.76
201.76
DATOS DE CONFIGURACIN
N/A
N/A
64.20
64.20
REDES LOCALES
N/A
N/A
11,713.82
11,713.82
ADMINISTRADORES DE SISTEMAS
PERSONAL CPC
N/A
N/A
30,418.82
60,837.64
PERSONAL CPC
N/A
N/A
12,167.53
60,837.64
4098
NOVADEVICES
303.09
1,242,070.22
428
DELL
2,543.34
1,088,549.52
11,500
N/A
N/A
5.10
58,650.00
SOPORTE TCNICO
N/A
N/A
156,721.41
156,721.41
N/A
N/A
78,360.70
78,360.70
RECURSO
HUMANO
RECURSO
HUMANO
139
140
LEGAL
LEGAL
151
152
GARANTA GARANTAS
KYPUS THIN
CLIENT
POWER EDGE
SC440
FINANCIERO
168
SERVICIOS
SERVICIOS
171
180
79
DESCRIPCION ACTIVO
COMPUTADOR PERSONAL
SERVIDOR DE
APLICACIONES
CANT.
TOTAL
VULNERABILIDAD
AMENAZA
1132
INFRAESTRUCTURA
INSTALACIONES INADECUADAS
DIMENSIONAMIENTO DE HW
DEFECTO DE FABRICACIN
ANTIVIRUS DESACTUALIZADO
ROBO
ATAQUE FISICO
AVERA
VIRUS
428
INSTALACIONES INADECUADAS
CONTRASEAS DBILES
FALTA DE USO DE CRIPTOGRAFA EN LA
COMUNICACIN
COMPARTIMIENTO DE IDENTIFICADORES TALES COMO
NOMBRE DE USUARIO O CREDENCIAL DE ACCESO,
ETC
EMPLEADOS DESCONTENTOS, DELICUENTES
AUSENCIA DE IDENTIFICACIN DE PERSONAS Y DE
LOCALES, ETC
INFRAESTRUCTURA
DIMENSIONAMIENTO DE HW
DEFECTO DE FABRICACIN
ANTIVIRUS DESACTUALIZADO
ACCESO NO PERMITIDO
MODIFICACIN DE DATOS
MALINTENCIONADA.
SUPLANTACIN DE IDENTIDAD
INTRODUCCIN DE DATOS
INCORRECTOS
ATAQUE FISICO
AVERA
VIRUS
CONTRASEAS DBILES,
FALTA DE USO DE CRIPTOGRAFA EN LA
COMUNICACIN,
COMPARTIMIENTO DE IDENTIFICADORES TALES COMO
NOMBRE DE USUARIO O CREDENCIAL DE ACCESO,
ETC.
USO INCORRECTO
LA AUSENCIA DE SISTEMAS DE CIFRADO
(ENCRIPTACIN) EN LAS COMUNICACIONES QUE
PUDIERAN PERMITIR QUE PERSONAS AJENAS A LA
ORGANIZACIN OBTENGAN INFORMACIN
PRIVILEGIADA.
LA MALA ELECCIN DE SISTEMAS DE COMUNICACIN
PARA ENVO DE MENSAJES DE ALTA PRIORIDAD DE LA
EMPRESA PUDIERA PROVOCAR QUE NO ALCANZARAN
EL DESTINO ESPERADO O BIEN SE INTERCEPTARA EL
MENSAJE EN SU TRNSITO.
CAMBIO DE LA NORMATIVA/LEYES
NUEVA POLITICA
SUPLANTACIN DE IDENTIDAD
INTRODUCCIN DE DATOS
INCORRECTOS
DESCARGA DE DATOS EN DESTINO
INAPROPIADO
BORRADO DE DATOS
ACCESO NO PERMITIDO A LA
COMUNICACIN
ERROR EN LA COMUNICACIN
ACCESO NO PERMITIDO A LA BASE
DE DATOS
CAMBIO DE REQUISITOS
60
..
PLATAFORMA ELEARNING
80
No.
ACTIVO
110
DESCRIPCION ACTIVO
PORTAL EDUCATIVO
CANT.
TOTAL
VULNERABILIDAD
AMENAZA
INSTALACIONES INADECUADAS
CONTRASEAS DBILES
FALTA DE USO DE CRIPTOGRAFA EN LA
COMUNICACIN
COMPARTIMIENTO DE IDENTIFICADORES TALES COMO
NOMBRE DE USUARIO O CREDENCIAL DE ACCESO,
ETC
EMPLEADOS DESCONTENTOS, DELICUENTES
AUSENCIA DE IDENTIFICACIN DE PERSONAS Y DE
LOCALES, ETC
INFRAESTRUCTURA
DIMENSIONAMIENTO DE HW
DEFECTO DE FABRICACIN
ACCESO NO PERMITIDO
MODIFICACIN DE DATOS
MALINTENCIONADA
INTRODUCCIN DE DATOS
INCORRECTOS
DESCARGA DE DATOS EN DESTINO
INAPROPIADO
BORRADO DE DATOS
ROBO
DESTRUCCIN
ACCESO NO PERMITIDO A LA BASE
DE DATOS
428
DISPONIBILIDAD DE SERVICIO
ACCESO NO PERMITIDO A LA
COMUNICACIN
ERROR EN LA COMUNICACIN
MODIFICACIN DE DATOS
MALINTENCIONADA
SUPLANTACIN DE IDENTIDAD
INTRODUCCIN DE DATOS
INCORRECTOS
HACKING
INGENIERA SOCIAL
INTRUSIONES AL SISTEMA
CONTRASEAS DBILES
FALTA DE USO DE CRIPTOGRAFA EN LA
COMUNICACIN
COMPARTIMIENTO DE IDENTIFICADORES TALES COMO
NOMBRE DE USUARIO O CREDENCIAL DE ACCESO,
ETC
EMPLEADOS DESCONTENTOS, DELICUENTES
ACCESO NO AUTORIZADO
CURIOSIDAD
INGENIERA SOCIAL
GANANCIA MONETARIA
ERRORES NO INTENCIONALES
ESPIONAJE DE INFORMACIN
CONFIDENCIAL
FRAUDE
CUMPLIMIENTO DE LA NORMATIVA
INTERNA
CUMPLIMIENTO DE LA NORMATIVA
EXTERNA
DEFECTOS PROVOCADOS POR EL
MAL USO DEL PRODUCTO
INFRAESTRUCTURA
INSTALACIONES INADECUADAS
RESOLUCION POLITICA
CAMBIO EN LA ECONOMIA
MANIFESTACIONES DE LA NATURALEZA COMO
TERREMOTOS, MAREMOTOS, HURACANES, ETC
CAMBIO DE LA NORMATIVA / SEGUROS
ROBO
HUELGA
TERREMOTO
INUNDACION
CIERRE DE VIAS (POR HUELGA,
MANTENIMIENTO)
PERMISOS ESPECIALES
(NORMATIVA)
INCREMENTO DE COSTES
DISPONIBILIDAD DE SERVICIO
SOPORTE TECNICO
133
ENLACES SATELITALES
..
140
PERSONAL CPC
151
GARANTIAS COMPUTADOR
ESTUDIANTE TIPO THIN
CLIENT
4098
169
TRASLADO EQUIPAMIENTO
180
NOC (NETWORK
OPERATIONS CENTER)
81
No.
ACTIVO
HARDWARE
HARDWARE
DESCRIPCION ACTIVO
COMPUTADOR PERSONAL
SERVIDOR DE
APLICACIONES
CANT.
TOTAL
AMENAZA
PROBABILIDAD
DE OCURRENCIA
1132
ROBO
ATAQUE FISICO
AVERA
VIRUS
0.15
428
ACCESO NO PERMITIDO
MODIFICACIN DE DATOS
MALINTENCIONADA.
SUPLANTACIN DE IDENTIDAD
INTRODUCCIN DE DATOS
INCORRECTOS
ATAQUE FISICO
AVERA
VIRUS
0.05
SUPLANTACIN DE IDENTIDAD
INTRODUCCIN DE DATOS
INCORRECTOS
DESCARGA DE DATOS EN
DESTINO INAPROPIADO
BORRADO DE DATOS
ACCESO NO PERMITIDO A LA
COMUNICACIN
ERROR EN LA COMUNICACIN
ACCESO NO PERMITIDO A LA BASE
DE DATOS
CAMBIO DE REQUISITOS
0.05
ACCESO NO PERMITIDO
MODIFICACIN DE DATOS
MALINTENCIONADA
INTRODUCCIN DE DATOS
INCORRECTOS
DESCARGA DE DATOS EN
DESTINO INAPROPIADO
BORRADO DE DATOS
ROBO
DESTRUCCIN
0.05
SOFTWARE
60
PLATAFORMA E-LEARNING
BASES DE
DATOS
110
PORTAL EDUCATIVO
82
AREA DE
GESTION
No.
ACTIVO
DESCRIPCION ACTIVO
CANT.
TOTAL
AMENAZA
PROBABILIDAD
DE OCURRENCIA
REDES Y
TELECOMUNICA
CIONES
133
ENLACES SATELITALES
428
DISPONIBILIDAD DE SERVICIO
ACCESO NO PERMITIDO A LA
COMUNICACIN
ERROR EN LA COMUNICACIN
MODIFICACIN DE DATOS
MALINTENCIONADA
SUPLANTACIN DE IDENTIDAD
INTRODUCCIN DE DATOS
INCORRECTOS
HACKING
INGENIERA SOCIAL
INTRUSIONES AL SISTEMA
0.35
ACCESO NO AUTORIZADO
CURIOSIDAD
INGENIERA SOCIAL
GANANCIA MONETARIA
ERRORES NO INTENCIONALES
ESPIONAJE DE INFORMACIN
CONFIDENCIAL
FRAUDE
0.15
CUMPLIMIENTO DE LA NORMATIVA
INTERNA
CUMPLIMIENTO DE LA NORMATIVA
EXTERNA
DEFECTOS PROVOCADOS POR EL
MAL USO DEL PRODUCTO
0.15
0.6
0.02
RECURSO
HUMANO
140
PERSONAL CPC
151
GARANTIAS COMPUTADOR
ESTUDIANTE TIPO THIN
CLIENT
LEGAL
4098
..
FINANCIERO
169
TRASLADO EQUIPAMIENTO
ROBO
HUELGA
TERREMOTO
INUNDACION
CIERRE DE VIAS (POR HUELGA,
MANTENIMIENTO)
PERMISOS ESPECIALES
(NORMATIVA)
INCREMENTO DE COSTES
180
NOC (NETWORK
OPERATIONS CENTER)
DISPONIBILIDAD DE SERVICIO
SOPORTE TECNICO
SERVICIOS
..
83
En la siguiente tabla se muestra una sntesis del contenido para que el lector
pueda identificar los datos generados:
TIPO ACTIVO
HARDWARE
HARDWARE
No.
ACTIVO
DESCRIPCION
ACTIVO
COMPUTADOR
PERSONAL
SERVIDOR DE
APLICACIONES
CANT.
TOTAL
AMENAZA
SALVAGUARDA
ROBO
ATAQUE FISICO
AVERA
VIRUS
428
ACCESO NO
PERMITIDO
MODIFICACIN DE
DATOS
MALINTENCIONADA.
SUPLANTACIN DE
IDENTIDAD
INTRODUCCIN DE
DATOS INCORRECTOS
ATAQUE FISICO
AVERA
VIRUS
SUPLANTACIN DE
IDENTIDAD
INTRODUCCIN DE
DATOS INCORRECTOS
DESCARGA DE DATOS
EN DESTINO
INAPROPIADO
BORRADO DE DATOS
ACCESO NO
PERMITIDO A LA
COMUNICACIN
ERROR EN LA
COMUNICACIN
ACCESO NO
PERMITIDO A LA BASE
DE DATOS
CAMBIO DE
REQUISITOS
ACCESO NO
PERMITIDO
MODIFICACIN DE
DATOS
MALINTENCIONADA
INTRODUCCIN DE
DATOS INCORRECTOS
DESCARGA DE DATOS
EN DESTINO
INAPROPIADO
BORRADO DE DATOS
ROBO
DESTRUCCIN
ACCESO NO
PERMITIDO A LA BASE
DE DATOS
1132
..........
SOFTWARE
60
PLATAFORMA ELEARNING
..........
BASES DE
DATOS
..........
110
PORTAL
EDUCATIVO
84
TIPO ACTIVO
REDES Y
TELECOMUNI
CACIONES
No.
ACTIVO
133
DESCRIPCION
ACTIVO
ENLACES
SATELITALES
CANT.
TOTAL
AMENAZA
SALVAGUARDA
DISPONIBILIDAD DE
SERVICIO
ACCESO NO
PERMITIDO A LA
COMUNICACIN
ERROR EN LA
COMUNICACIN
MODIFICACIN DE
DATOS
MALINTENCIONADA
SUPLANTACIN DE
IDENTIDAD
INTRODUCCIN DE
DATOS INCORRECTOS
HACKING
INGENIERA SOCIAL
INTRUSIONES AL
SISTEMA
ACCESO NO
AUTORIZADO
CURIOSIDAD
INGENIERA SOCIAL
GANANCIA
MONETARIA
ERRORES NO
INTENCIONALES
ESPIONAJE DE
INFORMACIN
CONFIDENCIAL
FRAUDE
4098
CUMPLIMIENTO DE LA
NORMATIVA INTERNA
CUMPLIMIENTO DE LA
NORMATIVA EXTERNA
DEFECTOS
PROVOCADOS POR EL
MAL USO DEL
PRODUCTO
CAPACITACION
ACUERDOS
MANUAL DE USUARIO
MANUAL DE INSTALACION
MANUAL TCNICO
ROBO
HUELGA
TERREMOTO
INUNDACION
CIERRE DE VIAS (POR
HUELGA,
MANTENIMIENTO)
PERMISOS
ESPECIALES
(NORMATIVA)
INCREMENTO DE
COSTES
DISPONIBILIDAD DE
SERVICIO
SOPORTE TECNICO
428
..........
RECURSO
HUMANO
140
PERSONAL CPC
..........
LEGAL
151
GARANTIAS
COMPUTADOR
ESTUDIANTE TIPO
THIN CLIENT
..........
FINANCIERO
169
TRASLADO
EQUIPAMIENTO
180
NOC (NETWORK
OPERATIONS
CENTER)
..........
SERVICIOS
..........
85
% VALOR
DE ACTIVO
100%
90%
50%
20%
0%
HARDWARE
HARDWARE
No.
ACTIVO
DESCRIPCION
ACTIVO
COMPUTADOR
PERSONAL
SERVIDOR DE
APLICACIONES
IMPACTO=
DEGRADAC
IN
%DEGRADACIN *
VAL.TOTAL (USD)
CANT.
TOTAL
VAL.TOTAL
(USD)
1132
1,068,279.72
ROBO
ATAQUE FISICO
AVERA
VIRUS
20%
213,655.94
1,088,549.52
ACCESO NO
PERMITIDO
MODIFICACIN DE
DATOS
MALINTENCIONADA.
SUPLANTACIN DE
IDENTIDAD
INTRODUCCIN DE
DATOS INCORRECTOS
ATAQUE FISICO
AVERA
VIRUS
20%
217,709.90
428
AMENAZA
86
TIPO ACTIVO
SOFTWARE
No.
ACTIVO
60
DESCRIPCION
ACTIVO
PLATAFORMA ELEARNING
CANT.
TOTAL
VAL.TOTAL
(USD)
AMENAZA
IMPACTO=
DEGRADAC
IN
%DEGRADACIN *
VAL.TOTAL (USD)
263,480.82
SUPLANTACIN DE
IDENTIDAD
INTRODUCCIN DE
DATOS INCORRECTOS
DESCARGA DE DATOS
EN DESTINO
INAPROPIADO
BORRADO DE DATOS
ACCESO NO
PERMITIDO A LA
COMUNICACIN
ERROR EN LA
COMUNICACIN
ACCESO NO
PERMITIDO A LA BASE
DE DATOS
CAMBIO DE
REQUISITOS
20%
52,696.16
50,000
ACCESO NO
PERMITIDO
MODIFICACIN DE
DATOS
MALINTENCIONADA
INTRODUCCIN DE
DATOS INCORRECTOS
DESCARGA DE DATOS
EN DESTINO
INAPROPIADO
BORRADO DE DATOS
ROBO
DESTRUCCIN
ACCESO NO
PERMITIDO A LA BASE
DE DATOS
20%
10,000.00
772,711.20
DISPONIBILIDAD DE
SERVICIO
ACCESO NO
PERMITIDO A LA
COMUNICACIN
ERROR EN LA
COMUNICACIN
MODIFICACIN DE
DATOS
MALINTENCIONADA
SUPLANTACIN DE
IDENTIDAD
INTRODUCCIN DE
DATOS INCORRECTOS
HACKING
INGENIERA SOCIAL
INTRUSIONES AL
SISTEMA
20%
154,542.24
ACCESO NO
AUTORIZADO
CURIOSIDAD
INGENIERA SOCIAL
GANANCIA
MONETARIA
ERRORES NO
INTENCIONALES
ESPIONAJE DE
INFORMACIN
CONFIDENCIAL
FRAUDE
20%
12,167.53
CUMPLIMIENTO DE LA
NORMATIVA INTERNA
CUMPLIMIENTO DE LA
NORMATIVA EXTERNA
DEFECTOS
PROVOCADOS POR EL
MAL USO DEL
PRODUCTO
90%
1,117,863.20
BASES DE DATOS
130
CATEGORIAS
PROYECTO
REDES Y
TELECOMUNICACIONES
133
ENLACES
SATELITALES
428
RECURSO HUMANO
140
PERSONAL CPC
151
GARANTIAS
COMPUTADOR
ESTUDIANTE
TIPO THIN
CLIENT
60,837.64
LEGAL
4098
1,242,070.22
87
No.
ACTIVO
TIPO ACTIVO
FINANCIERO
DESCRIPCION
ACTIVO
168
ACTAS
ENTREGA
RECEPCION
180
NOC (NETWORK
OPERATIONS
CENTER)
CANT.
TOTAL
VAL.TOTAL
(USD)
AMENAZA
11,500
58,650.00
ROBO
HUELGA
TERREMOTO
INUNDACION
CIERRE DE VIAS (POR
HUELGA,
MANTENIMIENTO)
PERMISOS
ESPECIALES
(NORMATIVA)
INCREMENTO DE
COSTES
78,360.70
DISPONIBILIDAD DE
SERVICIO
SOPORTE TECNICO
IMPACTO=
DEGRADAC
IN
%DEGRADACIN *
VAL.TOTAL (USD)
20%
11,730.00
50%
39,180.35
SERVICIOS
TIPO
ACTIVO
ACTIVO
21
SERVICIOS
21.1
LEGAL
DESCRIPCION
ACTIVO
CANT.
TOTAL
182
VIDEO
CONFEREN
CIA (428
PUNTOS)
164
VIDEO
CONFEREN
CIA
No.
AMENAZA
PROBABILI
DAD DE
OCURREN
CIA
628,931.30
DISPONIBILIDAD
DE SERVICIO
SOPORTE
TECNICO
0.00
ALINEAMIENTO
AL CONTRATO
CUMPLIMIENTO
SLA
DISPONIBILIDAD
VAL.TOTAL
IMPACTO =
RIESGO =
PROBABILIDAD
OCURRENCIA
AMENAZA *
IMPACTO
DEGRA
DACIN
%DEGRADACI
N *
VAL.TOTAL
0.15
20%
125,786.26
18,867.94
0.55
20%
0.00
0.00
$18,867.94
El valor del Riesgo de cada activo para el proyecto Plan Amanecer se encuentran
en el CD adjunto de esta investigacin (ANEXO C). Para el clculo del riesgo
utilizaremos la siguiente frmula:
Riesgo Activo = Probabilidad Ocurrencia Amenaza * Impacto Activo
En la siguiente tabla se muestra una sntesis del contenido para que el lector
identifique los datos generados:
88
PRIORI
DAD
TIPO
ACTIVO
SOFTWARE
LEGAL
HARDWARE
No.
ACTIVO
DESCRIPCION
ACTIVO
50
OFFICE 2007
151
GARANTIAS
COMPUTADOR
ESTUDIANTE
TIPO THIN
CLIENT
11
COMPUTADOR
ESTUDIANTE
TIPO THIN
CLIENT
176
GESTION DE
CAMBIOS
CANT.
TOTAL
VAL.
TOTAL
AMENAZA
PROBABI
LIDAD DE
OCURREN
CIA
%
DEGRAD
ACIN
IMPACTO =
%DEGRADAC
IN *
VAL.TOTAL
RIESGO =
PROBABILIDAD
OCURRENCIA
AMENAZA *
IMPACTO
LICENCIAMIENTO
INSTALACION INCOMPLETA
MODIFICACIN DE
CONFIGURACION
0.25
100%
674,533.91
168,633.48
1,242,070.22
CUMPLIMIENTO DE LA
NORMATIVA INTERNA
CUMPLIMIENTO DE LA
NORMATIVA EXTERNA
DEFECTOS PROVOCADOS POR
EL MAL USO DEL PRODUCTO
0.15
90%
1,117,863.20
167,679.48
4098
3,867,323.58
ROBO
ATAQUE FISICO
AVERA
VIRUS
MODIFICACIN DE
CONFIGURACION
0.2
20%
773,464.72
154,692.94
1,175,410.57
0.45
20%
235,082.11
105,786.95
772,711.20
DISPONIBILIDAD DE SERVICIO
ACCESO NO PERMITIDO A LA
COMUNICACIN
ERROR EN LA COMUNICACIN
MODIFICACIN DE DATOS
MALINTENCIONADA
SUPLANTACIN DE IDENTIDAD
INTRODUCCIN DE DATOS
INCORRECTOS
HACKING
INGENIERA SOCIAL
INTRUSIONES AL SISTEMA
0.35
20%
154,542.24
54,089.78
2,400,000
CONTRASEAS DBILES
FALTA DE USO DE
CRIPTOGRAFA EN LA
COMUNICACIN
COMPARTIMIENTO DE
IDENTIFICADORES TALES
COMO NOMBRE DE USUARIO O
CREDENCIAL DE ACCESO,
ETC
EMPLEADOS DESCONTENTOS,
DELICUENTES
0.05
20%
480,000.00
24,000.00
50,000.00
LUGAR DE ALMACENAMIENTO
EN LOCALES INSALUBRES O
CON ALTO NIVEL DE,
HUMEDAD, MAGNETISMO O
ESTTICA, MOHO, ETC.
LOCALES PRXIMOS A ROS
PROPENSOS A INUNDACIONES
INFRAESTRUCTURA INCAPAZ
DE RESISTIR A LAS
MANIFESTACIONES DE LA
NATURALEZA COMO
TERREMOTOS, MAREMOTOS,
HURACANES ETC
AUSENCIA DE RECURSOS
PARA EL COMBATE A
INCENDIOS
INSTALACIONES
INADECUADAS
CONTRASEAS DBILES
COMPARTIMIENTO DE
IDENTIFICADORES TALES
COMO NOMBRE DE USUARIO O
CREDENCIAL DE ACCESO,
ETC.
0.3
20%
10,000.00
3,000.00
58,650.00
INSTALACIONES
INADECUADAS
CONTRASEAS DBILES
FALTA DE USO DE
CRIPTOGRAFA EN LA
COMUNICACIN
COMPARTIMIENTO DE
IDENTIFICADORES TALES
COMO NOMBRE DE USUARIO O
CREDENCIAL DE ACCESO,
ETC
EMPLEADOS DESCONTENTOS,
DELICUENTES
AUSENCIA DE IDENTIFICACIN
DE PERSONAS Y DE LOCALES,
ETC
0.15
20%
11,730.00
1,759.50
5713
4098
674,533.91
.
7
SERVICIOS
REDES Y
TELECOMUNI
CACIONES
133
ENLACES
SATELITALES
428
19
RECURSO
HUMANO
146
PERSONAL
FISCALIZACION
10
..
47
BASES DE
DATOS
130
CATEGORIAS
PROYECTO
65
FINANCIERO
168
ACTAS
ENTREGA
RECEPCION
11500
89
Es necesario indicar que cada activo representa un valor del riesgo, y sobre la
base del juicio de los expertos muchos de ellos son relegados segn el criterio de
aceptacin definido en el Plan de Riesgos36.
Siendo el Plan Amanecer un proyecto de alcance nacional y siendo uno de sus
objetivos estratgicos acceder a nuevos recursos por medio de infraestructura
tecnolgica para fortalecer la gestin de las instituciones educativas, en la
siguiente figura se muestra la cantidad de activos del proyecto, correspondientes
a cada rea o elemento de Gestin de Tecnologas de Informacin.
36
90
Huelga
Ataque fsico
Inundacin
Avera
Destruccin
Cambio de requisitos
Cumplimiento cronograma
Virus
Incremento de costes
Terremoto
Ingeniera social
91
92
93
94
CAPITULO 4
CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
Los modelos que se destacan al momento de gestionar el riesgo y alcanzan
niveles satisfactorios en Hardware, Software, Bases de Datos, Redes y
Telecomunicaciones son COBIT, RISK IT, OCTAVE, NIST 800-30 y MAGERIT;
ya que en su estructura se encuentran criterios de seguridad que son la base
para realizar el anlisis y valorar la materializacin de amenazas e impactos
sobre los Elementos de TI, siendo los comunes entre estos la confidencialidad,
integridad y disponibilidad. En Software y Bases de Datos se destacan CMMI y
SPICE por el soporte en la adquisicin, desarrollo, operacin y mantenimiento
de productos de software. Respecto a la Administracin del Recurso Humano
PMBOK, COBIT, NIST 800-30 y MAGERIT alcanzan niveles satisfactorios,
puesto que estos modelos gestionan el riesgo definiendo un equipo de trabajo
con perfiles y competencias para los proyectos con su respectiva asignacin de
funciones y responsabilidades.
La administracin de Normativa y de la Seguridad de la informacin respecto a
la Gestin del Riesgo la encabezan COBIT y MAGERIT. Esto es principalmente
ya que COBIT cubre requerimientos de normas y seguridad mediante sus
objetivos de control en base a las buenas prcticas a travs de un marco de
trabajo de dominios y procesos. MAGERIT por su parte se alinea con las leyes
y normativas tcnicos-gubernamentales (espaoles), cubriendo temas que no
tratan otras buenas prcticas como: contratos, licenciamiento, derechos de
autor, contratacin de personal, impuestos y proteccin de datos de carcter
personal; siendo estos puntos referenciales para que los profesionales de TI
puedan desarrollar el anlisis de vulnerabilidades y amenazas en un proyecto
al momento de Gestionar el Riesgo.
La Gestin del Riesgo al momento de administrar las finanzas, es un elemento
que las buenas prcticas evaluadas en esta investigacin adolecen por los
resultados obtenidos, con la excepcin de PMBOK y MAGERIT puesto que en
95
su estructura tienen
4.2 RECOMENDACIONES:
Al momento de identificar las vulnerabilidades y amenazas de un activo, se
recomienda examinar las condiciones de los activos que van desde lo fsico
hasta lo lgico y que puedan ser catalogados como debilidades y/o
afectaciones que pueden ser perjudiciales para el proyecto, ya que de esta
manera se tendr un marco lgico de antecedentes y de estado de cada activo.
96
finanzas,
conocimientos
bsicos
de
permisos
operativas,
liquidacin
econmica,
liquidacin
de
plazos,
97
REFERENCIAS BIBLIOGRAFICAS
[1].
[2].
[3].
[4].
[5].
[6].
ISACA, Information Systems Audit and Control Association . Control objectives for
information and related technology COBIT 4.1. 2007.
[7].
[8].
[9].
[10].
[11].
[12].
[13].
Kindinger, John P. y Darby, John L. Risk Factor Analysis- A New Qualitative Risk
Management Tool. Proceedings of the Project Management Institute Annual
Seminars & Symposium. Houston, Texas. USA, September 7 16, 2000.
[14].
98
ANEXOS
ANEXO A. OTRAS MEJORES PRACTICAS QUE GESTIONAN EL
RIESGO
A ms de las mejores prcticas descritas en este documento, existen otras que no
se han analizado porque se han considerado de menor relevancia por no ser
populares o no muy utilizadas en nuestro pas. Algunas de las mejores prcticas
descartadas por estos motivos son las siguientes:
PARA (Practical Application of Risk Analysis)
Austrian IT Security Handbook (slo disponible en alemn)
Dutch A&K Analysis (slo disponible en holands)
Ebios (Expression des Besoins et Identification des Objectifs de Scurit),
publicada
por
la
Administracin
Pblica
francesa.
Incorpora
una
herramienta de soporte.
FRAP/FRAAP (Facilitated Risk Analysis and Assessment - Process),
basada en la realizacin de ejercicios de brainstorming (lluvia de ideas) por
parte de un grupo de participantes de distintos perfiles complementarios.
Desarrollada por Peltier Associates.
CORA (Cost-Of-Risk Analysis)
ISRAM (Information Security Risk Analysis Method)
IT-Grundschutz (IT Baseline Protection Manual), publicada por la
Administracin Pblica alemana. Soportado por la herramienta GSTool.
MEHARI publicada por el Club Francs de Seguridad de la Informacin.
Dispone de una herramienta de soporte (Risicare).
ARiES (Aerospace Risk Evaluation System)
STIR (Simple Technique for Illustrating Risk)
99
Acuity Stream
Callio
Casis
Countermeasures
GxSGSI
Proteus
Ra2
Real ISMS
RiskPAC
Riskwatch
RM Studio
SBA
100
MEJOR
PRACTICA
ID
HARDWARE
SOFTWARE
BASES DE DATOS
REDES Y
TELECOMUNICACIONES
RECURSO HUMANO
LEGAL
FINANCIERO
SERVICIOS
ELEMENTO DE TI
CMMI
CM1.1
0.5
0.5
0.5
0.75
CMMI
CM1.2
0.5
0.75
0.75
0.5
CMMI
CM1.3
0.75
0.75
0.75
0.5
0.5
0.75
CMMI
CM2.1
0.5
0.5
0.5
0.75
CMMI
CM2.2
0.5
0.5
0.5
CMMI
CM3.1
0.75
0.5
0.5
0.75
CMMI
CM3.2
0.75
0.5
0.5
SPICE
SP5.1
0.5
0.75
0.5
0.5
0.5
SPICE
SP5.2
0.5
0.75
0.5
0.75
SPICE
SP5.3
Identificar riesgos
0.75
0.5
0.5
SPICE
SP5.4
Analizar riesgos
0.5
0.75 0.75
0.5
0.5
0.75 0.75
SPICE
SP5.5
0.5
0.75 0.75
0.5
0.5
0.5
0.75 0.75
SPICE
SP5.6
0.5
0.75
0.5
0.5
0.5
0.5
SPICE
SP5.7
0.5
0.75
0.5
0.5
0.5
0.75 0.75
PMBOK
PB1.0
0.5
0.5
0.5
0.5
0.75
0.75
PMBOK
PB2.0
0.5
0.5
0.75
0.5
0.75
0.75
0.5
PMBOK
PB3.0
0.5
0.5
0.5
0.5
0.75
0.75
0.5
PMBOK
PB4.0
0.5
0.5
0.5
0.5
0.75
0.75
0.5
PMBOK
PB5.0
0.5
0.5
0.75
0.5
0.75 0.75
PMBOK
PB6.0
0.5
0.5
0.5
0.5
0.75
0.5
PRINCE2
PC1.0
0.5
0.5
0.5
0.5
0.75
0.5
0.75
PRINCE2
PC2.0
0.5
0.5
0.5
0.5
0.75
0.75
PRINCE2
PC3.0
0.5
0.5
0.5
0.5
0.5
0.5
0.5
0.75
PRINCE2
PC4.0
0.5
0.5
0.5
0.5
0.5
0.5
0.5
0.75
PRINCE2
PC5.0
Plan y Recursos
0.5
0.5
0.5
0.5
0.5
0.5
0.5
0.75
PRINCE2
PC6.0
Monitorear / Comunicar
0.5
0.5
0.5
0.5
0.5
0.5
0.5
0.75
CB1.0
0.75
0.75 0.75
0.75
CB2.0
COBIT
COBIT
0.75 0.75
1
0.75
0.75 0.75
0.75
101
0.75
CB4.0
0.75
COBIT
CB5.0
COBIT
CB6.0
COBIT
CB7.0
CB8.0
CB9.0
COBIT
0.5
0.75
0.75 0.75
0.5
0.75
0.75
0.5
0.75
0.75
0.5
0.75
0.75
0.75
BASES DE DATOS
0.75
SOFTWARE
HARDWARE
SERVICIOS
COBIT
FINANCIERO
ID
LEGAL
CB3.0
MEJOR
PRACTICA
RECURSO HUMANO
REDES Y
TELECOMUNICACIONES
ELEMENTO DE TI
COBIT
COBIT
0.75 0.75
0.75
0.75
0.5
0.75
COBIT
RIT1.0
0.75 0.75
RIT2.0
0.75
0.5
RIT3.0
0.75
0.5
0.75
0.5
0.75
RISKIT
RIT4.0
0.75 0.75
0.5
0.75
RISKIT
RIT5.0
Escenarios de riesgo
0.75
0.5
0.5
0.75
RIT6.0
0.75 0.75
0.75
0.75
0.5
RIT7.0
0.75
0.75
0.5
0.5
0.75
RIT8.0
0.75 0.75
OC1.0
0.75
0.5
OC2.0
0.75
0.75
OCTAVE
OC3.0
0.5
0.5
0.5
OCTAVE
OC4.0
0.75
0.75
OCTAVE
OC5.0
0.75
0.5
0.5
0.75
OCTAVE
OC6.0
0.5
0.5
0.5
0.75
NIST
NT1.1
0.5
0.5
RISKIT
RISKIT
RISKIT
0.75 0.75
RISKIT
RISKIT
RISKIT
OCTAVE
OCTAVE
102
MEJOR
PRACTICA
ID
HARDWARE
SOFTWARE
BASES DE DATOS
REDES Y
TELECOMUNICACIONES
RECURSO HUMANO
LEGAL
FINANCIERO
SERVICIOS
ELEMENTO DE TI
NIST
NT1.2
0.5
0.5
NIST
NT1.3
NIST
NT1.4
0.75
0.75
0.5
0.75
NIST
NT1.5
0.75
0.5
0.75
NIST
NT1.6
NIST
NT1.7
0.75
0.5
0.75
0.5
NIST
NT1.8
0.5
0.5
NIST
NT1.9
0.5
0.5
NIST
NT2.1
0.75
NT2.2
NIST
0.75 0.75
0.75 0.75
1
NIST
NT2.3
0.75
0.75 0.75
NIST
NT2.4
0.75
0.75 0.75
0.75
NIST
NT2.5
0.75
NT2.6
NIST
NIST
NT2.7
MAGERIT
0.75
0.5
0.75
MAGERIT
0.75
0.5
MAGERIT
0.75
0.75 0.75
MAGERIT
MAGERIT
MAGERIT
0.75
0.75
MAGERIT
0.75
MAGERIT
0.75
MAGERIT
0.75
0.75
MAGERIT
0.75
MAGERIT
0.75
103
104
MATRIZ RACI
I
R
R
I
R
R
I
R
R
C
C
C
R
R
R
R
C
C
R
R
R
R
R
R
I
R
R
R
R
R
R
R
R
R
R
C
R
R
R
R
C
C
C
R
R
R
R
R
C
C
R
R
R
R
R
R
R
R
R
R
C
R
R
R
R
C
C
C
R
R
R
R
R
C
R
C
R
Asesor Legal
A/R
A
I
I
R
R
R
R
R
R
R
A/R
A/R R
R A/R
R A/R
R
R
R A/R
R A/R
R
I
R
R
R
R
R
R
R
R
C
R
R
R
R
R
C
C
R
R
I
I
I
A
I
I
R
C/I
A
I
A/R
A
A
A
A
Comit de Proyecto
C/I
C
C
105
EQUIPO DE PROYECTO
Funcin
Definicin
106
ANEXO
E.
DIMENSIONES
DE
SEGURIDAD
NIVEL
DE
Modelo y Metodologa
Confidencialidad
Generalmente Aceptado
Integridad
Generalmente Aceptado
Disponibilidad
Generalmente Aceptado
Autenticidad
MAGERIT V2.0
Trazabilidad
MAGERIT V2.0
Efectividad
COBIT 4.1
Eficiencia
COBIT 4.1
Cumplimiento
COBIT 4.1
Confiabilidad
COBIT 4.1
Nivel
Requiere Alta
ELEVADO TRAZABILIDAD
Confidencialidad
ELEVADO
AUTENTICIDAD
DE USUARIOS
ELEVADO TRAZABILIDAD
Integridad
37
ELEVADO
AUTENTICIDAD
DE USUARIOS
ELEVADO
AUTENTICIDAD
DE DATOS
Argumento
107
Dimensiones de
Seguridad
Disponibilidad
Nivel
ELEVADO
Requiere Alta
Argumento
INTEGRIDAD
Descripcin
Nivel 0 (Inexistente)
La salvaguarda no se ha implantado.
Nivel 1 (Inicial)
Nivel 2 (Repetible)
Nivel 3 (Formalizado)
Nivel 4 (Gestionado)
Nivel 5 (Optimizado)
108
Antenas
Servidores
Equipo de Videoconferencia
Laptop
Pizarra Electrnica
Thin Clients
Proyector
Switch
Mdems
Agendas Electrnicas
Centralita Telefnica
Firewall
Fuentes de alimentacin
Perifricos
Equipos de climatizacin
Generadores elctricos
Cableado Elctrico
Telfonos inteligentes
Monitores
Routers
Equipos de Videovigilancia
Cajas fuertes
Cableado Estructurado
Impresora
SOFTWARE
Ofimtica
Software de terminales
Anti virus
Navegador web
Drivers
Gestor de Proyectos
Sistema operativo
Sistema de alarma
Sistema de backup
Sistema Financiero
109
Software Educativo
Software Empresarial
Desarrollo de Software
Virtualizacin
BASES DE DATOS
Datos de gestin interna
Voz
Datos de configuracin
Datos de prueba
Multimedia
Cdigo fuente
Cdigo ejecutable
Informes
Datos de Avance
Seguimiento y Control
Inventarios
Datos de Finanzas
Actualizaciones Tecnolgicas
REDES Y TELECOMUNICACIONES
Redes locales
Internet
Enlaces de telecomunicaciones
Redes inalmbricas
Red WAN
Red Satelital
Intranet
Red telefnica
RECURSOS HUMANO
Administradores de sistemas
Usuarios externos
Usuarios internos
Operadores
Desarrolladores
Clientes
Proveedores
Subcontratas
Directivos
Reguladores/supervisores
LEGAL
Contrato
Garantas
110
Level Agreement
Actas y Acuerdos
Licenciamiento
Derechos de Autor
Ley de Trabajo
Normativa de la Seguridad de la
Informacin
FINANCIEROS
Actas de Entrega y Actas de Recepcin38
Viticos
Seguros
SERVICIOS
Servicios y Funciones de la Organizacin
Soporte Tcnico
Capacitacin
Gestin de Incidentes
Gestin de Cambios
Servicio de Email
Servicio de directorio
Transferencia de ficheros
Mensajes Instantneos
Servicios de voz de IP
Web Hosting
Telefona Tradicional
Outsourcing
38
111
FECHA
OBJETO
29-SEPT-1997
24-AGOS-2000
691,
FECHA
09-NOVIE-2005
OBJETO
112
GLOSARIO DE TRMINOS
Activo: Cualquier recurso de Software, Hardware, datos, administrativo, fsico, de
personal o de comunicaciones.
Amenaza: La Amenaza es la posibilidad de que se produzca una determinada
vulnerabilidad de forma satisfactoria, es decir, una amenaza es una circunstancia o
evento con la capacidad de causar dao a un sistema, entendiendo como dao una
forma de destruccin, revelacin o modificacin de datos.
Bienes: Es un recurso tangible para suplir necesidades y son susceptibles de
apropiacin, sea privada o pblica.
CMMI: Capability Maturity Model Integration, es un modelo para la mejora y evaluacin
de procesos para el desarrollo, mantenimiento y operacin de sistemas de software que
cubren el ciclo de vida del producto.
COBIT: Control Objectives for Information and related Technology, es un conjunto de
mejores prcticas para el manejo de informacin creado por la Asociacin para la
Auditora y Control de Sistemas de Informacin
Impacto: El impacto es la materializacin de un riesgo; una medida del grado de dao o
cambio sobre un activo, entendiendo como riesgo la probabilidad de que un evento
desfavorable ocurra y que tendra un impacto negativo si se llegase a materializar.
MAGERIT: responde a "Metodologa de Anlisis y Gestin de Riesgos de IT, elaborada
por el Ministerio de Administraciones Pblicas (MAP) del Reino de Espaa
NIST 800-30: Risk Management Guide for Information Technology Systems, es una
metodologa basada en los conceptos generales presentados en el Instituto Nacional de
los Estndares y la Tecnologa (NIST, National Institute of Standards and Technology).
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation; es una
metodologa de evaluacin y de gestin de los riesgos para garantizar la seguridad del
sistema informtico
PMBOK: Project Management Body of Knowledge, es un modelo en la Administracin de
proyectos desarrollado por el Project Management Institute (PMI).
113