METODOLOGIAS DE GESTION DE RIESGOS

AIDA MILENA ROJAS SEPULVEDA

Cód. 906547

CARLOS HERNAN GÓMEZ

Auditoria de Sistemas II

ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS

UNIVERSIDAD NACIONAL DE COLOMBIA

SEDE MANIZALES

MARZO, 2010
 Contenido
INTRODUCCION.......................................................................................................................3

HISTORIA Y EVOLUCIÓN.......................................................................................................4

- Primera Generación G1 (Casuística)...............................................................................4

-Tercera Generación G3 (Causal).......................................................................................5

DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE RIESGOS...............6

 MAGERIT........................................................................................................................6

OBJETIVOS DE MAGERIT..............................................................................................6

 MODELO DE BOEHM..................................................................................................7

TÉCNICAS DE BOEHM (medidas, salvaguardas).......................................................7

 MODELO McFARLAN (Riesgos en proyectos).........................................................8

 MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER..................8

 CRAMM...........................................................................................................................9

 OCTAVE..........................................................................................................................9

ACTIVOS DE INFORMACIÓN.........................................................................................9

PERFILES DE AMENAZAS.............................................................................................9

 EBIOS...........................................................................................................................10

UN MÉTODO RÁPIDO...................................................................................................10

UNA HERRAMIENTA REUTILIZABLE..........................................................................10

COMPARATIVO CON COBIT................................................................................................11

BIBLIOGRAFIA........................................................................................................................16
 INTRODUCCION

La mayoría de las organizaciones reconocen la función fundamental que la

tecnología de la información desempeña en sus objetivos de negocio; con
frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas
de seguridad antes de que afecten su negocio. La administración de la
seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha
convertido en una preocupación primordial para los departamentos de TI, y es
por esto que se ha implementado la Gestión de riesgos, que realizada de una
manera eficiente puede garantizar efectos económicos muy importantes para
cualquier organización, convirtiéndose en una herramienta par la toma de
decisiones.

El presente documento describe las metodologías que se utilizan para la

gestión de riesgos que conducen de una forma útil al análisis de los mismos y
ofrecen a las organizaciones una guía de procedimientos para la
implementación y el desarrollo de dicho análisis.
 HISTORIA Y EVOLUCIÓN

La gestión de riesgos pasa por tres generaciones de modelos de riesgos en

proyectos informáticos:

- Primera Generación G1 (Casuística)

Esta generación data de principios de los años 80 y está basada en listas
‘casuísticas’ de riesgos especiales para proyectos, se identifican casos de
riesgo y se extrapolan a otros proyectos. No hay una planificación específica.

En esta generación se definen los Riesgos tecnológicos y las Listas de

comprobación de riesgos.

En los años 40 se presento la teoría de la fiabilidad, arranque de la Teoría del

Riesgo en Sistemas Complejos con el Teorema de Lusser: “la probabilidad de
éxito de una cadena de componentes es el producto de las probabilidades de
éxito de sus elementos” (la fiabilidad del conjunto es inferior a la de cada
elemento separado; “la cadena se rompe siempre por su eslabón más débil”).

Para los años 60 se presentó el Análisis de riesgos cuantitativo (procesos

markovianos) para describir el comportamiento de sistemas complejos con
fallos ensayables y sin intervención manual, o cualitativo como los árboles de
fallos para sistemas híbridos con la incertidumbre de la intervención humana y
la imposibilidad de probar los impactos salvo por simulación. Se define el
“riesgo como una entidad con dos dimensiones: probabilidad y
consecuencia(s)” o sea vulnerabilidad e impacto.

En los 70s se hablo del Método general de Rasmussen. que incluía 6 etapas:
Definición del proyecto de seguridad y su sistema objetivo; Análisis funcional de
éste; Identificación de riesgos; Modelización delsistema; Evaluación de
consecuencias; Síntesis y decisiones finales.
-Segunda Generación G2 (Taxonómica)

Se dio a principios de los años 90 y esta basada en modelos de procesos y

eventos.

Dentro de esta generación se pueden incluir:

• Modelo de Boehm

• Modelo de Hall y su relación con el de madurez de SEI-CMM

• Modelo de Riesgos del SEI

• Modelo SPR de mejora de capacidad en la gestión del riesgo

-Tercera Generación G3 (Causal)

Esta es la generación actualmente emergente. Arranca con Eurométodo 96,
MAGERIT 97, ISPL 98, etc.

Está influenciada por otros modelos ‘causales’ (proyectuales, ‘ecológicos’,

etc.).

Los principales modelos de gestión de riesgos propuestos son:

• Modelo MAGERIT de Gestión de Riesgos en Sistemas adaptado a Proyectos

(transición)

• Modelo de eventos de MAGERIT-Proyectos (Transición)

• Modelo McFarlan (Transición)

• Modelo RiskMan e iniciativa RiskDriver

• Modelo DriveSPI

• Modelo Eurométodo

• Modelo ISPL

• Modelo PRisk
 DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE
RIESGOS

Los principales métodos de gestión que se presentan son los siguientes:

 MAGERIT
Es la metodología de análisis y gestión de riesgos elaborada por el Consejo
Superior de Administración Electrónica, como respuesta a la percepción de que
la Administración, y, en general, toda la sociedad, dependen de forma creciente
de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la

generalización del uso de las tecnologías de la información, que supone unos
beneficios evidentes para los ciudadanos; pero también da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que generen
confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y

sistemas informáticos para tratarla. Si dicha información, o los servicios que se
prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor
está en juego y les ayudará a protegerlo. Conocer el riesgo al que están
sometidos los elementos de trabajo es, simplemente, imprescindible para poder
gestionarlos. Con MAGERIT se persigue una aproximación metódica que no
deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

El análisis y gestión de los riesgos es un aspecto clave del Real Decreto

3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar
satisfacción al principio de proporcionalidad en el cumplimiento de los principios
básicos y requisitos mínimos para la protección adecuada de la información.
MAGERIT es un instrumento para facilitar la implantación y aplicación del
Esquema Nacional de Seguridad.

OBJETIVOS DE MAGERIT
MAGERIT persigue los siguientes objetivos:

Concienciar a los responsables de los sistemas de información de la existencia

de riesgos y de la necesidad de atajarlos a tiempo.
Ofrecer un método sistemático para analizar tales riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener los

riesgos bajo control.

Preparar a la Organización para procesos de evaluación, auditoría, certificación

o acreditación, según corresponda en cada caso.

 MODELO DE BOEHM
Esta estructurado en 7 factores. La seguridad esta mínimamente mencionada.
Se resalta la definición del factor de facilidad de pruebas (Testeability) ya que
esta característica es recomendable como una buena práctica del desarrollo de
software seguro.

Plantea 10 factores de riesgo críticos en los proyectos:

Riesgos en los recursos: Insuficiencias de personal, plazos y presupuestos

irreales.

Riesgos de los requerimientos. Desarrollo de funciones equivocadas, desarrollo

de interfaz de usuario equivocada, especificaciones excesivas, continuos
cambios de requerimientos.

Riesgos en la externalización: Insuficiencias en suministros externos de

componentes, insuficiencias en realizaciones externas de tareas.

Otros riesgos: Insuficiencias de rendimiento del sistema al funcionar en tiempo

real, optimismo sobre las capacidades de las tecnologías informáticas.

TÉCNICAS DE BOEHM (medidas, salvaguardas)

A) Contratar las personas clave proactivamente

B) Construir equipos proactivamente (desarrollar valores compartidos)

C) Estimar los plazos y presupuestos ‘reactivamente’ (con fondo para riesgos)

D) Diseñar ‘forfait’ proactivamente: usar el presupuesto/plazo fijo para priorizar

los requerimientos; diseñar con arquitectura que permita retrasar lo no
obligatorio; modular la funcionalidad entregada para adecuarla al
presupuesto/plazo disponible.
E) Desarrollar incrementalmente las funcionalidades (requerimientos
prioritarios...)

F) Desarrollar por prototipos (o sea, subconjuntos para ‘comprar’ información)

G) Reducir requerimientos usando las priorizaciones desarrolladas para D, E),

F).

H) Analizar la misión: análisis organizacional, coste-beneficio, ingeniería del

usuario

I) Encapsular la información para reducir requisitos volátiles y reutilizar software

J) Comprobar los referentes y auditar por expertos externos antes de decidir

K) Ingenierizar rendimientos con técnicas para simular, modelar, prototipar,

afinar.

L) Analizar las capacidades de las tecnologías informáticas para resolver FCE.

 MODELO McFARLAN (Riesgos en proyectos)

Plantea los siguientes factores de riesgo:

Experiencia de la tecnología aplicable (factor subjetivo interno). Pero la

familiarización del equipo con el hardware, sistema operativo, gestores (DB,
DC) y lenguajes también pasa por encontrar/absorber la experiencia externa
como por ejemplo la formación.

Estructuración del proyecto (factor subjetivo externo): Los objetivos iniciales

del proyecto y sus resultados dependen de la claridad de los procedimientos
trasladados por la organización ”cliente” al equipo de desarrollo.

Tamaño del proyecto (factor objetivo, no reducible). Importa sobre todo el

tamaño (en coste años- hombre) o relativo al tamaño de proyecto que el equipo
desarrolla normalmente.

 MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER

Tras las etapas de identificación y evaluación de los riesgos, se simulan varios
planes para organizar la mejor generación inicial de medidas y el control de los
riesgos durante el desarrollo del proyecto.
 CRAMM
CCTA Risk Analysis and Method Management (CRAMM), es una metodología
creada en 1987 por la Central Agency of Data Processing and
Telecommunications del Gobierno del Reino Unido.

Esta metodología comprende tres fases:

Fase 1: Establecimiento de objetivos de seguridad

Fase 2: Análisis de riesgos

Fase 3: Identificación y selección de salvaguardas

CRAMM es actualmente la metodología de Análisis de Riesgos utilizada por la

OTAN, el Ejército de Holanda, y numerosas empresas de todo el mundo.

 OCTAVE
Las actividades que realiza Octave son :

-Inventario de activos

-Criterio de evaluación de impacto

-Criterio de evaluación de probabilidad

-Evaluación de prácticas de seguridad

-Selección de activos críticos

-Requisitos de activos críticos

-Perfiles de amenazas

-Pruebas de intrusión

ACTIVOS DE INFORMACIÓN
-Sistemas: Hardware, Software e información

- Personas

PERFILES DE AMENAZAS
-Acceso humano (físico)

-Acceso humano (Por red)

-Problemas de sistemas

-Otros problemas

 EBIOS
El método EBIOS permite apreciar y tratar los riesgos relativos a la seguridad
de los sistemas de información (SSI).

Posibilita también la comunicación dentro del organismo y también con los

asociados para contribuir al proceso de la gestión de los riesgos SSI. Brinda las
justificaciones necesarias para la toma de decisiones; puede utilizarse para
numerosas finalidades y procedimientos de seguridad, tales como la
elaboración de esquemas directivos, de políticas, de políticas de protección o
de objetivos de seguridad, de los planes de acción o de cualquier otra forma de
pliego de condiciones de SSI.

EBIOS puede ser utilizado para estudiar tanto sistemas por diseñar como
sistemas ya existentes. En el primer caso, permite determinar progresivamente
las especificaciones de seguridad integrándose a la gestión de proyectos. En el
segundo caso, considera las medidas de seguridad existentes e integra la
seguridad a los sistemas en funcionamiento.

UN MÉTODO RÁPIDO
El tiempo necesario para la ejecución de un estudio EBIOS ® es óptimo, ya que
permite obtener los elementos necesarios y suficientes para el resultado
esperado

UNA HERRAMIENTA REUTILIZABLE

EBIOS favorece la actualización permanente de los análisis de riesgos
efectuados y la coherencia global de la SSI.

Efectivamente, el estudio específico de un sistema puede basarse en el estudio

global del organismo; un estudio puede actualizarse regularmente con el fin de
administrar los riesgos en forma continua; también se puede utilizar como
referencia el estudio de un sistema comparable.
 COMPARATIVO CON COBIT

Las metodologías de gestión de riesgos se utilizan para determinar los riesgos

existentes en un sistema y resultan del análisis de riesgos y las actividades que
se realizan para su tratamiento y minimización; existen diferentes modelos para
la gestión de riesgos de las cuales surge un objetivo en común y es el de
evaluar el desempeño y la utilización de todos los recursos pertenecientes al
sistema.

En el caso de COBIT este esta desarrollado para evaluar todo el proceso de

diseño e implementación de un sistema a través de los objetivos de control que
plantea para 4 dominios diferentes: planear y organizar, adquirir e implementar,
entrega y soporte, Supervisión y evaluación. Hace énfasis en el cumplimiento
normativo y ayuda a las organizaciones a incrementar el valor de TI.
 RESUMEN METODOLOGÍAS DE GESTIÓN DE RIESGOS

La mayoría de las organizaciones reconocen la función fundamental que la

tecnología de la información desempeña en sus objetivos de negocio; con
frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas
de seguridad antes de que afecten su negocio. La administración de la
seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha
convertido en una preocupación primordial para los departamentos de TI, y es
por esto que se ha implementado la Gestión de riesgos, que realizada de una
manera eficiente puede garantizar efectos económicos muy importantes para
cualquier organización, convirtiéndose en una herramienta par la toma de
decisiones.

Para esto se han diseñado algunas metodologías que conducen de una forma
útil al análisis de riesgos, ofreciendo a las organizaciones una guía de
procedimientos para la implementación y desarrollo de dicho análisis y la
minimización de los riesgos.

Existe una gran variedad de metodologías, muchas de ellas con

reconocimiento internacional, pero todas son distintas. Cada una tiene sus
particularidades, sus puntos fuertes.

Las principales metodologías son :

MAGERIT, metodología española de análisis y gestión de riesgos para los

sistemas de información, promovida por el MAP y diferente a la UNE 71504. Es
la metodología de análisis y gestión de riesgos elaborada por el Consejo
Superior de Administración Electrónica, como respuesta a la percepción de que
la Administración, y, en general, toda la sociedad, dependen de forma creciente
de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la

generalización del uso de las tecnologías de la información, que supone unos
beneficios evidentes para los ciudadanos; pero también da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que generen
confianza. MAGERIT interesa a todos aquellos que trabajan con información
digital y sistemas informáticos para tratarla. Si dicha información, o los servicios
que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber
cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que
están sometidos los elementos de trabajo es, simplemente, imprescindible para
poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que
no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

MODELO DE BOEHM: Esta estructurado en 7 factores. La seguridad esta

mínimamente mencionada. Se resalta la definición del factor de facilidad de
pruebas (Testeability) ya que esta característica es recomendable como una
buena práctica del desarrollo de software seguro.

Plantea 10 factores de riesgo críticos en los proyectos:

Riesgos en los recursos: Insuficiencias de personal, plazos y presupuestos

irreales.

Riesgos de los requerimientos. Desarrollo de funciones equivocadas, desarrollo

de interfaz de usuario equivocada, especificaciones excesivas, continuos
cambios de requerimientos.

Riesgos en la externalización: Insuficiencias en suministros externos de

componentes, insuficiencias en realizaciones externas de tareas.

Otros riesgos: Insuficiencias de rendimiento del sistema al funcionar en tiempo

real, optimismo sobre las capacidades de las tecnologías informáticas.

MODELO McFARLAN (Riesgos en proyectos): Plantea los siguientes factores

de riesgo:

Experiencia de la tecnología aplicable (factor subjetivo interno). Pero la

familiarización del equipo con el hardware, sistema operativo, gestores (DB,
DC) y lenguajes también pasa por encontrar/absorber la experiencia externa
como por ejemplo la formación.

Estructuración del proyecto (factor subjetivo externo): Los objetivos iniciales

del proyecto y sus resultados dependen de la claridad de los procedimientos
trasladados por la organización ”cliente” al equipo de desarrollo.
Tamaño del proyecto (factor objetivo, no reducible). Importa sobre todo el
tamaño (en coste años- hombre) o relativo al tamaño de proyecto que el equipo
desarrolla normalmente.

MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER , Tras las

etapas de identificación y evaluación de los riesgos, se simulan varios planes
para organizar la mejor generación inicial de medidas y el control de los
riesgos durante el desarrollo del proyecto.

EBIOS, metodología francesa de análisis y gestión de riesgos de seguridad de

sistemas de información. El método EBIOS permite apreciar y tratar los riesgos
relativos a la seguridad de los sistemas de información (SSI). Posibilita también
la comunicación dentro del organismo y también con los asociados para
contribuir al proceso de la gestión de los riesgos SSI. Brinda las justificaciones
necesarias para la toma de decisiones; puede utilizarse para numerosas
finalidades y procedimientos de seguridad, tales como la elaboración de
esquemas directivos, de políticas, de políticas de protección o de objetivos de
seguridad, de los planes de acción o de cualquier otra forma de pliego de
condiciones de SSI. EBIOS puede ser utilizado para estudiar tanto sistemas
por diseñar como sistemas ya existentes. En el primer caso, permite determinar
progresivamente las especificaciones de seguridad integrándose a la gestión
de proyectos. En el segundo caso, considera las medidas de seguridad
existentes e integra la seguridad a los sistemas en funcionamiento.

CRAMM, metodología de análisis y gestión de riesgos desarrollada por el

CCTA inglés.

CCTA Risk Analysis and Method Management (CRAMM), es una metodología

creada en 1987 por la Central Agency of Data Processing and
Telecommunications del Gobierno del Reino Unido.

Esta metodología comprende tres fases:

Fase 1: Establecimiento de objetivos de seguridad

Fase 2: Análisis de riesgos

Fase 3: Identificación y selección de salvaguardas

CRAMM es actualmente la metodología de Análisis de Riesgos utilizada por la
OTAN, el Ejército de Holanda, y numerosas empresas de todo el mundo.

OCTAVE, metodología de evaluación de riesgos desarrollada por el SEI

(Software Engineering Institute) de la Carnegie Mellon University.

Las actividades que realiza Octave son :

Inventario de activos

Criterio de evaluación de impacto

Criterio de evaluación de probabilidad

Evaluación de prácticas de seguridad

Selección de activos críticos

Requisitos de activos críticos

Perfiles de amenazas

Pruebas de intrusión
 CONCLUSIONES

Las metodologías de gestión de riesgos son una herramienta primordial para

detectar falencias en las organizaciones y establecer estrategias para su
corrección a través de la optimización de todos los recursos.

Tienen características en común con COBIT ya que se enfocan en evaluar los

procesos de las organizaciones y el manejo de la TI para minimizar los riesgos
existentes.

BIBLIOGRAFIA

 http://technet.microsoft.com/es-ar/library/dd574340.aspx

 http://www.di.uniovi.es/~aquilino/Asignaturas/ProyectosInformatica/Docu
mentos/07-GestionRiesgos.pdf

 http://www.ati.es/gt/seguridad/PtoEncuentroAreas/JMCrsg_2000-11-
07.pdf

 http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/ebiosv2-
methode-plaquette-2003-09-01_es.pdf