5.1.

2 Procesos de Gestión del Riesgo

PAR
• Método de Análisis • Plan de Seguridad
de Riesgos • Proyecto de Análisis
MAR de Riesgos PS

Figura 5.1.2. Actividades Formalizadas – fuente: Libro 1 de Magerit versión 3

a. Método de Análisis de Riesgos:

 Se determina los Activos relevantes de la Organización.
 Se determina las Amenazas por cada Activo, Mapa de Amenazas.
 Se determina las Salvaguardas por cada Amenaza.
 Se estima el Impacto y Probabilidad por cada Amenaza.
 Se estima el Riesgo por cada Amenaza.

b. Proyecto de Análisis de Riesgos:

 Actividades Pre Liminares:
o Estudio de Oportunidad.
o Determinación del Alcance del Proyecto.
o Planificación del Proyecto.
o Lanzamiento del Proyecto.
 Elaboración del Análisis de Riesgos:
o Entrevistas con especialistas y los stakeholders.
o Análisis Estadístico de Eventos.
 Comunicación de Resultados

c. Plan de Seguridad:
 PS1. Identificación de Proyecto de Seguridad.
 PS2. Plan De Ejecución.
 PS3. Ejecución.
 Gestión de
Riesgos

1. Análisis 2. Tratamiento

Figura 5.1.3. Gestión de Riesgos – fuente: Libro 1 de Magerit versión 3

1. Roles y Responsabilidades:
Responsabilidad

i Tarea Dirección Gerencia Gerencia Jefe de Equipo

Adm Fin TI de TI
1 Niveles de seguridad requeridos por la I C I A R
información
2 Niveles de seguridad requeridos por el I C I A R
servicio
3 Análisis de riesgos I C C A R
4 Declaración de aplicabilidad I A C R R
5 Aceptación de riesgo residual I A C R R
6 Implantación de las medidas de I C I A R
seguridad
7 Supervisión de las medidas de I C I A R
seguridad
8 Estado de seguridad del sistema I I C A R
9 Planes de mejora de la seguridad I C I A R
1 Planes de concientación y formación I A C R R
0
1 Planes de continuidad I C I A R
1
1 Seguridad en el ciclo de vida I I C A R
2

2. Criterios de Valorización:
Valorización de la Probabilidad de Amenazas: Cualitativa y Cuantitativa
Probabilidad
MA MUY ALTA 5
A ALTA 4
M MEDIA 3
B BAJA 2
MB MUY BAJA 1
Valorización del Impacto de las Amenazas: Cualitativa y Cuantitativa
Impacto
MA MUY ALTA 5
A ALTA 4
M MEDIA 3
B BAJA 2
MB MUY BAJA 1

Valorización del Riesgo: Cualitativa y Cuantitativa

Niveles de Riesgo
MA MUY ALTA 25 - 17
A ALTA 16 - 10
M MEDIA 9-5
B BAJA 4-3
MB MUY BAJA 2-1

Se han interpretado los riesgos en términos de probabilidad por impacto en el negocio o misión de
la Organización.

Se han identificado y valorado opciones de tratamiento de los riesgos, donde los órganos de
gobierno (stakeholders) han adoptado una lista de tratamiento
— evitar el riesgo
— prevenir: mitigar la probabilidad de que ocurra
— mitigar el impacto si ocurriera
— compartir el riesgo con un tercero
— asumir el riesgo

Se han previsto recursos para acometer el plan de seguridad.

Se han previsto recursos para atender a contingencias.
Se han comunicado las decisiones a las partes afectadas.
Se ha desplegado un sistema de monitorización constante para detectar modificaciones en los
supuestos de análisis de riesgos.
Se han establecido las normas y procedimientos de actuación en caso de detectar desviaciones de
los supuestos.
 PROCESO DE GESTIÓN DE RIESGOS
i Código Nombre Vulnerabilidad / Amenaza SALVAGUARDAS TRATAMIENTO Impacto Probabilidad Riesgo
Contrato con
Principales No renovación de
1 E001 Clientes contratos Protecciones Generales Mitigar
Procedimientos de
No seguimiento de la Autenticación de usuarios
H vigencia de los contratos de sistemas Mitigar 5 4 9
No renovación de
H tool contratos Gestionar incidencias Mitigar 2 2 4
No seguimiento de la Registro de Ingresos y
H.AU vigencia de los contratos Salidas de Personal Mitigar 3 3 6
Contrato con
Principales Falta de inclusión de
2 E002 Proveedores parámetros en el acta. Auditorias Compartir 4 4 8

D Robo de Datos Proteccion de datos Compartir

Divulgación de Datos Protección de la
D-DS críticos información Compartir 4 4 8
Acta de
ConstiTución de la Falta de presupuesto Copias de seguridad en
3 E003 Empresa económico cintas(backups) Mitigar 3 3 6
Falta de personal
S capacitado Cifrado de la información Mitigar 4 3 7
Falta de diseño de
K-comms arquitectura previo Cifrado de documentos Mitigar 5 5 8
Falta de seguimiento y
auditorías del diseño de
S.A arquitectura. Politica de confidencialidad Mitigar
Falta de procesos bien Politicas de accesos a la
4 E004 Cuentas Bancarias definidos información Mitigar 4 4 8
No existen directrices en la
H empresa Protección de los servicios Mitigar
 Desintegración de la
empresa por correo de
S negocio Protección de los servicios Mitigar
Arquitectura de Divulgación de Datos Gestion de cambios y
1 A001 Sistemas críticos mejoras Mitigar 3 2 5
Ingresar datos errones con Protección de correo
Sw propósito para su robo electrónico Mitigar 4 4 8
Protección de las
SW-star Robo de Datos aplicaciones Mitigar
Protección delas
Alteración de datos aplicaciones informáticas Mitigar 2 2 4
Gestión de copias de
Esquema de seguridad de las
2 A002 Procesos Alteración de datos aplicaciones Mitigar 1 2 3
gestión de cambios y
Divulgación de Datos actualización de las
Sw críticos aplicaciones Mitigar 1 1 2
HW Robo de Datos Protección de los equipos Mitigar
Datos de Clientes Divulgación de Datos Protección de los equipos
1 D001 y Proveedores críticos informáticos Mitigar 2 4 6
Aplicación de perfiles de
Alteración de datos seguridad Mitigar
Aseguramiento de la
2 D002 Inventarios Alteración de datos disponibilidad Compartir 2 2 4
Divulgación de Datos
3 D003 Titulos Valor críticos Gestión de mantenimiento Compartir 3 3 6
Protección de las
COM Alteración de datos comunicaciones Compartir
Estados Contables Protección en los equipos
4 D004 y Financieros Alteración de datos de comunicaciones Mitigar 1 1 2
Interferencia en la Gestión de la disponibilidad
comunicación, alteración de los equipos de
de la información comunicaciones Mitigar 2 2 4
Claves de gestión de mantenimi de
1 K001 Servidores Robo de ancho de banda equipos de comunicaciones Compartir 3 3 6
 Protección de las
Perdida de continuidad instalaciones Compartir
Perdida de Integración con Protección delas
otros sistemas instalaciones Mitigar 2 2 4
2 K002 Firma Digital SEE Perdida de continuidad Control de accesos físicos Compartir 4 4 8
Claves de usuarios Perdida de Integración con Aseguramiento de la
3 K003 principales otros sistemas disponibilidad Mitigar 5 5 10
Seguridad relativa al
Perdia de continuidad personal Mitigar
Servicio de Planes de Seguridad
1 S001 Consulta de CdP Robo de los equipos Ocupacional Compartir 1 1 2
Servicio de
2 S002 Telefonía Daño de los equipos Compartir 2 2 4
Servicio de Salvaguarda de tipo
3 S003 Internet Perdia de continuidad organizativo Compartir
Plan estratégico
1 SW001 Osiris Robo de los equipos institucional Mitigar 2 2 4
Daño de los equipos Plan Operativo Mitigar 3 3 6
2 SW002 BioStar Perdia de continuidad Plan de seguridad Mitigar 1 1 2
Robo de los equipos Mitigar 2 2
3 HW003 Servidores Daño de los equipos Continuidad de Operaciones Compartir
Planes de continuidad de
Perdia de continuidad operaciones Compartir 2 1 3
Plan de recuperación ante
Robo de los equipos desastres Compartir 2 2 4
2 HW002 Teléfonos IP Daño de los equipos Compartir 1 1 2
Perdia de continuidad Externalizacion Compartir 2 2 4
Politicas y procedimientos
Robo de los equipos de outsourcing Compartir 1 1 2
Equipos de
1 HW001 Usuario Daño de los equipos Gestión de personal externo Compartir 2 2 4
Perdia de continuidad Compartir 3 3 6
Robo de los equipos Compartir 1 1 2
1 COM001 Switches Daño de los equipos Adquisición y desarrollo Compartir
Robo de los equipos Politicas de adquisiciones Compartir 3 4 7
Politcias de implementación
Daño de los equipos de Proyectos Compartir 4 5 9
Procedimientos de
2 COM002 Routers Robo de los equipos adquisisciones Compartir 2 10 12
Daño de los equipos Compartir 2 2 4
Perdia de continuidad Compartir 1 1 2
Access Point y
3 COM003 otros Robo de los equipos Compartir 2 2 4
Daño de los equipos Compartir 1 1 2
Robo de los equipos Compartir 2 2 4
Cintas de
1 Media001 Almacenamiento Robo de los equipos Compartir 3 3 6
Daño de las instalaciones,
humedad, no soporte a
fuegos Compartir 2 10 12
Daño de las instalaciones,
humedad, no soporte a
2 Media002 Discos Externos fuegos Compartir 2 2 4
Robo de las unidades Compartir 3 2 6
1 AUX001 UPS Daño de las unidades Compartir 2 1 3
Robo de las unidades Compartir 2 2 4
Daño de las unidades Compartir 1 1 2
Aire Rotación de personal
2 AUX002 Acondicionado constante Compartir 2 2 4
3 AUX003 Bastidores Alteración de datos Compartir 3 3 6
1 L001 Data Center Alteración de permisos Compartir 2 2 4
2 L002 Oficinas Pérdida de la gestión Compartir 3 3 6
Vehículos de
Transporte
3 L003 Personal Fuga de talentos Compartir 1 1 2
 Fuga de datos o
desarrollos Mitigar 2 2 4
Vehículos de
Transporte de
4 L004 Mercadería Mitigar 4 4 8
Mitigar 1 2 3
1 P001 Usuarios Internos Mitigar 2 2 4
2 P002 Usuarios Externos Mitigar 3 3 6
Usuarios
3 P003 Administradores Mitigar 1 2 3
Mitigar 1 2 3
4 P004 Desarrolladores Mitigar 2 2 4
Mitigar 3 3 6
1 X001 XML SEE Mitigar 1 2 3