ANÁL

INSTRUCCIONES PA

1º DESCRIPCIÓN DE LA APLICACIÓN:

La presente aplicación ha sido diseñada como herramienta para facilitar el análisis de riesgos solicitado en l

A continuación se procederá a describir el contenido de cada hoja de la aplicación:

w Hoja «Ejemplo de análisis»: contiene un ejemplo de análisis de riesgos que podrás utilizar como referencia
w Hoja «Tablas AR»: incluye unas tablas orientativas para realizar las valoraciones de la probabilidad y el imp
w Hoja «Catálogo amenazas»: refleja las principales amenazas a considerar en el ámbito de un análisis de rie
w Hoja «Activos»: contiene un listado con los activos definidos para cada uno de los modelos de empresa pro
w Hoja «Cruces Activo-Amenaza»: se utilizará para especificar las amenazas que afectan a los activos del m
w Hoja «Análisis de Riesgos»: se utilizará para realizar el análisis de riesgos. Se debe indicar la probabilidad

2º FUNCIONAMIENTO DE LA APLICACIÓN:

w Paso 1: en la hoja «Activos» existe una columna llamada «aplicación». Esta columna contiene una lista de
apliquen dependiendo del modelo de empresa elegido (el resto se dejarán en blanco o se rellenarán con «N

w Paso 2: en la hoja «Cruces Activo-Amenaza» se muestra en la primera columna todas las amenazas y en
hoja «Activos»). El objetivo de esta hoja es incluir un «SI» (igual que en el paso 1) en los cruces entre activo
«Análisis de Riesgos».

w Paso 3: en la hoja «Análisis de Riesgos» se debe pulsar el botón «Mostrar activos» (en la esquina superio
elegidos, con cada una de las amenazas asociadas a dichos activos.

w Paso 4: en la hoja «Análisis de Riesgos» se debe elegir la probabilidad y el impacto de cada amenaza sob
(Bajo(1), Medio(2), Alto (3)). Una vez seleccionados se mostrara en la columna riesgos un número que repre
casilla del color correspondiente.
 ANÁLISIS DE RIESGOS

STRUCCIONES PARA REALIZAR LA ACTIVIDAD FINAL

de riesgos solicitado en la actividad final del curso.

s utilizar como referencia para realizar la actividad.

e la probabilidad y el impacto según una escala de tres valores.
mbito de un análisis de riesgos.
modelos de empresa propuestos en las instrucciones de la actividad final.
fectan a los activos del modelo elegido.
be indicar la probabilidad y el impacto de cada amenaza sobre cada uno de los activos.

mna contiene una lista de dos opciones (SI/NO). Hay que rellenar con «SI» los activos que se
o o se rellenarán con «NO»).

odas las amenazas y en la primera fila los indicadores de activos (que se corresponden con los de la
en los cruces entre activo y amenaza para que después se muestren automáticamente en la hoja

s» (en la esquina superior izquierda). Este botón mostrará automáticamente todos los activos

cto de cada amenaza sobre cada activo (se trata otra vez de una lista, pero con tres posibilidades
gos un número que representa el riesgo acorde a la tabla de la hoja «Tablas AR» y el fondo de la
 Esta información es facilitada por INCIBE de forma absolutamente gratuita y d
responsabiliza del uso que pueda

ANÁLISIS DE RIE
ACTIVO

Servidor 01 (Contabilidad)

Servidor 01 (Contabilidad)

Router Wifi (Clientes)

Router Wifi (Clientes)

Servidor 02 (Web)

Servidor 02 (Web)

…
 Este documento permite realizar un análisis de riesgos sencillo en base a una escala de probababilidad e

1. Determinar el riesgo aceptable por la organización, e indicarlo en la pestaña "Tablas AR".

2. Identificar los activos críticos de la organización.
3. Identificar las amenazas que aplican a cada uno de los activos críticos, según la pestaña "Catálog
4. Establecer la probabilidad y el impacto de que dicha amenaza se materialice, según los valores d
5. Establecer medidas para aquellos riesgos que superen el riesgo aceptable indicado.

Campos de la tabla:
Activo: Nombre del activo sobre el que se evalúa el riesgo.
Amenaza: Descripción de la amenaza a la que está expuesta el activo.
Probabilidad. Probabilidad de materialización de la amenaza.
Impacto. Impacto derivado de la materialización de la amenaza.
Riesgo. Valor de riesgo resultante.

En las pestañas de la hoja Excel se incluye información relevante sobre los niveles orientativos de proba
básico.

n es facilitada por INCIBE de forma absolutamente gratuita y debe considerarse como una primer
responsabiliza del uso que pueda hacerse de la misma.

ANÁLISIS DE RIESGOS
AMENAZA

Fuga de información

Degradación de los soportes de almacenamiento de la información

Caída del sistema por sobrecarga

Denegación de servicio

Denegación de servicio

Corte del suministro eléctrico

(Añadir a la tabla tantas filas como sea necesario)

escala de probababilidad e impacto de tres niveles. Instrucciones:

staña "Tablas AR".

según la pestaña "Catálogo Amenazas".

erialice, según los valores de la pestaña "Tablas AR".
ble indicado.

veles orientativos de probabilidad y riesgo, así como un catálogo de amenazas

arse como una primera aproximación. INCIBE no se

misma.

PROBABILIDAD IMPACTO RIESGO

2 3 6

1 3 3

1 2 2

2 1 2

3 2 6

1 2 2
 Esta información es facilitada por INCIBE de forma absolutamente gratuita y de
responsabiliza del uso que pueda h

TABLA PARA ESTIMAR LA P

VALOR

Bajo (1)

Medio (2)

Alto (3)

TABLA PARA ESTIMAR E

VALOR

Bajo (1)

Medio (2)

Alto (3)

CRITERIOS DE ACEPTACIÓN
RANGO

Riesgo <= 4

Riesgo > 4

SI
NO
 Debajo se recogen tablas orientativas para realizar las valoraciones de impacto seg
se desee conseguir, puede aumentarse el número de intervalos de la escala.

Asimismo, se incluye una tabla para la definición del riesgo aceptable, que debe se
de acuerdo a la estrategia corporativa.

a información es facilitada por INCIBE de forma absolutamente gratuita y debe considerarse com
responsabiliza del uso que pueda hacerse de la misma.

TABLA PARA ESTIMAR LA PROBABILIDAD

DESCRIPCIÓN

La amenaza se materializa a lo sumo una vez cada año.

La amenaza se materializa a lo sumo una vez cada mes.

La amenaza se materializa a lo sumo una vez cada semana.

TABLA PARA ESTIMAR EL IMPACTO

DESCRIPCIÓN

El daño derivado de la materialización de la amenaza no tiene consecuencias relevantes para la organización.

El daño derivado de la materialización de la amenaza tiene consecuencias reseñables para la organización.

El daño derivado de la materialización de la amenaza tiene consecuencias graves reseñables para la organizac

CRITERIOS DE ACEPTACIÓN DEL RIESGO

DESCRIPCIÓN

La organización considera el riesgo poco reseñable.

La organización considera el riesgo reseñable y debe proceder a su tratamiento.

de detalle que

is de riesgos

no se
 El siguiente listado recoge las principales a
extracto ligeramente modificado del catálo
Para información más detallada, pueden c
http://administracionelectronica.gob.es

Esta información es facilitada por INCIBE de forma absolutamente gra

Amenazas
Fuego Corte del suministro eléctri

Daños por agua Condiciones inadecuadas

Desastres naturales Fallo de servicios de comu

Interrupción de otros servic

Amenazas Desastres industriales

Fuga de información

Introducción de falsa información

Alteración de la información Degradación de los soport

Corrupción de la información Difusión de software dañin

Destrucción de información Errores de mantenimiento

Interceptación de información (escucha) Errores de mantenimiento

Caída del sistema por sobr

Pérdida de equipos

Indisponibilidad del person

Abuso de privilegios de ac

Acceso no autorizado
oge las principales amenazas a considerar en el ámbito de un análisis de riesgos. Se trata de un
odificado del catálogo de amenazas de MAGERIT.
detallada, pueden consultarse los catálogos de MAGERIT V3 en su página web:
electronica.gob.es/ctt/verPestanaDescargas.htm?idIniciativa=184#.U48C7Pl_tO4

absolutamente gratuita. INCIBE no se responsabiliza del uso que pueda hacerse de la misma.

Amenazas Amenazas
orte del suministro eléctrico Errores de los usuarios

ondiciones inadecuadas de temperatura o humedad Errores del administrador

allo de servicios de comunicaciones Errores de configuración

terrupción de otros servicios y suministros esenciales

esastres industriales Amenazas

Denegación de servicio

Amenazas Robo

egradación de los soportes de almacenamiento de la información Indisponibilidad del personal

fusión de software dañino Extorsión

rores de mantenimiento / actualización de programas (software) Ingeniería social

rores de mantenimiento / actualización de equipos (hardware)

aída del sistema por sobrecarga

érdida de equipos

disponibilidad del personal

buso de privilegios de acceso

cceso no autorizado
 riesgos. Se trata de un

a web:
48C7Pl_tO4

hacerse de la misma.

Amenazas
usuarios

ministrador

figuración

Amenazas
servicio

d del personal

al
 Identificador

Modelo A A1
A2
A3
Modelo B B1
B2

B3
B4
Modelo C C1
C2
C3
C4

C5
C6
C7
 Activo Aplicación

ordenador(es)
móvil(es) principalmente para telefonía
conexión a Internet e incluso wifi
ordenadores y conexión a Internet (con wifi)
dispositivos móviles para telefonía y datos
soluciones tecnológicas gratuitas para la gestión empresarial como correo
electrónico, CRM e incluso herramientas colaborativas o de almacenamiento
cloud
una página web sencilla alojada y gestionada por un proveedor externo
ordenadores e incluso algún servidor (web, correo electrónico,…)
conexión a Internet con wifi
dispositivos móviles con datos y apps para su trabajo
herramienta(s) comercial(es) de gestión de negocio (CRM y ERP)
página web / tienda online y redes sociales que gestionan desde la empresa
herramientas para empresas en la nube
e-administración para su relación con las AAPP
Amenaza/Activo A1 A2
Fuego
Daños por agua
Desastres naturales
Fuga de información
Introducción de falsa información
Alteración de la información
Corrupción de la información
Destrucción de información
Interceptación de información (escucha)
Corte del suministro eléctrico
Condiciones inadecuadas de temperatura o humedad
Fallo de servicios de comunicaciones
Interrupción de otros servicios y suministros esenciales
Desastres industriales
Degradación de los soportes de almacenamiento de la información
Difusión de software dañino
Errores de mantenimiento / actualización de programas (software)
Errores de mantenimiento / actualización de equipos (hardware)
Caída del sistema por sobrecarga
Pérdida de equipos
Indisponibilidad del personal
Abuso de privilegios de acceso
Acceso no autorizado
Errores de los usuarios
Errores del administrador
Errores de configuración
Denegación de servicio
Robo
Indisponibilidad del personal
Extorsión
Ingeniería social
A3 B1 B2 B3 B4 C1 C2 C3
C4 C5 C6 C7
 ANÁLISIS DE RIESGOS
Mostrar Activos Activo
ANÁLISIS DE RIESGOS
Amenaza Probabilidad Impacto Riesgo