METODOLOGIAS DE GESTION DE RIESGOS

(OCTAVE, MAGERIT, DAFP)

BLANCA RUBIELA DUQUE OCHOA

CÓDIGO 1700210274

AUDITORÍA
CARLOS HERNÁN GÓMEZ

UNIVERSIDAD DE CALDAS
FACULTAD DE INGENIERÍA
CONTENIDO

1. Introducción ................................................................................................................................................ 2

2. Metodologías de Gestión de Riesgo ....................................................................................................... 2

2.1. El análisis y gestión de riesgos en su contexto ................................................................................. 2

2.2. Incidencias y recuperación .................................................................................................................... 3

3. Octave ......................................................................................................................................................... 4

3.1. Historia y Evolución ............................................................................................................................... 4

3.2. Descripción General de Octave .......................................................................................................... 5

3.3. Métodos .................................................................................................................................................. 6

3.3.1. Características y Ventajas de los Métodos .................................................................................... 8

3.3.2. Fases ................................................................................................................................................... 8

4. Magerit ....................................................................................................................................................... 9

4.1. Historia y Evolución .............................................................................................................................. 9

4.2. Descripción General de Magerit ..................................................................................................…… 10

4.3. Organización de las Guías ................................................................................................................ 10

4.4. Evaluación, Certificación, Auditoría y Acreditación ....................................................................... 12

5. Comparativo con Cobit ......................................................................................................................... 13

6. Dafp ......................................................................................................................................................... 13

6.1. Historia y Evolución ........................................................................................................................... 14

6.2. Descripción General de Dafp ........................................................................................................... 15

6.3. Objetivos de DAFP ............................................................................................................................ 15

6.4 Marco Conceptual ............................................................................................................................... 15

6.5. Metodología ........................................................................................................................................ 17

6.6. Contexto Estratégico ......................................................................................................................... 19

7. Conclusiones y Observaciones ........................................................................................................... 21

8. Referentes .............................................................................................................................................. 22
 1. Introducción

Hoy en día la gestión de riesgos, en el ámbito económico financiero, se inserta dentro de un

proceso conocido como Control Interno. El control interno es un concepto universalmente
conocido que ha carecido por mucho tiempo de un marco referencial común. Antiguamente
los sistemas de control interno se limitaban a las actividades de las áreas de contabilidad y
finanzas sin vínculo ni relaciones establecidas, no se consideraba el control interno como un
instrumento de gestión capaz de lograr la eficiencia y eficacia de sus operaciones.

Gestionar los riesgos eficientemente constituye hoy en día una preocupación de la alta
gerencia, según afirma Bernens (1997):" la grieta pequeña más grande en la armadura
corporativa es la dirección de riesgos". La gestión de riesgos se facilita cuando las entidades
desarrollan sus actividades sobre la base de sistemas de control interno acorde con las
exigencias actuales.

En el presente documento se presenta una descripción de tres de las más grandes

metodologías de gestión de riesgos usadas actualmente, estas son: Octave, Magerit y Dafp.

2. Metodologías de Gestión de Riesgos

Definición de Riesgo:
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos
causando daños o perjuicios a la Organización.
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es
importante saber qué características son de interés en cada activo, así como saber en qué
medida estas características están en peligro, es decir, analizar el sistema.

Análisis de riesgos:
Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización.

Gestión de riesgos:
Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los
riesgos identificados.

2.1 EL Análisis y gestión de riesgos en su contexto

Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que se encajan en la
actividad continua de gestión de la seguridad.
El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegidos se
encuentran los activos. En coordinación con los objetivos, estrategia y política de la
Organización, las actividades de gestión de riesgos permiten elaborar un plan de seguridad
que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se
acepta la Dirección.
La implantación de los controles de seguridad requiere una organización gestionada y la
participación informada de todo el personal que trabaja con el sistema de información. Es este
personal el responsable de la operación diaria, de la reacción ante incidencias y de la
monitorización en general del sistema para determinar si satisface con eficacia y eficiencia los
objetivos propuestos.

Este esquema de trabajo debe ser repetitivo pues los sistemas de información rara vez son
inmutables; más bien se encuentran sometidos a evolución continua tanto propia (nuevos
activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica en la que se
aprende de la experiencia y se adapta al nuevo contexto.
El análisis de riesgos proporciona un modelo del sistema en términos de activos, amenazas y
salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La
gestión de riesgos es la estructuración de las acciones de seguridad para satisfacer las
necesidades detectadas por el análisis.

2.2 INCIDENCIAS Y RECUPERACIÓN

Simétricamente, las personas involucradas deben ser conscientes de su papel y relevancia

continua para prevenir problemas y reaccionar cuando se produzcan. Es importante crear una
cultura de responsabilidad donde los potenciales problemas, detectados por los que están
cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisión. De esta
forma el sistema de salvaguardas responderá a la realidad.
Cuando se produce una incidencia, el tiempo empieza a correr en contra del sistema: su
supervivencia depende de la presteza y corrección de las actividades de reporte y reacción.
Cualquier error, imprecisión o ambigüedad en estos momentos críticos, se ve amplificado
convirtiendo lo que podía ser un mero incidente en un desastre.
Tanto de los éxitos como de los fracasos conviene aprender continuamente e incorporarlos al
proceso de análisis y gestión de riesgos. La madurez de una organización se refleja en la
pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las
salvaguardas de todo tipo, desde medidas técnicas hasta una óptima organización.

3. OCTAVE

Una evaluación efectiva de riesgos en la seguridad de la información considera tanto los

temas organizacionales como los técnicos, examina cómo la gente emplea la infraestructura
en forma diaria. La evaluación es de vital importancia para cualquier iniciativa de mejora en
seguridad, porque genera una visión a lo ancho de la organización de los riesgos de seguridad
de la información, proveyéndonos de una base para mejorar a partir de allí.
Para que una empresa comprenda cuáles son las necesidades de seguridad de la información,
OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el
riesgo.
En contra de la típica consultoría focalizada en tecnología, que tiene como objetivo los riesgos
tecnológicos y el foco en los temas tácticos, el objetivo de OCTAVE es el riesgo organizacional
y el foco son los temas relativos a la estrategia y a la práctica.
Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de
negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos
dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos,
Prácticas de seguridad Y Tecnología.

3.1 HISTORIA Y EVOLUCIÓN

OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prácticas de seguridad. La

tecnología es examinada en relación a las prácticas de seguridad, permitiendo a las compañías
tomar decisiones de protección de información basados en los riesgos de confidencialidad,
integridad y disponibilidad de los bienes relacionados a la información crítica.
El método OCTAVE permite la comprensión del manejo de los recursos, identificación y
evaluación de riesgos que afectan la seguridad dentro de una organización.
Exige llevar la evaluación de la organización y del personal de la tecnología de la información
por parte del equipo de análisis mediante el apoyo de un patrocinador interesado en la
seguridad.
El método OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y
tecnológicos:

 Identificación de la información a nivel gerencial.

 Identificación de la información a nivel operacional.

 Identificación de la información a nivel de usuario final.

Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta
OCTAVE:
  Consolidación de la información y creación de perfiles de amenazas.

 Identificación de componentes claves.

 Evaluación de componentes seleccionados.

 Análisis de riesgos de los recursos críticos.

 Desarrollo de estrategias de protección.

3.2 DESCRIPCIÓN GENERAL DE OCTAVE

Hay tres métodos OCTAVE:

Los métodos de OCTAVE se basan en los criterios del estándar con un enfoque en la práctica y
evaluación de la seguridad basada en la información de riesgo. Estos criterios establecen los
principios fundamentales y los atributos de gestión de riesgos que son utilizados por los
métodos de OCTAVE.

3.3 Método OCTAVE:

El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó más

empleados, pero el tamaño no fue la única consideración. Por ejemplo, las grandes
organizaciones suelen tener una jerarquía de múltiples capas y es probable que mantengan su
propia infraestructura informática, junto con la capacidad interna para ejecutar herramientas
de evaluación de la vulnerabilidad e interpretar los resultados en relación a los activos críticos.
El método utiliza una ejecución en tres fases que examina las cuestiones organizacionales y
tecnológicas, monta una visión clara de la organización y sus necesidades de información y
seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a cabo por
un equipo de análisis interdisciplinario de tres a cinco personas de la propia organización. El
método aprovecha el conocimiento de múltiples niveles de la organización, centrándose en:

 Identificar los elementos críticos y las amenazas a esos activos.

 La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que

exponen a las amenazas, creando un riesgo a la organización.

 El desarrollo de una estrategia basada en la protección de prácticas y planes de

mitigación de riesgos para apoyar la misión de la organización y las prioridades.

Estas actividades son apoyadas por un catálogo de buenas prácticas, así como encuestas y
hojas de cálculo que se puede utilizar para obtener y captar información durante los debates y
la solución de sesiones-problema.
GUÍA PARA LA IMPLEMENTACIÓN:

Proporciona todo lo que un equipo de análisis de necesidades debe utilizar para llevar a cabo
una evaluación de su organización. Incluye un conjunto completo de procesos detallados,
hojas de trabajo, y las instrucciones para cada paso en el método, así como material de apoyo
y orientación para la ejecución.

Material Introductorio Material del Método Materiales Adicionales

Preparación de la Para cada fase y Libro perfil de Activos.

dirección.
Adaptación de la
dirección.
Administración superior
de información.
Participantes de
información
proceso:
Resumen.
Directrices detalladas.
Hojas de trabajo.
Diapositivas y apuntes.
Catálogo de prácticas.
OCTAVE de flujo de datos.
Completos ejemplos de
resultados.
Y más …

Método OCTAVE-S:

Fue desarrollado en respuesta a las necesidades de organizaciones más pequeñas alrededor

de 100 personas o menos. Cumple con los mismos criterios que el método Octave pero está
adaptado a los limitados medios y restricciones únicas de las pequeñas organizaciones.
Octave-S utiliza un proceso simplificado y más hojas de trabajo diferentes, pero produce el
mismo tipo de resultados. Las dos principales diferencias en esta versión de Octave son:

1. Octave-S requiere un pequeño equipo de 3-5 personas que entienden la amplitud y

profundidad de la empresa. Esta versión no comienza con el conocimiento formal sino
con la obtención de talleres para recopilar información sobre los elementos
importantes, los requisitos de seguridad, las amenazas y las prácticas de seguridad. El
supuesto es que el equipo de análisis de esta información ya se conoce.

2. Octave-S incluye sólo una exploración limitada de la infraestructura informática. Las

pequeñas empresas con frecuencia externalizan sus procesos de TI por completo y no
tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de
vulnerabilidad.
GUÍA DE IMPLEMENTACIÓN:

Proporciona la mayor parte de lo que necesita un equipo de análisis para llevar a cabo una
evaluación. Incluye hojas de trabajo y orientaciones para cada actividad, así como una
introducción, la guía de preparación, y un ejemplo completo. No se incluye aún la adaptación
de orientación a reuniones o de información.

Material Introductorio Material del Método Materiales Adicionales

Introducción. Para cada fase y Los ejemplos de

proceso: resultados completos.
Preparación de
Orientación. Directrices.
Hojas de Trabajo.

Método OCTAVE ALLEGRO:

Es una variante simplificada del método de Octave que se centra en los activos de la
información. Igual que los anteriores métodos de Octave, Allegro se puede realizar de entrada
en un taller de entorno colaborativo, pero también es muy apropiado para las personas que
desean realizar la evaluación de riesgo sin una amplia participación de la organización o
experiencia.
Debido a que el enfoque principal de Octave Allegro es el activo de la información, la
organización de otros importantes activos se identifican y evalúan en función de los activos de
información a la que están conectados. Este proceso elimina la posible confusión sobre el
alcance y reduce la posibilidad de que la recolección de datos y de análisis se realice para los
activos que no estén claramente definidos, fuera del alcance de la evaluación, o que necesitan
más de la descomposición.
Consta de ocho pasos organizados en cuatro fases:

Fase 1 - Evaluación de los participantes desarrollando criterios de medición del riesgo con las
directrices de la organización: la misión de la organización, los objetivos y los factores críticos
de éxito.

Fase 2 – Cada uno de los participantes crean un perfil de los activos críticos de información,
que establece límites claros para el activo, identifica sus necesidades de seguridad, e identifica
todos sus contenedores.

Fase 3 - Los participantes identifican las amenazas a la información de cada activo en el

contexto de sus contenedores.
Fase 4 - Los participantes identifican y analizan los riesgos para los activos de información y
empiezan a desarrollar planes de mitigación.

GUÍA DE IMPLEMENTACIÓN:

Contiene todos los recursos necesarios para llevar a cabo una evaluación de seguridad de la
información. Incluye paso a paso las instrucciones detalladas para realizar la evaluación, hojas
de trabajo que acompaña al documento de la evaluación, materiales de apoyo para la
identificación y análisis de riesgos, y un ejemplo de una evaluación efectuada.

Material Introductorio Material del Método Materiales Adicionales

Introducción y Objetivo. Actividades detalladas, Información de guía del

método para cada paso. contenedor del activo.
Incluyendo:
Arboles de amenazas.
Antecedentes y
definiciones. Cuestionarios de riesgo
para cada tipo de riesgo.
Notas generales y
conceptos. Ejemplo completo de
hojas de actividades.
Pasos de la Actividad.

Ejemplos.

Notas especiales

Hojas de actividades.

3.3.1 CARACTERÍSTICAS Y VENTAJAS DE LOS MÉTODOS

Es dirigido a equipos pequeños de trabajo a través de las unidades de negocio y de TI de la

organización con el fin de trabajar juntos para abordar las necesidades de seguridad de la
organización.
Cada método se puede adaptar a una organización en un único entorno de riesgo, la
seguridad, resistencia a los objetivos y el nivel de habilidad.
Octave trasladó a la organización hacia una visión basada en el riesgo operativo de la
seguridad y las direcciones de la tecnología en un contexto de negocios.
 3.3.2 FASES:

 VSAN: Valoración de Seguridad de Alto Nivel.

 VSA: Valoración de Seguridad de Aplicaciones.
 VSR: Valoración de Seguridad de Redes.
 VSS: Valoración de Seguridad de Servidores.
 VST: Valoración de Seguridad de Telecomunicaciones

4. MAGERIT

Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior

de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en
general, toda la sociedad, dependen de forma creciente de las tecnologías de la información
para el cumplimiento de su misión.

La razón de ser de Magerit está directamente relacionada con la generalización del uso de las
tecnologías de la información, que supone unos beneficios evidentes para los usuarios; pero
también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que
generen confianza.
Interesa a todos aquellos que trabajan con información digital y sistemas informáticos para
tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos,
Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el
riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para
poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a
la improvisación, ni dependa de la arbitrariedad del analista.

4.1 HISTORIA Y EVOLUCIÓN

Actualmente se encuentra en la versión 2.0, el periodo transcurrido desde la publicación de la

primera versión de Magerit (1997), el análisis de riesgos se ha venido consolidando como paso
necesario para la gestión de la seguridad.

En Magerit v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta
evolución.
En particular se reconocerá lo que se denominaba submodelo de elementos: activos,
amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido
refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las
fases fundamentales de análisis y gestión. Se ha corregido y ampliado lo que se denominaba
“subestados de seguridad” dándole el nuevo nombre de “dimensiones” e introduciendo
nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo
el epígrafe de “estructuración del proyecto de análisis y gestión de riesgos”.
Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo
mismo de los detalles técnicos de los sistemas de información con los que se trabaja. Se
intenta una puesta al día; pero ante todo se intenta diferenciar lo que es esencial (y
permanente) de lo que es coyuntural y cambiará con el tiempo. Esto se traduce en
parametrizar el método de trabajo, referenciándolo a catálogos externos de amenazas y
salvaguardas que se podrán actualizar, adaptándose al paso del tiempo, tanto por progreso
tecnológico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian
como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto más éxito tengan los
sistemas, más usuarios tendrán y simultáneamente, más sujetos habrá interesados en abusar
de ellos o, simplemente, destruirlos.
Así pues, quede el método, abierto de forma que estando claro qué se hace y cómo, se
puedan adaptar los detalles a cada momento.
Por otro lado el paso de Métrica v2.1 a Métrica v3.0 ha supuesto una completa revisión de
este punto. En la v2.0 de Magerit aparece en el capítulo de “Desarrollo de Sistemas
Informáticos”, enfatizando primero el desarrollo de aplicaciones aisladas y luego el proceso de
desarrollo de sistemas de información completos.

4.2 DESCRIPCIÓN GENERAL DE MAGERIT

Magerit persigue los siguientes objetivos:

 Concientizar a los responsables de los sistemas de información de la existencia de

riesgos y de la necesidad de atajarlos a tiempo.

 Ofrecer un método sistemático para analizar tales riesgos.

 Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.

 Preparar a la Organización para procesos de evaluación, auditoría, certificación o

acreditación, según corresponda en cada caso.

4.3 ORGANIZACIÓN DE LAS GUÍAS:

La versión 2 de Magerit se ha estructurado en tres libros: “El Método”, un "Catálogo de

Elementos" y una "Guía de Técnicas".

EL MÉTODO

Describe los pasos y las tareas básicas para realizar un proyecto de análisis y gestión de riesgos,
y proporciona una serie de aspectos prácticos.
El capítulo 2 describe los pasos para realizar un análisis del estado de riesgo y para gestionar
su mitigación. Es una presentación netamente conceptual.
El capítulo 3 describe las tareas básicas para realizar un proyecto de análisis y gestión de
riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente
pautar roles, actividades, hitos y documentación para que la realización del proyecto de
análisis y gestión de riesgos esté bajo control en todo momento.

El capítulo 4 aplica la metodología al caso del desarrollo de sistemas de información, en el

entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos
desde el primer momento, tanto los riesgos a que están expuestos, como los riesgos que las
propias aplicaciones introducen en el sistema.
Como complemento, el capítulo 5 desgrana una serie de aspectos prácticos, derivados de la
experiencia acumulada en el tiempo para la realización de un análisis y una gestión realmente
efectivos.
Los apéndices recogen material de consulta:

 Glosario
 Referencias bibliográficas consideradas para el desarrollo de esta metodología
 Referencias al marco legal que encuadra las tareas de análisis y gestión
 El marco normativo de evaluación y certificación
 Las características que se requieren de las herramientas, presentes o futuras, para
soportar el proceso de análisis y gestión de riesgos
 Una guía comparativa de cómo Magerit versión 1 ha evolucionado en esta versión 2.
 Se desarrolla un caso práctico como ejemplo.

CATÁLOGO DE ELEMENTOS

Ofrece unas pautas y elementos estándar en cuanto a: tipos de activos, dimensiones de

valoración de los activos, criterios de valoración de los activos, amenazas típicas sobre los
sistemas de información y salvaguardas a considerar para proteger sistemas de información.
Se persiguen dos objetivos:

1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el
sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente,
centrándose en lo específico del sistema objeto del análisis.

2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y
unos criterios uniformes que permitan comparar e incluso integrar análisis realizados
por diferentes equipos.

Cada sección incluye una notación XML que se empleará para publicar regularmente los
elementos en un formato estándar capaz de ser procesado automáticamente por
herramientas de análisis y gestión.
Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la
misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de
partida para avanzar rápidamente sin distracciones ni olvidos.

GUÍA DE TÉCNICAS

Se trata de una guía de consulta que proporciona algunas técnicas que se emplean
habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos: técnicas
específicas para el análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles de
ataque, técnicas generales, análisis coste-beneficio, diagramas de flujo de datos, diagramas de
procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo (entrevistas,
reuniones y presentaciones) y valoración Delphi.
Es una guía de consulta. Según el lector avance por las tareas del proyecto, se le recomendará
el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como
proporcionar referencias para que el lector profundice en las técnicas presentadas.

4.4 EVALUACIÓN, CERTIFICACIÓN, AUDITORÍA Y ACREDITACIÓN

El análisis de riesgos es una piedra angular de los procesos de evaluación, certificación,

auditoría y acreditación que formalizan la confianza que merece un sistema de información.
Dado que no hay dos sistemas de información iguales, la evaluación de cada sistema concreto
requiere amoldarse a los componentes que lo constituyen. En análisis de riesgos proporciona
una visión singular de cómo es cada sistema, qué valor posee, a qué amenazas está expuesto y
de qué salvaguardas se ha dotado. Es pues el análisis de riesgos paso obligado para poder
llevar a cabo todas las tareas mencionadas, que se relacionan según el siguiente esquema:
DERECHOS DE UTILIZACIÓN
Magerit es una metodología de carácter público, perteneciente al Ministerio de la Presidencia
de España; su utilización no requiere autorización previa del mismo.

5 COMPARATIVO CON COBIT

COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT", recomienda "Crear y dar
mantenimiento a un marco de trabajo de administración de riesgos", alertándonos de esta
forma de la necesidad de realizar un Análisis de Riesgos, con el fin de poder desarrollar una
estrategia de mitigación de Riesgos minimizando el Riesgo Residual hasta un nivel aceptable
por la organización.
COBIT no especifica ninguna metodología ni herramienta de Análisis de Riesgos en particular,
por lo que deja a nuestra elección la metodología más conveniente según nuestras
necesidades. Aquí es donde se presenta una relación entre COBIT y Magerit ya que esta última
según la definición es una metodología de administración de riesgos que proporciona políticas
para asegurar la información relevante de una organización. A continuación se presenta una
definición de esta metodología:

MAGERIT es una metodología desarrollada en España por el Ministerio de Administraciones

Públicas, que estudia los riesgos soportados por los Sistemas de Información para recomendar
aquellas medidas más encaminadas a controlar su impacto. Sus objetivos básicos son, en
primer lugar, concienciar a los responsables de los sistemas de información de la existencia de
riesgos y de la necesidad de que éstos sean controlados antes de que se materialicen; en
segundo lugar, ofrecer un método sistemático para el análisis de dichos riesgos; en tercer
lugar, ayudar a descubrir y planificar medidas oportunas para mantener los riesgos bajo
control; y en cuarto lugar, ayudar a la Organización para que ésta se encuentre preparada
para procesos de evaluación, auditoría, certificación y acreditación.

6 DAFP

El tema de la Administración de Riesgos ya no es un tema nuevo para las entidades públicas,

en virtud de que el Estado colombiano mediante el Decreto 1537 de 2001 estableció que
todas las entidades de la Administración Pública deben contar con una política de
Administración de Riesgos tendiente a darles un manejo adecuado a los riesgos, con el fin de
lograr de la manera más eficiente el cumplimiento de sus objetivos y estar preparados para
enfrentar cualquier contingencia que se pueda presentar.
En este sentido, las entidades de la Administración Pública no pueden ser ajenas al tema de
los riesgos y deben buscar cómo manejarlos y controlarlos, partiendo de la base de su razón
de ser y de su compromiso con la sociedad; por esto se debe tener en cuenta que los riesgos
no solo son de carácter económico y están directamente relacionados con entidades
financieras o con lo que se ha denominado riesgos profesionales, sino que hacen parte de
cualquier gestión que se realice.

6.1 HISTORIA Y EVOLUCIÓN

A través del Decreto 1599 del 20 de mayo del 2005 se adoptó el Modelo Estándar de Control
Interno para todas las entidades del Estado de las que habla el artículo 5º de la Ley 87 de 1993;
este modelo presenta tres Subsistemas de Control: el Estratégico, el de Gestión y el de
Evaluación. La Administración del Riesgo ha sido contemplada como uno de los componentes
del Subsistema de Control Estratégico y ha sido definida en el Anexo Técnico “como el
conjunto de Elementos de Control que al interrelacionarse, permiten a la entidad pública
evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o
impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan
identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el
componente de control que al interactuar sus diferentes elementos le permite a la entidad
pública auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos”.

Al ser un componente del Subsistema de Control Estratégico, la Administración del Riesgo se

sirve de la planeación estratégica (misión, visión, establecimiento de objetivos, metas,
factores críticos de éxito), del campo de aplicación (procesos, proyectos, unidades de negocio,
sistemas de información), del componente ambiente de control y todos sus elementos
(acuerdos, compromisos y protocolos éticos, las políticas de desarrollo del talento humano y
el estilo de dirección), de la identificación de eventos (internos y externos) y de los resultados
generados por el componente direccionamiento estratégico y sus elementos de control
(planes y programas, modelo de operación y estructura organizacional). Así mismo, debe
tener en cuenta el elemento de control “controles” del Subsistema de Gestión al momento de
realizar la valoración de los riesgos (identificación, medición y priorización) y la formulación de
la política (o respuesta al riesgo: evitar, aceptar, reducir, transferir). Esta mirada sistémica
contribuye a que la entidad no solo garantice la gestión institucional y el logro de los objetivos,
sino que fortalece el ejercicio del control interno en las entidades de la Administración Pública.

La actualización de la cartilla Guía Administración del Riesgo obedece a la adopción del

Modelo Estándar de Control Interno y a la armonización de la metodología planteada por la
Dirección de Control Interno y Racionalización de Trámites del Departamento Administrativo
de la Función Pública con el MECI 1000:2005, con el fin de facilitarles a las entidades el
ejercicio de la Administración del Riesgo.
Además, esta metodología apunta a fortalecer los principios de la función administrativa,
enunciados en el artículo 209 de la Constitución Política de Colombia, el artículo 3º de la Ley
489 de 1998 y el Decreto 1537 de 2001, así como a dar cumplimiento a los principios
constitucionales de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y
publicidad, los cuales se ejercen mediante la descentralización, la delegación y la
desconcentración de funciones, recordando que una de las finalidades sociales del Estado es
el bienestar general y el mejoramiento de la calidad de vida de la población, acorde con los
enunciados contenidos en el artículo 366 de la Carta Magna y el artículo 4º de la Ley 489 de
1998.

6.2 DESCRIPCIÓN GENERAL DE DAFP

6.3 OBJETIVOS DE DAFP

GENERAL
Fortalecer la implementación y desarrollo de la política de la administración del riesgo a través
del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misión y
objetivos institucionales de las entidades de la Administración Pública.

ESPECÍFICOS

 Generar una visión sistémica acerca de la administración y evaluación de riesgos,

consolidada en un Ambiente de Control adecuado a la entidad y un Direccionamiento
Estratégico que fije la orientación clara y planeada de la gestión dando las bases para
el adecuado desarrollo de las Actividades de Control.

 Proteger los recursos del Estado, resguardándolos contra la materialización de los

riesgos.

 Introducir dentro de los procesos y procedimientos las acciones de mitigación

resultado de la administración del riesgo.
  Involucrar y comprometer a todos los servidores de las entidades de la Administración
Pública en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.

 Propender a que cada entidad interactúe con otras para fortalecer su desarrollo y
mantener la buena imagen y las buenas relaciones.

 Asegurar el cumplimiento de normas, leyes y regulaciones.

6.4 MARCO CONCEPTUAL

La Administración Pública, al ocuparse de los fenómenos de organización y gestión, no puede

ser ajena a las herramientas disponibles y a las nuevas tendencias en administración, para lo
cual requiere estar en constante actualización y abierta al cambio y a la aplicación de
diferentes instrumentos que les permitan a las entidades ser cada vez más eficientes, por lo
que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar
en un momento determinado el cumplimiento de los objetivos institucionales.

Por lo anterior, se hace necesario introducir el concepto de la Administración del Riesgo en las
entidades, teniendo en cuenta que todas las organizaciones, independientemente de su
naturaleza, tamaño y razón de ser, están permanentemente expuestas a diferentes riesgos o
eventos que pueden poner en peligro su existencia. Desde la perspectiva del control, el
modelo COSO interpreta que la eficiencia del control es la reducción de los riesgos, es decir, el
propósito principal del control es la eliminación o reducción de los riegos propendiendo a que
el proceso y sus controles garanticen de manera razonable que los riesgos están minimizados
o se están reduciendo y por lo tanto que los objetivos de la organización van a ser alcanzados.

Para el caso de las organizaciones públicas, dada la diversidad y particularidad de las

entidades en cuanto a funciones, estructura, manejo presupuestal, contacto con la ciudadanía
y el carácter del compromiso social, entre otros, es preciso identificar o precisar las áreas, los
procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e
incurrirse en riesgos que atentan contra la buena gestión y la obtención de resultados para
tener un adecuado manejo del riesgo.

Igualmente, es importante tener en cuenta que los riesgos están determinados por factores
de carácter externo, también denominados del entorno, y factores de carácter interno.
Entre los factores externos se destacan: la normatividad (a manera de ejemplo se pueden
mencionar cambios constitucionales como el de 1991, que propuso un Estado Social de
Derecho); jurisprudenciales, como los que se expresan en sentencias que declaran sin efecto
normas que venían aplicándose y que en un momento determinado pueden afectar las
funciones específicas de una entidad pública y por lo tanto sus objetivos.
También pueden mencionarse las reformas a la Administración y los constantes recortes
presupuestales que afectan la capacidad de gestión de las entidades públicas, lo cual, sumado
a la reducción o eliminación total del presupuesto de inversión, obliga a considerar en todo
momento el riesgo en que incurren las entidades al no poder cumplir con su objeto social.
Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los
controles existentes, los procesos y procedimientos, la disponibilidad presupuestal, la forma como
se vinculan las personas a las entidades, los intereses de los directivos, el nivel del talento humano,
la motivación y los niveles salariales, entre otros.

El Componente de la Administración del Riesgo en el Subsistema de Control Estratégico del

Modelo Estándar de Control Interno habilita a las entidades para emprender las acciones
necesarias que les permitan el manejo de eventos (riesgos) que puedan afectar
negativamente el logro de los objetivos institucionales.
Para ello se integran cinco Elementos de Control: el Contexto Estratégico, que permite
establecer los factores internos y externos que generan posibles situaciones de riesgo; la
Identificación de Riesgos, que define las causas (factores internos o externos) y efectos de las
situaciones de riesgo; el Análisis de Riesgos, que aporta probabilidad de ocurrencia; la
Valoración de Riesgos, para medir la exposición de la entidad a los impactos del riesgo. Todos
estos elementos conducen a la definición de criterios base a la formulación del estándar de
control que se consolida en las Políticas de Administración de Riesgos.

Para la implementación de este componente se toman como base los Planes y programas, el
Modelo de Operación y sus diferentes niveles de despliegue, a fin de establecer los posibles
riesgos de los procesos y las actividades. Este componente toma como base la identificación
de los factores internos o externos y de operación que puedan afectar el desarrollo de la
función administrativa de la entidad; una vez identificados se asocian a los procesos,
analizándolos, valorándolos y calificándolos en términos de su impacto en la gestión.
Finalmente, este resultado permitirá definir las directrices para la Administración del Riesgo.
Al terminar la implementación del Componente de Administración de Riesgo se espera
obtener los siguientes productos:

 Análisis de los factores externos e internos que implican exposición al riesgo.

  Reconocimiento de situaciones de riesgo o los riesgos que afectan el cumplimiento de
los objetivos de la entidad.

 Medidas de respuesta ante los riesgos identificados.

 Políticas de Administración de Riesgos identificados.

6.5 METODOLOGÍA

Las entidades de la Administración Pública deben darle cumplimiento a su misión

constitucional y legal a través de los objetivos institucionales, los cuales desarrollan programas
y proyectos a partir del diseño y ejecución de los diferentes planes. El cumplimiento de dichos
objetivos se puede ver afectado por la presencia de riesgos, ocasionados por factores tanto
internos como externos, razón por la cual se hace necesario contar con acciones tendientes a
administrarlos dentro de la entidad.
El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad. Con el
fin de asegurar dicho manejo, es importante que se establezca el entorno de la entidad, la
identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de
los riesgos:

 Contexto estratégico

 Identificación de riesgos

 Análisis de riesgos

 Valoración de riesgos

 Políticas de Administración de Riesgos

DIRECTRICES GENERALES
Las etapas sugeridas para una adecuada Administración del Riesgo son las siguientes:

Compromiso de la alta y media dirección:

Para el éxito en la implementación de una adecuada Administración del Riesgo, es

indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de
estimular la cultura de la identificación y prevención del riesgo y, en segunda instancia, de
definir las políticas. Para lograrlo es importante la definición de canales directos de
comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los
espacios y asignando los recursos necesarios. Así mismo, debe designar a un directivo de
primer nivel para que asesore y apoye todo el proceso de diseño e implementación del
Componente de Administración del Riesgo.

Conformación de un Equipo MECI:

Es importante conformar un equipo que se encargue de liderar el proceso de administración

del riesgo dentro de la entidad y cuente con un canal directo de comunicación con el
designado de la dirección y las personas designadas para trabajar el tema en las diferentes
dependencias. Dicho equipo lo deben integrar personas de diferentes áreas que conozcan
muy bien la entidad y el funcionamiento de los diferentes procesos, para que se facilite la
administración del riesgo y la construcción de los mapas de riesgos institucionales.

Capacitación en la metodología:

Definido el Equipo MECI, debe capacitarse a sus integrantes en la metodología de la

Administración del Riesgo y su relación con los demás Subsistemas y Elementos de Control del
MECI 1000:2005, para lo cual se podrá contar con el apoyo del Departamento Administrativo
de la Función Pública. Así mismo, los gerentes públicos en el proceso de actualización de sus
asuntos misionales deben integrar a partir de las problemáticas de su entorno los factores de
riesgo inherentes al desarrollo institucional y administrativo.

ILUSTRACIÓN: PROCESO DE ADMINISTRACIÓN DEL RIESGO

 6.6 CONTEXTO ESTRATÉGICO

Para la formulación y operacionalización de la política de administración del riesgo es

fundamental tener claridad de la misión institucional, sus objetivos y tener una visión
sistémica de la gestión, de manera que no se perciba esta herramienta gerencial como algo
aislado del mismo accionar administrativo. Por ende, el diseño se establece a partir de la
identificación de los factores internos o externos a la entidad que pueden general riesgos que
afecten el cumplimiento de sus objetivos.

Así, el anexo técnico del Decreto 1599 de 2005 se define como “Elemento de Control, que
permite establecer el lineamiento estratégico que orienta las decisiones de la entidad pública,
frente a los riesgos que pueden afectar el cumplimiento de sus objetivos producto de la
observación, distinción y análisis del conjunto de circunstancias internas y externas que
puedan generar eventos que originen oportunidades o afecten el cumplimiento de su función,
misión y objetivos institucionales”.

Este contexto estratégico es la base para la identificación de los riesgos en los procesos y
actividades. El análisis se realiza a partir del conocimiento de situaciones del entorno de la
entidad, tanto de carácter social, económico, cultural, de orden público, político, legal y/o
cambios tecnológicos, entre otros; se alimenta también con el análisis de la situación actual de
la entidad, basado en los resultados de los componentes de ambiente de control, estructura
organizacional, modelo de operación, cumplimiento de los planes y programas, sistemas de
información, procesos y procedimientos y los recursos económicos, entre otros.
Se recomienda la aplicación de varias herramientas y técnicas; por ejemplo: entrevistas
estructuradas con expertos en el área de interés, reuniones con directivos y con personas de
todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de
ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la
entidad, usar diagramas de flujo, análisis de escenarios y hacer revisiones periódicas de
factores económicos y tecnológicos que puedan afectar a la organización, entre otros.
Igualmente, pueden utilizarse diferentes fuentes de información de la entidad, tales como
registros históricos, experiencias significativas registradas, opiniones de especialistas y
expertos, informes de años anteriores, los cuales pueden proporcionar información
importante. La técnica utilizada dependerá de las necesidades y naturaleza de la entidad.
Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:

 Identificar los factores externos que pueden ocasionar la presencia de riesgos, con
base en el análisis de la información externa y los planes y programas de la entidad.

 Identificar los factores internos que pueden ocasionar la presencia de riesgos con base
en el análisis de los componentes Ambiente de Control, Direccionamiento Estratégico
y demás estudios que sobre la cultura organizacional y el clima laboral se hayan
adelantado en la entidad.

 Aportar información que facilite y enriquezca las demás etapas de la Administración

del Riesgo.
  El Contexto Estratégico debe tener en cuenta el contexto organizacional en el cual se
verifican los objetivos de la entidad y de los procesos para comprender hacia dónde va
la entidad y cuál es su misión. De esta manera se logra centrar desde su inicio el
proceso de Administración de Riesgos en la consecución de los objetivos que se ha
planteado la entidad.

Así mismo, es necesario que en este punto la entidad se plantee cuál es el contexto en que se
desarrolla la Administración del Riesgo, estableciendo las metas, los objetivos, estrategias,
alcance y parámetros para llevarla a cabo, teniendo en cuenta que esta no es un fin en sí
misma, sino un medio para lograr el cumplimiento de los objetivos propuestos.

EJEMPLO DE FACTORES INTERNOS Y EXTERNOS DE RIESGO

Factores Externos Factores Internos

Económicos: Disponibilidad de Infraestructura: Disponibilidad de activos,

capital, emisión de deuda o no pago
de esta, liquidez, mercados
financieros, desempleo,
competencia.
capacidad de los activos, acceso al
capital.
Personal: Capacidad del personal,
salud, seguridad.

Medioambientales: Emisiones y Procesos: Capacidad, diseño, ejecución,

residuos, energía, catástrofes proveedores, entradas, salidas,
naturales, desarrollo sostenible. conocimiento.

Políticos:
Cambios de Gobierno.
Legislación, políticas públicas, Tecnología: Integridad de datos,
regulación. disponibilidad de datos y sistemas,
desarrollo, producción, mantenimiento.

Sociales:
Demografía, responsabilidad social,
terrorismo.

Tecnológicos: Interrupciones, comercio

electrónico, datos externos, tecnología
emergente.
7 CONCLUSIONES Y OBSERVACIONES

El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración activa de las
personas involucradas en el sistema de información, especialmente si la actitud es negativa,
contraria o de “luchar contra las medidas de seguridad”. Es por ello que se requiere la
creación de una “cultura de seguridad” que, emanando de la alta dirección, conciencie a todos
los involucrados de su necesidad y pertinencia.
Son dos los pilares fundamentales para la creación de esta cultura:

 Una política de seguridad corporativa que se entienda (escrita para los que no son
expertos en la materia), que se difunda y que se mantenga al día.

 Una formación continua a todos los niveles, recordando las cautelas rutinarias y las
actividades especializadas, según la responsabilidad adscrita a cada puesto de trabajo.

A fin de que estas actividades cuajen en la organización, es imprescindible que la seguridad

sea :

Mínimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque

alcanzar los objetivos de productividad propuestos.

Sea “natural”: que no dé pie a errores gratuitos, que facilite el cumplimiento de las buenas
prácticas propuestas.

Practicada por la Dirección: que dé ejemplo en la actividad diaria y reaccione con presteza a
los cambios e incidencias.

Los activos de información y los equipos informáticos son recursos importantes y vitales, sin
ellos las organizaciones quedarían paralizadas en sus actividades y por tal razón es necesario
preservarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la
información y los sistemas informáticos estén apropiadamente protegidos de muchas clases
de amenazas y riesgos. Para tal acción deben emplearse medidas y políticas de seguridad las
cuales tienen como finalidad proporcionar instrucciones específicas sobre qué y cómo
mantener seguras las tecnologías de información.

En conclusión, por tanto, podemos afirmar que cualquier metodología de análisis de riesgos
conlleva de forma implícita una identificación / inventario de activos, una reflexión sobre el
posible catálogo de amenazas que pueden afectar a los mismos, la medición de su impacto y
probabilidad de ocurrencia, así como una recomendación final sobre las salvaguardas más
apropiadas para minimizar el riesgo.
8 REFERENTES

 Consejo Superior de Administración Electrónica. MAGERIT-versión 2. Metodología de

Análisis y Gestión de Riesgos de los Sistemas de Información. Disponible en:
http://www.csi.map.es/csi/pg5m20.htm

 CERT – Software Engineering Institute (2008). OCTAVE. Disponible

en:http://www.cert.org/octave/

 Ministerio de Administraciones Públicas. Madrid (2006). MAGERIT – versión 2.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información I-
Método. Disponible en:
http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf

 Tutorial de Seguridad Informática. Disponible en: http://redyseguridad.fi-

p.unam.mx/proyectos/tsi/capi/Cap1.html

 Fluidsignal Group (2003). Arquitectura de Seguridad Informática. Disponible en:

http://www.slideshare.net/fluidsignal/arquitectura-de-seguridad-de-la-informacin-
delima

 Escuela Superior de Administración Pública –ESAP- (2009). Guía de Administración del

Riesgo. Departamento administrativo de la función pública. Disponible en:
http://www.dafp.gov.co/dmdocuments/GUIAADMINISTRACIONRIESGO.pdf