Medición de Riesgos de Seguridad en

Tecnologías de la Información: Una Revisión

Sistemática de Literatura.
Facultad de Ingeniería
Universidad de Antioquia
Medellín, Colombia

Resumen: En esta era digital, a medida que
las organizaciones implementan sistemas de
Tecnologías de la Información (TI)
automatizada para procesar su información
permitiendo un mejor apoyo de sus misiones,
la gestión de riesgos de seguridad, y por lo
tanto la medición de estos, desempeña un
papel crítico en la protección de los activos de
información de una organización. A fin de
entender el progreso de la medición de
riesgos de seguridad en el campo tecnológico,
nos preguntamos: ¿Cómo medir Riesgos de
Seguridad (RS) en tecnologías de la
información? Para responder esta pregunta
hemos hecho una revisión sistemática de
trabajos realizados durante los últimos 15
años (2002-2017) obteniendo un resultado de
### publicaciones. A partir de estos
resultados, este informe presenta una síntesis
de la evidencia disponible de los principales,
más destacados y recientes métodos y
técnicas para medir RS en tecnologías de la
información. Los resultados de este trabajo
son relevantes para el entendimiento del
estado del arte de una medición de RS en TI,
proporcionando ideas abstraídas y Keywords: risk measurement on IT, security
condensadas desde fuentes altamente
confiables para consideración de interesados
en el tema.
Abstract: In this digital era, as organizations
implement automated information technology
(IT) to process their information allowing a
better support of their missions, security risk
management, therefore measurement of this,
performs a critical role in protecting an
organization’s information assets. In order to
understand the progress of the security risk
measurement in the technological field, we
ask: How to measure Security Risks (SR) on
Information Technologies? To answer this
question we have made a systematic review of
works performed during the last 15 years
(2002-2017) resulting in ### publications.
From these results, this paper presents a
synthesis of available evidence of the main,
most prominent and recent methods and
techniques for measuring SR on information
technologies. The results of this work are
relevant to understanding the state of the art of
SR measurement on IT, providing abstracted
and condensed ideas from highly reliable
source for consideration of those interested in
the subject.
on IT, information technology, methods,
techniques.

Palabras clave: medición de riesgos en TI,

seguridad en TI, tecnologías de la
información, métodos, técnicas.
I. Introducción Las tecnologías de la
información, son consideradas hoy en día
recursos estratégicos vitales para el correcto
funcionamiento de organizaciones y varios investigadores (Kolokotronis y otros,
empresas, tanto que se hace imprescindible
su utilización en los procesos ya que estas
mejoran la competitividad y la productividad.
Estas se han convertido en un apoyo
indispensable, sin embargo no están exentas
a amenazas de seguridad las cuales se
materializan en riesgos. “La decisión de
incorporar tecnología en los procesos del
negocio, trae consigo la decisión de
administrar el riesgo tecnológico
correspondiente” [1].
El departamento de informática de cada
compañía debe identificar los riesgos de
seguridad a los que están expuesta la
información con la implementación de TI, con
el fin de preservar la confidencialidad (la
información solo puede ser accedida por
entidades, procesos o personas autorizadas),
integridad (información precisa, coherente y
completa) y disponibilidad (la información
puede ser accedida en el momento que se
requiera) de la información [2], estableciendo
e implementando medidas que permitan tomar
decisiones acerca de cómo proteger la
información analizando los posibles percances
de forma oportuna, para así mitigar los riesgos
que pueda significar una posible violación a la
privacidad. Esta medición de RS es la forma
de identificar, evaluar y tomar acciones para
reducir el impacto de estos, a un nivel que se
considere aceptable, para esto se deben tener
en cuenta aspectos como la gravedad de la
vulnerabilidad y la probabilidad de la
ocurrencia así como los costos, no sólo
monetarios también legales que puedan
conllevar.
Medir los RS es esencial debido a que se
debe tener el control de todos los percances o
contratiempos que puedan surgir, además
medir permite contar con bases para
estimaciones futuras y tener argumentos
necesarios para saber cómo administrar los
riesgos [1].
Muchos esfuerzos han sido dedicados en
desarrollar métodos y técnicas para permitir a
los departamentos de informática de las
organizaciones medir los RS. Sin embargo,
debido a los constantes avances tecnológicos,
2002[3]; Suh y Han, 2003[4]; Spears, 2006[5];
Salmela, 2008[6]; Shedden y otros, 2010[7])
han encontrado que estos métodos dejan de
ser apropiados, convenientes y son limitados
para la medición, por lo que estos deben
evolucionar y adaptarse a las nuevas
tecnologías. En especial, Spears[5] ha
enumerado limitaciones en los métodos
tradicionales de análisis de riesgos. Primero,
la medición de riesgos tradicionales está
enfocada solo en tecnología, no en personas y
procesos como fuentes significativas de los
riesgos de seguridad. Segundo, una medición
conducida solo por factores tecnológicos
puede ser demasiado lenta y costosa.
Es por esto que surge la necesidad, no solo
de las compañías de informática, sino también
de personas relacionadas en temas de
tecnología en conocer y comprender los
métodos y técnicas1 que son aplicados
actualmente por investigadores o expertos en
medición de RS en tecnologías de la
información (TIs). A partir de esto se puede
obtener un gran provecho del estado del arte
de las técnicas y aprovechar este
conocimiento para suplir también la necesidad
de crear nuevos métodos 2 que permitan medir
los RS en TI de manera más óptima y
eficiente. Estas necesidades generan el
problema de desconocimiento de métodos
adecuados para la medición y/o el
conocimiento de métodos existentes que no
son efectivos ya que el surgimiento de la
tecnología va avanzando y estos deben ser
modificados. El problema y sus causas fueron
analizadas por medio de un diagrama de
Ishikawa, se presenta en la Figura 1.
1
Necesidades dentro de la categoría existencial tener y
categoría axiológica entendimiento de la matriz de
necesidades y satisfactores de Max Neef.
2
Necesidad dentro de la categoría existencial hacer y
categoría axiológica creación de la matriz de necesidades
y satisfactores de Max Neef.
 Figura 1. Diagrama de Ishikawa para el análisis del problema y sus causas.
Este informe ayuda a entender el progreso
que se ha hecho en el campo de la medición
de RS en TI durante los últimos 15 años.
Específicamente, estamos interesados en
responder la pregunta: ¿Cómo medir los RS
en tecnologías de la información? Detallamos
esta pregunta general para investigar las
características relevantes de los métodos y
técnicas de los trabajos identificados. Para
lograr este propósito, teniendo en cuenta el
trabajo de Kitchenham y otros [8], [9],
conducimos una Revisión Sistemática de
Literatura (RSL), la cual resultó en ###
publicaciones.
Se lleva a cabo una revisión de aspectos
cuantitativos y cualitativos de estudios
primarios[10], con el objetivo de resumir la
información existente respecto a la medición
de RS en TI. Este informe presenta las
contribuciones de investigadores y expertos
en el tema quienes pueden tener un mayor
entendimiento de la evolución de la medición
de RS durante los últimos años. Además los
resultados obtenidos proveen visiones de las
cuestiones y perspectivas relevantes que
deben ser consideradas para la creación de
nuevos métodos y técnicas. El repositorio
resultante de artículos encontrados estará
disponible online; esperamos que este recurso
facilitará el desarrollo de trabajos futuros
enfocados en contribuir el campo de la
medición de RS en TI.
II. Marco Conceptual.
Riesgo: El potencial de daño a un sistema o
activos asociados que existe como el
resultado de la combinación de una amenaza
y vulnerabilidad de seguridad. [14]
Riesgo de seguridad: Todo aquello que
puede ser utilizado con fines malintencionados
para causar perjuicios a los usuarios de un
ordenador. Por ejemplo, un programa
dedicado a crear virus o troyanos.[15]
Según la Organización Internacional por la
Normalización (ISO) un riesgo de seguridad, o
riesgo tecnológico, es la probabilidad de que
una amenaza se materialice, haciendo uso de
las vulnerabilidades existentes en un sistema
informático, generando pérdidas o daños ya
sea a la información, a programas o al sistema
en general. [16]
Seguridad informática: Disciplina cuyo
objetivo es el estudio de los métodos y medios
de protección frente a revelaciones,
modificaciones o destrucciones de la
información, o ante fallos de proceso,
almacenamiento o transmisión de dicha
información.[15]
Tiene como fin garantizar las condiciones y
características de los datos y la información,
como lo son: la confidencialidad (acceso
autenticado y controlado), la integridad (datos
completos y non-modificados) y la
disponibilidad (acceso garantizado). Hacer el
correcto manejo de estos peligros implica
conocerlos, clasificarlos y protegerse contra
daños.[17]
Tecnología de la información: (TI) Conjunto
de recursos físicos (hardware), lógicos
(software), de comunicación, de datos y otros
medios que se manejan en el contexto de un
sistema de información basado en
ordenadores.[15]
Métodos de medición de riesgos desde la
perspectiva técnica:
Métodos que solo se centran en recursos
tangibles, principalmente en el análisis de
vulnerabilidades y amenazas a los recursos
de información, y a partir de esto, decidir qué
medidas tomar en contra para reducir los
riesgos a un nivel aceptable [12].
Figura 2. Metodología General.
III.I Metodología de la Revisión Sistemática
de Literatura.
A fin de responder la pregunta “¿Cómo medir
los riesgos de seguridad en tecnologías de la
información?” hemos definido un conjunto de
criterios de exclusión e inclusión, los cuales
delimitan el alcance de la Revisión
Sistemática de Literatura (RSL). Estos
criterios incluyen la búsqueda de enfoques
dirigidos tanto a la perspectiva Técnica como
No Técnica en el dominio de las tecnologías
Métodos de medición de riesgos desde la
perspectiva no técnica:
Métodos que identifican y discuten la
importancia de las personas, sus
conocimientos y las actividades cotidianas que
desarrollan (creando y usando activos) como
recursos que las organizaciones deben tener
en cuenta para la medición de riesgos. Ya que
estos activos, no se tienen en cuenta en
métodos técnicos [12].
III. Metodología.
Primero se llevará a cabo la metodología de
una Revisión Sistemática de Literatura,
precisamente como lo propone Horkoff y
otros[11]. Una vez finalice el proceso de la
RSL desarrollamos un plan de análisis y
entrega de conclusiones (ver Figura 2).
de la información. La búsqueda fue limitada a
15 años (desde el 2002 hasta el 2017); con el
propósito de asegurar la calidad de las
propuestas (objeto de estudio),
seleccionaremos publicaciones en
conferencias, revistas o libros disponibles en
bases de datos científicas reconocidas. Un
resumen de los criterios de inclusión y
exclusión es presentado en la Tabla I.
Una vez identificados los enfoques,
formulamos preguntas más detalladas, En el primer paso hacemos una búsqueda
mostradas en la Tabla II. sistemática en varias bases de datos
científicas: IEEE, SPRINGER, ACM, DBLP y
TABLA I. CRITERIOS DE INCLUSIÓN Y EXCLUSIÓN DE SCOPUS; considerando nuestras preguntas
PUBLICACIONES
de investigación y alcance definimos el
Criterios de inclusión Criterios de Exclusión siguiente string de búsqueda:
Methods for measuring Methods for measuring
security risks in information security risks outside of the (“measurement” OR “estimation” OR
technologies from the information technologies
technical or non-technical domain, or “judgment” OR “management” OR
perspective or both and
“assessment” OR “analysis”) AND (“security
Published in 2002 or after, Published before 2002, or risks” OR “technical security risks” OR “non-
and technical security risks”) AND (“method” OR
In conference, journal, or in/is In opinion articles or “technique”) AND (“information technologies”
a book and OR “IT” OR “information systems”)
Cited by more than 3 Cited by less than 3
En los motores de búsqueda científicos
seleccionados, configuramos las fechas de
TABLA II. PREGUNTAS DE INVESTIGACIÓN
búsqueda a fin de obtener solo propuestas
PI0 ¿Cómo medir los riesgos de seguridad en tecnologías
de la información? desde el 2002. Usando los criterios de
inclusión / exclusión, filtramos los trabajos por
PI1 ¿Cómo clasificar los riesgos de seguridad en
tecnologías de la información? el título, abstract y si es necesario, la
introducción o conclusiones.
PI2 ¿Qué métodos y técnicas existen que permitan medir
los riesgos de seguridad en tecnologías de la
información? En el paso dos (conocido como snowballing
PI3 ¿Cómo priorizar los riesgos de seguridad en
process) tomaremos cada publicación
tecnologías de la información? identificada en el paso previo, escanearemos
sus referencias para seleccionar sólo las
Nuestra RSL está basada en el proceso relevantes; procedemos a evaluar los artículos
propuesto por Horkoff y otros[11]; seguiremos candidatos de la misma forma en que serán
el proceso por medio de dos pasos, enfocados evaluados en el paso 1, la Figura 3 resume el
a incrementar la cobertura de los propósitos. proceso de RSL.

Figura 3. proceso de RSL. como prioridad para el aseguramiento del

negocio” Artículo de Auditoría de TI.
REFERENCIAS Disponible en:
[1] R. Fuenzalida Contreras, E. Ambrosio https://www.auditool.org/blog/auditoria-de-
Pradel, “Riesgo tecnológico. Su medición
ti/827-riesgo-tecnologico-su-medicion-como-
prioridad-para-el-aseguramiento-del-negocio
[2] G. Cadena Rondero. Principios básicos de
seguridad de la información. Grupo de
Administración y Seguridad de la Información,
Oficina Tecnologías de la Información. 2016.
Disponible en:
https://docs.supersalud.gov.co/PortalWeb/OTI/
Seguridad%20De%20La%20Informacin/Prese
ntacion%20Principios%20Basicos%20Segurid
ad%20de%20la%20Informacion.pdf
[3] N. Kolokotronis, C. Margaritis, P.
Papadopoulou, P. Kanellis, and D. Martakos,
“An integrated approach for securing
electronic transactions over the web,”
Benchmarking International Journal, pp. 166–
181, no. 2, vol. 9, 2002. Disponible en:
http://www.emeraldinsight.com/doi/abs/10.110
8/14635770210421836
[4] Suh, B. and I. Han, 2003. The IS risk
analysis based on a business model. Inform.
Manage., 41: 149:158. [online]. Disponible en:
http://dl.acm.org/citation.cfm?id=958882
[5] Spears J.L. (2005). A Holistic Risk Analysis
Method for Identifying Information Security
Risks. In: Dowland P., Furnell S.,
Thuraisingham B., Wang X.S. (eds) Security
Management, Integrity, and Internal Control in
Information Systems. IFIP International
Federation for Information Processing, vol
193. Springer, Boston, MA. Disponible en:
https://link.springer.com/chapter/10.1007/0-
387-31167-X_12
[6] Salmela, H., 2008. Analysing business
losses caused by information systems risk: A
business process analysis approach. J. Inform
Technol., 23: 185-202. Disponible en:
https://link.springer.com/article/10.1057/palgra
ve.jit.2000122
[7] Shedden, P., Smith, W., & Ahmad, A.
(2010). Information security risk assessment:
towards a business practice perspective.
Retrieved from http://ro.ecu.edu.au/ism/98/
[8] B. Kitchenham, T. Dyba, and M.
Jorgensen, “Evidence-based software
engineering,” in Proc. of the 26th International
Conference on Software Engineering
(ICSE04), 2004, pp. 273–281. Disponible en:
http://dl.acm.org/citation.cfm?id=998675.9994
32
[9] B. Kitchenham, R. Pretorius, D. Budgen, O.
P. Brereton, M. Turner, M. Niazi, and S.
Linkman, “Systematic literature reviews in
software engineering – a tertiary study,”
Information and Software Technology, vol. 52,
no. 8, pp. 792 – 805, 2010. Disponible en:
http://www.sciencedirect.com/science/article/pi
i/S0950584910000467
[10] Manterola, C.; Astudillo, P.; Arias, E.;
Claros, N. & Grupo MINCIR (Metodología e
Investigación en Cirugía). Systematic reviews
of the literature: what should be known about
them. Cir. Esp., 91(3):149-55, 2013.
Disponible en: http://www.elsevier.es/es-
revista-cirugia-espanola-36-articulo-
revisiones-sistematicas-literatura-que-se-
S0009739X11003307
[11] J. Horkoff, T., F. Li, M. Salnitri, E.
Cardoso, P. Giorgini, J. Mylopoulos and J.
Pimentel. Taking Goal Models Downstream: A
Systematic Roadmap. Research Challenges in
Information Science (RCIS), IEEE Eighth
International conference on. Page(s): 1 – 12.
2014.
[12] Shamala, P., Ahmad, R. (2016). Generic
Taxonomy of Assets Identification During Risk
Assessment in Information Security
Management. International Business
Management 10(17): 3982-3991, 2016, ISSN:
1993-5250, Medwell Journals, 2016.
[13] Yazar, Z., 2002, A qualitative risk analysis
and management tool — CRAMM, SANS
Institute, http://www.sans.org.
[14] Kailay, M.P., and Jarratt, P. 1995.
"Ramex: A Prototype Expert System for
Computer Security RiskAnalysis and
Management," Computers & Security (14:5), p.
[15] Root Secure. (2008). Glosario de
seguridad. Disponible en:
https://rootsecure.wordpress.com/2008/03/11/
glosario-de-seguridad/
[16] Carrasquel, D.B. and Méndez, A. (S.F.).
Seguridad informática. Disponible en:
https://carrmen.jimdo.com/riesgo-informatico/
[17] Anónimo. (S.F.). Gestión de Riesgo en la
Seguridad Informática. Disponible en:
https://protejete.wordpress.com/gdr_principal/
definicion_si/