Unidad 1 / Escenario 1

Lectura fundamental

Introducción al análisis de riesgos

Contenido

1 ¿Qué es un plan de comunicación?

2 Conceptos fundamentales para el análisis de riesgos

Palabras clave:
Riesgo, vulnerabilidad, amenaza, probabilidad, impacto.
1. Introducción al análisis de riesgo
Como hemos visto en los módulos desarrollados hasta el momento, la importancia que ha adquirido
la seguridad de la información se debe al complejo escenario en el cual operan las empresas,
debido al uso de Internet y otras redes propias del negocio. El núcleo de la arquitectura de la red
ha cambiado, pues ya no solo es de interés el entorno computacional, sino también todas las áreas
de la organización en las cuales se produce y recibe un volumen de información importante. Dichas
áreas son dependientes de Internet, facilitando a los usuarios sus labores a nivel de servicio y
funcionalidades. Sin embargo, su uso expande la visibilidad de las organizaciones en el mundo virtual
abriendo puertas a potenciales riesgos de seguridad.

No obstante, la seguridad va más allá de los controles técnicos que colocamos para proteger los
activos de una empresa, puesto que dichos controles deben ser seleccionados bajo un análisis de las
capacidades de la compañía para su adquisición, implementación y administración. La evaluación de
dichas capacidades requiere integrar los principios de la seguridad de la información y el análisis de
riesgos. Es decir, la gestión de la seguridad incluye todas las actividades necesarias para mantener
un programa de seguridad funcional, actualizado y mejorado, lo cual incluye el manejo del riesgo,
la documentación, la implementación de control de seguridad, la administración, procedimientos,
procesos, auditoría, permanente capacitación en la materia y sensibilización a los usuarios finales para
que sean más conscientes de su función en dicho programa.

Así pues, existen herramientas que contribuyen con dicho objetivo, como el análisis de riesgos, el cual
identifica los activos críticos, descubre las amenazas a las cuales se exponen estos, a partir del análisis
de vulnerabilidades, y suele estimar el posible daño y las potenciales pérdidas que una organización
podría soportar si alguna de estas amenazas se convirtiera en realidad. Adicionalmente, el análisis de
riesgos ayuda a la construcción de gestión de un presupuesto con los fondos necesarios para proteger
los activos y contribuye en el desarrollo de políticas de seguridad aplicables que proveen dirección a
las actividades de seguridad.

En consecuencia, el objetivo final del análisis de riesgos es identificar, implementar y mantener los
controles seleccionados para la protección, con el fin de mantener los riesgos en seguridad de una
compañía en un nivel aceptable. Esto se logra por medio de un proceso metodológico estructurado
y claramente definido al interior de la organización y con sensibilización y formación en temas
relacionados con seguridad de la información a los empleados, de tal manera que se entienda la
función de cada uno en el ambiente de seguridad y se mantenga una disposición por trabajar hacia un
mismo objetivo.

POLITÉCNICO GRANCOLOMBIANO 2
Durante esta primera unidad, se hablará de los conceptos básicos para el análisis de riesgos con el fin
de adquirir un lenguaje común en la materia.

2. Conceptos fundamentales para el análisis de riesgos

2.1. Vulnerabilidad

Como lo hemos visto en módulos anteriores, la vulnerabilidad de seguridad puede tener varias
definiciones. Básicamente, esta se refiere a la falla propia de un activo por su naturaleza; sin embargo,
podemos ampliar dicha definición de acuerdo con otros referentes, como The National Infrastructure
Advisor (NIAC), que establece que “una vulnerabilidad se define como un conjunto de condiciones
que conduce o puede llevar a un implícito o falla explícita de la confidencialidad, integridad o
disponibilidad de la información en un sistema”.

Por otro lado, el U.S. National Institute of Standards and Technology o Instituto Nacional de Estándares
y Tecnología (NIST) de EE. UU., en su Guía de gestión de riesgos para sistemas de tecnología de la
información, ofrece la siguiente definición de vulnerabilidad:

(…) un defecto o debilidad en los procedimientos de seguridad del sistema, diseño, implementación
o controles internos que podrían ejercerse (desencadenarse accidentalmente o explotarse
intencionalmente) y dar como resultado una violación de la seguridad o una violación de la política de
seguridad del sistema (Rajnovic, 2011).

Existen muchas más definiciones de la vulnerabilidad de seguridad, pero tienden a ser variaciones
de las dos anteriores. Es importante notar que estas están orientadas más a temas cualitativos
que cuantitativos, lo cual puede representar un problema en el momento de evaluar si algo es una
vulnerabilidad, pues tiende a confundirse con el término de amenaza (Rajnovic, 2011).

A continuación, se presentan tres ejemplos de vulnerabilidades:

1. Contraseña de administrador por defecto: en muchos sistemas la contraseña de administrador

es una contraseña por defecto, la cual es fácilmente identificable y puede ser conocida por
cualquier usuario.

2. Algoritmo criptográfico débil: muchas comunicaciones utilizan encriptación de datos, pero esta
se realiza de manera precaria con algoritmos que ya han sido vulnerados o cuyas debilidades son
bien conocidas.

POLITÉCNICO GRANCOLOMBIANO 3
 3. Susceptibilidad al ataque de denegación de servicio: esto depende de múltiples factores, tanto
físicos como de capacidad, complejidad y necesidades de los usuarios. Es decir, conocemos que
un ataque de denegación de servicio se caracteriza porque el atacante intenta que este no pueda
prestarse, pero su disponibilidad puede ser relativa, ya que depende, entre otros factores, del
tipo de servicio, los usuarios que ingresan y el medio por el cual se accede.

2.1.1. Evaluación de vulnerabilidades

De acuerdo con Princeton Energy Resources International (2010):

Una evaluación de vulnerabilidad es el proceso de identificación, cuantificación y priorización (o

clasificación) de las vulnerabilidades en un sistema u organización. Los ejemplos de sistemas para los
que se realizan evaluaciones de vulnerabilidad incluyen, entre otros, centrales nucleares, centrales
hidroeléctricas, sistemas de tecnología de la información, sistemas de suministro de energía, sistemas de
suministro de agua, sistemas de transporte y sistemas de comunicación. Se pueden realizar evaluaciones
de vulnerabilidad para pequeñas empresas a grandes infraestructuras regionales.

Una evaluación de vulnerabilidad tiene muchas cosas en común con una evaluación de riesgos. Las
evaluaciones generalmente se realizan según los siguientes pasos:
1. Catalogar activos.
2. Asignar un valor cuantificable (o al menos un orden jerárquico) e importancia a esos activos.
3. Identificar las vulnerabilidades, amenazas y potenciales riesgos de cada activo. En temas de
seguridad se deben considerar los principios que afectan a cada uno.

4. Mitigar o eliminar las vulnerabilidades y riesgos más serios para los activos más valiosos.

Siguiendo la Princeton Energy Resources International (2010):

En general, un análisis de vulnerabilidades sirve para identificar activos claves, de acuerdo conla
identificación realizada e impulsar el proceso de gestión de riesgos. Las empresas deberían realizar de
manera periódica, evaluación de vulnerabilidades para comprender mejor las amenazas, determinar los
niveles de riesgo aceptables y estimular acciones para mitigar los riesgos identificados.

Los beneficios directos de realizar una evaluación de vulnerabilidad incluyen:

• Desarrollar y ampliar la conciencia. El proceso de evaluación de vulnerabilidades dirige la

atención de la alta dirección hacia la seguridad. La conciencia es uno de los métodos menos
costosos y más efectivos para mejorar la postura de seguridad general de la organización, lo cual
contribuye a mitigar riesgos y solucionar problemas de seguridad.

POLITÉCNICO GRANCOLOMBIANO 4
 • Establecer o evaluar en comparación con una línea de base. Es importante definir una línea base
para la seguridad. La evaluación de vulnerabilidades es una oportunidad para revisar la mejora o
el deterioro de la postura de seguridad de una organización. Si no se ha realizado una referencia
básica (o el trabajo no fue uniforme o exhaustivo), una evaluación es una oportunidad para
integrar y unificar esfuerzos previos, definir parámetros comunes y establecer una línea base
definitiva.

• Identificar vulnerabilidades y desarrollar respuestas. Generando listas de vulnerabilidades y

posibles respuestas o controles suele ser una actividad central y el resultado de una evaluación.
A veces, debido a consideraciones de presupuesto, tiempo, complejidad y riesgo, las respuestas
seleccionadas para muchas de las vulnerabilidades pueden ser inactivas, pero después de
completar el proceso de evaluación, estas decisiones serán conscientes, con un proceso de
decisión documentado. Esta información puede ayudar a impulsar o motivar el desarrollo de un
proceso de gestión de riesgos.

• Desarrollar habilidades internas y experiencia. Una evaluación de vulnerabilidades puede

servir para construir habilidades en temas de seguridad por parte de toda la organización.
Una evaluación bien estructurada puede tener elementos que sirven para que los grupos
transversales se reúnan y compartan temas y experiencias, generando conocimiento.

• Promueva la acción. Una evaluación de vulnerabilidades puede centrar la atención y los recursos
de la administración en la solución de problemas de seguridad específicos y sistémicos. Una
evaluación proporciona opciones para enfrentar estos problemas en los niveles apropiados
(legales, financieros, ejecutivos) y lograr la acción. La evaluación de vulnerabilidades bien
diseñada y ejecutada no solo identifica las vulnerabilidades y hace recomendaciones, sino que
también obtiene aceptación ejecutiva, identifica a los interesados clave, y establece un conjunto
de grupos transversales que pueden convertir esas recomendaciones en acciones.

• Iniciar un esfuerzo de seguridad continuo. Una evaluación puede utilizarse como un catalizador
para involucrar a las personas de toda la organización en cuestiones de seguridad, construir
estructuras transversales, establecer encuentros permanentes, y aprovechar el impulso
generado por la evaluación para construir un esfuerzo de seguridad institucional continuo (pp.
546-549).

Para lograr estos beneficios, es importante realizar los esfuerzos necesarios para evaluar toda la
organización. Una recomendación es realizar la evaluación completa de vulnerabilidades, que cubre los
siguientes 10 elementos:

POLITÉCNICO GRANCOLOMBIANO 5
 1. Arquitectura de red
2. Ambiente de amenaza
3. Prueba de penetración
4. Seguridad física
5. Análisis de activos físicos
6. Seguridad de las operaciones
7. Políticas y procedimientos
8. Análisis de impacto
9. Interdependencias de infraestructura

10. Caracterización del riesgo.

2.2. Amenaza

La amenaza es un evento externo, adverso o no deseado en el cual se aprovecha la vulnerabilidad del

activo. Este evento pude producirse con diferentes grados de intensidad y duración, por lo cual el
impacto varía (Harris, 2013).

Comprender claramente el entorno y sus amenazas es un elemento fundamental para el análisis de

riesgos. Este ejercicio implica identificar si la amenaza proviene de personas motivadas por ganancias
financieras, retos por pertenecer a una comunidad, objetivos extremistas, desconocimiento en el
uso, entre otros. Caracterizar la fuente de la amenaza, identificar tendencias y la manera en que se
explotan las vulnerabilidades es una labor compleja pero necesaria para el análisis de riesgos.

Una vez las vulnerabilidades y las amenazas asociadas son identificadas, las consecuencias o posibles
derivaciones que surgen de esta identificación también deben ser tenidas en cuenta para el completo
análisis de riesgos. Escenarios como las potenciales pérdidas (aquello que la empresa dejaría de
percibir si una amenaza explotara una vulnerabilidad), se deben contemplar como parte integral del
análisis, lo cual implica considerar su impacto y probabilidad de ocurrencia, conceptos que serán
aclarados más adelante.

2.3. Riesgo

El riesgo es la probabilidad de que una amenaza explote o se aproveche de una vulnerabilidad (Harris,
2013).

POLITÉCNICO GRANCOLOMBIANO 6
Nos preguntamos si el ejercicio de análisis de riesgo tiene reglas establecidas o simplemente se deben
realizar algunas actividades sin rigor en el camino. La respuesta a esta inquietud es que efectivamente
deberíamos realizar un ejercicio estructurado, considerando que la industria cuenta con diferentes
metodologías estandarizadas. Cada una tiene los mismos componentes de base (identificar
vulnerabilidades, amenazas asociadas, calcular el valor del riesgo), pero difieren en el enfoque específico.
La identificación de la metodología apropiada dependerá de la empresa, la orientación en temas de
seguridad, entre otros aspectos. Las diferentes metodologías se estudiarán en una unidad posterior.

2.4. Impacto y probabilidad de ocurrencia

El análisis de riesgos requiere considerar dos elementos fundamentales: probabilidad e impacto. La

probabilidad se entiende como:
(…) la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha
materializado (por ejemplo: No de veces en un tiempo determinado), o de Factibilidad teniendo en
cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se
haya materializado. Por Impacto se entiende las consecuencias que puede ocasionar a la organización la
materialización del riesgo (Departamento Administrativo de la Función Pública República de Colombia,
2006).

El entendimiento de estos dos conceptos nos facilita el análisis de riesgo, puesto que al estimar
la probabilidad de ocurrencia y el impacto de un potencial riesgo estamos calificándolo para darle
un tratamiento específico; es decir, conociendo el número de veces que determinado riesgo se ha
materializado o puede materializarse en un tiempo específico y evaluando la magnitud de su efecto, en
caso de materializarse, nos da un panorama completo de los perjuicios que tiene para una organización
el evento adverso. Esto con el fin de estimar si el riesgo es aceptable, tolerable, moderado, importante o
definitivamente no es aceptable, para fijar la prioridad de los controles a establecer para su tratamiento
(Departamento Administrativo de la Función Pública República de Colombia, 2006). Ampliaremos
este tema de evaluación del riesgo en la siguiente unidad.

El entendimiento de los conceptos anteriores nos permite acercarnos a una herramienta importante
en el análisis de riesgos que se conoce como Matriz de Riesgos.

Como lo representa la figura 1, la matriz de riesgos consiste en analizar la relación de impacto y

probabilidad para establecer un nivel de riesgos; consta de dos ejes en los cuales se ubican el impacto
y la probabilidad. Suelen establecerse 3 colores (rojo, amarillo y verde) para facilitar el análisis.
Por ejemplo, si un riesgo está en una zona verde, su relación probabilidad vs. impacto es baja, por
lo cual este riesgo es menor; por el contrario, si el riesgo se ubica en la zona roja, se considera
potencialmente peligroso y que requiere una atención especial.

POLITÉCNICO GRANCOLOMBIANO 7
Figura 1. Matriz de riesgos
Fuente: Politécnico Grancolombiano (2018).

Cuando se han identificado activos, vulnerabilidades, amenazas y riesgos se puede empezar a valorar
el riesgo en términos cualitativos. Dicha valoración se estudiará en detalle en la siguiente unidad y
dependerá mucho del escenario que se plantee y el enfoque de seguridad que se brinde.

En la tabla 1 se puede evidenciar la valoración de riesgo con la valoración inicial de impacto y la

probabilidad de ocurrencia. Para desarrollar esta tabla se consideró que la empresa tiene una
infraestructura poco robusta, en la cual no se ha realizado un proceso de sensibilización a los usuarios
sobre la importancia de la seguridad de la información; los procesos y procedimientos establecidos
para mantenimiento, desarrollo de software y precauciones de seguridad no se han realizado. Sin
embargo, la ubicación de elementos de red en el datacenter es segura, puesto que se encuentra
administrado por un tercero. Fallas como desconexiones, interrupciones de servicio, personal para
atención de fallas etc. suelen ser mínimas. La infraestructura física también es robusta, por el tipo de
oficinas en las cuales se desarrolla la labor de la empresa y las garantías indicadas por la constructora
con respecto a la arquitectura del edificio. La empresa, adicionalmente, presente una baja rotación de
personal, dado el ambiente laboral que se maneja.

POLITÉCNICO GRANCOLOMBIANO 8
 Tabla 1. Matriz de Activos, Amenazas y Riesgos

Descripción
Tipo Amenaza Riesgo Principio Afectado Probabilidad Impacto
Vulnerabilidad

Incumplimiento en
Mantenimiento
los procedimientos Funcionamiento Disponibilidad –
Hardware insuficiente o Alta Alto
para el ineficiente Integridad
con fallas
mantenimiento

Falta de
terminación de
la sesión cuando Abuso de los Fuga de
Software Confidencialidad Alta Alto
se abandona derechos Información
la estación de
trabajo

Conexión Falla del equipo Indisponibilidad

Disponibilidad –
Red deficiente de de parcial o total del Baja Alto
Integridad
los cables telecomunicaciones sistema

Incumplimiento de Indisponibilidad
Ausencia del Disponibilidad –
Personal las obligaciones de parcial o total del Baja Medio
personal Integridad
la empresa sistema

Daño a las
Espacio Fallas Destrucción Disponibilidad –
personas Bajo Alto
Fisico Estructurales parcial o total Integridad
y equipos

Falta de
procedimientos
Uso de software Destrucción Disponibilidad –
Empresa del cumplimiento Alta Medio
Ilegal parcial o total Integridad
de derechos
intelectuales

Fuente: Elaboración propia (2018).

De esta manera, hemos concluido el estudio inicial sobre los conceptos fundamentales del análisis de
riesgos y posteriormente se profundizará en algunos temas específicos para comprender su alcance.

POLITÉCNICO GRANCOLOMBIANO 9
Referencias bibliográficas
Departamento Administrativo de la Función Pública República de Colombia. (2006). Guía
de Administración del Riesgo. Recuperado de www.ufps.edu.co/ufpsnuevo/proyectos/meci/
documentos/planes/GUIA_ADMINISTRACION_DEL_RIESGO_-_DAFP.pdf

Harris, S. (2013). Information Security, Governance and Risk Management - Security Definitions.
En S. Harris, All in One CISSP Exam Guide Sixth Edition (pp. 21-157). New York: McGrawHill.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). (2009). Information

Technology. SecurityTechniques. Information Security Management Systems. Overview and
vocabulary. Geneva: ISO.

Princeton Energy Resources International. (2010). Handbook of International Electrical Safety

Practices. Salem, Massachusetts.: Scrivener Publishing LLC.

Rajnovic, D. (2011). Computer Incident Response and Product Security. Indianapolis: Cisco Press.T

POLITÉCNICO GRANCOLOMBIANO 10
 INFORMACIÓN TÉCNICA

Módulo: Análisis de Riesgos de la Información

Unidad 1: Análisis de riesgos
Escenario 1: Introducción al análisis de riesgos

Autor: Alexandra Peña Daza

Asesor Pedagógico: Jeiner Leandro Velandia

Diseñador Gráfico: Alejandra Daza Hurtado
Asistente: Leidy Alejandra Morales

Este material pertenece al Politécnico Grancolombiano. Por

ende, es de uso exclusivo de las Instituciones adscritas a la Red
Ilumno. Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO 11