Documentos de Académico
Documentos de Profesional
Documentos de Cultura
06 GestionRiesgo PDF
06 GestionRiesgo PDF
1
5. Ficha de Caracterización del Subproceso Gestión del
Riesgo.
2
3
5.1. Descripción de la Actividades del procedimiento “Gestión del Riesgo”
Artefactos
Nombre de la Actividad Descripción Responsables Relacionados Guías
(Productos)
1. Identificación de Activos re Los activos son los recursos del proyecto o Líder del Proyecto Generalidades Magerit
queridos para desarrollar un el software relacionados con éste, requeri Identificación de los acti
proyecto de software dos y necesarios para que se alcance efi vos
cientemente los objetivos propuestos, pue Plan de Riesgos Valoración de los Activos
den ser de diferente tipo como el entorno,
las personas , la organización etc
2. Definición de Criterios de va Una vez se identifique los activos asociados Líder del Proyecto
loración de activos al proyecto y/o al software , se establecen
los criterios o dimensiones que permiten
evaluarlos y valorarlos.
3. Valoración de activos Los criterios definidos deben valorarse en Líder del Proyecto
forma cualitativa, cuantitativa o ambas me
diante escalas trazables.
4. Identificación de amenazas Este paso consiste en identificar las amena Líder del Proyecto Generalidades Magerit
zas que afectan los activos relevantes que Identificación de las ame
previamente fueron valorados. Las amena nazas asociadas a los acti
zas son eventos o cosas que ocurren o pue vos.
den ocurrir y que pueden generar daños a
los activos .
5.Identificación de vulnerabilida Una vulnerabilidad es un estado de debili Líder del Proyecto Generalidades Magerit
des dad que si ocurriese se materializa una o Identificación y valoración
varias amenazas que afecta los activos del de vulnerabilidades
proyecto y/o software, por lo que es indis
6. Definición de criterios y va Líder del Proyecto
pensable identificarlas, valorarlas y priorizar
loración de vulnerabilidades
las.
4
7. Identificación y valoración del Los impactos son los daños que se pueden Líder del Proyecto Generalidades Magerit
Impacto originar por la materialización de las amena Identificación y valoración
zas, estos se valoran de acuerdo a ciertos de impactos
criterios preestablecidos tomando en cuenta
el activo y las amenazas que lo potenciali
zan.
8. Estimación y priorización del Al tener la valoración de los elementos: acti Líder del Proyecto Estimación del Riesgo
riesgo a través de la matriz de vos, amenazas y vulnerabilidades, se desa
riesgo rrolla la matriz de riesgos que permite con
trarrestar vulnerabilidades e impactos, per
mitiendo identificar, estimar, clasificar y prio
rizar los riesgos existen en el proyecto.
9. Definición de Plan de Mejora Una vez identificados los riesgos con sus Líder del Proyecto
miento respectivos impactos y vulnerabilidades se Manejo del Riesgo
procede a definir las acciones correctivas y
preventivas pertinentes que permitan mitigar
en forma proactiva las amenazas a los que
Plan de Riesgos
esta expuesto el proyecto.
10. Puesta en marcha del Plan Los actores responsables de las acciones Equipo de Desarrollo
de Mejoramiento de mejora proceden a ejecutarlas de tal ma
nera que se evidencie un mejoramiento con
tinuo del proyecto.
11. Seguimiento del Plan de Me El líder del proyecto lleva un seguimiento a Líder del Proyecto
joramiento las acciones de mejora
5
5.2 GUIAS
5.2.1. Generalidades MAGERIT
MAGERIT es el acrónimo de "Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas". Es un método de carácter público elaborado por el
Consejo Superior de Informática (CSI), órgano del Ministerio de Administraciones Públicas (MAP),
encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del
Gobierno Español.
Este metodo nace para minimizar los riesgos asociados al uso de Sistemas Informáticos y
Telemáticos, garantizando la autenticación, confidencialidad, integridad y disponibilidad de dichos
sistemas y generando de este modo confianza en el usuario de los mismos.
Se persigue, por tanto, un doble objetivo:
● Estudiar los riesgos asociados a un sistema de información y su entorno.
● Recomendar las medidas necesarias para conocer, prevenir, impedir, reducir o controlar los
riesgos estudiados.
El modelo MAGERIT se apoya en 3 submodelos representados así:
6
Submódelo elementos
El Submódelo de elementos proporciona los “Componentes”’ que el Submódelo de eventos
relacionará entre sí.
7
Submódelo de Eventos
Relación de los Elementos o componentes
V a l o r a n
P R O P I E T A R I O S D e s e a n M i n i m i z a r
I m p o n M e En D P a r a R e d u c i r
I D A S D E C O N T R O L
Q u e p u e d e n t e n e r
R e d u c i d a s p o r
C o n s c i e n t e s V U L N E R A B I L I D A D E S
L l e v a n a
R I E S G O
A T A C A N T E S
E x p l o t a n
I n c r e m e n t a n
D a n p i e S o b r e
Aa M E N A Z A S A C T I V O S
S o b r e
A b u s a n d e y / o p u e d e n d a ñ a r
8
Submódelo Procesos
El Submódelo de Procesos se divide en 4 etapas
1. Planificación : Como consideraciones iniciales para arrancar el proyecto de análisis y gestión
de riesgos se estudia la viabilidad de desarrollarlo, se definen los objetivos que ha de cumplir
y el ámbito que abarcará, especificando los medios materiales y humanos para su ejecución.
En esta etapa se hacen estimaciones iniciales de los riesgos que pueden afectar al sistema de
información así como del tiempo y los recursos que su tratamiento conllevará.
2. Análisis de riesgos: Se identifican y valoran las diversas entidades, obteniendo una
evaluación del riesgo.
3. Gestión de riesgos: Se identifican las medidas de control reductoras del riesgo,
seleccionando los que son aceptables en función de las ya existentes y tomando en cuenta las
restricciones.
4. Selección de Medidas de Control: Se definen actividades para desarrollar el plan de
implantación de los mecanismos de control elegidos y los procedimientos de seguimiento para
la implantación.
9
En la identificación de los Activos se deberán detallar las siguientes variables:
Los activos identificados se agruparán en el siguiente cuadro, de acuerdo al tipo de función que
desempeñan:
10
( Hardware) que presta la organización, siendo pues Beam, Impresora
depositarios temporales o permanentes de los
datos, soporte de ejecución de las aplicaciones
informáticas o responsables del proceso o la
transmisión de datos.
11
Integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto?
Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos
o, incluso, faltar datos.
Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo?
Esta valoración es típica de los servicios.
Trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O
sea, ¿quién hace qué y cuándo?
Nivel de Importancia para el cumplimiento de los objetivos del proyecto
La valoración del activo puede ser cualitativa , cualitativa o ambas
Por ejemplo, esta puede ser una escala para una valoración cualitativa
MB:Muy Bajo 1 Irrelevante para efectos Prácticos
B: Bajo 2 Importancia menor para el desarrollo del proyecto
M: Medio 3 Importante para el proyecto
A: Alto 4 Altamente importante para el proyecto
MA: Muy alto 5 De vital importancia para los objetivos que persigue
el proyecto
Y una escala cuantitativa se determina, de acuerdo al valor del activo en pesos, de la siguiente
manera:
MB:Muy Bajo 1 0 a 500.000
B: Bajo 2 501.000 a 1.500.000
M: Medio 3 1.501.000 a 3.000.000
A: Alto 4 3.001.000 a 5.000.000
12
MA: Muy alto 5 5.000.001 o más
Si se toma en cuenta tanto la escala cuantitativa como cualitativa se deben promediar haciendo
relevancia en aquellos con valor mayor a 3.
Activo Amenaza
A continuación se presenta una relación de amenazas típicas que pueden guiar este paso.
a. Desastres Naturales
AMENAZA DESCRIPCIÓN
Fuego Incendios: posibilidad de que el fuego acabe con recursos del
sistema.
Daños por Agua inundaciones: posibilidad de que el agua acabe con recursos
del sistema.
Desastres Incidentes que se producen sin intervención humana: rayo,
Naturales tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento
de tierras...
b. De Origen Industrial
AMENAZA DESCRIPCIÓN
Fuego Incendio: posibilidad de que el fuego acabe con los recursos
del sistema.
Daños por Agua Escapes, fugas, inundaciones: posibilidad de que el agua
acabe con los recursos del sistema
Desastres Desastres debidos a la actividad humana: explosiones,
13
Industriales derrumbes, ...
contaminación química, sobrecarga eléctrica,.
Contaminación Vibraciones, polvo, suciedad, ...
Mecánica
Contaminación Interferencias de radio, campos magnéticos, luz ultravioleta,
Electromagnética
Avería de origen Fallos en los equipos y/o fallos en los programas. Puede ser
Físico o lógico debida a un defecto de origen o sobrevenida durante el
funcionamiento del sistema
Corte del Cese de la alimentación de potencia
suministro
eléctrico
Condiciones Deficiencias en la aclimatación de los locales, excediendo los
inadecuadas de márgenes de trabajo de los equipos: excesivo calor, excesivo
temperatura y/o frío, exceso de humedad
humedad
Fallos de servicios Cese de la capacidad de transmitir datos de un sitio a otro.
de comunicación
Interrupción de Otros servicios o recursos de los que depende la operación de
otros servicios y los equipos; por ejemplo, papel para las impresoras, tóner,
suministros refrigerante, etc.
esenciales
Degradación de Como consecuencia del paso del tiempo
los soportes de
almacenamiento
de la información
14
c. Errores y fallos no Intecionados
AMENAZA DESCRIPCIÓN
Errores de los usuarios Equivocaciones de las personas cuando usan los servicios, datos,
etc.
Errores del administrador Equivocaciones de personas con responsabilidades de instalación y
operación.
Errores de monitorización Inadecuado registro de actividades: falta de registros, registros
incompletos.
Errores de configuración Introducción de datos de configuración erróneos.
Deficiencias en la organización Cuando no está claro quién tiene que hacer exactamente qué y
cuándo.
Difusión de software dañino Propagación inocente de virus, espías (spyware), gusanos,
troyanos, bombas lógicas,
Errores de reencaminamiento Envío de información a través de un sistema o una red usando,
accidentalmente, una ruta incorrecta que lleve la información a
donde o por donde no es debido
Errores de secuencia Alteración accidental del orden de los mensajes transmitidos
Escapes de información La información llega accidentalmente al conocimiento de personas
que no deberían tener conocimiento de ella, sin que la información
en sí misma se vea alterada
Alteración de la información Alteración accidental de la información.
Introducción de información Inserción accidental de información incorrecta.
incorrecta
Degradación de la información Esta amenaza sólo se identifica sobre datos en general, pues
cuando la información está en algún soporte informático hay
amenazas específicas.
Destrucción de información Pérdida accidental de información.
Divulgación de información Revelación por indiscreción.
Incontinencia verbal, medios electrónicos, soporte papel.
15
Vulnerabilidades de los Defectos en el código que dan pie a una operación defectuosa sin
programas (software) intención por parte del usuario
Errores de mantenimiento / Defectos en los procedimientos o controles de actualización del
actualización de programas código que permiten que sigan utilizándose programas con defectos
(software conocidos y reparados por el fabricante.
Errores de mantenimiento / Defectos en los procedimientos o controles de actualización de los
actualización de equipos equipos que permiten que sigan utilizándose más allá del tiempo
(hardware). nominal de uso.
Caída del sistema por La carencia de recursos suficientes provoca la caída del sistema
agotamiento de recursos cuando la carga de trabajo es desmesurada.
Indisponibilidad del personal Ausencia accidental del puesto de trabajo: enfermedad, alteraciones
del orden público,
d. Ataques Intencionados
AMENAZA DESCRIPCIÓN
Manipulación de la Prácticamente todos los activos dependen de su configuración y ésta
configuración de la diligencia del administrador: privilegios de acceso, flujos de
actividades, registro de actividad, encaminamiento
Suplantación de la identidad Cuando un atacante consigue hacerse pasar por un usuario
del usuario autorizado, disfruta de los privilegios de este para sus fines propios
Abuso de privilegios de Cada usuario disfruta de un nivel de privilegios para un determinado
acceso propósito: cuando un usuario abusa de su nivel de privilegios para
realizar tareas que no son de su competencia hay problemas.
Uso no previsto Utilización de los recursos del sistema para fines no previstos,
típicamente de interés personal: juegos, consultas personales en
Internet, bases de datos personales, programas personales,
almacenamiento de datos personales, etc.
Difusión de software dañino Propagación intencionada de virus, espías (spyware), gusanos,
troyanos, bombas lógicas, etc
Encaminamiento de Envío de información a un destino incorrecto a través de un sistema
mensajes o una red que llevan la información a donde o por donde no es
16
debido: puede tratarse de mensajes entre personas, entre procesos
o entre unos y otros.
Alteración de secuencia Alteración del orden de los mensajes transmitidos con ánimo de que
el nuevo orden altere el significado del conjunto de mensajes,
perjudicando a la integridad de los datos afectados.
Acceso no autorizado El atacante consigue acceder a los recursos del sistema sin tener
autorización para ello, típicamente aprovechando un fallo del sistema
de identificación y autorización.
Análisis de tráfico El atacante, sin necesidad de entrar a analizar el contenido de las
comunicaciones, es capaz de extraer conclusiones a partir del
análisis del origen, destino, volumen y frecuencia de los
intercambios.
Repudio Negación a posteriori de actuaciones o compromisos adquiridos en
el pasado.
Repudio de origen: negación de ser el remitente u origen de un
mensaje o comunicación.
Intercepción de información El atacante llega a tener acceso a información que no le
(escucha) corresponde, sin que la información en sí misma se vea alterada.
Modificación de la Alteración intencional de la información, con ánimo de obtener un
información beneficio o causar un perjuicio.
Introducción de falsa Inserción interesada de información falsa, con ánimo de obtener un
información beneficio o causar un perjuicio.
Corrupción de la información Degradación intencional de la información, con ánimo de obtener un
beneficio o causar un perjuicio.
Destrucción la información Eliminación intencional de información, con ánimo de obtener un
beneficio o causar un perjuicio.
Divulgación de información Revelación de información.
Manipulación de programas Alteración intencionada del funcionamiento de los programas,
persiguiendo un beneficio indirecto cuando una persona autorizada
lo utiliza.
Denegación de servicio La carencia de recursos suficientes provoca la caída del sistema
cuando la carga de trabajo es desmesurada
Robo La sustracción de equipamiento provoca directamente la carencia de
17
un medio para prestar los servicios, es decir una indisponibilidad
Ataque destructivo Vandalismo, terrorismo, acción militar, ...
Ocupación enemiga Cuando los locales han sido invadidos y se carece de control sobre
los propios medios de trabajo.
Indisponibilidad del personal Ausencia deliberada del puesto de trabajo: como huelgas,
absentismo laboral, bajas no justificadas, bloqueo de los accesos, ...
Extorsión Presión que, mediante amenazas, se ejerce sobre alguien para
obligarle a obrar en determinado sentido.
Ingeniería social Abuso de la buena fe de las personas para que realicen actividades
que interesan a un tercero
Y los resultados registrarlos en el siguiente cuadro:
18
5.2.6. Identificación y valorización de impactos
Un impacto es el daño que causa o puede causar sobre el activo derivado de la materialización de
una amenaza.
La tipificación de los impactos puede variar de acuerdo al proyecto. Para efectos de esta guía se
presenta se evalúan los impactos de acuerdo al tipo de perdida ya sea organizacional o técnica.
IMP A C TOS
Técnicos Org an izacio nales
Confidencialidad
Disponibilidad
Económicas
Pérdida de
Pérdida de
Pérdida de
Integridad
Pérdida de
Pérdidas
Los organizacionales se clasifican en : Imagen
a. Perdidas económicas
MB:Muy Bajo 1 Costos entre 10.000 y 100.000
B: Bajo 2 Costos entre 100.001 y 1.000.000
M: Medio 3 Costos entre 1.000.001 y 5.000.001
A: Alto 4 Costos entre 5.000.001 y 10.000.000
MA: Muy alto 5 Costos 10.000.000 o más
19
b. Pérdida de Imagen
Las técnicas se clasifican en:
a. Pérdida de Confidencialidad
MB:Muy Bajo 1 Información revelada mínima y no sensible
B: Bajo 2 Información revelada mínima
M: Medio 3 Importante Cantidad de información no sensible
revelada
A: Alto 4 Importante cantidad de información revelada
MA: Muy alto 5 Toda la información revelada
b. Pérdida de Integridad
MB:Muy Bajo 1 Mínima información dañada
B: Bajo 2 Mínima información importante dañada
M: Medio 3 Gran cantidad de información dañada
20
A: Alto 4 Gran cantidad de información importante dañada
MA: Muy alto 5 Toda la información destruida
c. Pérdida de Disponibilidad
MB:Muy Bajo 1 Mínima interrupción del servicio
B: Bajo 2 Mínima interrupción de servicios primarios
M: Medio 3 Amplia interrupción de servicios
A: Alto 4 Amplia interrupción de servicios primarios
MA: Muy alto 5 Todos los servicios interrumpidos
Posteriormente se promedia la valoración de esta variables y se calificará el posible daño de acuerdo
o tipo de degradación de la siguiente manera:
5 Muy alto (MA) Daño muy grave para el
proyecto
4 Alto (A) Daño grave al proyecto
3 Medio (M) Daño importante al proyecto
2 Bajo (B) Daño menor al proyecto
1 Muy Bajo (MB) Daño despreciable
21
5.2.7. Estimación del Riesgo
El valor de la Vulnerabilidad y su Impacto sobre el Activo determinan conjuntamente el valor del
Riesgo.
Esto se puede ver con facilidad cuando se representa el riesgo con una sencilla técnica matricial. En
esta técnica se relacionan los niveles de Vulnerabilidad (puestos en filas) y los de Impacto (puestos
en columnas). En las casillas correspondientes, los valores del nivel de Riesgo, como es lógico, son
crecientes con los niveles de ambos factores, pero serán sistemáticamente mayores por debajo de la
diagonal, pues se considera que el Impacto influye más en el nivel de Riesgo que la Vulnerabilidad.
Matriz Cualitativa
VULNERABILIDAD
RIESGO
PF FN F MF
MA A MA MA MA
A M A MA MA
IMPACTO
M B M A MA
B MB B M A
MB MB MB B M
Matriz Cuantitativa
Valoración Valoración
Clase Cualitativa Cuantitativa
Crítico Muy Alto 10 a 20
Grave Alto 5 a 9
Moderado Medio 4 a 6
22
5.2.8. Manejo del Riesgo
Una vez que se realiza el análisis de riesgos, el equipo de desarrollo tiene en sus manos una
poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el
estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer
políticas para la corrección de los problemas ya detectados y la gestión de seguridad de ellos a lo
largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no persistan,
gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del
tiempo.
VULNERABILIDAD
RIESGO 1 2 3 4
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
IMPACTO 2 2 4 6 8
1 1 2 2 4
La matriz de valor crítico indica a través de datos cualitativos y cuantitativos la situación de seguridad
en que se encuentran los activos analizados. Luego de listar las vulnerabilidades o amenazas
potenciales, se deben fijar las respectivas recomendaciones de seguridad para su corrección.
Aquí se deben determinar medidas de control que son acciones orientadas hacia la eliminación de
vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el
paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la
información por tanto deben considerar todo.
Tipo de Manejo de los Riesgos
Antes de definir las medidas de control se debe tomar la decisión de qué manejo se le va a hacer a
los riesgos definidos, analizados y valorados en los pasos anteriores.
Medida Descripción
23
Reducir el riesgo Si el riesgo no puede ser evitado porque crea grandes dificultades
operacionales, el paso a seguir es reducirlo al más bajo nivel posible.
La reducción del riesgo es probablemente el método más sencillo y
económico para superar las debilidades antes de aplicar medidas más
costosas y difíciles. Se consigue mediante la optimización de los
procedimientos y la implementación de controles. Ejemplo: Planes de
contingencia.
Dispersar y Se logra mediante la distribución o localización del riesgo en diversos
atomizar el riesgo lugares. Es así como por ejemplo, la información de gran importancia
se puede duplicar y almacenar en un lugar distante y de ubicación
segura, en vez de dejarla concentrada en un solo lugar.
Transferir el riesgo Hace referencia a buscar respaldo y compartir con otro parte del riesgo,
como por ejemplo, tomar pólizas de seguros, así se traslada el riesgo a
otra parte o físicamente se traslada a otro lugar. Esta técnica es usada
para eliminar el riesgo de un lugar y pasarlo a otro, o de un grupo a
otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con
otro grupo o dependencia.
Asumir el riesgo Luego de que el riesgo ha sido reducido o transferido puede quedar un
riesgo residual que se mantiene, en este caso el gerente del proceso
simplemente acepta la pérdida residual probable y elabora planes de
contingencia para su manejo.
Una vez establecidos cuáles de los anteriores manejos del riesgo se
van a concretar, estos deben evaluarse con relación al beneficiocosto
para definir, cuáles son susceptibles de ser aplicadas y proceder a
elaborar el plan de manejo de riesgo, teniendo en cuenta, el análisis
elaborado para cada uno de los riesgos de acuerdo con su impacto,
probabilidad y nivel de riesgo.
Posteriormente se definen los responsables de llevar a cabo las
acciones especificando el grado de participación de las dependencias
en el desarrollo de cada una de ellas. Así mismo, es importante
construir indicadores, entendidos como los elementos que permiten
determinar
de forma práctica el comportamiento de las variables de riesgo que van
a permitir medir el impacto de las acciones.
24
Medidas para el Manejo del Riesgo
Una vez definidos los riesgos que se va a asumir se deben especificar medidas del manejo del riesgo
especificando:
Implantación
Seguimiento
ESCENARIOS Responsable
Fecha d e
Fecha de
Acción (Actividad donde de implantar
Recursos
/Mejoramiento se debe aplicar el acciòn de
control) mejora
Las medidas que se tomen deben ser objeto de evaluación y seguimiento constante, actualizando la
valoración de las vulnerabilidades, impactos y riesgos.
25