Índice de contenido

5. Ficha de Caracterización del Subproceso Gestión del Riesgo.........................................................3

5.1. Descripción de la Actividades del procedimiento “ Gestión del Riesgo”...................................5
5.2 GUIAS............................................................................................................................................7
5.2.1. Generalidades MAGERIT.....................................................................................................7
5.2.2. Identificación de los Activos...............................................................................................10
5.2.3. Valoración de los Activos ..................................................................................................12
5.2.4. Identificación de amenazas asociadas a los activos............................................................14
5.2.5. Identificación y valoración de las Vulnerabilidades ..........................................................19
5.2.6. Identificación y valorización de impactos...........................................................................19
5.2.7. Estimación del Riesgo.........................................................................................................22

1
5. Ficha de Caracterización del Subproceso Gestión del
Riesgo.  

2
3
5.1. Descripción de la Actividades del procedimiento “Gestión del Riesgo”

Artefactos
Nombre de la Actividad Descripción  Responsables Relacionados Guías
(Productos)
1.  Identificación   de   Activos   re­ Los activos son los recursos del proyecto o  Líder del Proyecto     ­ Generalidades Magerit
queridos   para   desarrollar   un  el  software  relacionados  con   éste,  requeri­ ­ Identificación   de los acti­
proyecto de software dos y  necesarios para que  se alcance efi­ vos
cientemente   los   objetivos   propuestos,   pue­   Plan de Riesgos ­ Valoración de los Activos
den ser de  diferente tipo  como  el  entorno, 
las personas , la organización etc
2. Definición de Criterios de va­ Una vez se identifique los activos asociados  Líder del Proyecto
loración de activos al proyecto y/o al software , se establecen 
los   criterios   o   dimensiones   que   permiten 
evaluarlos y valorarlos.
3. Valoración de activos Los   criterios definidos deben valorarse   en  Líder del Proyecto
forma  cualitativa, cuantitativa  o ambas me­
diante escalas trazables.
4. Identificación de amenazas  Este paso consiste en identificar las amena­ Líder del Proyecto ­ Generalidades Magerit
zas que afectan los activos relevantes que  ­ Identificación  de las ame­
previamente  fueron  valorados.  Las  amena­ nazas asociadas a los acti­
zas son eventos o cosas que ocurren o pue­ vos.
den ocurrir y que pueden generar daños a 
los activos .
5.Identificación de vulnerabilida­ Una  vulnerabilidad   es  un  estado  de  debili­ Líder del Proyecto ­ Generalidades Magerit
des dad que si ocurriese   se materializa una o  ­ Identificación  y valoración 
varias  amenazas que afecta los activos del  de vulnerabilidades
proyecto y/o software,  por lo  que  es indis­
6. Definición de criterios   y   va­ Líder del Proyecto
pensable identificarlas, valorarlas y priorizar­
loración de vulnerabilidades
las.

4
7. Identificación  y valoración del  Los impactos son los daños que se pueden  Líder del Proyecto ­ Generalidades Magerit
Impacto originar por la materialización de las amena­ ­ Identificación  y valoración 
zas, estos  se valoran  de acuerdo a ciertos  de impactos
criterios preestablecidos tomando en cuenta 
el activo y las amenazas que lo potenciali­
zan.
8. Estimación y priorización del  Al tener la valoración de los elementos: acti­ Líder del Proyecto ­ Estimación del Riesgo
riesgo a través de la matriz  de  vos, amenazas y vulnerabilidades, se desa­
riesgo rrolla la matriz de riesgos  que permite con­
trarrestar vulnerabilidades e   impactos, per­
mitiendo identificar, estimar, clasificar y prio­
rizar  los  riesgos existen en el proyecto. 
9. Definición de Plan de Mejora­ Una   vez   identificados   los   riesgos   con   sus  Líder del Proyecto
miento respectivos  impactos  y   vulnerabilidades   se  ­ Manejo del Riesgo
procede a definir las acciones correctivas y 
preventivas pertinentes que permitan mitigar 
en forma proactiva las amenazas a los que 
  Plan de Riesgos
esta expuesto el proyecto.
10. Puesta en marcha del Plan  Los   actores   responsables   de   las   acciones  Equipo de Desarrollo 
de Mejoramiento de mejora proceden a ejecutarlas de tal ma­
nera que se evidencie un mejoramiento con­
tinuo del proyecto.
11. Seguimiento del Plan de Me­ El líder del proyecto lleva un seguimiento a  Líder del Proyecto
joramiento las acciones de mejora 

12.   Actualización   del   Plan   de  El líder de proyecto constantemente actuali­ Líder del Proyecto

Riesgos za el Plan de Riesgos con sus respectivas 
acciones de mejoramiento.

5
5.2 GUIAS

5.2.1. Generalidades MAGERIT
MAGERIT es el acrónimo de "Metodología de Análisis  y  Gestión de Riesgos  de los  Sistemas  de 
Información de las Administraciones Públicas". Es un método de carácter público elaborado por el 
Consejo Superior de Informática (CSI), órgano del Ministerio de Administraciones Públicas (MAP), 
encargado   de   la   preparación,   elaboración,   desarrollo   y   aplicación   de   la   política   informática   del 
Gobierno Español.
Este   metodo   nace   para   minimizar   los   riesgos   asociados   al   uso   de   Sistemas   Informáticos   y 
Telemáticos,   garantizando   la   autenticación,   confidencialidad,   integridad   y   disponibilidad   de   dichos 
sistemas y generando de este modo confianza en el usuario de los mismos.
Se persigue, por tanto, un doble objetivo:
● Estudiar los riesgos asociados a un sistema de información y  su entorno.
● Recomendar las medidas necesarias para conocer, prevenir, impedir, reducir o controlar los 
riesgos estudiados.
El modelo MAGERIT se apoya en 3 submodelos representados así:

6
Submódelo  elementos
El   Submódelo   de   elementos   proporciona   los   “Componentes”’   que   el   Submódelo   de   eventos 
relacionará entre sí.

Componente Definición Ejemplos

Son   los   recursos   necesarios   para   que   el  ­Recurso   Humano

proyecto o relacionados con este,   alcance  ­Recurso   Tecnológico
Activo
los objetivos propuestos  ­Recursos Físicos
­Información
Amenaza Evento   que   puede   desencadenar   un  ­Accidentes   naturales, 
incidente   en   la   organización,   produciendo  industriales o humanos
daños   materiales   o   inmateriales   en   los 
­Errores y fallos intencionados 
activos. Al materializarse se transforman en 
y no intencionados.
Agresiones. 

Vulnerabilidad Estado,   debilidad   o  incapacidad   de  ­Disposición   desorganizada 

resistencia   cuando   se   presenta   un  de cables de energía y de red 
fenómeno   amenazante   y   que   al   ser 
­Ambientes   sin   protección 
explotado afecta el estado de los activos del 
contra incendios.
proyecto

Impacto Es el daño producido sobre un activo por la  ­Perdidas económicas, 

materialización de una amenaza.
­Incumplimiento   de   Objetivos 
del Proyecto

Riesgo Es   la   probabilidad   de   que   las   amenazas 

exploten   los   puntos   débiles 
(vulnerabilidades),  causando   pérdidas   o 
daños a los activos e impacto al proyecto o 
sistema. 

Medidas   de  Son  acciones   orientadas   hacia   la  ­Especificación de puestos de 

Control  eliminación de vulnerabilidades, teniendo en  trabajo
mira   evitar   que   una   amenaza   se   vuelva 
­Formación continua 
realidad. 
­Configuración de cortafuegos

7
Submódelo de Eventos
Relación de los Elementos o componentes

V a l o r a n
P R O P I E T A R I O S D e s e a n M i n i m i z a r

I m p o n M e En D P a r a R e d u c i r
I D A S D E C O N T R O L
Q u e p u e d e n t e n e r

R e d u c i d a s p o r

C o n s c i e n t e s V U L N E R A B I L I D A D E S

L l e v a n a
R I E S G O
A T A C A N T E S
E x p l o t a n
I n c r e m e n t a n

D a n p i e S o b r e
Aa M E N A Z A S A C T I V O S

S o b r e

A b u s a n d e y / o p u e d e n d a ñ a r

8
Submódelo Procesos
El Submódelo de Procesos se divide en 4 etapas
1. Planificación : Como consideraciones iniciales para arrancar el proyecto de análisis y gestión 
de riesgos se estudia la viabilidad de desarrollarlo, se definen los objetivos que ha de cumplir 
y el ámbito que abarcará, especificando los medios materiales y humanos para su ejecución. 
En esta etapa se hacen estimaciones iniciales de los riesgos que pueden afectar al sistema de 
información así como del tiempo y los recursos que su tratamiento conllevará.
2. Análisis   de   riesgos:  Se   identifican   y   valoran   las   diversas   entidades,   obteniendo   una 
evaluación del riesgo.
3. Gestión   de   riesgos:  Se   identifican   las   medidas   de   control   reductoras   del   riesgo, 
seleccionando los que son aceptables en función de las ya existentes y tomando en cuenta las 
restricciones.
4. Selección   de   Medidas   de   Control:  Se   definen   actividades   para   desarrollar   el   plan   de 
implantación de los mecanismos de control elegidos y los procedimientos de seguimiento para 
la implantación. 

5.2.2. Identificación de los Activos

Para que el análisis de riesgos tenga un efecto positivo y real, es necesario identificar los elementos 
relevantes.
Se entiende Relevancia los puntos claves a considerar durante la realización del análisis de riesgos. 
Dicha   relevancia   será   de   gran   importancia   para   identificar   el   rumbo   de   las   acciones   del   plan   de 
Riesgos.
Este paso consiste en identificar y valorar la relevancia de los activos determinantes para el proyecto. 
Los activos se evalúan sobre una escala de valor crítico donde se define qué tan importantes son 
para cumplir con los objetivos del proyecto.
La relevancia de los activos  marcará el rumbo definitivo de las acciones a seguir en el análisis del 
Riesgo.
Cuanta mayor relevancia tenga un activo o mayor es la importancia crítica, mayor será el riesgo al que 
está expuesto el proyecto en caso de ocurrir un incidente que materialice una amenaza.
Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos debe proveer 
los datos cuantitativos y cualitativos que permitan su evaluación.

9
En la identificación de los Activos se deberán detallar las siguientes variables: 

Fecha de  Nombre del  Tipo Valoración Valoración Valoración

Identificación Activo
Cuantitativa Cualitativa Final

Los   activos identificados se agruparán en el siguiente cuadro, de acuerdo al tipo de función que 
desempeñan:
           

Tipo Definición  Ejemplo

Servicios Función   que   satisface   una   necesidad   de   los  Servicios públicos 

usuarios   del   servicio.   Para   la   prestación   de   un  prestados por la 
servicio los servicios aparecen como activos de un  Administración para 
análisis   de   riesgos   bien   como   servicios   finales  satisfacer necesidades
(prestados   por   la   Organización   a   terceros),   bien 
de la colectividad
como servicios instrumentales (donde los usuarios 
y   los   medios   son   propios),   bien   como   servicios 
contratados   (a   otra   organización   que   los  Servicios internos 
proporciona con sus propios medios). prestados

Datos/ Información Elementos de información que de forma singular o  Base de datos

agrupados   de   alguna   forma,   representan   el 
Leyes o reglamentos
conocimiento que se tiene de algo.
Código Fuente
Los   datos   son   el   corazón   que   permite   a   una 
organización prestar sus servicios Código Ejecutable

Aplicaciones Este   tipo   se   refiere   a   tareas   que   han   sido  Programas, aplicativos, 

automatizadas para su desempeño por un equipo  desarrollos
(Software)
informático. Las aplicaciones gestionan, analizan y 
transforman los datos permitiendo la explotación de 
la información para la prestación de los servicios.

Equipos informáticos  Dícese de los bienes materiales, físicos, destinados  Computador, Video 

a   soportar   directa   o   indirectamente   los   servicios 

10
( Hardware) que   presta   la   organización,   siendo   pues  Beam, Impresora
depositarios   temporales   o   permanentes   de   los 
datos,   soporte   de   ejecución   de   las   aplicaciones 
informáticas   o   responsables   del   proceso   o   la 
transmisión de datos.

Redes de  Incluyendo   tanto   instalaciones   dedicadas   como  Red Local

Comunicaciones servicios   de   comunicaciones   contratados   a 
Internet
terceros;   pero   siempre   centrándose   en   que   son 
medios de transporte que llevan datos de un sitio a  Red telefónica
otro. Red inalámbrica

Soportes de  Se consideran dispositivos físicos que permiten  Memoria USB

Información almacenar información de forma permanente o al 
Disco duro
menos durante largos periodos de tiempo.

Equipamiento Auxiliar  Se consideran dispositivos físicos que permiten  Cintas

almacenar información de forma permanente o  al 
Mobiliarios
menos durante largos periodos de tiempo.
Cajas Fuertes

Instalaciones Los lugares donde se hospedan los sistemas de  Edificio

información y comunicaciones.

Personal Aparecen las personas relacionadas con los  Administradores

sistemas de información.
Desarrolladores

5.2.3. Valoración de los Activos

Una vez identificados los activos que están relacionados con el proyecto de software es necesario 
valorar el nivel de importancia que tienen estos en el desarrrollo del mismo, para ello se debe definir 
las dimensiones o criterios bajo los cuales se van a evaluar, como por ejemplo:
­ Autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? 
Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien 
accede a los datos para escribir o, simplemente, consultar) 
­ Confidencialidad: ¿qué daño causaría que lo conociera quien no debe? 
Esta valoración es típica de datos. 

11
­ Integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? 
Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos 
o, incluso, faltar datos. 

­ Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? 
Esta valoración es típica de los servicios. 
­Trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O 
sea, ¿quién hace qué y cuándo? 
­ Nivel de Importancia para el cumplimiento de los objetivos del proyecto 
La valoración del activo puede ser cualitativa , cualitativa o ambas
Por ejemplo, esta puede ser una escala para una valoración cualitativa  

Escala de  Valor  Descripción

Valoración

MB:Muy Bajo 1 Irrelevante para efectos Prácticos

B: Bajo 2 Importancia menor  para el desarrollo del proyecto

M: Medio 3 Importante para  el proyecto

A: Alto 4 Altamente importante para el proyecto

MA: Muy alto 5 De vital importancia para los objetivos que persigue 
el  proyecto

Y una escala cuantitativa  se determina, de acuerdo al valor del activo en pesos, de la siguiente 
manera:

Escala de  Escala  Descripción

Valoración Cuantitativa

MB:Muy Bajo 1 0   a  500.000

B: Bajo 2 501.000   a   1.500.000

M: Medio 3 1.501.000  a  3.000.000

A: Alto 4 3.001.000  a  5.000.000

12
 MA: Muy alto 5 5.000.001  o más

Si   se  toma  en   cuenta   tanto   la   escala   cuantitativa   como  cualitativa   se   deben   promediar   haciendo 
relevancia  en aquellos con valor mayor a  3.

5.2.4. Identificación de amenazas asociadas a los activos

Una vez se hallan detectado los activos realmente importantes y relevantes para el desarrollo del 
proyecto,   se   inicia   la   identificación   de   las   amenazas   a   los   que   están   expuestos,   diligenciado   el 
siguiente cuadro:

Activo  Amenaza

A continuación se presenta una relación de amenazas típicas que pueden guiar este paso.
a. Desastres Naturales

AMENAZA DESCRIPCIÓN

Fuego Incendios: posibilidad de que el fuego acabe con recursos del 
sistema.

Daños por Agua inundaciones: posibilidad de que el agua acabe con recursos 
del sistema.

Desastres  Incidentes que se producen sin intervención humana: rayo, 
Naturales  tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento 
de tierras...

b. De Origen Industrial

AMENAZA DESCRIPCIÓN

Fuego Incendio: posibilidad de que el fuego acabe con los recursos 
del sistema.

Daños por Agua Escapes, fugas, inundaciones: posibilidad de que el agua 
acabe con los recursos del sistema

Desastres  Desastres debidos a la actividad humana: explosiones, 

13
 Industriales derrumbes, ...
contaminación química, sobrecarga eléctrica,.

Contaminación  Vibraciones, polvo, suciedad, ...
Mecánica

Contaminación  Interferencias de radio, campos magnéticos, luz ultravioleta, 
Electromagnética

Avería de origen  Fallos en los equipos y/o fallos en los programas. Puede ser 
Físico  o lógico debida a un defecto de origen o sobrevenida durante el 
funcionamiento del sistema

Corte del  Cese de la alimentación de potencia
suministro 
eléctrico 

Condiciones  Deficiencias en la aclimatación de los locales, excediendo los 
inadecuadas de  márgenes de trabajo de los equipos: excesivo calor, excesivo 
temperatura y/o  frío, exceso de humedad
humedad

Fallos de servicios  Cese de la capacidad de transmitir datos de un sitio a otro.
de comunicación 

Interrupción de  Otros servicios o recursos de los que depende la operación de 
otros servicios y  los equipos; por ejemplo, papel para las impresoras, tóner, 
suministros  refrigerante, etc.
esenciales

Degradación de  Como consecuencia del paso del tiempo
los soportes de 
almacenamiento 
de la información

14
c. Errores y fallos no Intecionados

AMENAZA DESCRIPCIÓN

Errores de los usuarios Equivocaciones de las personas cuando usan los servicios, datos, 
etc.

Errores del administrador Equivocaciones de personas con responsabilidades de instalación y 
operación.

Errores de monitorización Inadecuado registro de actividades: falta de registros, registros 
incompletos.

Errores de configuración Introducción de datos de configuración erróneos.

Deficiencias en la organización Cuando no está claro quién tiene que hacer exactamente qué y 
cuándo.

Difusión de software dañino Propagación inocente de virus, espías (spyware), gusanos, 
troyanos, bombas lógicas,

Errores de re­encaminamiento Envío de información a través de un sistema o una red usando, 
accidentalmente, una ruta incorrecta que lleve la información a 
donde o por donde no es debido

Errores de secuencia Alteración accidental del orden de los mensajes transmitidos

Escapes de información La información llega accidentalmente al conocimiento de personas 
que no deberían tener conocimiento de ella, sin que la información 
en sí misma se vea alterada

Alteración de la información Alteración accidental de la información.

Introducción de información  Inserción accidental de información incorrecta.
incorrecta

Degradación de la información Esta amenaza sólo se identifica sobre datos en general, pues 
cuando la información está en algún soporte informático hay 
amenazas específicas.

Destrucción de información Pérdida accidental de información.

Divulgación de información Revelación por indiscreción.
Incontinencia verbal, medios electrónicos, soporte papel.

15
Vulnerabilidades de los  Defectos en el código que dan pie a una operación defectuosa sin 
programas (software) intención por parte del usuario

Errores de mantenimiento /  Defectos en los procedimientos o controles de actualización del 
actualización de programas  código que permiten que sigan utilizándose programas con defectos 
(software conocidos y reparados por el fabricante.

Errores de mantenimiento /  Defectos en los procedimientos o controles de actualización de los 
actualización de equipos  equipos que permiten que sigan utilizándose más allá del tiempo 
(hardware). nominal de uso.

Caída del sistema por  La carencia de recursos suficientes provoca la caída del sistema 
agotamiento de recursos cuando la carga de trabajo es desmesurada.

Indisponibilidad del personal Ausencia accidental del puesto de trabajo: enfermedad, alteraciones 
del orden público,

d. Ataques Intencionados

AMENAZA DESCRIPCIÓN

Manipulación de la  Prácticamente todos los activos dependen de su configuración y ésta 
configuración de la diligencia del administrador: privilegios de acceso, flujos de 
actividades, registro de actividad, encaminamiento

Suplantación de la identidad  Cuando un atacante consigue hacerse pasar por un usuario 
del usuario autorizado, disfruta de los privilegios de este para sus fines propios

Abuso de privilegios de  Cada usuario disfruta de un nivel de privilegios para un determinado 
acceso propósito: cuando un usuario abusa de su nivel de privilegios para 
realizar tareas que no son de su competencia hay problemas.

Uso no previsto Utilización de los recursos del sistema para fines no previstos, 
típicamente de interés personal: juegos, consultas personales en 
Internet, bases de datos personales, programas personales, 
almacenamiento de datos personales, etc.

Difusión de software dañino Propagación intencionada de virus, espías (spyware), gusanos, 
troyanos, bombas lógicas, etc

Encaminamiento de  Envío de información a un destino incorrecto a través de un sistema 
mensajes o una red que llevan la información a donde o por donde no es 

16
 debido: puede tratarse de mensajes entre personas, entre procesos 
o entre unos y otros.

Alteración de secuencia Alteración del orden de los mensajes transmitidos con ánimo de que 
el nuevo orden altere el significado del conjunto de mensajes, 
perjudicando a la integridad de los datos afectados.

Acceso no autorizado El atacante consigue acceder a los recursos del sistema sin tener 
autorización para ello, típicamente aprovechando un fallo del sistema 
de identificación y autorización.

Análisis de tráfico El atacante, sin necesidad de entrar a analizar el contenido de las 
comunicaciones, es capaz de extraer conclusiones a partir del 
análisis del origen, destino, volumen y frecuencia de los 
intercambios.

Repudio Negación a posteriori de actuaciones o compromisos adquiridos en 
el pasado.
Repudio de origen: negación de ser el remitente u origen de un 
mensaje o comunicación.

Intercepción de información  El atacante llega a tener acceso a información que no le 
(escucha) corresponde, sin que la información en sí misma se vea alterada.

Modificación de la  Alteración intencional de la información, con ánimo de obtener un 
información beneficio o causar un perjuicio.

Introducción de falsa  Inserción interesada de información falsa, con ánimo de obtener un 
información beneficio o causar un perjuicio.

Corrupción de la información Degradación intencional de la información, con ánimo de obtener un 
beneficio o causar un perjuicio.

Destrucción la información Eliminación intencional de información, con ánimo de obtener un 
beneficio o causar un perjuicio.

Divulgación de información Revelación de información.

Manipulación de programas Alteración intencionada del funcionamiento de los programas, 
persiguiendo un beneficio indirecto cuando una persona autorizada 
lo utiliza.

Denegación de servicio La carencia de recursos suficientes provoca la caída del sistema 
cuando la carga de trabajo es desmesurada

Robo La sustracción de equipamiento provoca directamente la carencia de 

17
 un medio para prestar los servicios, es decir una indisponibilidad

Ataque destructivo Vandalismo, terrorismo, acción militar, ...

Ocupación enemiga Cuando los locales han sido invadidos y se carece de control sobre 
los propios medios de trabajo.

Indisponibilidad del personal Ausencia deliberada del puesto de trabajo: como huelgas, 
absentismo laboral, bajas no justificadas, bloqueo de los accesos, ...

Extorsión Presión que, mediante amenazas, se ejerce sobre alguien para 
obligarle a obrar en determinado sentido.

Ingeniería social Abuso de la buena fe de las personas para que realicen actividades 
que interesan a un tercero

5.2.5. Identificación y valoración de las Vulnerabilidades

Una vulnerabilidad se define en este método de Gestión del Riesgo, como un estado de debilidad o 
incapacidad para resistir un fenómeno amenazante y que al ser explotado  afecta el estado de los 
activos   del   proyecto,   dicho   en   otras   palabras   es   la   potencialidad   o   'cercanía'   previsible   de   la 
materialización de la Amenaza en Agresión.
Al   igual   que     los   activos   las   vulnerabilidades   deben   valorarse   y   priorizarse,   pero   antes   deben 
describirse claramente y  evaluarla tomando como criterios  la frecuencia de ocurrencia.

Valor Descripción Probabilidad de Ocurrencia

Muy Frecuente  (MF) A diario 75­100%

Frecuente  (F) Una vez al mes 50% ­75%

Frecuencia Normal (FN) Una vez al año 25% ­50%

Poco  Frecuente ( PF) Cada varios Años 0­25%

Y los resultados registrarlos en el siguiente cuadro:

Activo  Amenaza Vulnerabilidad Valoración Probabilidad de 

Ocurrencia

18
5.2.6. Identificación y valorización de impactos
Un impacto es el daño que causa o puede causar sobre el activo derivado de la materialización de 
una amenaza. 
La tipificación de los impactos puede variar de acuerdo al proyecto. Para efectos de esta guía se 
presenta se evalúan los impactos de acuerdo al tipo de perdida ya sea organizacional o  técnica.

IMP A C TOS
Técnicos Org an izacio nales
Confidencialidad

Disponibilidad

Económicas
Pérdida de

Pérdida de
Pérdida de
Integridad
Pérdida de

Pérdidas

­ Los organizacionales se clasifican en : Imagen
a. Perdidas económicas

Escala de  Escala  Descripción

Valoración Cuantitativa

MB:Muy Bajo 1 Costos entre 10.000  y  100.000

B: Bajo 2 Costos entre 100.001 y 1.000.000

M: Medio 3 Costos entre 1.000.001  y 5.000.001

A: Alto 4 Costos entre 5.000.001  y 10.000.000

MA: Muy alto 5 Costos 10.000.000 o más

19
b. Pérdida de Imagen 

Escala de  Escala  Descripción

Valoración Cuantitativa
MB:Muy  1 Leve pérdida de imagen
Bajo
B: Bajo 2 Pérdida moderada
M: Medio 3 Pérdida importante
A: Alto 4 Pérdida alta
MA: Muy  5 Pérdida muy alta 
alto

Las técnicas se clasifican en:
a. Pérdida de Confidencialidad

Escala de  Escala  Descripción

Valoración Cuantitativa

MB:Muy Bajo 1 Información revelada mínima y no sensible

B: Bajo 2 Información revelada  mínima

M: Medio 3 Importante Cantidad de información no sensible 
revelada

A: Alto 4 Importante cantidad de información revelada

MA: Muy alto 5 Toda la información revelada

b. Pérdida de Integridad

Escala de  Escala  Descripción

Valoración Cuantitativa

MB:Muy Bajo 1 Mínima información dañada

B: Bajo 2 Mínima información importante dañada

M: Medio 3 Gran cantidad de información dañada

20
A: Alto 4 Gran cantidad de información importante dañada

MA: Muy alto 5 Toda la información destruida

c. Pérdida de Disponibilidad

Escala de  Escala  Descripción

Valoración Cuantitativa

MB:Muy Bajo 1 Mínima interrupción del servicio

B: Bajo 2 Mínima interrupción de servicios primarios

M: Medio 3 Amplia interrupción de servicios

A: Alto 4 Amplia interrupción de servicios primarios

MA: Muy alto 5 Todos los servicios interrumpidos

Posteriormente se promedia la valoración de esta variables y se calificará el posible daño de acuerdo 
o tipo de degradación de la siguiente manera:

5 Muy  alto (MA) Daño muy grave para el 
proyecto

4 Alto  (A) Daño grave al proyecto

3 Medio (M) Daño importante al proyecto

2 Bajo (B) Daño menor al proyecto

1 Muy Bajo (MB) Daño despreciable

21
5.2.7. Estimación del Riesgo
El valor de   la Vulnerabilidad y su Impacto sobre el Activo determinan conjuntamente el valor del 
Riesgo. 
Esto se puede ver con facilidad cuando se representa el riesgo con una sencilla técnica matricial. En 
esta técnica se relacionan los niveles de Vulnerabilidad (puestos en filas) y los de Impacto (puestos 
en columnas). En las casillas correspondientes, los valores del nivel de Riesgo, como es lógico, son 
crecientes con los niveles de ambos factores, pero serán sistemáticamente mayores por debajo de la 
diagonal, pues se considera que el Impacto influye más en el nivel de Riesgo que la Vulnerabilidad.

Matriz Cualitativa

                                           VULNERABILIDAD
RIESGO
PF FN F MF

    MA A MA MA MA

A M A MA MA
      IMPACTO
M B M A MA

B MB B M A

MB MB MB B M

Matriz Cuantitativa

Valoración  Valoración 
Clase Cualitativa Cuantitativa
Crítico Muy Alto 10  a 20
Grave Alto 5 a 9
Moderado Medio 4 a 6

22
5.2.8. Manejo del Riesgo
Una   vez   que   se   realiza   el   análisis   de   riesgos,   el   equipo   de   desarrollo   tiene   en   sus   manos   una 
poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el 
estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer 
políticas para la corrección de los problemas ya detectados y la gestión de seguridad de ellos a lo 
largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no persistan, 
gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del 
tiempo.

                VULNERABILIDAD
RIESGO 1 2 3 4
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
IMPACTO 2 2 4 6 8
1 1 2 2 4

La matriz de valor crítico indica a través de datos cualitativos y cuantitativos la situación de seguridad 
en   que   se   encuentran   los   activos   analizados.   Luego   de   listar   las   vulnerabilidades   o   amenazas 
potenciales, se deben fijar  las  respectivas recomendaciones de seguridad para su corrección.
Aquí se deben determinar medidas de control que  son  acciones orientadas hacia la eliminación de 
vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el 
paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la 
información por tanto deben considerar todo.
Tipo de Manejo de los Riesgos   
Antes de definir las medidas de control se debe tomar la decisión de qué manejo se le va a hacer a 
los riesgos definidos, analizados y valorados en los pasos anteriores.

Medida Descripción

Evitar el riesgo Es   siempre   la   primera   alternativa   a   considerar.   Se   logra   cuando   al 

interior   de   los   procesos   se   generan   cambios   sustanciales   por 
mejoramiento,   rediseño   o  eliminación,   resultado   de   unos   adecuados 
controles y acciones  emprendidas.  Un  ejemplo  de  esto puede ser  el 
control de calidad, manejo de los insumos, mantenimiento preventivo de 
los equipos.

23
 Reducir el riesgo Si   el   riesgo   no   puede   ser   evitado   porque   crea   grandes   dificultades 
operacionales, el paso a seguir es reducirlo al más bajo nivel posible. 
La   reducción   del   riesgo   es   probablemente  el   método   más   sencillo   y 
económico para superar las debilidades antes de aplicar medidas más 
costosas   y   difíciles.   Se   consigue   mediante   la   optimización   de   los 
procedimientos y la implementación de controles. Ejemplo: Planes de 
contingencia.

Dispersar   y  Se logra mediante la distribución o localización del riesgo en diversos 
atomizar el riesgo lugares. Es así como por ejemplo, la información de gran importancia 
se   puede   duplicar   y   almacenar   en   un   lugar   distante   y   de   ubicación 
segura, en vez de dejarla concentrada en un solo lugar.

Transferir el riesgo Hace referencia a buscar respaldo y compartir con otro parte del riesgo, 
como por ejemplo, tomar pólizas de seguros, así se traslada el riesgo a 
otra parte o físicamente se traslada a otro lugar. Esta técnica es usada 
para eliminar el riesgo de un lugar y pasarlo a otro, o de un grupo a 
otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con 
otro grupo o dependencia.

Asumir el riesgo Luego de que el riesgo ha sido reducido o transferido puede quedar un 
riesgo residual que se mantiene, en este caso el gerente del proceso 
simplemente acepta la pérdida residual probable y elabora planes de 
contingencia para su manejo.
Una vez   establecidos cuáles de los anteriores manejos del riesgo se 
van a concretar, estos deben evaluarse con relación al beneficio­costo 
para   definir,   cuáles   son   susceptibles   de   ser   aplicadas   y   proceder   a 
elaborar el plan de manejo de riesgo, teniendo en cuenta, el análisis 
elaborado para cada uno de los riesgos de acuerdo con su impacto, 
probabilidad y nivel de riesgo.
Posteriormente   se   definen   los   responsables   de   llevar   a   cabo   las 
acciones especificando el grado de participación de las dependencias 
en   el   desarrollo   de   cada   una   de   ellas.   Así   mismo,   es   importante 
construir   indicadores,   entendidos   como   los   elementos   que   permiten 
determinar
de forma práctica el comportamiento de las variables de riesgo que van 
a permitir medir el impacto de las acciones.

24
Medidas para el Manejo del Riesgo
Una vez definidos los riesgos que se va a asumir se deben especificar medidas del manejo del riesgo 
especificando:

Implantación

Seguimiento
ESCENARIOS Responsable

Fecha d e
Fecha de
Acción (Actividad donde de implantar
Recursos
/Mejoramiento se debe aplicar el acciòn de
control) mejora

Las medidas que se tomen deben ser objeto de evaluación y seguimiento constante, actualizando la 
valoración de las vulnerabilidades, impactos y riesgos.

25