Asignatura Datos del alumno Fecha

Apellidos: López Rodríguez

Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

Actividades

Actividad: Elaboración del documento de metodología de

análisis y gestión de riesgos de una organización

I. Introducción
Para la elaboración del Plan Director de Seguridad de la Información para la
compañía Bancaria, es necesario la identificación de los riesgos a la que está
expuesta, de tal forma que sea posible el análisis y gestión de los riesgos,
permitiendo así mitigarlos y que la compañía no se vea afectada en la
continuación de sus operaciones y el negocio.
Para el análisis y gestión de riesgos se deberá elegir la metodología que más
convenga para la elaboración del PDSI, para ello se revisa las metodologías
existentes.
Es importante mencionar que el PDSI se elabora a la medida de las necesidades
de la compañía, ya que no es posible copiar de otras compañías, entendiendo
que cada uno tiene sus propios riesgos y estrategias de gestión que se plantean
de acuerdo a su propia realidad.

II. Metodologías de Análisis y Gestión de Riegos

Actualmente existen varias metodologías de análisis y gestión de riesgos,
haciendo que los oficiales de la seguridad de información o quien haga sus veces
analicen, seleccionen y realicen adaptaciones a la metodología de acuerdo a sus
necesidades organizacionales. Estas metodologías y su adaptación tienen como
marco normativo a la ISO 31000 e ISO 27005 donde se establecen las
directrices y principios de la gestión de los riesgos y la gestión de riegos de
seguridad de la información respectivamente.
ISO 31000
La ISO 31000 desarrollado por la Organización Internacional de Normalización

(ISO) con la finalidad de asistir a las organizaciones en integrar la gestión del

riesgo en todas sus actividades y funciones significativas, en la que establece que

el propósito de la gestión del riesgo es la creación y la protección del valor.
Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

(“ISO 31000:2018(es), Gestión del riesgo — Directrices,” 2018); sin embargo el

éxito de la gestión de riesgos depende del liderazgo y compromiso de los
directores, como en cualquier otro proyecto donde el factor humano es
determinante para el logro del objetivo.
Esta norma busca integrar la gestión de riesgos en la gestión, la gobernanza, el
liderazgo y compromiso, la estrategia, los objetivos, las actividades
operacionales de la organización y analizar y comprender los contextos internos
y externos (Comité Técnico CTN 307 Gestión de Riesgos, 2018), para ello
determinado 8 principios como factores claves de éxito, siendo estos los
siguientes: Integración en todas las actividades, estructuración, adaptación a la
organización, inclusión de todas las partes interesadas, dinamismo y respuesta a
los cambios, base en la mejor información disponible, consideración de factores
humanos y culturales, foco en la mejora continua. (Gonzalez, 2018).
Implementar la Norma ISO 31000:2018 para Gestión de Riesgos implica una
serie de beneficios, siendo los más resaltantes, beneficios para las partes
interesadas, beneficios en el mercado y beneficios para la organización.
(Gonzalez, 2018)
ISO 27005
La información es uno de los activos más importantes en las organizaciones ya
sean grandes, medianas o pequeñas, en cualquier ámbito, esto debido a que es el
insumo principal en la continuidad de las operaciones y del negocio en los
diferentes niveles de la pirámide organizacional (Nivel operativo, táctico y
estratégico), por tanto, la información debe ser protegida de las diferentes
amenazas y riesgos a la que está en expuesta en la organización, entendiendo
que la seguridad absoluta no existe, sin embargo, se busca gestionarlo
mitigando los riesgos a nivel aceptables, del mismo modo “El riesgo cero no
existe prácticamente en ningún caso, pero las organizaciones requieren de un
proceso de seguridad de la información desde el enfoque de la gestión del
riesgo, una evaluación del riesgo exhaustiva y adecuada en la organización
tiene como resultado la reducción de pérdida, robo o corrupción de la
información. La gestión del riesgo evalúa el daño resultante de una falla y la
probabilidad de ocurrencia, estima el nivel de riesgo resultante y determina si
el riesgo es aceptable o requiere de un tratamiento” (Kowask et al., 2014)
En este contexto de mantener la seguridad de información, se presenta la norma
ISO/IEC 27005:2008, que suministra las directrices para la gestión de riesgos

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

de seguridad de la información en una empresa, pero toma referencias

adicionales de otros estándares reconocidos como el estándar "AS/NZS
4360:2004, Risk Management"(Velasco, 2018), conocido también como la
metodología de análisis y gestión de riesgos Australiana, y establece las
siguientes actividades:
- Determinar el contexto
- Análisis/Evaluación del riesgo
- Tratamiento del riesgo
- Aceptación del riesgo
- Comunicación del riesgo
- Monitoreo y análisis crítico
- Ciclo de mejora continua PHVA
(Velasco, 2018)
Los estándares ISO 31000 e ISO 27005 establecen los criterios y principios de
manera general, sin detallar especificaciones de los procesos a seguir para el
análisis y gestión de riesgos, haciendo necesario la aparición de las
metodologías.
Las metodologías de análisis y gestión de riesgos más relevantes revisadas en el
presente estudio son los siguientes:
a. Octave (Operationally Critical Threat Asset and Vulnerability
Evaluation)
Esta metodología fue desarrollada por la SEI (Software Engineering
Institute), para responder a las necesidades de pequeñas empresas con
menos de 100 personas, estudia los riesgos en base a tres principios
Confidencialidad, Integridad y Disponibilidad, basa su análisis en 3 fases
principales:
1. Evaluación de la organización y desarrollo de perfiles de amenazas
basados en los activos, donde se identifican los bienes o activos, las
amenazas, prácticas actuales, vulnerabilidades y los recursos de
seguridad de la organización o empresa.
2. Identificación de las vulnerabilidades a nivel de infraestructura de TI, se
basa en los componentes clave y sus correspondientes vulnerabilidades
técnicas
3. Desarrollar estrategias y planes de seguridad, con base a los riesgos, la
estrategia de protección y los planes de mitigación

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

(Hurtado, 2018)
Estas tres fases reúnen ocho procesos, siendo estos: identificar el
conocimiento de los altos directivos, identificar el conocimiento de los
directivos de áreas operativas, identificar el conocimiento del personal,
crear perfiles de amenaza, identificar componentes claves, evaluar los
componentes seleccionados, realizar un análisis de riesgos y el desarrollo de
una estrategia de protección. Estos procesos permiten identificar todos los
riesgos en cada uno de los niveles de los que consta la empresa u
organización donde se vaya a realizar dicho análisis de riesgos. (Piedra &
Jácome, 2011)
b. Magerit
Metodología cuyo acrónimo es “Metodología de análisis y Gestión de
Riesgos de IT” elaborada por el Consejo Superior de Administración
Electrónica de España. Esta metodología se orienta hacia la investigación y
análisis de riesgos que se presentan dentro de la tecnología de información.
Esta metodología define 5 pasos para determinar los riesgos, siendo estos:
1. Determinar los activos relevantes para la Organización, su interrelación
y su valor, en el sentido de qué perjuicio (coste) supondría su
degradación
2. Determinar a qué amenazas están expuestos aquellos activos
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al
riesgo
4. Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza
(coordinación de contenidos, General de Modernización Administrativa,
& Impulso de la Administración Electrónica, 2012)
Todas las consideraciones anteriores desembocan en una calificación de
cada riesgo significativo, determinándose si es crítico, grave, apreciable y
asumible, análisis que corresponde a la gestión de riesgos. A partir de aquí,
las decisiones son de los órganos de gobierno de la Organización que
actuarán en 2 pasos: Paso 1: evaluación y paso 2: tratamiento
Magerit cuenta con un software denominado PILAR para soportar el
análisis y la gestión de riesgos de sistemas de información. Las siglas de

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

PILAR provienen de “Procedimiento Informático Lógico para el Análisis de

Riesgos”. La metodología Magerit se encuentra desarrollado en el software
PILAR, permitiendo que los pasos del análisis de riesgos sean más
dinámicos, prácticos y con resultados mucho más rápidos, además de la
presentación de la información de manera gráfica o tabla, en formato RTF
logrando elaborar diferentes tipos de informes y presentaciones de los
resultados. (Torres & Rojas, 2017)
c. EBIOS
El método EBIOS (Expression des Besoins et Identification des Objectifs de
Sécurité) - Expresión de las Necesidades e Identificación de los Objetivos de
Seguridad. Esta metodología se desarrolla mediante cinco (5) fases: Fase 1:
estudio del contexto; Fase 2: estudio de los eventos peligrosos; Fase 3:
estudio de los escenarios de amenazas; Fase 4: estudio de los riesgos; Fase
5: estudio de las medidas de seguridad. Es un conjunto de guías y
herramientas de código abierto, enfocada a gestores del riesgo de TI.
(Alemán & Rodríguez, 2019)
d. CRAMM
Es un método de análisis de riesgos desarrollado por la organización
gubernamental británica CCTA (Agencia Central de Comunicaciones y
Telecomunicaciones), aplica sus conceptos de una manera formal,
disciplinada y estructurada. Aunque esta metodología es considerada
cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por esto se
considera mixta. Consta de tres etapas:
1. Identificación y valoración de activos
2. De amenazas y evaluación de la vulnerabilidad
3. Contramedidas selección y recomendación
(Vásquez, 2015)
Asimismo, Cramm es un software que realiza un análisis de riesgos
cualitativos asociados con una herramienta de gestión. CRAMM es aplicable
a todo tipo de sistemas y redes de información y se puede aplicar en todas
las etapas del ciclo de vida del sistema de información, desde la
planificación y viabilidad, a través del desarrollo e implementación del
mismo. CRAMM se puede utilizar siempre que sea necesario para
identificar la seguridad y/o requisitos de contingencia para un sistema de
información o de la red. (Huerta, 2012)

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

III. Metodología de Análisis y Gestión de Riesgos Adaptada a las

necesidades del Banco FinanSeguro
Si bien es cierto, existen varias metodologías de análisis y gestión de
riesgos, así como normativas de seguridad de información, es necesario que
las empresas utilicen las metodologías que sean adaptadas a su realidad y
necesidad, con la finalidad que el análisis y gestión de riesgos forma parte
integral de la administración en los diferentes niveles organizacionales.
La metodología adaptada para el banco FinanSeguro tiene como alcance el
área de operaciones, que incluye las mejores prácticas de las metodologías
previamente descritas; se establecen las siguientes fases para el análisis y
gestión de riesgos:
Metodología de Análisis de Riesgos para el Banco FinanSeguro
1. Estudio del Contexto
2. Valoración de los activos
3. Identificación de amenazas
4. Análisis y evaluación de riesgos
5. Desarrollo de estrategias de protección
A continuación, se desarrolla la metodología:
1. Estudio del Contexto
Esta primera fase es importante debido a que permite conocer el
contexto sobre la que se desarrollará el análisis de riegos, identificando
los procesos que se desarrollan en ella, los flujos de información y la
dirección en la que éstas fluyen.
El estudio del contexto es crítico para el buen desarrollo del análisis y
gestión de riesgos.
En la siguiente figura se muestra los procesos y flujo que se desarrollan
en el área de operaciones del Banco FinanSeguro.
Las principales operaciones que se desarrollan en el área de operaciones
del Banco FinanSeguro son:
Plataforma: Esta operación tiene como finalidad atender a los clientes
que desean aperturar cuentas bancarias en los diferentes productos, ya
sea para personas naturales o personas jurídicas, asimismo, en la
atención de consultas o reclamos por parte de los clientes.
Operaciones: Tiene como finalidad atender a los clientes en operaciones
de retiros y depósitos, cumpliendo con las normativas y controles tanto

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

internas como externas. En este tipo de operaciones, por disposición del

estado Peruano se controla el importe por operación y el acumulado
mensual, siendo esto de $. 5,000.00 por operación o su equivalente en
moneda nacional y $. 20,000.00 mensual o su equivalente en moneda
nacional. Este control se denomina “Control de Lavado de Activos y
Financiamiento al Terrorismo”

Figura 1: Modelo de procesos de operaciones con notación BPMN del Banco FinanSeguro

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

2. Valoración de los activos

Para esta segunda fase que corresponde a la valoración de los activos se
toma como referencia lo propuesto por Moncayo Diana descrito en su
tesis de grado de magíster titulado “Modelo de Evaluación de Riesgos en
Activos de TIC’S para Pequeñas y Medianas Empresas del Sector
Automotriz”, en su numeral 1.4 referido a fundamentos para el
desarrollo del modelo de evaluación de riesgos, considera los siguientes
puntos importantes:
- Alcance del Servicio: Realizar un inventario físico, con el fin de
obtener el reporte de las existencias de los activos fijos.
- Coordinación: Visita preliminar en las instalaciones donde se
encuentran los activos para verificar el estado actual del mismo
- Inspección: Levantamiento físico de los activos y bienes de control
que se encuentran en oficinas.
- Codificación y etiquetado: Generación individual de código para
cada activo determinado por el Banco y aprobado por la
administración de la empresa
- Valoración: Identificación de las características físicas de cada uno
de los activos fijos más el registro de los detalles en hoja electrónica
- Método de valoración: Para la valoración de activos se aplica la
fórmula:
VA=VR*FD*FO
Donde:
VA= Valor actual del mercado del activo
VR= Valor de reposición a nuevo
FD: Factor de depreciación
FO: Factor de obsolescencia tecnológica
(Moncayo, 2014)
3. Identificación de amenazas
Por cada activo identificado y valorizado se deberá identificar las
amenazas, teniendo en consideración su frecuencia de ocurrencia y por
la degradación que causaría su materialización sobre el activo. Un activo
puede tener de una a muchas amenazas, esto significa que deberá existir
la relación entre activo y amenaza. Las amenazas incluyen personas,
fenómenos naturales y accidentes.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

4. Análisis y evaluación de riesgos

Para el análisis y evaluación de los riesgos se tiene en consideración la
probabilidad o frecuencia en la que se podría presentar los riesgos, así
como el impacto o daño que podría ocasionar, esto permitirá la
valoración de los riesgos.
Tabla 1: Medidas cualitativas de probabilidad

Nivel Descripción Consecuencia o Impacto

5 Casi certeza Se espera que ocurra en la mayoría de

circunstancias

4 Probable Probablemente ocurriría en la mayoría

de circunstancias

3 Posible Podría ocurrir en algún momento

2 Improbable Pudo ocurrir en algún momento

1 Raro Puede ocurrir sólo en circunstancias

excepcionales

Tabla 2: Medidas cualitativas de consecuencia o impacto

Nivel Descripción Consecuencia o Impacto

1 Insignificante Baja pérdida financiera Hasta S/.

2 Menor Pérdida financiera media desde S/.

Hasta S/.

3 Moderado Afectación financiera desde S/. Hasta

S/.

4 Mayor Pérdida financiera mayor desde S/.

Hasta S/.

5 Catastrófico Enorme pérdida financiera desde S/.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

Con los resultados obtenidos del análisis de probabilidad e impacto se

podrá priorizar los riesgos en base a la valoración
Tabla 3: Valoración «probabilidad x impacto» para evaluar riesgos
Impacto
(5)
Catastrófico

(4)
Mayor

(3)
Moderado

(2)
Menor

(1)
Insignificante

(1) (2) (3) (4) (5)

Raro Improbable Posible Probable Casi certeza

Probabilidad

Leyenda

5. Desarrollo de estrategias de protección

En esta última fase se tiene ordenado y priorizado los riesgos, y se
deberá evaluar qué hacer para mitigar cada uno de los riesgos
considerando dentro de las posibilidades: vitar, reducir o mitigar,
transferir o aceptar, esta decisión se debe considerar no solo la
valoración

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

sino el costo – beneficio de implementar la estrategia de mitigación en cada riesgo.

Estas estrategias deben estar alineados al análisis integral del riesgo, para ello se propone la siguiente tabla:
Tabla 4: Matriz Final de Análisis y Gestión de Riesgos

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

IV. Conclusión
La metodología de análisis y gestión de riesgos adaptada a la necesidad del
banco considera las fases y procesos identificados en el estudio de las
principales metodologías de análisis de riesgos descritos en el presente trabajo,
además de los principios mencionadas en las normas ISO 27005 e ISO 31000.
La metodología propuesta está enfocada en la mejora continua del ciclo de
Deming, considerando que el análisis y gestión de riesgos es un proceso y como
tal es cíclico. El riesgo es cambiante y como tal, las estrategias de protección
también deben ser cambiante, que responda a la realidad y necesidad.
Finalmente, el desarrollo de las fases se materializa en la Matriz Final de
Análisis y Gestión de Riesgos (Tabla 4), donde se considera también el cálculo
del riesgo residual, cuyo valor se obtendrá después de la implementación de las
medidas de mitigación propuestas o estrategias de protección, esto permitirá
que se mantenga activo el ciclo de Deming y como consecuencia el control de los
riesgos, asegurando la continuidad de las operaciones y del negocio del banco
FinanSeguro.

V. Bibliografía
Alemán, H., & Rodríguez, C. (2019). Vista de Metodologías para el análisis de riesgos
en los sgsi | Publicaciones e Investigación. Retrieved from
https://hemeroteca.unad.edu.co/index.php/publicaciones-e-
investigacion/article/view/1435/1874
Comité Técnico CTN 307 Gestión de Riesgos. UNE-ISO 31000: Gestión de Riesgos
Directrices . , AENOR INTERNATIONAL S.A.U. § (2018).
coordinación de contenidos, E., General de Modernización Administrativa, D., &
Impulso de la Administración Electrónica, P. (2012). Magerit versión 3.0:
Metodología de análisis y gestión de riesgos de los Sistemas de Información.
Libro I: Método. Retrieved from http://administracionelectronica.gob.es/
Gonzalez, H. (2018, October 3). ISO 31000:2018-DIRECTRICES PARA GESTION DE
RIESGOS – Calidad & Gestion – Consultoría para Empresas. Retrieved November
29, 2020, from https://calidadgestion.wordpress.com/2018/10/31/iso-31000-
2018-directrices-para-gestion-de-riesgos/
Huerta, A. (2012, March 30). Introducción al análisis de riesgos - Metodologías (I) -
Security Art Work. Retrieved November 30, 2020, from
https://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgos-

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: López Rodríguez
Análisis de Riesgos
22/11/2020
Informáticos
Nombre: Carlos Enrique

metodologias-i/
Hurtado, M. (2018). GESTIÓN DE RIESGO METODOLOGÍAS OCTAVE y MAGERIT.
Retrieved from http://polux.unipiloto.edu.co:8080/00004420.pdf
ISO 31000:2018(es), Gestión del riesgo — Directrices. (2018). Retrieved November 29,
2020, from 31000:2018 website:
https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es
Kowask, E., Fabiano, B., Lima, A., Motta, A. C., Dimmit, J., & Piccolini, B. (2014).
Gestión del riesgo de las TI NTC 27005 (Versión ES). Retrieved from
https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI9.pdf
Moncayo, D. (2014). Modelo de evaluación de riesgos en activos de TIC’S para
pequeñas y medianas empresas del sector automotriz (ESCUELA POLITÉCNICA
NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS). Retrieved from
https://bibdigital.epn.edu.ec/bitstream/15000/8499/3/CD-5741.pdf
Piedra, M., & Jácome, P. (2011). Análisis de Riesgos Informáticos y Elaboración de un
Plan de Contingencia T.I. para la Empresa Eléctrica Quito S.A. Escuela
Politécnica Nacional / Facultad de Ingeniería de Sistemas, Quito .
Torres, S., & Rojas, J. (2017). MODELO DE GESTIÓN DE RIESGOS APLICANDO
METODOLOGÍA OCTAVE ALLEGRO EN ENTIDADES DEL SECTOR
FIDUCIARIO (UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS).
Retrieved from
http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandr
aMilena2017.pdf
Vásquez, J. (2015). METODOLOGÍA O HERRAMIENTAS PARA EL ANÁLISIS Y
GESTIÓN DE RIESGOS - ppt video online descargar. Retrieved November 30,
2020, from https://slideplayer.es/slide/5503051/
Velasco, R. (2018). GESTIÓN DEL RIESGO BASADO EN ISO/IEC 27005:2009 –
ISO/IEC 31000:2011 ISO/IEC 28000:2008. Retrieved from
http://polux.unipiloto.edu.co:8080/00002323.pdf

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)