Analisis de Riesgos en Sistema de Informacion

Introducción
En este documento se explicará una manera metodológica de cómo se puede llevar a cabo un
análisis y gestión de riesgos, en un caso de estudio de un sistema de información en el proyecto de
nuestras consultorías personalizadas. Que se puede implementar a una red o infraestructura que se
diseñe para las Pymes, donde se segmentara por diferentes etapas.
La primera etapa está conformada por determinar el riesgo aceptable por la organización, e indicarlo
en la "Tablas AR". La segunda etapa por identificar los activos críticos de la organización. La tercera
etapa identificar las amenazas que aplican a cada uno de los activos críticos, según el "Catálogo
Amenazas". En la cuarta etapa establecer la probabilidad y el impacto de que dicha amenaza se
materialice, según los valores de la "Tablas AR". Y por último la etapa de establecer medidas para
aquellos riesgos que superen el riesgo aceptable indicado.
Matriz de riesgos
Este documento permite realizar un análisis de riesgos sencillo en base a una escala de probabilidad
e impacto de tres niveles. Instrucciones:
1. Determinar el riesgo aceptable por la organización, e indicarlo en la "Tablas AR".

2. Identificar los activos críticos de la organización.
3. Identificar las amenazas que aplican a cada uno de los activos críticos, según el "Catálogo
Amenazas".
4. Establecer la probabilidad y el impacto de que dicha amenaza se materialice, según los
valores de la "Tablas AR".
5. Establecer medidas para aquellos riesgos que superen el riesgo aceptable indicado.
Campos de la tabla:
Activo: Nombre del activo sobre el que se evalúa el riesgo.
Amenaza: Descripción de la amenaza a la que está expuesta el activo.
Probabilidad. Probabilidad de materialización de la amenaza.
Impacto. Impacto derivado de la materialización de la amenaza.
Riesgo. Valor de riesgo resultante.
En el documento se incluye información relevante sobre los niveles orientativos de probabilidad y

riesgo, así como un catálogo de amenazas básico.
Ejemplo
ANÁLISIS DE RIESGOS
ACTIVO AMENAZA PROBABILIDAD IMPACTO RIESGO
Servidor 01 (Contabilidad) Fuga de información 2 3 6
Servidor 01 (Contabilidad) Degradación de los soportes de almacenamiento de la información 1 3 3
Router Wifi (Clientes) Caída del sistema por sobrecarga 1 2 2
Router Wifi (Clientes) Denegación de servicio 2 1 2
Servidor 02 (Web) Denegación de servicio 3 2 6
Servidor 02 (Web) Corte del suministro eléctrico 1 2 2
Deberán aplicar una metodología de Gestión del Riesgo

integrando información del diagnóstico
Tablas orientativas
Para realizar las valoraciones de impacto según escalas de tres valores. En función del nivel de
detalle que se desee conseguir, puede aumentarse el número de intervalos de la escala.
TABLA PARA ESTIMAR LA PROBABILIDAD

VALOR DESCRIPCIÓN
Bajo (1) La amenaza se materializa a lo sumo una vez cada año.
Medio (2) La amenaza se materializa a lo sumo una vez cada mes.
Alto (3) La amenaza se materializa a lo sumo una vez cada semana.
También una tabla para la definición del riesgo aceptable, que debe ser definido previamente a la
realización del análisis de riesgos de acuerdo a la estrategia corporativa.
CRITERIOS DE ACEPTACIÓN DEL RIESGO
RANGO DESCRIPCIÓN
Riesgo <= 4 La organización considera el riesgo poco reseñable.
Riesgo > 4 La organización considera el riesgo reseñable y debe proceder a su tratamiento.

ANALISIS DEL RIESGO
El siguiente listado recoge las principales amenazas a considerar en el ámbito de un análisis de
riesgos. Se trata de un extracto ligeramente modificado del catálogo de amenazas de MAGERIT.
Para información más detallada, pueden consultarse los catálogos de MAGERIT V3 en su página
web:
http://administracionelectronica.gob.es/ctt/verPestanaDescargas.htm?idIniciativa=184#.U48C7Pl_t
O4
Amenazas
Fuego
Daños por agua
Desastres naturales
Amenazas
Corte del suministro eléctrico
Condiciones inadecuadas de temperatura o humedad
Fallo de servicios de comunicaciones
Interrupción de otros servicios y suministros esenciales
Desastres industriales
Amenazas
Errores de los usuarios
Errores del administrador
Errores de configuración
Amenazas
Fuga de información
Introducción de falsa información
Alteración de la información
Corrupción de la información
Destrucción de información
Interceptación de información (escucha)
Amenazas
Degradación de los soportes de almacenamiento de la información
Difusión de software dañino
Errores de mantenimiento / actualización de programas (software)
Errores de mantenimiento / actualización de equipos (hardware)
Caída del sistema por sobrecarga
Pérdida de equipos
Indisponibilidad del personal
Abuso de privilegios de acceso
Acceso no autorizado
Amenazas
Denegación de servicio
Robo
Indisponibilidad del personal
Extorsión
Ingeniería social
Aplicando la metodología seleccionada
De acuerdo al caso de estudio se hace mención de los activos posibles con tres diferentes modelos,
que indican la estructura donde se encuentra el sistema de información.
Paso 1: «Activos» existe una columna llamada «aplicación». Esta columna contiene una lista de dos
opciones (SI/NO). Hay que rellenar con «SI» los activos que se apliquen dependiendo del modelo
de empresa elegido (el resto se dejarán en blanco o se rellenarán con «NO»).
Identificador Activo Aplicación
Modelo A A1 ordenador(es) SI
A2 móvil(es) principalmente para telefonía SI
A3 conexión a Internet e incluso wifi SI
Modelo B B1 ordenadores y conexión a Internet (con wifi) SI
B2 dispositivos móviles para telefonía y datos NO
soluciones tecnológicas gratuitas para la gestión empresarial como correo
electrónico, CRM e incluso herramientas colaborativas o de almacenamiento
B3 cloud SI
B4 una página web sencilla alojada y gestionada por un proveedor externo SI
Modelo C C1 ordenadores e incluso algún servidor (web, correo electrónico,…) SI
C2 conexión a Internet con wifi SI
C3 dispositivos móviles con datos y apps para su trabajo NO
C4 herramienta(s) comercial(es) de gestión de negocio (CRM y ERP) NO
página web / tienda online y redes sociales que gestionan desde la empresa
C5 NO
C6 herramientas para empresas en la nube NO
C7 e-administración para su relación con las AAPP NO
Paso 2: «Cruces Activo-Amenaza» se muestra en la primera columna todas las amenazas y en la
primera fila los indicadores de activos (que se corresponden con los de la hoja «Activos»). El objetivo
de esta hoja es incluir un «SI» (igual que en el paso 1) en los cruces entre activo y amenaza para
que después se muestren automáticamente en la hoja «Análisis de Riesgos».
Amenaza/Activo A1 A2 A3 B1 B2 B3 B4 C1 C2 C3 C4 C5 C6 C7
Fuego SI SI SI SI SI NO SI SI
Daños por agua SI SI SI SI SI NO SI SI
Desastres naturales SI SI SI SI SI NO SI SI
Fuga de información NO SI NO NO SI SI NO NO
Introducción de falsa información SI SI NO SI SI SI SI NO
Alteración de la información SI NO NO SI SI SI SI NO
Corrupción de la información SI SI SI SI SI SI SI SI
Destrucción de información SI SI NO SI SI SI SI NO
Interceptación de información (escucha) NO SI SI SI SI SI NO SI
Corte del suministro eléctrico SI SI SI SI NO NO SI SI
Condiciones inadecuadas de temperatura o humedad SI SI SI SO NO NO SI SI
Fallo de servicios de comunicaciones SI SI SI SO SI NO SI SI
Interrupción de otros servicios y suministros esenciales SI SI SI SO NO SI SI SI
Desastres industriales SI SI NO SI NO NO SI NO
Degradación de los soportes de almacenamiento de la información SI NO NO NO NO NO SI NO
Difusión de software dañino SI NO SI SI NO SI SI SI
Errores de mantenimiento / actualización de programas (software) NO NO SI SI SI SI NO SI
Errores de mantenimiento / actualización de equipos (hardware) SI NO SI NO SI NO SI SI
Caída del sistema por sobrecarga SI SI SI SI SI SI SI SI
Pérdida de equipos SI SI NO NO NO NO SI NO
Indisponibilidad del personal SI SI SI SI SI SI SI SI
Abuso de privilegios de acceso SI SI NO NO NO NO SI NO
Acceso no autorizado SI SI SI SI SI SI SI SI
Errores de los usuarios SI NO NO SI SI SI SI NO
Errores del administrador SI NO NO SI SI SI SI NO
Errores de configuración SI NO NO SI SI SI SI NO
Denegación de servicio SI SI SI SI SI SI SI SI
Robo SI SI SI SI SI SI SI SI
Indisponibilidad del personal SI SI SI SI SI SI SI SI
Extorsión NO SI SI SI SI SI NO SI
Ingeniería social SI SI NO SI SI SI SI NO
Evaluando los riesgos
Una vez se han valorado las consecuencias o impactos y la probabilidad de los incidentes para los
activos del ámbito elegido, se ha de realizar el producto de ambos para calcular los riesgos. Los
resultados obtenidos se compararán con los criterios de aceptación de riesgo
Paso 3: «Análisis de Riesgos» se debe «Mostrar activos» elegidos, con cada una de las amenazas
asociadas a dichos activos.
Paso 4: «Análisis de Riesgos» se debe elegir la probabilidad y el impacto de cada amenaza sobre
cada activo (se trata otra vez de una lista, pero con tres posibilidades (Bajo(1), Medio(2), Alto (3)).
Una vez seleccionados se mostrará en la columna riesgos un número que representa el riesgo
acorde a la «Tablas AR» y el fondo de la casilla del color correspondiente al tipo de riesgo.
La siguiente tabla muestra un ejemplo de un mapa de calor con el que comparar las valoraciones
realizadas.
ANÁLISIS DE RIESGOS
Activo Amenaza Probabilidad Impacto Riesgo
ordenador(es) Fuego Bajo (1) Alto (3) 3
ordenador(es) Daños por agua Bajo (1) Alto (3) 3
ordenador(es) Desastres naturales Bajo (1) Alto (3) 3
ordenador(es) Introducción de falsa información Medio (2) Alto (3) 6
ordenador(es) Alteración de la información Medio (2) Alto (3) 6
ordenador(es) Corrupción de la información Medio (2) Alto (3) 6
ordenador(es) Destrucción de información Medio (2) Alto (3) 6
ordenador(es) Corte del suministro eléctrico Medio (2) Alto (3) 6
Condiciones inadecuadas de
ordenador(es) temperatura o humedad Bajo (1) Alto (3) 3
ordenador(es) Fallo de servicios de comunicaciones Medio (2) Medio (2) 4
Interrupción de otros servicios y
ordenador(es) suministros esenciales Medio (2) Bajo (1) 2
ordenador(es) Desastres industriales Medio (2) Bajo (1) 2
Degradación de los soportes de
ordenador(es) almacenamiento de la información Alto (3) Bajo (1) 3
ordenador(es) Difusión de software dañino Alto (3) Bajo (1) 3
Errores de mantenimiento /
ordenador(es) actualización de equipos (hardware) Medio (2) Medio (2) 4
ordenador(es) Caída del sistema por sobrecarga Medio (2) Medio (2) 4
ordenador(es) Pérdida de equipos Medio (2) Alto (3) 6
ordenador(es) Indisponibilidad del personal Medio (2) Medio (2) 4
ordenador(es) Abuso de privilegios de acceso Medio (2) Bajo (1) 2
ordenador(es) Acceso no autorizado Medio (2) Medio (2) 4
ordenador(es) Errores de los usuarios Alto (3) Medio (2) 6
ordenador(es) Errores del administrador Alto (3) Medio (2) 6
ordenador(es) Errores de configuración Alto (3) Medio (2) 6
ordenador(es) Denegación de servicio Alto (3) Medio (2) 6
ordenador(es) Robo Medio (2) Medio (2) 4
ordenador(es) Indisponibilidad del personal Medio (2) Medio (2) 4
ordenador(es) Ingeniería social Alto (3) Medio (2) 6
móvil(es) principalmente para telefonía Fuego Alto (3) Alto (3) 9

móvil(es) principalmente para telefonía Daños por agua Medio (2) Alto (3) 6
móvil(es) principalmente para telefonía Desastres naturales Medio (2) Alto (3) 6
móvil(es) principalmente para telefonía Fuga de información Medio (2) Alto (3) 6
móvil(es) principalmente para telefonía Introducción de falsa información Bajo (1) Alto (3) 3
móvil(es) principalmente para telefonía Corrupción de la información Alto (3) Alto (3) 9
móvil(es) principalmente para telefonía Destrucción de información Bajo (1) Alto (3) 3
Interceptación de información
móvil(es) principalmente para telefonía (escucha) Medio (2) Medio (2) 4
móvil(es) principalmente para telefonía Corte del suministro eléctrico Medio (2) Medio (2) 4
móvil(es) principalmente para telefonía temperatura o humedad Medio (2) Medio (2) 4
móvil(es) principalmente para telefonía Fallo de servicios de comunicaciones Medio (2) Medio (2) 4
móvil(es) principalmente para telefonía suministros esenciales Alto (3) Medio (2) 6
móvil(es) principalmente para telefonía Desastres industriales Bajo (1) Medio (2) 2
móvil(es) principalmente para telefonía Caída del sistema por sobrecarga Medio (2) Alto (3) 6
móvil(es) principalmente para telefonía Pérdida de equipos Alto (3) Alto (3) 9
móvil(es) principalmente para telefonía Indisponibilidad del personal Alto (3) Medio (2) 6
móvil(es) principalmente para telefonía Abuso de privilegios de acceso Medio (2) Medio (2) 4
móvil(es) principalmente para telefonía Acceso no autorizado Medio (2) Medio (2) 4
móvil(es) principalmente para telefonía Denegación de servicio Medio (2) Medio (2) 4
móvil(es) principalmente para telefonía Robo Medio (2) Medio (2) 4
móvil(es) principalmente para telefonía Indisponibilidad del personal Alto (3) Alto (3) 9
móvil(es) principalmente para telefonía Extorsión Bajo (1) Bajo (1) 1
móvil(es) principalmente para telefonía Ingeniería social Bajo (1) Bajo (1) 1
conexión a Internet e incluso wifi Fuego Bajo (1) Medio (2) 2
conexión a Internet e incluso wifi Daños por agua Alto (3) Medio (2) 6
conexión a Internet e incluso wifi Desastres naturales Medio (2) Medio (2) 4
conexión a Internet e incluso wifi Corrupción de la información Medio (2) Medio (2) 4
conexión a Internet e incluso wifi (escucha) Medio (2) Bajo (1) 2
conexión a Internet e incluso wifi Corte del suministro eléctrico Medio (2) Medio (2) 4
conexión a Internet e incluso wifi temperatura o humedad Medio (2) Medio (2) 4
conexión a Internet e incluso wifi Fallo de servicios de comunicaciones Medio (2) Medio (2) 4
conexión a Internet e incluso wifi suministros esenciales Medio (2) Medio (2) 4
conexión a Internet e incluso wifi Difusión de software dañino Medio (2) Bajo (1) 2
conexión a Internet e incluso wifi actualización de programas (software) Alto (3) Bajo (1) 3
conexión a Internet e incluso wifi actualización de equipos (hardware) Alto (3) Bajo (1) 3
conexión a Internet e incluso wifi Caída del sistema por sobrecarga Alto (3) Medio (2) 6
conexión a Internet e incluso wifi Indisponibilidad del personal Alto (3) Bajo (1) 3
conexión a Internet e incluso wifi Acceso no autorizado Alto (3) Bajo (1) 3
conexión a Internet e incluso wifi Denegación de servicio Bajo (1) Bajo (1) 1
conexión a Internet e incluso wifi Robo Bajo (1) Bajo (1) 1
conexión a Internet e incluso wifi Indisponibilidad del personal Bajo (1) Medio (2) 2
conexión a Internet e incluso wifi Extorsión Medio (2) Medio (2) 4
ordenadores y conexión a Internet (con

wifi) Fuego Medio (2) Medio (2) 4
wifi) Daños por agua Alto (3) Alto (3) 9
wifi) Desastres naturales Bajo (1) Alto (3) 3
wifi) Introducción de falsa información Bajo (1) Bajo (1) 1
wifi) Alteración de la información Bajo (1) Alto (3) 3
wifi) Corrupción de la información Alto (3) Alto (3) 9
wifi) Destrucción de información Medio (2) Alto (3) 6
ordenadores y conexión a Internet (con Interceptación de información
wifi) (escucha) Alto (3) Medio (2) 6
wifi) Corte del suministro eléctrico Bajo (1) Bajo (1) 1
wifi) Desastres industriales Medio (2) Medio (2) 4
wifi) Difusión de software dañino Medio (2) Medio (2) 4
ordenadores y conexión a Internet (con Errores de mantenimiento /
wifi) actualización de programas (software) Medio (2) Bajo (1) 2
wifi) Caída del sistema por sobrecarga Medio (2) Alto (3) 6
wifi) Indisponibilidad del personal Medio (2) Medio (2) 4
wifi) Acceso no autorizado Medio (2) Bajo (1) 2
wifi) Errores de los usuarios Medio (2) Medio (2) 4
wifi) Errores del administrador Alto (3) Medio (2) 6
wifi) Errores de configuración Alto (3) Bajo (1) 3
wifi) Denegación de servicio Alto (3) Bajo (1) 3
wifi) Robo Medio (2) Bajo (1) 2
wifi) Indisponibilidad del personal Bajo (1) Bajo (1) 1
wifi) Extorsión Bajo (1) Medio (2) 2
wifi) Ingeniería social Bajo (1) Medio (2) 2
soluciones tecnológicas gratuitas para la
gestión empresarial como correo
electrónico, CRM e incluso herramientas
colaborativas o de almacenamiento cloud Fuego Bajo (1) Bajo (1) 1
colaborativas o de almacenamiento cloud Daños por agua Bajo (1) Medio (2) 2
colaborativas o de almacenamiento cloud Desastres naturales Bajo (1) Bajo (1) 1
colaborativas o de almacenamiento cloud Fuga de información Bajo (1) Medio (2) 2
colaborativas o de almacenamiento cloud Introducción de falsa información Bajo (1) Medio (2) 2
colaborativas o de almacenamiento cloud Alteración de la información Bajo (1) Bajo (1) 1
colaborativas o de almacenamiento cloud Corrupción de la información Bajo (1) Alto (3) 3
colaborativas o de almacenamiento cloud Destrucción de información Bajo (1) Medio (2) 2
electrónico, CRM e incluso herramientas Interceptación de información
colaborativas o de almacenamiento cloud (escucha) Medio (2) Alto (3) 6
colaborativas o de almacenamiento cloud Fallo de servicios de comunicaciones Bajo (1) Bajo (1) 1
electrónico, CRM e incluso herramientas Errores de mantenimiento /
colaborativas o de almacenamiento cloud actualización de programas (software) Medio (2) Alto (3) 6
electrónico, CRM e incluso herramientas Errores de mantenimiento /
colaborativas o de almacenamiento cloud actualización de equipos (hardware) Medio (2) Alto (3) 6
colaborativas o de almacenamiento cloud Caída del sistema por sobrecarga Medio (2) Alto (3) 6
colaborativas o de almacenamiento cloud Indisponibilidad del personal Medio (2) Medio (2) 4
colaborativas o de almacenamiento cloud Acceso no autorizado Medio (2) Medio (2) 4
colaborativas o de almacenamiento cloud Errores de los usuarios Medio (2) Medio (2) 4
colaborativas o de almacenamiento cloud Errores del administrador Medio (2) Medio (2) 4
colaborativas o de almacenamiento cloud Errores de configuración Medio (2) Bajo (1) 2
colaborativas o de almacenamiento cloud Denegación de servicio Medio (2) Bajo (1) 2
colaborativas o de almacenamiento cloud Robo Alto (3) Medio (2) 6
colaborativas o de almacenamiento cloud Indisponibilidad del personal Alto (3) Bajo (1) 3
colaborativas o de almacenamiento cloud Extorsión Alto (3) Medio (2) 6
colaborativas o de almacenamiento cloud Ingeniería social Bajo (1) Medio (2) 2
una página web sencilla alojada y
gestionada por un proveedor externo Fuga de información Bajo (1) Bajo (1) 1
gestionada por un proveedor externo Introducción de falsa información Bajo (1) Medio (2) 2
gestionada por un proveedor externo Alteración de la información Bajo (1) Bajo (1) 1
gestionada por un proveedor externo Corrupción de la información Medio (2) Bajo (1) 2
gestionada por un proveedor externo Destrucción de información Medio (2) Bajo (1) 2
una página web sencilla alojada y Interceptación de información
gestionada por un proveedor externo (escucha) Medio (2) Medio (2) 4
una página web sencilla alojada y Interrupción de otros servicios y
gestionada por un proveedor externo suministros esenciales Bajo (1) Medio (2) 2
gestionada por un proveedor externo Difusión de software dañino Alto (3) Bajo (1) 3
una página web sencilla alojada y Errores de mantenimiento /
gestionada por un proveedor externo actualización de programas (software) Alto (3) Medio (2) 6
gestionada por un proveedor externo Caída del sistema por sobrecarga Alto (3) Alto (3) 9
gestionada por un proveedor externo Indisponibilidad del personal Bajo (1) Alto (3) 3
gestionada por un proveedor externo Acceso no autorizado Bajo (1) Medio (2) 2
gestionada por un proveedor externo Errores de los usuarios Bajo (1) Medio (2) 2
gestionada por un proveedor externo Errores del administrador Bajo (1) Medio (2) 2
gestionada por un proveedor externo Errores de configuración Bajo (1) Medio (2) 2
gestionada por un proveedor externo Denegación de servicio Bajo (1) Medio (2) 2
gestionada por un proveedor externo Robo Medio (2) Medio (2) 4
gestionada por un proveedor externo Indisponibilidad del personal Medio (2) Bajo (1) 2
gestionada por un proveedor externo Extorsión Medio (2) Bajo (1) 2
gestionada por un proveedor externo Ingeniería social Medio (2) Medio (2) 4
ordenadores e incluso algún servidor

(web, correo electrónico,…) Fuego Alto (3) Bajo (1) 3
(web, correo electrónico,…) Daños por agua Alto (3) Bajo (1) 3
(web, correo electrónico,…) Desastres naturales Alto (3) Medio (2) 6
(web, correo electrónico,…) Introducción de falsa información Alto (3) Medio (2) 6
(web, correo electrónico,…) Alteración de la información Alto (3) Alto (3) 9
(web, correo electrónico,…) Corrupción de la información Medio (2) Alto (3) 6
(web, correo electrónico,…) Destrucción de información Medio (2) Alto (3) 6
(web, correo electrónico,…) Corte del suministro eléctrico Medio (2) Alto (3) 6
ordenadores e incluso algún servidor Condiciones inadecuadas de
(web, correo electrónico,…) temperatura o humedad Medio (2) Alto (3) 6
(web, correo electrónico,…) Fallo de servicios de comunicaciones Alto (3) Alto (3) 9
ordenadores e incluso algún servidor Interrupción de otros servicios y
(web, correo electrónico,…) suministros esenciales Bajo (1) Bajo (1) 1
(web, correo electrónico,…) Desastres industriales Bajo (1) Medio (2) 2
ordenadores e incluso algún servidor Degradación de los soportes de
(web, correo electrónico,…) almacenamiento de la información Alto (3) Medio (2) 6
(web, correo electrónico,…) Difusión de software dañino Bajo (1) Medio (2) 2
ordenadores e incluso algún servidor Errores de mantenimiento /
(web, correo electrónico,…) actualización de equipos (hardware) Bajo (1) Medio (2) 2
(web, correo electrónico,…) Caída del sistema por sobrecarga Bajo (1) Medio (2) 2
(web, correo electrónico,…) Pérdida de equipos Bajo (1) Medio (2) 2
(web, correo electrónico,…) Indisponibilidad del personal Bajo (1) Bajo (1) 1
(web, correo electrónico,…) Abuso de privilegios de acceso Bajo (1) Bajo (1) 1
(web, correo electrónico,…) Acceso no autorizado Medio (2) Bajo (1) 2
(web, correo electrónico,…) Errores de los usuarios Medio (2) Bajo (1) 2
(web, correo electrónico,…) Errores del administrador Medio (2) Medio (2) 4
(web, correo electrónico,…) Errores de configuración Medio (2) Bajo (1) 2
(web, correo electrónico,…) Denegación de servicio Medio (2) Alto (3) 6
(web, correo electrónico,…) Robo Medio (2) Alto (3) 6
(web, correo electrónico,…) Indisponibilidad del personal Medio (2) Medio (2) 4
(web, correo electrónico,…) Ingeniería social Medio (2) Medio (2) 4
conexión a Internet con wifi Fuego Alto (3) Medio (2) 6
conexión a Internet con wifi Daños por agua Alto (3) Medio (2) 6
conexión a Internet con wifi Desastres naturales Alto (3) Medio (2) 6
conexión a Internet con wifi Corrupción de la información Alto (3) Medio (2) 6
conexión a Internet con wifi (escucha) Alto (3) Medio (2) 6
conexión a Internet con wifi Corte del suministro eléctrico Alto (3) Alto (3) 9
conexión a Internet con wifi temperatura o humedad Bajo (1) Alto (3) 3
conexión a Internet con wifi Fallo de servicios de comunicaciones Bajo (1) Alto (3) 3
conexión a Internet con wifi suministros esenciales Bajo (1) Medio (2) 2
conexión a Internet con wifi Difusión de software dañino Medio (2) Bajo (1) 2
conexión a Internet con wifi actualización de programas (software) Medio (2) Bajo (1) 2
conexión a Internet con wifi actualización de equipos (hardware) Bajo (1) Bajo (1) 1
conexión a Internet con wifi Caída del sistema por sobrecarga Medio (2) Bajo (1) 2
conexión a Internet con wifi Indisponibilidad del personal Medio (2) Bajo (1) 2
conexión a Internet con wifi Acceso no autorizado Alto (3) Bajo (1) 3
conexión a Internet con wifi Denegación de servicio Medio (2) Medio (2) 4
conexión a Internet con wifi Robo Medio (2) Bajo (1) 2
conexión a Internet con wifi Indisponibilidad del personal Alto (3) Bajo (1) 3
conexión a Internet con wifi Extorsión Bajo (1) Medio (2) 2
Tratando y aceptando riesgos de seguridad de la información
Como resultado de la etapa anterior tendremos una lista ordenada de riesgos o una tabla como la
del ejemplo con su posición. Ahora debemos elegir qué hacer con cada uno de ellos en virtud de su
valoración y de los criterios establecidos. Es decir, tendremos que situar la «línea roja» de nuestro
umbral o nivel de tolerancia al riesgo.
En esta fase se seleccionarán la opción de tratamiento adecuada (evitar, reducir o mitigar, transferir
o aceptar) para cada uno de los riesgos de la lista. Para elegir las opciones, o una combinación de
ellas, se considerará no sólo la valoración obtenida para cada riesgo sino también el coste del
tratamiento. Por ejemplo, será mejor evitar algún riesgo que mitigarlo si el coste es muy alto. Se
preferirán las opciones que aporten una reducción considerable del riesgo de la forma más
económica. El nivel de tolerancia de riesgo se establece en base a criterios de coste-beneficio.
Gestión del riesgo: de seguridad de la información
Para reducir o mitigar los riesgos se realizan estas acciones:
• instalar productos o contratar servicios

• establecer controles de seguridad
• mejorar los procedimientos
• cambiar el entorno
• incluir métodos de detección temprana
• implantar un plan de contingencia y continuidad
• realizar formación y sensibilización
Monitorizando los riesgos de seguridad de la información
Periódicamente se revisará el valor de los activos, impactos, amenazas, vulnerabilidades y

probabilidades en busca de posibles cambios.
Los riesgos no son estáticos y pueden cambiar de forma radical sin previo aviso. Por ello es necesaria
una supervisión continua que detecte:
• nuevos activos o modificaciones en el valor de los activos

• nuevas amenazas
• cambios o aparición de nuevas vulnerabilidades
• aumento de las consecuencias o impactos
• incidentes de seguridad de la información
De forma análoga se revisará el propio proceso de gestión de riesgos para adecuarlo al contexto.
Esta revisión afecta entre otros a:
• las categorías de activos

• los criterios de evaluación de riesgos
• los niveles de clasificación de los impactos
• las escalas de aceptación de riesgos
• los recursos necesarios
Como resultado de la gestión de riesgos tenemos identificados los riesgos y su forma de tratarlos.
Este es un buen punto de partida para gestionar la seguridad de la información en la empresa de
forma amplia, planificando las distintas actuaciones de forma que estén organizadas en el tiempo y
alineadas con la estrategia del negocio.
La gestión de riesgos es el proceso central para poner en marcha un Plan director de seguridad de
la información. En este plan se definen y priorizan, en base a una evaluación de riesgos, los
proyectos que se hayan de implantar para reducir los riesgos a que está expuesta la empresa
Conclusión
Se concluye que el realizar esta metodología ayuda a mejorar el sistema de información ya creado,
identificando a través de diferentes parámetros las debilidades y fortalezas con las que cuenta y con
esta información ser capaces de mejorarlo y añadir métodos de seguridad más eficaces, haciendo
que el costo del proyecto aumente pero también se mejore considerablemente la confidencialidad
de la información, haciéndolo un proyecto más completo y que puede competir con otros proyectos
similares poniéndolo en una mejor posición.
Referencias bibliográficas
[1] incibe. (2006). Gestión de riesgos Una guía de aproximación para el empresario. S/R: incibe.
[2] certsi. (S/F). Esquema Nacional de Seguridad Industrial. mayo 19, 2021, de certsi Sitio web: S/R
[3] Gomez, M., & Candau, J. (2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro III - Guía de Técnicas. Madrid: Ministerio de Hacienda
y Administraciones Públicas.

Analisis de Riesgos en Sistema de Informacion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Analisis de Riesgos en Sistema de Informacion

Cargado por

Copyright:

Formatos disponibles

Introducción

1. Determinar el riesgo aceptable por la organización, e indicarlo en la "Tablas AR".

Activo: Nombre del activo sobre el que se evalúa el riesgo.

Amenaza: Descripción de la amenaza a la que está expuesta el activo.

Probabilidad. Probabilidad de materialización de la amenaza.

Impacto. Impacto derivado de la materialización de la amenaza.

Riesgo. Valor de riesgo resultante.

En el documento se incluye información relevante sobre los niveles orientativos de probabilidad y

Servidor 01 (Contabilidad) Fuga de información 2 3 6

Servidor 01 (Contabilidad) Degradación de los soportes de almacenamiento de la información 1 3 3

Router Wifi (Clientes) Caída del sistema por sobrecarga 1 2 2

Router Wifi (Clientes) Denegación de servicio 2 1 2

Servidor 02 (Web) Denegación de servicio 3 2 6

Servidor 02 (Web) Corte del suministro eléctrico 1 2 2

Deberán aplicar una metodología de Gestión del Riesgo

TABLA PARA ESTIMAR LA PROBABILIDAD

Bajo (1) La amenaza se materializa a lo sumo una vez cada año.

Medio (2) La amenaza se materializa a lo sumo una vez cada mes.

Alto (3) La amenaza se materializa a lo sumo una vez cada semana.

Riesgo <= 4 La organización considera el riesgo poco reseñable.

Riesgo > 4 La organización considera el riesgo reseñable y debe proceder a su tratamiento.

Daños por agua

Condiciones inadecuadas de temperatura o humedad

Fallo de servicios de comunicaciones

Interrupción de otros servicios y suministros esenciales

Errores del administrador

Introducción de falsa información

Interceptación de información (escucha)

Difusión de software dañino

Errores de mantenimiento / actualización de programas (software)

Errores de mantenimiento / actualización de equipos (hardware)

Caída del sistema por sobrecarga

Indisponibilidad del personal

Abuso de privilegios de acceso

Indisponibilidad del personal

Identificador Activo Aplicación

Evaluando los riesgos

móvil(es) principalmente para telefonía Fuego Alto (3) Alto (3) 9

ordenadores y conexión a Internet (con

ordenadores e incluso algún servidor

Tratando y aceptando riesgos de seguridad de la información

Para reducir o mitigar los riesgos se realizan estas acciones:

• instalar productos o contratar servicios

Monitorizando los riesgos de seguridad de la información

Periódicamente se revisará el valor de los activos, impactos, amenazas, vulnerabilidades y

• nuevos activos o modificaciones en el valor de los activos

• las categorías de activos

También podría gustarte