Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En este documento se explicará una manera metodológica de cómo se puede llevar a cabo un
análisis y gestión de riesgos, en un caso de estudio de un sistema de información en el proyecto de
nuestras consultorías personalizadas. Que se puede implementar a una red o infraestructura que se
diseñe para las Pymes, donde se segmentara por diferentes etapas.
La primera etapa está conformada por determinar el riesgo aceptable por la organización, e indicarlo
en la "Tablas AR". La segunda etapa por identificar los activos críticos de la organización. La tercera
etapa identificar las amenazas que aplican a cada uno de los activos críticos, según el "Catálogo
Amenazas". En la cuarta etapa establecer la probabilidad y el impacto de que dicha amenaza se
materialice, según los valores de la "Tablas AR". Y por último la etapa de establecer medidas para
aquellos riesgos que superen el riesgo aceptable indicado.
Matriz de riesgos
Este documento permite realizar un análisis de riesgos sencillo en base a una escala de probabilidad
e impacto de tres niveles. Instrucciones:
Campos de la tabla:
ANÁLISIS DE RIESGOS
ACTIVO AMENAZA PROBABILIDAD IMPACTO RIESGO
Para realizar las valoraciones de impacto según escalas de tres valores. En función del nivel de
detalle que se desee conseguir, puede aumentarse el número de intervalos de la escala.
También una tabla para la definición del riesgo aceptable, que debe ser definido previamente a la
realización del análisis de riesgos de acuerdo a la estrategia corporativa.
CRITERIOS DE ACEPTACIÓN DEL RIESGO
RANGO DESCRIPCIÓN
Para información más detallada, pueden consultarse los catálogos de MAGERIT V3 en su página
web:
http://administracionelectronica.gob.es/ctt/verPestanaDescargas.htm?idIniciativa=184#.U48C7Pl_t
O4
Amenazas
Fuego
Desastres naturales
Amenazas
Corte del suministro eléctrico
Desastres industriales
Amenazas
Errores de los usuarios
Errores de configuración
Amenazas
Fuga de información
Alteración de la información
Corrupción de la información
Destrucción de información
Amenazas
Degradación de los soportes de almacenamiento de la información
Pérdida de equipos
Acceso no autorizado
Amenazas
Denegación de servicio
Robo
Extorsión
Ingeniería social
Aplicando la metodología seleccionada
De acuerdo al caso de estudio se hace mención de los activos posibles con tres diferentes modelos,
que indican la estructura donde se encuentra el sistema de información.
Paso 1: «Activos» existe una columna llamada «aplicación». Esta columna contiene una lista de dos
opciones (SI/NO). Hay que rellenar con «SI» los activos que se apliquen dependiendo del modelo
de empresa elegido (el resto se dejarán en blanco o se rellenarán con «NO»).
Modelo A A1 ordenador(es) SI
A2 móvil(es) principalmente para telefonía SI
A3 conexión a Internet e incluso wifi SI
Modelo B B1 ordenadores y conexión a Internet (con wifi) SI
B2 dispositivos móviles para telefonía y datos NO
soluciones tecnológicas gratuitas para la gestión empresarial como correo
electrónico, CRM e incluso herramientas colaborativas o de almacenamiento
B3 cloud SI
B4 una página web sencilla alojada y gestionada por un proveedor externo SI
Modelo C C1 ordenadores e incluso algún servidor (web, correo electrónico,…) SI
C2 conexión a Internet con wifi SI
C3 dispositivos móviles con datos y apps para su trabajo NO
C4 herramienta(s) comercial(es) de gestión de negocio (CRM y ERP) NO
página web / tienda online y redes sociales que gestionan desde la empresa
C5 NO
C6 herramientas para empresas en la nube NO
C7 e-administración para su relación con las AAPP NO
Paso 2: «Cruces Activo-Amenaza» se muestra en la primera columna todas las amenazas y en la
primera fila los indicadores de activos (que se corresponden con los de la hoja «Activos»). El objetivo
de esta hoja es incluir un «SI» (igual que en el paso 1) en los cruces entre activo y amenaza para
que después se muestren automáticamente en la hoja «Análisis de Riesgos».
Amenaza/Activo A1 A2 A3 B1 B2 B3 B4 C1 C2 C3 C4 C5 C6 C7
Fuego SI SI SI SI SI NO SI SI
Daños por agua SI SI SI SI SI NO SI SI
Desastres naturales SI SI SI SI SI NO SI SI
Fuga de información NO SI NO NO SI SI NO NO
Introducción de falsa información SI SI NO SI SI SI SI NO
Alteración de la información SI NO NO SI SI SI SI NO
Corrupción de la información SI SI SI SI SI SI SI SI
Destrucción de información SI SI NO SI SI SI SI NO
Interceptación de información (escucha) NO SI SI SI SI SI NO SI
Corte del suministro eléctrico SI SI SI SI NO NO SI SI
Condiciones inadecuadas de temperatura o humedad SI SI SI SO NO NO SI SI
Fallo de servicios de comunicaciones SI SI SI SO SI NO SI SI
Interrupción de otros servicios y suministros esenciales SI SI SI SO NO SI SI SI
Desastres industriales SI SI NO SI NO NO SI NO
Degradación de los soportes de almacenamiento de la información SI NO NO NO NO NO SI NO
Difusión de software dañino SI NO SI SI NO SI SI SI
Errores de mantenimiento / actualización de programas (software) NO NO SI SI SI SI NO SI
Errores de mantenimiento / actualización de equipos (hardware) SI NO SI NO SI NO SI SI
Caída del sistema por sobrecarga SI SI SI SI SI SI SI SI
Pérdida de equipos SI SI NO NO NO NO SI NO
Indisponibilidad del personal SI SI SI SI SI SI SI SI
Abuso de privilegios de acceso SI SI NO NO NO NO SI NO
Acceso no autorizado SI SI SI SI SI SI SI SI
Errores de los usuarios SI NO NO SI SI SI SI NO
Errores del administrador SI NO NO SI SI SI SI NO
Errores de configuración SI NO NO SI SI SI SI NO
Denegación de servicio SI SI SI SI SI SI SI SI
Robo SI SI SI SI SI SI SI SI
Indisponibilidad del personal SI SI SI SI SI SI SI SI
Extorsión NO SI SI SI SI SI NO SI
Ingeniería social SI SI NO SI SI SI SI NO
Una vez se han valorado las consecuencias o impactos y la probabilidad de los incidentes para los
activos del ámbito elegido, se ha de realizar el producto de ambos para calcular los riesgos. Los
resultados obtenidos se compararán con los criterios de aceptación de riesgo
Paso 3: «Análisis de Riesgos» se debe «Mostrar activos» elegidos, con cada una de las amenazas
asociadas a dichos activos.
Paso 4: «Análisis de Riesgos» se debe elegir la probabilidad y el impacto de cada amenaza sobre
cada activo (se trata otra vez de una lista, pero con tres posibilidades (Bajo(1), Medio(2), Alto (3)).
Una vez seleccionados se mostrará en la columna riesgos un número que representa el riesgo
acorde a la «Tablas AR» y el fondo de la casilla del color correspondiente al tipo de riesgo.
La siguiente tabla muestra un ejemplo de un mapa de calor con el que comparar las valoraciones
realizadas.
ANÁLISIS DE RIESGOS
Activo Amenaza Probabilidad Impacto Riesgo
ordenador(es) Fuego Bajo (1) Alto (3) 3
ordenador(es) Daños por agua Bajo (1) Alto (3) 3
ordenador(es) Desastres naturales Bajo (1) Alto (3) 3
ordenador(es) Introducción de falsa información Medio (2) Alto (3) 6
ordenador(es) Alteración de la información Medio (2) Alto (3) 6
ordenador(es) Corrupción de la información Medio (2) Alto (3) 6
ordenador(es) Destrucción de información Medio (2) Alto (3) 6
ordenador(es) Corte del suministro eléctrico Medio (2) Alto (3) 6
Condiciones inadecuadas de
ordenador(es) temperatura o humedad Bajo (1) Alto (3) 3
ordenador(es) Fallo de servicios de comunicaciones Medio (2) Medio (2) 4
Interrupción de otros servicios y
ordenador(es) suministros esenciales Medio (2) Bajo (1) 2
ordenador(es) Desastres industriales Medio (2) Bajo (1) 2
Degradación de los soportes de
ordenador(es) almacenamiento de la información Alto (3) Bajo (1) 3
ordenador(es) Difusión de software dañino Alto (3) Bajo (1) 3
Errores de mantenimiento /
ordenador(es) actualización de equipos (hardware) Medio (2) Medio (2) 4
ordenador(es) Caída del sistema por sobrecarga Medio (2) Medio (2) 4
ordenador(es) Pérdida de equipos Medio (2) Alto (3) 6
ordenador(es) Indisponibilidad del personal Medio (2) Medio (2) 4
ordenador(es) Abuso de privilegios de acceso Medio (2) Bajo (1) 2
ordenador(es) Acceso no autorizado Medio (2) Medio (2) 4
ordenador(es) Errores de los usuarios Alto (3) Medio (2) 6
ordenador(es) Errores del administrador Alto (3) Medio (2) 6
ordenador(es) Errores de configuración Alto (3) Medio (2) 6
ordenador(es) Denegación de servicio Alto (3) Medio (2) 6
ordenador(es) Robo Medio (2) Medio (2) 4
ordenador(es) Indisponibilidad del personal Medio (2) Medio (2) 4
ordenador(es) Ingeniería social Alto (3) Medio (2) 6
Como resultado de la etapa anterior tendremos una lista ordenada de riesgos o una tabla como la
del ejemplo con su posición. Ahora debemos elegir qué hacer con cada uno de ellos en virtud de su
valoración y de los criterios establecidos. Es decir, tendremos que situar la «línea roja» de nuestro
umbral o nivel de tolerancia al riesgo.
En esta fase se seleccionarán la opción de tratamiento adecuada (evitar, reducir o mitigar, transferir
o aceptar) para cada uno de los riesgos de la lista. Para elegir las opciones, o una combinación de
ellas, se considerará no sólo la valoración obtenida para cada riesgo sino también el coste del
tratamiento. Por ejemplo, será mejor evitar algún riesgo que mitigarlo si el coste es muy alto. Se
preferirán las opciones que aporten una reducción considerable del riesgo de la forma más
económica. El nivel de tolerancia de riesgo se establece en base a criterios de coste-beneficio.
Gestión del riesgo: de seguridad de la información
De forma análoga se revisará el propio proceso de gestión de riesgos para adecuarlo al contexto.
Esta revisión afecta entre otros a:
Como resultado de la gestión de riesgos tenemos identificados los riesgos y su forma de tratarlos.
Este es un buen punto de partida para gestionar la seguridad de la información en la empresa de
forma amplia, planificando las distintas actuaciones de forma que estén organizadas en el tiempo y
alineadas con la estrategia del negocio.
La gestión de riesgos es el proceso central para poner en marcha un Plan director de seguridad de
la información. En este plan se definen y priorizan, en base a una evaluación de riesgos, los
proyectos que se hayan de implantar para reducir los riesgos a que está expuesta la empresa
Conclusión
Se concluye que el realizar esta metodología ayuda a mejorar el sistema de información ya creado,
identificando a través de diferentes parámetros las debilidades y fortalezas con las que cuenta y con
esta información ser capaces de mejorarlo y añadir métodos de seguridad más eficaces, haciendo
que el costo del proyecto aumente pero también se mejore considerablemente la confidencialidad
de la información, haciéndolo un proyecto más completo y que puede competir con otros proyectos
similares poniéndolo en una mejor posición.
Referencias bibliográficas
[1] incibe. (2006). Gestión de riesgos Una guía de aproximación para el empresario. S/R: incibe.
[2] certsi. (S/F). Esquema Nacional de Seguridad Industrial. mayo 19, 2021, de certsi Sitio web: S/R
[3] Gomez, M., & Candau, J. (2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro III - Guía de Técnicas. Madrid: Ministerio de Hacienda
y Administraciones Públicas.