República de Panamá

Universidad Tecnológica de Panamá

Sede Regional de Chiriquí
Licenciatura de Ingeniería en Sistemas de
Información

Normas Internacionales

Análisis de Riesgo en TI

Estudiantes:
Carlos Beitia
Kevin Justavino
Víctor Cubilla
José Cerceño

Profesor:
Manuel Estévez

Grupo:
2IF151

2020
Índice
Introducción................................................................................................................................3
MAGERIT......................................................................................................................................4
Fecha de Creación....................................................................................................................4
La MAGERIT tuvo su primera versión en 1997........................................................................4
Organismo que la rige.............................................................................................................4
Historia y Evolución hasta la última versión...........................................................................4
Principales características.......................................................................................................4
Administración y tratamiento del riesgo................................................................................5
Instrumento de aplicación.......................................................................................................7
NIST SP-800-30.............................................................................................................................9
Fecha de Creación....................................................................................................................9
Organismo que la rige.............................................................................................................9
Historia y Evolución hasta la última versión...........................................................................9
Principales características.....................................................................................................10
Administración y tratamiento del riesgo..............................................................................11
Instrumento de aplicación.....................................................................................................15
Comparación..............................................................................................................................18
RÚBRICAS...................................................................................................................................19
Conclusión.................................................................................................................................20
Referencias Bibliográficas.........................................................................................................21
 Introducción

La Seguridad Informática es muy importante en una organización y es primordial para evitar

intrusiones y accesos inesperados a la documentación e información confidencial que podría
comprometer la imagen corporativa y en los peores casos, provocar grandes pérdidas
económicas.

Por lo que es fundamental que la organización cuente con las metodologías para el uso de
sistemas informáticos de manera segura, para lo cual es primordial analizar las amenazas y
vulnerabilidades a los que estamos sometidos y el nivel de riesgo que ello implica.

Para ello, existen normas de análisis eficaces, que facilitan la tarea de combatir a atacantes
que quieren atentar contra la privacidad de nuestros datos.

En el siguiente documento se presentarán algunas normas internacionales dedicadas a la

seguridad informática, su fecha de creación, organismo que la rige, su historia y características
y como estas son aplicadas.
MAGERIT
Fecha de Creación
La MAGERIT tuvo su primera versión en 1997

Organismo que la rige

MAGERIT por el Consejo Superior de Administración Electrónica de España.

Historia y Evolución hasta la última versión

Esta metodología fue elaborada por el Consejo Superior de Administración Electrónica,
publicando su primera versión en 1997, con un enfoque hacia los riesgos fundamentales en
materia de sistemas de información.

La segunda versión fue publicada en 2005 con el fin de realizar una revisión constructiva con
respecto a los riesgos de las compañías, involucrando cuestiones más profundas a cerca de la
gestión de riesgos.

La tercera versión y ultima busca una nueva adaptación, teniendo en cuenta no solo la
experiencia práctica sino también la evolución de las normas internacionales de ISO que
constituyen un referente.

Principales características
También se ha buscado la uniformidad de los informes que recogen los hallazgos y las
conclusiones de las actividades de análisis y gestión de riesgos:

 Modelo de valor

Caracterización del valor que representan los activos para la Organización así como de
las dependencias entre los diferentes activos.

 Mapa de riesgos

Relación de las amenazas a que están expuestos los activos.

 Declaración de aplicabilidad

Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de

información bajo estudio o si, por el contrario, carecen de sentido.

 Evaluación de salvaguardas

Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que

afrontan.

 Estado de riesgo

Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar
tomando en consideración las salvaguardas desplegadas.

 Informe de insuficiencias
 Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir
los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema,
entendidas como puntos débilmente protegidos por los que las amenazas podrían
materializarse.

 Cumplimiento de normativa

Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la

normativa correspondiente.

 Plan de seguridad

Conjunto de proyectos de seguridad que permiten materializar las decisiones de

tratamiento de riesgos

Administración y tratamiento del riesgo

MAGERIT persigue los siguientes Objetivos Directos:

 Concienciar a los responsables de las organizaciones de información de la existencia de

riesgos y de la necesidad de gestionarlos.
 Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC).
 Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo
control Indirectos.
 Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso.

La Gestión de Riesgos implica dos grandes tareas a realizar:

• Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que podría
pasar.

• Tratamiento de los riesgos, que permite organizar la defensa concienzuda y prudente,

defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las
emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como
nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección asume.

El análisis de riesgos considera los siguientes elementos:

1. Activos, que son los elementos del sistema de información (o estrechamente

relacionados con este) que soportan la misión de la Organización
2. Amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a la
Organización
3. Salvaguardas (o contra medidas), que son medidas de protección desplegadas para
que aquellas amenazas no causen [tanto] daño.

Con estos elementos se puede estimar:

1. El impacto: lo que podría pasar

2. El riesgo: lo que probablemente pase.

El análisis de riesgos permite analizar estos elementos de forma metódica para llegar a
conclusiones con fundamento y proceder a la fase de tratamiento.

El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos
pasos pautados:

1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en

el sentido de qué perjuicio (coste) supondría su degradación
2. Determinar a qué amenazas están expuestos aquellos activos
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
4. Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o
expectativa de materialización) de la amenaza.

Tratamiento

Todas las consideraciones anteriores desembocan en una calificación de cada riesgo

significativo, determinándose si ...

1. Es crítico y requiere atención urgente

2. Es grave y requiere atención
3. Es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento
4. Es asumible, en el sentido de que no se van a tomar acciones para atajarlo Las
opciones 1,2 y 3 requieren tratamiento técnico del riesgo.

La opción 4, aceptación del riesgo, siempre es arriesgada y hay que tomarla con prudencia y
justificación cuando el impacto y el riesgo residual es asumible.

La Dirección puede decidir aplicar algún tratamiento al sistema de seguridad desplegado para
proteger el sistema de información. Hay dos grandes opciones:

• Reducir el riesgo residual (aceptar un menor riesgo)

• Ampliar el riesgo residual (aceptar un mayor riesgo).

En condiciones de riesgo residual extremo, casi la única opción es reducir el riesgo. En

condiciones de riesgo residual aceptable, podemos optar entre aceptar el nivel actual o
ampliar el riesgo asumido.

En condiciones de riesgo residual medio, podemos observar otras características como las
pérdidas y ganancias que pueden verse afectadas por el escenario presente, o incluso analizar
el estado del sector en el que operamos para compararnos con la norma.
Instrumento de aplicación
Algunas de las herramientas basadas en MAGERIT son:

R-BOX: es una herramienta para la Gestión de Seguridad. Permite alinear la seguridad de la

información con el negocio mediante el análisis y gestión de riesgos, cumplimiento de
normativas y continuidad de negocios, entre otros.

Basada en la metodología MAGERIT, su robusto modelo de entidades permite la rápida

definición de estándares, controles, verificaciones y recomendaciones de los estándares más
importantes de la seguridad y el cumplimiento.

Una de las principales y únicas características es poseer la mayoría de los estándares de las
más reconocidas normas de seguridad en TI (ISO, NIST, COBIT, BCRA, SWIFT) disponibles en la
herramienta. Nuestro sistema Plug & Play de normas, permite que en días las normativas estén
listas para ser usadas.

GxSGSI: Se trata de una herramienta de gestión de riesgos que permiten la identificación y

evaluciaion de las amenazas,vulnerabilidades e impactos selección y gestión de medidas y
controles de seguridad necesarios para la implantación de un sistema de gestión de seguridad
de la información

Tecnicas y Metodologias
Análisis mediante tablas
En el análisis de riesgos hay que trabajar con múltiples elementos que hay

que combinar en un sistema para ordenarlo por importancia sin que los detalles, muchos,
perjudiquen la visión de conjunto.

Sea la escala siguiente útil para calificar el valor de los activos, la magnitud del impacto y la
magnitud del riesgo:

• MB: muy bajo

• B: bajo

• M: medio

• A: alto

• MA: muy alto

Análisis algorítmico.
En ciencias químicas, dícese análisis cualitativo del que tiene por objeto descubrir y aislar los
elementos o ingredientes de un cuerpo compuesto. A diferencia del análisis cuantitativo que
es el que se emplea para determinar la cantidad de cada elemento o ingrediente.

En los análisis por algoritmo se presentan dos enfoques algorítmicos. Primero, un modelo
cualitativo que busca una valoración relativa del riesgo que corren los activos (¿qué es lo más
frente a qué es lo menos?). Segundo, un modelo cuantitativo que ambiciona responder a la
pregunta de cuánto más y cuánto menos.

Árboles de ataque

Los árboles de ataque son una técnica para modelar las diferentes formas de alcanzar un
objetivo.

Aunque han existido durante años con diferentes nombres, se hicieron famosos a partir de los
trabajos de B. Schneier que propuso sus sistematizaciones en el área de los sistemas de
información

El objetivo del atacante se usa como raíz del árbol. A partir de este objetivo, de forma iterativa
e incremental se van detallando como ramas del árbol las diferentes formas de alcanzar aquel
objetivo, convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse. Los
posibles ataques a un sistema se acaban modelando como un bosque de árboles de ataque.

NIST SP-800-30
Fecha de Creación
La primera publicación sobre el NIST SP-800-30 fue el 1 de Julio del 2002.
Organismo que la rige
EL organismo que rige la NIST-800-30 es El Instituto Nacional de Estándares y Tecnología (NIST)
fue fundado en 1901 y ahora forma parte del Departamento de Comercio de los Estados
Unidos.

Historia y Evolución hasta la última versión

NIST SP-800-30
La gestión de riesgos es el proceso de identificar riesgos, evaluarlos y tomar medidas para
reducirlos a un nivel aceptable. Las organizaciones utilizan la evaluación de riesgos, el primer
paso en la metodología de gestión de riesgos, para determinar el alcance de la amenaza
potencial, las vulnerabilidades y el riesgo asociado con un sistema de tecnología de la
información (TI).

El resultado de este proceso ayuda a identificar los controles apropiados para reducir o
eliminar el riesgo durante el proceso de mitigación de riesgos, el segundo paso de la gestión de
riesgos, que implica priorizar, evaluar e implementar los controles apropiados de reducción de
riesgos recomendados desde el proceso de evaluación de riesgos.

Esta guía proporciona una base para el desarrollo de un programa efectivo de gestión de
riesgos, que contiene las definiciones y la orientación práctica necesaria para evaluar y mitigar
los riesgos identificados dentro de los sistemas de TI a lo largo de su ciclo de vida de desarrollo
de sistemas (SDLC).

El objetivo final es ayudar a las organizaciones a gestionar mejor los riesgos de misión
relacionados con TI.

Las organizaciones pueden optar por ampliar o abreviar los procesos y pasos integrales
sugeridos en esta guía y adaptarlos al entorno de su sitio en la gestión de riesgos de misión
relacionados con TI.

Además, esta guía proporciona información sobre la selección de controles de seguridad

rentables.

Estos controles se pueden usar para mitigar el riesgo para una mejor protección de la
información crítica de la misión y los sistemas de TI que procesan, almacenan y transportan
esta información.

El tercer paso en el proceso es la evaluación y evaluación continuas. Las organizaciones

pueden optar por expandir o abreviar los procesos integrales y los pasos sugeridos en esta guía
y adaptarlos a su entorno de sitio en la gestión de riesgos de misión relacionados con TI.

Además, esta guía proporciona información sobre la selección de controles de seguridad

rentables. Estos controles se pueden usar para mitigar el riesgo para una mejor protección de
la información crítica de la misión y los sistemas de TI que procesan, almacenan y transportan
esta información.
El tercer paso en el proceso es la evaluación y evaluación continuas. Las organizaciones
pueden optar por expandir o abreviar los procesos integrales y los pasos sugeridos en esta guía
y adaptarlos a su entorno de sitio en la gestión de riesgos de misión relacionados con TI.

Además, esta guía proporciona información sobre la selección de controles de seguridad

rentables.

Estos controles se pueden usar para mitigar el riesgo para una mejor protección de la
información crítica de la misión y los sistemas de TI que procesan, almacenan y transportan
esta información. El tercer paso en el proceso es la evaluación y evaluación continuas.

NIST SP-800-30 Revisión 1

El propósito de la Publicación Especial 800-30 es proporcionar orientación para realizar
evaluaciones de riesgos de los sistemas y organizaciones de información federales, ampliando
la orientación proporcionada en la Publicación Especial 800-39.

Este documento proporciona orientación para llevar a cabo cada uno de los tres pasos en el
proceso de evaluación de riesgos (es decir, prepararse para la evaluación, realizar la evaluación
y mantener la evaluación) y cómo las evaluaciones de riesgos y otros procesos de gestión de
riesgos organizacionales se complementan e informan entre sí. [Reemplaza SP 800-30 (julio de
2002)].

La última versión es la NIST SP-800-30 Revisión 1 que fue publicada a partir del 19 de junio de
2015.

Principales características
El NIST (National Institute of Standards and Technology) ha dedicado una serie de
publicaciones especiales, la SP 800 a la seguridad de la información. Esta serie incluye una
metodología para el análisis y gestión de riesgos de seguridad de la información, alineada y
complementaria con el resto de los documentos de la serie.

La Metodología NIST SP 800-30 está compuesta por 9 pasos básicos para el análisis de riesgo:

 Caracterización del sistema.

 Identificación de amenaza.
 Identificación de vulnerabilidades.
 Control de análisis.
 Determinación del riesgo.
 Análisis de impacto.
 Determinación del riesgo.
 Recomendaciones de control.
 Resultado de la implementación o documentación.

Administración y tratamiento del riesgo

La norma NIST SP 800-30 nace con los siguientes objetivos:
  Aseguramiento de los sistemas de Información que almacenan, procesan y transmiten
información.
 Gestión de Riesgos
 Optimizar la administración de Riesgos a partir del resultado en el análisis de riesgos.
 Proteger las habilidades de la organización para alcanzar su misión (no solamente
relacionada a la IT, sino de toda la empresa).
 Ser una función esencial de la administración (no solo limitada a funciones técnicas de
IT).

El primer componente de la gestión de riesgos direcciona crear el marco de riesgo de las

organizaciones, a establecer un contexto que el riesgo que se describe el entorno en el que se
toman las decisiones.

El propósito del componente es producir una estrategia de gestión de riesgos que aborda
cómo las organizaciones tienen la intención de evaluar el riesgo, responder a los riesgos y
monitorear los riesgos haciendo explícito y transparente la percepción que las organizaciones
utilizan permanentemente en la toma de decisiones e inversiones operativas.

El segundo componente de la gestión de riesgos se ocupa de cómo las organizaciones evalúan

el riesgo en el contexto del “marco de riesgo” de la organización. El objetivo del componente
de la evaluación de riesgos es identificar:

 Las amenazas a las organizaciones (es decir, operaciones, activos o individuos) o

amenazas dirigidos a través de organizaciones en contra de otras organizaciones o la
Nación;
 Las vulnerabilidades internas y externas a las organizaciones;
 El daño (es decir, el impacto adverso) que puede ocurrir dado el potencial de las
amenazas explotando vulnerabilidades; y
 La probabilidad de que el daño se producirá. El resultado final es una determinación
del riesgo (es decir, por lo general en función del grado de daño y la probabilidad de
que se produzcan daños).

El tercer componente de la gestión de riesgos se ocupa de cómo las organizaciones han de

responder una vez que el riesgo está determinado, con base en los resultados de una
“evaluación de riesgos identificados”. El objetivo del “componente de respuesta a los riesgos”
es proporcionar una respuesta de toda la organización de conformidad con el “marco de riesgo
de la organización” a través de:

 El desarrollo de cursos alternativos de acción para responder a los riesgos.

 La evaluación de los cursos alternativos de acción.
 La determinación de las formas de actuación en consonancia con la tolerancia al riesgo
de la organización.
 La implementación de respuestas a los riesgos sobre la base de los cursos de acción
elegidos.

El cuarto componente de la gestión de riesgos se ocupa de cómo las organizaciones

monitorear el riesgo en el tiempo. El objetivo del componente de vigilancia de riesgos es:

 Determinar la eficacia continua de las respuestas al riesgo (en consonancia con el

marco de riesgos de la organización).
  Identificar los cambios que afectan al riesgo de los sistemas de información de la
organización y de los entornos en los que operan los sistemas.
 Verificar que las respuestas al riesgo planificadas se implementan y los requisitos de
seguridad de la información funcionen.

Proceso de Análisis de Riesgos

1. Caracterización de sistemas

Por ejemplo, podríamos elegir sistema el correo electrónico, software cuya finalidad sería
comunicarnos con clientes o proveedores. Determinaríamos su criticidad para ver hasta qué
punto está expuesto al peligro, y sensibilidad, de qué manera está protegido ante una
amenaza.

2. Identificación de las amenazas

Revisaríamos el histórico de ataques, datos de agencias de inteligencia (NIPC, OIG, FedCIRC),

datos de medios de comunicación.

Por ejemplo, errores intencionados, introducción de virus en los sistemas, corrupción de datos
o incumplimientos legales intencionados.

3. Identificación de las vulnerabilidades

Analizaríamos Informes de evaluaciones de riesgos anteriores, resultados de auditorías,

requerimientos de seguridad, resultados de pruebas de seguridad para confeccionar una lista
de vulnerabilidades potenciales.

Por ejemplo, personal sin la formación adecuada, carencia de software antivirus, ausencia de
políticas de restricción de personal para uso de licencias de software, o derechos de acceso
incorrecto.

4. Análisis de controles

Analizar controles actuales y controles planificados y confeccionar su lista correspondiente.

Por ejemplo, control del número de personas que acceden al equipo informático diariamente,
registro de información confidencial para la que se requiere uso de contraseña, revisión del
funcionamiento del equipo informático.

5. Determinación de probabilidades

Estudiar la motivación para los ataques, capacidad de las amenazas, naturaleza de las
vulnerabilidades, controles actuales...para elaborar el ranking de probabilidades de que se
materialice la amenaza (baja, media o alta).

6. Análisis de impacto (pérdida de integridad, disponibilidad y confidencialidad)

Análisis de impacto sobre la misión, valoración de la criticidad de los activos, criticidad de los
datos, sensibilidad de los datos...en definitiva, el deterioro sobre las dimensiones de la
seguridad de la información.

7. Determinación del riesgo

Probabilidad de explotación de las amenazas, magnitud de los impactos, adecuación de los
controles actuales y planificados. El producto de estos factores determina niveles de riesgo
(bajo, medio, alto).

8. Recomendación de controles.

Como la revisión de las políticas de seguridad, actualización de antivirus, cambio periódico de

contraseñas, instalación de firewalls o sanciones en caso de incumplimiento de la normativa
vigente.

9. Documentación de resultados

En función a los riesgos de la empresa se procede a la confección del informe de valoración de

riesgos.

Proceso de gestión de riesgos

1. Priorización de acciones

Se ha de partir de los niveles de riesgo y del informe de evaluación de riesgos para elaborar el
Ranking de acciones que hemos de considerar llevar a cabo en la empresa.

2. Evaluación de opciones de controles recomendados

Estudio de su viabilidad y eficacia, su adecuación a nuestro modo de trabajo para determinar si

realmente pueden combatir los riesgos.

3. Análisis de coste- beneficio

Qué impacto supondría la implantación o no implantación de los controles recomendados, así

como costes moderados, para realizar un análisis coste-beneficio.

4. Seleccionar los controles que nos ayudarían a eliminar los riesgos

Por ejemplo, instalación de firewalls, cambio periódico de contraseñas o actualización de

antivirus.

5. Asignación de responsabilidades

Personal encargado de llevar a cabo la aplicación de los controles seleccionados.

6. Desarrollo del plan de implantación de salvaguardas

Algunas medidas que se podrían adoptar son:

[PR] prevención

Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un
incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos.

[DR] disuasión

Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que
éstos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan
antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen
influencia sobre los daños causados caso de que el atacante realmente se atreva.
[EL] eliminación

Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son
salvaguardas que actúan antes de que el incidente se haya producido. No reducen los daños
caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir.

[IM] minimización del impacto / limitación del impacto

Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de
un incidente.

[CR] corrección

Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara.
Son salvaguardas que actúan después de que el incidente se haya producido y por tanto
reducen los daños.

[RC] recuperación

Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior
al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los
daños a un periodo de tiempo.

[MN] monitorización

Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido.
Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el
impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el
sistema de salvaguardas de cara al futuro.

[DC] detección

Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el
ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras
medidas que atajen la progresión del ataque, minimizando daños.

[AW] concienciación

Son las actividades de formación de las personas anexas al sistema que pueden tener una
influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto
preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen
con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala
operación.

[AD] administración

Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una
buena administración evita el desconocimiento de lo que hay y por tanto impide que haya
puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden
considerarse medidas de tipo preventivo.

7. Implantación de controles seleccionados

En esta fase se ha de tener en cuenta los siguientes puntos:

 Riesgos y niveles de riesgo

  Acciones priorizadas
 Controles recomendados
 Controles seleccionados
 Responsables
 Fecha de inicio
 Fecha objeto de finalización
 Requerimientos de mantenimiento

Instrumento de aplicación
La metodología NIST SP 800 -30 puede ser aplicada a la evaluación de sistemas individuales o
interrelacionados. Esta serie incluye una metodología para el análisis y gestión de riesgos de
seguridad de la información, alineada y complementaria con el resto de los documentos de la
serie. La NIST SP 800-30 está compuesta por 9 pasos básicos para la evaluación de riesgo:

El proceso de análisis de riesgos definido en la metodología NIST SP 800-30 puede resumirse

en el siguiente gráfico:
El proceso de gestión de riesgos definido en la metodología NIST SP 800-30 puede resumirse
en el siguiente gráfico:
Comparación
MAGERIT
OBJETIVOS -Generar conciencia a los
administradores de
sistemas sobre la
existencia de riesgos y
la necesidad de prevenirlos.
-Ofrecer una metodología
sistematizada para analizar
los Riesgos
-Ayudar a identificar y
planificar las medidas para
tener los riegos bajo control
METODOLOGIA -análisis de Riesgos
-Activos
-Tipos
-Dependencias
-Amenazas
-Determinación del riesgo
-Activos
-Salvaguardas
-Selección de salvaguardas
ANALISIS DE RIESGO Determinar lo que tiene la
organización y lo que podría
pasar
Identificar los activos
relevantes para la
organización
Determinar las amenazas a
las que están expuestos
- Determinar impacto,daño
sobre el activo debido a la
materialización de una
(amenaza)
ANALISIS DE IMPACTO Degradación: Cuanto
perjudicaría el Activo
Frecuencia: Cada cuanto se
materializa la Amenaza
NIST
Asegurar mejor los sistemas
de informáticos que
almacenan, procesan y
trasmiten información
Permitir y gestionar los
Riesgos
Mejorar la administración a
partir de los
Resultados del análisis de
Riesgos
Caracterización
Identificación de las
Amenazas
Identificación
Vulnerabilidades
Analisis de Control
Determinación de la
probabilidad
Analisis del Impacto
-Determinación del riesgo
-Recomendaciones de
Control
-Resultados Documentación
-Detección de métodos
dirigidos a Explotar una
vulnerabilidad
-Situación que accidental o
intencionalmente puedan
llevar a la materialización de
una amenaza
Amenaza
Naturaleza de la
Vulnerabilidad
Existencia y Eficacia de los
controles actuales
 DETERMINACION DEL Daño probable sobre el Determinando la amenaza y
RIESGO sistema o activos la fuente de la misma

El riesgo aumenta con la Magnitud del impacto al

frecuencia y el impacto materializarse una amenaza

RÚBRICAS

Puntos Rúbrica
10 Entrega/Formato del Documento

10 Cumplimiento Fecha de Entrega

50 Contenido

30 Sustentación

Conclusión
Se puede concluir que la gestión de riesgos en una empresa u organización se debe llegar a
cabo desde las fases tempranas del proyecto.

La gestión de riesgos se debería aplicar a todos los proyectos, no solo empresas, sino en todos
los proyectos en general.

Las metodologías Magerit y NIST SP 800 poseen sus propias características y se complementan
entre sí, lo que les permite, a su vez, combinar otros enfoques que hacen el proceso de análisis
y gestión de los riesgos más robusto y eficiente. Lo cual no da muchas mas posibilidades de
detectar y corregir las amenazas de las que puedan sufrir nuestra información.

Por lo que nos estas normas nos ofrecen un método sistematizado para identificar y analizar
los riesgos que se presentar en el día a día, además de planificar las medidas necesarias para
mitigarlos y a su vez brindan herramientas que facilitan el análisis.

Como conclusión podemos decir que las gestiones de riesgo son un punto importante a nivel
empresarial
Referencias Bibliográficas

MAGERIT
Vargas, L. (2014). MAGERIT. Retrieved 9 July 2020, from
http://infosaudit.blogspot.com/2014/03/magerit.html

Maria, J., & Peralta, I. (2013). Retrieved 9 July 2020, from

https://www.tithink.com/publicacion/MAGERIT.pdf

González, J. (2012). Retrieved 9 July 2020, from https://www.ccn-cert.cni.es/documentos-

publicos/1789-magerit-libro-i-metodo/file.html

PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información. (2012). Retrieved 9 July 2020, from
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_
Magerit.html#.XwKSfChKiUk

TORRES, D. (2011). MARGERIT. Retrieved 9 July 2020, from

https://issuu.com/diegoma363/docs/6._magerit_v_1_0_-_guia_de_procedimientos

NIST SP-800-30
Stoneburner, G., Goguen, A., & Feringa, A. (2015). Archived NIST Technical Series Publication.
Retrieved 5 July 2020, from
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30.pdf

About NIST. (2015). Retrieved 5 July 2020, from https://www.nist.gov/about-nist

Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information
Technology Systems. Retrieved 5 July 2020, from https://www.nist.gov/publications/risk-
management-guide-information-technology-systems?pub_id=151254

Ross, R. (2012). Guide for Conducting Risk Assessments. Retrieved 5 July 2020, from
https://www.nist.gov/publications/guide-conducting-risk-assessments?pub_id=912091

NIST SP 800-30. Retrieved 5 July 2020, from http://seguridades7a.blogspot.com/p/nist-sp-800-

30.html

MÉTODO DE ANÁLISIS DE RIESGOS NIST SP 800-30. (2018). Retrieved 5 July 2020, from
http://elite-formacion.blogspot.com/2018/04/metodo-de-analisis-de-risgos-nist-sp.html