Asignatura Datos del alumno Lugar y Fecha

Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú

Informáticos Nombre: Carlos Alonso 2021-07-17

MAESTRÍA EN SEGURIDAD INFORMÁTICA

Actividad 3: Elaboración del documento de

metodología de gestión de riesgos de seguridad de
la información de una organización

Asignatura: Análisis de Riesgos Informáticos

Profesor (a): Marícarmen García de Ureña

Autor: Carlos Alonso Peña Acosta

Página 1 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

CONTENIDO

1. INTRODUCCIÓN…………………………………….……….…………………………………………………….3
2. OBJETIVO……….…………………………………….……….…………………………………………………….3
3. BASE NORMATIVA……………………….……….……….…………………………………………………….3
4. DEFINICIONES……………………………..…………….………………………………………………………...3
5. DESARROLLO DE LA METODOLOGÍA……….…………….……………………………………………..4
6. CONCLUSIONES……………………..………………………………………….………………………….……15
7. REFERECIAS BIBLIOGRÁFICAS……….…………………………………….………………………………15

Página 2 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

1. INTRODUCCIÓN
El presente documento pretende dar a conocer y desarrollar las diferentes etapas
que involucra una gestión de riesgos de seguridad de la información para una
organización.

2. OBJETIVO
Definir las actividades para la ejecución metodológica de una Gestión de Riesgos
de Seguridad de la Información.

3. BASE NORMATIVA
• ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información
• ISO 31000:2018 Gestión del Riesgo

4. DEFINICIONES
4.1. Activo de Información: Es todo recurso que contiene, transmite, almacena
y/o permite procesar la información de la organización; entre ellos tenemos:
laptop, celulares, servidor de archivos, manuales, entre otros.
4.2. Confidencialidad: Propiedad que determina que la información no esté
disponible, ni sea divulgada a personas o procesos no autorizados.
4.3. Integridad: Propiedad de salvaguardar la exactitud e integridad de los
activos.
4.4. Disponibilidad: Propiedad de estar disponible y utilizable cuando se requiera.
4.5. Riesgo: Es la probabilidad de que una amenaza en particular explote una
vulnerabilidad causando un impacto negativo sobre la organización y los
activos de información.
4.6. Probabilidad: Es la posibilidad de que un evento cualquiera ocurra o no.
4.7. Vulnerabilidad: Debilidad de un activo que pueden ser explotadas por una o
más amenazas.
4.8. Amenaza: Causa potencial de un incidente que puede resultar en daño al
sistema, información u organización.
4.9. Impacto: Es la consecuencia de la explotación de una vulnerabilidad por una
amenaza, generando pérdida en la confidencialidad, integridad y
disponibilidad de la información.

Página 3 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

5. DESARROLLO DE LA METODOLOGÍA
5.1. Parametrización
Niveles de Riesgos y Criterios de Aceptación
Se reconoce los siguientes niveles de riesgos: Inaceptable, Tolerable y
Aceptable.

Inaceptable
Tolerable
Aceptable

Tabla 1: Niveles de Riesgos

Los riesgos que podrán ser aceptados y no pasar a ser tratados (Plan de
Tratamientos de Riesgos) son aquellos que cumplan las siguientes
condiciones:
• El costo de tratar el riesgo se estima como mayor a la pérdida o impacto
económico generado por la ocurrencia del mismo.
• No se cuenta con recursos y/o presupuesto para implementar el control
propuesto.
• Limitaciones técnicas.

5.2. Inventario de Activos de Información

Se debe iniciar con la elaboración del inventario de activos de información de
los procesos considerados dentro del alcance.

Identificación de Activos
Para cada proceso identificado se elabora una lista de los activos de
Información más relevantes, se debe considerar como mínimo los siguientes
campos:
• Proceso.
• Activo de Información.
• Categoría (ver tabla 3, no está limitado a estas categorías).
• Valor más relevante (ver tabla 4).
• Propietario.

Página 4 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

Proceso

Activo de Valor más relevante

N° Categoría Propietario
Información Confidencialidad Integridad Disponibilidad

Tabla 2: Inventario de Activos de Información

Categorías de Activo:
Categoría Detalle
Información lógica
Información Información física
Información hablada
Otro tipo de información
Software comercial o herramientas
Software desarrollado por terceros
Software Software desarrollado internamente
Software de administración de Base de Datos
Utilitarios
Otro software
Equipo de procesamiento
Equipo de comunicaciones
Hardware Medio de almacenamiento
Mobiliario y equipamiento
Otros equipos
Procesamiento y comunicaciones
Servicios Soporte Informático
Servicios generales
Servicio Externo
Clientes
Empleados
Personas Accionistas
Proveedores
Personal Externo
Imagen y
Imagen y Reputación
Reputación
Tabla 3: Categorías de Activo

Página 5 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

Para determinar el valor más relevante respecto a la confidencialidad,

integridad y disponibilidad se emplea la siguiente tabla:

Confidencialidad Integridad Disponibilidad

Es la información o Es la información o
activo que debe ser Es la información o
activo indispensable
accedido sólo por un activo que al ser
para la continuidad del
grupo reducido de modificado de manera
negocio.
personas autorizadas. intencional o casual
provocaría daños
Su divulgación afectaría Su carencia afectaría
considerables a la
considerablemente a considerablemente a
organización.
la organización. la organización.

Tabla 4: Valor del Activo

5.3. Análisis y Evaluación de Riesgos

Identificación del Riesgo
En base a los activos de información obtenidos en el punto anterior, se debe
identificar los posibles riesgos o eventos adversos a los que están expuestos
(ver tabla 6, no está limitado a estos eventos).

El enunciado y descripción del riesgo debe ser claro, con la finalidad que sea
entendible para las partes interesadas.

Luego, se debe reconocer si el riesgo es significativo para el negocio. No es

recomendable reconocer todos los riesgos como significativos, porque puede
generar un exceso de análisis y evaluación, lo adecuado es considerar los
riesgos más significativos para el negocio en base al conocimiento y
experiencia (juicio experto), en caso de que exista ciertas dudas se debe
consultar a la parte operativa o a la alta dirección.

Enunciado y Descripción
Código Significativo
del Riesgo

Tabla 5: Relación de Eventos Adversos (Riesgos)

Página 6 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

Eventos adversos:
N° Evento Adverso Categoría
1 Acceso no autorizado a la información
2 Modificación no autorizada de la información
3 Eliminación no autorizada de la información
4 Robo de activos contenedores de información
Inadecuada eliminación de activos contenedores de
5
información
6 Corrupción de datos por error de procesamiento
Información
7 Uso extralaboral de la información
8 Ataques de hacking/cracking sobre la información
9 Virus informáticos que alteran o eliminan la información
10 Transmisión y/o recolección incompleta de información
11 Intercepción de las comunicaciones
12 Divulgación no autorizada
13 Fuga de Información
Adulteración intencional del software (bombas lógicas,
14
sabotaje)
Cambios no autorizados sobre el software
15
(mantenimientos)
16 Actualizaciones no controladas del software (parches)
17 Instalación de software no licenciado o autorizado
18 Copia no controlada del código fuente del software Software
19 Saturación de la operación del software
20 Hacking/cracking
21 Virus informáticos
22 Error Humano en los cambios sobre el software
23 Incompatibilidad en la operación con otros softwares
24 Corto Circuito
25 Filtraciones de Agua
26 Filtración de Polvo
27 Corrosión de equipos
28 Congelación de equipos
29 Desconexión de equipos
30 Saturación de humedad en ambientes Hardware
31 Fallas del sistema de aire acondicionado
32 Radiación electromagnética
33 Robo de equipos o de sus componentes
34 Incumplimiento del plan de mantenimiento
35 Uso inadecuado de los equipos
36 Desconfiguración del equipo

Página 7 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

N° Evento Adverso Categoría

37 Saturación de los equipos
38 Equipos no disponibles por fallas técnicas
39 Configuración incorrecta de los equipos
40 Daños a la infraestructura de red
41 Obsolescencia de los componentes del equipo
42 Falla de servicios para las telecomunicaciones
43 Degradación de servicios para las telecomunicaciones
44 Falla de la provisión de energía eléctrica
45 Incumplimiento de fechas por parte de proveedores
Servicios
46 Provisión de servicios defectuosos (personal)
47 Provisión de recursos defectuosos (materiales)
48 Falla en servicios de información
49 Perdida de la transmisión y señalización
50 Contaminación del ambiente por gases
51 Uso de credenciales falsificadas
52 Bloqueo del acceso al centro de trabajo
53 Dificultad en el desplazamiento hacia el centro de trabajo
54 Negación de acciones
55 Acceso no autorizado
Personas
56 Abuso de derechos
57 Fraude
58 Robo
59 Asaltos/secuestros
60 Ingeniería social
61 Enfermedad
62 Sismo
63 Inundación Ubicaciones
64 Hundimiento de suelos Físicas
65 Incendio
Tabla 6: Eventos Adversos

Análisis del Riesgo

Luego de haber identificado los riesgos significativos, se procede a realizar el
análisis de cada uno de ellos.

Se debe registrar como mínimo la siguiente información:

• Riesgo.
• Propietario del Riesgo.

Página 8 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

• Causas Directas e Indirectas.

• Consecuencias Directas e Indirectas.
• Controles Preventivos y/o Detectivos.
• Controles Correctivos.

Causas Directas e Consecuencias Directas e

Indirectas Indirectas
N° Descripción N° Descripción

Riesgo

Controles Preventivos y/o

Controles Correctivos
Detectivos
Propietario del
N° Descripción N° Descripción
Riesgo

Tabla 7: Análisis del Riesgo

Evaluación del Riesgo

Luego haber realizado el análisis del riesgo, se procede a realizar su
evaluación, es decir, determinar el valor de:
• Probabilidad.
• Impacto.
• Nivel del Riesgo.

El valor de la Probabilidad es determinado en base a los siguientes aspectos:

• Causas directas e indirectas.
• Controles preventivos y/o detectivos.
• También se puede tomar en cuenta otros factores que ayuden a tener un
análisis más interactivo y detallado.

Página 9 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

N° Probabilidad Descripción
Ha sucedido y es casi cierto que vuelva a
5 Casi Cierto suceder, porque no hay forma de evitar
su ocurrencia.
Ha sucedido o es probable que suceda,
4 Probable porque las condiciones actuales no
pueden evitar su ocurrencia.
Ha sucedido o es poco posible que
3 Posible suceda, porque las condiciones actuales
pueden evitar su ocurrencia.
Ha sucedido en el sector, pero no ha
2 Improbable
sucedido en nuestra organización.
No ha sucedido en el sector ni en nuestra
1 Raro
organización.
Tabla 8: Probabilidad

El valor del Impacto es determinado en base a los siguientes aspectos:

• Consecuencias directas e indirectas.
• Controles correctivos.

N° Impacto Descripción
Ocasiona una crisis o puede provocar un
5 Catastrófico
cierre de la organización.
No ocasiona una crisis, pero si llega
4 Significativo afectar significativamente a la
organización.
Si bien no afecta significativamente a la
3 Moderado organización ocasiona un daño
moderado.
Si bien ocasiona un daño a la
2 Menor organización, pero es considerado como
menor.
El daño a la organización es desestimado
1 Insignificante
y no se toma en cuenta.
Tabla 9: Impacto

Una vez determinado el valor de la probabilidad y el valor del impacto, se

procede a determinar el valor del Nivel del Riesgo mediante la combinación
de ambos valores.
Nivel del
Probabilidad Impacto
Riesgo
Tabla 10: Evaluación del Riesgo (Actual)

Página 10 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

A continuación, se muestra la matriz de niveles de riesgos:

Catastrófico Inaceptable
IMPACTO Significativo Tolerable
Moderado Aceptable
Menor
Insignificante

Improbable

Casi Cierto
Probable
Posible
Raro
PROBABILIDAD

Luego de haber determinado el valor del Nivel del Riesgo, se debe identificar
aquellos riesgos que tengan el nivel “Inaceptable” y “Tolerable”, éstos
pasarán a la siguiente fase: Tratamiento de Riesgos, debido a que se trata de
riesgos que de materializase pueden impactar negativamente a la
organización, por consiguiente, es pertinente realizar un Plan de Tratamiento
de Riesgos.

Aquellos riesgos que tengan el nivel “Aceptable”, son riesgos con los que la
organización puede convivir, pero en constante monitoreo porque pueden
variar en el tiempo.

5.4. Tratamiento de Riesgos

Una vez identificado los riesgos que tengan el nivel “Inaceptable” y
“Tolerable”, se debe proponer las acciones a implementar para su
tratamiento, ya sea mediante la inclusión de controles o a través de la mejora
de controles existentes.

Cada acción a implementar (control) está asociado a una serie de atributos,

para cada uno de ellos se debe detallar como mínimo:
• Acción Propuesta
• Opción de Tratamiento (ver tabla 12)
• Tipo de Tratamiento (ver tabla 13)
• Responsable

Página 11 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

Opción de Tipo de
N° Acción Propuesta Responsable
Tratamiento Tratamiento

Tabla 11: Acciones Propuestas

Se debe aplicar una de las siguientes opciones de tratamiento:

Opciones de
Detalle
Tratamiento
Convivir con el riesgo, es decir, no tomar medidas
Retener frente a la misma, cabe mencionar que esta
decisión debe ser informada.
Reducir el impacto y/o la probabilidad de
Modificar ocurrencia mediante la implementación o mejora
de controles.
No realizar la actividad o proceso relacionado al
Evitar
riesgo.

Eliminar la fuente del riesgo (amenaza o

Retirar
vulnerabilidad).
Transferir el impacto del riesgo a terceros
Transferir (empresas aseguradoras o proveedores de
servicio).
Tabla 12: Opciones de Tratamiento

Página 12 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

Se debe seleccionar uno de los siguientes tipos de tratamiento:

N° Tipo de Tratamiento
1 Mitigar Probabilidad
2 Mitigar Impacto
Mitigar Probabilidad e
3
Impacto
Tabla 13: Tipos de Tratamiento

Finalmente, se debe determinar el nivel de Riesgo Residual mediante la

combinación de los nuevos valores de probabilidad e impacto.

Los nuevos valores de probabilidad e impacto están directamente

relacionados con las acciones propuestas (controles) para el tratamiento del
riesgo.

Nivel del
Probabilidad Impacto
Riesgo
(Residual) (Residual)
(Residual)

Tabla 14: Evaluación del Riesgo (Residual)

Plan de Tratamiento de Riesgos

Producto de estas actividades dan como resultado el Plan del Tratamiento de
Riesgos, FORM-SGSI-001, el Acta de Aprobación del Plan de Tratamiento de
Riesgos, FORM-SGSI-002, y la Declaración de Aplicabilidad, FORM-SGSI-003.

El Plan de Tratamiento de Riesgos, FORM-GDTO-001, debe contar como

mínimo con los siguientes campos:
• Proceso
• Código del Riesgo
• Enunciando y Descripción del Riesgo
• Acción Propuesta
• Responsable
• Estado
• Fecha de Atención

Página 13 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

Enunciando y
Código del Acción Fecha de
N° Proceso Descripción Responsable Estado
Riesgo Propuesta Atención
del Riesgo

Tabla 15: Plan de Tratamiento de Riesgos

Se ha establecido que el Plan del Tratamiento de Riesgos, FORM-SGSI-001,

será presentado al Gerente General, Comité de Seguridad de la Información y
partes interesadas, quienes decidirán sobre la implementación de las
acciones propuestas, se debe tener en consideración los criterios de
aceptación de riesgos definidos en el punto 5.1. Parametrización:
• El costo de tratar el riesgo se estima como mayor a la pérdida o impacto
económico generado por la ocurrencia del mismo.
• No se cuenta con recursos y/o presupuesto para implementar el control
propuesto.
• Limitaciones técnicas.

De ser el caso, se podrá proponer nuevas acciones de tratamiento, con el fin

de optimizar la seguridad de la información dentro de la organización.

Página 14 de 15
 Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17

6. CONCLUSIONES
La gestión de riesgos es un proceso crítico e importante dentro de la organización para
cumplir con sus objetivos, para ello, es de suma importancia conocer a la organización
y sus partes interesadas.

7. REFERENCIAS BIBLIOGRÁFICAS
Wikipedia. ISO 31000. Recuperado el 16 de julio de 2021 de
https://es.wikipedia.org/wiki/ISO_31000

Universidad de Lima. Gestión de Riesgos (2016). Material no publicado.

Cía. Latinoamericana de Radiodifusión. Manual del Sistema de Gestión de
Seguridad de la Información (2018). Material no publicado.

Página 15 de 15