Actividad 3

Metodología de Gestión de Riesgos de Seguridad de la

Información

Universidad Internacional de La Rioja (UNIR), CDMX, México

Análisis de Riesgos Informáticos

Cano Girón Herbert Cristian

 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

Índice

1. INTRODUCCIÓN ................................................................................................ 3

2. OBJETIVO ......................................................................................................... 3

3. DESARROLLO .................................................................................................... 4

3.1 CONCEPTOS BÁSICOS ............................................................................................... 4

3.2 ACTIVOS ................................................................................................................ 5
3.2.1 Identificación de Activos.............................................................................. 5
3.2.2 Valoración de Activos. ................................................................................. 5
3.3 IDENTIFICACIÓN DE RIESGOS. .................................................................................... 7
3.3.1 Alineación de Activos con el Riesgo............................................................. 7
3.4 ANÁLISIS DEL RIESGO ............................................................................................... 7
3.4.1 Probabilidad de Ocurrencia ......................................................................... 8
3.4.2 Impacto. ...................................................................................................... 8
3.4.3 Valoración del Riesgo. ................................................................................. 9
3.5 TRATAMIENTO DEL RIESGO ..................................................................................... 10
3.5.1 Aceptar ...................................................................................................... 10
3.5.2 Controlar ................................................................................................... 11
3.5.2 Transferir ................................................................................................... 11
3.5.2 Evitar ......................................................................................................... 11

5. SEGUIMIENTO ................................................................................................ 11

4. CONCLUSIONES .............................................................................................. 12

5. BIBLIOGRAFÍA................................................................................................. 13

Tema 2. Actividades 2
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

1. Introducción
En toda organización, cuando se deciden implementar un enfoque en riesgos
que les ayude a identificar aquellos elementos que pueden considerarse como
factores importantes que pueden materializarse e impedirles conseguir sus objetivos
se topan con una incógnita, ¿Cómo implementar esto?, ¿Qué metodología utilizar?
Al escoger la metodología a utilizar, la administración se compromete a seguir
una serie de pasos y cumplir con los requisitos de tal manera que logren la
implementación y que esta se adapte a la organización más que la organización se
adapte a ella. Es por ello importante tener claro el alcance de lo que se necesita,
conocer las diferentes metodologías y escoger entre todas la que mejor se adapta a
las necesidades, en el mejor de los casos, de lo contrario, obtener lo mejor de cada
una y construir una a la medida.
Un tema muy importante al implementar una metodología de riesgos es tratar
de que esta sea sencilla, fácil de comprender para todo el mundo y así también será
fácil su implementación.
El presente trabajo está basado en una metodología diseñada
específicamente para las necesidades de una compañía, es decir una desarrollada a
partir de ISO 31000, ISO 27000 y COSO ERM, que demuestre la utilidad de los
conceptos vistos en la case.

2. Objetivo
• Aplicar los conceptos aprendidos en clase, puestos en una metodología
operativa y funcional, para la gestión de riesgos en una organización.
• Desarrollar las fórmulas necesarias para lograr obtener valoraciones en un
entorno real y lograr obtener una valoración del riesgo.

Tema 2. Actividades 3
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

3. Desarrollo
Para la presente metodología, se pensó en el desarrollo de una que fuera
eficiente y eficaz, a la medida, por lo que se tomaron en cuenta la ISO 27005, ISO
3100 y COSO ERM como metodologías base para obtener la propia, que fuera fácil de
implementar y sencilla de entender.

3.1 Conceptos Básicos

Activo: Cualquier elemento que sea utilizable dentro de una
organización y que adicionalmente tenga un valor, por lo tanto,
es importante trabajar para su resguardo.
Confidencialidad: La información solo tiene que ser accesible o divulgada a
aquellos que están autorizados.
Integridad: La información debe permanecer correcta (integridad de
datos) y como el emisor la originó (integridad de fuente) sin
manipulaciones por terceros.
Disponibilidad: La información debe estar siempre accesible para aquellos que
estén autorizados.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de
información. Suele considerarse como una combinación de la
probabilidad de un evento y sus consecuencias.
Amenaza: Causa potencial de un incidente no deseado, que puede
resultar en un daño a un sistema, persona u organización.
Evento: Es un echo imprevisto que se puede presentar
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por
una o más amenazas.
Impacto: Es la consecuencia de la materialización de una amenaza sobre
un activo. El costo para la institución de un incidente de la
escala que sea, que puede o no ser medido en términos

Tema 2. Actividades 4
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

estrictamente financieros (ejem.: pérdida de reputación,

implicaciones legales, entre otros).
Objetivos: Son metas determinadas por la organización sobre las cuales se
enfocan los esfuerzos.

3.2 Activos
3.2.1 Identificación de Activos.
El primer paso de la metodología es la identificación de todos los activos de
información en un inventario. Al identificar un activo es importante clasificarlo
mediante el Tipo de Activo y Clase de activo, de esta forma se estará agrupando cada
elemento de acuerdo con sus características, las cuales podemos observar en el
siguiente cuadro:

Tipo de Activo Clase de Activo

Infraestructura Física
Activos Físicos Hardware
Tecnología Software
Activos de Electrónica
Información Documentos
Personal Dueños de Información
Servicios

3.2.2 Valoración de Activos.

Una vez identificados los activos, se les debe priorizar de acuerdo con la
importancia para el negocio, por lo que se realiza una valoración de estos, para esta
actividad tomaremos los tres pilares de la seguridad de la información
Confidencialidad, Integridad y Disponibilidad.

Confidencialidad: Se calificará de acuerdo con el nivel de impacto que un activo

puede tener sobre la organización si se divulgara la información
que contiene.

Tema 2. Actividades 5
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

Integridad: Se calificará de acuerdo con el nivel de impacto que un activo

puede tener sobre la organización si la información es objeto
de cambios.
Disponibilidad: Se calificará de acuerdo con el nivel de impacto que un activo
puede tener en la organización al no estar disponible para su
utilización.

Cada uno de estos valores debe ser calificado de acuerdo con la siguiente tabla:

Tabla de Valoración de Activo

Valor Descripción
1 La brecha puede resultar en poca o nula pérdida o daño.

2 La brecha puede resultar en una pérdida o daño menor.

La brecha puede resultar en una pérdida o daño serio, y
3 los procesos del negocio pueden verse afectados
negativamente.
La brecha puede resultar en una pérdida o daño serio, y
4
los procesos del negocio pueden fallar o interrumpirse.
La brecha puede resultar en altas pérdidas de dinero, o
en un daño crítico a un individuo o al bienestar,
5 reputación, privacidad y/o competitividad de la
empresa. Los procesos del negocio fallarán.

Para obtener la valoración del activo (CID), se debe sumar el valor obtenido
en la calificación de cada uno de los pilares.

Valoración del Activo (CID) = Confidencialidad + Integridad + Disponibilidad

Ejemplo de Valoración del Activo

(CID)
Confidencialidad Integridad Disponibilidad Total
5 5 5 15

De esta manera, entre mayor sea el valor de la valoración del activo, este
será más importante para la compañía, por lo que volverá crítico su tratamiento.

Tema 2. Actividades 6
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

3.3 Identificación de Riesgos.

Los riesgos son todos aquellos eventos que pueden llegar a afectar a la
compañía en la consecución de sus objetivos, por lo tanto, es importante identificar,
de acuerdo con el rol del negocio, a que eventos se está expuesto.

Para la identificación de los riesgos dentro de una compañía, se pueden

utilizar diferentes técnicas, que pueden utilizar tanto elementos internos como
externos para identificar eventos que puedan afectar a la empresa, cada compañía
utiliza los que mejor se adapten a sus necesidades, pero dejamos algunos como
ejemplo:

Análisis de Procesos: Al levantar un proceso se logra identificar brechas de seguridad

y posibles riesgos que pueden afectar al negocio.
Seguimiento de Datos: El resultado de eventos del pasado que pueden dar indicios
de riesgos a los que pueden estar expuesta la compañía.
Entrevistas: Conocimiento de expertos que pueden ayudar a identificar eventos,
recordemos que los que mejor conocen la compañía son quienes la operan.
Computación Cognitiva: Resultado de altos volúmenes de información que se
procesa y logra identificar riesgos.

3.3.1 Alineación de Activos con el Riesgo

Una vez identificados los Riesgos, se debe de alinear cada uno de ellos con el
inventario de activos que se ha obtenido, de esta manera sabremos que activo se
encuentra expuesto a que riesgo.

3.4 Análisis del Riesgo

Lo importante de una metodología de riesgos es poder realizar un análisis que
nos permita obtener con la mayor exactitud el nivel que el riesgo representa para la

Tema 2. Actividades 7
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

compañía, con la información obtenida en los pasos anteriores ya tenemos el primer

elemento para analizarlo, que es la valoración del activo, el siguiente paso es
ponderar el valor de la probabilidad de ocurrencia y el impacto de este riesgo.

3.4.1 Probabilidad de Ocurrencia

Se describe como la posibilidad de que un riesgo se materialice, esta puede
ser expresada en probabilidad o frecuencia de que ocurra. Si se define como
probabilidad puede ser cualitativa o cuantitativa

Cualitativa: Si se materializa un riesgo, este tiene un impacto sobre un objetivo del

negocio y se puede expresar como probable o remoto.
Cuantitativa: Si se materializa un riesgo, este tiene un impacto que se puede
expresar en porcentaje, como por ejemplo un 80% de probabilidad de
que ocurra.

Para la calificación de la probabilidad se utilizará la siguiente tabla:

Tabla de Probabilidad
Valor Descripción
Baja, no hay historial y es raro
1
Probabilidad de

que la amenazas ocurra.

Ocurrencia

Media, se han presentado casos y

2
puede ocurrir la amenaza.
Alta, se han presentado
3 suficientes casos y la amenaza
seguramente ocurrirá.

3.4.2 Impacto.
Es el resultado que deriva de la materialización de un riesgo, en donde se
pueden presentar diferentes impactos asociados y puede perjudicar positiva o
negativamente a la estrategia del negocio o a los objetivos.

Tema 2. Actividades 8
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

El impacto se medirá de acuerdo con la siguiente tabla.

Tabla de Análisis de Impacto

Impacto

Valor Descripción

1 La brecha puede resultar en poca o nula pérdida o daño.

2 La brecha puede resultar en una pérdida o daño menor.

La brecha puede resultar en una pérdida o daño serio, y

3 los procesos del negocio pueden verse afectados
negativamente.
La brecha puede resultar en una pérdida o daño serio, y
4
los procesos del negocio pueden fallar o interrumpirse.
La brecha puede resultar en altas pérdidas de dinero, o
en un daño crítico a un individuo o al bienestar,
5
reputación, privacidad y/o competitividad de la empresa.
Los procesos del negocio fallarán.

3.4.3 Valoración del Riesgo.

La valoración del riesgo es el resultado del proceso de gestión de estos, en
donde se cuantifica la gravedad, basado en una fórmula, para el activo y también para
la compañía, entre más alto es éste, más compromiso tendrá la administración en
tomar las medidas necesarias para darle una respuesta que satisfaga sus necesidades,
ya que representan un peligro latente sobre la materialización de los eventos
negativos y la consecución de los objetivos de la empresa. Por lo tanto, podemos
decir que es el termómetro del cual se puede valer una compañía para la toma de
decisiones estratégicas y dirigir sus esfuerzos en lograr sus objetivos.

La valoración del riesgo se cuantifica con el resultado de la multiplicación de

los elementos descritos en esta metodología, siendo la fórmula:

Tema 2. Actividades 9
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

Valoración del Riesgo = Valoración del Activo (CID)*Probabilidad de

Ocurrencia*Impacto

Con la valoración del riesgo se procede a clasificar el riesgo en tres niveles,

Alto, Medio y Bajo de acuerdo con la siguiente tabla:

Tabla de Valoración del Riesgo

Valor del
Riesgo
Riesgo
180 - 225 Alto
80- 179 Medio
0-79 Bajo

La siguiente tabla ejemplifica una valoración del riesgo utilizando los

resultados obtenidos de la valoración del activo (CID), Probabilidad de Ocurrencia e
impacto, poniendo en funcionamiento la fórmula de valoración del riesgo.

Ejemplo de Valoración de Riesgo.

CID Probabilidad Impacto Valor del Riesgo
1 1 1 1 Bajo
5 2 3 30 Bajo
10 2 4 80 Medio
10 3 4 120 Medio
15 3 4 180 Alto
15 3 5 225 Alto

3.5 Tratamiento del Riesgo

El tratamiento del riesgo es la respuesta que la administración gestiona de
acuerdo con la valoración del riesgo y su clasificación, existen cuatro respuestas que
puede adoptar la compañía:

3.5.1 Aceptar

Tema 2. Actividades 10
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

Con esta respuesta al riesgo, la compañía asume completamente el riesgo,

por lo tanto, no dirige ninguna actividad para tratar de asegurar que el riesgo no se
materialice, en general se utiliza con niveles de riesgo sumamente bajos en donde las
perdidas pueden ser aceptadas.

3.5.2 Controlar
Con esta respuesta al riesgo, la compañía dirige sus esfuerzos en la
implementación de actividades de control diseñadas para minimizar la probabilidad
de materialización. Debe tomar en cuenta la implementación de controles que
tengan la capacidad de detectar y corregir errores, siempre valorando el costo de la
implementación contra sus beneficios.

3.5.2 Transferir
Con esta respuesta al riesgo, la compañía dirige sus esfuerzos en trasladar el
riesgo o compartirlo con un tercero, es decir que, busca la manera de no cargar con
la actividad de control necesaria para minimizar el impacto, lo traslada total o
parcialmente a otra entidad que lo realizará por él.

3.5.2 Evitar
En esta respuesta al riesgo, la compañía deja de realizar las actividades que se
encuentran susceptibles al riesgo identificado, generalmente consecuencia de un
análisis costo beneficio, en mucho mayor el costo de minimizarlo que el beneficio
obtenido, esto puede impactar en la estrategia de la empresa.

5. Seguimiento
Con todo el trabajo realizado, la compañía ya tiene una idea de los riesgos a
los cuales se encuentra expuesta y como responderá a cada uno de ellos, desde los
riesgos altos hasta los riesgos bajos, pero el trabajo no concluye aquí.

Tema 2. Actividades 11
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

Una parte importante de la gestión de riesgos es dar seguimiento a este

trabajo, ya que se debe asegurar que las respuestas al riesgo efectivamente están
funcionando y que ninguno de los riesgos identificados se ha materializado.
Y como un último tema a revisar, es tomar en cuenta que todo este proceso
descrito es cíclico, que quiere decir, que se debe repetir a intervalos periódicos, que
permitan identificar nuevos activos y nuevos riesgos que puedan poner en peligro a
la compañía, recordemos que el mundo se mantiene en constante cambio, por lo
tanto, no debemos esperar que las compañías se mantengan estáticas, estas
cambiarían y buscarán nuevos mercados de inversión, lo que las expondrá a nuevos
retos que implicarán nuevos riesgos.

4. Conclusiones
• El presente trabajo demuestra lo aprendido en clase durante el semestre,
relacionado con las diferentes Metodologías de análisis de riesgos estudiadas.
• La mejor metodología adoptada es la que se logra implementar y satisface las
necesidades de la compañía.
• El apoyarse y adoptar metodologías mundialmente conocidas y aceptadas
como las normas ISO 27005 e ISO 31000, garantiza que se gestiona basado en
estándares ya probados y eficientes.
• Toda organización que no gestione sus riesgos, o tiene el conocimiento de los
factores que pueden poner en peligro a sus activos de información, es incapaz
de prepararse para tomar las medidas necesarias y afrontar las amenazas que
surjan en el cumplimiento de sus objetivos.

Tema 2. Actividades 12
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Cano Girón
16-julio-2022
Informáticos Nombres: Herbert Cristian

5. Bibliografía

Committee of Sponsoring Organizations of the Treadway Commission (COSO). (2017).

COSO ERM.
International Organization for Standarization . (2018). ISO 31000 Gestión de Riesgos.
España: UNE.
International Organization fro Standarization. (2018). ISO 27005 Information security
risk management. España: UNE.

Tema 2. Actividades 13