UNIVERSIDAD AUTONOMA DE SANTO DOMINGO

(UASD)
Facultad de Ciencias Escuela de
Informática

Maestría en Auditoria y Seguridad Informática

ASIGNATURA:
Propedéutico

MAESTRANTE:
Ana Iris Reyes
Virgilio Pichardo

PROMOCIÓN 2023 – 2025

Marzo 24, 2023

TEMA:
Análisis de Riesgo
 CONTENIDO
INTRODUCCIÓN .............................................................................................................................................3
1. ¿QUÉ ES LA GESTIÓN DE RIESGOS? ............................................................................................4
2. VULNERABILIDAD ................................................................................................................................4
3. AMENAZA ................................................................................................................................................5
4. RIESGO ....................................................................................................................................................5
5. ANALISIS DE RIESGO ..........................................................................................................................5
6. ESTRUCTURA DEL ANÁLISIS DE RIESGO. ...................................................................................6
6.1. IDENTIFICACIÓN DE ACTIVOS.......................................................................................................6
6.2. IDENTIFICAR LAS AMENAZAS .......................................................................................................7
6.3. IDENTIFICAR LAS VULNERABILIDADES......................................................................................8
6.4. EVALUACIÓN DEL RIESGO .............................................................................................................9
6.5. TRATAMIENTO DEL RIESGO ........................................................................................................10
7. RIESGO INHERENTE ..........................................................................................................................11
8. RIESGO RESIDUAL .............................................................................................................................11
9. MAPA DE CALOR ................................................................................................................................12
10. CONTROLES: .......................................................................................................................................13
11. RECOMENDACIÓNES. .......................................................................................................................13
12. CONCLUSIÓN .......................................................................................................................................14
13. BIBLIOGRAFÍA .....................................................................................................................................14
 INTRODUCCIÓN

En la era digital en la que vivimos, el análisis de riesgo se ha convertido en un aspecto

crucial para cualquier organización que maneje información sensible o crítica. La creciente
dependencia de la tecnología y la interconexión entre sistemas informáticos ha aumentado
significativamente la exposición de las empresas a una serie de amenazas cibernéticas,
incluyendo ataques de malware, phishing, robo de datos, ataques DDoS y ransomware,
entre otros.

El análisis de riesgo informático implica la evaluación y comprensión de los riesgos

potenciales a los que se enfrenta una organización en términos de seguridad informática.
Se trata de una tarea crítica que ayuda a las empresas a identificar y evaluar los posibles
riesgos, y a desarrollar estrategias y medidas preventivas para minimizarlos. Antes de
conocer la estructura que compone un análisis es importante conocer que es la gestión de
riesgo, las vulnerabilidades, amenazas y riesgos.
 1. ¿QUÉ ES LA GESTIÓN DE RIESGOS?

La gestión de riesgos puede definirse de forma concisa como el efecto de la incertidumbre

sobre los objetivos. Implica la identificación, evaluación y priorización de riesgos seguida
de la aplicación de recursos para minimizar o controlar su impacto negativo. En otras
palabras, la gestión de riesgos es el proceso de aplicar técnicas de análisis de riesgos para
tomar mejores decisiones sobre las inversiones, el cronograma, la calidad y otros aspectos
de la gestión de proyectos.

Cada organización se enfrenta a riesgos ligeramente diferentes, que podrían provenir de

muchas fuentes diferentes e incluir desde errores estratégicos de gestión hasta amenazas
a la seguridad de TI y desastres naturales. Por esta razón, las organizaciones deben
realizar evaluaciones periódicas de riesgos e implementar un plan para mitigar las posibles
interrupciones.

2. VULNERABILIDAD

Una vulnerabilidad es un fallo o debilidad de un sistema de información que pone en riesgo

la seguridad de la misma. Se trata de una brecha que puede ser producida por un error de
configuración, una carencia de procedimientos o un fallo de diseño.

Las vulnerabilidades son una de las principales causas por las que una empresa puede
sufrir un ataque informático contra sus sistemas. Por eso siempre es recomendable
actualizar a las últimas versiones, las aplicaciones informáticas, sistemas de protección y
sistemas operativos, pues esas actualizaciones contienen muchas correcciones sobre
vulnerabilidades descubiertas.

La sola presencia de una vulnerabilidad no causa daño por sí misma, dado que es necesario
que haya una amenaza presente para explotarla. Una vulnerabilidad que no tiene una
amenaza correspondiente puede no requerir de la implementación de un control, pero es
recomendable reconocerla y monitorearla para determinar los cambios. Conviene anotar
que un control implementado de manera incorrecta o que funciona mal, o un control que se
utiliza de modo incorrecto podrían por sí solo constituir una vulnerabilidad.
 3. AMENAZA

Es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad. Se
puede identificar como un peligro latente de que un evento físico de origen natural, causado,
o inducido por la acción humana de forma accidental, actúe tan severamente que nos
cueste pérdida de vidas, lesiones u otros impactos en la salud, así como también daños y
pérdidas en los bienes, la infraestructura, los medios de sustento, la prestación de servicios
y los recursos ambientales.

Una amenaza tiene el potencial de causar daños a activos tales como información,
procesos y sistemas y, por lo tanto, a las organizaciones. Las amenazas pueden ser de
origen natural o humano y podrían ser accidentales o deliberadas. Es recomendable
identificar tanto los orígenes de las amenazas accidentales como de las deliberadas. Una
amenaza puede tener su origen dentro o fuera de la organización.

4. RIESGO

Un riesgo es una combinación de las consecuencias que se presentarían después de la

ocurrencia de un evento indeseado y de su probabilidad de ocurrencia. La valoración del
riesgo cuantifica o describe cualitativamente el riesgo y permite a los directores priorizar los
riesgos de acuerdo con su gravedad percibida u otros criterios establecidos.

5. ANALISIS DE RIESGO

El análisis de riesgos según ISO 27005 es una herramienta que nos permite identificar las
amenazas a las que se encuentran expuestos todos los activos, se estima la frecuencia en
la que se materializan todas las amenazas y valora el impacto que supone que se
materialice en nuestra organización.

El objetivo del análisis de riesgo es identificar los activos críticos de la organización,

identificar los riesgos a los que están expuestos, evaluar el impacto potencial de los riesgos
y desarrollar un plan para mitigar o reducir los riesgos. Esto implica una evaluación
detallada de los sistemas y aplicaciones, la identificación de vulnerabilidades y debilidades,
y la evaluación de la capacidad de la organización para resistir y recuperarse de los riesgos.

Es importante tener en cuenta que el análisis de riesgo informático no es un proceso

estático, sino que debe ser una tarea continua y en constante evolución. A medida que
evoluciona el panorama de amenazas, las organizaciones deben estar preparadas para
adaptarse y actualizar sus medidas de seguridad en consecuencia.

En resumen, el análisis de riesgo informático es esencial para garantizar la seguridad y

protección de los datos y sistemas de una organización. La identificación y evaluación de
los riesgos potenciales ayuda a las empresas a desarrollar planes de contingencia y
medidas preventivas, lo que les permite minimizar la exposición a las amenazas
cibernéticas y garantizar la continuidad del negocio.

6. ESTRUCTURA DEL ANÁLISIS DE RIESGO.

6.1. IDENTIFICACIÓN DE ACTIVOS

Un activo es todo aquello que tiene algún valor para la organización y, por ende, debe
protegerse. Los activos pueden ser tangibles o intangibles, por ejemplo: la infraestructura
informática, los equipos auxiliares, las redes de comunicaciones, las instalaciones y las
personas, principalmente aquellas que tienen acceso a información crítica y sensible.
La identificación e inventario de los activos de información es la base para el análisis y
evaluación de riesgo.

Esta etapa consiste en identificar cada uno de los activos que tienen algún valor para la
organización y que es importante proteger, esto incluye activos para el procesamiento,
transmisión, tratamiento o almacenamiento de la información. Y para esto, es
necesario realizar un inventario que considere datos como:

• Nombre del activo

• Descripción
• Tipo de activo
• Proceso al que está asociado
• Propietario
• Custodio
• Ubicación
Una vez se tenga el inventario de los activos, el siguiente paso es valorarlos y clasificarlos
según su criticidad. Para esto es necesario tener en cuenta las tres propiedades de la
información: confidencialidad, integridad y disponibilidad, es decir, cada una de estas debe
ser calificada con variables cuantitativas o cualitativas, por ejemplo:

1. Bajo: 10%
2. Medio: 50%
3. Alto: 100%

6.2. IDENTIFICAR LAS AMENAZAS

Una amenaza tiene el potencial de causar daños a activos tales como información,
procesos y sistemas y, por lo tanto, a las organizaciones. Las amenazas pueden ser de
origen natural o humano y podrían ser accidentales o deliberadas. Es recomendable
identificar tanto los orígenes de las amenazas accidentales como de las deliberadas. Una
amenaza puede tener su origen dentro o fuera de la organización.

La prevención y mitigación son todo lo que hacemos para asegurarnos de que no suceda
un desastre o, si sucede, que no nos perjudique tanto como podría. La mayoría de los
fenómenos naturales no pueden impedirse; pero sí podemos reducir los daños que causa
un sismo si construimos casas más resistentes y en lugares donde el suelo sea sólido.

La mitigación constituye buenas medidas para reducir la vulnerabilidad frente a ciertas

amenazas.

La prevención y mitigación comienzan por conocer cuáles son las amenazas y riesgos a
los que estamos expuestos; no es suficiente hablar sobre el asunto, hay que tomar
acciones.

El análisis y gestión en este aspecto nos servirá para averiguar la magnitud y la gravedad
de las consecuencias del riesgo a las que está expuesta nuestra empresa y, de esta forma,
poder gestionarlos adecuadamente.

Para ello tendremos que definir un umbral que determine los riesgos asumibles y los
diferencie de los que no lo son. En función de la relevancia de los riesgos podremos optar
por:
 1. Evitarlos, eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
2. Adoptar medidas que mitiguen su impacto o su probabilidad a través de la
implementación y monitorización de controles.
3. Compartirlos o transferirlos con terceros a través de seguros, contratos etc.
4. Aceptar su existencia y monitorizarlos.

6.3. IDENTIFICAR LAS VULNERABILIDADES

En esta fase se pretende estudiar todas las características de los activos para identificar
los puntos débiles o vulnerabilidades. Una posible vulnerabilidad puede ser identificar un
conjunto de servidores cuyos sistemas antivirus no se encuentran actualizados. A la hora
de evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades
identificadas.

También se deberá analizar y documentar las medidas de seguridad implementadas en

nuestra empresa. Es posible que hayamos instalado un sistema o un grupo electrógeno
para abastecer de electricidad a los equipos. Ambas medidas de seguridad contribuyen a
minimizar el riesgo de las amenazas relacionadas con el corte de suministro eléctrico.
Dichas consideraciones se deben tener en cuenta cuando se quiera estimar la probabilidad
y el impacto.

En general las vulnerabilidades pueden encontrarse en los sistemas porque pueden

contener agujeros de seguridad conocidos y desconocidos, cuentan con configuraciones
por defecto o son el resultado de errores de configuración.

Para solucionar estos inconvenientes es posible aplicar distintos métodos para llevar a cabo
la evaluación de fallas en la infraestructura de una organización. En general consideran las
siguientes actividades:

1. Obtener la aprobación para la evaluación de vulnerabilidades.

2. Generar un inventario de activos.
3. Definir el alcance de la evaluación.
4. Recabar información, identificar y evaluar vulnerabilidades.
5. Generar un informe de resultados.
6. Generar un plan de remediación.
 6.4. EVALUACIÓN DEL RIESGO

La evaluación de riesgos permite a las empresas adoptar medidas y tomar decisiones

enfocadas en cumplir los objetivos establecidos.

Este es un proceso interno fundamental porque permite detectar los riesgos que se podrían
materializar y de qué manera estos afectarían el normal desarrollo de las actividades.

El objetivo de esta evaluación es conocer las características de la amenaza y su origen,

teniendo en cuenta la probabilidad de ocurrencia, el nivel de impacto y escenarios en los
que se pueda presentar.

Si hemos llegado hasta esta fase, ya disponemos de los siguientes elementos:

• Inventario de activos.
• Conjunto de amenazas a las que está expuesta cada activo.
• Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
• Conjunto de medidas de seguridad implantadas

Con toda esta información ya podemos calcular el riesgo. Para cada activo-amenaza,
estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio
que esto produciría. El cálculo de riesgo se puede llevar a cabo utilizando tanto criterios
cuantitativos como cualitativos.

De acuerdo a las vulnerabilidades y amenazadas identificadas, determinamos posibles

riesgos a los que está expuesta la empresa.

Ejemplos:
ACTIVO DESCRIPCION VULNERABILIDAD AMENAZA RIESGO
Exposición y
Falta de cifrado u ofuscado Robo y fuga de
Se encarga de Divulgación de
de datos sensibles Información
bloquear acceso no Información
autorizado, actúa No disponibilidad de
Falta de copias de respaldo Falla Inesperada
como un organismo servicios operativos por
(backup) del equipo
de inspección que largo periodo de tiempo
verifica las * Saturación del
*Bajo performance de
conexiones que se sistema de
FIREWALL enlaces de
establecen entre una información
comunicación,
red y un equipo local * Fácil acceso a
provocando
a fin de proteger el Débil segmentación de la datos
malfuncionamiento de
ordenador contra red confidenciales, y
aplicaciones y servicios.
programas maliciosos equipos
* Extorsión
u otros peligros de sensibles
* Filtración de data
Internet. * Ataque por
sensible
Ransomware
 6.5. TRATAMIENTO DEL RIESGO

Durante la fase de tratamiento de los riesgos podemos aplicar el análisis de las 4 Ts

(Tolerar, Tratar, Terminar, Transferir). Este análisis es útil para dotar de información y
saber realmente a que nos enfrentamos a la hora de tomar una decisión sobre la marcha
del negocio.

Si pasamos a analizar una a una estas 4Ts, encontramos la siguiente información:

Tolerar: Supone aceptar el riesgo y equilibrar éste con posibles beneficios. La exposición
a un riesgo se podría tolerar sin que hubiese necesidad de aplicar acciones adicionales.
En caso de no ser tolerable, las acciones que podríamos tomar en este caso serían
escasas porque el coste de tomarlas podría ser excesivo en relación al beneficio que nos
retornaría la aplicación de acciones. El tipo de control que realizaremos será Detectivo.

Tratar: Consiste en tratar de mitigar el peligro y tomar medidas de tipo preventivo o

reactivo. El propósito aquí debe ser el de preparar a la compañía para afrontar de forma
efectiva y eficiente los sucesos. La acción consistirá en intentar controlar y dejar el riesgo
en un nivel soportable para la organización. El tipo de control a realizar es Correctivo.

Terminar: Supone evitar la situación o eliminarla sin arriesgar. Para ello tendremos que
generar controles eficaces, que eliminen la causa del riesgo. El tipo de control dominante
a realizar será Directivo. Cabe mencionar que determinados riesgos sólo pueden ser
tratados hasta unos niveles concretos, por lo que puede darse el caso de que superados
esos niveles sea necesario el cese de la actividad.

Transferir: Consiste en transmitir el riesgo a un tercero. En ocasiones la mejor forma de

eliminar un riesgo es transfiriendo la gestión de éste a un tercero. Se podría hacer por
ejemplo asegurando el riesgo para que sea asumido por otra empresa, proveedor,
compañía de seguros, etc. El tipo de control a realizar sería Preventivo.
 7. RIESGO INHERENTE

El riesgo inherente es el riesgo específico de cada trabajo o proceso. Se encuentra en el

ambiente y puede afectar a las diversas categorías de operaciones. No puede ser
eliminado, por lo que, dentro del plan de gestión, la empresa debe identificarlo. El riesgo
inherente puede provenir de factores externos o internos, y las distintas áreas de la
organización deben estar preparadas para minimizar sus consecuencias en caso de que
ocurra una eventualidad.

La suma de los valores asignados a cada riesgo para severidad del daño, probabilidad de
que ocurra y el criterio de los técnicos nos da la valoración: muy bajo, bajo, medio, alto y
muy alto, la cual nos determina su tolerabilidad y el nivel de acción requerido.

8. RIESGO RESIDUAL

El riesgo residual es la cantidad de riesgo que permanece en el proceso después de que

todos los riesgos se han calculado, contabilizado y cubierto. Durante una inversión o un
proceso comercial, hay muchos riesgos involucrados y la entidad tiene en cuenta todos
esos riesgos. Contrarresta factores o elimina todos los riesgos conocidos del proceso. Los
riesgos que permanecen en el proceso pueden deberse a factores desconocidos o tales
riesgos debido a factores conocidos que no se pueden cubrir o contrarrestar; estos riesgos
se denominan riesgos residuales.

En pocas palabras, el peligro para una empresa que permanece después de que todos los
riesgos identificados se hayan eliminado o mitigado mediante los esfuerzos de la
Compañía o los controles internos y de riesgo.
 9. MAPA DE CALOR

Un mapa de calor de riesgo consiste en una matriz con dos ejes, donde el eje Y representa
la probabilidad de frecuencia del riesgo y el eje X representa el impacto que puede tener el
mismo.

El mapa se representa gráficamente ubicando los riesgos en un cuadrante, dependiendo

de la probabilidad de que determinado riesgo pueda ocurrir y el impacto cuantitativo o
cualitativo que se produce en caso de que se materialice el riesgo:
 10. CONTROLES:

Los controles pueden brindar uno o más de los siguientes tipos de protección: corrección,
eliminación, prevención, minimización del impacto, disuasión, detección, recuperación,
monitoreo y concienciación. Durante la selección del control es importante ponderar el
costo de adquisición, implementación, administración, operación, monitoreo y
mantenimiento de los controles en comparación con el valor de los activos que se
protegen. Además, el retorno de la inversión en términos de reducción del riesgo y el
potencial para explotar nuevas oportunidades de ejecución que brindan algunos controles.

11. RECOMENDACIÓNES.

Durante la evaluación de riesgos en la Empresa seguramente en diferentes áreas saldrá

riesgos significativos intolerantes y requieren una acción inmediata, en estos casos es
importante generar el Plan de Acción para el Control de los Riesgos encontrados.

Es necesario contar con un buen procedimiento para planificar la implantación de las

medidas de control que sean precisas después de la evaluación de riesgos.

Si como resultado de una evaluación de riesgos es necesario aplicar o mejorar los controles
de riesgos, será necesario contar con un buen procedimiento para planificar la implantación
de las medidas de control que sean precisas.
 12. CONCLUSIÓN

Es importante que toda organización realice un análisis de riesgo para poder determinar el
impacto que este les pueda ocasionar en caso de que se materialice, algunos riesgos son
inevitables, pero si se puede medir el impacto y determinar los controles para que el daño
sea menor. Es recomendable que se realice un plan de acción que determine la forma en
el que va a operar la empresa cuando no pueda evitar el daño causado por un riesgo.

13. BIBLIOGRAFÍA
Análisis de riesgos informáticos y ciberseguridad (ambit-bst.com)

Guía para realizar la evaluación de riesgos (piranirisk.com)