Tema1: Ciberseguridad en las organizaciones

Objetivo: analizar y comprender las principales amenazas de la ciberseguridad a las que están expuestas las
organizaciones y familiarizarse con los principales conceptos que intervienen en el diseño e implementación de la
seguridad de los sistemas informáticos (STIC)

¿Por qué es necesaria la ciberseguridad?

 Se analizan los principales agentes y métodos de ataque.
 Es un proceso que necesita personas con roles especializados, una normativa específica que incluye una gestión
del riesgo que tenga en cuenta las principales dimensiones de la seguridad.
 Implica a las personas, las instalaciones, los sistemas y la documentación.

Objetivos:
- Comprender cuáles son las principales dimensiones de la ciberseguridad
- Explicar por qué la seguridad de la información debe considerarse como un proceso y no como un producto.
- Enunciar y explicar los aspectos económicos fundamentales de la seguridad de la información
- Describir y dar ejemplo de los diferentes tipos de amenaza y controles para la seguridad física.
- Describir la importancia y el papel de la gestión de riesgos en la seguridad de la información.
- Diferenciar y dar ejemplos de las diferentes herramientas de gestión para la seguridad de la información.
- Describir la importancia del factor humano en la seguridad de la información.

Justificación y motivación de la ciberseguridad

- La seguridad cuesta dinero, el problema fundamental es buscar un equilibrio entre el coste de la seguridad y el
impacto económico de los riesgos probables.
- Coste en la medida de la resistencia al cambio en la implantación de medidas de seguridad
o Por ejemplo, conseguir que el código frente de una aplicación sea seguro lleva consigo un gran esfuerzo.
- Las tecnologías de seguridad comienzan a utilizarse cuando se dan los dos siguientes elementos:
o Son fáciles de implantar
o Los auditores de seguridad comienzan a demandarlas
Costes
Del lado del atacante, el coste está relacionado con el coste de ruptura, debe se inferior a los posibles beneficios.

Del lado de la organización, los dos costes básicos son:

- Coste de construcción de las medidas defensivas, incluyendo la configuración de firewalls, sistemas

redundantes, sistemas de detección de intrusos, etc.
- Coste de reparación de vulnerabilidades. En una configuración simple, esto puede consistir en mantener el
software actualizado con los últimos parches, pero en ocasiones, esto no es suficiente y hace falta un esfuerzo
proactivo en buscar vulnerabilidades potenciales según aparecen.
- Posteriormente al incidente, costes que incluyen el cálculo de las pérdidas derivadas y de la reconstrucción de
los sistemas.

Amenazas y riesgos de la ciberseguridad

Para investigar las amenazas y riesgos de la ciberseguridad actuales hay que abordar dos aspectos fundamentales.

- Principales agentes o actores de la amenaza.

o Actores estado (actividad de grupos): entidades gubernamentales que participan en actividades
cibernéticas con fines políticos, militares o económicos.
 Gubernamental, defensa
 Industria armamentística
 Salud e industria farmacéutica
 Centros de investigación, tecnologías de información y las comunicaciones
 Energía
 Telecomunicaciones
 Inversión financiera
o Ciberdelincuencia (ransomware, phishing, malware)
 Usan ransomware, como RobbinHood, Avaddon, NetWalker, Maze, Snake, Locker y Vscript, etc.
 Phishing
 Ofrecen malware como un servicio, datos de tarjetas, máquinas infectadas… en la Deep Web.
o Hacktivismo (anonymous)
 Tipo de protesta con fines de activismo político, social o económico en forma de ataques
cibernéticos: Anonymous, Wikileaks.
 Ataques de denegación de servicios, Desconfiguraciónes Web (defacements), por las que se
modifica la apariencia del sitio web y se publica contenido relacionado con la operación, en
ocasiones indicando su hastag.
 Inyecciones SQL (SQLi) para exfiltrar información
 Doxing: consiste en obtener la máxima información privada relacionada con un objetivo para
después publicarla en fuentes públicas como twiter
o Actores internos (dentro de la organización)
 Gran parte del incidente de ciberseguridad se cometen directa e indirectamente por empleados
relacionados con negligencias de seguridad.
 Un porcentaje menor de incidentes está relacionado con los actores internos intencionados,
que representarían un 14%.
 El phishing representa el vector de ataque más utilizado contra los actores internos más
vulnerables de una organización, últimamente hasta un 38% de los incidentes involuntarios
provocados por actores internos se han originado vía phishing.
 Los actores internos pueden tener un impacto negativo en la organización en términos de
espionaje económico, sabotaje, fraude y pérdida de recursos de la empresa.
- Principales métodos y vectores de ataque.
o Ransomware: Ransomware que se conoce como human operated ransomware, es un tipo de software
malicioso (malware) que encripta los archivos de una víctima y exige un rescate.
 Los más usados: Maze, LockBit, RagnarLocker, Ragnarok, NetWalker, Nemty, Tycoon, Snake,
Avaddon, Thanos, Phobos, Black Dingdom, DoppelPaymer, REvil, TinyCryptor, Ryuk, RansomExx,
Conti, Egregor.
o Botnets (IoT): red de dispositivos infectados por malware, controlados por un atacante o un grupo de
atacantes de forma remota y coordinada.
 Crecimiento exponencial de dispositivos IoT
 Implementación insegura de dispositivos IoT a los que se puede acceder fácilmente
directamente desde internet.
 Falta de actualizaciones de seguridad para estos dispositivos, lo que hace vulnerables
 Falta de un enfoque seguro de estos dispositivos por parte de los propietarios
 Los dispositivos tienen una contraseña predeterminada, conocida por el público, que en la
mayoría de los casos no se reemplaza.
 Entre las botnets más destacadas se encuentra Dark Nexus, descubierta en abril de 2020
 Se estima que en 2025 habrá más de 30000 millones de conexiones IoT, con una media
estimada de cuatro dispositivos de este tipo por persona.
o Código dañino avanzado. APTs
 Técnicas como un proceso de investigación, desarrollo e innovación (ID+I)
 Los actores avanzados utilizan vulnerabilidades críticas en dispositivos revelados por
organizaciones, como Citrix NetScaler y Gateway (CVE 2019-19781), Microsoft SharePoint (CVE
2020-0931) o Microsoft Exchange (CVE 2020-16875)
 Un atacante instala un rootkit aprovechando de una vulnerabilidad conocida o por
haber obtenido una contraseña. Actúan escondiendo programas que se apropian de los
recursos de las computadoras o que roban contraseñas. Una vez instalado, permite que
el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la
computadora.
 Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo, o más
comúnmente a los programas del usuario.
o Ataques a sistemas de acceso remoto
 Por el aumento en el uso de servicios de conexión remota. Gran cantidad de informes de
vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures CVE) han
resultado en un aumento significativo de la superficie de ataque expuesta a internet: Zoom.
 Herramientas Shodan o ZooEye
o Ataques WEB
 Vulnerabilidades CMS: Wordpress, JooMLA, Drural.
o Ingeniería social
 Usan como canal principal para su propagación el correo electrónico gracias a su uso masivo
tanto por empresas, como por particulares. Pueden utilizar otros canales como llamadas
telefónicas, aplicaciones de mensajería, redes sociales, etc.
o Ataques contra la cadena de suministro.
 El abuso de vulnerabilidades asociadas al acceso a través del perímetro a sistemas de control
industrial.
 Uso de ransomware contra infraestructuras industriales.
 Pocas organizaciones cuentan con procesos de seguridad de la cadena de suministros completos
y efectivos
 Asimetría entre clientes y proveedores en determinados procesos contractuales
  Una concepción débil de la seguridad de la información como un proceso transversal a la
organización.
 La complejidad y el volumen de recursos necesarios para asegurar un entorno empresarial se
subcontrata y distribuye cada vez más.


Factores más comunes que se dan en los ataques son los siguientes:

- Falta de conocimiento de amenazas de seguridad (especialmente debido a la reutilización de credenciales o el

Actualizaciones de software insuficientes
- Fallos en la gestión de las copias de seguridad

Dimensiones de la ciberseguridad
- Identificar: a las personas que acceden a la información manejada por un sistema o a los recursos de este
mediante un identificador y su información asociada.
- Autenticar: a las personas que acceden a la información manejada por un sistema o a los recursos de este
mediante credenciales.
- Autorizar: controlando el acceso de los usuarios a la información manejada por un sistema o a los recursos de
este.
- Proporcional confidencialidad a la información manejada por un sistema en almacenamiento o en tránsito
mediante el uso de la criptografía.
- Proporcionar integridad a la información manejada por un sistema o a los recursos de este, usando las
propiedades de la firma digital avanzada.
- Mantener la disponibilidad de la información manejada por un sistema o de los recursos de este. El suso de
sistemas redundantes y la gestión de activo de backup son fundamentales.
- Proporcionar la prueba de que una determinada transmisión o recepción ha sido realizada, sin que su
receptor/transmisor pueda negar que se haya producido, usando las propiedades de la firma digital avanzada.
(No repudio).
- Proporcionar los controles que determinen que en todo momento se podrá demostrar quién hizo qué y en qué
momento. ES necesario un correcto diseño de logging o registro que permita una trazabilidad eficaz y eficiente.

La gestión de la seguridad implica la identificación de activos de información y el desarrollo, documentación e

implementación de políticas, normas, procedimientos y directrices que garanticen: su disponibilidad, integridad y
confidencialidad.

La ciberseguridad es un proceso:
Política general de seguridad

- Esta es una política general de alto nivel y de carácter estratégico; de ella derivan las demás. Típicamente,
contiene lo siguiente:
o Una declaración de la importancia de los recursos de información en la empresa
o Una declaración de compromiso de la dirección clara con la seguridad de la información.
o Un compromiso de delegación a las políticas derivadas de la mencionada política general.

Políticas funcionales

- También son de alto nivel, por lo que indican qué debe hacerse, pero no detallan el cómo (esto vendrá detallado
concretamente en los procedimientos)
- Típicamente estás políticas afectan a un área funcional o a un determinado tipo de aplicación, como puede ser la
política de uso del correo electrónico.

Estándares:

- Los estándares, directrices y procedimientos son medios para implementar las políticas.
- Los estándares especifican el uso de ciertas tecnologías o métodos de un modo uniforme
- Son obligatorios y, en ocasiones, implican determinados compromisos con ciertos sistemas operativos o
fabricantes de software.

Directrices:

- Son similares a los estándares, pero son solo recomendaciones, no son de obligado cumplimiento
- Son un mecanismo más flexible que los estándares y pueden utilizarse para determinarlos.

Procedimientos:

- Son descripciones detalladas de los pasos para llevar a cabo una determinada tarea por los usuarios sin dudas.

Líneas base:

- Son descripciones sobre cómo configurar determinados elementos de seguridad para que sean aplicados de
manera uniforme en toda la organización.
La ciberseguridad implica la gestión de riesgos. Al conjunto de procesos de análisis, evaluación y planificación del riesgo
se lo denomina “gestión de riesgos”

- Asumir el riesgo
- Tratar el riesgo
- Externalizar el riesgo.

La ciberseguridad se articula en controles. Ejemplo.

- Objeto de control: responsabilidades del usuario

- Control o medida de ejemplo: uso de clave de control; se debe requerir que los usuarios sigan buenas prácticas
de seguridad en la selección y uso de claves.

La ciberseguridad es tanto física como lógica

- Instalaciones, personas y documentación… y sistemas TIC

La ciberseguridad implica a las personas

Es importante entender que el factor humano es un elementos más del sistema de información y , como tal, las políticas
y las herramientas que se implementen deben tenerlos en cuenta.

Tema 2: Gestión de la Ciberseguridad

Objetivo: conocer las principales normas para gestión de la ciberseguridad. Conocer los principales aspectos gestor de
ciberseguridad y las certificaciones disponibles para una adecuada formación y concienciación en materia de gestión de
ciberseguridad.

Política de seguridad
Concepto:
- Define el comportamiento apropiado para cada caso
- Establece que herramientas y qué procedimientos son necesarios
- Sirve para comunicar un consenso del uso de datos y aplicaciones dentro de la organización
- Proporciona una base para la demostración del uso inapropiado de recursos por parte de empleado o de
externos.

Principios:
- Principio de mínimos privilegios
- Principio de profundidad en la defensa
- Principio de diversidad en la defensa
- Identificación de puntos débiles
- Centralización de la gestión de la seguridad
- Principio de simplicidad

Fases:
- Implementación: medidas básicas, cortafuegos, redes privadas virtuales, etc.
- Monitorización: auditorias, sistemas de detección de intrusiones
- Análisis de vulnerabilidades: analizadores y pruebas.
Normas:
- SGSI: Sistema de Gestión de Seguridad de la Información
- Ciclo de vida de desarrollo seguro de software
- Normas de acceso remoto
- Normas de protección de la información
- Normas sobre la seguridad perimetral
- Normas básicas de seguridad física
- Normas sobre respuestas a incidentes
- Encriptación aceptable
- Proveedores de conexión a internet aceptables
- Laboratorios de prueba de problemas de seguridad
- Antivirus
- Seguridad de encaminadores y conmutadores
- Comunicaciones Wireless
- Cortafuegos

Varios estándares se pueden seguir para la implantación de una política de seguridad:

- Esquema nacional de seguridad, guita CCN-STIC-805 (Real decreto 3/2010,2010)

- ISO 27001
- COBIT 5

Diseño:
De acuerdo con la guía CCN-STIC-805 del Centro Criptológico Nacional (CNN) (2011), las secciones típicas de una política
de seguridad de la información son:

- 1. Misión u objetivos del organismo

- 2. Marco normativo
- 3. Organización de seguridad (CCN-CTIC-805)
o Definición de comités y roles unipersonales
o Funciones
o Responsabilidades
o Mecanismos de coordinación
o Procedimientos de designación de personas
- 4. Concienciación y formación
- 5. Postura para la gestión de riesgos
o Criterios de evaluación de riesgos
o Directrices de tratamiento
o Proceso de aceptación del riesgo residual
- 6. Proceso de revisión de la política de seguridad

Herramientas:

- Normas de seguridad. Estandarizan el uso de aspectos específico del sistema. Indican un uso correcto y
responsabilidad del usuario y son obligatorias. Normas sobre gestión de contraseñas.
- Guías de seguridad. Destinada a ayudar a los usuarios a aplicar las medidas de seguridad correctamente al
proporcionar un razonamiento donde no se dispone de los procedimientos. Guías de configuración segura
Firefox.
- Procedimientos de seguridad: se ocupan de tareas específicas, mostrando cada paro que se debe realizar. Son
muy útiles en tareas que son repetitivas, como puede ser un procedimiento de Backup y recuperación.
SGSI: Sistema de Gestión de Seguridad de la Información

- Plan: planificar. Es una fase de diseño del SGSI en la que se realiza la evaluación de riegos de seguridad de la
información y la selección de controles adecuados
- Do: Hacer: es una fase que envuelve la implantación y operación de los controles.
- Check: Controlar: es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del
SGSI.
- Act: Actuar: en esta fase se realizan cambios, cuando sea necesario, para llevar de vuelta el SGSI al máximo
rendimiento.

Normas: ISO 27001 (última versión 2022), NIST SP 800-53 Rev5. Esquema de seguridad nacional de España.

Gestión de la ciberseguridad SGSI: ISO 27001

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de
la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la
evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de
una organización.

La Gestión de la Seguridad de la Información se

complementa con las buenas prácticas o controles
establecidos en la norma ISO 27002.
Jerarquía de documentación ISO 27001.

- 1. Manual de seguridad: Política, alcance, evaluación de riesgos, declaración de aplicabilidad.

- 2. Procedimientos: Procesos, quién, que, cuándo, dónde
- 3. Instrucciones: Detalla como se realizan las actividades.
- 4. Registros: Proporciona la evidencia objetiva del cumplimiento de los requerimientos del SGSI.
- Sistema de Gestión de la Seguridad de la Información.

SGSI: NIST 800-53 REV – 5

Descripción de la arquitectura. Mission Business Processes, FEA Modelos de referencia, Segmentos y arquitecturas de
soluciones.

Entradas de la organización: Leyes, directivas, políticas, Guías. Metas estratégicas y objetivos. Requerimientos de la
seguridad de la información. Prioridades y recursos habilitados.

- Paso 1: Categoría – Sistemas de información – anexo 1 CCN-STIC - 803

- Paso 2: Seleccionar: Controles de seguridad – anexo 2
- Paso 3: Implementar: Controles de seguridad – CCN-STIC - 804
- Paso 4: Evaluar: Controles de seguridad - CCN-STIC – 808 PILAR
- Paso 5: Autorizar: Sistemas de información
- Paso 6: Monitorear: Controles de seguridad

El profesional de la ciberseguridad

Existe la titulación de carrera de grado en ciberseguridad. El cuerpo de conocimiento (body of Knowledge, BOK) del
consorcio internacional de certificación de seguridad de sistemas informáticos o ISC2 es un ejemplo de recopilación de
requisitos en el área que puede considerarse como definitorio de qué debe ser un profesional de la seguridad de la
información.

También el ISC2 incluye en sus requisitos un código ético al que los certificados por la organización deben adherirse. El
reconocimiento de la profesión por la comunidad y los clientes parece más evidente por la existencia de consultoras y
empresas especializadas.

Certificaciones de la ciberseguridad

Las certificaciones (ISC)2 incluyen:

- Certified Information Systems Security Professional (CISSP), que incluye:

o Information Systems Security Architecture Professional (CISSP-ISSAP).
o Information Systems Security Engineering Professional (CISSP-ISSEP).
o Information Systems Security Management Professional (CISSP-ISSMP)
- Certified Secure Software Lifecycle Professional (CSSLP).
- Certification and Accreditation Professional (CAP).
- Systems Security Certified Practitioner (SSCP)

Las certificaciones CISSP incluyen 10 dominios:

- Seguridad de la información y gestión de riesgos (information security and risk management).

- Sistemas y metodología de control de acceso (access control systems and methodology).
 - Criptografía (cryptography).
- Seguridad física (physical security).
- Arquitectura y diseño de seguridad (security architecture and design).
- Legislación, regulaciones, cumplimiento de estas e investigación (legal, regulations, compliance, and
investigation).
- Seguridad de red y telecomunicaciones (telecommunications and network security)
- Planes de continuidad del negocio y de recuperación frente a desastres (business continuity and disaster
recovery planning).
- Seguridad en el desarrollo de aplicaciones (application development security).
- Seguridad de operaciones (operations security)
- Para la certificación CISSP se deben cumplir los siguientes requisitos:
o Aprobar el examen CISSP: consta de 250 preguntas de selección simple y seis horas de duración.
o Demostrar experiencia mínima de cinco años en al menos dos de los diez dominios del CBK.
o Adherirse al código ético de la (ISC)2

CAP: Es una certificación asociada a los procesos de autorización y certificación, no tan amplia como la CISSP.

CISM de ISACA: Ofrece el Certified Information Scurity Manager (CISM o Gestor Certificado en Seguridad de la
Información), dirigido específicamente al área de gestión en el contexto de la seguridad.

CEH Certified Ethical Hacker

GIAC Penetration Tester (GPEN) – Cybersecurity Certificacion

Tema 3 Análisis y gestión de riesgos de ciber seguridad

Análisis de riesgos: El análisis de riesgos es un proceso importante para una organización porque ayuda a evaluar y
controlar los riesgos a los que se enfrenta, protegiendo sus datos y otros activos. Se identifican los recursos y amenazas
a los que se enfrenta la organización y se toman medidas preventivas para evitar riesgos imprevistos costosos. Es
fundamental en la gestión de la seguridad de la información en cualquier organización o sistema tecnológico y se
recomienda realizar antes de implementar un servicio. Además, es la base del proceso de valoración, certificación y
acreditación que formaliza la confiabilidad de un sistema de información.

Objetivos:

- Estudiar los principios y buenas prácticas que deben regir la fase de análisis de riesgos de un sistema y un marco
para su gestión.
- Conocer las principales metodologías de análisis y gestión de riesgos
- Explicar cómo planificar un proyecto de análisis y gestión de riesgos
- Definir y explicar los aspectos fundamentales de la metodología de análisis y gestión de riesgos Magerit
- Explicar cómo usar la herramienta de análisis y gestión del riesgo.
Principales metodologías y herramientas

El análisis de riesgos tiene como objetivo evaluar los riesgos que enfrenta una organización y determinar cómo
manejarlos. Existen varios métodos de análisis de riesgos, cada uno con características específicas, etapas, cálculos
cuantitativos y cualitativos, informes de cumplimiento y ventajas e inconvenientes. Los principales métodos incluyen
Magerit, Octave, CRAMM, Mehari, NIST SP 800-30, ISO/IEC 27005:2018, IRAM, FAIR, Octave y STRIDE.
Magerit:
Es una metodología implementada por el Consejo Superior de Administración Electrónica (CSAE) para llevar a cabo el
análisis y la gestión de los riesgos activos de una organización, apoyándose en la terminología de la norma ISO 31000.
Conocer las características de cada método permitirá seleccionar el que mejor se adapte a las necesidades y nivel de
conocimientos de cada organización.

Ventajas de la metodología Magerit:

- Permite un alcance completo en la gestión de riesgos y análisis.

- Proporciona recursos para la identificación de variables fundamentales.
- Permite abordar el análisis tanto cuantitativa como cualitativamente.
- Guías y herramientas son públicas, accesibles y gratuitas.
- Basada en normas ISO, puede utilizarse para cumplir la certificación ISO/IEC 27001:2007.

Desventajas de la metodología Magerit:

- Dificultad para traducir una estimación cualitativa a una cuantía económica.

- No establece explícitamente la identificación de vulnerabilidades como un paso de la metodología.
- No se enumeran políticas de seguridad de la información en los recursos disponibles.

La metodología Magerit es implementada por el Consejo Superior de Administración Electrónica para analizar y
gestionar los riesgos activos de una organización. Magerit establece un marco que permite a los órganos de gobierno
tomar decisiones y gestionar los riesgos derivados del uso del sistema de información. La metodología tiene dos libros y
un manual técnico que explican la estructura del modelo y cómo desarrollar el análisis. Puede utilizarse tanto para el
enfoque cuantitativo como el cualitativo. Las guías y herramientas son gratuitas, accesibles y están disponibles en varios
idiomas.

Octave:

Operational Threat Asset and Vulnerability Assessment (Octave) es una metodología que fue desarrollada originalmente
por el Software Institute of Carnegie Mellon en colaboración con el Centro de Investigación de Tecnología Avanzada y
Telemedicina (TATRC) con el objetivo de facilitar el cumplimiento del Departamento de Defensa de los Estados Unidos
con las disposiciones de la ley de responsabilidad y aprovisionamiento de seguros de salud (HIPAA).

Octave se enfoca en el proceso de análisis de riesgos y en la planificación de las consecuencias de las acciones de
tratamiento para reducir los riesgos considerados inaceptables. Esta metodología considera tanto aspectos operativos
tecnológicos como de seguridad de la información, lo cual permite una toma de decisiones mejorada para proteger
activos claves.

Se dispone de tres variantes de Octave: Octave-S, Octave y Octave Allegro, cada una ajustándose a las necesidades
específicas de la organización. Octave-S está dirigida para las denominadas pymes, mientras que Octave está centrado
en grandes empresas que emplean a más de trescientos empleados y Octave Allegro tiene un enfoque orientado a los
activos de información.

Entre las ventajas de la metodología se encuentran:

- Flexibilidad, ya que puede ajustarse a entidades de diferentes tamaños e independientemente del entorno
operativo, ya que está basada en los riesgos, la capacidad de recuperación y en el conocimiento y experiencia de
cada estrato de la organización.
- Alcance completo, ya que incluye la identificación y valoración de los riesgos, la planificación de acciones de
mitigación y persigue el aseguramiento de la continuidad del negocio.
- Aproximación completa, cuyo modelo involucra activos, interfaces, procesos, recursos, vulnerabilidades,
amenazas, medidas de seguridad, etc.
- Metodología auto dirigida, es decir, la organización gestiona y dirige la evaluación de sus riesgos, bien a través
de un equipo multidisciplinar o a nivel individual (Octave Allegro).
- De carácter público, gratuita y, por tanto, puede ser utilizada en todas las organizaciones.

Entre las desventajas de la metodología se encuentran:

- No explica en forma clara la definición y determinación de los activos de información.

- Puede resultar tediosa, de difícil comprensión y aplicación.
- Implica un elevado nivel de conocimientos tecnológicos y técnicos.
Mehari

La metodología de análisis armonizado de riesgo (Mehari) fue creada por el Club de la Sécurité de l’Information Français
(CLUSIF) en 1998 con el propósito de proporcionar un método gratuito y conforme a los requerimientos de la norma
ISO/IEC 27005:2018 para el análisis y gestión de riesgos de la información, considerando las tres dimensiones básicas de
seguridad: confidencialidad, integridad y disponibilidad.

Entre las ventajas de Mehari, se destacan que es gratuito, de código abierto desde 2007, y utiliza un modelo de análisis
de riesgos cualitativo y cuantitativo alineado con la norma ISO/IEC 27005:2018.

Por otro lado, entre las desventajas se encuentran que la estructura del proceso difiere enormemente respecto a otras
metodologías, lo que puede hacer más difícil su aplicación, y que la recomendación de controles y la estimación del
impacto están asociados a la parte de gestión, no de análisis de riesgos.

CRAMM

La metodología CRAMM es desarrollada por la CCTA para el análisis y gestión de riesgos de la información, combinando
enfoques cuantitativos y cualitativos. Tiene ventajas como ser un enfoque estructurado y completo, permitir la
identificación adecuada de activos y su nivel de exposición, tener una amplia base de datos de contramedidas, entre
otras. Las desventajas son que requiere personal cualificado, las revisiones completas requieren tiempo, pueden haber
demoras entre las fases de análisis y aplicación, y algunas herramientas son de pago.

NIST SP 800-30

NIST SP 800-30 es una metodología desarrollada por el National Institute of Standards and Technology (NIST) para
realizar el análisis y gestión de riesgos de los sistemas de información de una organización. Las ventajas de esta
metodología incluyen ser una de las primeras normas de evaluación de riesgos, la identificación de datos críticos y la
sensibilidad de los mismos, y la capacidad de mapear vulnerabilidades. Sin embargo, sus desventajas incluyen no poder
ser utilizada para la evaluación de riesgos de la organización en su conjunto, no identificar activos y ser muy prescriptiva.
Planificación de un proyecto de análisis de riesgos

La aplicación de la metodología Magerit es un proceso que se enmarca en un proyecto que consta de las siguientes
etapas y actividades:

El comité de dirección inicia y promueve proyectos, incluyendo análisis de riesgos de sistemas. Designan un equipo de
proyecto y un director para coordinar el trabajo, y un comité de seguimiento para monitorear el progreso del proyecto.

El flujo de información comienza con la presentación del análisis técnico al comité de seguimiento por parte del director
del proyecto. El comité de seguimiento realiza una evaluación de negocio y la presenta al comité de dirección. El comité
de dirección toma las decisiones finales y se crea el plan de seguridad para gestionar el riesgo del sistema.
El promotor del comité de dirección elabora un informe preliminar para el proyecto y el director del proyecto trabaja
con el comité de seguimiento para determinar su alcance. Es importante que el alcance del proyecto esté claramente
definido para que el equipo pueda desarrollar un plan detallado y enfocarse en las tareas críticas para el éxito del
proyecto.

- Objetivos.
- Dominio y límites.
- Entorno y restricciones
- Dimensiones y coste.

El lanzamiento del proyecto es responsabilidad conjunta del equipo de proyecto y del comité director.

- Preparación de cuestionarios.
- Elaboración de criterios de valoración.
- Determinación de los recursos necesarios.
- Preocupación por la sensibilización.

Análisis de riesgos

El equipo de proyecto y los grupos de interlocutores identifican y valoran activos, amenazas y salvaguardas del sistema.
Se utiliza tanto un análisis cuantitativo como cualitativo, utilizando técnicas como diagramas de flujo y árboles de
ataque. A partir de la valoración de estos factores se obtiene un modelo de valor, un informe de amenazas, una
declaración de aplicabilidad, informe de evaluación de las salvaguardas e informes de insuficiencias. Finalmente, se
estiman el impacto y el riesgo potenciales y residuales para interpretar el estado del riesgo.

El esquema de la Figura 11 explica las relaciones entre los artefactos anteriormente expuestos que utiliza la metodología
Magerit:
Gestión de riesgos

En esta etapa se abordan los riesgos identificados y se elabora un plan de seguridad para remediarlos. Este plan se
incorpora a un conjunto de programas de seguridad que son planificados periódicamente para reducir el riesgo a un
nivel aceptable. El proceso incluye:

- la toma de decisiones
- plan de seguridad
- ejecución del plan de seguridad.

Toma de decisiones: En la actividad de toma de decisiones, se utilizan las conclusiones técnicas del proceso anterior
para tomar decisiones concretas de actuación.

Calificación de los riesgos: Se tiene como resultado de la fase 2 el estado del riesgo del sistema. ¿Qué se puede hacer
con él?

- Evitarlo: si se puede, es la solución ideal.

- Reducirlo, mitigarlo: impacto limitado
- Transferirlo: se lo pasa a otra organización. Ya no es «nuestro problema».
- Asumirlo, aceptarlo: pasa a contabilizarse como gasto operacional.
El comité de dirección debe tomar la decisión final sobre la aceptación o mitigación de los riesgos identificados en la fase
2 del análisis de seguridad. Esta decisión no debe ser tomada por el equipo técnico. Los riesgos pueden ser interpretados
de diversas formas y se deben considerar factores como la gravedad del impacto y las obligaciones legales. Todas las
decisiones son propuestas por el comité de seguimiento y adoptadas por el comité de dirección.

- Es inaceptable, en el sentido de que requiere atención urgente.

- Es grave, en el sentido de que requiere atención.
- Es apreciable, en el sentido de que pueda ser objeto de estudio para su tratamiento.
- Es asumible/tolerable, en el sentido de que no se van a tomar acciones para atajarlo.

Las preguntas que hay que hacerse antes de tomar una decisión son: ¿hay datos suficientes para tomar decisiones? ¿De
qué margen de incertidumbre adolecen los datos? Los elementos que valorar para responderlas, por su parte, son:

- Gravedad del impacto y del riesgo.

- Obligaciones por ley, reglamentos sectoriales o contratos.
- Intangibles:
o Imagen pública de cara a la sociedad.
o Política interna.
o Relaciones con los proveedores.
o Relaciones con los usuarios.
o Relaciones con otras organizaciones.
o Nuevas oportunidades.
o Acceso a sellos o calificaciones reconocidas de seguridad
La gestión del riesgo es un proceso recurrente que se puede organizar en microciclos o macrociclos en función de:

- Microciclos:
o Hasta estado que se considera necesario.
o Hasta satisfacer leyes, reglamentos, acuerdos, contratos, etc.
o Hasta tener el certificado de acreditación correspondiente.
o Mientras el coste compense el riesgo.
- Macrociclos:
o De acuerdo con la política de certificación o acreditación.
o Siguiendo incidentes propios y ajenos.
o Siguiendo cambios en el alcance

En la Figura 13, se observa un esquema que representa los ciclos que tienen lugar en la gestión de riesgos cuando se
trata de la implantación de un sistema nuevo o tiene lugar un incidente o un cambio en el sistema.

Plan de seguridad

La actividad descrita se refiere a la ejecución del plan de seguridad y las tareas específicas que se realizan en esta etapa
incluyen:

- Programas de seguridad.
- Plan de ejecución.
Programas de seguridad

Se llevan a cabo dos pasos para traducir las decisiones de actuación en acciones concretas:

- primero, se identifican todos los escenarios críticos o graves de impacto y riesgo a partir de la evaluación de
riesgos realizada previamente.
- Luego, se elabora un conjunto de programas de seguridad que aborden cada uno de estos escenarios, teniendo
en cuenta que un mismo programa puede aplicarse a diferentes escenarios y que un escenario determinado
puede requerir la implementación de diferentes programas.

El objetivo de esta actividad es la implementación o mejora de medidas de seguridad para reducir los riesgos a niveles
asumidos por la dirección. Para ello se agrupan tareas en programas de seguridad que abordan diferentes escenarios y
se especifican las acciones necesarias para llevar a cabo cada programa. Los programas de seguridad pueden tener
diferentes objetivos comunes o competir a una única unidad de acción. Cada programa debe detallar las tareas
necesarias para lograr los objetivos específicos.

- Su objetivo genérico.
- Las salvaguardas concretas por implantar o mejorar, detallando sus objetivos de calidad, eficacia y eficiencia.
La relación de escenarios de impacto o riesgo que afronta: activos afectados, tipos de activos, amenazas
afrontadas, valoración de activos y amenazas y niveles de impacto y riesgo.
- La unidad responsable de su ejecución.
- Una estimación de costes, tanto económicos como de esfuerzo de realización, teniendo en cuenta:
o Costes de adquisición (de productos), de contratación (de servicios) o de desarrollo (de soluciones llave
en mano), por los que puede ser necesario evaluar diferentes alternativas.
o Costes de implantación inicial y mantenimiento en el tiempo.
o Costes de formación, tanto de los operadores como de los usuarios, según convenga al caso.
o Costes de explotación.
o Impacto en la productividad de la organización.
- Una relación de subtareas que afrontar, teniendo en cuenta:
o Cambios en la normativa y desarrollo de procedimientos.
o Solución técnica: programas, equipos, comunicaciones e instalaciones.
o Plan de despliegue.
o Plan de formación.
o Una estimación del tiempo de ejecución desde su arranque hasta su puesta en operación.
Una estimación del estado de riesgo (impacto y riesgo residual a su compleción).
o Un sistema de indicadores de eficacia y eficiencia que permitan conocer en cada momento la calidad del
desempeño de la función de seguridad que se desea y su evolución temporal