Une 71504 2008

norma UNE 71504
española
Julio 2008
TÍTULO Metodología de análisis y gestión de riesgos para los sistemas

de información
Risk analysis methodology and management for information systems.
Méthodologie d'analyse et gestion des risques pour les systèmes d'information.
CORRESPONDENCIA
OBSERVACIONES
ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la
información cuya Secretaría desempeña AETIC.
Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 35179:2008
36 Páginas
© AENOR 2008 Génova, 6 info@aenor.es Tel.: 902 102 201 Grupo 18

Reproducción prohibida 28004 MADRID-España www.aenor.es Fax: 913 104 032
AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A AUDISEC, SEGURIDAD DE LA INFORMAC

S

-3- UNE 71504:2008
ÍNDICE
Página
0 INTRODUCCIÓN............................................................................................................ 4
1 OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 5
2 NORMAS PARA CONSULTA....................................................................................... 5
3 TÉRMINOS Y DEFINICIONES .................................................................................... 6
4 MARCO GENERAL ....................................................................................................... 9
5 MÉTODO DE ANÁLISIS ............................................................................................... 10

5.1 Tareas preparatorias ....................................................................................................... 11
5.2 Caracterización de los activos ......................................................................................... 11
5.2.1 Descubrimiento de los activos relevantes ....................................................................... 12
5.2.2 Descubrimiento de las relaciones entre los activos........................................................ 12
5.2.3 Valoración de los activos ................................................................................................. 13
5.3 Caracterización de las amenazas .................................................................................... 14
5.3.1 Descubrimiento de las amenazas relevantes .................................................................. 14
5.3.2 Valoración de la vulnerabilidad de los activos frente a las amenazas ......................... 14
5.4 Determinación de los riesgos potenciales ....................................................................... 15
5.5 Caracterización de las salvaguardas............................................................................... 15
5.5.1 Determinación de las salvaguardas adecuadas.............................................................. 15
5.5.2 Valoración de las salvaguardas....................................................................................... 16
5.6 Determinación de los riesgos residuales ......................................................................... 16
6 EVALUACIÓN DE RIESGOS ....................................................................................... 17
7 TRATAMIENTO DE RIESGOS .................................................................................... 17

7.1 Plan de seguridad ............................................................................................................. 18
7.2 Aprobación del plan de seguridad .................................................................................. 19
8 ADMINISTRACIÓN DE LA GESTIÓN DE RIESGOS.............................................. 19
9 BIBLIOGRAFÍA.............................................................................................................. 20
ANEXO A (Informativo) TÉRMINOS EN INGLÉS ................................................................ 21
ANEXO B (Informativo) EVALUACIÓN DE RIESGOS ........................................................ 22
ANEXO C (Informativo) ORGANIZACIÓN INTERNA ......................................................... 24

C.1 Funciones .......................................................................................................................... 24
C.2 Líneas de comunicación, información y decisión........................................................... 27
ANEXO D (Informativo) BUENAS PRÁCTICAS .................................................................... 29
ANEXO E (Informativo) MALAS PRÁCTICAS ...................................................................... 30
ANEXO F (Informativo) MODELO DE MADUREZ .............................................................. 31
ANEXO G (Informativo) ACTIVIDADES................................................................................. 33

UNE 71504:2008 -4-
0 INTRODUCCIÓN
Los sistemas de información son elementos muy importantes, cuando no críticos, para que una organización alcance sus
objetivos, sean de negocio, de servicio, o lo que corresponda a su naturaleza.
Los sistemas de información permiten el tratamiento automatizado de la información de forma que:
− La información debe estar disponible donde y cuando se requiera.
− La información debe estar íntegra; es decir, no debe haber sido objeto de manipulaciones, alteraciones, recortes o
ampliaciones por parte de personas o procesos no autorizados para dichas acciones.
− La información debe estar accesible única y exclusivamente para aquellas personas y procesos debidamente
autorizados.
− Debe poder garantizarse el origen de la información y la autenticidad de las personas y procesos que acceden a ella.
− Debe poder conocerse quién ha accedido a qué información y qué ha hecho con ella, a todos los efectos de
cumplimiento de obligaciones legales y regulatorias, así como de habilitar la persecución de fallos o delitos que
pudieran acontecer.
Los sistemas de información:
− deben valorarse como una caja negra que presta servicios a sus usuarios. En este sentido, es necesario que la
valoración sea siempre en términos de negocio u objetivos que se persiguen;
− deben analizarse como una caja transparente, conociendo y estudiando los diferentes componentes que habilitan su
correcto funcionamiento y que son susceptibles de ser dañados, deliberada o accidentalmente, con consecuencias
negativas, tangibles o intangibles.
Típicamente los sistemas de información pueden ser atacados en sus:
− componentes lógicos: aplicaciones, sistemas operativos, ...
− componentes físicos: equipos, soportes de información, comunicaciones, medios auxiliares, instalaciones, ...
− componentes humanos: usuarios, operadores, administradores, desarrolladores, ...
Todos los componentes que pudieran verse afectados directa o indirectamente por alguna amenaza que origine un fallo
de los sistemas de información deben ser adecuadamente analizados para conocer los riesgos que pueden suponer para
la organización y, una vez conocidos los riesgos, ser tratados de forma que se mantengan bajo control; esto es, que la
organización sea consciente y tenga monitorizados los riesgos a que se expone en sus actividades por causa del uso de
los sistemas de información.
La gestión de los riesgos de los sistemas de información es por tanto crítica para la organización. Puede ser muy
compleja, constituyendo un riesgo en sí misma en cuanto pudiera obviar oportunidades para que el sistema sea víctima
de ataques deliberados o de accidentes. Por tanto, requiere una aproximación metódica y sistemática que pueda ser
objeto de valoración, en sentido de que puede realizarse mejor o peor, y en su caso, ser objeto de mejora para aportar
una mayor confianza a los usuarios de los sistemas.
En resumen, esta norma se dirige a todos aquellos colectivos relacionados con los sistemas de información para que
sepan qué deben hacer, cómo se debe hacer y qué deben evitar a fin de que la gestión de los riesgos sea efectiva y
puedan confiar en ella.

-5- UNE 71504:2008
1 OBJETO Y CAMPO DE APLICACIÓN

Esta norma es de aplicación a los sistemas de tratamiento de la información: especialmente a los servicios que dichos
sistemas prestan a los procesos de negocio que soportan. Estos sistemas incluyen:
− toda la información que fluye en el proceso;
− el marco legislativo y reglamentario;
− los recursos humanos;
− las aplicaciones informáticas;
− el equipamiento informático;
− las redes de comunicaciones;
− las instalaciones;
− y cualquier otro equipamiento auxiliar.
Esta norma establece los requisitos que debe cumplir el método utilizado para:
1 analizar los riesgos a que están expuestos los sistemas de información;
2 analizar las salvaguardas desplegadas para su protección;
3 estimar los riesgos residuales; y
4 gestionar dichos riesgos:
− aplicando las decisiones de tratamiento acordadas;
− monitorizando continuamente la seguridad del sistema: incidencias, problemas, desastres y funcionamiento

rutinario de los controles establecidos;
− garantizando que los riesgos se mantienen en todo momento por debajo de los umbrales aceptados y aprobados
por la organización.
Queda excluido de la norma todo lo que pueda ocurrirle a la información mientras esté fuera de los sistemas de
información.
2 NORMAS PARA CONSULTA

Los documentos que se citan a continuación son indispensables para la aplicación de esta norma. Únicamente es
aplicable la edición de aquellos documentos que aparecen con fecha de publicación. Por el contrario, se aplicará la
última edición (incluyendo cualquier modificación que existiera) de aquellos documentos que se encuentran
referenciados sin fecha.
UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad

de la Información (SGSI).
ISO/IEC 18043:2006 Tecnología de la información. Técnicas de seguridad. Selección, despliegue y operaciones de los
sistemas de detección de intrusiones.
ISO/IEC 19790:2006 Tecnología de la información. Técnicas de seguridad. Requisitos de seguridad para módulos
criptográficos.

UNE 71504:2008 -6-
UNE-ISO/IEC Guía 73:2005 Gestión del Riesgo. Vocabulario. Directrices para la utilización en las normas.
ISO/IEC 13335-1:2004 Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de las

tecnologías de la información y las comunicaciones. Parte 1: Conceptos y modelos para la gestión de la seguridad de
las tecnologías de la información y las comunicaciones.
ISO/IEC 7498-2:1989 Sistemas de procesado de la información. Interconexión de sistemas abiertos. Modelo de

referencia básico. Parte 2. Arquitectura de seguridad.
3 TÉRMINOS Y DEFINICIONES
Para los fines de este documento, se aplican los términos y definiciones siguientes:
Para mayor claridad en el anexo A se incluye la correspondencia con los términos en inglés.
3.1 aceptación de riesgos:

La decisión de aceptar unos riesgos.
[UNE-ISO/IEC 27001:2007]
3.2 activo:
Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con
consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
3.3 amenaza:
Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización.
[ISO/IEC 13335-1:2004]
3.4 análisis de riesgos:

Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
[UNE-ISO/IEC 27001:2007]
3.5 ataque:
Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o
violar alguna política de seguridad de alguna otra manera.
[ISO/IEC 18043:2006]
3.6 autenticidad:
Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que
proceden los datos.
[Adaptada de ISO/IEC 13335-1:2004]
3.7 comunicación de riesgos:

Intercambio de información relativa a los riesgos entre quien toma las decisiones y otras partes interesadas.
[Adaptada de UNE-ISO/IEC Guía 73:2005]
3.8 confidencialidad:
Propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos, entidades
o procesos no autorizados.
[UNE-ISO/IEC 27001:2007]

-7- UNE 71504:2008
3.9 criterios de evaluación de riesgos:

Términos de referencia que permiten evaluar la importancia de los riesgos.
NOTA Los criterios de evaluación pueden incluir los costes y los beneficios asociados, los requisitos legales o reglamentarios, los aspectos
socioeconómicos y ambientales, las preocupaciones de las partes interesadas, las prioridades y otros datos utilizados en la evaluación de los
riesgos.
3.10 disponibilidad:
Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los
mismos cuando lo requieren.
[UNE-ISO/IEC 27001:2007]
[ISO/IEC 13335-1:2004]
3.11 entidad:
Una persona, un grupo, un dispositivo o un proceso.
[ISO/IEC 19790:2006]
3.12 evaluación de riesgos:

Proceso de comparación de los riesgos analizados frente a los criterios de evaluación de riesgos, para así determinar la
importancia de los riesgos para la organización.
[Adaptada de UNE-ISO/IEC 27001:2007]
3.13 gestión de riesgos:

Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
[UNE-ISO/IEC 27001:2007]
3.14 identificación de riesgos:

Proceso de determinación de qué le puede ocurrir a cada activo y cuáles serían las consecuencias.
3.15 impacto:
Consecuencias de un incidente de seguridad de la información.
[ISO/IEC 13335-1:2004]
3.16 incidente de seguridad:

Suceso (inesperado o no deseado) con consecuencias en detrimento de la seguridad del sistema de información.
[adaptada de ISO/IEC 13335-1:2004]
3.17 integridad:
Propiedad o característica consistente en que el activo no ha sido alterado de manera no autorizada.
[UNE-ISO/IEC 27001:2007]
[ISO/IEC 13335-1:2004]
3.18 optimización de riesgos:

Proceso de toma de decisiones para reducir los efectos negativos de los riesgos y, en su caso, aprovechar sus aspectos
positivos.
3.19 evitación de riesgos:

Decisión resultante del tratamiento de los riesgos encaminada a que la organización no se vea envuelta en una situación
de riesgo o bien se pueda retirar de una situación de riesgo.
[Adaptada de la definición 3.4.6 de UNE-ISO/IEC Guía 73:2005]

UNE 71504:2008 -8-
3.20 riesgo:
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o
perjuicios a la organización.
[Adaptada de la definición 2.19 de ISO/IEC 13335-1:2004]
3.21 riesgos potenciales:

Los riesgos del sistema de información en la hipótesis de que no hubiera salvaguardas presentes.
3.22 riesgos residuales:

Riesgos remanentes que existen después de que se hayan tomado las medidas de seguridad.
[UNE-ISO/IEC 27001:2007]
[UNE-ISO/IEC Guía 73:2005]
3.23 salvaguarda:
Práctica, procedimiento o mecanismo que trata los riesgos.
[ISO/IEC 13335-1:2004]
NOTA A menudo se emplea el término “contramedida” con el mismo significado.
3.24 seguridad de la información:

Confianza en que los sistemas de información están libres y exentos de todo peligro o daño inaceptables.
3.25 sistema de información:

Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar (tratar), mantener, usar,
compartir, distribuir, poner a disposición, presentar o transmitir.
3.26 transferencia de riesgos:

Acción por la que se comparten los riesgos: perjuicios y beneficios.
3.27 tratamiento de riesgos:

El proceso de selección e implantación de las medidas o salvaguardas para prevenir, impedir, reducir o controlar los
riesgos identificados.
[Adaptada de la definición 3.15 de UNE-ISO/IEC 27001:2007]
[Adaptada de la definición 3.4.1 de UNE-ISO/IEC Guía 73:2005]
3.28 trazabilidad:
Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a
dicha entidad.
[ISO/IEC 13335-1:2004]
[ISO/IEC 7498-2:1989]
3.29 valor de un activo

Estimación del coste inducido en un activo por la materialización sobre el mismo de una amenaza.
3.30 vulnerabilidad:
Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.
[ISO/IEC 13335-1:2004]

-9- UNE 71504:2008
4 MARCO GENERAL
La gestión de riesgos debe ser una actividad recurrente dentro de la organización, cuyas fases se representan en la
figura 1 y se describen a continuación.
Determinación del contexto
Administración de la gestión de riesgos

Comunicación y consulta
Identificación de los riesgos
Análisis de los riesgos
Evaluación de los riesgos
no
¿Requieren tratamiento los riesgos?
sí
Tratamiento de los riesgos
Figura 1 − Gestión de riesgos
Para una adecuada gestión de riesgos necesitaremos:

1 un método de análisis cualitativo o cuantitativo que permita identificar y calibrar los riesgos a los que está expuesta
la organización;
2 un procedimiento de evaluación de riesgos que permita traducir los riesgos técnicos en términos de negocio o
servicio;
3 un procedimiento de tratamiento que permita interpretar las decisiones de negocio en términos técnicos y
materializarlas de forma que el sistema de información se alinee efectivamente con las decisiones de la Dirección.
La identificación de riesgos debe responder a las siguientes preguntas:

− ¿qué puede ocurrir?
− ¿cuándo y dónde puede ocurrir?
− ¿cómo y por qué puede ocurrir?
El análisis de riesgos debe:

− determinar las consecuencias de incidentes y ataques;
− determinar la posibilidad o probabilidad de que ocurran incidentes y ataques;

UNE 71504:2008 - 10 -
− determinar qué salvaguardas requiere el sistema para enfrentarse a los riesgos analizados;
− y tener en cuenta el efecto de las salvaguardas presentes en el sistema.
Todos estos aspectos se desarrollan a continuación estableciéndose la siguiente correspondencia entre la figura 1 y los
capítulos y apartados de esta norma:
Figura 1 Capítulo/apartado de esta norma

Determinación del contexto Tareas preparatorias
Identificación de riesgos 5.2 Caracterización de los activos
5.2.1 Descubrimiento de los activos relevantes
5.2.2 Descubrimiento de las relaciones entre los activos
5.2.3 Valoración de los activos
5.3 Caracterización de las amenazas
5.3.1 Descubrimiento de las amenazas relevantes
5.3.2 Valoración de la vulnerabilidad de los activos frente a las
amenazas
Análisis de riesgos 5.4 Determinación de los riesgos potenciales
5.5 Caracterización de las salvaguardas
5.5.1 Determinación de las salvaguardas adecuadas
5.5.2 Valoración de las salvaguardas
5.6 Determinación de los riesgos residuales
Evaluación de riesgos 6 Evaluación de riesgos
Determinación de si se tratan los
riesgos o se aceptan
Tratamiento de riesgos 7 Tratamiento de riesgos
Comunicación y consulta
Administración de la gestión de riesgos 8 Administración de la gestión de riesgos
El anexo informativo G recopila en forma de fichas las actividades descritas en las secciones siguientes.
5 MÉTODO DE ANÁLISIS
El análisis de los riesgos a los que está expuesto un sistema se lleva a cabo mediante la ejecución de una serie de
actividades:
1 Tareas preparatorias.
2 Caracterización de los activos.
3 Caracterización de las amenazas.
4 Determinación de los riesgos potenciales.
5 Caracterización de las salvaguardas.
6 Determinación de los riesgos residuales.

- 11 - UNE 71504:2008
5.1 Tareas preparatorias

Esta actividad tiene como objetivo establecer el marco en el que se gestionan los riesgos.
− Se debe delimitar el alcance del análisis a realizar, precisando:
− las funciones soportadas por el sistema de información
− servicios, procesos, ...
− la información procesada, almacenada o comunicada por el sistema
− los recursos dispuestos para su provisión
− aplicaciones, equipamiento, instalaciones y personal
− servicios proporcionados por terceras partes
− El alcance debe ser aprobado por la Dirección
− Se deben determinar los aspectos de seguridad objeto de análisis que procedan de entre los siguientes:
− disponibilidad
− integridad
− confidencialidad
− otros tales como autenticidad, imputabilidad, fiabilidad, etc.
− Se debe identificar el marco legal y reglamentario de aplicación
− Se deben establecer los criterios de valoración de activos según proceda:
− criterios cualitativos
− criterios cuantitativos
5.2 Caracterización de los activos

Esta actividad tiene como objetivo identificar y calificar los activos relevantes del sistema de información.
Se descompone en tres sub-actividades:
1 Descubrimiento de los activos relevantes.
2 Descubrimiento de las relaciones entre los activos.
3 Valoración de los activos.

UNE 71504:2008 - 12 -

Los sistemas de información constan de una serie de activos, materiales o inmateriales.
− Se deben identificar los activos de las siguientes clases (tanto si son internos como si están externalizados):
− servicios, procesos, etc.;
− información;
− equipamiento lógico (software);
− equipamiento físico (hardware, comunicaciones, ...);
− instalaciones;
− personal;
− sin perjuicio de otros tipos que pudieran ser relevantes en un determinado sistema de información.
Cuando el número de activos es elevado, el desglose singular de cada uno de ellos puede ser desproporcionado
causando confusión. En la identificación de activos se puede recurrir a su agrupación por roles o funciones, conside-
rando un solo activo como representante de todos los que son equivalentes a él en cuanto a riesgos se refiere.

Los activos no trabajan aislados, sino interconectados para prestar los servicios objetivo del sistema de información bajo
análisis.
− Se deben determinar las dependencias directas e indirectas entre activos del sistema.
Se dice que un activo A depende de un activo B cuando A, para proteger un cierto aspecto de seguridad, depende del
adecuado desempeño de B. En otras palabras, cuando los requisitos de seguridad sobre A se propagan a B.
Habitualmente,
− un servicio depende de las aplicaciones y del equipamiento que lo sustenta, incluyendo otros servicios en que se
apoya;
− el equipamiento depende de las instalaciones que lo acogen;
− del personal dependen los activos sobre los que tiene derechos de acceso en general y responsabilidades de
configuración, instalación y desarrollo en particular.
Las dependencias entre activos deben recoger:
− cómo el valor de la información se imputa y acumula en los recursos que la manipulan (tratamiento, almacena-
miento o transferencia);
− cómo el valor de los servicios se imputa y acumula en los recursos que los sustentan.

- 13 - UNE 71504:2008

Los activos tienen un valor para la organización. La valoración de los activos tiene como origen la Dirección, quien
debe:
− fijar los criterios de valoración de los activos1);
− aprobar los criterios de valoración de los activos;
− valorar los activos de negocio1);
− aprobar la valoración de los activos.
El valor se puede modelar cuantitativamente (para tener datos numéricos) y se puede modelar cualitativamente (para
relativizar la importancia de cada activo). Hay que tener en cuenta tanto las consecuencias inmediatas de los incidentes
como los costes posteriores de retorno a la situación normal2).
Criterios típicos de valoración son los siguientes:
− coste de reposición;
− coste de reconstrucción (información, equipamiento, ...);
− merma de beneficios;
− incremento de gastos;
− penalizaciones, multas, etc.;
− incumplimiento de leyes, reglamentos, ...
sin perjuicio de otros tipos que pudieran ser relevantes en un determinado sistema de información.
En la valoración de los activos podemos distinguir entre:
− valor propio: el que caracteriza un activo por su propia naturaleza;
− valor soportado: el que corresponde a un activo no por sí mismo sino porque otros activos dependen de él.
Se dice que un activo B acumula el valor de los activos A que dependen de él para satisfacer sus requisitos de seguridad
de la información que tratan o los servicios que prestan. (Véase 5.2.2)
La valoración puede ser en función de los distintos aspectos de seguridad. Así, la disponibilidad de un activo puede ser
de muy alto valor mientras su confidencialidad es irrelevante, o cualquier otra combinación de valores.
− La valoración se debe realizar en cada uno de los aspectos en que sea relevante: disponibilidad, integridad,
confidencialidad, etc.
− Se debe determinar el valor propio de los activos objeto del análisis según indique la Dirección:
− valor cualitativo;
− valor cuantitativo.
1) Esta tarea normalmente es delegada en los responsables de cada área de negocio afectada.
2) A veces a esta actividad se la denomina "Análisis de Impacto en el Negocio" (BIA − Business Impact Analysis) por cuanto intenta calibrar las
consecuencias que para el negocio tendrían los fallos de seguridad: la indisponibilidad de los servicios y la información, las pérdidas de
integridad y confidencialidad, etc.

UNE 71504:2008 - 14 -
− Se debe estimar el valor soportado por todos los activos objeto del análisis.
− La valoración de los activos debe ser aprobada por la Dirección.
5.3 Caracterización de las amenazas

Esta actividad tiene como objetivo identificar qué le puede pasar a los activos en detrimento de su valor para la
organización.
Se descompone en dos sub-actividades:
1 Descubrimiento de las amenazas relevantes.
2 Valoración de la vulnerabilidad de los activos frente a las amenazas.
El resultado de esta actividad será un "Informe de Amenazas".

Que pueden ser de diferente especie dependiendo del tipo de activo sobre el que se materializan, la forma de interactuar
con dicho activo y el tipo de perjuicio causado.
− Se deben determinar las amenazas o peligros sobre los diferentes activos:
− actos deliberados de personas;
− accidentes originados por personas;
− debilidades inherentes a determinada tecnología;
− accidentes técnicos o industriales;
− accidentes naturales;
− sin perjuicio de otros tipos que pudieran ser relevantes en un determinado sistema de información.
− En el descubrimiento de las amenazas relevantes se debe tener en cuenta la vulnerabilidad “natural” de los activos;
es decir, las amenazas que son propias de su naturaleza y condición, así como de su participación en el sistema
(relaciones de dependencia).
5.3.2 Valoración de la vulnerabilidad de los activos frente a las amenazas

− Se debe determinar la exposición efectiva de los activos a las amenazas.
− posibilidades de que la amenaza se materialice;
− consecuencias derivadas de la materialización (impacto sobre el activo).
− La valoración de las amenazas debe tener en cuenta la vulnerabilidad “operativa” de los activos; es decir, la forma
en que está presente en el sistema de información, en particular su perímetro de acceso o exposición a posibles
fuentes de ataque.

- 15 - UNE 71504:2008
5.4 Determinación de los riesgos potenciales

Esta actividad tiene como objetivo estimar los riesgos a los que estaría expuesta la organización si no hubiera
salvaguardas desplegadas.
Se pueden utilizar los siguientes criterios:
− Los riesgos potenciales son función del valor del activo y crecen con éste.
− Los riesgos potenciales son función de la posibilidad de que las amenazas se materialicen, y crecen al aumentar las
posibilidades de que ocurran.
− Los riesgos potenciales toman en consideración el perjuicio efectivo sobre el activo.
− En un análisis cualitativo se deben ordenar los riesgos; es decir, se debe saber cuáles son los riesgos más importantes
y cuáles menos importantes, pudiendo agruparse en diferentes niveles.
− En un análisis cuantitativo se debe estimar la pérdida anual derivada de las amenazas3).
5.5 Caracterización de las salvaguardas

Esta actividad tiene como objetivo calibrar el grado de protección del sistema.
Se descompone en dos sub-actividades:
1 Determinación de las salvaguardas adecuadas.
2 Valoración de las salvaguardas.

Tomando como entrada los riesgos potenciales del sistema
− se deben determinar las salvaguardas pertinentes para la protección del sistema de información frente a los riesgos
potenciales identificados.
En esta determinación se debe tener en cuenta:
− la naturaleza del activo sometido a los riesgos;
− las amenazas a que está expuesto;
− el valor a proteger: disponibilidad, integridad, confidencialidad, etc.;
− el nivel de los riesgos potenciales;
− legislación, normativa, reglamentos, recomendaciones, buenas prácticas, ... y otro tipo de guías que sean de
aplicación en el sector en que desempeña su misión el sistema de información.
3) Pérdida anual estimada (en inglés ALE - Annual Loss Expectancy).

UNE 71504:2008 - 16 -

Esta actividad tiene como objetivo identificar y valorar las salvaguardas presentes en el sistema.
− Para cada salvaguarda determinada en el apartado 5.5.1 se debe identificar si existe o no.
− Para cada salvaguarda existente se debe estimar su efectividad teniendo en cuenta:
− su fortaleza intrínseca (capaz de afrontar las amenazas a las que se enfrenta);
− su grado de implantación;
− su nivel de madurez4) y
otros datos que pudieran ser relevantes, desde un punto de vista técnico u organizativo.

Esta actividad tiene como objetivo obtener conclusiones a partir de los datos capturados en las actividades previas,
teniendo en cuenta:
− el valor, propio y soportado, de los activos;
− las amenazas potenciales y su impacto; y
− las salvaguardas en su situación presente.
La existencia de salvaguardas reduce los riesgos potenciales antes calculados a unos riesgos efectivos menores que los
potenciales, y tanto menores cuanto:
− más efectiva sea la salvaguarda frente a la amenaza que afronta;
− más procedimentado esté el proceso responsable de la salvaguarda;
− exista un sistema de control y monitorización de la eficacia de la salvaguarda;
− exista un proceso de aprendizaje y reconsideración recurrente de las salvaguardas desplegadas.
La determinación debe ser:
− cuantitativa: cuando la valoración fuera numérica, concluyendo en las pérdidas probables;
− cualitativa: cuando la valoración fuera relativa, concluyendo con los activos críticos del sistema.
Un activo se considera “crítico” cuando las consecuencias de la materialización de una amenaza sobre él tienen un serio
impacto sobre el sistema de información al que pertenece o soporta. Las consecuencias se consideran serias cuando
afectan a procesos o funciones que la Dirección considera esenciales para el desempeño de la misión de la organización.
La criticidad puede deberse tanto a una consecuencia grave puntual como a la acumulación de consecuencias menos
graves.
4) Véase el anexo F. La madurez de las salvaguardas desplegadas es importante en dos aspectos. Primero, en cuanto a su efectividad, pues ante una
salvaguarda inmadura es aventurado calibrar su efectividad real. Segundo, en cuanto a credibilidad de los resultados del análisis. Unas salva-
guardas maduras aportan una mayor confianza en la evaluación y en la comunicación de los riesgos residuales, siendo ambos factores muy
importantes para tomar las decisiones más apropiadas de tratamiento.

- 17 - UNE 71504:2008
6 EVALUACIÓN DE RIESGOS
Tras el análisis de los riesgos (véase el capítulo 5) y antes de tomar decisiones relativas al tratamiento que se les va a
aplicar, es necesario que la Dirección se posicione en relación a los siguientes aspectos.
− La organización debe definir un proceso para que los riesgos determinados por el método de análisis sean
interpretados en términos de negocio o consecuencias para la organización.
− La Dirección debe determinar unos criterios de evaluación de riesgos.
− La Dirección debe calificar los riesgos detectados siguiendo dichos criterios y en función de su relevancia para la
organización. La calificación debe agrupar los riesgos en categorías, por ejemplo en las siguientes (véase el
anexo B):
− zona de riesgos inaceptables, que deben ser tratados;
− zona intermedia, donde los riesgos deben ser tratados o no dependiendo de un estudio de costes y beneficios
(optimización de riesgos);
− zona de riesgos tolerables, donde no es necesario aplicar medidas de tratamiento.
− Las decisiones relativas a los riesgos deben estar en concordancia con la política de seguridad de la organización,
bien adaptándose a aquella, o bien abriendo un proceso de revisión que la adecue.
− Las decisiones relativas a la seguridad de los sistemas de información deben estar coordinadas (y decididas
conjuntamente) con las decisiones relativas a otros ámbitos de seguridad de la organización, como:
− seguridad laboral;
− seguridad sanitaria;
− seguridad medio-ambiental;
− seguridad industrial;
− seguridad física (aparte de las instalaciones para los sistemas de información);
− seguridad legal;
− etc.
− Las decisiones deben estar fundamentas (o argumentadas) para que puedan ser adecuadamente interpretadas y
atendidas en la fase de tratamiento de los riesgos.
7 TRATAMIENTO DE RIESGOS
Para aquellos riesgos cuya evaluación determine que no son aceptables por la organización:
− se debe aplicar un tratamiento adecuado.
Para aquellos riesgos que se acepten:
− se debe disponer un sistema de monitorización que garantice que permanecen en el nivel estimado.

UNE 71504:2008 - 18 -
El tratamiento se puede afrontar de diferentes maneras, entre ellas:
− eliminando el origen de los riesgos o las circunstancias que los habilitan (evitación);
− reduciendo las posibilidades de que la amenaza se materialice (mitigación);
− limitando el impacto derivado de la materialización (mitigación);
− transfiriendo los riesgos (transferencia).
Las decisiones de tratamiento de riesgos:

− se deben comunicar a las partes interesadas (responsables, usuarios, operadores y administradores, ...) [comunica-
ción de riesgos]
El método de tratamiento:
− Se debe ajustar a las decisiones adoptadas por la Dirección en la fase de Evaluación de Riesgos.
− Debe mantener una proporcionalidad entre el coste de la salvaguarda y la reducción de los riesgos, especialmente
cuando el análisis haya sido cuantitativo.
− Debe incluir un plan de mantenimiento técnico de la salvaguarda (si procede).
− Debe incluir un sistema de monitorización y control del funcionamiento de la salvaguarda, destinado a medir su
desempeño.
− Debe incluir la información y formación de las personas afectadas: usuarios, administradores y operadores; las
siguientes actividades deben ser recurrentes:
− plan de información;
− plan de formación.
− Debe incluir un sistema de detección de incidentes de seguridad, incluyendo:
− medidas de emergencia;
− procedimiento de escalado del incidente;
− métricas de eficacia del sistema de resolución de incidencias;
− procedimiento de reporte y aprendizaje.
7.1 Plan de seguridad

Para aplicar el tratamiento elegido se debe elaborar un plan de acción o plan de seguridad que:
− prioriza las diferentes acciones que se van a desarrollar;
− organiza dichas acciones en proyectos o actividades concretas que permitan desarrollar y ejecutar planes concretos:
− establecer plazos de ejecución;
− asignar una partida presupuestaria adecuada;
− establecer responsabilidades;
− establecer hitos de cumplimiento;
− gestionar su ejecución;

- 19 - UNE 71504:2008
− utiliza el modelo derivado del análisis para evaluar los riesgos residuales a lo largo de la ejecución del plan;
− se acompaña de una memoria económica que determine los gastos previstos para la ejecución del plan de seguridad
propuesto, entre ellos:
− los costes de adquisición, desarrollo y contratación de servicios;
− los costes de implantación y formación del personal afectado;
− los costes de mantenimiento;
− el impacto en los costes de otras áreas de la organización que se vean directa o indirectamente afectadas.
7.2 Aprobación del plan de seguridad

La aprobación del plan de seguridad corresponde a la Dirección, una vez:
− visto el informe técnico;
− visto el informe económico;
− y analizada la coordinación con otras áreas que se vean directa o indirectamente afectadas.
La aprobación debe incluir la asignación de las partidas presupuestarias correspondientes.
8 ADMINISTRACIÓN DE LA GESTIÓN DE RIESGOS

El análisis y tratamiento de los riesgos debe ser una actividad recurrente:
− para adaptarse a los cambios legislativos, reglamentarios y contractuales;
− para adaptarse a los cambios de los activos que componen el sistema y su valoración;
− para adaptarse a la evolución de las amenazas posibles;
− para adaptarse a la evolución del perfil de vulnerabilidad del sistema;
− para adaptarse a la evolución de la presencia y eficacia de las salvaguardas presentes.
El proceso de gestión debe:
− estar definido;
− identificar las funciones, las tareas asignadas a estas funciones y las responsabilidades asociadas a las mismas;
− ser validado;
− estar cuantificado (sistema de métricas e indicadores de eficacia);
− estar previsto su plan de revisión y actualización regular (anual);
− ser auditado;
− estar coordinado con el proceso de gestión de cambios.
El anexo C proporciona información adicional sobre una posible organización para la seguridad.
El anexo D relaciona una serie de requisitos que la práctica ha venido demostrando críticos para el éxito del proceso de
gestión de riesgos.
El anexo E relaciona una serie de malas prácticas que la experiencia ha venido demostrando perjudiciales para el éxito
del proceso de gestión de riesgos.

UNE 71504:2008 - 20 -
9 BIBLIOGRAFÍA
1 CobiT – Objetivos de control para la información y tecnologías relacionadas, Versión 4.1, mayo 2007.
2 CNSS Instruction No. 4009. National Information Assurance (IA) Glossary. Committee on National Security
Systems. Revised 2006.
3 Capability Maturity Model Integration (CMMISM), Version 1.1, CMMISM for Systems Engineering, Software
Engineering, Integrated Product and Process Development, and Supplier Sourcing (CMMI-SE/SW/IPPD/SS, V1.1),
March 2002.
4 ISO/IEC 21827:2002 Tecnología de la información. Ingeniería de seguridad de los sistemas. Modelo de capacidad
y madurez (SSE-CMM®).

- 21 - UNE 71504:2008
ANEXO A (Informativo)
TÉRMINOS EN INGLÉS
Se muestra la equivalencia de términos.
Aceptación de riesgos Risk acceptance

Activo Asset
Amenaza Threat
Análisis de riesgos Risk analysis
Ataque Attack
Autenticidad Authenticity
Comunicación de riesgos Risk communication
Confidencialidad Confidentiality
Criterios de evaluación de riesgos Risk criteria
Disponibilidad Availability
Entidad Entity
Evaluación de riesgos Risk evaluation
Evitación de riesgos Risk avoidance
Gestión de riesgos Risk management
Identificación de riesgos Risk identification
Impacto Impact
Incidente de seguridad Information security incident
Integridad Integrity
Optimización de riesgos Risk optimisation
Riesgo Risk
Riesgos potenciales Potential risk
Riesgos residuales Residual risk
Salvaguarda Safeguard
Seguridad de la información Information security
Sistema de información Information system
Transferencia de riesgos Risk transfer
Tratamiento de riesgos Risk treatment
Trazabilidad Accountability
Valor de un activo Asset value
Vulnerabilidad Vulnerability

UNE 71504:2008 - 22 -
ANEXO B (Informativo)
EVALUACIÓN DE RIESGOS
La fase de evaluación de riesgos traduce los riesgos analizados técnicamente en su percepción por el negocio. La
evaluación que merezca un riesgo es la base para tomar decisiones relativas a su tratamiento.
Se puede utilizar el modelo ALARP5) que distribuye los riesgos analizados en tres grandes zonas, según muestra la
figura 2:
riesgos injustificables
zona de riesgos salvo en circunstancias
inaceptables excepcionales
riesgos tolerables
si el coste de su reducción
fuera inabordable
o desproporcionado frente a
los posibles beneficios
zona de riesgos
que se aceptarán,
o no,
dependiendo de la
relación coste/beneficio
riesgos tolerables
si el coste de su reducción
excediera los posibles beneficios
zona de riesgos es necesario

tolerables asegurarse
de que los riesgos
permanecen
en esta zona
Figura 2 − Modelo ALARP
5) "Tan bajo como sea razonablemente posible" (del inglés ALARP − As Low As Reasonably Practicable). "Tolerability of Risk from Nuclear
Power Stations", The Health and Safety Executive, 1982, Her Majesty's Stationary Office, London.

- 23 - UNE 71504:2008
Zona de riesgos inaceptables

Se debe intentar por todos los medios reducir estos riesgos, aceptándose sólo en circunstancias excepcionales.
Zona intermedia
Los riesgos se pueden aceptar o se pueden tratar dependiendo de la relación que exista entre el coste del tratamiento y
los beneficios obtenidos.
− Los riesgos más graves sólo se aceptarán si el coste del tratamiento es inabordable o desproporcionado frente a los
beneficios.
− Los riesgos más leves sólo se tratarán si el beneficio claramente compensa el coste del tratamiento.
Zona de riesgos tolerables

Se deben establecer controles de seguimiento para cerciorarse de que los riesgos se mantienen efectivamente en esta
zona.

UNE 71504:2008 - 24 -
ANEXO C (Informativo)
ORGANIZACIÓN INTERNA
La gestión de riesgos involucra verticalmente a múltiples elementos dentro de la organización. En este anexo se
presenta un posible esquema de funciones, actividades y líneas de comunicación para que una organización sea efectiva
en su gestión de los riesgos a que está expuesta.
C.1 Funciones
Se han identificado las siguientes funciones:
Responsables de negocio
Tienen como responsabilidad que la organización cumpla su misión; es decir que alcance los objetivos propuestos,
incluyendo el control de los costes.
Las personas asignadas a estas funciones se deben encargar de:
− identificar y valorar los activos que recogen las funciones del sistema de información visto por sus clientes o
usuarios externos;
− interpretar los resultados del análisis de riesgos para evaluarlos en función de su impacto en el negocio y tomar una
decisión al respecto.
Responsables de seguridad
Tienen como responsabilidad la seguridad en sus diferentes aspectos: de los sistemas, de la información, industrial,
medio ambiental, de riesgos laborales, financiera, etc.
− lanzar periódicamente las actividades de análisis de riesgos;
− concretar los criterios de evaluación de riesgos, atendiendo a las necesidades de la organización;
− supervisar las tareas de evaluación para que se realicen en tiempo, involucren a las personas relevantes y se sometan
a un nivel armonizado de profundidad y detalle;
− canalizar la transferencia de información de arriba a abajo (objetivos de la organización) y de abajo a arriba

(resultados del análisis);
− elaborar el plan de tratamiento de los riesgos;
− supervisar la ejecución de dicho plan;
− monitorizar de forma continua el sistema, incluyendo:
− seguimiento de los controles de eficacia, controles de eficiencia, indicadores de desempeño y alcance de los
objetivos propuestos;
− detección de desviaciones que requieren una actuación, bien de estudio en mayor profundidad, bien de reacción;

- 25 - UNE 71504:2008
− incorporar al análisis de riesgos la información derivada de:
− el proceso de gestión de cambios;
− auditorías;
− incidentes propios o conocidos de otras organizaciones que pudieran haber ocurrido en esta organización;
− legislación o normativa sectorial aplicable;
− concienciar a todos los estamentos de la conveniencia de la seguridad y de la política de seguridad de la

organización.
Responsables de la seguridad de la información

Tienen como responsabilidad la información y los datos, estableciendo requisitos de disponibilidad, integridad,
confidencialidad, autenticidad, imputabilidad, ...
− identificar, caracterizar y valorar los activos que representan los datos de los que son responsables;
− informar de la opinión que les merecen los riesgos residuales evaluados sobre los activos anteriores.
Responsables de la seguridad de los sistemas de información

Tienen como responsabilidad los sistemas de información, estableciendo requisitos de disponibilidad, integridad,
confidencialidad, autenticidad, imputabilidad, ...
− identificar, caracterizar y valorar los sistemas de los que son responsables;
− informar de la opinión que les merecen los riesgos residuales evaluados sobre los activos anteriores;
− supervisar, desde la óptica de seguridad:
− el diseño, desarrollo y pruebas de los sistemas de información;
− el mantenimiento evolutivo (cambios) y correctivo (incidentes);
− la operación (explotación);
− realizar un análisis de riesgos de los sistemas de información que gestionan y notificar a los propietarios los riesgos
residuales;
− poner en conocimiento de los propietarios cualquier circunstancia que pueda poner en peligro los requisitos de
seguridad especificados por el propietario;
− en la operación de los sistemas, asegurar que los riesgos permanecen dentro de los niveles aceptados por el
propietario.

UNE 71504:2008 - 26 -
Depositarios de los activos

Tienen como responsabilidad la recepción, custodia y tratamiento de los activos a su cargo.
− inventariar los activos a su cargo;
− gestionar la entrada, la salida y el traslado de activos;
− gestionar los procesos de terminación de la vida útil del activo;
− asegurar la correcta implantación de las salvaguardas identificadas en el proceso de gestión de riesgos.
Personal técnico
Tienen como responsabilidad la instalación, configuración, administración y operación de los sistemas de información,
así como la gestión de incidentes y la resolución de problemas.
− identificar los activos de soporte del sistema: equipamiento, aplicaciones, comunicaciones, soportes de información,
etc.;
− identificar las instalaciones físicas;
− establecer las relaciones de dependencia: qué activos soportan qué actividades de la organización;
− identificar las amenazas posibles sobre los activos anteriores;
− ejecutar análisis de vulnerabilidades y estudio de otras fuentes de información que permitan un juicio informado
para estimar el grado de exposición de los activos a las amenazas;
− valorar las amenazas identificadas de acuerdo a su experiencia y conocimiento técnico de los elementos y de
organizaciones similares;
Recursos humanos
Tienen como responsabilidad el componente humano: contratación, formación y gestión del personal.
− concretar las necesidades de personal teniendo en cuenta el puesto de trabajo;
− seleccionar y contratar a personas adecuadas a dichas necesidades;
− determinar y ejecutar el plan de formación continua de usuarios, operadores y administradores;
− apoyar a los responsables de seguridad en sus tareas de concienciación;

- 27 - UNE 71504:2008
C.2 Líneas de comunicación, información y decisión

La figura 3 muestra las principales funciones dentro de la organización en cuanto a que están relacionadas con la
gestión de riesgos.
Figura 3 − Funciones relacionadas con la gestión de riesgos
Los siguientes párrafos describen la secuencia de actividades llevadas a cabo para una adecuada gestión de riesgos:
1 El ciclo de gestión de riesgos se origina periódica o excepcionalmente en el Comité de Seguridad Corporativa que
reúne a todos los responsables de seguridad de la organización.
Aquí se determinan las grandes decisiones del análisis:
− alcance y profundidad;
− criterios generales de valoración.
2 La gestión de los riesgos de los sistemas de información se transfiere al Comité de Seguridad de los Sistemas de
Información, que reúne al responsable de seguridad de los sistemas de información, a los responsables de datos y
escucha las necesidades de los diferentes departamentos usuarios de los sistemas.
Aquí se determinan en mayor detalle:
− el alcance en términos concretos;
− los criterios adecuados a los activos que se tratan;
− la metodología.

UNE 71504:2008 - 28 -
3 La identificación y el análisis de los riesgos involucra a múltiples funciones, básicamente a los responsables de cada
activo identificado.
4 El análisis técnico de los riesgos se consolida en el Comité de Seguridad de la Información que informa al Comité
de Seguridad.
5 El Comité de Seguridad consolida los diferentes análisis de riesgos procedentes de los diferentes responsables de
seguridad, los armoniza y propone una calificación junto con un informe de costes y beneficios a la alta Dirección.
6 La alta Dirección aprueba/deniega la propuesta, pudiendo solicitar más información antes de tomar una decisión.
7 El responsable de seguridad de los sistemas de información elabora un plan de seguridad que permita pasar de la
situación actual a la situación aprobada.
8 Los diferentes planes de seguridad se coordinan en el Comité de Seguridad Corporativa.
9 El responsable de seguridad de los sistemas de información ejecuta el plan de seguridad informando regularmente al
Comité de Seguridad de su avance.
Las tareas se distribuyen al personal técnico o de recursos humanos (internos o externos) según la naturaleza del
trabajo a realizar.

- 29 - UNE 71504:2008
ANEXO D (Informativo)
BUENAS PRÁCTICAS
En este anexo se recopilan algunos requisitos que la experiencia demuestra críticos para el éxito de un sistema de
gestión de riesgos:
− Implicación de la Dirección: apoyo público y compromiso propio.
Es muy difícil proteger "pese a la Dirección".
− Identificación de los activos esenciales: su valor propio y su integración en el sistema.
No se puede proteger lo que no se conoce.
− Implicación de las personas relacionadas con el sistema (usuarios, operadores, administradores, desarrolladores y
proveedores) en el diseño, prueba, implantación y operación de las medidas de seguridad y sus controles.
Es difícil proteger un sistema si las personas relacionadas no colaboran.
− Identificación clara de responsabilidades y responsables.
No se puede gestionar sin autoridad.
− Integración del proceso de gestión de riesgos en el ciclo de vida de los sistemas de información.
− Debe iniciarse en las primeras fases de estudio de viabilidad y concepción del sistema (identificación de activos y
identificación de requisitos de seguridad).
− El análisis de riesgos y la selección de las salvaguardas deben realizarse durante la fase de diseño y desarrollo.
− Los riesgos residuales deben ser formalmente comunicados a la organización antes de que el sistema de información
sea puesto en producción.

UNE 71504:2008 - 30 -
ANEXO E (Informativo)
MALAS PRÁCTICAS
En este anexo se recopilan algunas prácticas que la experiencia demuestra poco efectivas, cuando no contraproducentes,
a los efectos de que el análisis y tratamiento de los riesgos consigan aumentar efectivamente la seguridad de los
sistemas de información de la organización.
− Cuando se olvida u obvia la misión de la organización y se realiza un estudio meramente técnico.
− Cuando las salvaguardas desplegadas no disfrutan de un completo soporte de procedimientos.
− Cuando las salvaguardas desplegadas no están sometidas a un sistema suficiente de controles de eficacia y
eficiencia.
La eficacia indica en qué medida las salvaguardas están cumpliendo su misión de mitigación de los riesgos. La
eficiencia indica en qué medida los recursos dedicados a las salvaguardas están en proporción al beneficio derivado.
− Cuando no existe un sistema de monitorización y reacción frente a incidentes que permita afrontar las discrepancias
entre los riesgos estimados (y tratados) y la realidad.
− Cuando se olvidan u obvian los problemas que pueden causar las personas, accidental o intencionadamente, por
acción o por omisión.
− Cuando se ignora la utilización de los servicios TIC6) como medios para que la organización alcance sus objetivos
de negocio o cumpla la misión que tiene encomendada.
− Cuando las tareas de gestión de riesgos no están alineadas con los objetivos de la organización (sea negocio o
servicio).
− Cuando la gestión de riesgos no está explícita y efectivamente apoyada por la Dirección.
− Cuando la gestión de riesgos no es una actividad continuada, revisada y actualizada regularmente, al menos con
carácter anual.
− Cuando en los ciclos de gestión de riesgos no se incorpora la experiencia propia, de organizaciones similares y de
sistemas de información similares.
6) Tecnologías de la Información y de las Comunicaciones.

- 31 - UNE 71504:2008
ANEXO F (Informativo)
MODELO DE MADUREZ
El modelo de madurez7) es una aproximación a la mejora de procesos. Fue desarrollada por el SEI8) a mediados de los
años 80 y ha sido ampliamente acogida en numerosas áreas. El modelo permite describir las características que hacen
un proceso efectivo.
El modelo de madurez permite caracterizar los procesos de una organización en una escala de 59) niveles de madurez
que calibran el grado de profesionalización.
Los niveles identificados son los siguientes:
Nivel 1 – Inicial (ad-hoc)

Cuando la organización no proporciona un entorno estable. El éxito o fracaso del proceso depende de la competencia y
buena voluntad de las personas. Pese a una naturaleza caótica, es más que no tener nada; pero es difícil prever la
reacción ante una situación de emergencia.
Nivel 2 – Repetible
Cuando existe un mínimo de planificación que, acompañada de la buena voluntad de las personas proporciona una
pauta a seguir cuando se repiten las mismas circunstancias. Es impredecible el resultado si se dan circunstancias nuevas.
Nivel 3 – Definido
Se dispone un catálogo de procesos que se mantiene actualizado siendo objeto de mejora continua. Estos procesos
garantizan la consistencia de las actuaciones entre las diferentes partes de la organización, que adaptan sus procesos
particulares al proceso general.
Una diferencia importante entre el nivel 2 y el nivel 3 es la coordinación entre departamentos y proyectos, coordinación
que no existe en el nivel 2, y que se gestiona en el nivel 3.
Nivel 4 – Gestionado cuantitativamente

Cuando se dispone de un sistema de medidas y métricas para conocer el desempeño (eficacia y eficiencia) de los
procesos. La Dirección es capaz de establecer objetivos cualitativos a alcanzar y dispone de medios para valorar si se
han alcanzado los objetivos y en qué medida.
Una diferencia significativa entre los niveles 3 y 4 es que en el nivel 3 sólo podemos llegar a una predicción cualitativa
del desempeño, mientras que en el nivel 4 el uso de técnicas estadísticas permite llegar a una predicción cuantitativa.
7) A menudo es citado bajo el acrónimo CMM (Capability Maturity Model).

8) SEI – Software Engineering Institute.
9) Algunos autores añaden un nivel 0 para reflejar la inexistencia de un proceso que se considera necesario.

UNE 71504:2008 - 32 -
Nivel 5 – Optimizado
En este nivel la organización es capaz de mejorar el desempeño de los sistemas a base de una mejora continua de los
procesos basada en los resultados de las medidas e indicadores.
Se pueden imponer objetivos cuantitativos de mejora, adaptados a la evolución de los requisitos y circunstancias del
negocio, existiendo la información y los mecanismos de trasladar las necesidades en actuaciones medibles.
Se puede utilizar la siguiente tabla de madurez para procesos de negocio, que es la utilizada en el modelo propuesto por
Cobit.
Nivel Nombre Descripción sucinta

0 Inexistente No se gestionan los procesos
1 Inicial Los procesos son ad-hoc y desorganizados
2 Repetible Los procesos siguen un patrón regular
3 Definido Los procesos están documentados y son comunicados a las partes afectadas
4 Gestionado Los procesos están monitorizados y medidos
5 Optimizado Existen unas buenas prácticas que se siguen y están automatizadas

- 33 - UNE 71504:2008
ANEXO G (Informativo)
ACTIVIDADES
En este anexo se recopilan en forma de fichas las actividades recogidas a lo largo de esta norma en los capítulos 5 a 8,
incluyendo la relación de participantes involucrados según los perfiles identificados en el anexo B.
Tareas preparatorias
participantes − responsables de negocio
− responsables de seguridad
− responsables de seguridad de la información
− depositarios de los activos
entradas − legislación
− regulación sectorial
− obligaciones contractuales
salidas − alcance
− aprobación por la Dirección
− aspectos de seguridad a analizar
− marco legislativo y reglamentario
− criterios de valoración de activos

− responsables de la seguridad de los sistemas de información
− personal técnico
− recursos humanos
entradas − alcance del análisis (5.1)
− elementos de información
− procesos de negocio
− inventarios de servicios, aplicaciones, equipamiento y personal
− entrevistas con los responsables de los activos
salidas − relación de activos

UNE 71504:2008 - 34 -

participantes − responsables de la seguridad de los sistemas de información
entradas − relación de activos (5.2.1)
− diagramas de procesos
− diagramas de flujo de datos
− entrevistas con los responsables de los activos
salidas − relación de dependencias entre activos
− relación de activos que soportan la seguridad de los servicios
− relación de activos que soportan la seguridad de la información

− relaciones entre los activos (5.2.2)
− entrevistas con los responsables de la información
− entrevistas con los responsables de servicios y procesos
salidas − valor propio de los activos
− valor acumulado sobre todos los activos

− valor propio y acumulado sobre los activos (5.2.3)
− perfiles normalizados de amenazas
− experiencia propia o en sistemas similares
salidas − relación de amenazas sobre cada activo
5.3.2 Valoración de la vulnerabilidad de los activos frente a las amenazas

entradas − relación de amenazas sobre activos (5.3.1)
− perfiles normalizados de amenazas
− experiencia propia o en sistemas similares
salidas − valoración de las posibilidades de que se materialice cada amenaza sobre cada activo
− valoración de las consecuencias de la materialización de cada amenaza sobre cada activo

- 35 - UNE 71504:2008
5.4 Determinación de los riesgos potenciales

entradas − relación de amenazas sobre activos (5.3.1)
− valoración de las amenazas (5.3.2)
salidas − relación ordenada (o relativizada) de riesgos sobre los activos

participantes − responsables de seguridad
entradas − relación de riesgos potenciales sobre el sistema (5.4)
− catálogos de salvaguardas
− requisitos impuestos por normas de carácter obligatorio o voluntario
salidas − relación de salvaguardas aplicables al sistema

entradas − relación de salvaguardas aplicables al sistema (5.5.1)
− entrevistas con los responsables de las salvaguardas
salidas − identificación de si la salvaguarda existe o no
− estimación de su grado de efectividad frente a los riesgos a que se enfrenta

entradas − relación de riesgos potenciales (5.4)
− relación de salvaguardas aplicables al sistema (5.5.1)
− valoración de las salvaguardas aplicables (5.5.2)
salidas − estimación de los riesgos remanentes sobre los activos

UNE 71504:2008 - 36 -
6 Evaluación de riesgos
entradas − relación de riesgos residuales (5.6)
− criterios de evaluación de riesgos (5.1)
− coordinación con otras áreas de la organización
salidas − decisiones priorizadas de tratamiento de riesgos
7 Tratamiento de riesgos
entradas − relación de riesgos residuales (5.6)
− decisiones de actuación (6)
salidas − plan de mejora de la seguridad
− sistema de monitorización
− sistema de gestión de incidencias
− plan de comunicación a las partes afectadas
− plan de concienciación e información
− plan de formación
8 Administración de la gestión de riesgos

entradas
salidas − proceso de mejora continua: ciclos de gestión de riesgos

Génova, 6 info@aenor.es Tel.: 902 102 201
28004 MADRID-España www.aenor.es Fax: 913 104 032

Une 71504 2008

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Une 71504 2008

Cargado por

Copyright:

Formatos disponibles

norma UNE 71504

TÍTULO Metodología de análisis y gestión de riesgos para los sistemas

Risk analysis methodology and management for information systems.

Méthodologie d'analyse et gestion des risques pour les systèmes d'information.

© AENOR 2008 Génova, 6 info@aenor.es Tel.: 902 102 201 Grupo 18

AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A AUDISEC, SEGURIDAD DE LA INFORMAC

AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A AUDISEC, SEGURIDAD DE LA INFORMAC

1 OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 5

2 NORMAS PARA CONSULTA....................................................................................... 5

3 TÉRMINOS Y DEFINICIONES .................................................................................... 6

4 MARCO GENERAL ....................................................................................................... 9

5 MÉTODO DE ANÁLISIS ............................................................................................... 10

6 EVALUACIÓN DE RIESGOS ....................................................................................... 17

7 TRATAMIENTO DE RIESGOS .................................................................................... 17

8 ADMINISTRACIÓN DE LA GESTIÓN DE RIESGOS.............................................. 19

ANEXO A (Informativo) TÉRMINOS EN INGLÉS ................................................................ 21

ANEXO B (Informativo) EVALUACIÓN DE RIESGOS ........................................................ 22

ANEXO C (Informativo) ORGANIZACIÓN INTERNA ......................................................... 24

ANEXO D (Informativo) BUENAS PRÁCTICAS .................................................................... 29

ANEXO E (Informativo) MALAS PRÁCTICAS ...................................................................... 30

ANEXO F (Informativo) MODELO DE MADUREZ .............................................................. 31

ANEXO G (Informativo) ACTIVIDADES................................................................................. 33

AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A AUDISEC, SEGURIDAD DE LA INFORMAC

Los sistemas de información permiten el tratamiento automatizado de la información de forma que:

− La información debe estar disponible donde y cuando se requiera.

Los sistemas de información:

Típicamente los sistemas de información pueden ser atacados en sus:

− componentes lógicos: aplicaciones, sistemas operativos, ...

− componentes humanos: usuarios, operadores, administradores, desarrolladores, ...

AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A AUDISEC, SEGURIDAD DE LA INFORMAC

1 OBJETO Y CAMPO DE APLICACIÓN

− toda la información que fluye en el proceso;

− el marco legislativo y reglamentario;

− los recursos humanos;

− las aplicaciones informáticas;

− las redes de comunicaciones;

− y cualquier otro equipamiento auxiliar.

1 analizar los riesgos a que están expuestos los sistemas de información;

2 analizar las salvaguardas desplegadas para su protección;

3 estimar los riesgos residuales; y

4 gestionar dichos riesgos:

− aplicando las decisiones de tratamiento acordadas;

− monitorizando continuamente la seguridad del sistema: incidencias, problemas, desastres y funcionamiento

2 NORMAS PARA CONSULTA

UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad

AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A AUDISEC, SEGURIDAD DE LA INFORMAC

ISO/IEC 13335-1:2004 Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de las

ISO/IEC 7498-2:1989 Sistemas de procesado de la información. Interconexión de sistemas abiertos. Modelo de

3.1 aceptación de riesgos:

3.4 análisis de riesgos:

3.7 comunicación de riesgos:

AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A AUDISEC, SEGURIDAD DE LA INFORMAC

3.9 criterios de evaluación de riesgos:

3.12 evaluación de riesgos:

3.13 gestión de riesgos:

3.14 identificación de riesgos:

3.16 incidente de seguridad:

3.18 optimización de riesgos:

3.19 evitación de riesgos:

AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A AUDISEC, SEGURIDAD DE LA INFORMAC

3.21 riesgos potenciales:

3.22 riesgos residuales:

NOTA A menudo se emplea el término “contramedida” con el mismo significado.