Documentos de Académico
Documentos de Profesional
Documentos de Cultura
española
Julio 2008
CORRESPONDENCIA
OBSERVACIONES
ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la
información cuya Secretaría desempeña AETIC.
Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 35179:2008
36 Páginas
ÍNDICE
Página
0 INTRODUCCIÓN............................................................................................................ 4
9 BIBLIOGRAFÍA.............................................................................................................. 20
0 INTRODUCCIÓN
Los sistemas de información son elementos muy importantes, cuando no críticos, para que una organización alcance sus
objetivos, sean de negocio, de servicio, o lo que corresponda a su naturaleza.
− La información debe estar íntegra; es decir, no debe haber sido objeto de manipulaciones, alteraciones, recortes o
ampliaciones por parte de personas o procesos no autorizados para dichas acciones.
− La información debe estar accesible única y exclusivamente para aquellas personas y procesos debidamente
autorizados.
− Debe poder garantizarse el origen de la información y la autenticidad de las personas y procesos que acceden a ella.
− Debe poder conocerse quién ha accedido a qué información y qué ha hecho con ella, a todos los efectos de
cumplimiento de obligaciones legales y regulatorias, así como de habilitar la persecución de fallos o delitos que
pudieran acontecer.
− deben valorarse como una caja negra que presta servicios a sus usuarios. En este sentido, es necesario que la
valoración sea siempre en términos de negocio u objetivos que se persiguen;
− deben analizarse como una caja transparente, conociendo y estudiando los diferentes componentes que habilitan su
correcto funcionamiento y que son susceptibles de ser dañados, deliberada o accidentalmente, con consecuencias
negativas, tangibles o intangibles.
− componentes físicos: equipos, soportes de información, comunicaciones, medios auxiliares, instalaciones, ...
Todos los componentes que pudieran verse afectados directa o indirectamente por alguna amenaza que origine un fallo
de los sistemas de información deben ser adecuadamente analizados para conocer los riesgos que pueden suponer para
la organización y, una vez conocidos los riesgos, ser tratados de forma que se mantengan bajo control; esto es, que la
organización sea consciente y tenga monitorizados los riesgos a que se expone en sus actividades por causa del uso de
los sistemas de información.
La gestión de los riesgos de los sistemas de información es por tanto crítica para la organización. Puede ser muy
compleja, constituyendo un riesgo en sí misma en cuanto pudiera obviar oportunidades para que el sistema sea víctima
de ataques deliberados o de accidentes. Por tanto, requiere una aproximación metódica y sistemática que pueda ser
objeto de valoración, en sentido de que puede realizarse mejor o peor, y en su caso, ser objeto de mejora para aportar
una mayor confianza a los usuarios de los sistemas.
En resumen, esta norma se dirige a todos aquellos colectivos relacionados con los sistemas de información para que
sepan qué deben hacer, cómo se debe hacer y qué deben evitar a fin de que la gestión de los riesgos sea efectiva y
puedan confiar en ella.
− el equipamiento informático;
− las instalaciones;
Esta norma establece los requisitos que debe cumplir el método utilizado para:
− garantizando que los riesgos se mantienen en todo momento por debajo de los umbrales aceptados y aprobados
por la organización.
Queda excluido de la norma todo lo que pueda ocurrirle a la información mientras esté fuera de los sistemas de
información.
ISO/IEC 18043:2006 Tecnología de la información. Técnicas de seguridad. Selección, despliegue y operaciones de los
sistemas de detección de intrusiones.
ISO/IEC 19790:2006 Tecnología de la información. Técnicas de seguridad. Requisitos de seguridad para módulos
criptográficos.
UNE-ISO/IEC Guía 73:2005 Gestión del Riesgo. Vocabulario. Directrices para la utilización en las normas.
3 TÉRMINOS Y DEFINICIONES
Para los fines de este documento, se aplican los términos y definiciones siguientes:
Para mayor claridad en el anexo A se incluye la correspondencia con los términos en inglés.
3.2 activo:
Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con
consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
3.3 amenaza:
Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización.
[ISO/IEC 13335-1:2004]
3.5 ataque:
Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o
violar alguna política de seguridad de alguna otra manera.
[ISO/IEC 18043:2006]
3.6 autenticidad:
Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que
proceden los datos.
[Adaptada de ISO/IEC 13335-1:2004]
3.8 confidencialidad:
Propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos, entidades
o procesos no autorizados.
[UNE-ISO/IEC 27001:2007]
3.10 disponibilidad:
Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los
mismos cuando lo requieren.
[UNE-ISO/IEC 27001:2007]
[ISO/IEC 13335-1:2004]
3.11 entidad:
Una persona, un grupo, un dispositivo o un proceso.
[ISO/IEC 19790:2006]
3.15 impacto:
Consecuencias de un incidente de seguridad de la información.
[ISO/IEC 13335-1:2004]
3.17 integridad:
Propiedad o característica consistente en que el activo no ha sido alterado de manera no autorizada.
[UNE-ISO/IEC 27001:2007]
[ISO/IEC 13335-1:2004]
3.20 riesgo:
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o
perjuicios a la organización.
[Adaptada de la definición 2.19 de ISO/IEC 13335-1:2004]
3.23 salvaguarda:
Práctica, procedimiento o mecanismo que trata los riesgos.
[ISO/IEC 13335-1:2004]
3.28 trazabilidad:
Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a
dicha entidad.
[ISO/IEC 13335-1:2004]
[ISO/IEC 7498-2:1989]
3.30 vulnerabilidad:
Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.
[ISO/IEC 13335-1:2004]
4 MARCO GENERAL
La gestión de riesgos debe ser una actividad recurrente dentro de la organización, cuyas fases se representan en la
figura 1 y se describen a continuación.
no
¿Requieren tratamiento los riesgos?
sí
− determinar qué salvaguardas requiere el sistema para enfrentarse a los riesgos analizados;
− y tener en cuenta el efecto de las salvaguardas presentes en el sistema.
Todos estos aspectos se desarrollan a continuación estableciéndose la siguiente correspondencia entre la figura 1 y los
capítulos y apartados de esta norma:
El anexo informativo G recopila en forma de fichas las actividades descritas en las secciones siguientes.
5 MÉTODO DE ANÁLISIS
El análisis de los riesgos a los que está expuesto un sistema se lleva a cabo mediante la ejecución de una serie de
actividades:
1 Tareas preparatorias.
2 Caracterización de los activos.
3 Caracterización de las amenazas.
4 Determinación de los riesgos potenciales.
5 Caracterización de las salvaguardas.
6 Determinación de los riesgos residuales.
− Se deben determinar los aspectos de seguridad objeto de análisis que procedan de entre los siguientes:
− disponibilidad
− integridad
− confidencialidad
− criterios cualitativos
− criterios cuantitativos
− Se deben identificar los activos de las siguientes clases (tanto si son internos como si están externalizados):
− información;
− instalaciones;
− personal;
− sin perjuicio de otros tipos que pudieran ser relevantes en un determinado sistema de información.
Cuando el número de activos es elevado, el desglose singular de cada uno de ellos puede ser desproporcionado
causando confusión. En la identificación de activos se puede recurrir a su agrupación por roles o funciones, conside-
rando un solo activo como representante de todos los que son equivalentes a él en cuanto a riesgos se refiere.
− Se deben determinar las dependencias directas e indirectas entre activos del sistema.
Se dice que un activo A depende de un activo B cuando A, para proteger un cierto aspecto de seguridad, depende del
adecuado desempeño de B. En otras palabras, cuando los requisitos de seguridad sobre A se propagan a B.
Habitualmente,
− un servicio depende de las aplicaciones y del equipamiento que lo sustenta, incluyendo otros servicios en que se
apoya;
− del personal dependen los activos sobre los que tiene derechos de acceso en general y responsabilidades de
configuración, instalación y desarrollo en particular.
− cómo el valor de la información se imputa y acumula en los recursos que la manipulan (tratamiento, almacena-
miento o transferencia);
− cómo el valor de los servicios se imputa y acumula en los recursos que los sustentan.
El valor se puede modelar cuantitativamente (para tener datos numéricos) y se puede modelar cualitativamente (para
relativizar la importancia de cada activo). Hay que tener en cuenta tanto las consecuencias inmediatas de los incidentes
como los costes posteriores de retorno a la situación normal2).
− coste de reposición;
− merma de beneficios;
− incremento de gastos;
sin perjuicio de otros tipos que pudieran ser relevantes en un determinado sistema de información.
− valor soportado: el que corresponde a un activo no por sí mismo sino porque otros activos dependen de él.
Se dice que un activo B acumula el valor de los activos A que dependen de él para satisfacer sus requisitos de seguridad
de la información que tratan o los servicios que prestan. (Véase 5.2.2)
La valoración puede ser en función de los distintos aspectos de seguridad. Así, la disponibilidad de un activo puede ser
de muy alto valor mientras su confidencialidad es irrelevante, o cualquier otra combinación de valores.
− La valoración se debe realizar en cada uno de los aspectos en que sea relevante: disponibilidad, integridad,
confidencialidad, etc.
− Se debe determinar el valor propio de los activos objeto del análisis según indique la Dirección:
− valor cualitativo;
− valor cuantitativo.
1) Esta tarea normalmente es delegada en los responsables de cada área de negocio afectada.
2) A veces a esta actividad se la denomina "Análisis de Impacto en el Negocio" (BIA − Business Impact Analysis) por cuanto intenta calibrar las
consecuencias que para el negocio tendrían los fallos de seguridad: la indisponibilidad de los servicios y la información, las pérdidas de
integridad y confidencialidad, etc.
− Se debe estimar el valor soportado por todos los activos objeto del análisis.
− accidentes naturales;
− sin perjuicio de otros tipos que pudieran ser relevantes en un determinado sistema de información.
− En el descubrimiento de las amenazas relevantes se debe tener en cuenta la vulnerabilidad “natural” de los activos;
es decir, las amenazas que son propias de su naturaleza y condición, así como de su participación en el sistema
(relaciones de dependencia).
− La valoración de las amenazas debe tener en cuenta la vulnerabilidad “operativa” de los activos; es decir, la forma
en que está presente en el sistema de información, en particular su perímetro de acceso o exposición a posibles
fuentes de ataque.
− Los riesgos potenciales son función del valor del activo y crecen con éste.
− Los riesgos potenciales son función de la posibilidad de que las amenazas se materialicen, y crecen al aumentar las
posibilidades de que ocurran.
− En un análisis cualitativo se deben ordenar los riesgos; es decir, se debe saber cuáles son los riesgos más importantes
y cuáles menos importantes, pudiendo agruparse en diferentes niveles.
− se deben determinar las salvaguardas pertinentes para la protección del sistema de información frente a los riesgos
potenciales identificados.
− legislación, normativa, reglamentos, recomendaciones, buenas prácticas, ... y otro tipo de guías que sean de
aplicación en el sector en que desempeña su misión el sistema de información.
− Para cada salvaguarda determinada en el apartado 5.5.1 se debe identificar si existe o no.
− su grado de implantación;
− su nivel de madurez4) y
otros datos que pudieran ser relevantes, desde un punto de vista técnico u organizativo.
La existencia de salvaguardas reduce los riesgos potenciales antes calculados a unos riesgos efectivos menores que los
potenciales, y tanto menores cuanto:
− cualitativa: cuando la valoración fuera relativa, concluyendo con los activos críticos del sistema.
Un activo se considera “crítico” cuando las consecuencias de la materialización de una amenaza sobre él tienen un serio
impacto sobre el sistema de información al que pertenece o soporta. Las consecuencias se consideran serias cuando
afectan a procesos o funciones que la Dirección considera esenciales para el desempeño de la misión de la organización.
La criticidad puede deberse tanto a una consecuencia grave puntual como a la acumulación de consecuencias menos
graves.
4) Véase el anexo F. La madurez de las salvaguardas desplegadas es importante en dos aspectos. Primero, en cuanto a su efectividad, pues ante una
salvaguarda inmadura es aventurado calibrar su efectividad real. Segundo, en cuanto a credibilidad de los resultados del análisis. Unas salva-
guardas maduras aportan una mayor confianza en la evaluación y en la comunicación de los riesgos residuales, siendo ambos factores muy
importantes para tomar las decisiones más apropiadas de tratamiento.
6 EVALUACIÓN DE RIESGOS
Tras el análisis de los riesgos (véase el capítulo 5) y antes de tomar decisiones relativas al tratamiento que se les va a
aplicar, es necesario que la Dirección se posicione en relación a los siguientes aspectos.
− La organización debe definir un proceso para que los riesgos determinados por el método de análisis sean
interpretados en términos de negocio o consecuencias para la organización.
− La Dirección debe calificar los riesgos detectados siguiendo dichos criterios y en función de su relevancia para la
organización. La calificación debe agrupar los riesgos en categorías, por ejemplo en las siguientes (véase el
anexo B):
− zona intermedia, donde los riesgos deben ser tratados o no dependiendo de un estudio de costes y beneficios
(optimización de riesgos);
− Las decisiones relativas a los riesgos deben estar en concordancia con la política de seguridad de la organización,
bien adaptándose a aquella, o bien abriendo un proceso de revisión que la adecue.
− Las decisiones relativas a la seguridad de los sistemas de información deben estar coordinadas (y decididas
conjuntamente) con las decisiones relativas a otros ámbitos de seguridad de la organización, como:
− seguridad laboral;
− seguridad sanitaria;
− seguridad medio-ambiental;
− seguridad industrial;
− seguridad legal;
− etc.
− Las decisiones deben estar fundamentas (o argumentadas) para que puedan ser adecuadamente interpretadas y
atendidas en la fase de tratamiento de los riesgos.
7 TRATAMIENTO DE RIESGOS
Para aquellos riesgos cuya evaluación determine que no son aceptables por la organización:
− se debe disponer un sistema de monitorización que garantice que permanecen en el nivel estimado.
− eliminando el origen de los riesgos o las circunstancias que los habilitan (evitación);
El método de tratamiento:
− Se debe ajustar a las decisiones adoptadas por la Dirección en la fase de Evaluación de Riesgos.
− Debe mantener una proporcionalidad entre el coste de la salvaguarda y la reducción de los riesgos, especialmente
cuando el análisis haya sido cuantitativo.
− Debe incluir un sistema de monitorización y control del funcionamiento de la salvaguarda, destinado a medir su
desempeño.
− Debe incluir la información y formación de las personas afectadas: usuarios, administradores y operadores; las
siguientes actividades deben ser recurrentes:
− plan de información;
− plan de formación.
− medidas de emergencia;
− organiza dichas acciones en proyectos o actividades concretas que permitan desarrollar y ejecutar planes concretos:
− establecer responsabilidades;
− gestionar su ejecución;
− utiliza el modelo derivado del análisis para evaluar los riesgos residuales a lo largo de la ejecución del plan;
− se acompaña de una memoria económica que determine los gastos previstos para la ejecución del plan de seguridad
propuesto, entre ellos:
− el impacto en los costes de otras áreas de la organización que se vean directa o indirectamente afectadas.
− y analizada la coordinación con otras áreas que se vean directa o indirectamente afectadas.
− para adaptarse a los cambios de los activos que componen el sistema y su valoración;
− estar definido;
− identificar las funciones, las tareas asignadas a estas funciones y las responsabilidades asociadas a las mismas;
− ser validado;
− ser auditado;
El anexo C proporciona información adicional sobre una posible organización para la seguridad.
El anexo D relaciona una serie de requisitos que la práctica ha venido demostrando críticos para el éxito del proceso de
gestión de riesgos.
El anexo E relaciona una serie de malas prácticas que la experiencia ha venido demostrando perjudiciales para el éxito
del proceso de gestión de riesgos.
9 BIBLIOGRAFÍA
1 CobiT – Objetivos de control para la información y tecnologías relacionadas, Versión 4.1, mayo 2007.
2 CNSS Instruction No. 4009. National Information Assurance (IA) Glossary. Committee on National Security
Systems. Revised 2006.
3 Capability Maturity Model Integration (CMMISM), Version 1.1, CMMISM for Systems Engineering, Software
Engineering, Integrated Product and Process Development, and Supplier Sourcing (CMMI-SE/SW/IPPD/SS, V1.1),
March 2002.
4 ISO/IEC 21827:2002 Tecnología de la información. Ingeniería de seguridad de los sistemas. Modelo de capacidad
y madurez (SSE-CMM®).
ANEXO A (Informativo)
TÉRMINOS EN INGLÉS
ANEXO B (Informativo)
EVALUACIÓN DE RIESGOS
La fase de evaluación de riesgos traduce los riesgos analizados técnicamente en su percepción por el negocio. La
evaluación que merezca un riesgo es la base para tomar decisiones relativas a su tratamiento.
Se puede utilizar el modelo ALARP5) que distribuye los riesgos analizados en tres grandes zonas, según muestra la
figura 2:
riesgos injustificables
zona de riesgos salvo en circunstancias
inaceptables excepcionales
riesgos tolerables
si el coste de su reducción
fuera inabordable
o desproporcionado frente a
los posibles beneficios
zona de riesgos
que se aceptarán,
o no,
dependiendo de la
relación coste/beneficio
riesgos tolerables
si el coste de su reducción
excediera los posibles beneficios
5) "Tan bajo como sea razonablemente posible" (del inglés ALARP − As Low As Reasonably Practicable). "Tolerability of Risk from Nuclear
Power Stations", The Health and Safety Executive, 1982, Her Majesty's Stationary Office, London.
Zona intermedia
Los riesgos se pueden aceptar o se pueden tratar dependiendo de la relación que exista entre el coste del tratamiento y
los beneficios obtenidos.
− Los riesgos más graves sólo se aceptarán si el coste del tratamiento es inabordable o desproporcionado frente a los
beneficios.
− Los riesgos más leves sólo se tratarán si el beneficio claramente compensa el coste del tratamiento.
ANEXO C (Informativo)
ORGANIZACIÓN INTERNA
La gestión de riesgos involucra verticalmente a múltiples elementos dentro de la organización. En este anexo se
presenta un posible esquema de funciones, actividades y líneas de comunicación para que una organización sea efectiva
en su gestión de los riesgos a que está expuesta.
C.1 Funciones
Se han identificado las siguientes funciones:
Responsables de negocio
Tienen como responsabilidad que la organización cumpla su misión; es decir que alcance los objetivos propuestos,
incluyendo el control de los costes.
− identificar y valorar los activos que recogen las funciones del sistema de información visto por sus clientes o
usuarios externos;
− interpretar los resultados del análisis de riesgos para evaluarlos en función de su impacto en el negocio y tomar una
decisión al respecto.
Responsables de seguridad
Tienen como responsabilidad la seguridad en sus diferentes aspectos: de los sistemas, de la información, industrial,
medio ambiental, de riesgos laborales, financiera, etc.
− supervisar las tareas de evaluación para que se realicen en tiempo, involucren a las personas relevantes y se sometan
a un nivel armonizado de profundidad y detalle;
− seguimiento de los controles de eficacia, controles de eficiencia, indicadores de desempeño y alcance de los
objetivos propuestos;
− detección de desviaciones que requieren una actuación, bien de estudio en mayor profundidad, bien de reacción;
− auditorías;
− incidentes propios o conocidos de otras organizaciones que pudieran haber ocurrido en esta organización;
− identificar, caracterizar y valorar los activos que representan los datos de los que son responsables;
− informar de la opinión que les merecen los riesgos residuales evaluados sobre los activos anteriores.
− informar de la opinión que les merecen los riesgos residuales evaluados sobre los activos anteriores;
− la operación (explotación);
− realizar un análisis de riesgos de los sistemas de información que gestionan y notificar a los propietarios los riesgos
residuales;
− poner en conocimiento de los propietarios cualquier circunstancia que pueda poner en peligro los requisitos de
seguridad especificados por el propietario;
− en la operación de los sistemas, asegurar que los riesgos permanecen dentro de los niveles aceptados por el
propietario.
Personal técnico
Tienen como responsabilidad la instalación, configuración, administración y operación de los sistemas de información,
así como la gestión de incidentes y la resolución de problemas.
− identificar los activos de soporte del sistema: equipamiento, aplicaciones, comunicaciones, soportes de información,
etc.;
− establecer las relaciones de dependencia: qué activos soportan qué actividades de la organización;
− ejecutar análisis de vulnerabilidades y estudio de otras fuentes de información que permitan un juicio informado
para estimar el grado de exposición de los activos a las amenazas;
− valorar las amenazas identificadas de acuerdo a su experiencia y conocimiento técnico de los elementos y de
organizaciones similares;
Recursos humanos
Tienen como responsabilidad el componente humano: contratación, formación y gestión del personal.
Los siguientes párrafos describen la secuencia de actividades llevadas a cabo para una adecuada gestión de riesgos:
1 El ciclo de gestión de riesgos se origina periódica o excepcionalmente en el Comité de Seguridad Corporativa que
reúne a todos los responsables de seguridad de la organización.
− alcance y profundidad;
2 La gestión de los riesgos de los sistemas de información se transfiere al Comité de Seguridad de los Sistemas de
Información, que reúne al responsable de seguridad de los sistemas de información, a los responsables de datos y
escucha las necesidades de los diferentes departamentos usuarios de los sistemas.
− la metodología.
3 La identificación y el análisis de los riesgos involucra a múltiples funciones, básicamente a los responsables de cada
activo identificado.
4 El análisis técnico de los riesgos se consolida en el Comité de Seguridad de la Información que informa al Comité
de Seguridad.
5 El Comité de Seguridad consolida los diferentes análisis de riesgos procedentes de los diferentes responsables de
seguridad, los armoniza y propone una calificación junto con un informe de costes y beneficios a la alta Dirección.
6 La alta Dirección aprueba/deniega la propuesta, pudiendo solicitar más información antes de tomar una decisión.
7 El responsable de seguridad de los sistemas de información elabora un plan de seguridad que permita pasar de la
situación actual a la situación aprobada.
9 El responsable de seguridad de los sistemas de información ejecuta el plan de seguridad informando regularmente al
Comité de Seguridad de su avance.
Las tareas se distribuyen al personal técnico o de recursos humanos (internos o externos) según la naturaleza del
trabajo a realizar.
ANEXO D (Informativo)
BUENAS PRÁCTICAS
En este anexo se recopilan algunos requisitos que la experiencia demuestra críticos para el éxito de un sistema de
gestión de riesgos:
− Implicación de las personas relacionadas con el sistema (usuarios, operadores, administradores, desarrolladores y
proveedores) en el diseño, prueba, implantación y operación de las medidas de seguridad y sus controles.
− Integración del proceso de gestión de riesgos en el ciclo de vida de los sistemas de información.
− Debe iniciarse en las primeras fases de estudio de viabilidad y concepción del sistema (identificación de activos y
identificación de requisitos de seguridad).
− El análisis de riesgos y la selección de las salvaguardas deben realizarse durante la fase de diseño y desarrollo.
− Los riesgos residuales deben ser formalmente comunicados a la organización antes de que el sistema de información
sea puesto en producción.
ANEXO E (Informativo)
MALAS PRÁCTICAS
En este anexo se recopilan algunas prácticas que la experiencia demuestra poco efectivas, cuando no contraproducentes,
a los efectos de que el análisis y tratamiento de los riesgos consigan aumentar efectivamente la seguridad de los
sistemas de información de la organización.
− Cuando las salvaguardas desplegadas no están sometidas a un sistema suficiente de controles de eficacia y
eficiencia.
La eficacia indica en qué medida las salvaguardas están cumpliendo su misión de mitigación de los riesgos. La
eficiencia indica en qué medida los recursos dedicados a las salvaguardas están en proporción al beneficio derivado.
− Cuando no existe un sistema de monitorización y reacción frente a incidentes que permita afrontar las discrepancias
entre los riesgos estimados (y tratados) y la realidad.
− Cuando se olvidan u obvian los problemas que pueden causar las personas, accidental o intencionadamente, por
acción o por omisión.
− Cuando se ignora la utilización de los servicios TIC6) como medios para que la organización alcance sus objetivos
de negocio o cumpla la misión que tiene encomendada.
− Cuando las tareas de gestión de riesgos no están alineadas con los objetivos de la organización (sea negocio o
servicio).
− Cuando la gestión de riesgos no es una actividad continuada, revisada y actualizada regularmente, al menos con
carácter anual.
− Cuando en los ciclos de gestión de riesgos no se incorpora la experiencia propia, de organizaciones similares y de
sistemas de información similares.
ANEXO F (Informativo)
MODELO DE MADUREZ
El modelo de madurez7) es una aproximación a la mejora de procesos. Fue desarrollada por el SEI8) a mediados de los
años 80 y ha sido ampliamente acogida en numerosas áreas. El modelo permite describir las características que hacen
un proceso efectivo.
El modelo de madurez permite caracterizar los procesos de una organización en una escala de 59) niveles de madurez
que calibran el grado de profesionalización.
Nivel 2 – Repetible
Cuando existe un mínimo de planificación que, acompañada de la buena voluntad de las personas proporciona una
pauta a seguir cuando se repiten las mismas circunstancias. Es impredecible el resultado si se dan circunstancias nuevas.
Nivel 3 – Definido
Se dispone un catálogo de procesos que se mantiene actualizado siendo objeto de mejora continua. Estos procesos
garantizan la consistencia de las actuaciones entre las diferentes partes de la organización, que adaptan sus procesos
particulares al proceso general.
Una diferencia importante entre el nivel 2 y el nivel 3 es la coordinación entre departamentos y proyectos, coordinación
que no existe en el nivel 2, y que se gestiona en el nivel 3.
Una diferencia significativa entre los niveles 3 y 4 es que en el nivel 3 sólo podemos llegar a una predicción cualitativa
del desempeño, mientras que en el nivel 4 el uso de técnicas estadísticas permite llegar a una predicción cuantitativa.
Nivel 5 – Optimizado
En este nivel la organización es capaz de mejorar el desempeño de los sistemas a base de una mejora continua de los
procesos basada en los resultados de las medidas e indicadores.
Se pueden imponer objetivos cuantitativos de mejora, adaptados a la evolución de los requisitos y circunstancias del
negocio, existiendo la información y los mecanismos de trasladar las necesidades en actuaciones medibles.
Se puede utilizar la siguiente tabla de madurez para procesos de negocio, que es la utilizada en el modelo propuesto por
Cobit.
ANEXO G (Informativo)
ACTIVIDADES
En este anexo se recopilan en forma de fichas las actividades recogidas a lo largo de esta norma en los capítulos 5 a 8,
incluyendo la relación de participantes involucrados según los perfiles identificados en el anexo B.
Tareas preparatorias
participantes − responsables de negocio
− responsables de seguridad
− responsables de seguridad de la información
− depositarios de los activos
entradas − legislación
− regulación sectorial
− obligaciones contractuales
salidas − alcance
− aprobación por la Dirección
− aspectos de seguridad a analizar
− marco legislativo y reglamentario
− criterios de valoración de activos
6 Evaluación de riesgos
participantes − responsables de negocio
− responsables de seguridad
− responsables de seguridad de la información
− depositarios de los activos
entradas − relación de riesgos residuales (5.6)
− criterios de evaluación de riesgos (5.1)
− coordinación con otras áreas de la organización
salidas − decisiones priorizadas de tratamiento de riesgos
7 Tratamiento de riesgos
participantes − responsables de seguridad
− responsables de seguridad de la información
− responsables de la seguridad de los sistemas de información
− depositarios de los activos
− personal técnico
− recursos humanos
entradas − relación de riesgos residuales (5.6)
− decisiones de actuación (6)
salidas − plan de mejora de la seguridad
− sistema de monitorización
− sistema de gestión de incidencias
− plan de comunicación a las partes afectadas
− plan de concienciación e información
− plan de formación