Apuntes de Informática aplicada a la Criminología

Sesión 7
Definición y metodologías de los sistemas
de gestión de la seguridad de la información

1. Introducción
El análisis y gestión de riesgos de la seguridad de la información es la actividad
clave de todo Sistema de Gestión de Seguridad de la Información (SGSI). A lo
largo de este tema vamos a reincidir en explicar la importancia de los activos de
información como primer paso para, sobre ellos, analizar los riesgos a los que
están expuestos y la importancia que para la organización tiene gestionarlos.
Para este proceso nos vamos a ayudar de metodologías de tal manera que
sistematicen estas tareas. La ISO/IEC 27005 describe este proceso. Como
vimos en el tema anterior, la importancia de la gestión de la seguridad de la
información empieza por la necesidad de la organización. El negocio y su
continuidad son los motivadores de toda esta preocupación por la seguridad, al
fin y al cabo, la información está íntimamente ligado a los servicios que una
empresa proporciona, son fundamentales para su actividad cotidiana y son la
base para la toma de decisiones, tanto si la información está en soporte
informático como si no.

2. Los activos en el análisis de riesgos

En primer lugar, vamos a intentar establecer una definición de lo que podemos
considerar activo. A nivel de una empresa, podemos definir un activo como un
bien o un derecho con valor económico. Sin embargo, a veces es necesario
evaluar un activo que, sin tener un efecto económico tangible, puede ser
importante para la organización, como es el caso de la imagen o el prestigio.
En 2004, la Organización Internacional de Estándares (ISO) definió lo que era
un activo con el objetivo de tener una base para la gestión de la seguridad para
el estándar 13335, que de alguna manera venía a ir dando forma al proceso de
la ISO 27001 que surgiría en 2007. De esta manera, un activo se define de forma
básica como cualquier bien que tiene valor para la organización.
En esta ebullición por los sistemas de seguridad de la información después del
cambio de milenio, surge en 2008 una norma española, UNE 71504, como ya se
a lo largo del módulo II de la asignatura, donde se define activo como un
componente o funcionalidad de un sistema de información susceptible de ser
atacado, ya sea deliberadamente o de forma accidental. Vemos en esta norma,
la especificidad de que los activos que nos interesan son los que forman parte

Prof. Dr. D. Jesus Cano Carrillo 1

Apuntes de Informática aplicada a la Criminología

de un sistema de información, cosa que por otro lado hemos querido tener en
mente a la hora de hacer las actividades prácticas en las sesiones de laboratorio
de la asignatura.
Una vez definido el concepto, es conveniente tener una idea de cómo podemos
clasificar los activos. Nos queda claro que hay activos muy ligados a la
información, como son, por ejemplo, los relacionados con los datos en formato
digital, es decir, las bases de datos, las copias de seguridad, las claves de
acceso a los sistemas, por poner algunos. Pero además, hay otros activos
tangibles como los correos electrónicos, los faxes, los libros de contabilidad en
formato electrónico, los valores contables como el valor llave de un activo
(diferencia del valor de mercado frente al internamente establecido en la
contabilidad), etc. Además los activos intangibles, difíciles de medir a veces
como las patentes, los conocimientos, el know-how, las relaciones y el
networking, entre otros. Para terminar de perfilar esto, una subclase de activos
de información la constituye el software, en sentido amplio, o bien el propio
software de base en forma de sistemas operativos.
Por otro lado, otro gran bloque de activos lo componen los elementos físicos,
como las infraestructuras de Tecnologías de Información (TI), los edificios, las
oficinas, las habitaciones, los armarios, etc. Aquí también es necesario
mencionar los activos hardware de TI, como los ordenadores personales o
estaciones de trabajo, los portátiles, las tablets, los teléfonos móviles, routers,
switches y cosas así. Y finalmente, se debe tener en cuenta otros tipos de
dispositivos necesarios para el funcionamiento y soporte de los activos físicos
anteriores, como los sistemas SAI (Sistemas de Alimentación Ininterrumpida), el
control de temperatura, los sistemas de aire acondicionado y los sistemas de
alarma, por poner algunos.
El tercer gran bloque de activos lo forman los servicios de TI, como los servicios
de autenticación, los sistemas de SSO (Single Sign On), los servicios de red, el
acceso controlado a Internet, etc. Todo esto visto desde un punto de vista de
servicios que se despliegan para la funcionalidad de la empresa.
Finalmente, los activos relacionados con los recursos humanos deben valorarse
al menos distinguiendo entre el personal interno (empleados) y el personal
externo como los proveedores, las visitas, etc.
Todos estos elementos forman el conjunto de activos que debemos considerar
para hacer un buen análisis de riesgos y que mediante una metodología
adecuada la organización debe gestionar de forma continua.
Esta clasificación es en esencia una orientación y, como hemos visto, en temas
anteriores otras normas relacionadas con la gestión de la seguridad han querido
distinguir en otros grupos, como se muestra en la tabla siguiente a modo de
recordatorio. En cualquier caso, los activos de la organización son los mismos
aunque agrupados de forma diferente.

Prof. Dr. D. Jesus Cano Carrillo 2

Apuntes de Informática aplicada a la Criminología

Clasificación básica Clasificación Magerit Clasificación 71504

Activos de información Datos Activos de información
Activos físicos Servicios Activos de datos
Activos de servicios TI Software Servicios
Activos humanos Hardware Aplicaciones
Soportes Equipos
Equipamiento auxiliar Comunicaciones
Redes Recursos
administrativos
Instalaciones Recursos físicos
Personal Recursos humanos
Ilustración 1. Tabla comparativa de clasificación de activos

3. Principios del análisis de riesgos

En este apartado debemos tener claro el significado de los conceptos y principios
que dan forma al análisis de riesgos. Para ello, veremos cómo se define el riesgo,
cómo es su análisis y qué debemos entender para abordar su tratamiento.
Definición de Riesgo
Se define el riesgo como la estimación del grado de exposición de una amenaza
materializada sobre uno o más activos, causando daños o perjuicios a la
organización.
Definición de análisis de riesgos
Se define el análisis de riesgos como el proceso sistemático para estimar la
magnitud de los riesgos a que está expuesta una organización, con el objeto de
conocer la situación actual y ayudar a la toma de decisiones.
Definición de tratamiento de riesgos
Se define el tratamiento de riesgos como aquel proceso destinado a modificar el
riesgo analizado. Hay múltiples formas de tratar un riesgo, como evitar las
circunstancias que lo provocan, reducir las posibilidades de que ocurra, acotar
sus consecuencias, compartirlo con otra organización como lo es típicamente
contratar un servicio o un seguro de cobertura, o, en última instancia, aceptando
lo que pudiera ocurrir y previendo recursos para actuar contingentemente
cuando sea necesario. En este último caso, nótese que una opción legítima es
aceptar el riesgo.
Como ya se ha repetido a lo largo de este módulo en la asignatura de Informática
aplicada a la Criminología, es frecuente oír que la seguridad absoluta no existe;
en efecto, siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y
sometido al umbral de calidad que se requiere del servicio. Es más, a veces
aceptamos riesgos operacionales para acometer actividades que pueden
reportarnos un beneficio que supera al riesgo, o que tenemos la obligación de
afrontar. Es por ello que a veces se emplean definiciones más amplias de riesgo

Prof. Dr. D. Jesus Cano Carrillo 3

Apuntes de Informática aplicada a la Criminología

en el sentido de incluir el efecto de la incertidumbre sobre la consecución de los

objetivos. Esto nos lleva a considerar los riesgos inherentes a la organización y
los riesgos residuales que no pueden ser tratados, es decir, que permanecen
tras la gestión de reducción, mitigación o eliminación del riesgo evaluado.
En este contexto, una amenaza viene a hacer referencia a la presentación de
algo malo o dañino de forma relativamente inminente, relacionado con un activo
y el peligro de que le suceda algo que lo menoscabe. En el tema siguiente
profundizaremos algo más sobre las amenazas y la importancia que supone la
colaboración internacional de las mismas en el ciberespacio.
Definición de plan de seguridad
Se entiende por plan de seguridad al conjunto de objetivos, estrategia y política
de seguridad de la información junto con las actividades de tratamiento de los
riesgos. Estas actividades serán las que la organización y su alta dirección han
considerado aceptables, evaluando como se vio en el tema 4 el valor del activo,
el gasto en seguridad y el impacto que supone el daño de los activos.

Dicho de otra manera, ,el análisis de riesgos permite determinar cómo es, cuánto
vale y cómo de protegido se encuentra el sistema. En coordinación con los
objetivos, estrategia y política de la organización, las actividades de tratamiento
de los riesgos permiten elaborar un plan de seguridad que, implantado y
operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la
dirección de la organización.

El análisis de riesgos es la herramienta fundamental para un plan de seguridad

de la información, ya que pone de relieve los activos, sus amenazas y los
controles de seguridad o salvaguardas que se necesitan.

4. Gestión de los riesgos

Como hemos ido recordando, las tareas de análisis y tratamiento de los riesgos
no son un fin en sí mismas, sino que se encajan en la actividad continua de
gestión de la seguridad.

Al conjunto de las actividades que hemos mencionado para estudiar los activos,
analizarlos desde el prisma de los riesgos de seguridad y la evaluación de los
tratamientos más adecuados, se le denomina Proceso de Gestión de Riesgos.

La implantación de las medidas de seguridad requiere una organización

gestionada y la participación informada de todo el personal que trabaja con el
sistema de información. Es este personal el responsable de la operación diaria,
de la reacción ante incidencias y de la monitorización en general del sistema
para determinar si satisface con eficacia y eficiencia los objetivos propuestos.

Prof. Dr. D. Jesus Cano Carrillo 4

Apuntes de Informática aplicada a la Criminología

Este esquema de trabajo debe ser repetible, pues los sistemas de información
rara vez son inmutables; más bien se encuentran sometidos a evolución continua
tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige
una revisión periódica en la que se aprende de la experiencia y se adapta al
nuevo contexto. Con esto se completa el proceso cíclico que hemos mencionado,
mediante el ciclo PDCA o circulo de Deming.

Ilustración 2. El proceso continuo PDCA

Aunque parezca insistente, debe quedar claro que el análisis y gestión de riesgos
es la piedra angular para controlar todas las actividades de la organización con
fundamento. Como modelo del sistema en términos de activos, amenazas y
salvaguardas, la fase de tratamiento estructura las acciones que se deben
acometer por la empresa.

Los sistemas de gestión de la seguridad de la información (SGSI) que siguen la

norma ISO 27001 formalizan claramente estas cuatro etapas cíclicas. El análisis
de riesgos es parte de las actividades de planificación, donde se toman
decisiones de tratamiento. Estas decisiones se materializan en la etapa de
implantación, donde conviene desplegar elementos que permitan la
monitorización de las medidas adoptadas para poder evaluar la efectividad de
las mismas y actuar en consecuencia, dentro de un círculo de excelencia o
mejora continua, denominado ciclo o círculo PDCA o de Deming (en honor al
científico estadounidense William Edwards Deming que a lo largo del siglo XX lo
desarrolló).

Esto viene a indicarnos que las tareas de análisis y tratamiento de los riesgos no
son un fin en sí mismas, sino que se encajan en la actividad continua de gestión
de la seguridad. El análisis de riesgos permite determinar cómo es, cuánto vale
y cómo de protegido se encuentra el sistema. En coordinación con los objetivos,
estrategia y política de la organización, las actividades de tratamiento de los

Prof. Dr. D. Jesus Cano Carrillo 5

Apuntes de Informática aplicada a la Criminología

riesgos permiten elaborar un plan de seguridad que, implantado y operado,

satisfaga los objetivos propuestos con el nivel de riesgo que acepta la dirección
de la organización. Como hemos dicho, al conjunto de estas actividades se le
denomina Proceso de Gestión de Riesgos y la implantación de las medidas de
seguridad requiere una organización gestionada, así como la participación
informada de todo el personal que trabaja con el sistema de información. Es este
personal el responsable de la operación diaria, de la reacción ante incidencias y
de la monitorización en general del sistema para determinar si satisface con
eficacia y eficiencia los objetivos propuestos. Por eso decimos que este esquema
de trabajo debe ser repetible pues los sistemas de información también van
cambiando con el tiempo, puede haber nuevos activos, nuevas amenazas, lo
que exige una revisión periódica en la que se aprende de la experiencia y se
adapta al nuevo contexto.

El análisis de riesgos es pues una piedra angular de los procesos de evaluación,

certificación, auditoría y acreditación que formalizan la confianza que merece un
sistema de información. Dado que no hay dos sistemas de información iguales,
entonces la evaluación de cada sistema concreto requiere amoldarse a los
componentes que lo constituyen. El análisis de riesgos proporciona la visión de
cómo es cada sistema, qué valor posee, a qué amenazas está expuesto y de
qué salvaguardas se ha dotado. Es pues el análisis de riesgos paso obligado
para poder llevar a cabo todas las tareas mencionadas, que se relacionan según
el siguiente esquema:

Ilustración 3. Modelo de valor (Fuente: MAGERIT)

Prof. Dr. D. Jesus Cano Carrillo 6

Apuntes de Informática aplicada a la Criminología

Las fases del proceso

A nivel metodológico se deben distinguir varias fases, e incluso una más que
identificaría la fase de mejora que vuelve de nuevo a la fase inicial con la
intención de hacer cíclico y continuo el proceso.

Como hemos tenido oportunidad de practicar en las actividades de forma

individualizada, la visión de conjunto empieza por un claro compromiso de la
organización en forma de política de seguridad. Pero estrictamente, el análisis y
gestión del riesgo empieza por acotar el alcance de este estudio. Por tanto, para
un análisis necesitaremos estos pasos o fases:

 Paso 1. Definir el alcance del análisis

 Paso 2. La correcta identificación de lo activos
 Paso 3. Identificar las amenazas
 Paso 4. Qué debilidades o vulnerabilidades tienen mis activos e identificar
las medidas de seguridad para atajarlos
 Paso 5. Evaluar el riesgo
 Paso 6. Prescribir un tratamiento

Relaciones conceptuales del riesgo

Alrededor del riesgo hay una serie de elementos cuyas relaciones deben
quedarnos meridianamente claras. Vemos en la ilustración 1, en primer lugar,
aquellos elementos que incrementan el riesgo: amenazas, vulnerabilidades y el
impacto del daño.
Al contrario, al adoptar una serie de medidas de seguridad, las salvaguardas
disminuirán ese riesgo. Aunque en la ilustración no se reflejen todas y cada una
de los enlaces semánticos entre cada entidad, se resaltan algunas como es la
influencia sobre los activos de las vulnerabilidades o cómo las salvaguardas
pretenden en realidad buscar proteger las amenazas.
En la mayoría de ocasiones, una vulnerabilidad es usada por una determinada
amenaza, lo que en este contexto se denomina explotación y a la herramienta
que lo implementa se la suele denominar “exploit”. Véase la ilustración 1.

Prof. Dr. D. Jesus Cano Carrillo 7

Apuntes de Informática aplicada a la Criminología

Ilustración 4. Esquema de relaciones de riesgo

Visto desde otro enfoque, tenemos el esquema representado en la presentación

(diapositiva número 11) donde el elemento central es el activo. Desde el punto
de vista del activo, lo que más nos debe interesar es su valor para la organización
y las amenazas a las que está expuesto. Estas amenazas afectan al activo,
degradándolo o dañándolo, lo que se cuantifica mediante un valor de impacto y
mediante la probabilidad de que ocurra esa amenaza. Todo ello, forma parte de
manera conceptual del cálculo del riesgo.

Fórmula del riesgo

Llegados a este punto, hemos de definir matemáticamente el riesgo (R) como la

multiplicación de la probabilidad (P) de ocurrencia de una amenaza y del impacto
(I) sobre el activo como consecuencia del daño sufrido en el mismo. Así, la
fórmula del riesgo es:

R=PxI

De aquí podemos obtener un valor numérico o categórico que va a representar

el riesgo y que, evaluado en el futuro, en la forma cíclica que la metodología de
gestión sugiere, nos va a permitir saber si vamos mejorando en cuanto a
seguridad en la organización.

Prof. Dr. D. Jesus Cano Carrillo 8

Apuntes de Informática aplicada a la Criminología

Para hacer este cálculo, el procedimiento se basa en establecer una matriz de

cálculo donde unos valores cualitativos nos van a permitir evaluar el riesgo, como
por ejemplo el que se muestra en la figura siguiente para esta asignatura:

MATRIZ CUALITATIVA PROBABILIDAD DE LA AMENAZA

DEL RIESGO

BAJO MEDIO ALTO

IMPACTO BAJO BAJO MEDIOBAJO MEDIO

SOBRE EL
ACTIVO
MEDIO MEDIOBAJO MEDIO MEDIOALTO

ALTO MEDIO MEDIOALTO MUY ALTO

Ilustración 5. Matriz cualitativa del riesgo elaborada

Otra herramienta a nuestra disposición para realizar los cálculos puede ser
numéricos como se indica en la siguiente tabla, donde la magnitud del daño
indica exactamente el impacto.

MATRIZ PROBABILIDAD
CUANTITATIVA

1 2 3 4

IMPACTO 1
1 2 3 4
2
2 4 6 8
3
3 6 9 12
4
4 8 12 16
Ilustración 6. Matriz cuantitativa particionado en 3 tipos de riesgo

Prof. Dr. D. Jesus Cano Carrillo 9

Apuntes de Informática aplicada a la Criminología

Como se puede observar, se establece un rango a nivel metodológico. En una

baremación como la mostrada en el cuadro anterior se evalúa el impacto en el
intervalo de valores de 1 a 4, de menor a mayor impacto, y la probabilidad de 1
a 4, de menor a mayor probabilidad. Como el valor máximo es 16 y el mínimo es
1, está claro que cerca del 16 habrá un riesgo muy alto y alrededor del 1 un
riesgo muy bajo. Un criterio gradual para establecer un riesgo medio podría serla
diagonal hacia abajo como riesgo bajo como el intervalo [1, 6], la diagonal
superior como riesgo medio (6,12) y riesgo algo como [12, 16].

MAGERIT

En esta asignatura quisiéramos resaltar una metodología española para la

gestión de riesgos para la seguridad de la información, que ha sido un esfuerzo
importante de la Administración pública, como es MAGERIT, cuyas siglas
simbolizan la denominación de Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información. La versión 3 de esta metodología es la
actualización de 2012, fruto de la toma de contacto con las metodologías
surgidas en los últimos años, como la ISO 27000 y otras iniciativas relacionadas.

Al margen de ser una metodología de índole nacional, ha sido la base de

herramientas de apoyo informático como es el caso de la aplicación PILAR,
apoyado por el Centro Criptológico Nacional, la aplicación GxSGSI que también
basada en Magerit ha sido homologada por la Agencia Europea de Seguridad de
la Información (ENISA), la herramienta argentina R-Box o SECITOR, que incluye
Magerit además de otras metodologías como ISO 27000 puramente, ENS
(Esquema Nacional de Seguridad), etc. En este sentido, las ultimas revisiones
de la aplicación PILAR pretende cubrir estas otras metodologías para así cubrir
una mayor y amplio espectro de clientes con necesidades de gestión de la
seguridad de la información.

5. Consideraciones adicionales
Concienciación y formación

La concienciación y la formación en este tema son fundamentales. Aunque la

metodología en sí resulta una materia especialmente difícil de entender por los
usuarios, debe de hacerse ver como parte de este mecanismo de que la
seguridad no se puede improvisar.

El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración

activa de las personas involucradas en el sistema de información, especialmente

Prof. Dr. D. Jesus Cano Carrillo 10

Apuntes de Informática aplicada a la Criminología

si su actitud es negativa, contraria a las medidas, o tienen la percepción

burocrática del análisis de riesgos.

La solución en el fondo es crear “cultura de seguridad” que, emanando de la alta

dirección, conciencie a todos los involucrados de su necesidad y pertinencia.
Para la creación de esta cultura es necesaria una política de seguridad
corporativa, pero que se entienda, escrita para no expertos, que se difunda y que
se mantenga al día. Se necesita unos planes, unos procedimientos y unas guías,
que no sean asépticos, sino que hablen de la realidad de la organización, que
diga claramente lo que es correcto y lo que no. Y como colofón, una cultura de
seguridad supone un esfuerzo continuo en formación, insistiendo y recordando,
según cada puesto de trabajo, no sólo a nivel genérico.

Evitar el rechazo a la aplicación de una metodología de gestión de riesgos, es

importante que las actividades no se contradigan con la productividad de la
empresa, o que afecte mínimamente, que sea coherente con la organización y
su gente y que sea ejemplificada por los cargos directivos.

Auditorías
Aunque no sea lo mismo, no están muy lejos de este mundo las auditorías,
internas o externas, a las que se someten los sistemas de información. Unas
veces requeridas por ley para poder operar en un cierto sector mediante
cumplimiento de determinada normativa, otras veces son requeridas por la propia
Dirección de la Organización o por entidades colaboradoras que ven su propio
nivel de riesgo ligado al de nuestra organización.
Una auditoría puede servirse de un análisis de riesgos con la idea de conocer el
sistema, a qué se expone y valorar la eficacia y eficiencia del mismo a través de
sus salvaguardas. En este sentido, a partir del análisis de riesgos se puede
analizar el sistema e informar a la dirección de la organización de si el sistema
está bajo control; es decir, si las medidas de seguridad adoptadas están
justificadas, implantadas y monitorizadas, de forma que se puede confiar en el
sistema. Como conclusión de la auditoría se obtiene un informe de necesidades
detectadas al contrastar el análisis de riesgos con la realidad.
Tomando el caso de auditoría específicamente para el ámbito de la protección
de datos, se define el informe de auditoría como el dictamen que sobre la
adecuación de las medidas y controles para identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias, incluyendo
datos, hechos, observaciones y recomendaciones, como indica el Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de
datos de carácter personal (art. 96.2).

Prof. Dr. D. Jesus Cano Carrillo 11

Apuntes de Informática aplicada a la Criminología

Por otro lado, el caso de la Administración pública ilustra la auditoría desde un

punto de vista más de gestión de la seguridad de los sistemas de información
conforme al Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica,
donde las auditorías deben ser ordenadas regularmente y repetirse para que ese
ciclo de Deming de análisis y gestión de riesgos que veníamos mencionando a
nivel metodológico se pueda realizar de forma continua.

Prof. Dr. D. Jesus Cano Carrillo 12