Ciclo de vida de la gestión del riesgo

[3.1] ¿Cómo estudiar este tema?

[3.2] Introducción

[3.3] Evaluación de riesgos de TI

[3.4] Respuesta y mitigación del riesgo

[3.5] Monitoreo y reporte de riesgos y controles

3
T EMA
 Esquema

TEMA 3 – Esquema
Ciclo de vida de la gestión del riesgo

Evaluación de riesgos Respuesta y mitigación Monitoreo y reporte

de TI del riesgo de riesgos y controles

© Universidad Internacional de La Rioja (UNIR)

Análisis de Riesgos Legales
 Análisis de Riesgos Legales

Ideas clave

3.1. ¿Cómo estudiar este tema?

Para estudiar este tema debes leer estas ideas clave, ampliar la información que aparece
en las publicaciones oficiales de los estándares y consultar la bibliografía y los recursos
recomendados.

3.2. Introducción

Ciclo de vida de la gestión del riesgo

Para una adecuada gestión del riesgo es necesario implantar un proceso cíclico de
evaluación y tratamiento de este.

Los cambios en el entorno externo e interno de la organización hacen que el riesgo al

que está expuesta sufra variaciones. Igualmente, el grado de eficiencia y eficacia de
las acciones de tratamiento del riesgo también tienen cambios a lo largo del tiempo.

El grado de variabilidad de los factores que influyen en la estimación del riesgo es muy
alto cuando hablamos de riesgos asociados a la seguridad de la información y a los
sistemas de información que la procesan, almacenan o transmiten. Por lo tanto, si no se
revisa la evaluación inicial, con el tiempo la estimación del riesgo no reflejará la
situación actual.

Si la estimación del riesgo actual no es correcta, lo más probable es que las acciones de
tratamiento y las medidas de seguridad que se aplicaron para dar respuesta al riesgo
inicial no cubran los riesgos actuales o no tengan la eficacia y eficiencia apropiada.

Para dar respuesta a esta necesidad de actualización las metodologías de gestión de

riesgos contemplan que el proceso debe estar enmarcado en mejora continua —una
actualización constante— e incluyen una fase de seguimiento y revisión.

La metodología que se escoja debe ser objetiva, fiable, medible y replicable. Además,
debe permitir la medición continua y estar soportada por una herramienta de gestión.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Figura 1. Esquema sobre la gestión del riesgo. Elaboración propia a partir de ISO 31000.

Figura 2. Esquema sobre la gestión del riesgo. Elaboración propia a partir de ISO 27005.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Figura 3. Fases de la gestión del riesgo. Elaboración propia a partir de NIST SP 300-30 Rev. 1.

3.3. Evaluación de riesgos de TI

Evaluación de riesgos de TI

Según la norma ISO 31000, la evaluación del riesgo es un proceso global compuesto
por otros tres: identificación del riesgo, análisis del riesgo y valoración del riesgo.

La evaluación del riesgo se debe realizar de forma sistemática, iterativa y

colaborativa, en base al conocimiento y a los puntos de vista aportados por las partes
interesadas, cuya participación es imprescindible. Asimismo, se debe utilizar la mejor
información disponible, que debe ser complementada por investigaciones y fuentes
adicionales, en el caso de que sea necesario.

Identificación de riesgos de TI

La identificación del riesgo de TI es el proceso que tiene por objeto detectar,

identificar y registrar los riesgos a los que está expuesta la información y los
sistemas de información y comunicaciones de la organización.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Si consideramos el riesgo como el efecto sobre los objetivos de la incertidumbre

existente y tenemos en cuenta que este supone una desviación sobre los previstos y
puede ser positivo o negativo —o incluso tener los dos compontes—, estamos hablando
de que la existencia del riesgo supone la presencia de oportunidades o de
amenazas para la organización. En nuestro caso solo vamos a tratar los riesgos que
supongan un efecto negativo de cara a la consecución de los objetivos de la institución;
concretamente, trataremos los riesgos que tengan su origen en la materialización de
amenazas.

La finalidad de la identificación del riesgo es señalar los eventos, las materializaciones

de amenazas o las situaciones que pudiesen ocurrir y originar un impacto que
comprometiese el cumplimiento de los objetivos del sistema o de la
organización.

El proceso de identificación del riesgo incluye la señalización de las causas y del

origen de las amenazas, los eventos, las situaciones o las circunstancias que pudiesen
tener un impacto sobre los objetivos de la organización y sobre la magnitud y la
naturaleza de dicho impacto.

Para identificar los riesgos se pueden utilizar:

Métodos basados en evidencias: como listas de verificación y revisiones de

datos históricos.
Enfoques sistemáticos: un grupo de expertos utiliza un proceso sistemático para
identificar riesgos por medio de un conjunto estructurado de proposiciones o
preguntas.
Técnicas de razonamiento inductivo.

Adicionalmente se pueden utilizar técnicas de apoyo, como pueden ser la tormenta

de ideas y el método Delphi, para mejorar la precisión y la exhaustividad de la
identificación del riesgo.

Independientemente de las técnicas actuales que se empleen a la hora de identificar el

riesgo, es imprescindible que en el proceso de identificación se tengan en cuenta los
factores humanos y culturales y el propio contexto, tanto interno como
externo, de la organización.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

En función del grado de conocimiento de la existencia de un posible riesgo, este se

clasifica en:

» Conocido-conocido: el riesgo es perfectamente conocido.

» Conocido-desconocido: el riesgo se desconoce, pero se sabe que podría existir.
» Desconocido-desconocido: se desconoce todo, incluso la posible existencia del
riesgo.

A la hora de identificarlos es necesario tener en cuenta la existencia de riesgos

desconocidos.

El valor del riesgo va en función de la probabilidad de ocurrencia de un evento, de la

materialización de una amenaza y del impacto que supone dicha materialización sobre
el cumplimiento de los objetivos.

La probabilidad de materialización de una amenaza depende de:

» Su origen.
» El atacante, en caso de que sea intencionada.
» Las características de la organización: del sistema de información, del activo, del
elemento que sea objeto del ataque, de las vulnerabilidades que tenga…

En el caso de un sistema de información, una vulnerabilidad es una debilidad o fallo

que permite o facilita que un atacante pueda comprometer la integridad, la
disponibilidad o la confidencialidad de la información que procesa, almacena o
transmite dicho sistema de información.

Podemos decir que las amenazas se materializan aprovechando las oportunidades

que brindan las vulnerabilidades. Cuanto más vulnerable sea un sistema más
probable es que una amenaza se materialice, es decir, que un atacante tenga éxito.

El impacto es la consecuencia de un evento, de una materialización de una amenaza,

que compromete la integridad, disponibilidad o confidencialidad de la información que
procesa, almacena o transmite un sistema de información y que, por lo tanto, afecta de
manera negativa a los objetivos de la organización.

El valor del impacto se debe cuantificar y se puede expresar de forma cualitativa o

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

cuantitativa. Se debe tener en cuenta que el impacto puede incrementarse por

acumulación de eventos o por efectos en cascada.

Una amenaza emergente es una amenaza nueva o una ya existente en la que se ha

detectado un incremento del número de materializaciones o de cambios en sus
características que hacen que aumente el impacto.

Un riesgo se considera emergente cuando la amenaza que lo origina es emergente.

El riesgo aumenta cuando:

» El número de amenazas que lo originan aumenta.

» La probabilidad de materialización de la amenaza aumenta.
» El impacto de la materialización de la amenaza aumenta.

Es necesario tratar los riesgos de TI como riesgos emergentes.

Asimismo, es necesario identificar los riesgos emergentes. Para ello se debe establecer
un proceso específico que se desarrolla por medio de las siguientes actividades:

» Recopilación de datos.
» Análisis de los datos.
» Intercambio de información.

La recopilación de datos debe ser realizada con el mayor número posible de

fuentes: de la literatura científica, de los medios de comunicación, de la información
proporcionada por los órganos reguladores, de los datos de negocio, de la vigilancia y
supervisión de las redes y sistemas y de la opinión de expertos (miembros de paneles,
redes de contactos, grupos de interés…).

Los datos obtenidos deben ser filtrados y analizados para detectar señales e indicios
de posibles nuevos riesgos.

Por último, el intercambio de información con otras organizaciones y partes

interesadas es imprescindible para una detección temprana de los riesgos
emergentes y para una respuesta eficaz a los mismos.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

A la hora de identificar los riesgos, entre otras, se pueden utilizar las siguientes
técnicas:

» Tormenta de ideas.
» Entrevistas estructuradas o semiestructuradas.
» Delphi.
» Listas de verificación.
» Análisis preliminar de peligros.
» Estudios de peligros y de operatividad (HAZOP).
» Análisis de peligros y puntos de control críticos (HACCP).
» Apreciación de riesgos ambientales.
» Estructura «y si...» (SWIFT).
» Análisis de escenarios.
» Análisis de los modos de fallo y de los efectos.
» Análisis de causa y efecto.
» Análisis de fiabilidad humana.
» Mantenimiento centrado en la fiabilidad.
» Matriz de consecuencia/probabilidad.

Análisis de riesgos de TI

El proceso de análisis de riesgos de TI tiene por objeto alcanzar una comprensión de

los riesgos de TI. Esto nos va a proporcionar elementos de entrada para el proceso de
valoración del riesgo y para la toma de decisiones en relación a la necesidad de
tratamiento de los riesgos. Además, este proceso nos facilitará las estrategias y los
métodos de tratamiento del riesgo más apropiados.

El proceso de análisis de riesgos de TI consiste en determinar y evaluar sus

consecuencias teniendo en cuenta la probabilidad de que ocurran los sucesos de
riesgo, las materializaciones de amenazas y otros eventos que hayan sido identificados.
En este análisis se tiene en cuenta la presencia o no de los controles o medidas de
seguridad, así como su eficacia y su grado de madurez.

En función de las consecuencias, del impacto y de la probabilidad de ocurrencia se

determina el nivel de riesgo.

Para realizar un análisis de riesgos hay que identificar, considerar y tener en cuenta las

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

causas y las fuentes del riesgo: sus orígenes, amenazas, actores, circunstancias y
factores que influyen en la magnitud de las consecuencias, del impacto y la
probabilidad de materialización del mismo. Es necesario tener siempre en cuenta que
un suceso, una materialización de una amenaza, puede tener múltiples consecuencias y
puede afectar a diversos activos.

A la hora de analizar los riesgos se deben calcular dos valores de riesgo: el primero
sin incluir los controles, las medidas de seguridad, las salvaguardas… y el segundo
teniéndolos en cuenta, valorando su eficacia y su grado de madurez. Los valores de
riesgo que se generarán serán:

» Riesgo inherente: también denominado riesgo potencial, es el riesgo al que se

está expuesto sin tener en cuenta los controles implantados.
o Función (impacto, vulnerabilidad, probabilidad).

» Riesgo real: el riesgo al que se está expuesto teniendo en cuenta la eficacia y la

madurez de los controles implantados.
o Función (impacto, vulnerabilidad, probabilidad, controles).

Cuando se realiza un análisis de riesgos de TI hay que llevar a cabo una estimación de
toda la gama de los posibles impactos que se podrían derivar de un evento —de la
materialización de una amenaza—, así como de las probabilidades de ocurrencia tanto
de este como de cada uno de los posibles impactos. Sin embargo, en algunas
circunstancias podemos estimar probabilidades muy bajas, lo que nos podría llevar a
desestimar algunos riesgos por insignificantes, aunque su impacto fuese alto. En estos
casos debería tener mayor peso el impacto que la probabilidad en el cálculo del valor
del riesgo y en la toma de decisiones asociada al tratamiento de estos riesgos
insignificantes.

En ocasiones, un impacto puede ser el resultado de diferentes eventos, de diversas

circunstancias, de distintas materializaciones de amenazas o de un suceso no
identificado. En estos casos de indeterminación del origen, a la hora de analizar los
riesgos de TI hay que centrarse en analizar la criticidad y la vulnerabilidad de los
activos (de los componentes del sistema) para, en base a ellos, estimar el valor del
riesgo y poder tomar decisiones respecto al tratamientos del riesgo necesario, de los
niveles de protección y de las estrategias de recuperación.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Para analizar los riegos de TI se pueden utilizar métodos cualitativos,

semicuantitativos o cuantitativos. El grado de detalle del análisis va a depender
del caso particular, de la disponibilidad de datos fiables y de las necesidades de toma de
decisiones de la organización. En algunos casos, la legislación aplicable estable el
método y el grado de detalle del análisis de riesgos que se deben utilizar a la hora de
estudiar los riesgos de determinados sistemas de información.

La apreciación cualitativa define las consecuencias, la probabilidad y el nivel de

riesgo con niveles tales como «alto», «medio» y «bajo» o como «muy alto», «alto»,
«medio», «bajo» y «muy bajo», y combina las consecuencias y la probabilidad para
evaluar el nivel de riesgo resultante en función de criterios cualitativos. Se utilizan
habitualmente tablas para realizar la estimación:

Figura 4. Cálculo del riesgo.

Los métodos de análisis de riesgos semicuantitativos utilizan escalas de valoración

numéricas para las consecuencias y la probabilidad y las combinan para determinar
un nivel de riesgo aplicando una función matemática. Las escalas pueden ser tanto
lineales como logarítmicas, o tener cualquier otro tipo de relación; las funciones
también pueden ser muy diferentes. No obstante, siempre se debe intentar definir
criterios objetivos a la hora de efectuar una valoración.

Como ejemplo se incluyen tres tablas de valoración de impacto, una por cada
dimensión de la seguridad de la información: integridad, disponibilidad y
confidencialidad.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Integridad
5 Imprescindible para prestar el servicio.
No hay activo alternativo y tiene difícil sustitución.
4 Imprescindible para prestar el servicio.
Hay alternativa, pero no cubre todas las necesidades.
El tiempo de reposición es alto.
3 Imprescindible para prestar el servicio.
Hay alternativa completa o la sustitución es relativamente
sencilla.
2 El servicio puede prestarse a pesar de la perdida de integridad,
aunque con deficiencias.
Hay alternativas y a sustitución es sencilla.
1 El servicio se ve escasamente afectado a pesar de la pérdida de
integridad.
0 La degradación del activo no afecta al servicio.

Disponibilidad
5 El activo es imprescindible para prestar el servicio.
No hay activo alternativo y tiene difícil sustitución.
4 El activo es imprescindible para prestar el servicio.
Hay alternativa, pero no cubre todas las necesidades.
El tiempo de reposición es alto.
3 El activo es imprescindible para prestar el servicio.
Hay alternativa completa o la sustitución es relativamente
sencilla.
2 El servicio puede prestarse a pesar de la degradación del activo,
aunque con deficiencias.
Hay alternativas y a sustitución es sencilla.
1 El servicio se ve escasamente afectado a pesar de la degradación
del activo.
0 La degradación del activo no afecta al servicio.

Confidencialidad
5 Consecuencias muy graves con impacto económico y legal.
4 Consecuencias muy graves con impacto económico.
3 Consecuencias graves con impacto económico y legal.
2 Consecuencias graves con impacto económico.
1 Impacto económico leve
0 Sin consecuencias.

Para realizar un análisis cuantitativo es necesario estimar valores reales para las
consecuencias y sus probabilidades. Esto llevará a poder obtener valores del nivel de
riesgo en unidades específicas, generalmente económicas, las cuales se deben
establecer al inicio del proceso de gestión del riesgo, en el momento en el que establece
el contexto.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

En ocasiones no es posible o deseable realizar un análisis cuantitativo completo porque

no se dispone de suficiente información acerca del sistema o de la actividad
que se está analizando. Esto puede ser debido a que no está garantizado que se pueda
obtener un resultado válido, a la falta de datos, a la influencia de factores humanos o a
otro tipo de factores. En este caso puede ser más efectiva una valoración
semicuantitativa o cualitativa llevada a cabo por personas con conocimientos
específicos de los riesgos y de los activos que son objeto del análisis.

Cuando se utilicen métodos de análisis cualitativos o semicuantitativos, al inicio del

proceso de gestión del riesgo, se deben establecer y registrar las bases y criterios
utilizados para la valoración y definir con claridad todos los términos que se vayan a
emplear durante el análisis.

En cualquier caso, incluso cuando se haya aplicado un método cuantitativo de análisis

durante todo el proceso de gestión de riesgos es necesario ser conscientes de que todos
los niveles de riesgo calculados son estimativos.

A la hora de informar del resultado del análisis de riesgos es necesario determinar y

dejar constancia del nivel de exactitud y de precisión de los valores de riesgo
calculado. Se debe tener en cuenta que estos valores deben ser coherentes con la
precisión de los datos y con los métodos empleados a la hora de efectuar el análisis.

A la hora de analizar los riesgos, entre otras, se pueden utilizar las siguientes
técnicas:

» Estudios de peligros y de operatividad (HAZOP).

» Análisis de peligros y puntos de control críticos (HACCP).
» Apreciación de riesgos ambientales.
» Estructura «y si...» (SWIFT).
» Análisis de escenario.
» Análisis del impacto económico.
» Análisis de la causa primordial.
» Análisis de los modos de fallo y de los efectos.
» Análisis del árbol de fallos.
» Análisis del árbol de sucesos.
» Análisis de causa-consecuencia.
» Análisis de causa-y-efecto.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

» Análisis de capas de protección (LOPA).

» Diagrama de decisiones.
» Análisis de fiabilidad humana.
» Análisis de pajarita.
» Mantenimiento centrado en la fiabilidad.
» Análisis Markov.
» Redes Bayesianas.
» Curvas FN.
» Índices de riesgo.
» Matriz de consecuencia/probabilidad.
» Análisis de costes/beneficios.
» Análisis de decisión multi-criterios (MCDA).

Los niveles de riesgo se deben definir, calcular y comunicar en los términos más
adecuados para cada tipo de riesgo en cuestión —en un lenguaje entendible por el
negocio—, de forma que sea una ayuda efectiva a hora de tomar decisiones. Una
manera de hacerlo es establecer la magnitud de un riesgo como una distribución de
probabilidad sobre un conjunto de impactos.

Figura 5. Niveles de riesgo.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

3.4. Respuesta y mitigación del riesgo

Para dar una respuesta a los riesgos de TI a los que están expuestas, que han sido
identificados, analizados y valorados mediante un proceso de evaluación del riesgo, las
organizaciones deben proceder a efectuar un proceso de tratamiento del riesgo. De
acuerdo a la norma ISO-31000 este implica la selección y la implementación de una o de
varias opciones para modificar dichos riesgos.

Figura 6. Proceso de tratamiento del riesgo. Elaboración propia a partir de ISO 3100.

De acuerdo a la norma ISO-31000 las opciones de tratamiento no se excluyen

necesariamente unas a otras ni son apropiadas en todas las circunstancias. Asimismo,
estas están compuestas por algunas de las siguientes acciones:

» Evitar el riesgo decidiendo no iniciar o continuar con la actividad que lo causa.

» Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
» Eliminar la fuente del riesgo.
» Modificar la probabilidad.
» Modificar las consecuencias.
» Compartir el riesgo.
» Retener el riesgo en base a una decisión informada.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Mitigación del riesgo

Cuando hablamos de mitigación del riesgo nos estamos refiriendo a una de las siguientes
dos opciones de tratamiento del riesgo: minimizar el impacto o minimizar la
probabilidad; también pueden darse las dos en conjunto. Recordemos que las opciones
de tratamiento del riesgo no se excluyen necesariamente unas a otras ni son apropiadas en
todas las circunstancias. Minimizar el impacto se puede lograr tanto reduciendo la
degradación del activo causada por la materialización de la amenaza como disminuyendo
sus consecuencias sobre la organización. También se emplea la expresión «acotar el
impacto». Minimizar la probabilidad no es otra cosa que disminuir las posibilidades de que
ocurran eventos que supongan la materialización de una amenaza.

En ambos casos lo que hay que hacer es ampliar o mejorar el conjunto de controles,
salvaguardas o medidas de seguridad. Si hablamos en términos de madurez de las
salvaguardas, lo que hay que hacer es mejorar su nivel de madurez.

Para mitigar los riesgos a los que está expuesto un sistema de información se requiere de
una combinación de salvaguardas de diferentes tipos. La selección de las mismas
tiene que ser equilibrada y se debe tener en cuenta el tipo de activo a proteger, el propio
valor del activo y el valor de los que dependen de él, así como las amenazas a las que está
expuesto el sistema de información.

Los controles, las salvaguardas y las medidas de seguridad nos permiten hacer frente a
las amenazas a las que estamos expuestos, pero hay que tener en cuenta que las
salvaguardas, especialmente las técnicas, varían con el avance tecnológico debido a que
continuamente:

» Aparecen tecnologías nuevas.

» Van desapareciendo tecnologías antiguas.
» Cambian los tipos de activos a considerar.
» Aparecen nuevas amenazas.
» Evolucionan las capacidades de los atacantes.
» Evoluciona el catálogo de salvaguardas disponibles.

En consecuencia, el catálogo de salvaguardas que se muestra en la tabla siguiente no es

un listado de medidas de seguridad, de procedimientos o de productos a instalar; se trata
de una enumeración de salvaguardas genéricas clasificadas taxonómicamente sin llegar a

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

establecer las concreciones materiales, tecnológicas, organizativas y procedimentales que

les son de aplicación en cada momento.

Catálogo de salvaguardas

Activo Salvaguarda
Genérico Identificación y autenticación
Genérico Control de acceso lógico
Genérico Segregación de tareas
Genérico Gestión de incidencias
Genérico Herramientas de seguridad
Genérico Gestión de vulnerabilidades
Genérico Registro y auditoría
Datos/información Copias de seguridad de los datos (backup)
Datos/información Cifrado de la información
Datos/información Cifrado de la información
Datos/información Uso de firma electrónica
Datos/información Uso de servicios de sellado de tiempo
Claves criptográficas Gestión de claves de cifra de información
Claves criptográficas Gestión de claves de firma de información
Claves criptográficas Gestión de claves para contenedores criptográficos
Claves criptográficas Gestión de claves de comunicaciones
Claves criptográficas Gestión de certificados
Servicios Aseguramiento de la disponibilidad
Servicios Aceptación y puesta en operación
Servicios Se aplican perfiles de seguridad
Servicios Explotación
Servicios Gestión de cambios (mejoras y sustituciones)
Servicios Terminación
Servicios Protección de servicios y aplicaciones web
Servicios Protección del correo electrónico
Servicios Protección del directorio
Servicios Protección del servidor de nombres de dominio
Servicios Teletrabajo
Servicios Voz sobre IP
Aplicaciones (software) Copias de seguridad (backup)
Aplicaciones (software) Puesta en producción
Aplicaciones (software) Se aplican perfiles de seguridad
Aplicaciones (software) Explotación/producción
Aplicaciones (software) Cambios (actualizaciones y mantenimiento)
Aplicaciones (software) Terminación
Equipos (hardware) Puesta en producción
Equipos (hardware) Se aplican perfiles de seguridad
Equipos (hardware) Aseguramiento de la disponibilidad
Equipos (hardware) Operación
Equipos (hardware) Cambios (actualizaciones y mantenimiento)
Equipos (hardware) Terminación
Equipos (hardware) Informática móvil
Comunicaciones Entrada en servicio
Comunicaciones Se aplican perfiles de seguridad
Comunicaciones Aseguramiento de la disponibilidad
Comunicaciones Autenticación del canal
Comunicaciones Protección de la integridad de los datos intercambiados
Comunicaciones Protección criptográfica de la confidencialidad de los
datos intercambiados
Comunicaciones Operación

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Comunicaciones Cambios (actualizaciones y mantenimiento)

Comunicaciones Terminación
Comunicaciones Internet: uso y acceso
Comunicaciones Seguridad wireless (wifi)
Comunicaciones Telefonía móvil
Comunicaciones Segregación de las redes en dominios
Interconexiones Puntos de interconexión: conexiones entre zonas de
confianza
Interconexiones Sistema de protección perimetral
Interconexiones Protección de los equipos de frontera
Soportes Aseguramiento de la disponibilidad
Soportes Protección criptográfica del contenido
Soportes Limpieza de contenidos
Soportes Destrucción
Elementos auxiliares Aseguramiento de la disponibilidad
Elementos auxiliares Instalación
Elementos auxiliares Suministro eléctrico
Elementos auxiliares Climatización
Elementos auxiliares Protección del cableado
Instalaciones Diseño
Instalaciones Defensa en profundidad
Instalaciones Control de los accesos físicos
Instalaciones Aseguramiento de la disponibilidad
Instalaciones Terminación
Personal Gestión del personal
Personal Formación y concienciación
Personal Aseguramiento de la disponibilidad
Organización Organización
Organización Gestión de riesgos
Organización Planificación de la seguridad

Organización Inspecciones de seguridad

Operaciones Prevención y reacción frente a desastres
Operaciones Continuidad del negocio
Operaciones Análisis de impacto
Operaciones Plan de recuperación de desastres
Externalización Relaciones externas
Externalización Acuerdos para intercambio de información y software
Externalización Acceso externo
Externalización Servicios proporcionados por otras organizaciones
Externalización Personal subcontratado
Adquisición y Servicios: adquisición o desarrollo
desarrollo
Adquisición y Aplicaciones: adquisición o desarrollo
desarrollo
Adquisición y Equipos: adquisición o desarrollo
desarrollo
Adquisición y Comunicaciones: adquisición o contratación
desarrollo
Adquisición y Soportes de información: adquisición
desarrollo
Adquisición y Productos certificados o acreditados
desarrollo

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Actuación de las salvaguardas

De acuerdo a su forma de actuación las salvaguardas pueden ser de dos tipos:

preventivas y reactivas. Las primeras actúan reduciendo la probabilidad de
materialización de las amenazas; para ello deben reducir las oportunidades de que un
incidente ocurra. Las segundas limitan el impacto causado por la materialización de una
amenaza cuando acotan las consecuencias de un incidente.

Eficacia de las salvaguardas

Para poder determinar la eficacia de una salvaguarda es necesario conocer su grado de

implantación, lo que implica conocer cómo está configurada la medida de seguridad en
la actualidad en términos de perfeccionamiento o alcance. Para ello se debe tener en cuenta
el grado de conocimiento de la misma por parte de las personas implicadas en su buen
funcionamiento.

La combinación del grado de implantación de la medida de seguridad concreta con la

eficacia intrínseca de las misma para proteger de determinadas amenazas determinará el
su grado de eficacia real de la medida de seguridad y, por lo tanto, su capacidad para
disminuir el riesgo inherente.

Por eficacia intrínseca de una salvaguarda entendemos el grado de protección que

proporciona contra una amenaza concreta cuando su grado de implantación es total y su
eficacia es la máxima que permite su diseño y la tecnología disponible.

Para valorar el grado de implantación de las salvaguardas tenemos dos opciones: hacerlo
en porcentaje o en base a un modelo de madurez.

Nivel de madurez de las salvaguardas

0 La medida no está implantada.
1 La implantación de la medida presenta graves deficiencias por obsolescencia
o falta de mantenimiento.
2 La medida está instalada pero su actualización o mantenimiento no son
adecuados y permanentes.
Depende de otras medidas clasificadas en este nivel.
3 La medida está instalada, abarca a la mayor parte de la infraestructura, pero
no a toda.
El desconocimiento de algunas personas en relación con la medida disminuye
su eficacia.
Depende de otras medidas clasificadas en este nivel.
4 La medida de seguridad está completamente desplegada e implantada, pero
no se ha verificado o hay personas implicadas en su desarrollo y aplicación

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

que no la conocen suficientemente.

En otros casos puede que la medida dependa de otras clasificadas en este
nivel.
5 La medida de seguridad está completamente desplegada, implantada y
probada.
Todas las personas que tienen alguna relación activa con la misma han
recibido información suficiente para que la medida pueda proporcionar toda
su eficacia.
La protección proporcionada por esta medida no depende de ninguna otra, o
depende de otras con este mismo grado de implantación.

Figura 7. Cálculo de la eficacia real de una salvaguarda.

3.5. Monitoreo y reporte de riesgos y controles

La evaluación de riesgos es un proceso formalmente establecido que se basa en

múltiples estimaciones y valoraciones que, en algunos casos, pueden no reflejar
exactamente la realidad, o que con el paso del tiempo pueden alejarse de la situación
real de los riesgos evaluados. Por ello, es absolutamente necesario que el sistema de

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

información y de comunicaciones reciba una monitorización permanente para poder

detectar aquellos cambios en los contextos externo e interno, así como en el
comportamiento humano, que pueda influir en los riesgos a los que está expuesta la
organización y, por lo tanto, también en sus sistema de información y de
comunicaciones.

Medir y evaluar el desempeño de los procesos de un sistema de información y de

comunicaciones nos permite analizar, comprender y controlar mejor su
funcionamiento. Esto nos posibilitará predecir tanto su comportamiento como el de los
riesgos a los que está expuesto, así como mejorar su eficiencia y eficacia.

Tenemos que distinguir entre medidas, métricas e indicadores.

Una medida proporciona una indicación cuantitativa de la extensión, la cantidad, las

dimensiones, la capacidad o el tamaño de algunos atributos de un elemento. En nuestro
caso, mediremos factores que nos permitan evaluar el comportamiento de los riesgos,
lo que implicará evaluar las amenazas y las salvaguardas.

Una métrica es una medida cuantitativa del grado en que un sistema, componente o
proceso posee un atributo dado. Las métricas nos van a permitir relacionar y comparar
las mediciones que realicemos. Además, estas nos facilitaran medir de forma objetiva,
así como nos ayudarán a especificar en el mundo formal la correspondencia de un
atributo del mundo real. Asimismo, estas medidas sirven como base para la utilización
de métodos cuantitativos de evaluación y de predicción.

Un indicador de riesgos es una métrica o una combinación de varias que nos va a

posibilitar conocer en profundidad el comportamiento de los riesgos. Esto implica
entender en profundidad la evolución y la potencialidad de las amenazas existentes o
emergentes, así como la aplicabilidad y la efectividad de las salvaguardas implantadas.

Los indicadores deben reunir las siguientes características:

» Específicos.
» Medibles.
» Alcanzables.
» Realistas.
» A tiempo.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Los indicadores de riesgos nos sirven de base tanto para cuantificar los riesgos a los que
está expuesto el sistema de información y de comunicaciones como para la utilización
de métodos cuantitativos de evaluación y de predicción que nos permitan anticiparnos
a los riesgos. Además, estos son un elemento clave que da soporte a la toma de
decisiones, lo que nos permite:

» Medir la evolución de amenazas actuales y emergentes.

» Medir la efectividad de las salvaguardas implantadas.
» Medir la capacidad o habilidad de la organización en las tareas de seguridad.
» Obtener datos relevantes sobre el estado de seguridad de la organización.
» Saber dónde hay que hacer hincapié en la mejora de la seguridad.

Para diseñar e implantar un conjunto de métricas e indicadores de riesgos es necesario

realizar las siguientes tareas y actividades:

» Determinar las entidades a medir: una entidad es un objeto que va a ser

caracterizado mediante una medición de sus atributos. Pueden ser tanto tangibles
como intangibles. En nuestro caso, un riesgo puede ser una entidad intangible y una
salvaguarda una tangible.
» Determinar lo atributos a medir: un atributo es una propiedad mensurable,
física o abstracta de una entidad. Pueden ser internos o externos y se pueden medir
(cuantificar) por medio de una métrica directa o indirecta.
» Determinar los conceptos medibles: un concepto medible es una relación
abstracta entre atributos de una o más entidades y una necesidad de información.
» Definir las métricas: una métrica es un método de medición definido y una escala
de medición aplicable. Esta establece una correspondencia de un dominio empírico
(mundo real) a un mundo formal o matemático. La medida incluye el valor
numérico o nominal asignado al atributo de un ente por medio de dicha
correspondencia.

Lo que no se mide no se puede mejorar. Por ello, necesitamos conocer

periódicamente la evolución de los riesgos a los que está expuesto el sistema de
información y de comunicaciones de la organización, necesitamos saber si las
salvaguardas que tenemos implantadas están funcionando como se espera. Para ello,
debemos definir una serie de indicadores que nos ayude a realizar las mediciones.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Los indicadores de impacto y de riesgo potenciales son muy útiles a la hora de decidir
qué elementos y factores deben ser objeto de monitorización. Se debe diseñar
e implantar un sistema de alerta temprana que nos permita detectar de forma precoz
los posibles incidentes. Para ello puede ser útil utilizar indicadores predictivos, así
como un sistema de respuesta a incidentes de seguridad que nos posibilite hacer frente
a los riesgos a los que está expuesto el sistema de información y de comunicaciones.
Así, en el caso de que se produzcan incidentes, esto nos permitirá comunicar la
situación y la evolución del mismo a todas las partes interesadas.

Es necesario elaborar un conjunto de indicadores clave de riesgo (KRI o key risk

indicators). Al desarrollarlos es imprescindible que se definan con exactitud para cada
uno de ellos las siguientes características: medidas en las que se basan, algoritmo de
cálculo, periodicidad de evaluación y umbrales de aviso y alarma.

Debemos ser capaces de elaborar un cuadro de mando de indicadores de riesgos en un

lenguaje que tenga sentido para el negocio y hacerlo como parte indispensable
del modelo de gestión de riegos que se haya implantado en la organización. Lo anterior
deberá realizarse de modo que las métricas estén alineadas con el negocio y aporten
valor, al tiempo que ayuden a gestionar y a controlar los riesgos a los que está expuesto
el sistema de información de la organización.

Realizar mediciones persigue, entre otros, los siguientes objetivos:

» Evaluar la efectividad de la implementación de las salvaguardas.

» Evaluar la peligrosidad de las amenazas actuales y emergentes.
» Mejorar la respuesta a los riesgos.
» Ser una ayuda a la evaluación de riesgos y al plan de tratamiento de riesgos.

Un cuadro de mando de riesgos nos servirá para medir la efectividad de las

salvaguardas implantadas y el nivel de riesgo al que está expuesto el sistema de
información de la organización. Los indicadores nos deben proporcionar resultados
comparables y reproducibles. Cuando se diseñen e implanten estos, se debe especificar
la amenaza, el proceso o salvaguarda objeto de monitorización, el responsable del
análisis de datos, la periodicidad de control y los valores mínimos (límite admisible) y
esperados (valor objetivo) de cada indicador.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

La responsabilidad de monitorizar un riesgo recae sobre su propietario, sin perjuicio de

que la función pueda ser delegada en el día a día. Con todo, el dueño deberá recuperar
el control de la situación cuando hay que tomar medidas para atajar un riesgo que se ha
salido de los márgenes tolerables. Cada vez que la realidad difiere de nuestras
estimaciones conviene hacer un ciclo de revisión del análisis y de las decisiones
de tratamiento.

Elaboración de las métricas

A la hora de elaboran las métricas es necesario definir los métodos de medición, la

escala y los indicadores, así como tener en cuenta que existen dos tipos de métricas:
las directas y las indirectas. Una métrica directa es la métrica de un atributo que no
depende de ninguna de otro atributo. Una métrica indirecta, por su parte, es aquella de
un atributo que se deriva de una o más métricas de otros atributos y que se formaliza
por medio de una función de medición (un algoritmo que permite combinar dos o más
métricas).

Un método de medición es una secuencia lógica de operaciones expresadas de forma

genérica, que permite elaborar una descripción de actividad. El tipo de método de
medición va a depender de la naturaleza de las operaciones utilizadas para cuantificar
el atributo. Y se pueden distinguir dos tipos:

» Subjetivo: cuando la cuantificación supone un juicio realizado por un ser humano.

» Objetivo: cuando la cuantificación está basada en métodos numéricos.

Una escala es un conjunto de valores con propiedades definidas. Las escalas pueden
ser cualitativas o numéricas, continuas o discretas, aritméticas o logarítmicas. Existen
diferentes tipos y cada uno de ellos determina las transformaciones admisibles, el tipo
de operaciones matemáticas y los análisis estadísticos que pueden aplicarse sobre el
conjunto de valores de la escala.

Un indicador es un método de cálculo y una escala definida, con un modelo y con

criterios de decisión que tienen por objeto proveer una evaluación o estimación de un
concepto medible con respecto a una necesidad de información. Las métricas por si
solas no pueden interpretar un concepto medible; para poder llevar a cabo esta
interpretación hacen falta indicadores.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

A la hora de elaborar una métrica es conveniente utilizar un formulario que, como

mínimo, debe contemplar los siguientes campos:

» Metas: define los resultados deseados en la implantación de uno o de varios

objetivos de control o técnicas que son medidos por la métrica.
» Objetivos: define las acciones que se requieren para alcanzar las metas fijadas.
» Métrica: define la métrica describiendo la medida cuantitativa proporcionada por
esta. Utiliza una definición numérica que comienza con las palabras «porcentaje»,
«número», «media» u otros términos similares.
» Propósito: describe la funcionalidad obtenida recogiendo la métrica. Incluye si esta
será utilizada como medida interna o para preparar informes, qué visibilidad se
espera obtener con esta métrica, las razones legales para recoger métricas específicas
(si existen) o información similar.
» Evidencia de la implantación: prueba de la existencia de controles que validan
la implantación. Esta información se utiliza para calcular la métrica que valida que la
actividad se ha realizado, así como a modo de factor causal, que puede señalar las
causas de los resultados.
» Frecuencia: periodos de tiempo propuestos para recoger los datos que se utilizan
para medir los cambios producidos.
» Fórmula: describe el cálculo que debe realizarse y que proporciona los resultados
numéricos de la métrica.
» Origen de los datos: relación de la ubicación de los datos utilizados para calcular
la métrica. Incluye bases de datos, herramientas de seguimiento, organizaciones o
roles específicos dentro de la organización que pueden proporcionar información.
» Indicadores: indicadores a los que se encuentra asociada la métrica. Proporcionan
información acerca del significado de esta y de su tendencia. Señalan posibles causas
de tendencias identificadas mediante medidas y posibles soluciones para corregir el
defecto. Define si el objetivo ha sido alcanzado mediante la métrica e indica qué
tendencia debería ser considerada positiva en relación con el objetivo fijado.

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Un ejemplo de cómo se podría definir una métrica para una salvaguarda es el

siguiente:

Medida Nombre de la métrica

Define la cantidad medida como un porcentaje, un
número, una frecuencia, un coeficiente, una
Valor diferencia, etc.
Tipo de control al que se refiere la métrica. Puede ser
Tipo de despliegue, de eficacia, de eficiencia, etc.
Propósito Objetivo que se persigue con esta métrica.
Cliente Público objetivo de la métrica.
Define el método utilizado en la medida, la función
Método de medida de cálculo o el modelo de análisis.
Define el tipo de escala (nominal, ordinal, intervalos,
Escala ratio).
Define el método de recolección de datos utilizado en
Procedimiento la métrica.
Propietario Persona o unidad organizativa que usará la métrica.
Peticionario Persona o unidad organizativa responsable de
solicitar las variables.
Entrada Persona o unidad organizativa responsable de
recoger y almacenar la información sobre los
atributos o entidades sujetas a medida.
Comunicación Persona o unidad organizativa responsable de
comunicar la medida.
Revisión Persona o unidad organizativa responsable de aplicar
los criterios de evaluación sobre la métrica para
Personas verificar su validez y confiabilidad respecto del
a cargo control de seguridad.
Frecuencia de Periodo de tiempo que transcurre entre la recogida
obtención de datos.
Periodicidad Período de tiempo de almacenamiento del dato.
de la entrada
Fecha de Fecha en la que se obtiene el dato.
obtención
Ciclo de Fecha de Fecha de expiración de la validez de la métrica.
vida validez
Criterios Criterios para la medida.
Alcance o dominio Define el ámbito al que se circunscriben los datos
que se van a recabar (una máquina específica, un
servicio, un grupo de recursos, una red, un edificio,
un departamento o grupo, una unidad de negocio,
etc.).

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Lo + recomendado

No dejes de ver…

Ciberriesgos

En los siguientes videos puedes ver diferentes aproximaciones y visiones de los

ciberriesgos.

Accede a los vídeos a través del aula virtual o desde las siguientes direcciones web:
[Link]
[Link]
[Link]

TEMA 3 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Ciberamenazas

En los siguientes videos puedes ver diferentes aproximaciones y visiones respecto a las
ciberamenazas.

Accede a los vídeos a través del aula virtual o desde las siguientes direcciones web:
[Link]
[Link]
[Link]

Ciberinteligencia

En los siguientes videos puedes ver diferentes aproximaciones y visiones respecto a la

ciberinteligencia.

Accede a los vídeos a través del aula virtual o desde las siguientes direcciones web:
[Link]
[Link]
[Link]

TEMA 3 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

+ Información

A fondo

Modelo de Gestión Integral del Ciber riesgo

Hoyos, D. A. (2017). Modelo de Gestión Integral del Ciber riesgo (trabajo fin de
máster). Universidad Carlos III: Madrid.

Este trabajo pretende aportar una metodología que permita a las organizaciones
identificar, analizar y evaluar el ciberriesgo como herramienta para establecer
diferentes medidas, procesos y sistemas de acción para gestionarlo. El trabajo se
encuentra dividido en cuatro capítulos: el primero define el ciberespacio, el segundo
aporta un concepto para el ciberriesgo, el tercero presenta un sistema de gerencia y de
gestión del ciberriesgo y el cuarto aporta herramientas para cuantificar el ciberriesgo de
forma actuarial.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
[Link]
magen_id.cmd?idImagen=1107111

La ciberseguridad como reto internacional: La protección frente a las

ciberamenazas

Ferrando, A. L. (2018). La ciberseguridad como reto internacional: La protección

frente a las ciberamenazas (trabajo fin de máster). Universidad Oberta de Catalunya:
Barcelona.

Este trabajo utiliza una metodología documental para llevar a cabo un análisis en
profundidad sobre la ciberseguridad en el ámbito internacional.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
[Link]
[Link]

TEMA 3 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Test

1. ¿Cuál de las siguientes no es una característica de un indicador?

A. Objetivo.
B. Realista.
C. Específico.
D. Medible.

2. ¿Cuál de las siguientes afirmaciones es correcta?

A. El riesgo potencial es aquel al que se está expuesto teniendo en cuenta la
eficacia y la madurez de los controles implantados.
B. El riesgo real es aquel al que se está expuesto sin tener en cuenta los controles
implantados.
C. El riesgo inherente es aquel al que se está expuesto teniendo en cuenta la
eficacia y la madurez de los controles implantados.
D. El riesgo real es aquel al que se está expuesto teniendo en cuenta la eficacia y
la madurez de los controles implantados.

3. ¿Cuál de las siguientes afirmaciones es correcta?

A. Para realizar un análisis semicuantitativo es necesario estimar valores reales
para las consecuencias y sus probabilidades.
B. Para realizar un análisis cuantitativo no es necesario estimar valores para las
consecuencias y sus probabilidades.
C. Para realizar un análisis cualitativo es necesario estimar valores reales para
las consecuencias y sus probabilidades.
D. Para realizar un análisis cuantitativo es necesario estimar valores reales para
las consecuencias y sus probabilidades.

4. A la hora de identificar los riesgos, ¿cuál de las siguientes no es una técnica valida?
A. Análisis de escenarios.
B. Tormenta de ideas.
C. Análisis Markov.
D. Análisis de fiabilidad humana.

TEMA 3 – Test © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

5. Respecto al tratamiento del riesgo, ¿cuál de las siguientes afirmaciones es correcta?

A. Hay dos formas básicas de compartir riesgo: financiando y transfiriendo.
B. Para mitigar el riesgo existen tres opciones.
C. La eliminación de la fuente de riesgo es una opción frente a un riesgo que no
es aceptable.
D. Solo se comparte el riesgo cualitativo.

6. A la hora de analizar los riesgos, ¿cuál de las siguientes no es una técnicas válida?
A. Tormenta de ideas.
B. Análisis Markov.
C. Análisis de escenarios.
D. Análisis de árbol de fallos.

7. De acuerdo a su forma de actuación las salvaguardas se pueden clasificar en:

A. Preventivas y adaptativas
B. Preventivas y correctivas.
C. Anticipativas y reactivas.
D. Preventivas y reactivas.

8. ¿Cuál de las siguientes afirmaciones es correcta?

A. Una métrica es una estimación del grado en que un sistema, componente o
proceso posee un atributo dado.
B. Una métrica es una medida cualitativa o cuantitativa del grado en que un
sistema, componente o proceso posee un atributo dado.
C. Una métrica es una medida cuantitativa del grado en que un sistema,
componente o proceso posee un atributo dado.
D. Una métrica es una medida cualitativa del grado en que un sistema,
componente o proceso posee un atributo dado.

9. ¿Cuál de las siguientes afirmaciones es incorrecta?

A. El valor del impacto se debe cuantificar y se puede expresar de forma
cualitativa o cuantitativa.
B. El riesgo aumenta cuando la probabilidad de materialización de la amenaza
aumenta también.
C. El impacto puede incrementarse por acumulación de eventos.
D. El impacto es independiente del número de eventos.

TEMA 3 – Test © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

10. ¿Cuál de las siguientes no es una clasificación de tipo de riesgos?

A. Conocido – conocido.
B. Conocido – desconocido.
C. Desconocido – desconocido.
D. Desconocido – conocido.

TEMA 3 – Test © Universidad Internacional de La Rioja (UNIR)