Tema 4

Ciberseguridad Industrial

Tema 4. Analizando los

riesgos de las
infraestructuras críticas
industriales y en IoT
Índice
Esquema

Ideas clave

4.1. Introducción y objetivos

4.2. Riesgos tecnológicos de las IIoT

4.3. Introducción al análisis del riesgo

4.4. Diseño y preparación de programas de

ciberseguridad en sistemas industriales basado en
análisis de riesgos y estándares

4.5. Analizando los riesgos con la metodología MARISMA

4.6. Referencias bibliográficas

A fondo

Coste del cibercrimen

Análisis de Riesgos

MARISMA

MARISMA en FEDER

Test
 Esquema

Ciberseguridad Industrial 3
Tema 4. Esquema
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

4.1. Introducción y objetivos

En este tema se describen los conceptos y fundamentos más importantes

relacionados con los riesgos asociados a la ciberseguridad y su aplicación en el

ámbito de IIoT. El tema se centra, fundamentalmente, en los aspectos relacionados

con la forma de identificar y gestionar los riesgos dentro de un entorno IIoT, los

beneficios que se obtienen como consecuencia de su aplicación y cómo realizar un

seguimiento constante del riesgo. Estos conceptos son esenciales para que se

pueda comprender cómo la aplicación de la ciberseguridad en entornos industriales

es un aspecto crítico para la sociedad actual y, de este modo, aprovechar todas las

ventajas que aporta a las organizaciones.

Es importante hacer un punto de situación respecto a algunos aspectos esenciales a

la hora de realizar un análisis de riesgos.

El riesgo en la seguridad

En los últimos años cada vez es más frecuente escuchar el concepto de «sistemas

ciberfísicos», «IIoT», «Internet de las cosas», «IoT industrial» , etc., pero todos

estos conceptos llevan asociado un nivel de riesgo que tiene que poder medirse y

gestionarse de forma adecuada.

Conceptos como «ciberseguridad» y «ciberdefensa» se han convertido en palabras

cada vez más frecuentes en una sociedad dominada por la tecnología digital que, a

su vez, supone uno de los mayores riesgos que tiene que asumir nuestra sociedad.

Informes como los presentados por Karpersky, Symantec, Norton o McAfee

demuestran que, actualmente, la ciberseguridad es uno de los mayores riesgos

para la industria de las naciones modernas y que más puede afectar a los

pilares del estado del bienestar. En sociedades en las que operaciones bancarias,

de gobierno, energía, transporte, hospitales, etc., se gestionan mediante medios

digitales, el poder protegerlos y contar con mecanismos adecuados es una cuestión

Ciberseguridad Industrial 4
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

crítica.

De esta forma, en el informe de McAfee sobre cibercrimen del 2014 y años

posteriores, podemos ver cómo la globalización y la cada vez mayor dependencia de

la tecnología ha cambiado completamente la forma de entender la seguridad. Los

principales puntos en los que hace hincapié el informe son los siguientes (McAfee,

2014a y McAfee, 2014b):

▸ En este momento, los «chicos malos» tienen la sartén por el mango (si están

atacando los sistemas por razones de espionaje industrial o políticos, o simplemente

para robar dinero) porque la falta de acuerdos internacionales les permite operar
de manera rápida y, sobre todo, con impunidad. La protección de datos y

sistemas contra los ciberataques se ha centrado hasta ahora en sofocar las llamas,
aunque recientemente la atención se ha ido desplazando hacia una autoprotección
más firme.

▸ El hecho de que el ciberespacio no tiene fronteras implica que la ciberseguridad

es solo tan buena como su eslabón más débil y, por tanto, es necesario tomar
medidas acerca de los países no regulados que pueden ofrecer un refugio para los
delincuentes cibernéticos.

▸ Cada año ve nacer un millón de nuevos virus, desde gusanos a bombas

lógicas, y esa cifra sigue subiendo. Las amenazas provienen de fuentes que van
desde lo criminal (el fraude online eclipsa actualmente a todas las otras formas de
fraude) hasta las cada vez más frecuentes razones de espionaje, a través de
hacktivistas y terroristas motivados políticamente que son utilizados en su mayoría
con fines de reclutamiento.

▸ La ciberdelincuencia cuesta a la economía mundial 445 billones de dólares

todos los años, con un daño al negocio que supone el robo de la propiedad

intelectual superior a 160 mil millones de dólares a causa de la piratería.

▸ La mejora de la colaboración internacional está empezando a dar resultados en

Ciberseguridad Industrial 5
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

la reducción de la delincuencia cibernética, por ejemplo, con la interrupción hace

pocos meses de un anillo criminal que infectó a cientos de miles de ordenadores
conocidos por el nombre de su software principal: Gameover Zeus.

Incidiendo en la cuestión de la delincuencia cibernética, Costin Raiu, de Karpesky,

ha comentado: «Es una hidra de tres cabezas. La primera es que es rentable. La

segunda, es de bajo riesgo. La tercera y más importante es que es anónimo. La

autoría es uno de los mayores problemas del cibercrimen».

En un entorno empresarial globalizado y competitivo como el actual, las empresas

dependen cada vez más de sus sistemas de información (Wiander, 2008), ya que se

han mostrado como un factor de gran importancia para aumentar su nivel de

competitividad. De esta forma, las empresas ya han tomado conciencia de que la

información y los procesos que apoyan los sistemas y las redes son sus

activos más importantes (Dhillon and Backhouse, 2000; Kluge, 2008).

Estos activos están sometidos a una gran variedad de riesgos, que pueden afectar

de forma crítica a la empresa. Así, la importancia de la seguridad en los sistemas de

información viene avalada por numerosos trabajos (Brinkley and Schell, 1995;

Chung, Nixon et al., 2000; Dhillon, 2001; Jürjens, 2001; Ghosh, Howell et al., 2002;

Hall and Chapman ,2002; Masacci, Prest et al., 2005 y Walker, 2005, por citar solo

algunos.)

El problema de conocer los riesgos a los que están sometidos sus principales activos

se acentúa especialmente en el caso de las empresas industriales, que cuentan con

la limitación adicional de no tener recursos humanos y económicos suficientes para

realizar una adecuada gestión.

Con la llegada de Internet, para las empresas es cada vez más crítico implantar

controles de seguridad que les permitan conocer y controlar los riesgos a los que

pueden estar sometidas (Dhillon and Backhouse, 2000; Kluge, 2008). Gran parte de

este cambio de mentalidad en las empresas tiene su origen en el cambio social

Ciberseguridad Industrial 6
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

producido por Internet y la rapidez en el intercambio de información, que ha dado

lugar a que las empresas empiecen a tomar conciencia del valor que tiene la

información para sus organizaciones y se preocupen de proteger sus datos.

La llegada de Internet ha redefinido también la estructura de las empresas, estas

empezaron a interactuar mucho más con otras empresas, compartiendo recursos y

activos. En una época en la que la colaboración es vital en la situación actual del

mercado, es necesario contemplar también el riesgo derivado de la relación de la

empresa con su entorno, sus circunstancias (variantes en cada momento) y con

otras empresas, bien partners tecnológicos, bien como terceras partes en algún

servicio que realice la empresa o bien como coparticipantes en proyectos

multiempresa (Nachtigal, 2009).

El tratamiento de estos riesgos de tipo asociativo adquiere también especial

relevancia con la aparición del Cloud Computing, que ha alterado drásticamente la

percepción de las arquitecturas de infraestructura de sistemas de información. Esta

rápida transición hacia la «nube» supone que, desde una perspectiva de seguridad,

aparezcan una serie de riesgos y vulnerabilidades desconocidas a partir de esta

reubicación de los sistemas de información en cloud, con el consiguiente deterioro de

gran parte de la eficacia de los mecanismos tradicionales de protección (Zissis and

Lekkas, 2012).

Añadido a este tipo de riesgo, también es necesario gestionar los riesgos de carácter

vertical en la jerarquía de empresa, donde la actividad de una empresa filial puede

afectar a la empresa matriz y viceversa.

Para otros autores, uno de los aspectos críticos a tener en cuenta cuando se

implantan los sistemas de análisis y gestión del riesgo, es si el proceso se realiza

de manera eficiente, facilitando el ahorro de costes (Siegel, Sagalow et al., 2002;

Garigue and Stefaniu, 2003), ya que estos pueden influir en el dimensionamiento del

modelo de gestión de la seguridad. De esta forma, (Mercuri, 2003) se propone

Ciberseguridad Industrial 7
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

asociar como parte fundamental del desarrollo de los SGSI los análisis de coste-

beneficio (CBA) en la fase del análisis de riesgos, pero aquí surge la problemática de

cómo calcular de forma objetiva el valor monetario de los activos que debemos

proteger.

Otros investigadores (Siegel, Sagalow et al., 2002; Garigue and Stefaniu, 2003; Feng

and Li, 2011) destacan la problemática de la cantidad de aspectos subjetivos

que deben definirse a la hora de generar un análisis de riesgos, que hacen que

los resultados queden limitados para el uso interno de la compañía, pero que no

puedan ser tenidos en cuenta por terceras partes interesadas en resultados objetivos

y replicables con independencia del consultor que los realice.

Así, Garigue (Garigue and Stefaniu, 2003) remarca en sus investigaciones que,

actualmente, los gerentes no solo desean saber qué se ha realizado para mitigar los

riesgos, sino que también se debe poder dar a conocer eficaz y objetivamente cómo
se ha realizado esta tarea y si se ha conseguido ahorrar dinero. Por ello, algunos

investigadores han intentado desarrollar métricas y algoritmos que permitan

minimizar estos aspectos subjetivos (Feng and Li, 2011).

También debemos tener en cuenta que el análisis de riesgos es un proceso

costoso, y que las metodologías actuales no están pensadas para repetir el proceso

cada vez que se realice una modificación. Esto hace que las compañías no sean

conscientes de sus riesgos reales en cada momento, sino que tengan una «imagen

estática» de los riesgos que tenían hace meses o incluso años, lo que resta valor al

análisis y a su utilización por terceros. Por esto, es importante desarrollar

metodologías específicas que permitan mantener los resultados del análisis de

riesgos sin encarecer los costes.

El proyecto de la UE Coras (Fredriksen, Kristiansen et al., 2002; Lund, Braber et al.,

2003) hace de este mantenimiento del análisis de riesgos el punto principal de su

modelo. También las investigaciones de Alhawari (Alhawari, Karadsheh et al., 2012)

Ciberseguridad Industrial 8
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

se han centrado en intentar reutilizar el conocimiento adquirido en las diferentes

implantaciones para intentar obtener resultados más económicos, con menor nivel de

subjetividad y que permitan generar análisis de riesgos dinámicos sin incurrir en

costes excesivos.

Existen otras muchas investigaciones sobre análisis de riesgos, entre ellas se puede

destacar la propuesta de Barrientos (Barrientos and Areiza, 2005) y UE CORAS

(IST–2000–25031) (Fredriksen, Kristiansen et al. 2002; Lund, Braber et al. 2003). La

propuesta de Barrientos (Barrientos and Areiza 2005) está basada en llevar a cabo

un análisis relativo a la seguridad informática para identificar el grado de

vulnerabilidad y determinar los aspectos de mejora a ser llevados a cabo en la

organización con el objeto de reducir el riesgo. Por otro lado, UE CORAS (IST–2000–

25031) (Fredriksen, Kristiansen et al., 2002; Lund, Braber et al., 2003) está

desarrollando un marco para el análisis de riesgos de seguridad que utiliza UML2,

AS/NZS 4360, ISO/IEC17799, RM–ODP6, UP7 y XML8.

Por lo tanto, podemos concluir que los modelos de análisis y gestión del

riesgo son fundamentales para las empresas, pero que actualmente no

existen metodologías que se adecuen y las existentes se muestran

ineficientes.

Por otro lado, las metodologías también tienen importantes carencias, al carecer de

mecanismo de reutilización de conocimiento, adaptación al cambio, control de

elementos asociativos y jerárquicos, sistemas objetivos de tasación y generación de

riesgos, que como se han visto son elementos cada vez más importantes para las

compañías.

Ciberseguridad Industrial 9
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Objetivos de la unidad

Los objetivos que se alcanzarán tras la lectura de este tema son los siguientes:

▸ Conocer en profundidad los conceptos asociados con el riesgo y sus elementos.

▸ Conocer la metodología de análisis de riesgos MARISMA.

▸ Conocer la forma de realizar un análisis de riesgos y una correcta gestión de este.

Ciberseguridad Industrial 10
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

4.2. Riesgos tecnológicos de las IIoT

Veremos los principales problemas que actualmente se están planteando para poder

aplicar y determinar los riesgos tecnológicos relacionados con el IoT industrial y

cuáles son los principales retos a los que se enfrentan los gobiernos en el futuro para

solucionarlos.

Unade las prioridades del Centro Nacional de Protección de las

Infraestructuras Criticas (CNPIC), que marcó en su informe Mapa de Ruta

CiberSeguridad Industrial en España 2013 – 2018 (CCI, 2013), fue la orientación al

riesgo. No olvidemos que uno de los elementos clave a la hora de evaluar la

seguridad en cualquier tipo de entorno industrial, máxime en una infraestructura

crítica, son sus sistemas ciberfísicos.

En el segundo bloque de objetivos se marcaba como prioridad «Pag. 24 - Los

Entornos Industriales deben disponer de herramientas para evaluar y controlar los

riesgos de ciber-seguridad» (p.24) y marcaba una serie de elementos que se deben

analizar para solucionar esta problemática.

A continuación, analizaremos los diferentes aspectos desde la perspectiva directa de

la medición y el análisis del riesgo, pero para que el alumno pueda tener un visión

global y completa deberá también analizar los otros tres aspectos mencionados en el

informe («Cultura de la seguridad», «Medidas de protección» e «Incidentes de

seguridad»), ya que también forman parte de forma inseparable de una buena

gestión de riesgos.

Desafíos/obstáculos

Actualmente, las metodologías de riesgos de seguridad de la información

específicas para sectores industriales con capacidad de determinar y medir el

riesgo son aún muy escasas o de reciente aparición, esto es un gran obstáculo

Ciberseguridad Industrial 11
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

para medir los sistemas.

Prioridades

Las industrias deben, para entender y analizar sus riesgos, confeccionar

catálogos de activos, amenazas y vulnerabilidades.

Para ello, se tendrá en cuenta el conocimiento experto de profesionales de la

industria. Se deberán editar, en primer lugar, catálogos generales de aplicación a

cualquier entorno industrial para, posteriormente, desarrollar catálogos específicos

para diferentes sectores. Estos catálogos serán componentes fundamentales que

permitirán la adaptación de metodologías de análisis de riesgos a las

particularidades de los entornos industriales, de forma que permitirán calcular, de

manera objetiva y repetible, los riesgos que las industria están asumiendo.

Igualmente, se desarrollarán métricas de rendimiento que permitan realizar

comparativas.

Finalmente termina indicando que es «fundamental que existan estas herramientas

para seguir con el proceso de mejora continua, ya que una vez que se han

implantado nuevos controles resulta necesario medirlos para ver el efecto que han

tenido» (p. 25).

Objetivos

Dentro del informe el Centro de Ciberseguridad Industrial, se marcaron cinco

objetivos orientados a medir y analizar el riesgo:

▸ El inventario de activos con implicaciones en ciberseguridad no es

adecuadamente conocido. La mayoría de las empresas no tienen actualmente un

catálogo de activos real y ni siquiera son conscientes de cuáles son estos activos.

▸ No existe conocimiento formal del riesgo, las amenazas y vulnerabilidades a las

que los sistemas de control industrial están sujetos. La mayoría de las Industrias no

Ciberseguridad Industrial 12
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

han realizado nunca un análisis de riesgos.

▸ No existen herramientas prácticas y eficientes para la evaluación del riesgo en

sistemas de control industrial.

▸ Faltan métricas apropiadas que permitan medir el riesgo de una forma dinámica.

▸ Integración de los riesgos de ciberseguridad dentro de las herramientas/sistemas

de gobierno corporativo, que incluyan la gestión de otros riesgos de negocio.

Hitos

El Centro de Ciberseguridad Industrial se plateo una serie de hitos que debía cumplir

al cerrarse el año 2018, parte de los cuales todavía no ha podido cumplir total o

parcialmente:

▸ Disponibilidad de catálogos de tipo general de activos, amenazas y vulnerabilidades.

▸ Adaptación de metodología de análisis de riesgos.

▸ Primeras aplicaciones de la metodología en actores representativos de la industria.

▸ Catálogos sectoriales de activos, amenazas y vulnerabilidades.

▸ La aplicación de la metodología de análisis se extiende en distintos ámbitos de la

industria.

▸ Se aplica la metodología de análisis de riesgos a nuevos despliegues industriales.

▸ La metodología de análisis de riesgos es aplicada a infraestructuras existentes.

▸ Organizaciones disponen de planes maestros de ciberseguridad e integran en un

procedimiento de control de cambios las modificaciones a los componentes de las

infraestructuras.

▸ Desarrollo de herramientas de software para análisis de riesgos.

Ciberseguridad Industrial 13
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ El análisis de riesgos es una parte fundamental de los nuevos despliegues

industriales.

▸ Desarrollo de herramientas de monitorización de seguridad.

Acciones

Finalmente, se plantearon las acciones que debían permitir conseguir dichos

objetivos, que fueron agrupadas en cuatro bloques:

▸ [RISK-1] Desarrollo de catálogos de activos, amenazas y vulnerabilidades para

distintos sectores industriales. Para cumplir con esta acción, desde la

metodología MARISMA se acuñó el concepto de «meta-patrón» como un sistema
que permitía soportar diferentes patrones sectoriales con conceptos de herencia. En
la Tabla 2 podemos ver la ficha planteada en el Mapa de Ruta de España para esta
acción.

Tabla 2. Acción para medir y analizar RISK-1. Fuente: CCI (2013).

Ciberseguridad Industrial 14
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ [RISK-2] Definición de una metodología de análisis de riesgos. Como se ha

comentado anteriormente, aunque existen muchas metodologías de análisis de

riesgos, pocas de ellas se han mostrado adecuadas para sectores industriales por
diferentes carencias. MARISMA ha intentado solucionar todas estas carencias. En la
Tabla 3 podemos ver la ficha planteada en el Mapa de Ruta de España para esta
acción.

Tabla 3. Acción para medir y analizar RISK-2. Fuente: CCI (2013).

▸ [RISK-3] Desarrollo de métricas de rendimiento comunes. Uno de los grandes

problemas de los análisis de riesgos actuales es cómo obtener métricas fiables y que

evolucionen con el tiempo. En el caso de MARISMA, estas métricas se obtienen por

el propio dinamismo del riesgo. En la Tabla 4 podemos ver la ficha planteada en el
Mapa de Ruta de España para esta acción.

Tabla 4. Acción para medir y analizar RISK-3. Fuente: CCI (2013).

Ciberseguridad Industrial 15
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ [RISK-4] Desarrollo de herramientas de Análisis de Riesgos. Uno de los grandes

problemas que planteaban las metodologías de riesgos es que muchas de ellas

carecen de herramientas que las soporten, lo cual hace muy difícil su aplicación. En
el caso de MARISMA se desarrolló una herramienta que la soporta denominada

eMARISMA, que facilita su aplicación. En la Tabla 5 podemos ver la ficha planteada

en el Mapa de Ruta de España para esta acción.

Tabla 5. Acción para medir y analizar RISK-4. Fuente: CCI (2013).

Ciberseguridad Industrial 16
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

4.3. Introducción al análisis del riesgo

Aprenderemos los principales conceptos asociados al análisis de riesgos y los

sistemas de gestión de seguridad de la información, las metodologías existentes,

ventajas e inconvenientes de cada una de ellas, etc.

Introducción al análisis del riesgo

Según Eloff y Eloff (2003), un sistema de gestión de seguridad de la información

(SGSI) puede definirse como un sistema de gestión usado para establecer y

mantener un entorno seguro de la información. El objetivo principal de un SGSI

es afrontar la puesta en práctica y el mantenimiento de los procesos y

procedimientos necesarios para manejar la seguridad de las tecnologías de la

información. Estas acciones incluyen la identificación de las necesidades de

seguridad en la información y la puesta en práctica de estrategias para satisfacer

estas necesidades, medir los resultados y mejorar las estrategias de protección.

La definición de un SGSI es una tarea ardua y compleja que requiere un proceso

previo de definición en la compañía donde se quiere establecer. Una de las fases

más cruciales para la implantación de un SGSI es la de análisis y gestión del riesgo.

Un análisis de riesgos es un proceso sistemático para estimar la magnitud de los

riesgos a los que está expuesta una organización, para saber qué decisión

tomar ante una posible eventualidad (MageritV3, 2012). Para ello, se seleccionan

e implementan salvaguardas para poder conocer, prevenir, impedir, reducir o

controlar los riesgos identificados. Esto es lo que se entiende como gestión de

riesgos.

De forma más técnica, el análisis de riesgos permite determinar cómo es, cuánto vale

y cuán protegidos se encuentran los activos. En coordinación con los objetivos,

estrategia y política de la organización, las actividades de gestión de riesgos

Ciberseguridad Industrial 17
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los

objetivos propuestos con el nivel de riesgo que acepta la dirección.

Toda esta información y cómo se lleva a cabo está recogida en lo que se denomina

metodologías de análisis de riesgos. Aunque es cierto que existe un gran número de

metodologías para este tema, se puede decir que la mayoría tienen puntos en

común. Según MageritV2 (2006) las metodologías de análisis de riesgos tienen como

punto de partida identificar formalmente los elementos a proteger o aquellos que

tienen un valor para la organización, lo que se llamarán activos.

Estos activos deben valorarse según unos requisitos de seguridad. Dichos

requisitos no son iguales en las distintas metodologías existentes, aunque la mayoría

tienen tres elementos de encuentro entre ellas: confidencialidad, integridad y

disponibilidad. Esto significa que para cada activo de información, debe valorarse de

forma independiente el coste que tendría para la organización una pérdida total de su

confidencialidad, de su integridad y de su disponibilidad, así como otros requisitos de

seguridad que cada metodología considere oportuno. Tras esto, se identificará a qué

amenazas están expuestos dichos activos teniendo en cuenta los requisitos de

seguridad.

Una vez se conocen las amenazas, se deben recoger las salvaguardas que permitan

proteger a los activos de dichas amenazas. Aquí también se pueden introducir

vulnerabilidades. De forma somera, se puede definir una vulnerabilidad como una

debilidad del sistema que hace que un activo pueda ser atacado por una amenaza.

Uno de los puntos de divergencia entre las metodologías es cómo cuantificar todos

estos elementos que forman parte del análisis de riesgos. Una posible clasificación

se puede encontrar en Vidalis (2003) donde se definen tres enfoques distintos:

▸ Enfoque cuantitativo: el análisis de riesgos es una aproximación matemática al

problema de cuantificar los elementos. Este enfoque requiere un gran esfuerzo de

cálculo y su consecuente tiempo para la realización de este. Debido al arduo

Ciberseguridad Industrial 18
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

proceso matemático que conlleva, el enfoque cuantitativo está basado en

probabilidades. La mayoría de las metodologías y de sus herramientas adjuntas
usan algoritmos para calcular la frecuencia de la amenaza y probabilidad de su

ocurrencia.

▸ Enfoque cualitativo: es un enfoque menos árido que el anterior. No se usan

probabilidades, sino que se hacen estimaciones potenciales de pérdida. Se

describen valores para los parámetros usando términos como «alto», «medio» o
«bajo». El enfoque cualitativo conlleva menos incertidumbre y tiene en consideración
el conocimiento y las opiniones del personal que está inmerso en el proceso de
análisis de riesgos.

Este enfoque está siendo considerado más adecuado para captar los requerimientos

de los sistemas. Cada vez está más aceptado que la mayoría de las amenazas son

indescriptibles ante cualquier tipo de análisis probabilístico de la misma forma que el

comportamiento humano es demasiado caótico para ser clasificado con ningún tipo
de patrón.

▸ Enfoque basado en conocimiento: el análisis basado en conocimiento consiste en

reutilizar el mejor método de sistemas similares. Esta visión fue ampliamente

usada en los años primigenios de la informática, donde el número de activos y sus
vulnerabilidades podían ser contados con los dedos de una mano.

Estándares y metodologías de análisis de riesgos

Como se citó anteriormente, los estándares y las grandes metodologías de análisis

de riesgos son bastante amplios y detallados. En este apartado se desgranarán las

principales características de cada una de las metodologías estudiadas y los

elementos más destacables de las mismas.

Ciberseguridad Industrial 19
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

ISO/IEC 13335 (ISO/IEC13335, 2004)

Inicialmente fue concebida como una serie de informes técnicos que engloban un

conjunto de directrices para la gestión de la seguridad informática. Está dividida

en cuatro partes:

▸ ISO/IEC 13335-1:2004 (ISO/IEC13335 2004), Tecnología de la Información

(Técnicas de Seguridad). Presenta los conceptos y modelos fundamentales para

tener un conocimiento básico sobre la seguridad en tecnologías de la información,

así como el proceso de gestión de riesgos.

▸ ISO/IEC 13335-2 (ISO/IEC13335 2004), Gestión de la Seguridad de las Tecnologías

de la Información. Este parte fue sustituida por ISO/IEC 13335-4:2000

(ISO/IEC13335-4 2000)

▸ ISO TR 13335-3:1998 (ISO/IEC13335-3 1998), Técnicas para la Gestión de

Seguridad en las Tecnologías de la Información. Fue incluida en la ISO/IEC

27005:2008 (ISO/IEC27005 2008). Provee una guía para implementar un análisis de
riesgos acompañado de un conjunto de modelos para calcular riesgos.

▸ ISO TR 13335-4:2008 (ISO/IEC13335-4 2000) incluye una selección de

salvaguardas. Dicho documento se incluyó posteriormente en la ISO 27005:2008

(ISO/IEC27005 2008).

ISO/IEC 27002 (ISO/IEC27002 2007; ISO/IEC27002, 2013)

La ISO 27002 versa sobre la seguridad de los activos de la información, que va

más allá de los propios elementos existentes en los sistemas de tecnologías de

información. La norma identifica un total de 133 controles bajo 39 objetivos de control

de seguridad para tratar la exposición del riesgo en términos de confidencialidad,

integridad y disponibilidad. La ISO 27002 es un código de buenas prácticas, no una

especificación formal: provee de una lista de medidas de control relacionados con la

seguridad de la información que las organizaciones deben considerar para segurizar

Ciberseguridad Industrial 20
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

sus activos.

ISO/IEC 27005 (ISO/IEC27005, 2008)

Cimentada en los informes técnicos ISO/IEC TR 13335-3:1998 (ISO/IEC13335-3

1998), ISO/IEC TR 13335-4:2000 (ISO/IEC13335-4 2000) y BS 7799-3:2006

(BS7799 2006). Complementa a sus normas hermanas ISO 27001 (ISO/IEC27001

2005) e ISO 27002 (ISO/IEC27002 2007). En este estándar se trata la gestión de

riesgos en la seguridad de la información. La metodología está especificada en

ISO/IEC27005 2008.

NIST SP 800-30 (NIST_SP800-30, 2012)

El Instituto Nacional de Normas y Tecnología (National Institute of Standards and

Technology) es una agencia de la Administración de Tecnología del Departamento

de Comercio de los Estados Unidos. El NIST SP 800-30 contiene una guía para el

análisis y gestión de riesgos en los sistemas de las tecnologías de la información. El

análisis de riesgos en NIST SP 800-30 es un proceso dividido en nueve pasos.

La segunda fase del análisis y gestión de riesgos en NIST 800-30 es la mitigación

de riesgos. Dado que la eliminación de riesgos es una tarea prácticamente

imposible, es responsabilidad de los gestores jefes usar la aproximación menos

costosa e implementar los controles más apropiados para disminuir el riesgo a

niveles aceptables con el mínimo impacto en los recursos de la organización.

AS/NZS 4360 (4360:2004, 2004)

AS/NZS 4360 es un estándar de gestión de riesgos publicado conjuntamente por

Australia y Nueva Zelanda. El estándar propone una guía genérica para establecer e

implementar un proceso de análisis de riesgos donde se incluye la identificación,

análisis, evaluación, tratamiento y una continua monitorización del riesgo (Konus and

Minoli 2010).

Ciberseguridad Industrial 21
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

MAGERIT V3 (MageritV2, 2005; MageritV3, 2012)

La Metodología de Análisis y Gestión de Riesgos de IT (MAGERIT) fue desarrollada

por el Consejo Superior de Administración Electrónica (CSAE) y hecha pública por el

Ministerio de Administraciones Públicas en 1997. Es una metodología abierta y de

obligado cumplimiento por parte de las Administraciones Públicas.

Los objetivos que persigue MAGERIT son:

▸ Concienciar a los responsables de los sistemas de información de la existencia de

riesgos y de la necesidad de atajarlos a tiempo.

▸ Ofrecer un método sistemático para analizar tales riesgos.

▸ Ayudar a identificar y planificar las medidas oportunas para mantener los riesgos

bajo control.

▸ Preparar a la organización para procesos de evaluación, auditoría, certificación o

acreditación.

En MAGERIT el análisis de riesgos y los procesos de gestión no tienen

fin en sí mismos, sino que forman parte de una actividad continua de

gestión de la seguridad.

El análisis de riesgos provee un modelo al sistema en términos de activos, amenazas

y salvaguardas y es el fundamento para controlar todas las actividades bajo un

fundamento sólido. La gestión de riesgos es la estructuración de las acciones de

seguridad para satisfacer las necesidades detectadas en el análisis.

OCTAVE (OCTAVE, 2009)

OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es un

marco desarrollado por el Instituto de Ingeniería del Software Carnegie Mellon

Ciberseguridad Industrial 22
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

(Pittsburgh, Pennsylvania, EE. UU.) para crear metodologías de análisis y gestión de

riesgos. Inicialmente, OCTAVE fue desarrollado para empresas cuyo personal

estuviera por encima de los 300. Sin embargo, se ha intentado que fuera más flexible

y abarcara un rango más amplio de empresas (Alberts and Dorofee, 2001).

OCTAVE usa un enfoque de tres fases para examinar la situación organizacional y

tecnológica recopilando y creando un mapa de las necesidades de seguridad de la

información que tiene la empresa:

▸ Fase 1. Construir los perfiles de las amenazas basados en los activos.

▸ Fase 2. Identificar las vulnerabilidades de la infraestructura.

▸ Fase 3. Desarrollar una estrategia y plan de seguridad.

MEHARI (MEHARI, 2009)

MEHARI (Méthode Harmonisée d’Analyse de Risques) o método de análisis de

riesgos armonizado, es un método de análisis y gestión de riesgos desarrollado por

CLUSIF (Club de la Seguridad de la Información Francesa) y soportado por el

software gestionado por la compañía Risicare. Permite a los stakeholders desarrollar

planes de seguridad, basados en una lista de puntos de control de vulnerabilidades

y en un exhaustivo proceso de monitorización para obtener un ciclo continuo de

mejora. La metodología proporciona un conjunto de herramientas y elementos

necesarios para la implantación del análisis y gestión de riesgos.

La metodología de análisis y gestión de riesgos de MEHARI está basada en un

enfoque dividido en tres fases.

CRAMM (YAZAR, 2002)

CRAMM (CCTA Risk Assessment and Management Technology) es una metodología

de análisis de riesgos desarrollada por la organización gubernamental británica

CCTA (Central Communication and Telecommunication Agency).

Ciberseguridad Industrial 23
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

La metodología CRAMM se presenta en tres fases, cada una soportada por

directrices y un cuestionario de objetivos. Las dos primeras fases identifican y

analizan los riesgos del sistema. La tercera parte recomienda cómo deben ser

gestionados esos riesgos.

ISO/IEC 15443 (ISO/IEC15443-1, 2012; ISO/IEC15443-2, 2012):

Clasifica los métodos existentes dependiendo del nivel de seguridad y de la fase

del aseguramiento. La evaluación del aseguramiento se divide en proceso, producto

y ambiente, mientras que las fases del análisis del riesgo son diseño/implementación,

integración/verificación, réplica, transición y operación. Las fases del análisis del

riesgo para CC (ISO/IEC-CCv3.1 2007) son diseño/implementación,

integración/verificación, transición y operación.

ISO/IEC2000/ITIL (ISO/IEC20000-1, 2011; ISO/IEC20000-2, 2012)

ITIL ofrece un elemento para una correcta gestión de riesgos: el conocimiento

actualizado y detallado de todos los activos de la organización y de las

relaciones, pesos y dependencias entre ellos. ITIL administra dicho conocimiento

desde el proceso de gestión de la configuración de soporte al servicio y mediante el

uso de la herramienta básica sobre la que se construye una aproximación coherente

a la gestión eficiente de las TI, la CMDB (Configuration Management Database).

El disponer del repositorio actualizado de activos que representa la CMDB facilita la

realización del análisis de riesgos en la fase de planificación del SGSI, que se

utilizará como elemento de ponderación de los controles a implantar y cuya

permanente actualización resultará incluso más relevante una vez el SGSI se

encuentre implantado y funcionando.

COBIT (COBITv5.0, 2013)

Es una metodología para el adecuado control de los proyectos de tecnología, los

Ciberseguridad Industrial 24
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

flujos de información y los riesgos que implica la falta de controles adecuados.

Incluye un proceso orientado a evaluar los riesgos, en el dominio PO9. Este proceso

se centra en los criterios de confidencialidad, integridad y disponibilidad y de forma

secundaria en criterios de efectividad, eficiencia, cumplimiento y confiabilidad. Por

último, este proceso involucra a diversos recursos del TIC (RRHH, Sistemas de

Información, Tecnología, Instalaciones y Datos).

MARISMA (Parra, Crespo et al., 2016)

MARISMA (Methodology for the Analysis of Risks on Information System, using

Meta-Pattern and Adaptability) es una metodología de análisis de riesgos que fue

desarrollada por el Grupo de Investigación GSyA (Grupo de seguridad y auditoría) de

la Universidad de Castilla-La Mancha (España) en colaboración con la empresa

privada MARISMA Shield S.L.

La metodología MARISMA no solo permite solucionar gran parte de las

problemáticas que tenían las demás metodologías, sino que también

permite desarrollar patrones basadas en las principales metodologías

de riesgos, presentando una serie de enfoques innovadores en este

campo.

Comparación de propuestas

A continuación, se muestra una tabla comparativa con los estándares y metodologías

que se han tratado para tener una visión global de ellos.

Ciberseguridad Industrial 25
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Tabla 1. Comparativa de principales metodologías y estándares de análisis de riesgos. Fuente:

elaboración propia.

Las características presentadas en la Tabla 1 son aquellas que, según las

investigaciones, deberían poder soportar los principales estándares y metodologías

de análisis de riesgos existentes. Estas características deseables se han obtenido

a través de la aplicación del «método de investigación-acción» a casos reales.

Se considera que cada uno de estos aspectos puede ser totalmente cumplido (sí) o

no tenido en cuenta por el modelo (no):

▸ Orientado a PYMES: es decir, sistemas de análisis de riesgos que requieren pocos

recursos para su elaboración y mantenimiento.

Ciberseguridad Industrial 26
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ Dinámico: capacidad de cambiar según cambian los activos y las dependencias de

estos.

▸ Reutilización del conocimiento: capacidad de almacenar el conocimiento

adquirido en diferentes implantaciones, con el objetivo de reducir los costes de

generación y mantenimiento de nuevos análisis de riesgos, así como el grado de
incertidumbre en la generación de este.

▸ Asociativo: el modelo tiene en cuenta la distribución del riesgo (por ejemplo,

funciones derivadas a terceros o realizadas por la empresa en colaboración con

otras empresas) y la interrelación de la empresa con el entorno.

▸ Jerárquico: el modelo tiene en cuenta la relación jerárquica entre compañías

relacionadas (por ejemplo, el esquema Matriz – Filiales).

▸ Tasación de activos: el análisis de riesgos permite obtener una tasación monetaria

objetiva de los activos.

▸ Control de incertidumbre: el análisis de riesgos minimiza el grado de incertidumbre

en la generación, es decir, la generación por parte de dos consultores de un análisis

de riesgos sobre los mismos activos e interlocutores genera el mismo resultado o
uno parecido, con desviaciones mínimas.

Ciberseguridad Industrial 27
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

4.4. Diseño y preparación de programas de

ciberseguridad en sistemas industriales basado en
análisis de riesgos y estándares

En este apartado aprenderemos los principales elementos que conformarán nuestro

análisis de riesgos (activos, amenazas, controles…) y su importancia en la industria.

A la hora de definir todo análisis de riesgos, con independencia del sector al que nos

vayamos a referir, debemos ser capaces de identificar y catalogar una serie de

elementos:

▸ Activos: debemos ser capaces de remitirnos a algún tipo de clasificación de activos

que nos permita catalogar nuestros activos de valor. Un ejemplo claro puede ser el
catálogo propuesto por MAGERIT.

▸ Amenazas: igual que en el caso anterior, tenemos que saber qué grupos de

amenazas son las que queremos afrontar en nuestro sistema, es decir, cuáles son
las que pondrán en riesgo nuestros activos.

▸ Controles: los controles representan aquellas medidas de seguridad que ponemos

para evitar que las amenazas puedan llegar a nuestros activos e impactar sobre uno
de sus criterios de riesgo.

▸ Vulnerabilidades: la vulnerabilidad representa una brecha en nuestro sistema de

información. Realmente, una vulnerabilidad es una falta de cobertura en el nivel de

implementación de una medida de seguridad, es decir, de un control.

Debemos entender que estos elementos son lo primero que debemos tener claro

para poder realizar un análisis de riesgos, así como que cambian dependiendo de la

orientación que vayamos a dar al análisis que queremos realizar.

Para entender mejor estos conceptos, analizaremos diferentes patrones (Industria

Ciberseguridad Industrial 28
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

4.0, IIoT, Sistemas Ciberfísicos, Seguridad en Big-Data) que soporta la

metodología MARISMA y que están implementados en su herramienta eMARISMA,

enfocados a la temática del máster y de la asignatura y que nos permitirán entender

mucho mejor las diferencias entre estos elementos.

Antes de empezar a analizar en detalle los elementos del análisis de riesgos, vamos

a poner en contexto su importancia dentro de la ciberseguridad industrial y los

sistemas ciberfísicos. Anteriormente, vimos cómo el riesgo se marcó como una de

las prioridades del Mapa de Ruta de Ciberseguridad Industrial, donde vemos que uno

de los puntos clave es que se debe establecer una «metodología de análisis de

riesgos» y que esta debe incluir:

▸ Descripción de la metodología de análisis.

▸ Identificación y valoración de los activos que soportan los servicios esenciales.

▸ Identificación y evaluación de amenazas.

▸ Valoración y gestión de riesgos.

Una vez identificado todo lo anterior, se deben establecer los «resultados del análisis

de riesgos», los cuales deben contener como mínimo:

▸ Amenazas consideradas.

▸ Medidas existentes, divididas en:

• Organizativas o de gestión.

• Operaciones o procedimentales.

• De protección o técnicas.

▸ Valoración de riesgos.

Una vez que hemos analizado la importancia del riesgo para los entornos

Ciberseguridad Industrial 29
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

industriales, vamos a profundizar un poco más en los elementos que componen el

análisis del riesgo.

Activos

Todo análisis de riesgos tiene como objetivo la identificación y protección de

los activos de valor de la empresa. Estos activos se pueden catalogar según

diversos estándares.

Analizaremos tres patrones de riesgos asociados con la ciberseguridad industrial

desde el punto de vista de la tipología de los activos y las dimensiones de estos

activos en que pueden impactar las amenazas.

Ciberseguridad Industrial 30
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Industria 4.0

Este patrón pretende analizar de forma general los riesgos hacia la Industria 4.0 a

los que puede estar sometida una empresa y es una fase previa al análisis los

riesgos de ciberseguridad de esta.

En la Tabla 6 podemos ver un ejemplo de familias de activos para Industria 4.0

Tabla 6. Tabla Tipos de activos. Extraído del Patrón Industria 4.0 de eMARISMA. Fuente: elaboración

propia.

Ciberseguridad Industrial 31
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Tabla 7, las dimensiones que tienen asociadas:

Tabla 7. Tabla de dimensiones de los activos. Extraído del Patrón Industria 4.0 de eMARISMA. Fuente:

elaboración propia.

Podemos ver cómo en este caso las dimensiones sobre las que valoramos el tipo de

activo «C – Conectividad», una de ellas podría ser la «I – Infraestructuras».

No todas las familias de activos tienen por qué tener activas todas las dimensiones.

Infraestructuras críticas

Este patrón pretende analizar de forma general los riesgos hacia las

infraestructuras críticas. Este patrón está específicamente orientado a valorar los

riesgos a partir de normativas como MAGERIT, ISO27001 y normas sectoriales.

Ciberseguridad Industrial 32
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Tabla 8 podemos ver un ejemplo de familias de activos para infraestructuras

críticas:

Tabla 8. Tabla Tipos de Activos. Extraído del patrón Infraestructuras Críticas de eMARISMA. Fuente:

elaboración propia.

Ciberseguridad Industrial 33
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Tabla 9, las dimensiones que tienen asociadas:

Tabla 9. Tabla de dimensiones de los activos. Extraído del patrón Infraestructuras Críticas de eMARISMA.

Fuente: elaboración propia.

Como podemos ver, cuando hablamos de infraestructuras críticas, al contrario que

en el caso anterior, se han definido una serie de dimensiones sobre las tipologías de
activos que fueron definidas por ley por el gobierno. Cuando hablamos de

infraestructuras críticas el impacto que nos preocupa es el daño sobre el medio

ambiente, las personas, etc.

Sistemas ciberfísicos (IIoT)

Este patrón pretende analizar de forma general los riesgos hacia los sistemas

ciberfísicos. Este patrón está específicamente orientado a valorar los riesgos a

partir de normativas como NIST y la ISO27001.

Ciberseguridad Industrial 34
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Tabla 10. Tabla de dimensiones de los activos. Extraído del patrón CFS de eMARISMA. Fuente:

elaboración propia.

Ciberseguridad Industrial 35
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Tabla 11, podemos ver las dimensiones que tienen asociadas:

Tabla 11. Tabla Tipos de Activos. Extraído del patrón CFS de eMARISMA. Fuente: elaboración propia.

Como podemos ver, este tercer patrón está más enfocado a las dimensiones de un

activo directamente vinculadas a la seguridad específica de entornos IIoT.

Podríamos seguir analizando patrones y ver otros basados en las dimensiones de

MAGERIT: confidencialidad, integridad, disponibilidad, etc.

Lo importante es que el alumno entienda que un mismo activo puede tener diferentes

dimensiones de riesgo dependiendo del patrón que se utilice.

Amenazas

Al igual que en el caso anterior, dependiendo del patrón las amenazas a las que

nos enfrentaremos serán completamente diferentes.

Ciberseguridad Industrial 36
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

A modo de ejemplo, en la Tabla 12 podemos ver algunas de las amenazas de un

patrón de seguridad basado en la metodología MAGERIT.

Tabla 12. Tabla de amenazas. Extraído del patrón Sistemas Ciberfísicos de eMARISMA. Fuente:

elaboración propia.

Controles/salvaguardas

Igualmente, existen listas de controles que nos permiten chequear el estado de la

seguridad. Estas listas de controles dependerán de cada patrón y de qué

normativa usemos como referente. En la Tabla 13 podemos ver un ejemplo de

Ciberseguridad Industrial 37
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

controles basados en la normativa ISO27001, para el Dominio «[D.7] – Seguridad

lógica: seguridad física y del entorno», «[D.7.1] – Áreas seguras».

Tabla 13. Tabla de controles. Extraído del patrón Sistemas Ciberfísicos de eMARISMA. Fuente:

elaboración propia.

Vulnerabilidades

En el caso de las vulnerabilidades, desde el punto de vista de la metodología

MARISMA, se definen como la ausencia de un control. Es decir, las

vulnerabilidades nos definirán la eficiencia del control.

En el ejemplo de la Tabla 14 podemos ver un fragmento de las vulnerabilidades del

patrón de gestión de la seguridad bajo el estándar ISO27001, que podemos definir

para el dominio «[A.13] – Seguridad de las comunicaciones», el objetivo «[A.13.1]

Ciberseguridad Industrial 38
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

– Gestión de la seguridad de redes» y el control «[A.13.1.1] – Controles de red».

Tabla 14. Tabla de vulnerabilidades. Extraído del patrón Gestión de la Seguridad de eMARISMA. Fuente:

elaboración propia.

Ciberseguridad Industrial 39
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

4.5. Analizando los riesgos con la metodología

MARISMA

En este apartado aprenderemos los principales conceptos de la metodología de

evaluación de riesgos MARISMA, que nos servirá como base para su aplicación

posterior sobre «sistemas ciberfísicos».

¿Qué es Marisma 3.0?

MARISMA es una metodología que permite analizar los riesgos de

compañías de forma dinámica y basado en patrones reutilizables y

adaptables.

Nació de la colaboración entre el Grupo GSyA (Grupo de Seguridad y Auditoría) de la

Universidad de Castilla-La Mancha y las empresas tecnológicas Sicaman Nuevas

Tecnologías S.L. y MARISMA Shield S.L.

MARISMA actualmente cuenta con más de cien publicaciones a nivel internacional,

en las más prestigiosas revistas y congresos. Asimismo, está siendo utilizada por
decenas de investigadores en todo el mundo para avanzar en el campo del análisis

de riesgos y la ciberseguridad.

MARISMA permite la creación de múltiples patrones para análisis de riesgos. En

este apartado se presenta un patrón base para sistemas ciberfísicos. Se ha tomado

este patrón porque permite entender mejor el funcionamiento de la metodología.

Para solucionar los problemas detectados en el análisis y gestión de riesgos, se ha

realizado un proceso enfocado a reducir los costes de generación y

mantenimiento del proceso de análisis y gestión del riesgo denominado Marisma

3.0-AGR. Este proceso se ha obtenido mediante la aplicación del método de

investigación en acción y se ha enmarcado dentro de una metodología (Marisma 3.0)

Ciberseguridad Industrial 40
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

que acomete todos los aspectos relacionados con la gestión del riesgo, bajo la

premisa de que cualquier sistema de análisis de riesgos válido para las PYMES

también será extrapolable a grandes compañías.

¿Cómo funciona?

Esta metodología asocia el análisis y la gestión del riesgo a los controles

necesarios para poder realizar un análisis de riesgos y consta de tres procesos:

▸ Proceso 1. Generación de Patrones para el Análisis de Riesgos (GPRA): se

establece una estructura de relaciones entre los diferentes elementos involucrados

en el análisis del riesgo y los controles necesarios para gestionar los riesgos. Estas
relaciones se establecen mediante el conocimiento adquirido en las diferentes
implantaciones, que es almacenado en una estructura denominada patrón para ser

reutilizado con posterioridad, reduciendo los costes de generación de este proceso.

▸ Proceso 2. Generación del Análisis y Gestión del Riesgo (GARM): mediante la

selección del patrón más adecuado y la identificación de un pequeño conjunto de los

principales activos, se obtiene un detallado mapa de la situación actual (análisis del
riesgo) y un plan de recomendaciones de cómo mejorarlo (gestión del riesgo).

▸ Proceso 3. Mantenimiento Dinámico del Análisis de Riesgos (DRM): Mediante la

utilización de las matrices generadas, las cuáles interconectan los diferentes

artefactos, el sistema irá recalculando el análisis de riesgos según se produzcan

eventos, fallen las métricas definidas o los auditores detecten “no conformidades” en
los controles.

Ciberseguridad Industrial 41
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 1. Elementos que componen el sistema base y sus relaciones. Fuente: elaboración propia.

En la Figura 1 se pueden ver de forma resumida los tres procesos que componen la

metodología Marisma 3.0 y cómo intercambian información entre ellos. La

información generada en el proceso GPRA será utilizada por los otros dos procesos.

De igual forma, la información generada en el proceso GARM será necesaria para el

proceso DRM. Esto no implica que siempre se deban ejecutar los tres procesos para

obtener un resultado, sino que debe existir un patrón generado previamente por el

proceso GPRA para que se pueda ejecutar el GARM.

Este apartado se divide a su vez en cuatro subapartados, que representan cada uno
de los elementos. En el primero se verán una serie de conceptos o definiciones

necesarias para entender el proceso. En el segundo subapartado se analizará el

primero de los procesos que se ocupa de la generación de un patrón valido para el

análisis de riesgos. En el tercer subapartado se analizará el segundo de los procesos

que se ocupará de la generación del análisis y el plan de tratamiento de riesgos. En

el último apartado se analizará el proceso que permite mantener el cuadro de riesgos

actualizado de forma dinámica.

Ciberseguridad Industrial 42
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Definiciones previas

A continuación, se describen los principales conceptos que intervienen en la

metodología:

▸ Patrón: estructura formada por los principales elementos de un análisis de riesgos y

las relaciones entre ellos, que puede ser reutilizado por un conjunto de compañías
con características comunes (mismo sector y tamaño) a partir del conocimiento
adquirido con la implantación de la metodología Marisma 3.0 y posteriores
refinamientos.

▸ Patrón base: patrón inicial obtenido a partir del conocimiento de expertos en la

materia, que sirve como base para la elaboración de otros patrones más específicos
que puedan adecuarse a conjuntos de compañías.

▸ Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a

que está expuesta una organización. La metodología Marisma 3.0 incluye un sencillo

método para estimar el riesgo a partir de un conjunto básico de activos.

▸ Activo: recursos del sistema de información o relacionados con este, necesarios

para que la organización funcione correctamente y alcance los objetivos propuestos

por su dirección.

▸ Activo de grano grueso: la metodología Marisma 3.0 funciona bajo activos de

grano grueso, que son aquellos que agrupan activos que están sometidos a las
mismas amenazas, mismos criterios de riesgo, mismas vulnerabilidades y mismo
valor estratégico. Dado que, por lo tanto, activarían los mismos riesgos y controles,

se tratan de forma unificada dentro del análisis de riesgos.

▸ Activo de grano fino: son los activos de valor para la compañía al nivel más bajo

de agregación.

▸ Controles: mecanismos que nos permiten proteger los activos de las amenazas que

intentan aprovechar las vulnerabilidades en estos para producir un impacto sobre

Ciberseguridad Industrial 43
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

algún criterio de riesgo de nuestros activos de valor.

▸ Subcontroles: divisiones más detalladas de los controles. En ocasiones los

controles son demasiado difusos o intentan abordar demasiada información para

permitir que el usuario dé una respuesta coherente sobre el nivel de cumplimiento

(si/parcialmente/no).

▸ Amenaza: evento que puede desencadenar un incidente en la organización,

produciendo daños materiales o pérdidas inmateriales en sus activos.

▸ Vulnerabilidad: debilidad o falta de control que permitiría o facilitaría que una

amenaza actuase contra un activo del sistema que presenta la citada debilidad. En el
caso de Marisma 3.0, las vulnerabilidades se calculan como la ausencia o debilidad
de un control en la lista de controles base, que en el patrón seleccionado para la
investigación está basada en controles y subcontroles derivados de la

ISO27001:2013.

▸ Criterios de riesgo: criterios que permiten estimar el grado de exposición a que una

amenaza se materialice sobre una o más dimensiones valorables de los activos

causando daños o perjuicios a la organización.

▸ Matriz Amenazas x Tipos de activos: es una matriz que nos permite relacionar qué

amenazas afectan a las diferentes familias de activos.

▸ Matriz Amenazas x Controles: es una matriz que permite relacionar qué controles

permiten proteger a los activos frente a cada amenaza. Dado que no se ha

encontrado ninguna normativa que tuviera esta matriz, se ha tenido que extraer en

base a la experiencia (know-how) de los consultores involucrados en el proceso,

aplicando la metodología científica Investigación en acción.

P1. Generación de Patrones para el A.R. (GPRA).

El principal objetivo de este proceso es seleccionar los elementos necesarios para

poder realizar un análisis de riesgos de bajo coste sobre los activos que

Ciberseguridad Industrial 44
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

componen el sistema de información de la compañía que se adapte a los

requerimientos de las compañías.

El principal objetivo del análisis de riesgos incluido en la metodología desarrollada es

que sea lo menos costoso posible, utilizando una serie de técnicas y matrices

predefinidas, aunque obteniendo un resultado con la suficiente calidad.

En la Figura 2 se pueden ver diferentes patrones asociados con la Industria.

Figura 2. Listado de patrones. Fuente: elaboración propia.

Ciberseguridad Industrial 45
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Figura 3 podemos ver la estructura del meta-patrón CAT que utiliza MARISMA

para la generación de Análisis de Riesgos.

Figura 3. Meta-patrón CAT. Fuente: elaboración propia.

Entradas

Como entrada se recibirá el conocimiento del grupo de expertos del dominio de

la materia (GED) obtenido durante el proceso de implantación de otros análisis de

riesgos, así como un conjunto de controles para la gestión del dominio que se

encuentran almacenados en el repositorio de patrones y un conjunto de elementos

(tipos de activos, amenazas, vulnerabilidades y criterios de riesgo) necesarios para

elaboración del análisis de riesgos.

Tareas

El proceso estará formado por seis tareas.

Las cuatro primeras tareas son independientes y permiten seleccionar

los elementos de entrada. Las otras dos tareas se ocupan de establecer

las relaciones existentes entre dichos elementos, con el objetivo de

poder automatizar aspectos del análisis de riesgos y hacerlo dinámico.

Ciberseguridad Industrial 46
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Estas relaciones se establecen a partir del conocimiento del grupo de expertos del

dominio (GED) y de los continuos refinamientos obtenidos de la implantación de la

metodología.

No existen entregables entre las diferentes tareas, ya que el resultado de cada tarea

es almacenado en el repositorio para que pueda ser utilizado por otras tareas, el
resultado final es un patrón. En el caso que estamos siguiendo el patrón generado se

ha denominado «Patrón CPS» (Cyber-physical Systems) al tomar esta norma como

base generadora.

A continuación, se analizarán una por una las diferentes tareas de las que se

compone el proceso GPRA propuesto en la nueva metodología y los valores que

estos elementos pueden tomar para el patrón base generado inicialmente.

Tarea T1.3.1

Selección de tipos de activos. Se ocupa de seleccionar el conjunto de tipos de

activos que formarán parte del patrón que se está construyendo. Los tipos de activos

se utilizarán para diversas tareas: se agruparán los activos del sistema de

información y se relacionarán con otros elementos del análisis de riesgos para

facilitar la automatización de este.

Figura 4. Meta-patrón CAT. Tipos de activos. Fuente: elaboración propia.

Ciberseguridad Industrial 47
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

El conjunto de tipos de activos será seleccionado en base a las metodologías,

normas, etc., que se determinen como entradas de la tarea y al conocimiento

adquirido por el grupo de expertos del dominio (GED) a lo largo de la implantación.

Para el patrón actual se ha definido un conjunto de cuatro tipos de activos.

Tarea T1.3.2

Selección de amenazas. Se ocupa de seleccionar el conjunto de amenazas que

formarán parte del patrón que se está construyendo. Una amenaza se define como

un evento que puede desencadenar un incidente en la organización, produciendo

daños materiales o pérdidas inmateriales en sus activos. Estas amenazas se

relacionarán en tareas posteriores con otros elementos del análisis de riesgos, con el

objetivo de poder automatizar y reducir los costes a la hora de evaluar el riesgo al

que están sometidos los activos de un sistema de información.

Figura 5. Listado de amenazas patrón CPS. Fuente: elaboración propia.

El conjunto de amenazas será seleccionado en base a las metodologías, normas,

etc., que se determinen como entradas de la tarea y al conocimiento adquirido por el

grupo de expertos del dominio (GED) a lo largo de la implantación.

Ciberseguridad Industrial 48
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Estas amenazas están agrupadas en un conjunto de categorías: desastres naturales;

de origen industrial; errores y fallos no intencionados y ataques intencionados. Para

el patrón actual se han definido un conjunto de dieciséis amenazas asociadas a un

tipo de amenazas.

Tarea T1.3.3

Selección de controles. Se ocupa de seleccionar el conjunto de controles que

formarán parte del patrón que se está construyendo y permitirá dar cumplimiento al

concepto de vulnerabilidad, definido como una debilidad o falta de control que

permitiría o facilitaría que una amenaza actuase contra un activo del sistema que

presenta la citada debilidad. Por lo tanto, a partir del nivel de incumplimiento de los

controles podemos cuantificar el nivel de la vulnerabilidad para ese control. Estos se

relacionarán en tareas posteriores con otros elementos del análisis de riesgos, con el

objetivo de poder automatizar y reducir los costes a la hora de evaluar el riesgo al

que están sometidos los activos de un sistema de información.

El conjunto de controles será seleccionado en base a las metodologías, normas, etc.,

que se determinen como entradas de la tarea y al conocimiento adquirido por el

grupo de expertos del dominio (GED) a lo largo de la implantación.

La selección del conjunto de controles que conforma el patrón base nos ha permitido

extraer un conjunto de 69 controles. MARISMA permite la posibilidad de definir un

conjunto de vulnerabilidades para cada uno de estos controles, aunque inicialmente

solo se ha definido como vulnerabilidad la ausencia de este.

Ciberseguridad Industrial 49
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 6. Listado de controles patrón CPS. Fuente: elaboración propia.

Cada control lleva asociado una lista de rangos, que nos permitirán definir

diferentes recomendaciones para cada control.

Figura 7. Rangos asociados a los controles patrón CPS. Fuente: elaboración propia.

Al editar un control podemos definir las recomendaciones que queramos para cada

uno de los niveles asociados al control.

Ciberseguridad Industrial 50
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 8. Rangos asociados a los Controles patrón CPS. Fuente: elaboración propia.

Tarea T1.3.4

Selección de criterios de riesgo. Se ocupa de seleccionar el conjunto de criterios

de riesgo que formarán parte del patrón que se está construyendo. Los criterios de

riesgo se definen como aquellos criterios que permiten estimar el grado de

exposición a que una amenaza se materialice sobre uno o más activos causando

daños o perjuicios a la organización. Estos criterios de riesgo se relacionarán en

tareas con otros elementos del análisis de riesgos, con el objetivo de poder

automatizar y reducir los costes a la hora de evaluar el riesgo al que están sometidos

los activos de un sistema de información.

El conjunto de criterios de riesgo será seleccionado en base a las metodologías,

normas, etc., que se determinen como entradas de la tarea y al conocimiento

adquirido por el grupo de expertos del dominio (GED) a lo largo de la implantación.

La selección del conjunto de criterios de riesgo que conforma el patrón base está

formada inicialmente por cinco de ellos.

Ciberseguridad Industrial 51
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 9. Listado de criterios de riesgos patrón CPS. Fuente: elaboración propia.

Tarea T1.3.5

Establecimiento de relaciones entre [Tipos de activos] x [Amenazas] x

[Criterios de riesgo]. Se ocupa de establecer las relaciones existentes entre los

elementos que componen el conjunto de tipos de activos y sus criterios de riesgo

asociados y los elementos que componen el conjunto de amenazas.

El objetivo principal de este conjunto de asociaciones es establecer relaciones

entre los elementos del análisis de riesgos para poder realizar una evaluación del

riesgo de bajo coste en el proceso siguiente. Estas asociaciones se establecen por el

grupo de expertos del dominio (GED) en base al conocimiento adquirido en

diferentes implantaciones del análisis de riesgos.

Para el patrón base actual, se ha utilizado una matriz de relaciones iniciales que el

sistema ira adaptando de forma inteligente en el tiempo.

Ciberseguridad Industrial 52
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 10. Matriz TA-A-D patrón CPS. Fuente: elaboración propia.

Tarea T1.3.6

Establecimiento de relaciones entre [Amenazas] x [Controles]. Se ocupa de

establecer las relaciones existentes entre los elementos que componen el conjunto

de amenazas y los elementos que componen el conjunto de

controles/vulnerabilidades para un patrón determinado.

El objetivo principal de este conjunto de asociaciones es establecer relaciones entre

los elementos del análisis de riesgos para poder realizar una evaluación del riesgo de

bajo coste en el siguiente proceso.

Estas asociaciones se establecen por el grupo de expertos del dominio (GED) en

base al conocimiento adquirido en diferentes implantaciones del análisis de riesgos.

Ciberseguridad Industrial 53
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 11. Matriz O-A patrón CPS. Fuente: elaboración propia.

Salidas

La salida producida por este proceso consistirá en un subconjunto de los

elementos de entrada y las relaciones establecidas entre ellos, los cuales se

almacenarán en el repositorio de patrones.

P2. Aplicación del Análisis de Riesgos (GARM).

El principal objetivo de este proceso es establecer una evaluación de los riesgos a

los que se encuentran sometidos los principales activos del sistema de

información de la compañía sobre la que se quiere implantar el análisis de riesgos,

así como proponer un plan al responsable del análisis de riesgos (Cl/RS) para

Ciberseguridad Industrial 54
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

gestionar los riesgos de la forma más eficiente posible y con el menor esfuerzo y

coste.

Para la generación de un análisis de riesgo en sistemas ciberfísicos se realizará el

siguiente proceso:

▸ Entradas: como entrada se recibirá un patrón de los existentes en el repositorio de

patrones, que será seleccionado por el consultor de la materia (CoS) en base a las
características de la compañía (sector y tamaño de la misma), del que se obtendrán
los elementos necesarios para la realización del análisis de riesgos (listado de

controles, listado tipos de activos, listado de amenazas, relaciones entre los

elementos anteriores) y el interlocutor (Int) válido para la compañía, que se
encargará de definir los activos.

▸ Tareas: el proceso estará formado por seis tareas. Las tareas uno, dos y tres

pueden ejecutarse de forma independiente. La tarea cuatro requiere del resultado de

las tareas dos y tres para poder procesarse. La tarea cinco requiere del resultado de
las tareas uno y cuatro. Finalmente, la tarea seis requiere del resultado de la tarea

cinco.

▸ Salidas: La salida producida por este subproceso consistirá en una serie de

entregables (InfCtr —informe del checklist realizado sobre el sistema a nivel de

cumplimiento de controles—; InfAct —informe de activos del sistema de información
—; InfAR —matriz de riesgos a los que están sometidos los activos del sistema de
información— y el InfPTR —plan de mejora recomendado por la metodología para
afrontar las mejoras del análisis de riesgos—) para que el consultor de la materia

(CoS) pueda analizarlos. La información contenida en estos entregables será

almacenada en el repositorio de análisis de riesgos para que posteriormente pueda
utilizarse en la generación de los elementos que componen el análisis de riesgos de
la compañía.

Ciberseguridad Industrial 55
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Figura 12 se pueden ver las tareas del proceso de forma mucho más

detallada, mostrando cómo interactúan con el repositorio encargado de contener los

elementos que conforman los Análisis de Riesgos. Cada tarea generará un

entregable para su análisis por parte del consultor de la materia (CoS) y almacenará

la información para que sea utilizada posteriormente en el proceso DRM

(Mantenimiento dinámico del análisis de riesgos).

Figura 12. Tareas del Proceso GARM. Fuente: elaboración propia.

El desarrollo de este proceso está basado en los propuestos por Stephenson, que se

centran en la sinergia entre la prueba técnica y el análisis de riesgos.

Ciberseguridad Industrial 56
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Estas metodologías suelen producir rechazo en el caso de las compañías, en

particular en las PYMES debido a que estas las perciben como demasiado

complejas, a que requieren un enorme compromiso por parte de los miembros de la

compañía y a que los costes asociados al proceso no son aceptados por las

compañías. Por ello, la metodología Marisma 3.0 simplifica el proceso de evaluación

del riesgo para adecuarlo a las compañías, pero siempre manteniendo la calidad del

proceso y haciendo que también sea válido para grandes compañías.

Las principales bases sobre las que se define este proceso son: flexibilidad,

simplicidad y eficiencia en costes (humanos y temporales), así como la capacidad

de que posteriormente el análisis de riesgos varíe de forma dinámica. Así pues,

se trata de un proceso que pretende identificar con el menor coste posible los activos

de la compañía y los riesgos asociados, usando para ello los resultados generados

en los procesos anteriores y algunos algoritmos.

Para que este proceso funcione de forma coherente, se deben tener en cuenta las

condiciones especiales de las PYMES, en las que los usuarios no suelen tener ni el

tiempo ni los conocimientos adecuados para aplicar de forma eficiente metodologías

de análisis de riesgos ni para determinar de forma adecuada los activos de los

sistemas de información.

Al igual que en los procesos anteriores, cuando se trata de PYMES no se busca la

opción óptima sino una opción razonablemente buena que permita grandes

reducciones de tiempos a la hora de obtener el resultado.

Ciberseguridad Industrial 57
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 13. Árbol de jerarquías de auditorías. Fuente: elaboración propia.

Las tareas de este proceso se apoyarán en el patrón base generado durante el

proceso GPRA.

Como se puede ver en la Figura 13, podemos generar tantas auditorías como

queramos para una compañía, incluso creando arboles de auditorías si las

compañías son grandes.

Tarea T1. Identificación de activos

El objetivo de la tarea es obtener un conjunto de los activos que componen el

sistema de información de la empresa. Los activos definidos son el objetivo

principal hacia el que se enfoca el análisis de riesgos, ya que son los elementos que

se pretenden proteger al suponer valor para la compañía y, en la mayor parte de los

casos, son su factor diferenciador con respecto a la competencia.

En esta tarea, el consultor de la materia (CoS) deberá ayudar el interlocutor (Int) a

identificar el conjunto de activos de valor que componen el sistema de información de

la compañía y darles una valoración del uno al cinco, según el nivel de importancia

estratégica para la compañía.

Ciberseguridad Industrial 58
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Los resultados generados en esta tarea son fundamentales para poder

realizar una evaluación del riesgo y un plan de mejora en las tareas

cuatro, cinco y seis.

En la Figura 14 se puede ver un listado de activos asociados con sistemas

ciberfísicos y en la Figura 15, el listado en formato gráfico.

Figura 14. Listado de activos. Formato tabla. Fuente: elaboración propia.

Ciberseguridad Industrial 59
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 15. Listado de activos. Formato imagen. Fuente: elaboración propia.

L o s activos dentro del alcance a evaluar por el análisis de riesgos pueden

agruparse en diferentes grupos, ya que cada uno puede estar sometido a diferentes

niveles de control. En la Figura 16 se puede ver como se han realizado cuatro

agrupaciones diferentes para el ejemplo.

Ciberseguridad Industrial 60
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 16. Grupo de activos. Fuente: elaboración propia.

Tarea T2. Realización del check-list de los controles

El objetivo de esta tarea es facilitar un punto de partida respecto al nivel de

cobertura inicial de la compañía. Para ello la tarea toma como entrada un listado de

unas 69 preguntas (subcontroles).

Como salida de esta tarea se obtiene un elaborado informe de la situación de la

compañía, con recomendaciones sobre cómo mejorar y diagramas de Kiviat con el

nivel de cumplimiento de los controles.

Ciberseguridad Industrial 61
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Figura 17 podemos ver el checklist que debemos rellenar para grupo de activos

seleccionado.

Figura 17. Checklist nivel de cumplimiento de controles. Fuente: elaboración propia.

Una vez rellenado todos los checklist, podremos obtener una visión en forma de

diagrama de Kiviat y cuadro de mandos de la situación real de la compañía.

Ciberseguridad Industrial 62
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Figura18 podemos ver los diferentes niveles del diagrama de Kiviat soportados

por MARISMA.

Figura 18. Diagrama de Kiviat del nivel de cumplimiento. Fuente: elaboración propia.

Ciberseguridad Industrial 63
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Figura 19 podemos ver un ejemplo de cuadro de mandos, que irá cambiando

dinámicamente según vayan evolucionando los riesgos de la compañía y que permite

hacer un seguimiento constante de la evolución de esta.

Figura 19. Cuadro de mandos del nivel de cumplimiento. Fuente: elaboración propia.

Tarea T3. Valoración del listado de amenazas

El objetivo de la tarea es obtener la valoración de dos variables (probabilidad de la

amenaza y el porcentaje de degradación del activo) para cada una de las amenazas

del patrón seleccionado.

En este caso, se han tomado en cuenta cinco rangos de valoración para cada una de

las variables en base a las tablas recomendadas en esa misma normativa. En la

Figura 20 podemos ver un ejemplo de las amenazas asociadas al patrón general de

sistemas ciberfísicos.

Ciberseguridad Industrial 64
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 20. Listado de amenazas. Fuente: elaboración propia.

Tarea T4. Generación de la matriz de [Activos] x [Amenazas] x [Criterios de

riesgo]

El objetivo de esta tarea es identificar el porcentaje de degradación en que se vería

afectado cada criterio de riesgo en el caso de que una amenaza impactase sobre un

tipo activo de la compañía con el que está relacionado.

En nuestro caso, se carga la matriz a partir de la que se generó en la tarea cinco del

proceso GPRA. Para agilizar el proceso, se eliminan automáticamente aquellos

criterios de riesgo que no pueden verse afectados por esa amenaza y se les
identifica con «--». Para los que sí tienen relación, se precarga el valor de la columna

«porcentaje de degradación del activo» calculado en la tarea anterior, de tal forma

que el responsable del análisis de riesgos solo tiene que validar los datos o

aceptarlos directamente.

Ciberseguridad Industrial 65
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En la Figura 21 se puede ver la matriz resultante de esta tarea.

Figura 21. Matriz Activos x Amenazas. Fuente: elaboración propia.

Tarea T5. Generación del análisis de riesgos

Una vez que ya se cuenta con todos los elementos necesarios, esta tarea se ocupa

de generar la matriz de riesgos para la compañía utilizando toda la información

obtenida en las diferentes tareas y la del patrón seleccionado. El resultado que

contiene la matriz engloba los siguientes datos:

▸ Bloque activos: tipo, descripción y Nombre del activo.

▸ Bloque amenazas: código y nombre de la amenaza.

▸ Valor - Valor del activo: valor estratégico del activo para la compañía, según los

datos introducidos por el responsable del análisis de riesgos en la tarea T2 del

proceso GARM.

▸ FR – Frecuencia de la amenaza: corresponde al valor introducido en la columna

«probabilidad de la amenaza» en la tarea T3 del proceso GARM.

▸ V – Vulnerabilidad: esta columna es de gran valor en nuestra metodología, ya que

calcula el nivel de la vulnerabilidad de un par [Activo] x [Amenaza] a partir de las

Ciberseguridad Industrial 66
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

respuestas del checklist de la tarea T1 del proceso GARM, que nos determinan el

nivel de cumplimiento de los controles (NCC), por lo que podemos considerar que
las vulnerabilidades de un control son (1-NCC). A partir de ese valor, se calcula la
media de las vulnerabilidades de todos los controles que intentan proteger ese activo
de la amenaza, utilizando para ello la matriz generada en la T6 del proceso GPRA.

▸ Bloque dimensiones: se muestran los valores para cada una de las dimensiones

definidas, en base a los valores aprobados en la T4 del proceso GARM.

▸ IT – Impacto total: se calcula como el máximo valor de los criterios de riesgo.

▸ IMP - impacto: Se calcula como el [Valor Activo] x [IT – Impacto técnico].

▸ Nivel riesgo: es el nivel de riesgo en ausencia de controles, es decir, partiendo de

que las vulnerabilidades de los controles son el 100 %. Se calcula

[Impacto]​*​[Probabilidad de ocurrencia] sobre una escala que va del [1 al 500], siendo
500 el riesgo máximo que se puede alcanzar.

▸ Nivel riesgo actual: es el nivel de riesgo teniendo en cuenta el nivel de

implantación y activación de los controles actuales. Se calcula como [Nivel de riesgo]

* [Vulnerabilidad] y se mueve en un rango de [1-500].

▸ ER – Escala de riesgo: esta columna nos permite dividir los valores de riesgo en

diez niveles, en base a una escala logarítmica, que se calcula aplicando la fórmula
indicada en la Figura 22.

Ciberseguridad Industrial 67
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 22. Cálculo niveles para riesgo. Fuente: elaboración propia.

Los resultados de aplicar este cálculo sobre una escala de riesgo máximo de 500 se

pueden ver de forma numérica y grafica en la Figura 23.

Figura 23. Escala logarítmica para el cálculo de los niveles de riesgo. Fuente: elaboración propia.

Ciberseguridad Industrial 68
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Para la metodología actual se ha considerado que las compañías deben tratan los

riesgos que quedan por encima de seis.

En la Figura 24 se puede ver el resultado del análisis de riesgos de la compañía.

A partir del análisis de riesgos también se pueden sacar diferentes imágenes de la

situación de esta:

Ciberseguridad Industrial 69
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ Riesgo por activo (ver Figura 25)

Figura 25. Riesgo por activo. Fuente: elaboración propia.

Ciberseguridad Industrial 70
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ Riesgos por amenazas (ver Figura 26).

Figura 26. Riesgo por amenaza. Fuente: elaboración propia.

Ciberseguridad Industrial 71
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ Mapa de riesgos (ver Figura 27).

Figura 27. Matriz de riesgos. Fuente: elaboración propia.

Tarea T6. Generación del plan de tratamiento de riesgos

Una vez que en la tarea anterior hemos generado la matriz de riesgos, el objetivo de

esta tarea es la de ejecutar un algoritmo recursivo que permita ir calculando cuáles

deben ser los controles que la compañía debe aplicar para ir minimizando sus

riesgos hasta alcanzar un nivel aceptable (ER<=6).

Para ello, el algoritmo elige el registro con el mayor «nivel de riesgo actual» y extrae

los controles relacionados, seleccionando el que supone una mayor vulnerabilidad,

generando un paso de recomendación para aplicarlo y recalculando toda la matriz de

riesgo de nuevo para determinar si sigue existiendo un riesgo superior al aceptable y,

en caso afirmativo, cuál es el nuevo control que deberíamos acometer.

Ciberseguridad Industrial 72
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 28. Plan de tratamiento del Riesgo. Fuente: elaboración propia.

El plan de tratamiento generado incluirá recomendaciones de como acometer esos

esos controles para alcanzar el nivel requerido de riesgo (ver Figura 29).

Figura 29. Recomendación del plan de tratamiento de riesgo. Fuente: elaboración propia.

De la ejecución del algoritmo se obtienen dos resultados de gran interés para la

compañía:

▸ Listado de controles que debe acometer para reducir el riesgo a un nivel

aceptable (ver Figura 28): dentro de este listado se mostrará el orden de prioridad
de los controles en que se recomienda que sean acometidos, el nivel de cobertura

Ciberseguridad Industrial 73
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

(N.C) actual de cada uno de ellos en base a las respuestas que se dieron en el
checklist, así como el nivel de riesgo actual y la escala de riesgo.

En el ejemplo que se muestra en la Figura 28, se puede ver cómo a una compañía

solo le recomienda acometer tres controles de los 69 del patrón utilizado. El resto se

considera que tienen un nivel de cobertura adecuado o que el nivel de vulnerabilidad

no hace que el riesgo de los activos que protege suba por encima del nivel

adecuado. En la Figura 30 podemos ver el informe que genera para cada uno de los

controles recomendados.

Figura 30. Pasos para el plan de tratamiento de riesgo. Fuente: elaboración propia.

▸ Listado de pasos detallados que describen todos los elementos involucrados

(ver Figura 30): se puede ver cómo para cada uno de los pasos que ha considerado
el algoritmo, el sistema va a describir todos los elementos que se ven afectados
intentando justificar por qué recomienda que se mejore ese control de forma
específica. El objetivo es que el responsable del análisis de riesgos tenga una
justificación clara ante la dirección de la empresa de por qué debe acometer esa

Ciberseguridad Industrial 74
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

inversión.

Con esta última tarea se finalizaría el proceso de generación del análisis de riesgos y

del plan de mejora. Aunque inicialmente el proceso puede parecer complejo, la

herramienta que se ha creado y que lo soporta incluye facilidades que permiten que

en un solo día una compañía pueda realizar su análisis de riesgos, obteniendo

resultados de gran valor para ella.

P3. Mantenimiento dinámico del A.R. (DRM)

Una vez que hemos conseguido que el sistema sea capaz de generar un análisis de

riesgos de bajo coste y con un elevado nivel de detalle y valor para la compañía,

desde la metodología se ha buscado solucionar otro de los grandes problemas que

tienen actualmente este tipo de sistemas para las empresas y es el coste del

mantenimiento de este tipo de procesos y el poco valor que aporta una imagen

estática a medio plazo. Es decir, las empresas requieren de un análisis de riesgos

que tenga la capacidad de ir cambiando con el tiempo mientras suceden

eventos dentro de la compañía.

Por ello, el principal objetivo de este proceso es establecer mecanismos

que nos permitan ir actualizando de forma dinámica el análisis de

riesgos, con el objetivo de maximizar el valor que este sistema puede

aportar a la compañía.

Este proceso busca permitir a la compañía poder cambiar de forma dinámica los

niveles de los controles, bien debido a revisiones periódicas, cambios en el sistema o

eventos:

▸ Entradas: como entrada se recibirán los datos de la compañía y el análisis de

riesgos implementado por la misma, así como el estado actual de las métricas e
indicadores que permitirán al sistema funcionar.

Ciberseguridad Industrial 75
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ Tareas: el proceso estará formado por un conjunto de tareas, que permitirán

introducir datos que alteran los niveles de riesgos y las matrices.

▸ Salidas: la salida producida por este subproceso consistirá en una serie de

entregables: mIS —informe de eventos—; InfAud —informe de las auditorías

anuales—; InfAR —matriz de riesgos dinámica—; InfPTR —plan de tratamiento de
riesgos sinámico— y CMs —dashboard que representa en tiempo real el nivel de
riesgo de la compañía—.

Las principales bases sobre las que se define este proceso son: simplicidad,

eficiencia en costes (humanos y temporales) y usabilidad (capacidad de que la

compañía tenga información actualizada de los riesgos).

Las tareas de este proceso se apoyarán en el patrón base generado durante el

proceso GPRA y en el análisis de riesgos generado en el proceso GARM.

A continuación, mostramos las tareas que componen el proceso:

▸ Tarea T1. Gestión de eventos: el objetivo de esta tarea es que cada vez que se

produzca un incidente, este se asocie con la amenaza que lo ha producido y por

medio de la matriz de [Amenazas] x [Controles] podamos penalizar el nivel de
cumplimiento de los controles asociados con dicha amenaza. El porcentaje es
configurable, dependiendo del número de empleados de la compañía y la
periodicidad de la prueba.

Esta métrica está basada en que la ocurrencia de un incidente es la transformación

de una amenaza que ha conseguido aprovechar un fallo en un control y, por lo tanto,

implica que esos controles no son tan seguros como la compañía piensa y deben ser

revisados y reforzados.

▸ Tarea T2. Realización de auditorías periódicas: el objetivo de este control es que

cada vez que se realice una auditoría interna o externa que detecte no
conformidades en controles, altere el valor de dichos controles de forma manual.

Ciberseguridad Industrial 76
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ Tarea T3. Recálculo dinámico del análisis de riesgos: cada vez que una de las

cuatro primeras tareas produzca un evento sobre el nivel de cobertura de los

controles, el sistema recalculará de nuevo el análisis de riesgos de la compañía y el

plan de mejora recomendado, de forma que siempre estará actualizado con respecto
al estado real de la compañía.

▸ Tarea T4. Gestión del cuadro de mandos: toda la información del nivel de

cobertura de los controles se irá mostrando de forma dinámica en un cuadro de

mando (dashboard) de forma que tanto el responsable del análisis de riesgos como
la dirección de la compañía podrán ver de forma visual el estado de la gestión del

A.R. de la misma.

De esta forma, se ha desarrollado un proceso de muy bajo coste de mantenimiento

para la compañía y que le permite tener un sistema de análisis de riesgos

completamente dinámico y con la capacidad de informar en todo momento de la

situación real de la compañía, lo que es de enorme valor para ella.

Tarea T1. Gestión de Eventos

El principal problema que ofrece un análisis de riesgos es el hecho de configurar

una imagen estática del estado actual de la compañía, pero existen eventos que

surgen con el día a día y hacen que esa imagen estática quede obsoleta. Para evitar

este problema, Marisma 3.0 gestiona y actualiza de forma automática ese estado

ofreciéndonos un estado real de la compañía en todo momento.

Tendremos dos tipos de eventos:

▸ Tipo 1. Los que se producen por un incidente general.

▸ Tipo 2. La mejora directa de un control.

Tarea T1. Gestión de eventos tipo 1

En la figura 31 encontramos la lista de incidentes. El responsable del análisis de

Ciberseguridad Industrial 77
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

riesgos de la organización será el encargado de gestionarla.

Figura 31. Interfaz de incidentes. Fuente: elaboración propia.

Cada vez que un incidente ocurra, el responsable lo hará constar rellenando un

formulario (figura 32) en el que se indica el nombre del incidente, la gravedad (grave

—resta un 10 % al valor de los controles afectados— y leve —resta un 1 % al valor

de los controles afectados—), los activos afectados, la causa, conclusión de la

incidencia, descripción de la incidencia, una solución, la fecha estimada de solución y

las personas involucradas. Los valores de validación, cierre y verificación no se

encuentran disponibles hasta después de la creación, y será posible modificarlos

después de crear la incidencia.

Una vez rellenados los datos del formulario, obtenemos una nueva incidencia y la

posibilidad de pinchar en ella y validarla como incidencia, cerrarla una vez

solucionada y verificar si se ha cerrado y se ha solucionado el incidente.

Ciberseguridad Industrial 78
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 32. Formulario de creación de incidentes. Fuente: elaboración propia.

Si el incidente ha sido validado, cerrado y verificado se nos devolverá el 50 % del

valor que fue quitado al producirse la incidencia y una cuarentena de un año para

devolvernos el otro 50 %, a no ser que el control afectado obtenga en ese período

otra incidencia, en cuyo caso se cancelaría la devolución.

Figura 33. Lista de incidentes. Fuente: elaboración propia.

Figura 34. Lista de no conformidades. Fuente: elaboración propia.

Ciberseguridad Industrial 79
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

O accediendo a la lista de cuarentenas de forma general.

Figura 35. Lista de cuarentenas. Fuente: elaboración propia.

Tarea T1. Gestión de eventos tipo 2

En cuanto a la revisión de controles, obtenemos una lista de todos los controles de

nuestro proyecto (Figura 36), en la que podemos modificar de forma sencilla y

cambiar si el control aplica o no, o modificar su valor de forma manual.

Figura 36. Interfaz de revisión de controles. Fuente: elaboración propia.

Tarea T2. Realización de auditorías periódicas

Las no conformidades funcionan de la misma manera que una incidencia, con ligeras

diferencias: no se relaciona una amenaza, se relacionan los controles directamente.

Ciberseguridad Industrial 80
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Los tipos de no conformidad pueden ser «mayores» (eliminan el 100 % del valor),

«Menores» (eliminan el 50 % del valor) y «mejora» (aumenta un 10 % del valor).

Figura 37. Formulario de Creación de no conformidad. Fuente: elaboración propia.

Tarea T3. Recálculo del riesgo

Cada evento de los anteriores producirá que se recalculen todas las dimensiones

asociadas en Amenazas, Controles, Activos, etc., cambiando todas las matrices.

Ciberseguridad Industrial 81
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Tarea T4. Cambios en el cuadro de mandos

El cuadro de mando nos muestra de forma visual y organizada el estado en el que se

encuentra nuestro proyecto a partir de sus controles y nos ofrece una imagen real en

cada momento del estado de la compañía.

Figura 38. Cuadro de mando. Fuente: elaboración propia.

Ciberseguridad Industrial 82
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Profundizando más, podemos entrar en el control y observar su valor medio por mes

y su valor actual y final (Figura 39).

Figura 39. Diagrama de Estados de Control. Fuente: elaboración propia.

Ciberseguridad Industrial 83
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

4.6. Referencias bibliográficas

4360:2004, A. N. (2004). Standards Australia and Standards New Zealand. NSW.

Alberts, C. J. y A. J. Dorofee (2001). OCTAVE Criteria, Version 2.0.

Alhawari, S., L. Karadsheh, et al. (2012). Knowledge-Based Risk Management

framework for Information Technology project. International Journal of Information

Management, 32(1), 50-65.

Barrientos, A. M. y K. A. Areiza (2005). Integration of a safety management system

withan information quality management system. Universidad EAFIT.

Brinkley, D. y Schell, R. (1995). What Is There to Worry About? An Introduction to the

Computer Security Problem. En Abrams, M.; Podell, H. y Jajodia, S. (Eds.).

Information Security, An Integrated Collection of Essays. IEEE Computer Society.

BS7799 (2006). BS 7799: Information security management systems. British

Standards Institute (BSI).

CCI (2013). Mapa de Ruta de Ciberseguridad Industrial en España 2013-2018.

Centro de Ciberseguridad Industrial.

http://www.infoplc.net/files/documentacion/ciberseguridad/infoPLC_net_CCI_Mapa_R
uta_Ciberseguridad_2013-2018x1x.pdf

CNPIC (2012). Guía de Buenas Prácticas. Plan de Protección Específico (PPE).

Centro Nacional para la Protección de las Infraestructuras Críticas.

COBITv5.0 (2013). Cobit Guidelines, Information Security Audit and Control

Association. ISACA.

Chung, L., B. Nixon, et al. (2000). Non-functional requirements in software

engineering. Kluwer Academic Publishers.

Ciberseguridad Industrial 84
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Dhillon, G. (2001). Information Security Management: Global challenges in the new

millennium. Idea Group Publishing.

Dhillon, G. and J. Backhouse (2000). Information System Security Management in the

New Millennium. Communications of the ACM 43(7), 125-128.

Eloff, J. and M. Eloff (2003). Information Security Management - A New Paradigm.

Annual research conference of the South African institute of computer scientists and

information technologists on Enablement through technology SAICSIT´03, 130-136.

Feng, N. y Li, M. (2011). An information systems security risk assessment model

under uncertain environment. Applied Soft Computing 11(7), 4332-4340.

Fredriksen, R., M. Kristiansen, et al. (2002). The CORAS framework for a model-

based risk management process. 21st International Conference on Computer Safety,

Reliability and Security (Safecomp 2002), 94-105.

Garigue, R. and Stefaniu, M. (2003). Information Security Governance Reporting.

Information Systems Security sept/oct., 36-40.

Ghosh, A., C. Howell, et al. (2002). Building Software Securely from the Ground Up.

IEEE Software, 19(1), 14-16.

Hall, A. and Chapman, R. (2002). Correctness by Construction: Developing a

Commercial Secure System. IEEE Software, 19(1), 18-25.

ISO/IEC13335-3 (1998). ISO/IEC TR 13335-3, Information technology -- Guidelines

for the management of IT Security -- Part 3: Techniques for the management of IT

Security.

ISO/IEC13335-4 (2000). ISO/IEC TR 13335-4, Information technology -- Guidelines

for the management of IT Security -- Part 4: Selection of safeguards.

Ciberseguridad Industrial 85
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

ISO/IEC13335 (2004). ISO/IEC 13335, Information Technology - Security Techniques

- Management of Information and Communications Technology Security.

ISO/IEC15443-1 (2012). ISO/IEC TR 15443-1:2012, Information technology --

Security techniques -- A framework for IT security assurance -- Part 1: Overview and

framework.

ISO/IEC15443-2 (2012). ISO/IEC TR 15443-2:2012, Information technology --

Security techniques -- A framework for IT security assurance -- Part 2: Assurance

methods.

ISO/IEC20000-1 (2011). ISO/IEC 20000-1:2011, Information technology - Service

management - Part 1: Specification.

ISO/IEC20000-2 (2012). ISO/IEC 20000-2:2012, Information technology - Service

management - Part 2: Code of practice.

ISO/IEC27001 (2005). ISO/IEC 27001, Information Technology - Security Techniques

Information security management systemys - Requirements.

ISO/IEC27002 (2007). ISO/IEC 27002, Information Technology - Security Techniques

- The international standard Code of Practice for Information Security Management.

ISO/IEC27002 (2007). ISO/IEC 27002:2005, the international standard Code of

Practice for Information Security Management.

ISO/IEC27002 (2013). ISO/IEC 27002:2013, the international standard Code of

Practice for Information Security Management.

ISO/IEC27005 (2008). ISO/IEC 27005, Information Technology - Security Techniques

- Information Security Risk Management Standard

Ciberseguridad Industrial 86
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

ISO/IEC27005 (2008). ISO/IEC 27005. Information Technology - Security Techniques

- Information Security Risk Management Standard.

ISO/IEC-CCv3.1 (2007). Common Criteria for Information Technology Security

Evaluation.

Jürjens J. (2001) Towards Development of Secure Systems Using UMLsec. En

Hussmann H. (eds) Fundamental Approaches to Software Engineering. FASE 2001.

Lecture Notes in Computer Science, 2029. https://doi.org/10.1007/3-540-45314-8_14

Kluge, D. (2008). Formal Information Security Standards in German Medium

Enterprises. CONISAR: The Conference on Information Systems Applied Research.

Konus, J. y Minoli, D. (2010). Information Technology Risk Management in Enterprise

Environments. John Wiley & Sons, Inc.

Lund, M. S.; den Braber, F. y Stolen., K. (2003). Maintaining results from security

assessments. Seventh European Conference on Software Maintenance and

Reengineering, 2003. Proceedings, pp. 341-350.

MageritV2 (2005). Metodología de Análisis y Gestión de Riesgos para las

Tecnologías de la Información, V2. Ministerio de Administraciones Públicas.

MageritV2 (2006). Methodology for Information Systems Risk Analysis and

Management (MAGERIT version 2). Ministerio de Administraciones Públicas (Spain).

326-06-044-8.

MageritV3 (2012). Methodology for Information Systems Risk Analysis and

Management. Ministerio de Hacienda y Administraciones Públicas.

Masacci, F., M. Prest, et al. (2005). Using a security requirements engineering

methodology in practice: The compliance with the Italian data protection legislation.

Computer Standards & Interfaces 27, 445-455.

Ciberseguridad Industrial 87
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

McAfee_A (2014). 2014 McAfee Report on the Global Cost of Cybercrime.

McAfee_B (2014). Net Losses: Estimating the Global Cost of Cybercrime. Center for

Strategic and International Studies. E. I. o. c. II.

MEHARI. (2009). Club de la Sécurité de l'Information Français. Clusif.

https://clusif.fr/en/french-information-security-club/

Mercuri, R. T. (2003). Analyzing security costs. Communication of the ACM 46, 15-

18.

Nachtigal, S. (2009). E-business Information Systems Security Design Paradigm and

Model. Royal Holloway, University of London, Technical Report: 347.

NIST_SP800-30 (2012). NIST Special Publication 800-30 Revision 1, Guide for

Conducting Risk Assessments.

OCTAVE. (2009). CERT – Software Engineering Institute, Carnegie Mellon.

Parra, A. S.-O., L. E. S. Crespo, et al. (2016). Methodology for Dynamic Analysis and

Risk Management on ISO27001. IEEE Latin America Transactions 14(6), 2897-2911.

Siegel, C. A., T. R. Sagalow, et al. (2002). Cyber-Risk Management: Technical and

Insurance Controls for Enterprise-Level Security. Security Management Practices

sept/oct, 33-49.

Vidalis, S. (2004). A critical discussion of risk and threat analysis methods and

methodologies. School of Computing Technical Report CS-04-03, University of

Glamorgan.

Walker, E. (2005). Software Development Security: A Risk Management Perspective.

The DoD Software Tech. Secure Software Engineering 8(2), 15-18.

Ciberseguridad Industrial 88
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Wiander, T. (2008). Implementing the ISO/IEC 17799 standard in practice –

experiences on audit phases. AISC '08: Proceedings of the sixth Australasian

conference on Information security.

Zissis, D. y Lekkas, D. (2012). Addressing cloud computing security issues. Future

Generation Computer Systems, 28(3), 583-592.

Ande, R., et al. (2020). Internet of Things: Evolution and technologies from a security

perspective. Sustainable Cities and Society, 54, 101728.

Banafa, A. (2020). Blockchain Technology and Applications. River Publishers.

Boeckl, K., et al. (2019). Considerations for managing Internet of Things (IoT)

cybersecurity and privacy risks. US Department of Commerce, National Institute of

Standards and Technology.

Butun, I. (2020). Industrial IoT. Springer.

Carr, M. and Lesniewska, F.J.I.R. (2020). Internet of Things, cybersecurity and

governing wicked problems: learning from climate change governance, 34(3), 391-

412.

Chesney, S., Roy, K. y Khorsandroo, S. (2020). Machine learning algorithms for

preventing IoT cybersecurity attacks. in Proceedings of SAI Intelligent Systems

Conference. Springer.

Choo, K.-K.R., et al. (2020) A Multidisciplinary Approach to Internet of Things (IoT)

Cybersecurity and Risk Management. Elsevier.

Dhaou, I.S.B., et al. (2020). Internet of Things Technologies for Smart Grid, in Tools

and Technologies for the Development of Cyber-Physical Systems . IGI Global 256-

284.

Ciberseguridad Industrial 89
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Raiu, C. (2012).Cyber-threat evolution: the past year. Computer Fraud & Security

2012(3), 5-8.

Yazar, Z. (2002). A qualitative risk analysis and management tool– CRAMM. SANS

InfoSec Reading Room White Paper 11, 12-32.

Ciberseguridad Industrial 90
Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Coste del cibercrimen

Tilves, M. (2018). El coste del cibercrimen roza ya los 600 000 millones de dólares.

Silicon.es. https://www.silicon.es/coste-cibercrimen-mcafee-2371188

Artículo en el que se desgranan los resultados del informe Economic Impact of

Cybercrime-No Slowing Down publicado por McAfee en colaboración con el CSIS.

Ciberseguridad Industrial 91
Tema 4. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Análisis de Riesgos

INCIBE (14 de septiembre de 2017). Análisis de riesgos [Vídeo]. YouTube.

https://www.youtube.com/watch?v=knxhzpNFWGI

Vídeo desarrollado por INCIBE en el que se da una introducción y se presentan los

conceptos básicos para la realización de un análisis de riesgos.

Ciberseguridad Industrial 92
Tema 4. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

MARISMA

Página web de eMARISMA. https://www.emarisma.com/blog/

Blog de MARISMA-eMARISMA, con las últimas noticias surgidas en el ámbito de

esta metodología.

Ciberseguridad Industrial 93
Tema 4. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

MARISMA en FEDER

Sanchez Crespo, L.E. (2017). Presentación de MARISMA en FEDER.

https://www.dgfc.sepg.hacienda.gob.es/sitios/dgfc/es-

ES/ipr/fcp1420/c/ac/aa/Documents/A%C3%91O%202016/4.CLM-
Metodologia_Analisis_Riesgos_Sistematico_Modelos_Asociativos_Inteligentes-
MARISMA.pdf

Presentación realizada por el Doctor Luis Enrique Sánchez Crespo en el marco del

programa FEDER, con una visión general de la metodología MARISMA.

Ciberseguridad Industrial 94
Tema 4. A fondo
© Universidad Internacional de La Rioja (UNIR)
 Test

1. ¿Qué implica a nivel de seguridad y gestión de riesgos que el ciberespacio no

tiene fronteras?

A. Que Internet es global y cualquiera puede actuar desde cualquier parte.

B. Que la falta de regulación en algunos países permite que los

ciberdelincuentes no puedan ser detenidos, aunque sean identificados.

C. Que no es necesario actuar físicamente para dañar un sistema de

información.

D. Ninguna de las anteriores.

2. ¿Cuál de las siguientes es una característica de la delincuencia cibernética?

A. Su rentabilidad.

B. Su bajo riesgo comparado con otros tipos de delincuencia.

C. Que permite actuar desde el anonimato.

D. Todas las anteriores.

3. ¿Cuál de los siguientes es un factor clave en la reducción de la delincuencia

cibernética?

A. La mejora en la cooperación en ciberseguridad a nivel internacional.

B. La aplicación de legislaciones uniformes en temas de ciberdelincuencia.

C. La disminución en el número de nuevos virus que nacen cada año.

D. Todas las anteriores.

4. ¿Cuáles de los siguientes son factores a los que no están adaptados los

sistemas de análisis y gestión de riesgos tradicionales?

A. Asociatividad.

B. Jerarquía.

C. Ahorro de costes.

D. Todas las anteriores.

Ciberseguridad Industrial 95
Tema 4. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

5. ¿Qué implica que un análisis de riesgos sea dinámico en su gestión?

A. Aumento del coste de mantenimiento.

B. Necesidad de personal altamente formado en TI.

C. Estado actualizado en «tiempo real».

D. Todas las anteriores.

6. Para la aplicación de metodologías de análisis de riesgos específicas para

sectores industriales, es necesario definir:

A. Catálogos generales de activos, amenazas y vulnerabilidades.

B. Catálogos de activos, amenazas y vulnerabilidades específicos para

sectores diferenciados.

C. Herramientas que permitan la gestión y medición de los controles

implantados.

D. Todas las anteriores.

7. El Mapa de Ruta de Ciberseguridad Industrial indica que en los «resultados del

análisis de riesgos» se debe definir:

A. Medidas existentes en el sistema.

B. Descripción de la metodología de análisis.

C. Identificación y valoración de los activos que soportan los servicios

esenciales.

D. Todas las anteriores.

Ciberseguridad Industrial 96
Tema 4. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

8. Atendiendo al patrón CPS (sistemas ciberfísicos) de eMarisma, ¿cuáles de las

siguientes son dimensiones propias de dicho patrón?

A. Impacto sobre las personas.

B. Impacto medioambiental.

C. Privacidad.

D. Todas las anteriores.

9. ¿Cuáles de los siguientes son elementos de la metodología MARISMA?

A. Patrón base.

B. Activo de grano grueso.

C. Matriz Amenazas x Controles.

D. Todas las anteriores.

10. A la hora de establecer las relaciones de la Matriz Amenazas x Controles:

A. Las relaciones se establecen por el Grupo de Usuarios (GU).

B. Una de las principales características de la matriz es poder optimizar

costes del proceso de generación del AR.

C. Las relaciones establecidas son independientes del patrón utilizado.

D. Todas las anteriores.

Ciberseguridad Industrial 97
Tema 4. Test
© Universidad Internacional de La Rioja (UNIR)