Análisis y gestión de riesgos

[1.1] ¿Cómo estudiar este tema?

[1.2] Seguridad de la información y gestión de riesgos

[1.3] UNE-ISO 31000: 2010 Gestión del Riesgo – Principios y

Directrices

[1.4] Metodologías de análisis y gestión de riesgos

[1.5] Herramientas de análisis y gestión de riesgos

1
TEMA
 Esquema

TEMA 1 – Esquema
Análisis y gestión de riesgos

Seguridad de la información Metodologías de análisis y Herramientas de análisis y

UNE-ISO 31000: 2010
y gestión de riesgos gestión de riesgos gestión de riesgos

Qué Principios

Marco de
Dónde
trabajo

Cómo Proceso

Cuándo
Análisis de Riesgos Legales
 Análisis de Riesgos Legales

Ideas clave

1.1. ¿Cómo estudiar este tema?

Para estudiar este tema sigue las indicaciones recogidas a continuación.

En el aula virtual encontrarás disponible un documento para el estudio de este tema

titulado «Tema1: Seguridad de la información, análisis y gestión de riesgos».

Para conocer las bases sobre la gestión de riesgos, se recomiendan las siguientes lecturas:

COSO. (2004). Enterpise Risk Management Framework.

http://www.coso.org/documents/coso_erm_executivesummary.pdf

NIST. (2004). Risk Management. Guide for Information Management Technology

Systems. 800-30A.

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

OCTAVE. Cert. 2002 Carnegie Mellon University.

http://www.cert.org/octave

La metodología Magerit de análisis y gestión de Riesgos de los Sistemas de Información,

desarrollado por Ministerio para las Administraciones Públicas:

https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/

Referencia para la Gestión del Riesgo en Prince2:

http://www.scribd.com/doc/24166418/113/Registro-de-Riesgos

A continuación lee este tema y realiza las actividades propuestas, puedes ampliarlo con
la bibliografía y recursos recomendados.

TEMA 1 – Ideas clave

 Análisis de Riesgos Legales

Un repaso a los estándares y metodologías de gestión de riesgos será una tarea

fundamental para decidir el modelo de gestión de riesgos más apropiado para nuestra
organización.

1.2. Seguridad de la información y gestión de riesgos

Garantizar la seguridad de la información es uno de los objetivos prioritarios de

cualquier organización, pues la información es uno de los activos más importantes con
los que cuentan las organizaciones y siempre ha estado amenazada, ya desde la
antigüedad se era consciente de la existencia de las amenazas a la que está expuesta la
información y se utilizaban medios para protegerla.

La seguridad de información debe formar parte de todos los procesos de negocio de una
organización, tanto en el caso de los procesos manuales como automatizados, ya
que en todos ellos interviene la información de la organización como parte
fundamental, teniendo en cuenta además que dichos procesos involucran a personas, a
tecnología y a relaciones con socios de negocio, clientes o terceros.

La gestión de riesgos debe:

Ser una parte integral de todos los procesos de negocio.
Crear y proteger el valor.
Formar parte de la toma de decisiones.
Tratar explícitamente la incertidumbre.
Ser sistemática, estructurada y oportuna.
Estar basada en la mejor información posible.
Ser adaptable.
Integrar factores humanos y culturales.
Ser transparente y participada por las partes interesadas de la organización.
Ser dinámica, iterativa y responde a los cambios.
Facilitar la mejora continua.

TEMA 1 – Ideas clave

 Análisis de Riesgos Legales

1.3. UNE-ISO 31000: 2010 Gestión del Riesgo – Principios y

Directrices

Esta norma proporciona a las organizaciones una herramienta para gestionar el

riesgo, que no es otra cosa que la incertidumbre que generan los factores e
influencias tanto internas y como externas a las que está expuesta una organización, y
que pueden poner en peligro el cumplimiento de sus objetivos.

La UNE-ISO 3001 establece una serie de

principios que se deben satisfacer para que la
gestión del riesgo sea eficaz. Para ello, recomienda a
las organizaciones que deben desarrollar e
implementar un marco de trabajo cuyo objetivo
sea integrar el proceso de gestión del riesgo en los
procesos de gobierno, de estrategia y de
planificación, de gestión, y de elaboración de
informes, así como en las políticas, los valores y en la cultura de toda la organización.
Todo ello dentro de un proceso de mejora continua.

Principios

La UNE-ISO 31000 establece una serie de principios que deben aplicarse en la gestión
del riesgo para que esta sea eficaz:
La gestión del riesgo crea y protege el valor.
La gestión del riesgo debe formar parte integral de todos los procesos de la
organización.
La gestión del riesgo debe ser parte de la toma de decisiones.
La gestión del riesgo trata explícitamente la incertidumbre.
La gestión del riesgo debe ser sistemática, estructurada y oportuna.
La gestión del riesgo debe basarse en la mejor información disponible.
La gestión del riesgo debe adaptarse.
La gestión del riesgo debe integrar los factores humanos y culturales.
La gestión del riesgo debe ser transparente y participativa.
La gestión del riesgo debe ser dinámica, iterativa, y responde a los cambios.
La gestión del riesgo facilita la mejora continua de la organización.

TEMA 1 – Ideas clave

 Análisis de Riesgos Legales

Definición de los criterios de riesgo

La organización debería definir los criterios que se aplican para evaluar la

importancia del riesgo.

Al definir los criterios de riesgo, se deberían considerar una serie de factores entre
los cuales se incluyen los siguientes:
La naturaleza y los tipos de las causas y de las consecuencias que se pueden
producir, y cómo se deben medir.
El método de definición de la probabilidad.
Los plazos de la probabilidad y/o de las consecuencias.
El método para determinar el nivel de riesgo.
Las opiniones de las partes interesadas.
El nivel al que el riesgo comienza a ser aceptable o tolerable.
Si se deberían tener en cuenta combinaciones de riesgos múltiples y, en caso
afirmativo, cómo y qué combinaciones se deberían considerar.

Las opciones de tratamiento del riesgo no se excluyen necesariamente unas a

otras, ni son apropiadas en todas las circunstancias.

Las opciones pueden incluir lo siguiente:

Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el
riesgo
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad
Eliminar la fuente del riesgo
Modificar la probabilidad
Modificar las consecuencias
Compartir el riesgo con otras partes (incluyendo los contratos y la financiación del
riesgo)
Retener el riesgo en base a una decisión informada

TEMA 1 – Ideas clave

 Análisis de Riesgos Legales

1.4. Metodologías de análisis y gestión de riesgos

Gestión de riesgos en COBIT

Control Objectives for Information and Related Technologies, es una guía de

mejores prácticas presentada como un framework dirigida a la gestión de
tecnologías de la información. COBIT (mantenido por ISACA — Information Systems
Audit and Control Association) actualmente en su versión 5, se organiza alrededor de
procesos que se agrupan en cuatro áreas:
Planificar y Organizar (PO)
Adquirir e Implantar (AI)
Entregar y dar Soporte (DS)
Mantener y Evaluar (ME)

Gestión de riesgos en CMMI

CMMI (Capability Maturity Model Integration v.1.3) es un modelo de procesos que

contiene las mejores prácticas de la industria para el desarrollo, mantenimiento,
adquisición y operación de productos y servicios.

Gestión de riesgos en SPICE

SPICE (Software Process Improvement and Capability Determination) es un

conjunto de estándares que se utilizan para evaluar y mejorar (mejora continua) de los
procesos de desarrollo software mediante una serie de prácticas base y prácticas
genéricas. SPICE se corresponde con el estándar ISO 15504 y la norma ISO/IEC 12207.

Metodología Octave: Aspectos más importantes

El método OCTAVE (Operationally Critical Thereat, Asset and Vulnerability

Evaluation) es un modelo para el desarrollo de metodologías de análisis de
riesgos creado inicialmente por la universidad Carnegie—Mellon, que consiste en un
conjunto de criterios a partir de los cuales desarrollar las consiguientes metodologías.
Los 3 argumentos básicos del método son los principios, los atributos y los
resultados, lo que permite que cualquier metodología que aplique estos principios se
considere compatible con el método OCTAVE.

TEMA 1 – Ideas clave

 Análisis de Riesgos Legales

Metodología Magerit

MAGERIT es una metodología de carácter público, desarrollada por el Ministerio de

Administraciones Públicas (MAP) —véase http://administracionelectronica.gob.es/— .
Para su utilización no se requiere la autorización previa del MAP. Magerit interesa a
todos aquellos que trabajan con información y los sistemas informáticos que la tratan.
MAGERIT implementa el proceso de gestión de riesgos dentro de un marco de
trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los
riesgos derivados del uso de tecnologías de la información.

ISO/IEC 27005:2011

ISO/IEC 27005:2011 Information technology —Security techniques— Information

security risk management publicada en 2011, se apoya en los conceptos generales
especificados en la ISO/IEC 27001 del ciclo PDCA.

1.5. Herramientas de análisis y gestión de riesgos

Abordar la tarea de realizar un análisis de riesgos, de una organización con un cierto

grado de complejidad es prácticamente imposible si no se dispone de la herramienta
adecuada, por ello es necesario conocer las diferentes herramientas de análisis y
gestión de riesgos existentes en el mercado, lo que nos va a permitir seleccionar la
más adecuada a nuestras necesidades.

TEMA 1 – Ideas clave

 Análisis de Riesgos Legales

Lo + recomendado

Lecciones magistrales

Seguridad, sistemas y metodologías de gestión de riesgos S/W

En esta lección magistral, el profesor Ricardo Rejas hablará sobre las metodologías de
gestión de riesgos y la gestión de riesgos en las organizaciones orientado a tecnologías
de la información.

El vídeo está disponible en el aula virtual.

No dejes de leer…

The Tallinn Manual on the International Law Applicable to Cyber Warfare

Es un estudio académico, no vinculante sobre cómo el derecho

internacional, en particular el Ius ad Bellum y el derecho
internacional humanitario, se aplican a los conflictos cibernéticos y
la guerra cibernética.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://www.ccdcoe.org/249.html
http://issuu.com/nato_ccd_coe/docs/tallinnmanual?e=5903855/1802381

TEMA 1 – Lo + recomendado
 Análisis de Riesgos Legales

El cisne negro

Taleb, N. N. (2008). El cisne negro. Paidós Ibérica

¿Qué es un cisne negro? Un hecho improbable, impredecible y de consecuencias

imprevisibles. Lectura imprescindible para entender el concepto de análisis de riesgos.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://books.google.es/books?id=SgAkI-
OV0YsC&printsec=frontcover&dq=el+cisne+negro&hl=#v=onepage&q=el%20cisne%2
0negro&f=false

No dejes de ver…

Análisis de riesgos

Para efectuar un análisis de riesgos es

necesario saber a lo que nos enfrentamos,
las habilidades tradicionales que una
organización necesita en seguridad de la
información actualmente no son tan
efectivas para protegerla contra incidentes
cibernéticos.

Accede a los vídeos a través del aula virtual o desde las siguientes direcciones web:
http://www.youtube.com/watch?v=_1ni_tjjVDQ
http://www.youtube.com/watch?v=WkrPlJcr8w0

TEMA 1 – Lo + recomendado
 Análisis de Riesgos Legales

ENISA

En este enlace podrás ver los vídeos elaborados

por ENISA (European Union Agency for Network
and Information Security).

Accede a los vídeos a través del aula virtual o desde las siguientes direcciones web:
https://www.enisa.europa.eu/media/multimedia/material/awareness-raising-video-
clips

TEMA 1 – Lo + recomendado
 Análisis de Riesgos Legales

+ Información

A fondo

Los «cisnes negros»: elemento clave en la protección de Infraestructuras

Críticas

Cañizares, R. (2013). Los «cisnes negros»: elemento clave en la protección de

Infraestructuras Críticas. Red seguridad: revista especializada en seguridad
informática, protección de datos y comunicaciones, 60, 40-41.

¿Qué entendemos por un «cisne negro»? ¿Cómo introduzco en el análisis de riesgos el

cisne negro? Y, ¿cómo calculo el retorno de la inversión en seguridad?

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://dialnet.unirioja.es/servlet/articulo?codigo=4205895

Arboles de Ataque, una herramienta imprescindible en la protección de

Infraestructuras Críticas

Artículo de Ricardo Cañizares, Director de Consultoría de Eulen Seguridad, publicado

en la web de revista Red Seguridad en 2012.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://www.redseguridad.com/opinion/articulos/arboles-de-ataque-una-herramienta-
imprescindible-en-la-proteccion-de-infraestructuras-criticas

TEMA 1 – + Información
 Análisis de Riesgos Legales

La simulación como herramienta de análisis de riesgos

En este artículo veremos cómo la simulación es válida para estimar las consecuencias
de cualquier incidente de seguridad, que afecte tanto a la integridad física de las
personas como a los activos de una organización.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://www.puntoseguridad.com/cuadernos-de-seguridad/revista/239

Gerencia de riesgos informáticos

Artículo publicado en Trébol en 2006 por Esther Cerdeño —Subdirectora Informática

Técnica — MAPFRE REASEGUROS (España) relativo a la gerencia de riesgos
informáticos.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd
?path=1035723

Análisis de riesgos dinámicos en sistemas de información

Este trabajo de David López Cuenca hace un recorrido por las principales corrientes
que buscan sacar partido a este potencial, englobadas principalmente bajo el concepto
de Análisis de Riesgos Dinámico, cuyo principio es la actualización incesante de los
parámetros que intervienen en el cálculo del riesgo para la optimización de su
tratamiento posterior.

Accede al documento a través del aula virtual o desde las siguientes direcciones web:
http://eprints.ucm.es/16931/1/PFM_2012_-_David_L%C3%B3pez_Cuenca_-
_An%C3%A1lisis_de_Riesgos_Din%C3%A1micos_en_Sistemas_de_Informaci%C3%B
3n.pdf

TEMA 1 – + Información
 Análisis de Riesgos Legales

Webgrafía

ENISA - European Union Agency for Network and Information Security

El objetivo de ENISA es mejorar las redes y la seguridad de la

información en la Unión Europea. La agencia tiene que contribuir
al desarrollo de una cultura de red y seguridad de la información
para el beneficio de los ciudadanos, consumidores, empresas y
organizaciones del sector público de la Unión Europea, y por
tanto contribuirá a mejorar el funcionamiento interno de la EU.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://www.enisa.europa.eu/

Information Security Forum (ISF)

El Foro de Seguridad de la Información (ISF) es una

asociación independiente, sin ánimo de lucro. Se dedica a
investigar, aclarar y resolver cuestiones clave de seguridad
de la información, y el desarrollo de metodologías de mejores prácticas, procesos y
soluciones que satisfagan las necesidades de negocios de sus miembros.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.securityforum.org/

TEMA 1 – + Información
 Análisis de Riesgos Legales

Actividades

Trabajo: Elaboración del documento de metodología de análisis

y gestión de riesgos de una organización

Imagina que eres el responsable de seguridad de la información de una compañía

(CISO) y la dirección te ha encargado que elabores un Plan Director de Seguridad de la
Información, una de las decisiones que debes tomar es la elección de una metodología
de análisis y gestión de riesgos, que a partir de la aprobación del PDSI será de
utilización obligatoria.

El resultado de la elección de la metodología más apropiada deber ser el documento

«metodología de análisis y gestión de riesgo», en el que se describe y desarrolla la
metodología elegida.

Para elaborar el documento debes estudiar las metodologías de análisis y gestión de

riesgos existentes, escoger la más apropiada y adaptarla a las necesidades de la
organización.

El único requisito que te ha fijado la dirección de la compañía es que debe estar

alineada con los principios y directrices de la UNE-ISO 31.000.

Para facilitarte la elaboración te proponemos el siguiente índice:

1 INTRODUCCION
2 OBJETO
3 TÉRMINOS Y DEFINICIONES
4 PRINCIPIOS
5 MARCO DE TRABAJO
5.1 Precepto y compromiso
5.2 Diseño del marco de trabajo de la gestión del riesgo
5.2.1 Comprensión de la organización y de su contexto
5.2.2 Establecimiento de la política de gestión del riesgo
5.2.3 Obligación de rendir cuentas - Responsabilidades
5.2.4 Integración en los procesos de la organización
5.2.5 Recursos

TEMA 1 – Actividades
 Análisis de Riesgos Legales

5.2.6 Establecimiento de los mecanismos internos de

comunicación y de información
5.2.7 Establecimiento de los mecanismos externos de
comunicación y de información
5.3 Implementación de la gestión del riesgo
5.3.1 Implementación del marco de trabajo de la gestión del
riesgo
5.3.2 Implementación del proceso de gestión del riesgo
5.4 Seguimiento y revisión del marco de trabajo
5.5 Mejora continua del marco de trabajo
6 PROCESO DE GESTIÓN, ANÁLISIS Y TRATAMIENTO DEL RIESGO
6.1 Comunicación y consulta
6.2 Establecimiento del contexto
6.2.1 Establecimiento del contexto externo
6.2.2 Establecimiento del contexto interno
6.2.3 Establecimiento del contexto del proceso de gestión
6.2.4 Definición de los criterios de riesgo
6.3 Apreciación del riesgo.
6.3.1 Identificación del riesgo
6.3.2 Análisis del riesgo
6.3.3 Evaluación del riesgo
6.4 Tratamiento del riesgo
6.4.1 Selección de opciones de tratamiento del riesgo
6.4.2 Preparación e implementación de los planes de
tratamiento del riesgo
6.5 Seguimiento y revisión
6.6 Registro del proceso de revisión del riesgo
7 ANEXO
7.1 Inventario de Activos
7.2 Criterio de valoración de activos
7.3 Catálogo de amenazas
7.4 Catálogo de vulnerabilidades
7.5 Catálogo de salvaguardas

TEMA 1 – Actividades
 Análisis de Riesgos Legales

Test

1. La identificación de riesgos debería incluir:

A. Todos los riesgos.
B. Los riesgos que no estén bajo control de la organización.
C. Los riesgos que estén bajo control de la organización.
D. Los riesgos cuya causa sea evidente.

2. La finalidad de la evaluación del riesgo es:

A. Determinar los riesgos a tratar.
B. Ayudar a la toma de decisiones.
C. Priorizar los riesgos.
D. Determinar qué nivel de riesgo se debe asumir.

3. Cuál de las siguientes afirmaciones es incorrecta:

A. El plan de tratamiento debe identificar el orden de prioridad.
B. El tratamiento del riesgo no puede introducir nuevos riesgos.
C. El tratamiento del riesgo no debe introducir nuevos riesgos.
D. El fallo o la ineficacia de las medidas de tratamiento del riesgo pueden constituir
un riesgo importante.

4. Cuál de las siguientes afirmaciones es incorrecta:

A. La gestión del riesgo debe ser una actividad independiente.
B. La gestión del riesgo crea y protege el valor.
C. La gestión del riesgo debe ser sistemática y estructurada.
D. La gestión del riesgo es una ayuda a la toma de decisiones.

5. Qué elemento no forma parte del contexto externo de una organización:

A. El entorno tecnológico.
B. El entorno social.
C. Los flujos de información.
D. Las tendencias.

TEMA 1 – Test
 Análisis de Riesgos Legales

6. Según la metodología MAGERIT, ¿cuál de las siguientes no es una técnica

especifica?
A. Análisis algorítmico.
B. Árboles de ataque.
C. Valoración Delphi.
D. Análisis mediante tablas.

7. ¿Cuántas dimensiones de valoración se utilizan en la metodología MAGERIT?

A. 3
B. 4
C. 5
D. 7

8. Entre las tipologías de métodos utilizados para el análisis de riesgos se encuentran:

A. Métodos semi-cuantitativos.
B. Métodos cuantitativos.
C. Métodos cualitativos.
D. Todas son ciertas.

9. COBIT es:
A. Es una guía de mejores prácticas presentada como framework sin ninguna
gestión de riesgos en sus procesos.
B. Es una guía de mejores prácticas presentada como framework dirigida a la
gestión de tecnologías de la información, y la gestión de riesgos se define en el
proceso PO9.
C. Se organiza en 3 áreas de gestión: Desarrollo del software, Servicios y
Adquisiciones.
D. Todas son falsas.

10. La seguridad de información debe:

A. Formar parte de todos los procesos automatizados de una organización.
B. Formar parte de todos los procesos manuales de una organización.
C. Involucrar a los socios de negocio.
D. Todas las anteriores son correctas.

TEMA 1 – Test