Tema1 PDF

Anlisis y gestin de riesgos
[1.1] Cmo estudiar este tema?

[1.2] Seguridad de la informacin y gestin de riesgos
[1.3] UNE-ISO 31000: 2010 Gestin del Riesgo Principios y
Directrices
[1.4] Metodologas de anlisis y gestin de riesgos
[1.5] Herramientas de anlisis y gestin de riesgos

1

T
E
M
A

Anlisis de Riesgos Legales
TEMA 1 Esquema
Esquema

S
e
g
u
r
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i
n

y

g
e
s
t
i
n

d
e

r
i
e
s
g
o
s
A
n
l
i
s
i
s

y

g
e
s
t
i
n

d
e

r
i
e
s
g
o
s
U
N
E
-
I
S
O

3
1
0
0
0
:

2
0
1
0

P
r
i
n
c
i
p
i
o
s

M
a
r
c
o

d
e

t
r
a
b
a
j
o
P
r
o
c
e
s
o

M
e
t
o
d
o
l
o
g
a
s

d
e

a
n
l
i
s
i
s

y

g
e
s
t
i
n

d
e

r
i
e
s
g
o
s

Q
u
n
d
e

C
m
o

C
u
n
d
o

H
e
r
r
a
m
i
e
n
t
a
s

d
e

a
n
l
i
s
i
s

y

g
e
s
t
i
n

d
e

r
i
e
s
g
o
s
2
TEMA 1 Ideas clave
Ideas clave

1.1. Cmo estudiar este tema?

Para estudiar este tema debes leer estas ideas clave y realiza las actividades propuestas,
puedes ampliarlo con la bibliografa y recursos recomendados.

Para conocer las bases sobre la gestin de riesgos, se recomiendan las siguientes lecturas:

COSO. (2004). Enterpise Risk Management Framework.

http://www.coso.org/documents/coso_erm_executivesummary.pdf

NIST. (2004). Risk Management. Guide for Information Management Technology
Systems. 800-30A.

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

OCTAVE. Cert. 2002 Carnegie Mellon University.

http://www.cert.org/octave

La metodologa Magerit de anlisis y gestin de Riesgos de los Sistemas de Informacin,
desarrollado por Ministerio para las Administraciones Pblicas:

https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/

Referencia para la Gestin del Riesgo en Prince2:

http://www.scribd.com/doc/24166418/113/Registro-de-Riesgos

Un repaso a los estndares y metodologas de gestin de riesgos ser una tarea
fundamental para decidir el modelo de gestin de riesgos ms apropiado para nuestra
organizacin.

3
TEMA 1 Ideas clave
1.2. Seguridad de la informacin y gestin de riesgos

Garantizar la seguridad de la informacin es uno de los objetivos prioritarios de
cualquier organizacin, pues la informacin es uno de los activos ms importantes con
los que cuentan las organizaciones y siempre ha estado amenazada, ya desde la
antigedad se era consciente de la existencia de las amenazas a las que est expuesta
la informacin y se utilizaban medios para protegerla. Prueba de ello, es que Julio
Csar ya cifraba sus mensajes con el conocido procedimiento que lleva su nombre, pero
el auge en la implantacin de las Tecnologas de la Informacin y las Comunicaciones
(TIC) ha incrementado el nmero de amenazas a las que est expuesta, as como la
probabilidad de materializacin de dichas amenazas.

Para proteger la informacin, que en s es algo inmaterial pero que reside en
diferentes tipos de soportes, como pueden ser las personas, los documentos escritos o
los sistemas informticos, es necesario tomar las medidas de seguridad apropiadas para
garantizar el nivel de seguridad de la informacin que requiere una organizacin para
poder cumplir con sus objetivos de negocio.

La seguridad de la informacin debe formar parte de todos los procesos de negocio de
una organizacin, tanto en el caso de los procesos manuales como automatizados, ya
que en todos ellos interviene la informacin de la organizacin como parte
fundamental, teniendo en cuenta adems que dichos procesos involucran a personas, a
tecnologa y a relaciones con socios de negocio, clientes o terceros.

Para proteger adecuadamente la informacin de una organizacin, primero, hay que
dar respuesta a cuatro preguntas clave: QU, DNDE, CMO y CUNDO.

Qu

Hay que garantizar el acceso, integridad, disponibilidad, autenticidad, confidencialidad,
trazabilidad y conservacin de la informacin de la organizacin.

Tradicionalmente se considera que la seguridad de la informacin consta de las
siguientes dimensiones de la seguridad:
Confidencialidad [C]
Integridad [I]
Disponibilidad [D]
4
TEMA 1 Ideas clave
Autenticidad [A]
Trazabilidad [T]

Adicionalmente a estas cinco dimensiones es necesario tener en cuenta otros dos
aspectos, garantizar el acceso y la conservacin de la informacin, que pueden
llegar a considerarse parte de la dimensin disponibilidad, pero que es necesario
tratar de forma especfica por las caractersticas y peculiaridades de los mismos.

Confidencialidad: Es la garanta de que la informacin no es conocida por
personas, organizaciones o procesos que no disponen de la autorizacin necesaria.

Integridad: Es la garanta de que la informacin no se ha transformado ni
modificado de forma no autorizada durante su procesamiento, transporte o
almacenamiento, y que adems permite detectar fcilmente las posibles
modificaciones que pudieran haberse producido.

Disponibilidad: Es la garanta de que la informacin es accesible en el momento
en el que los usuarios autorizados (personas, organizaciones o procesos) tienen
necesidad de acceder a ella.

Autenticidad: Es la garanta de la identidad del usuario que origina una informacin.
Permite conocer con certeza quin enva o genera una informacin especfica.

Trazabilidad: Es la garanta de que en todo momento se podr determinar quin
hizo qu y en qu momento lo hizo.

Conservacin de la informacin: La conservacin de la informacin no se debe
tratar de forma independiente, ya que junto con la utilizacin y acceso a la
informacin, forma parte del ciclo de vida de la misma. Es necesario contemplar
todas las fases del ciclo de vida de la informacin, teniendo en cuenta las diferentes
caractersticas de todos los tipos de soporte, tanto cuando este es el papel, como
cuando el soporte es electrnico.

La gestin de los dispositivos, de los soportes electrnicos y de los formatos utilizados
debe realizarse por medio de procedimientos orientados a garantizar la conservacin de
la informacin, protegiendo a los soportes en los que reside, del deterioro, dao, robo o
acceso no autorizado. Estos procedimientos tambin deben contemplar los
5
TEMA 1 Ideas clave
procedimientos de destruccin o reutilizacin de soportes, que son de aplicacin cuando
ha finalizado la vida til de la informacin que contienen o la de los propios soportes.

Acceso: Por acceso, se entiende la capacidad de poder utilizar los recursos de los
sistemas de informacin y comunicaciones que nos permiten acceder a la informacin.

Dnde

La informacin es almacenada, procesada y transmitida por los Sistemas de
Informacin y Comunicaciones (SIC), por lo tanto para garantizar la seguridad en
todas sus dimensiones y aspectos es necesario garantizar la seguridad de los Sistemas
de Informacin y Comunicaciones de forma global.

Un Sistema de Informacin y Comunicaciones es un conjunto de elementos
interrelacionados, personas, datos/informacin, procedimientos y recursos tcnicos,
dedicados al proceso y gestin de la informacin que una organizacin necesita
para alcanzar sus objetivos de negocio.

Hay que proteger todos y cada uno de los elementos que forman parte del Sistema de
Informacin y Comunicaciones de la organizacin frente a las amenazas a las que se
encuentran expuestos, teniendo en cuenta sus caractersticas y vulnerabilidades.

Cmo

Deben contrarrestarse todas las amenazas a las que est expuesta la informacin de
una organizacin, por medio de la implantacin de salvaguardas (controles) que
pueden actuar de alguna de las siguientes maneras:
Minimizando la probabilidad de la materializacin de una amenaza.
Disminuyendo el impacto en la organizacin, si no se ha podido evitar la
materializacin de una amenaza.
Estableciendo procedimientos que permitan un recuperacin rpida de los daos
sufridos y una vuelta a la operativa normal.
Utilizando mecanismos que permitan modificar las salvaguardas de acuerdo con la
experiencia adquirida en los incidentes anteriores.

6
TEMA 1 Ideas clave
Cundo

La informacin hay que protegerla durante todo su ciclo de vida, desde el momento en
el que el dato entra en el sistema, hasta el momento en que deja de ser til y se procede
a su destruccin, pasando por todas las fases del ciclo de vida de la informacin,
almacenamiento, proceso, transmisin y utilizacin.

Anlisis y gestin de riesgos

Para que una organizacin pueda garantizar de forma adecuada la seguridad de uno de
sus principales activos, la informacin, es necesario que analice y gestione los
riesgos a los que est expuesta.

Por medio del anlisis de riesgos, una organizacin obtiene el conocimiento de a que
est expuesta, le permite identificar los riesgos que le podran impedir lograr sus
objetivos de negocio, determinando su magnitud e identificando las reas que
requieren medidas de salvaguarda o controles en funcin del riesgo detectado.

El anlisis de riesgos intenta que los criterios en los que se apoya la seguridad sean
ms objetivos, permitiendo a la organizacin gestionar sus riesgos, y tomar decisiones
en base a los riesgos propios.

Teniendo en cuenta que la mitigacin total de los riesgos es imposible, la gestin de
riesgos tiene como objetivo gestionar o tratar el riesgo hasta disminuir el riesgo
residual a los niveles asumibles por la direccin, y debe:
Ser una parte integral de todos los procesos de negocio.
Crear y proteger el valor.
Formar parte de la toma de decisiones.
Tratar explcitamente la incertidumbre.
Ser sistemtica, estructurada y oportuna.
Estar basada en la mejor informacin posible.
Ser adaptable.
Integrar factores humanos y culturales.
Ser transparente y participada por las partes interesadas de la organizacin.
Ser dinmica, iterativa y responde a los cambios.
Facilitar la mejora continua.

7
TEMA 1 Ideas clave
1.3. UNE-ISO 31000: 2010 Gestin del Riesgo Principios y
Directrices

Esta norma proporciona a las organizaciones una
herramienta para gestionar el riesgo, que no es
otra cosa que la incertidumbre que generan los
factores e influencias tanto internas y como
externas a las que est expuesta una organizacin, y
que pueden poner en peligro el cumplimiento de
sus objetivos.

Todas las actividades de una organizacin implican riesgos, que deben ser capaces de
afrontar, para ello las organizaciones deben gestionar el riesgo identificndolo,
analizndolo y evalundolo, para determinar si es necesario modificarlo mediante
un tratamiento que satisfaga sus criterios de riesgo.

Para ello, a lo largo de todo el proceso de gestin del riesgo, las organizaciones deben
comunicar y consultar a las partes interesadas aquellos aspectos que les afecten, y llevar
a cabo una revisin y seguimiento tanto del riesgo, como de los controles que lo
modifican, con el objeto de tener un conocimiento del nivel de riesgo al que est
expuesta y facilitar informacin para la tomar de decisiones, implantando tratamientos
del riesgo adicionales cuando sea necesario.

La UNE-ISO 3001 establece una serie de principios que se deben satisfacer para que la
gestin del riesgo sea eficaz. Para ello, recomienda a las organizaciones que deben
desarrollar e implementar un marco de trabajo cuyo objetivo sea integrar el
proceso de gestin del riesgo en los procesos de gobierno, de estrategia y de
planificacin, de gestin, y de elaboracin de informes, as como en las polticas, los
valores y en la cultura de toda la organizacin. Todo ello dentro de un proceso de
mejora continua.

Esta norma por medio de un enfoque genrico proporciona los principios y las
directrices que permiten gestionar cualquier forma de riesgo de una manera
sistemtica, transparente y fiable, dentro de cualquier alcance y de cualquier contexto.
Caractersticas que le hacen idnea para su utilizacin en la gestin del riesgo de la
cadena de suministro.
8
TEMA 1 Ideas clave
Uno de los puntos clave de esta norma consiste en la inclusin del establecimiento
del contexto como una actividad al comienzo de este proceso de gestin del riesgo.
El establecimiento del contexto permite captar los objetivos de la organizacin, el
entorno en el que se persiguen estos objetivos, las partes interesadas y la diversidad
de los criterios de riesgo. Todos estos elementos contribuyen a mostrar y evaluar la
naturaleza y complejidad de sus riesgos.

Un proceso de gestin del riesgo implantado segn los principios y directrices de
la UNE-ISO 31000, es una herramienta que ayuda a una organizacin a:
Aumentar la probabilidad de alcanzar los objetivos.
Fomentar una gestin proactiva.
Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organizacin.
Mejorar la identificacin de oportunidades y de amenazas.
Cumplir los requisitos legales y reglamentarios.
Mejorar la redaccin de informes obligatorios y voluntarios
Mejorar el gobierno.
Mejorar la seguridad y la confianza de las partes interesadas.
Establecer una base fiable para la toma de decisiones y la planificacin
Mejorar los controles.
Asignar y utilizar de manera eficaz los recursos para el tratamiento del riesgo.
Mejorar la eficacia y la eficiencia operacional.
Aumentar las prestaciones en materia de salud y seguridad, as como la proteccin
ambiental.
Mejorar la prevencin de prdidas y la gestin de incidentes.
Minimizar las prdidas.
Mejorar el aprendizaje de la organizacin.
Mejorar la resiliencia de la organizacin.

9
TEMA 1 Ideas clave

Principios

La UNE-ISO 31000 establece una serie de principios que deben aplicarse en la gestin
del riesgo para que esta sea eficaz. Estos principios deben ser adoptados por la
organizacin en la gestin de riesgos en todos sus niveles.

La gestin del riesgo crea y protege el valor
La gestin del riesgo contribuye de manera tangible al logro de los objetivos y a la
mejora del desempeo.

La gestin del riesgo deber formar parte integral de todos los procesos
de la organizacin
La gestin del riesgo no debe ser una actividad independiente y separada del resto
de las actividades y procesos principales de la organizacin. La gestin del riesgo
forma parte de las responsabilidades de gestin y es una parte integral de todos los
procesos de la organizacin, incluyendo tanto la planificacin estratgica como a
todos los procesos de la gestin de proyectos y de cambios.

10
TEMA 1 Ideas clave
La gestin del riesgo debe ser parte de la toma de decisiones
La gestin del riesgo es una ayuda a la toma de decisiones, que facilita informacin
para la toma de decisiones y ayuda a definir las prioridades de las acciones y a
elaborar y adoptar el plan de accin apropiado...

La gestin del riesgo trata explcitamente la incertidumbre
La gestin del riesgo tiene en cuenta explcitamente la incertidumbre, la naturaleza
de esa incertidumbre, y la manera en que se puede tratar.

La gestin del riesgo debe ser sistemtica, estructurada y oportuna
Un enfoque sistemtico, oportuno y estructurado de la gestin del riesgo contribuye
a la eficacia y a resultados coherentes, comparables y fiables.

La gestin del riesgo debe basarse en la mejor informacin disponible
Los elementos de entrada del proceso de gestin del riesgo deben tener origen en
fuentes de informacin fiables tales como datos histricos, experiencia,
retroalimentacin de las partes interesadas, observacin, previsiones y juicios de
expertos. No obstante, en los procesos de toma de decisiones se deben tener en
cuenta todas las limitaciones de los datos o modelos utilizados, as como las posibles
divergencias entre expertos.

La gestin del riesgo debe adaptarse
La gestin del riesgo debe estar alineada con el contexto externo e interno de la
organizacin y con el perfil del riesgo.

La gestin del riesgo debe integrar los factores humanos y culturales
La gestin del riesgo permite identificar las aptitudes, las percepciones y las
intenciones de las personas externas e internas que pueden facilitar o dificultar el
logro de los objetivos de la organizacin.

La gestin del riesgo debe ser transparente y participativa
La implicacin apropiada y oportuna de las partes interesadas y, en particular, de las
personas que toman decisiones a todos los niveles de la organizacin, asegura que la
gestin del riesgo se mantenga pertinente y actualizada. Esta implicacin tambin
permite que las partes interesadas estn adecuadamente representadas y que sus
opiniones se tengan en cuenta en la determinacin de los criterios de riesgo.

11
TEMA 1 Ideas clave
La gestin del riesgo debe ser dinmica, iterativa, y responde a los
cambios
La gestin del riesgo debe ser sensible a los cambios y debe adaptarse a ellos.
Cuando se producen sucesos externos e internos, el contexto y los conocimientos
cambian, se debe realizar el seguimiento y la revisin de riesgos, ya que surgen
nuevos riesgos, algunos cambian y otros desaparecen.

La gestin del riesgo facilita la mejora continua de la organizacin
La organizacin debe desarrollar e implementar estrategias para mejorar su
madurez en la gestin del riesgo en todos los dems aspectos de la organizacin.

Marco de trabajo

El xito de la gestin del riesgo en una organizacin depende de la eficacia del marco de
trabajo de gestin que utilice y que deben proporcionarle las bases y las disposiciones
que le permitan su integracin a todos los niveles de la organizacin.

El marco de trabajo debe facilitar una gestin eficaz del riesgo mediante la
aplicacin del proceso de gestin del riesgo a diferentes niveles y dentro de contextos
especficos de la organizacin. Garantizando que la informacin sobre el riesgo
obtenida en este proceso de gestin del riesgo se comunica y utiliza adecuadamente
como una base para la toma de decisiones, estableciendo la obligacin de rendir
cuentas en todos los niveles pertinentes de la organizacin.

El marco de trabajo que propone la UNE-ISO 31000 no tiene por objeto prescribir un
sistema de gestin, sino que est diseado para ms bien ayudar a la organizacin a
integrar la gestin del riesgo en su sistema de gestin empresarial. Por ello,
las organizaciones deberan adaptar los componentes del marco de trabajo a sus
necesidades especficas.

Proceso

El proceso de gestin del riesgo debe formar parte de la gestin de la organizacin,
integrndose en la cultura y en las prcticas de la misma, adaptarse a los procesos
de negocio.

12
TEMA 1 Ideas clave
Las comunicaciones y las consultas con las partes interesadas externas e internas
se deberan realizar en todas las etapas del proceso de gestin del riesgo.

Por ello, en una de las primeras etapas se debern desarrollar los planes de
comunicacin y consulta. Estos planes debern tratar temas relativos al riesgo en s
mismo, a sus causas, a sus consecuencias (si se conocen), y a las medidas a tomar para
tratarlo. Se debern realizar comunicaciones y consultas externas e internas eficaces
para asegurarse de que las personas responsables de la implementacin del proceso
de gestin del riesgo y las partes interesadas comprenden las bases que han servido
para tomar decisiones y las razones por las que son necesarias determinadas acciones.

Un enfoque consultivo en equipo puede:
Ayudar a establecer adecuadamente el contexto.
Asegurar que los intereses de las partes interesadas se comprenden y se tienen en
consideracin.
Ayudar a asegurar que los riesgos se identifican adecuadamente.
Reunir diferentes reas de experiencia para analizar los riesgos.
Asegurar que las diferentes opiniones se tienen en cuenta de forma adecuada, al
definir los criterios de riesgo y en la evaluacin de los riesgos.
Conseguir la aprobacin y el apoyo para un plan de tratamiento.
Favorecer una gestin de cambio adecuada durante el proceso de gestin del riesgo.
Desarrollar un plan adecuado de comunicacin y consultas externas e internas.

Las comunicaciones y consultas con las partes interesadas son importantes ya que estas
pueden emitir juicios sobre el riego basados en sus percepciones de riesgo. Estas
percepciones pueden variar debido a diferencias en los valores, las necesidades, las
hiptesis, los conceptos y las inquietudes de las partes interesadas. Como sus opiniones
pueden tener un impacto importante en las decisiones tomadas, las percepciones de las
partes interesadas se deberan identificar, registrar y tomar en consideracin en el
proceso de toma de decisiones.

Las comunicaciones y consultas deben facilitar intercambios de informacin que sean
veraces, pertinentes, exactos y entendibles, teniendo en cuenta los aspectos confidenciales
y de integridad personal.

13
TEMA 1 Ideas clave
Mediante el establecimiento del contexto, la organizacin articula sus objetivos, define
los parmetros externos e internos a tener en cuenta en la gestin del riesgo, y establece
el alcance y los criterios de riesgo para el proceso restante.

Aunque muchos de estos parmetros son similares a los considerados en el diseo del
marco de trabajo de la gestin del riesgo, cuando se establece el contexto para el
proceso de gestin del riesgo tales parmetros se deben considerar en mayor detalle, y
en particular cmo estn relacionados con el alcance del proceso particular de gestin
del riesgo.

Establecimiento del contexto externo

El contexto externo es el entorno externo en que la organizacin busca conseguir sus
objetivos.

La comprensin del contexto externo es importante para asegurarse de que los
objetivos e inquietudes de las partes interesadas externas se tienen en cuenta cuando se
desarrollan los criterios de riesgo. El contexto externo se basa en el contexto a escala de la
organizacin, pero con detalles especficos de requisitos legales y reglamentarios, con
las percepciones de las partes interesadas y con otros aspectos de riesgos especficos del
alcance del proceso de gestin del riesgo.

El contexto externo puede incluir, pero no se limita al entorno social y cultural, poltico,
legal, reglamentario, financiero, tecnolgico, econmico, natural y competitivo, a nivel
internacional, nacional, regional o local; los factores y las tendencias clave que tengan
impacto en los objetivos de la organizacin; y las relaciones con las partes interesadas
externas, sus percepciones y sus valores.

Establecimiento del contexto interno

El contexto interno es el entorno interno en que la organizacin busca conseguir sus
objetivos.

El proceso de gestin del riesgo debe alinearse con la cultura, los procesos, la estructura
y la estrategia de la organizacin.

14
TEMA 1 Ideas clave
El contexto interno lo constituye todo aquello que en el seno de la organizacin puede
influir en la manera en la que una organizacin gestionar el riesgo. Este contexto se
debe establecer, ya que la gestin del riesgo se realiza en el contexto de los objetivos
de la organizacin; los objetivos y los criterios de un proyecto, de un proceso o de
una actividad especficos se deben considerar a la vista de los objetivos de la
organizacin en su conjunto; y algunas organizaciones no reconocen todas las
oportunidades que les permiten conseguir sus objetivos en materia de estrategia, de
proyecto o de negocio, y esto afecta a la continuidad del compromiso, la credibilidad, la
confianza y los valores de la organizacin.

Es necesario comprender el contexto interno. Que puede incluir, pero no se limita a:
el gobierno, la estructura de la organizacin, las funciones y las responsabilidades; las
polticas, los objetivos y las estrategias que se establecen para conseguirlos; las
aptitudes, entendidas en trminos de recursos y conocimientos (por ejemplo, capital,
tiempo, personas, procesos, sistemas y tecnologas); la relaciones con las partes
internas interesadas, sus percepciones y sus valores; la cultura de la organizacin; los
sistemas de informacin, los flujos de informacin y los procesos de toma de decisiones
(tanto formales como informales); las normas, las directrices y los modelos adoptados
por la organizacin; y la forma y extensin de las relaciones contractuales.

Establecimiento del contexto del proceso de gestin del riesgo

Se deberan establecer los objetivos, las estrategias, el alcance y los parmetros de las
actividades de la organizacin, o de aquellas partes de la organizacin donde se aplica
el proceso de gestin del riesgo. La gestin del riesgo se debera emprender teniendo en
cuenta todo lo necesario para justificar los recursos que se han de utilizar para
llevarla a cabo.

Tambin se deberan especificar los recursos requeridos, las responsabilidades y
autoridades, y los registros que se deben conservar.

El contexto del proceso de la gestin del riesgo variar de acuerdo con las
necesidades de la organizacin. Puede implicar, pero no se limita a:
La definicin de las metas y objetivos de las actividades de gestin del riesgo.
La definicin de las responsabilidades relativas al proceso de gestin del riesgo.
La definicin del alcance, as como el grado y la amplitud de las actividades de
gestin del riesgo a realizar, incluyendo las inclusiones y exclusiones especficas.
15
TEMA 1 Ideas clave
La definicin de la actividad, del proceso, de la funcin, del proyecto, del producto,
del servicio o del activo, en trminos de tiempo y de ubicacin.
La definicin de las relaciones entre un proyecto, un proceso o una actividad
particulares y otros proyectos, procesos o actividades de la organizacin.
La definicin de las metodologas de apreciacin del riesgo.
La definicin del mtodo para evaluar el desempeo y la eficacia en la gestin del riesgo.
La identificacin y la especificacin de las decisiones a tomar.
La identificacin, el alcance o el marco de los estudios requeridos, su amplitud y sus
objetivos, as como los recursos necesarios para tales estudios.

Se deberan tener en cuenta estos y otros factores pertinentes para asegurar que el
enfoque adoptado de la gestin del riesgo es apropiado a las circunstancias, a la
organizacin y a los riesgos que afectan al logro de sus objetivos.

Definicin de los criterios de riesgo

La organizacin debera definir los criterios que se aplican para evaluar la
importancia del riesgo. Los criterios deberan reflejar los valores, los objetivos y los
recursos de la organizacin. Algunos criterios pueden estar impuestos o derivarse de
requisitos legales o reglamentarios, o de otros requisitos suscritos por la organizacin.
Los criterios de riesgo deberan ser coherentes con la poltica de gestin del riesgo
de la organizacin, definirse al comienzo de cualquier proceso de gestin del riesgo, y
revisarse continuamente.

Al definir los criterios de riesgo, se deberan considerar una serie de factores entre los
cuales se incluyen los siguientes:
La naturaleza y los tipos de las causas y de las consecuencias que se pueden
producir, y cmo se deben medir.
El mtodo de definicin de la probabilidad.
Los plazos de la probabilidad y/o de las consecuencias.
El mtodo para determinar el nivel de riesgo.
Las opiniones de las partes interesadas.
El nivel al que el riesgo comienza a ser aceptable o tolerable.
Si se deberan tener en cuenta combinaciones de riesgos mltiples y, en caso
afirmativo, cmo y qu combinaciones se deberan considerar.

16
TEMA 1 Ideas clave
Apreciacin del riesgo

La apreciacin del riesgo es el proceso global de identificacin, de anlisis y de
evaluacin del riesgo.

Identificacin del riesgo

La organizacin debera identificar los orgenes de riesgo, las reas de impactos,
los sucesos (incluyendo los cambios de circunstancias), as como sus causas y sus
consecuencias potenciales. El objetivo de esta etapa consiste en generar una lista de
riesgos exhaustiva basada en aquellos sucesos que podran crear, mejorar, prevenir,
degradar, acelerar o retrasar el logro de los objetivos. Es importante identificar los
riesgos asociados al hecho de no buscar una oportunidad. Es esencial realizar una
identificacin exhaustiva, ya que un riesgo que no se identifica en esta etapa no se
incluir en anlisis posteriores.

La identificacin debera incluir los riesgos, tanto si su origen est o no bajo el
control de la organizacin, incluso aunque el origen o la causa del riesgo no pueda
ser evidente. La identificacin del riesgo debera incluir el examen de los efectos en
cadena de consecuencias particulares, incluyendo los efectos en cascada o
acumulativos. Tambin debera considerar un amplio rango de consecuencias, incluso
aunque el origen o la causa del riesgo no puedan ser evidentes. Adems de identificar lo
que podra ocurrir, es necesario considerar las posibles causas y escenarios que
muestran las consecuencias que se pueden producir. Todas las causas y consecuencias
significativas se deberan tener en consideracin.

La organizacin debera aplicar herramientas y tcnicas de identificacin del
riesgo que se adapten a sus objetivos y aptitudes, as como a los riesgos a los que est
expuesta. Para la identificacin de los riesgos es esencial disponer de informacin
pertinente y actualizada. Siempre que sea posible, esta informacin debera ir
acompaada de antecedentes apropiados. En la identificacin de los riesgos deberan
intervenir personas con conocimientos apropiados.

Anlisis del riesgo

El anlisis del riesgo implica desarrollar una comprensin del riesgo. El anlisis del
riesgo proporciona elementos de entrada para la evaluacin del riesgo y para tomar
17
TEMA 1 Ideas clave
decisiones acerca de si es necesario tratar los riesgos, as como sobre las estrategias y
los mtodos de tratamiento del riesgo ms apropiados. El anlisis del riesgo
tambin puede proporcionar elementos de entrada para tomar decisiones cuando se
deben hacer elecciones, y las opciones implican diferentes tipos de niveles de riesgo.

El anlisis del riesgo implica la consideracin de las causas y las fuentes del riesgo,
sus consecuencias positivas y negativas, y la probabilidad de que estas consecuencias
puedan ocurrir. Se deberan identificar los factores que afectan a las consecuencias y a
la probabilidad. El riesgo se analiza determinando las consecuencias y su
probabilidad, as como otros atributos del riesgo. Un suceso puede tener mltiples
consecuencias y puede afectar a mltiples objetivos. Tambin se deberan tener en
cuenta los controles existentes, as corno su eficacia y su eficiencia.

La forma de expresar las consecuencias y la probabilidad, as corno la manera en que
estas se combinan para determinar un nivel de riesgo, debera corresponder al tipo de
riesgo, a la informacin disponible y al objetivo para el que se utiliza el resultado de la
apreciacin del riesgo. Todos estos datos deberan ser coherentes con los criterios de
riesgo. Tambin es importante considerar la interdependencia de los diferentes
riesgos y de sus fuentes.

La confianza en la determinacin del nivel de riesgo y su sensibilidad a las
condiciones previas y a las hiptesis se debera considerar en el anlisis y comunicar de
manera eficaz a las personas que han de tornar decisiones y, cuando corresponda, a
otras partes interesadas. Factores tales como las diferencias de opinin entre expertos,
la incertidumbre, la disponibilidad, la calidad, la cantidad y la validez de la pertinencia
de la informacin, o las limitaciones respecto a modelos establecidos se deberan
indicar y pueden resaltarse.

El anlisis del riesgo se puede realizar con diferentes grados de detalle,
dependiendo del riesgo, de la finalidad del anlisis y de la informacin, as corno de los
datos y los recursos disponibles. El anlisis puede ser cualitativo, semi-cuantitativo o
cuantitativo, o una combinacin de los tres casos, dependiendo de las circunstancias.

Las consecuencias y su probabilidad se pueden determinar realizando el modelo de
los resultados de un suceso o conjunto de sucesos, o por extrapolacin de estudios
experimentales o de datos disponibles. Las consecuencias se pueden expresar en
trminos de impactos tangibles o intangibles. En algunos casos, se requiere ms de un
18
TEMA 1 Ideas clave
valor numrico o descriptor para especificar las consecuencias y su probabilidad para
diferentes momentos, lugares, grupos o situaciones.

Evaluacin del riesgo

En base a los resultados del anlisis del riesgo la finalidad de la evaluacin del riesgo es
ayudar a la toma de decisiones, determinando los riesgos a tratar y la prioridad para
implementar el tratamiento.

La evaluacin del riesgo implica comparar el nivel de riesgo encontrado durante el
proceso de anlisis con los criterios de riesgo establecidos cuando se consider el
contexto. En base a esta comparacin, se puede considerar la necesidad del
tratamiento.

Para las decisiones se debera tener en cuenta el contexto ms amplio del riesgo e
incluir la consideracin de la tolerancia del riesgo por otras partes diferentes de la
organizacin, que se benefician del riesgo. Las decisiones se deberan tomar de acuerdo
con requisitos legales, reglamentarios y requisitos de otro tipo.

En algunas circunstancias, la evaluacin del riesgo puede llevar a la decisin de realizar
un anlisis en mayor profundidad.

La evaluacin del riesgo tambin puede llevar a la decisin de no tratar el riesgo de
ninguna otra manera que manteniendo los controles existentes. Esta decisin estar
influenciada por la actitud ante el riesgo por parte de la organizacin y por los criterios
de riesgo que se hayan establecido.

Tratamiento del riesgo

El tratamiento del riesgo implica la seleccin y la implementacin de una o varias
opciones para modificar los riesgos.

Una vez realizada la implementacin, los tratamientos proporcionan o modifican los
controles.

19
TEMA 1 Ideas clave
El tratamiento del riesgo supone un proceso cclico de:
Evaluar un tratamiento del riesgo
Decidir si los niveles de riesgo residual son tolerables
Si no son tolerables, generar un nuevo tratamiento del riesgo
Evaluar la eficacia de este tratamiento

Las opciones de tratamiento del riesgo no se excluyen necesariamente unas a otras,
ni son apropiadas en todas las circunstancias.

Las opciones pueden incluir lo siguiente:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el
riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del
riesgo).
Retener el riesgo en base a una decisin informada.

Seleccin de opciones de tratamiento del riesgo

La seleccin de la opcin ms apropiada de tratamiento del riesgo implica obtener
una compensacin de los costes y los esfuerzos de implementacin en funcin de las
ventajas que se obtengan, teniendo en cuenta los requisitos legales, reglamentarios y de
otro tipo, tales como la responsabilidad social y la proteccin del entorno natural. Las
decisiones tambin se deberan tomar teniendo en cuenta los riesgos cuyo tratamiento
no es justificable en el plano econmico, por ejemplo, riesgos severos (consecuencias
altamente negativas) pero raros (baja probabilidad).

Un determinado nmero de opciones de tratamiento se puede considerar y aplicar
bien individualmente o bien en combinacin.

Normalmente, la organizacin puede beneficiarse de la adopcin de una combinacin
de opciones de tratamiento.

20
TEMA 1 Ideas clave
Al seleccionar opciones de tratamiento del riesgo, la organizacin debera tener en
consideracin los valores y las percepciones de las partes interesadas y los medios ms
apropiados para comunicarse con ellas. Cuando las opciones de tratamiento del riesgo
puedan impactar sobre el riesgo en cualquier otra parte de la organizacin o en las
partes interesadas, estas se deberan involucrar en la decisin. A igual eficacia, algunos
tratamientos del riesgo pueden ser ms aceptables que otros para algunas partes
interesadas.

El plan de tratamiento debera identificar con claridad el orden de prioridad en que se
deberan implementar los tratamientos de riesgo individuales.

El tratamiento del riesgo a su vez puede introducir nuevos riesgos. El fallo o la
ineficacia de las medidas de tratamiento del riesgo pueden constituir un riesgo
importante. Para tener la seguridad de que las medidas son eficaces, es necesario que el
seguimiento sea una parte integrante del plan de tratamiento del riesgo.

El tratamiento del riesgo tambin puede introducir riesgos secundarios que
necesitan que se aprecien, se traten, se realice seguimiento y se revisen. Estos riesgos
secundarios se deberan incorporar en el mismo plan de tratamiento que el riesgo
original, y no tratarse como riesgos nuevos. La relacin entre los dos riesgos debera
identificarse y mantenerse.

Preparacin e implementacin de los planes de tratamiento del riesgo

La finalidad de los planes de tratamiento del riesgo consiste en documentar la manera
en que se implantarn las opciones de tratamiento elegidas. La informacin
proporcionada en los planes de tratamiento debera incluir lo siguiente:
Las razones que justifican la seleccin de las opciones de tratamiento, incluyendo los
beneficios previstos.
Las personas responsables de la aprobacin del plan y las personas responsables de
la implementacin del plan.
Las acciones propuestas.
Las necesidades de recursos, incluyendo las contingencias.
Las medidas del desempeo y las restricciones.
Los requisitos en materia de informacin y de seguimiento.
El calendario y la programacin.

21
TEMA 1 Ideas clave
Los planes de tratamiento deberan integrarse en los procesos de gestin de la
organizacin y discutirse con las partes interesadas apropiadas.

Las personas que toman decisiones y las otras partes interesadas deberan estar
enteradas de la naturaleza y amplitud del riesgo residual despus del
tratamiento del riesgo. El riesgo residual se debera documentar y someter a
seguimiento, revisin y, cuando sea apropiado, a tratamiento adicional.

Seguimiento y revisin

El seguimiento y la revisin deberan planificarse en el proceso de tratamiento del
riesgo y someterse a una verificacin o una vigilancia regular. Esta verificacin o
vigilancia puede ser peridica o eventual.

Las responsabilidades del seguimiento y de la revisin deberan estar claramente
definidas.

Los procesos de seguimiento y de revisin de la organizacin deberan abarcar todos los
aspectos del proceso de gestin del riesgo, con la finalidad de:
Asegurar que los controles son eficaces y eficientes tanto en su diseo como en su
utilizacin.
Obtener la informacin adicional para mejorar la apreciacin del riesgo.
Analizar y sacar conclusiones de los sucesos, cambios, tendencias, xitos y fallos.
Detectar los cambios en el contexto interno y externo, incluidos los cambios en los
criterios de riesgo y en el propio riesgo, que puedan requerir la revisin de los
tratamientos de riesgo y de las prioridades.
Identificar los riesgos emergentes.

El avance en la implantacin de los planes de tratamiento del riesgo
proporciona una medida del funcionamiento. Los resultados se pueden incorporar en la
gestin del funcionamiento global de la organizacin, en su medicin y en las
actividades externas e internas.

Los resultados del seguimiento y de la revisin se deberan registrar e incluir en
informes internos y externos, segn sea apropiado, y tambin se deberan utilizar como
elementos de entrada para la revisin del marco de trabajo de la gestin del riesgo.

22
TEMA 1 Ideas clave
Registro del proceso de gestin del riesgo

Las actividades de gestin del riesgo deberan ser trazables. En el proceso de
gestin del riesgo los registros proporcionan la base para la mejora de los mtodos y de
las herramientas, as como del proceso en su conjunto.

Las decisiones relativas a la creacin de registros deberan tener en cuenta:
Las necesidades de la organizacin en materia de aprendizaje continuo.
Los beneficios de reutilizar la informacin para fines de gestin.
Los costes y los esfuerzos que suponen la creacin y el mantenimiento de los registros.
Las necesidades legales, reglamentarias y operacionales para efectuar los registros.
El mtodo de acceso, la facilidad de recuperacin y los medios de almacenaje.
El perodo de conservacin.
El carcter sensible de la informacin.

1.4. Metodologas de anlisis y gestin de riesgos

A continuacin se describen algunas de las metodologas de gestin de riesgos
existentes en el mercado:

Gestin de riesgos en COBIT

Control Objectives for Information and Related Technologies, es una gua de
mejores prcticas presentada como un framework dirigida a la gestin de
tecnologas de la informacin. COBIT (mantenido por ISACA - Information Systems
Audit and Control Association) actualmente en su versin 5, se organiza alrededor de
procesos que se agrupan en cuatro reas:
Planificar y Organizar (PO)
Adquirir e Implantar (AI)
Entregar y dar Soporte (DS)
Mantener y Evaluar (ME)

La gestin de riesgos en COBIT queda enmarcada en el proceso PO9 (dentro de
Planificar y Organizar), que corresponde a Evaluar y Administrar los riesgos de TI.
En este proceso se establecen los principios que deben tenerse en cuenta para la gestin
de los riesgos. Se establece que deben crearse y mantenerse un marco adecuado de
23
TEMA 1 Ideas clave
trabajo para la gestin de riesgos. Dicho marco de trabajo debe documentar un nivel
comn y acordado de riesgos TI, estrategias para mitigarlos y riesgos que se
acuerden aceptar como residuales. Cualquier riesgo potencial sobre las metas u
objetivos de la organizacin, causado por algn evento no planificado, se tiene que
identificar, analizar y evaluar.

Los objetivos de control detallados establecidos en el proceso PO9 son los siguientes:
PO 9.1. Alineacin de la administracin o gestin de riesgos de TI con el negocio. Se
debe integrar el gobierno, la administracin del riesgo y el marco del control de TI,
al marco de trabajo de la administracin de riesgos de la organizacin.
PO 9.2. Establecimiento del contexto del riesgo. Se debe establecer el contexto en el
cual el marco de trabajo de la evaluacin de riesgo se aplica para garantizar los
resultados apropiados.
PO 9.3. Evaluacin de eventos. Identificar aquellos eventos (amenazas y
vulnerabilidades) con un impacto potencial sobre objetivos, retos u operaciones de
la empresa, aspectos de negocio, regulatorios, legales, tecnolgicos, de sociedad
comercial, de recursos humanos y operaciones.
PO 9.4. Evaluacin de riesgos TI. Se debe evaluar de forma recurrente la
posibilidad de impacto de todos los riesgos identificados, usando mtodos
cualitativos y cuantitativos.
PO 9.5. Respuesta a los riesgos. Debemos identificar a los propietarios de los
riesgos y a los dueos de los procesos afectados y elaborar y mantener respuestas a
los riesgos que garanticen que los controles rentables y las medidas de seguridad
mitigan y reducen la exposicin a los riesgos de forma continua.
PO 9.6. Mantenimiento y monitoreo de un plan de accin de riesgos. Debemos
asignar prioridades y planear las actividades de control a todos los niveles para
implantar las respuestas a los riesgos que sean necesarias, incluyendo costos y
beneficios as como la responsabilidad de la ejecucin.

Gestin de riesgos en CMMI

CMMI (Capability Maturity Model Integration v.1.3) es un modelo de procesos que
contiene las mejores prcticas de la industria para el desarrollo, mantenimiento,
adquisicin y operacin de productos y servicios.

En el rea de gestin integrada del proyecto de CMM anteriormente se contemplaba la
Gestin de Riesgos, que ahora es considerada como un rea de proceso independiente,
24
TEMA 1 Ideas clave
el rea Gestin del Riesgo (RSKM). Esta rea es una evolucin de las prcticas
bsicas de manejo de riesgo incluidas en Planificacin del Proyecto (PP) y Monitoreo y
Control del Proyecto (PMC) pertenecientes al nivel 2. Aqu se plantea un enfoque
sistemtico para planear, anticipar y mitigar riesgos para proactivamente minimizar su
impacto en el proyecto. Sus objetivos y prcticas especficas son las siguientes:
Objetivos Especficos
o Preparar la gestin del riesgo
- Se establece y mantiene una estrategia para identificar, analizar y mitigar riesgos.
o Identificar y Analizar Riesgos
- Los riesgos son identificados y analizados para determinar su importancia relativa.
o Mitigar Riesgos
- Los riesgos son manejados y mitigados para reducir su impacto negativo en los
objetivos.
Prcticas Especficas
o Determinar Fuentes y Categoras de Riesgo
- Definir Parmetros de Riesgo, y establecer una Estrategia para la Gestin del
Riesgo
o Identificar y Analizar Riesgos
- Evaluar, Categorizar y Priorizar Riesgos
o Desarrollar Planes de Mitigacin de Riesgo
- Implementar Planes de Mitigacin de Riesgo

Los objetivos de esta rea se satisfacen mediante la puesta en marcha de mecanismos
formales para manejar los riesgos. En este nivel no basta simplemente con
identificarlos y administrarlos en la medida que ocurran, aqu ser necesario establecer
un proceso para definir y ejecutar una estrategia para gestionarlos.

Por ejemplo, podra establecerse un esquema de clasificacin de riesgos y
posibles respuestas basado en experiencias anteriores. Tambin podran
identificarse probabilidades de ocurrencia y magnitudes de impacto en funcin de
aspectos tcnicos y de gestin, basados en lo ocurrido en proyectos previos.

En resumen, una organizacin de nivel 3 debe proponerse tener un enfoque mucho ms
formal para identificar riesgos y clasificarlos, y para planear posibles acciones de
mitigacin y contingencia.

25
TEMA 1 Ideas clave
Gestin de riesgos en SPICE

SPICE (Software Process Improvement and Capability Determination) es un conjunto
de estndares que se utilizan para evaluar y mejorar (mejora continua) de los
procesos de desarrollo software mediante una serie de prcticas base y prcticas
genricas. SPICE se corresponde con el estndar ISO 15504 y la norma ISO/IEC 12207.

SPICE queda organizado en una serie de etapas: preparacin, recoleccin o recogida
de datos, recopilacin y anlisis de documentos relevantes, y anlisis de datos. Se
establecen un conjunto de niveles de capacidad, que varan desde el Nivel 0 para
Proceso Incompleto hasta el Nivel 5 para Proceso Optimizado.

Una parte fundamental reside en la dimensin de los datos, que contiene los procesos
que se han de evaluar, se corresponden con los procesos del ciclo de vida del
software, y se agrupan en categoras, en funcin del tipo de actividad al cual se aplican:
CUS: Cliente-Proveedor ENG: Ingeniera
SUP: Soporte
MAN: Gestin
ORG: Organizacin

SPICE establece que la gestin de riesgos consiste en identificar nuevos riesgos, trabajar
para mitigarlos de forma efectiva y evaluar el xito de los esfuerzos de mitigacin.

Las prcticas relacionadas con este proceso se encuentran dentro de la categora de
gestin MAN, y quedan subdivididas como sigue:
MAN.5.1 Establecer el alcance de la gestin de riesgos MAN.5.2 Definir estrategias
de gestin de riesgos
MAN.5.3 Identificar riesgos
MAN.5.4 Analizar riesgos
MAN.5.5 Definir y realizar acciones de tratamiento de riesgos
MAN.5.6 Monitorizar los riesgos
MAN.5.7 Tomar acciones preventivas o correctivas

Metodologa OCTAVE: Aspectos ms importantes

El mtodo OCTAVE (Operationally Critical Thereat, Asset and Vulnerability
Evaluation) es un modelo para el desarrollo de metodologas de anlisis de
26
TEMA 1 Ideas clave
riesgos creado inicialmente por la universidad Carnegie-Mellon, que consiste en un
conjunto de criterios a partir de los cuales desarrollar las consiguientes metodologas.

Los 3 argumentos bsicos del mtodo son los principios, los atributos y los
resultados, lo que permite que cualquier metodologa que aplique estos principios se
considere compatible con el mtodo OCTAVE. El Software Engineering Institute ha
publicado tres metodologas basadas en OCTAVE, que son las siguientes:
OCTAVE que se trata de la metodologa original y est destinada a grandes
organizaciones.
OCTAVE-S basada en la anterior pero destinada a pequeas organizaciones.
OCTAVE Allegro para realizar un anlisis de riesgos basado en los activos de
informacin.

OCTAVE permite la identificacin y evaluacin de los riesgos que afectan la seguridad
dentro de una organizacin as como la comprensin del manejo de los recursos.
En otras palabras, es una tcnica de planificacin y consultora estratgica en seguridad
basada en el riesgo como punto clave.

Metodologa Magerit

MAGERIT es una metodologa de carcter pblico, desarrollada por el Ministerio de
Administraciones Pblicas (MAP) http://administracionelectronica.gob.es Para su
utilizacin no se requiere la autorizacin previa del MAP. Magerit interesa a todos
aquellos que trabajan con informacin y los sistemas informticos que la tratan.

MAGERIT implementa el proceso de gestin de riesgos dentro de un marco de
trabajo para que los rganos de gobierno tomen decisiones teniendo en cuenta los
riesgos derivados del uso de tecnologas de la informacin. A su vez, en al mbito
de MAGERIT se define la seguridad como la capacidad de las redes o de los sistemas de
informacin para resistir, con un determinado nivel de confianza, los accidentes o
acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios
que dichas redes y sistemas ofrecen o hacen accesibles.

27
TEMA 1 Ideas clave
A la hora de llevar a cabo un proyecto de anlisis y gestin de riesgos de acuerdo con
MAGERIT se debe proceder con las siguientes 3 fases:
Planificacin del proyecto
Anlisis de riesgos
Gestin de riesgos

A continuacin vamos a introducir la segunda y tercera de estas fases, que son las que
tratan directamente con los riesgos asociados a proyectos.

La metodologa MAGERIT define riesgo como la estimacin del grado de
exposicin a una amenaza para que se materialice sobre uno o ms activos
causando daos o perjuicios a la organizacin. Es decir, el riesgo indica lo que le podra
pasar a los activos si no se protegieran adecuadamente. Es importante saber qu
caractersticas son de inters en cada activo, as como saber en qu medida estas
caractersticas estn en peligro, es decir, analizar el sistema, o en otras palabras, el
anlisis de riesgos.

El anlisis de riesgos es el proceso sistemtico para estimar la magnitud de los
riesgos a que est expuesta una organizacin. Mediante este anlisis se trata de saber lo
que podra pasar, para que esta informacin ayude a las personas adecuadas en la toma
de decisiones.

Adems del anlisis de riesgos, encontramos el tratamiento de los riesgos, que
sera el proceso destinado a modificar el riesgo. Entre las formas de tratar un riesgo
encontramos por ejemplo evitar las circunstancias que lo provocan, reducir las
posibilidades de que ocurra, acotar sus consecuencias, compartirlo con otra
organizacin (tpicamente contratando un servicio o un seguro de cobertura).

Ambas actividades, anlisis y tratamiento se combinan en el proceso denominado
gestin de riesgos de la metodologa MAGERIT.

ISO/IEC 27005:2011

ISO/IEC 27005:2011 Information technology Security techniques Information security
risk management publicada en 2011, se apoya en los conceptos generales especificados en
la ISO/IEC 27001 del ciclo PDCA y est diseada para proporcionar las directrices en la
ardua tarea del enfoque basado en riesgos, describe detalladamente la evaluacin y

28
TEMA 1 Ideas clave
tratamiento de riesgos. Esta norma no es una metodologa de anlisis de riesgos, sino que
describe las fases recomendadas de anlisis incluyendo el establecimiento, evaluacin,
tratamiento, aceptacin, comunicacin, monitorizacin y revisin del riesgo.
No es una norma certificable y se engloba dentro de las normas que ayudan a la puesta en
marcha del SGSI.

1.5. Herramientas de anlisis y gestin de riesgos

Acuity STREAM

Acuity STREAM es un paquete software completo, configurable, sencillo de utilizar que
automatiza los complejos procesos necesarios para gestionar el cumplimiento
normativo y realizar una gestin de riesgos eficaz.

Acuity STREAM es una herramienta multiusuario, basada en roles, con un
repositorio central, que puede ser utilizada en tiempo real por los gestores de riesgo, los
analistas de riesgo, los responsables del negocio y los auditores internos. Tambin est
disponible una versin monousuario para su utilizacin por parte de pequeas
organizaciones y consultores.

Callio

Callio Secura 17799 es un producto de Callio technologies. Es una herramienta
software basada en web con soporte de base de datos que permite al usuario realizar
las tareas necesarias para implementar, gestionar y certificar un sistema de gestin
de seguridad de informacin.

Gestiona el cuerpo documental del SGSI, y permite la personalizacin tanto de la
base de datos como de los formatos de los documentos.

Casis

CASIS es un producto de Aprico consultores. Es una herramienta de Anlisis Avanzado de
Pistas de Auditora de Seguridad, lo que significa que su finalidad es la recopilacin de
datos de archivos de registro a travs de mltiples sistemas, la correlacin de estos
datos y produccin de alertas de seguridad basadas en las reglas definidas por el usuario.
29
TEMA 1 Ideas clave
Permite al usuario definir nuevas fuentes de datos, as como especificar las alertas.

Cobra

Cobra es una herramienta software que permite que las organizaciones realicen por s
mismas el anlisis de riesgos. Evala la importancia relativa de todas las amenazas
y vulnerabilidades, generando las recomendaciones y soluciones adecuadas. Vincula
automticamente los riesgos identificados con las posibles consecuencias para cada
unidad de negocio. Tambin permite que ciertos aspectos o unidades de negocio
puedan ser evaluados de forma independiente, sin realizar ninguna asociacin de
impacto. Cobra dispone de cuatro bases de datos de conocimientos que pueden
personalizarse segn las necesidades de la organizacin.

CounterMeasures

La herramienta CounterMeasures ha sido desarrollada por Allion, para llevar a cabo
tareas de anlisis y gestin del riesgo de acuerdo a las normas de la serie NIST-800 y de
la MB Circular A-130.

Esta herramienta permite normalizar los criterios de evaluacin, utilizando una
lista de comprobacin de evaluacin que puede ser parametrizada por el usuario,
proporcionando criterios de evaluacin objetiva para determinar el grado de
seguridad y el cumplimiento de las normas.

Cramm

La herramienta Cramm proporciona una manera fcil de implementar el mtodo
Cramm, desarrollado por Insight Consulting. Soporta completamente las tres etapas
del mtodo por medio de una aproximacin ordenada y etapa a etapa. La
herramienta est disponible en tres versiones: CRAMM experto, CRAMM express y BS
7799 revisin.

EAR/PILAR

La herramienta EAR/PILAR da soporte al anlisis y la gestin de riesgos de un sistema
de informacin siguiendo la metodologa Magerit.

30
TEMA 1 Ideas clave
Est diseada para apoyar el proceso de gestin de riesgo a lo largo de perodos
prolongados.

ESR/PILAR dispone de una biblioteca estndar de propsito general, y es capaz de
realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:
ISO/IEC 27002:2005Cdigo de buenas prcticas para la Gestin de la Seguridad
de la Informacin.
SP800-53:2006Recommended Security Controls for Federal Information Systems.
Criterios de Seguridad, Normalizacin y Conservacin del Consejo Superior de
Informtica y para el Impulso de la Administracin Electrnica.

EBIOS

EBIOS es una herramienta de software desarrollada por LAgence Nationale de la
Scurit des Systmes dinformation (ANSSI) del gobierno francs con el objeto de dar
soporte a la metodologa de anlisis de riesgos EBIOS. La herramienta ayuda al usuario
a realizar todas las tareas del anlisis y gestin de riesgos de acuerdo a las cinco fases
de la metodologa EBIOS es una herramienta de cdigo abierto y libre.

ECIJA | SGSI

ECIJA| SGSI es una herramienta web, desarrollada por ECIJA Holdings &
Investments, S.L. que permite la gestin integral de la seguridad de la informacin
basado en un ciclo de mejora continua (PDCA) y el seguimiento centralizado de las
obligaciones que establecen los estndares internacionales, como la ISO 27001 e ISO
27002 en la gestin de la misma. ECIJA | SGSI ayuda a medir el grado de eficacia de los
sistemas de gestin de la seguridad de la informacin, valorando la seguridad de la
informacin mediante los impactos producidos en base a los trminos de
confidencialidad, integridad y disponibilidad de la misma.

La herramienta ECIJA | SGSI integra las siguientes funcionalidades:
Inventario de procesos y activos.
Anlisis y gestin de riesgos.
Gestin de los controles de seguridad.
Gestin de proyectos y acciones de un SGSI.
Gestin de auditoras.
Gestin de incidencias de seguridad.
31
TEMA 1 Ideas clave
Gestin de la mejora continua y mtricas de seguridad.
Gestin documental del marco normativo.
Cuadro de mandos integral.

GlobalSGSI

GlobalSGSI es una herramienta de gestin integral de la norma ISO 27001,
desarrollada por Audisec Seguridad de la Informacin S.L., que cumple con el ciclo
completo de la misma, desde las fases de inicio y planificacin del proyecto hasta el
mantenimiento, pasando por el anlisis de riesgos y el cuadro de mandos.

GlobalSGSI es una herramienta que permite gestionar de forma global el ciclo completo
de la norma ISO 27001. Ayuda a acompaar el proyecto de realizacin de un SGSI desde
su nacimiento. Apoyndolo y asistindolo durante todo el proyecto. Permite gestionar el
SGSI de forma muy intuitiva, con ayudas a la implantacin, propuesta de controles
automtica, etc. Gracias a su mdulo documental permite tener centralizada y controlada
toda la documentacin del sistema de gestin. Sus principales funcionalidades son:

Definicin de alcance.
Anlisis diferencial.
Inventario de activos.
Anlisis de riesgos (con ayudas a la hora de definir amenazas y vulnerabilidades).
Gestin de riesgos (con ayudas a la hora de identificar controles de seguridad).
Declaracin de aplicabilidad.
Cuadro de mandos.
Auditoras, incidencias, soportes, usuarios, etc.
Documentacin centralizada
Grficos, informes y plantillas para una mejor visualizacin.

GStool

GStool ha sido desarrollado por Bundesamt fr Sicherheit in der Informationstechnik
(BSI) del gobierno alemn para dar soporte a los usuarios del Manual Bsico de
Proteccin de las TI (IT Baseline Protection Manual). Despus de recabar la
informacin necesaria, los usuarios tienen a su disposicin un sistema de generacin de
informes, que les permiten analizar la informacin y generar informes tanto en formato
papel como en formato electrnico.
32
TEMA 1 Ideas clave
GxSGSI

GxSGSI es una herramienta desarrollada por SIGEA, con el objeto de realizar el
anlisis de riesgos de seguridad que es necesario para la certificacin de un
Sistema de Gestin de Seguridad de la Informacin, bajo la norma ISO 27001.

Se trata de una herramienta cliente servidor, multiempresa y multirevisin, que
incorpora mdulos que permiten realizar de manera fcil e intuitiva cualquiera de las
tareas necesarias para la implantacin de un SGSI:
Tablas maestras completamente parametrizables
Inventario de Activos
Establecimiento de Amenazas por Activo
Anlisis de Impactos
Documento de Seleccin de Controles
Establecimiento y medicin de contramedidas
Informes de Riesgo Intrnseco y Residual
Inventario de Soportes y Gestin de Incidencias
Otros informes

ISAMM

La herramienta ISAMM (Information Security Assessment and Monitoring Method)
est alineada con el conjunto de controles de las mejores prcticas en seguridad de la
informacin de la ISO/IEC 27002. Un anlisis y gestin de riesgo segn ISAMM est
compuesto por tres partes principales:
Determinacin del alcance
Anlisis de riesgo
Informes

MIGRA Tool

MIGRA Tool es una herramienta web basada en la metodologa MIGRA (GmbH
Metodologa per la Gestione del Rischio Aziendale). Est diseada para apoyar al
responsable de seguridad durante todo el proceso de disear y mantener un sistema
de proteccin eficaz y eficiente, que contemple tanto la seguridad de los activos de
informacin como la de los bienes materiales. De hecho, si se adopta, se convierte en el
ncleo del sistema de gestin de la seguridad de la organizacin, que proporciona
33
TEMA 1 Ideas clave
la informacin necesaria para la toma de decisiones, as como para poder justificar
dichas decisiones y comprender sus consecuencias.

Mdulo Risk Manager

La herramienta Mdulo Risk Manager permite a las organizaciones optimizar y
automatizar los procesos que son necesarios en los proyectos internos de anlisis de
riesgos y cumplimiento normativo, al recopilar y centralizar los datos relativos a todos
los activos de una organizacin, tanto de los activos tecnolgicos, como de software y
hardware, como de los activos no tecnolgicos, como son las personas, procesos y
las infraestructuras fsicas, para evaluar el riesgo y asegurar el cumplimiento.

La herramienta permite la generacin rpida y completa de informes. Mdulo
Risk Manager cuenta con bases de conocimiento parar ayudar a las organizaciones a
evaluar y lograr el cumplimiento delaciones como: SOX, PCI, ISO 27001, HIPAA,
COBIT, ITIL, FISAP, FISMA, 800-53a NIST, 199 FIPS, un 130 y DOD 8500.2 y se
puede personalizar para que permita evaluar el cumplimiento de normas adicionales.

Octave Automated Tool

La herramienta Octave Automated Tool ha sido desarrollada por Advanced Technology
Institute (ATI) con el fin de ayudar a los usuarios a la hora de utilizar las metodologas
Octave y Octave-S. La herramienta proporciona ayuda al usuario durante la fase de
recopilacin de datos, organiza la informacin recopilada y finalmente produce los
informes de resultado del estudio.

Proteus

La herramienta Proteus Enterprise desarrollada por Information Governance Ltd., es
una herramienta de Gobierno Corporativo basada en web, que da soporte completo a
los procesos de cumplimiento normativo, seguridad de la informacin y
gestin de riesgos. La herramienta Proteus Enterprise permite a las organizaciones
implementar los controles de cualquier norma o reglamento, por ejemplo: BS ISO/IEC
17799 y BS ISO/IEC 27001, BS 25999, SOX, CobiT, PCI DSS etc.

34
TEMA 1 Ideas clave
Risicare

Risicare da soporte a las tareas de anlisis y gestin de riesgos de informacin
contempladas en la metodologa MEHARI, las opciones y las frmulas que utiliza han
sido desarrolladas por CLUSIF. Las funciones de Risicare simulan condiciones
reales y permiten evaluar mltiples escenarios o situaciones de amenaza. Como
resultado la herramienta Risicare permite tanto el modelado de escenarios de riesgo,
como la gestin de un SGSI, utilizando un conjunto de controles que incluye los de la
norma ISO 27002.

RiskWatch

La herramienta RiskWatch para Sistemas de Informacin e ISO 27002 es la solucin
que ha desarrollado la empresa RiskWatch para dar soporte a la gestin de riesgos
de seguridad de la informacin. Esta herramienta realiza evaluaciones de
vulnerabilidad y anlisis de riesgo de los sistemas de informacin de forma automtica.
Las bases de datos de conocimientos que se proporcionan junto con el producto son
completamente personalizables por el usuario, lo que permite crear nuevas categoras
de activos, de amenazas, de vulnerabilidad, de salvaguardas. La herramienta incluye
controles tanto de la ISO 27002 como de NIST 800-26.

Risk Management Studio

La herramienta Risk Management Studio est diseada para dar soporte a empresas,
instituciones y rganos de gobierno local que deban garantizar la seguridad de la
informacin. La herramienta se basa en las normas ISO/IEC 27002:2005 y
ISO/IEC 27001:2005.

La herramienta Risk Management:
Ayuda a identificar los activos.
Ayuda a evaluar los activos.
Proporcionas una lista predefinida de categoras de activos y amenazas.
Sugiere posibles amenazas a los activos seleccionados.
Incluye las clusulas del estndar ISO/IEC 27001.
Sugiere controles adecuados para protegerse contra los riesgos de seguridad.
Ayuda a obtener el nivel de seguridad de la informacin deseado de conformidad
con la norma ISO/IEC 27001:
35
TEMA 1 Ideas clave
o Proporciona diversos informes.
o Acelera los procesos de anlisis de riesgos.
o Facilita el proceso de certificacin.
o Facilita la gestin del riesgo.

S2GSI

La herramienta S2GSI ha sido diseada por el Grupo SIA para dar soporte a la gestin
eficiente de las principales actividades derivadas de la implantacin de un SGSI.
S2GSI facilita el proceso de implantacin y el mantenimiento del SGSI, con
independencia del mbito de la organizacin. Entre las principales funciones y
caractersticas de S2GSI se encuentran:
Soporte a la gestin del estado de cumplimiento de controles, pudiendo controlar en
todo momento el estado actual de conformidad.
Posibilidad de gestionar diferentes marcos normativos de forma simultnea:
ISO/IEC 27001, ISO/IEC 27002, RD 1720/2007, PCI DSS, ENS (RD 3/2010), etc.
Definicin de procedimientos de verificacin personalizados.
Mantenimiento de informacin histrica, con posibilidad de ver la mejora en el
tiempo del estado de la seguridad.
Definicin y seguimiento de proyectos, agrupando controles y comprobando en cado
momento el nivel de implantacin.
Gestin de indicadores de eficacia del SGSI.
Registro de auditoras y seguimiento de las no conformidades y acciones correctivas.
Apoyo a la gestin documental.
Importacin automtica de datos.
Presentacin de informes textuales y grficos.

Securia SGSI

Securia SGSI es una herramienta integral, desarrollada bajo licencia GNU por el Centro
Europeo de Empresas e Innovacin de Albacete, que cubre el proceso automtico
de implantacin, puesta en funcionamiento, mantenimiento y mejora
continua de un Sistema de Gestin de Seguridad de la Informacin (SGSI)
segn la norma internacional ISO 27001.

36
TEMA 1 Ideas clave
Securia SGSI dispone de los siguientes mdulos funcionales:
Mdulo de gestin de incidencias y no conformidades: mediante la gestin
de las incidencias, la entidad se asegura de que los eventos y los puntos dbiles de la
seguridad de la informacin, asociados con los sistemas de informacin, se
comunican de forma que sea posible emprender su resolucin mediante la
aplicacin de acciones correctivas.
Mdulo de mejora continua: gestin de acciones preventivas y de mejora que se
aplican al sistema de seguridad para adaptarlo a nuevas situaciones y en previsin
de posibles fallos, situaciones de riesgo, etc.
Mdulo de gestin documental: los documentos exigidos por el SGSI deben
estar protegidos y controlados (4.3.2. ISO 27001).
Mdulo de anlisis y gestin de riesgos:
o Inventario de procesos y activos
o Valoracin del impacto de activos
o Identificacin de amenazas y vulnerabilidades
o Clculo del riesgo
o Decisin de criterios de aceptacin
o Toma de decisiones de actuacin
o Generacin y seguimiento de las contramedidas
o Evaluacin del nivel de seguridad
37
TEMA 1 Lo + recomendado
Lo + recomendado

Lecciones magistrales

Seguridad, sistemas y metodologas de gestin de riesgos S/W

En esta leccin magistral, el profesor Ricardo Rejas hablar sobre las metodologas de
gestin de riesgos y la gestin de riesgos en las organizaciones orientado a tecnologas
de la informacin.

El vdeo est disponible en el aula virtual.

No dejes de leer

The Tallinn Manual on the International Law Applicable to Cyber Warfare

Es un estudio acadmico, no vinculante sobre cmo el derecho
internacional, en particular el Ius ad Bellum y el derecho
internacional humanitario, se aplican a los conflictos cibernticos y
la guerra ciberntica.

Accede al documento a travs del aula virtual o desde la siguiente direccin web:
http://issuu.com/nato_ccd_coe/docs/tallinnmanual?e=5903855/1802381
38
El cisne negro

Taleb, N. N. (2008). El cisne negro. Paids Ibrica

Qu es un cisne negro? Un hecho improbable, impredecible y de
consecuencias imprevisibles. Lectura imprescindible para
entender el concepto de anlisis de riesgos.

Accede al documento a travs del aula virtual o desde la siguiente direccin web:
http://books.google.es/books?id=SgAkI-
OV0YsC&printsec=frontcover&dq=el+cisne+negro&hl=#v=onepage&q=el%20cisne%2
0negro&f=false

No dejes de ver

Anlisis de riesgos

Para efectuar un anlisis de riesgos es
necesario saber a lo que nos enfrentamos,
las habilidades tradicionales que una
organizacin necesita en seguridad de la
informacin actualmente no son tan
efectivas para protegerla contra incidentes
cibernticos.

Accede a los vdeos a travs del aula virtual o desde las siguientes direcciones web:
http://www.youtube.com/watch?v=_1ni_tjjVDQ
http://www.youtube.com/watch?v=WkrPlJcr8w0

39
ENISA

En este enlace podrs ver los vdeos elaborados
por ENISA (European Union Agency for Network
and Information Security).

Accede a los vdeos a travs del aula virtual o desde las siguientes direcciones web:
https://www.enisa.europa.eu/media/multimedia/material/awareness-raising-video-
clips

40
TEMA 1 + Informacin
+ Informacin

A fondo

Los cisnes negros: elemento clave en la proteccin de Infraestructuras
Crticas

Caizares, R. (2013). Los cisnes negros: elemento clave en la proteccin de
Infraestructuras Crticas. Red seguridad: revista especializada en seguridad
informtica, proteccin de datos y comunicaciones, 60, 40-41.

Qu entendemos por un cisne negro? Cmo introduzco en el anlisis de riesgos el
cisne negro? Y, cmo calculo el retorno de la inversin en seguridad?

Accede al documento a travs del aula virtual o desde las siguientes direcciones web:
http://dialnet.unirioja.es/servlet/articulo?codigo=4205895

rboles de Ataque, una herramienta imprescindible en la proteccin de
Infraestructuras Crticas

Artculo de Ricardo Caizares, Director de Consultora de Eulen Seguridad, publicado
en la web de revista Red Seguridad en 2012.

http://www.redseguridad.com/opinion/articulos/arboles-de-ataque-una-herramienta-
imprescindible-en-la-proteccion-de-infraestructuras-criticas

41
TEMA 1 + Informacin
La simulacin como herramienta de anlisis de riesgos

En este artculo veremos cmo la simulacin es vlida para estimar las consecuencias
de cualquier incidente de seguridad, que afecte tanto a la integridad fsica de las
personas como a los activos de una organizacin.

http://www.puntoseguridad.com/cuadernos-de-seguridad/revista/239

Gerencia de riesgos informticos

Artculo publicado en Trbol en 2006 por Esther Cerdeo Subdirectora Informtica
Tcnica MAPFRE REASEGUROS (Espaa) relativo a la gerencia de riesgos
informticos.

http://www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd
?path=1035723

Anlisis de riesgos dinmicos en sistemas de informacin

Este trabajo de David Lpez Cuenca hace un recorrido por las principales corrientes
que buscan sacar partido a este potencial, englobadas principalmente bajo el concepto
de Anlisis de Riesgos Dinmico, cuyo principio es la actualizacin incesante de los
parmetros que intervienen en el clculo del riesgo para la optimizacin de su
tratamiento posterior.

http://eprints.ucm.es/16931/1/PFM_2012_-_David_L%C3%B3pez_Cuenca_-
_An%C3%A1lisis_de_Riesgos_Din%C3%A1micos_en_Sistemas_de_Informaci%C3%B
3n.pdf

42
TEMA 1 + Informacin
Webgrafa

ENISA - European Union Agency for Network and Information Security

El objetivo de ENISA es mejorar las redes y la seguridad de la
informacin en la Unin Europea. La agencia tiene que contribuir
al desarrollo de una cultura de red y seguridad de la informacin
para el beneficio de los ciudadanos, consumidores, empresas y
organizaciones del sector pblico de la Unin Europea, y por
tanto contribuir a mejorar el funcionamiento interno de la EU.

Accede a la pgina web a travs del aula virtual o desde la siguiente direccin:
http://www.enisa.europa.eu/

Information Security Forum (ISF)

El Foro de Seguridad de la Informacin (ISF) es una
asociacin independiente, sin nimo de lucro. Se dedica a
investigar, aclarar y resolver cuestiones clave de seguridad
de la informacin, y el desarrollo de metodologas de mejores prcticas, procesos y
soluciones que satisfagan las necesidades de negocios de sus miembros.

Accede a la pgina web a travs del aula virtual o desde la siguiente direccin:
https://www.securityforum.org/

43
TEMA 1 Actividades
Actividades

Trabajo: Realizacin de un anlisis de riesgos en una organizacin

Esta actividad consiste en la realizacin de un anlisis de riesgos utilizando la
herramienta online habilitada a tal efecto.

Dispondrs de tu propio entorno en la herramienta. Al tratarse de una herramienta online
recibirs un usuario y una clave de acceso, debers realizar el anlisis de riesgos en dicha
herramienta y, una vez finalizado, subir los resultados a la plataforma de la UNIR.

Enunciado:

Realiza un anlisis de riesgos de una pequea oficina de un ayuntamiento cuyas
caractersticas principales, y que son las que se tendrn en cuenta durante este anlisis
de riesgos son:

Servicios a los usuarios:
o Tramitacin de expedientes.

Servicios internos:
o Correo electrnico.
o Almacenamiento remoto.
o Almacenamiento en red local.
o Conexin a Internet.

Servicios subcontratados:
o Conexin a Internet.

Datos:
o Informacin de los expedientes.

Software:
o Aplicacin para la tramitacin de expediente.
44
TEMA 1 Actividades
Hardware:
o 4 PC.
o 1 Servidor.
o Elementos auxiliares.

Equipamiento de comunicaciones:
o Red de rea local.
o 1 firewall.

Instalaciones:
o Oficina.
o Sala de equipos.

Personal:
o 1 responsable de la oficina.
o 2 funcionarios.
o 1 tcnico informtico externo a tiempo parcial.

Aclaraciones:

Abriremos un foro especfico para responder a las posibles dudas que tengas durante la
realizacin del ejercicio.

45
TEMA 1 Test
Test

1. La identificacin de riesgos debera incluir:
A. Todos los riesgos.
B. Los riesgos que no estn bajo control de la organizacin.
C. Los riesgos que estn bajo control de la organizacin.
D. Los riesgos cuya causa sea evidente.

2. La finalidad de la evaluacin del riesgo es:
A. Determinar los riesgos a tratar.
B. Ayudar a la toma de decisiones.
C. Priorizar los riesgos.
D. Determinar qu nivel de riesgo se debe asumir.

3. Cul de las siguientes afirmaciones es incorrecta:
A. El plan de tratamiento debe identificar el orden de prioridad.
B. El tratamiento del riesgo no puede introducir nuevos riesgos.
C. El tratamiento del riesgo no debe introducir nuevos riesgos.
D. El fallo o la ineficacia de las medidas de tratamiento del riesgo pueden constituir
un riesgo importante.

4. Cul de las siguientes afirmaciones es incorrecta:
A. La gestin del riesgo debe ser una actividad independiente.
B. La gestin del riesgo crea y protege el valor.
C. La gestin del riesgo debe ser sistemtica y estructurada.
D. La gestin del riesgo es una ayuda a la toma de decisiones.

5. Qu elemento no forma parte del contexto externo de una organizacin:
A. El entorno tecnolgico.
B. El entorno social.
C. Los flujos de informacin.
D. Las tendencias.

46
TEMA 1 Test
6. Segn la metodologa MAGERIT, cul de las siguientes no es una tcnica
especifica?
A. Anlisis algortmico.
B. rboles de ataque.
C. Valoracin Delphi.
D. Anlisis mediante tablas.

7. Cuntas dimensiones de valoracin se utilizan en la metodologa MAGERIT?
A. 3
B. 4
C. 5
D. 7

8. Entre las tipologas de mtodos utilizados para el anlisis de riesgos se encuentran:
A. Mtodos semi-cuantitativos.
B. Mtodos cuantitativos.
C. Mtodos cualitativos.
D. Todas son ciertas.

9. COBIT es:
A. Es una gua de mejores prcticas presentada como framework sin ninguna
gestin de riesgos en sus procesos.
B. Es una gua de mejores prcticas presentada como framework dirigida a la
gestin de tecnologas de la informacin, y la gestin de riesgos se define en el
proceso PO9.
C. Se organiza en 3 reas de gestin: Desarrollo del software, Servicios y
Adquisiciones.
D. Todas son falsas.

10. La seguridad de informacin debe:
A. Formar parte de todos los procesos automatizados de una organizacin.
B. Formar parte de todos los procesos manuales de una organizacin.
C. Involucrar a los socios de negocio.
D. Todas las anteriores son correctas.
47

Tema1 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tema1 PDF

Uploaded by

Copyright:

Available Formats

Anlisis y gestin de riesgos

[1.1] Cmo estudiar este tema?

You might also like