Lectura 2.

Aspectos generales y conceptos de riesgo

Conceptos de Vulnerabilidad, Riesgo y Amenaza
El marco conceptual de la vulnerabilidad surgi de la experiencia humana, en situaciones en que la vida cotidiana
era difcil de distinguir de un desastre. Las condiciones extremas, hacan realmente frgil el desempeo de
algunos grupos sociales que dependan del nivel de desarrollo alcanzado y de la planificacin de ese desarrollo.
En este contexto se empez a identificar en los grupos sociales la vulnerabilidad, como la reducida capacidad
para ajustarse o adaptarse a determinadas circunstancias, y de all nace el concepto de lo que hoy se conoce
como vulnerabilidad aplicada a diversos campos.
Luego de los aportes conceptuales de diferentes escuelas, la UNDRO y la UNESCO promovieron una reunin de
expertos para proponer la unificacin de definiciones, dentro de ellas las siguientes:
Amenaza: es la probabilidad de ocurrencia de un suceso potencialmente desastroso durante cierto periodo de
tiempo, en un sitio dado.
En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo, de un sistema o de
un sujeto expuesto, expresada matemticamente como la probabilidad de exceder un nivel de ocurrencia de un
suceso con una cierta intensidad, en un sitio especfico y durante un tiempo de exposicin determinado.
Una amenaza informtica es un posible peligro del sistema. Puede ser una persona (cracker), un programa (virus,
caballo de Troya, etc.), o un suceso natural o de otra ndole (fuego, inundacin, etc.). Representan los posibles
atacantes o factores que aprovechan las debilidades del sistema.
Vulnerabilidad: es el grado de prdida de un elemento o grupo de elementos bajo riesgo, resultado de la
probable ocurrencia de un suceso desastroso expresada en una escala.
La vulnerabilidad se entiende como un factor de riesgo interno, expresado como la factibilidad de que el sujeto
o sistema expuesto sea afectado por el fenmeno que caracteriza la amenaza.
En el campo de la informtica, la vulnerabilidad es el punto o aspecto del sistema que es susceptible de ser
atacado o de daar la seguridad del mismo. Representan las debilidades o aspectos falibles o atacables en el
sistema informtico.

Riesgo especfico: es el grado de prdidas esperadas, debido a la ocurrencia de un suceso particular y

como una funcin de la amenaza y la vulnerabilidad.
Elementos del Riesgo: son la poblacin, los edificios y obras civiles, las actividades econmicas, los
servicios pblicos, las utilidades y la infraestructura expuesta en un rea determinada.
Riesgo Total: se define como el nmero de prdidas humanas, daos a propiedades, efectos sobre la
actividad econmica debido a la ocurrencia de un desastre.

El riesgo corresponde al potencial de prdidas que pueden ocurrirle al sujeto o sistema expuesto, resultado de
la relacin de la amenaza y la vulnerabilidad, este concepto puede expresarse como la probabilidad de exceder
un nivel de consecuencias econmicas, sociales o ambientales en un cierto sitio y durante un cierto periodo de
tiempo.
En otras palabras, no se puede ser vulnerable sino se est amenazado y no existe una condicin de amenaza para
un elemento, sujeto o sistema, si no est expuesto y es vulnerable a la accin potencial que representa dicha
amenaza. Es decir, no existe amenaza o vulnerabilidad independiente, pues son situaciones mutuamente
condicionantes que se definen en forma conceptual de manera independiente para efectos metodolgicos y para
una mejor comprensin del riesgo.
En la literatura tcnica se hace nfasis en el estudio de la vulnerabilidad y en la necesidad de reducirla mediante
contramedidas o controles que permitan mitigarlos y la intencin es la reduccin del riesgo.
1

Lectura 2. Aspectos generales y conceptos de riesgo

La seguridad informtica, se encarga de la identificacin de las vulnerabilidades del sistema y del establecimiento
de contramedidas que eviten que las distintas amenazas posibles exploten dichas vulnerabilidades. Una mxima
de la seguridad informtica es que: "No existe ningn sistema completamente seguro". Existen sistemas ms o
menos seguros, y ms o menos vulnerables, pero la seguridad nunca es absoluta.
TIPOS DE VULNERABILIDAD EN INFORMTICA
No se puede hablar de un sistema informtico totalmente seguro, sino ms bien de uno en el que no se conocen
tipos de ataques que puedan vulnerarlo, debido a que no se han establecido medidas contra ellos. Algunos tipos
de vulnerabilidad de un sistema son los siguientes:
Vulnerabilidad Fsica: est a nivel del entorno fsico del sistema, se relaciona con la posibilidad de entrar o
acceder fsicamente al sistema para robar, modificar o destruirlo.
Vulnerabilidad Natural: se refiere al grado en que el sistema puede verse afectado por desastres naturales o
ambientales, que pueden daar el sistema, tales como el fuego, inundaciones, rayos, terremotos, o quizs ms
comnmente, fallos elctricos o picos de potencia. Tambin el polvo, la humedad o la temperatura excesiva son
aspectos a tener en cuenta.
Vulnerabilidad del Hardware y del software: desde el punto de vista del hardware, ciertos tipos de
dispositivos pueden ser ms vulnerables que otros, ya que depende del material que est construido. Tambin
hay sistemas que requieren la posesin de algn tipo de herramienta o tarjeta para poder acceder a los mismos.
Ciertos fallos o debilidades del software del sistema hacen ms fcil acceder al mismo y lo hacen menos fiable.
Las vulnerabilidades en el software son conocidos como Bugs del sistema.
Vulnerabilidad de los Medios o Dispositivos: se refiere a la posibilidad de robar o daar los discos, cintas, listados
de impresora, etc.
Vulnerabilidad por Emanacin: todos los dispositivos elctricos y electrnicos emiten radiaciones
electromagnticas. Existen dispositivos y medios de interceptar estas emanaciones y descifrar o reconstruir la
informacin almacenada o transmitida.
Vulnerabilidad de las Comunicaciones: la conexin de los computadores a redes supone, sin duda, un enorme
incremento de la vulnerabilidad del sistema ya que aumenta enormemente la escala del riesgo a que est
sometido, al aumentar la cantidad de gente que puede tener acceso al mismo o intentar tenerlo. Tambin est
el riesgo de intercepcin de las comunicaciones, como la penetracin del sistema a travs de la red y la
interceptacin de informacin que es transmitida desde o hacia el sistema.
Vulnerabilidad Humana: la gente que administra y utiliza el sistema representa la mayor vulnerabilidad del
sistema. Toda la seguridad del sistema descansa sobre la persona que cumple la funcin de administrador del
mismo que tiene acceso al mximo nivel y sin restricciones al mismo. Los usuarios del sistema tambin suponen
un gran riesgo al mismo. Ellos son los que pueden acceder al mismo, tanto fsicamente como mediante conexin;
por eso es que se debe hacer una clara diferenciacin en los niveles de los distintos tipos de vulnerabilidad y en
las medidas a adoptar para protegerse de ellas.
TIPOS DE AMENAZAS EN INFORMTICA
Hay diversas clasificaciones de las amenazas al sistema informtico, todo depende del punto de vista como se
aborde. Una primera clasificacin es segn el efecto causado en el sistema, las amenazas pueden clasificarse en
cuatro tipos: intercepcin, modificacin, interrupcin y generacin.

Lectura 2. Aspectos generales y conceptos de riesgo

Intercepcin: cuando una persona, programa o proceso logra el acceso a una parte del sistema a la que no est
autorizada. Por ejemplo, la escucha de una lnea de datos, o las copias de programas o archivos de datos no
autorizados. Estas son ms difciles de detectar ya que en la mayora de los casos no alteran la informacin o el
sistema.
Modificacin: este tipo de amenaza se trata no slo de acceder a una parte del sistema a la que no se tiene
autorizacin, sino tambin de cambiar su contenido o modo de funcionamiento. Por ejemplo, el cambiar el
contenido de una base de datos, o cambiar lneas de cdigo en un programa.
Interrupcin: se trata de la interrupcin mediante el uso de algn mtodo el funcionamiento del sistema. Por
ejemplo, la saturacin de la memoria o el mximo de procesos en el sistema operativo o la destruccin de algn
dispositivo hardware de manera malintencionada o accidental.
Generacin: generalmente se refiere a la posibilidad de aadir informacin a programas no autorizados en el
sistema. Por ejemplo, el aadir campos y registros en una base de datos, o adicionar cdigo en un programa
(virus), o la introduccin de mensajes no autorizados en una lnea de datos.
La vulnerabilidad de los sistemas informticos es muy grande, debido a la variedad de los medios de ataque o
amenazas. Fundamentalmente hay tres aspectos que se ven amenazados: el hardware (el sistema), el software
(programas de usuarios, aplicaciones, bases de datos, sistemas operativos, etc.), y los datos.
Desde el punto de vista del origen de las amenazas, estas pueden clasificarse en: naturales, involuntarias e
intencionadas.
Amenazas Naturales o Fsicas: las amenazas que ponen en peligro los componentes fsicos del sistema son
llamadas naturales, dentro de ellas se puede distinguir los desastres naturales, como las inundaciones, rayos o
terremotos, y las condiciones medioambientales, tales como la temperatura, humedad, presencia de polvo,
entre otros.
Amenazas Involuntarias: Estn relacionadas con el uso no apropiado del equipo por falta de entrenamiento o
de concienciacin sobre la seguridad, algunas de las ms comunes son borrar sin querer parte de la informacin,
o dejar sin proteccin determinados archivos bsicos del sistema, o escribir en un papel o un post-it con el
password o dejar activo el sistema, cuando no estamos usndolo.
Amenazas Intencionadas: las amenazas intencionadas son aquellas que proceden de personas que quieren
acceder al sistema para borrar, modificar o robar la informacin o sencillamente para bloquearlo o por simple
diversin. Los causantes del dao pueden ser de dos tipos: los externos pueden penetrar al sistema de mltiples
formas, ya sea entrando al edificio o accediendo fsicamente al computador, o entrando al sistema a travs de la
red o porque el software es vulnerable, o con el acceso a perfiles y operaciones no autorizados. Los internos
pueden ser de empleados que han sido despedidos o descontentos, empleados coaccionados, y empleados que
quieren obtener beneficios personales.

Anlisis de Riesgos
En lo relacionado con la tecnologa, generalmente el riesgo es planteado solamente como amenaza,
determinando el grado de exposicin a la ocurrencia de una prdida. Segn la Organizacin Internacional (ISO)
define riesgo tecnolgico como La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad
existentes de un activo o un grupo de activos, generndole prdidas o daos. En esta definicin se identifican
varios elementos que deben ser comprendidos adecuadamente para percibir integralmente el concepto de
3

Lectura 2. Aspectos generales y conceptos de riesgo

riesgo y los procesos aplicados sobre l. Dentro de estos elementos estn la probabilidad, amenazas,
vulnerabilidades, activos e impactos.
Probabilidad: para establecer la probabilidad de ocurrencia se puede hacerlo cualitativa o cuantitativamente,
considerando lgicamente, que la medida no debe contemplar la existencia de ninguna accin de control, o sea,
que debe considerarse en cada caso que las posibilidades existen, que la amenaza se presenta
independientemente del hecho que sea o no contrarrestada.
Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas
en las operaciones de la organizacin, comnmente se referencia como amenazas a las fallas, a los ingresos no
autorizados, a los virus, a los desastres ocasionados por fenmenos fsicos o ambientales, entre otros. Las
amenazas pueden ser de carcter fsico como una inundacin, o lgico como un acceso no autorizado a la base
de datos.
Vulnerabilidades: Son ciertas condiciones inherentes a los activos, o presentes en su entorno, que facilitan que
las amenazas se materialicen y los llevan a la condicin de vulnerabilidad. Las vulnerabilidades son de diversos
tipos como por ejemplo: la falta de conocimiento de un usuario, la transmisin a travs de redes pblicas, entre
otros.
Activos: Los activos a nivel tecnolgico, son todos los relacionados con los sistemas de informacin, las redes y
comunicaciones y la informacin en s misma. Por ejemplo los datos, el hardware, el software, los servicios que
se presta, las instalaciones, entre otros.
Impactos: Son las consecuencias de la ocurrencia de las distintas amenazas y los daos por prdidas que stas
puedan causar. La prdidas generadas pueden ser financiaras, econmicas, tecnolgicas, fsicas, entre otras.
Anlisis de Riesgos
Es una herramienta de diagnstico que permite establecer la exposicin real a los riesgos por parte de una
organizacin. Este anlisis tiene como objetivos la identificacin de los riesgos (mediante la identificacin de sus
elementos), lograr establecer el riesgo total y posteriormente el riesgo residual luego de aplicadas las
contramedidas en trminos cuantitativos o cualitativos.
El riesgo total es la combinacin de los elementos que lo conforman, calculando el valor del impacto por la
probabilidad de ocurrencia de la amenaza y cul es el activo que ha sido impactado. Presentado en una ecuacin
matemtica para la combinacin vlida de activos y amenazas:
RT (riesgo total) = probabilidad x impacto
El proceso de anlisis descrito genera habitualmente un documento que se conoce como matriz de riesgo,
donde se ilustran todos los elementos identificados, sus relaciones y los clculos realizados. La sumatoria de los
riesgos residuales calculados, es la exposicin total de la organizacin a los riesgos. Realizar el anlisis de riesgos
es fundamental para lograr posteriormente administrar los mismos.
El objetivo general del anlisis de riesgos, es identificar sus causas potenciales de los principales riesgos que
amenazan el entorno informtico. Esta identificacin se realiza en una determinada rea para que se pueda tener
informacin suficiente al respecto, optando as por un adecuado diseo e implantacin de mecanismos de
control con el fin de minimizar los efectos de eventos no deseados, en los diferentes puntos de anlisis.

Lectura 2. Aspectos generales y conceptos de riesgo

Otros objetivos especficos del proceso de anlisis de riesgos son: analizar el tiempo, esfuerzo y recursos
disponibles y necesarios para atacar los problemas; llevar a cabo un minucioso anlisis de los riesgos y
debilidades; identificar, definir y revisar los controles de seguridad; determinar si es necesario incrementar las
medidas de seguridad; y la identificacin de los riesgos, los permetros de seguridad y los sitios de mayor peligro,
se pueden hacer el mantenimiento ms fcilmente.
Algunos aspectos que se debe tener en cuenta antes de realizar el anlisis de riesgos son los siguientes: las
polticas y las necesidades de la organizacin, los nuevos avances tecnolgicos y la astucia de intrusos expertos,
los costos vs la efectividad del programa de mecanismos de control a desarrollar, la junta directiva de la
organizacin debe incluir presupuesto, los gastos necesarios para el desarrollo de programas de seguridad. Otro
aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan
tener sobre el entorno informtico, sin olvidar los costos adicionales que se generan por su implementacin.
El anlisis de riesgos utiliza el mtodo matricial llamado MAPA DE RIESGOS, para identificar la vulnerabilidad de
un servicio o negocio a riesgos tpicos. El mtodo contiene los siguientes pasos: la localizacin de los procesos en
las dependencias que intervienen en la prestacin del servicio y la localizacin de los riesgos crticos y su efecto
en los procesos del Negocio.
Anlisis de Riesgo Informtico
Segn Harold F. Tipton y Micki Krause[1]. la seguridad informtica puede ser definida, bsicamente, como la
preservacin de la confidencialidad, la integridad y la disponibilidad de los sistemas de informacin.
Dependiendo del entorno de la organizacin, se pueden tener diferentes amenazas que comprometan a los
objetivos previamente mencionados. Ante un riesgo concreto, la organizacin tiene tres alternativas: aceptar el
riesgo, hacer algo para disminuir la posibilidad de ocurrencia del riesgo o transferir el riesgo, por ejemplo,
mediante un contrato de seguro.
A las medidas o salvaguardas que se toman para disminuir un riesgo se les denomina controles de seguridad. Los
controles de seguridad informtica usualmente se clasifican en tres categoras: controles fsicos, controles lgicos
o tcnicos y controles administrativos. Para que los controles sean efectivos, stos deben estar integrados,
determinado por Jean Killmeyer Tudor[2] en lo que se denomina una arquitectura de seguridad informtica, la
cual debe ser congruente con los objetivos de la organizacin y las prioridades de las posibles amenazas de
acuerdo al impacto que stas tengan en la organizacin. Por lo tanto, una fase fundamental en el diseo de la
arquitectura de seguridad informtica determinada por Thomas Peltier[3], es la etapa de anlisis de riesgos.
Sin importar cul sea el proceso que se siga, el anlisis de riesgos comprende los siguientes pasos:
1. Definir los activos informticos a analizar.
2. Identificar las amenazas que pueden comprometer la seguridad de los activos.
3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenazas, con el objeto de establecer una priorizacin de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
Las metodologas de anlisis de riesgo difieren esencialmente en la manera de estimar la probabilidad de
ocurrencia de una amenaza y en la forma de determinar el impacto en la organizacin. Las metodologas ms
utilizadas son cualitativas, en el sentido de que dan una caracterizacin de alta/media/baja a la posibilidad de
contingencia ms que una probabilidad especfica.
El estndar ISO/ 27001 adopta una metodologa dada por Alan Calder y Steve Watkins[4] que es la del anlisis
de riesgos cualitativa. Este es un estndar internacional para los sistemas de gestin de la seguridad informtica,
5

Lectura 2. Aspectos generales y conceptos de riesgo

que est estrechamente relacionado al estndar de controles recomendados de seguridad informtica ISO/
17799.
Limitantes del anlisis de riesgo: Una de las debilidades de las metodologas de anlisis de riesgo, es que parten
de una visin esttica de las amenazas, as como de los controles requeridos para disminuir los riesgos. El ciclo
de vida establecido para las arquitecturas de seguridad informtica suele ser demasiado extenso ante un entorno
en cambio constante.
Los cambios en los riesgos que debe considerar una organizacin tienen dos orgenes:
1. El surgimiento de nuevas amenazas.
2. La adopcin de nuevas tecnologas que da origen a riesgos no previstos.
Todo sistema de informacin evoluciona, debido a la integracin de hardware y software con caractersticas
nuevas y ms atractivas para los usuarios, as como al desarrollo de nuevas funcionalidades. Estos cambios abren
la posibilidad de riesgos imprevistos y tambin pueden crear vulnerabilidades donde antes no existan.
Algunos estudios realizados por Loch, Carr y Warkentin[5], han demostrado que existe una brecha entre el uso
de tecnologa moderna y el entendimiento de las implicaciones para la seguridad, inherentes a su utilizacin en
su momento. Los administradores de sistemas de informacin que migraron sus organizaciones a entornos
altamente interconectados seguan visualizando las amenazas desde un punto de vista pre-conectividad; como
consecuencia, expusieron a sus organizaciones a riesgos de los cuales no eran conscientes, se negaban a aceptar
o frecuentemente estaban poco preparados para manejar.

Fuentes:
http://datateca.unad.edu.co/contenidos/233004/riesgos/
[1] Harold F. Tipton, Micki Krause (eds.), Information Security Management Handbook, 5th Ed., CRC Press, 2006
[2]Jean Killmeyer Tudor (ed.), Information Security Architecture: An Integrated Approach to Security in the Organization,
CRC Press, 2006.
[3] Thomas R. Peltier, Information Security Risk Analysis, CRC Press, 2005.
[4] Alan Calder, Steve Watkins, IT Governance: A Managers Guide to Data Security& BS 7799/ISO 17799, 2nd Ed., Kogan
Page Ltd., London, 2003.
[5] Karen D. Loch, Houston H. Carr, Merrill E. Warkentin, Threats to InformationSystems: Todays Reality, Yesterdays
Understanding,vol. 16, no. 2, 1992, pp. 173-186.