PFC Carmen Crespo Rin

INGENIERA TCNICA EN INFORMTICA DE GESTIN
DEPARTAMENTO DE INFORMTICA
PROYECTO FIN DE CARRERA
EL ANLISIS DE RIESGOS DENTRO DE UNA AUDITORA

INFORMTICA: PASOS Y POSIBLES METODOLOGAS
Autor: M del Carmen Crespo Rin
Tutor: Miguel ngel Ramos Gonzlez
Legans, enero de 2013
El Anlisis de Riesgos dentro de una Auditora

Informtica: pasos y posibles metodologas
Ttulo: El Anlisis de Riesgos dentro de una Auditora

Autor: M del Carmen Crespo Rin
Tutor: Miguel ngel Ramos Gonzlez
EL TRIBUNAL
Presidente:_____________________________________________________
Vocal:___________________________________________________________
Secretario:_____________________________________________________
Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el da
__ de _______ de 20__ en Legans, en la Escuela Politcnica Superior de la
Universidad Carlos III de Madrid, acuerda otorgarle la CALIFICACIN de
VOCAL
SECRETARIO
PRESIDENTE

Agradecimientos
A veces la vida se muestra cruel y te obliga a caminar por los caminos ms
empinados que te puedas imaginar. Pero a veces, te presenta una cara ms
amable y te da una segunda oportunidad. Lo que he pretendido es aprovechar
una dimensin de esa segunda oportunidad y terminar un sueo que comenc
hace mucho tiempo.
Durante este tiempo llegaron personas nuevas a mi vida y otras se
marcharon.
Quiero dar las gracias a todas las personas que durante este tiempo han
estado a mi lado, me han alentado y me han comprendido.
Quiero dar las gracias a mi familia y mis amigos.
Quiero agradecer especialmente la paciencia de mi tutor, por mis idas y mis
venidas; por estar siempre disponible.
Sobre todo y por encima de todo quiero dedicarle este trabajo a mi gran
amor, a mi hijo.

Resumen
El presente trabajo se ha estructurado fundamentalmente en dos partes
bien diferenciadas. La primera parte comprende desde el captulo II hasta el
captulo VI y la segunda parte incluye los captulos VII, VIII y IX.
En la primera parte se ha llevado a cabo un estudio terico sobre las reas
de conocimiento que estn involucradas en este trabajo, es decir, sobre la
auditora informtica y el anlisis de riesgos. Para ello hemos recurrido a los
trabajos publicados por varios autores de reconocido prestigio que nos han
permitido estudiar diferentes tipos y modelos de auditora para diferentes
campos de la informtica, as como presentar una primera aproximacin
metodolgica al desarrollo de una auditora. As mismo, hemos realizado un
estudio de las principales metodologas, normas y marcos de trabajo existentes en
el campo de la Auditora de Sistemas de Informacin; hemos repasado la familia
ISO 2700 (incluyendo la ISO 27001, la 27002, la 27004 y la 27007), la ISO/IEC
38500, las normas de auditora de ISACA, ITIL y por supuesto el marco COBIT.
Con relacin al anlisis de riesgos, hemos seguido un desarrollo similar al
expresado anteriormente para la auditora. Primero hemos planteado un estudio
terico sobre el concepto de anlisis y gestin del riesgo, para a continuacin
llevar a cabo un estudio de las diferentes metodologas y estndares existentes en
el mercado para llevar a cabo un anlisis de riesgos. Nos hemos centrado en las
siguientes: AS/NZS ISO 31000:2009, UNE 71504:2008, OCTAVE, ISO/IEC
27005:2011, MEHARI, CRAMM y, por supuesto, MAGERIT, que luego hemos
utilizado como base en nuestra propuesta metodolgica como ms adelante
explicaremos. Lo anteriormente expuesto formara lo que hemos denominado
marco terico de trabajo.
A continuacin expondremos la segunda parte o propuesta de metodologa
propia para llevar a cabo una auditora informtica utilizando un anlisis de
riesgos.
Para ello, lo primero que hemos realizado ha sido unos anlisis
comparativos de los estndares, marcos de trabajo y guas y normas de la

auditora informtica, por una parte y, por otra parte, un anlisis comparativo de
estndares y metodologas de anlisis de riesgos.
Finalmente, hemos realizado una propuesta metodolgica para llevar a
cabo una auditora soportada en el anlisis de riesgos, que entendemos
susceptible de ser utilizado en entidades pequeas y medianas. Hemos
completado dicha propuesta con unas plantillas en Excel y una pgina web que
podr servir de mecanismo rpido de consulta para el auditor.

Abstract
This work has been structured mainly in two different parts. The first part
covers from chapter II to chapter VI and the second part includes chapters VII, VIII
and IX. In the first part, a theoretical study has been carried out on the areas of
knowledge that are involved in this work, i.e., on the information technology audit
and risk analysis. For this purpose we have resorted to papers published by
several renowned authors which have enabled us to study different types and
models of audit for different fields of computer science, as well as presenting a
first methodological approach to the development of an audit.
Likewise, we have carried out a study of the main methodologies, standards
and frameworks existing in the field of the information systems audit: we have
reviewed the ISO 2700 family (including ISO 27001, 27002, 27004 and 27007),
ISO/IEC 38500, the auditing standards of ISACA, ITIL and, of course, the COBIT
framework.
Regarding risk analysis, we have followed a similar development to the one
explained previously for the audit. We have first planned a theoretical study on
the concept of risk management and analysis, then carried out a research of the
different methodologies and standards existing in the market to carry out a risk
analysis. We have focused on the following: AS/NZS ISO 31000: 2009, UNE 71504:
2008, OCTAVE, ISO/IEC 27005: 2011, MEHARI, CRAMM and, of course, MAGERIT,
that then we have used as a base in our methodological proposal, as explained
later. The above would be what we call theoretical framework.
Then, we will expose the second part or proposal of methodology to carry
out an information technology audit using a risk analysis.
To do this, we have made several comparative analyses of standards,
frameworks and guides and computer auditing standards on the one hand and, on
the other hand, a comparative analysis of standards and risk analysis
methodologies.
We have finally made a methodological proposal to carry out an audit
based on risk analysis, which we believe that can be used in small and medium-

sized entities. We have completed the proposal with a few Excel templates and a
web page that can serve as a quick reference for the auditor.

NDICE
CAPTULO I: Introduccin y objetivos
1. Introduccin ......................................................................................................... 20
2. Objetivos............................................................................................................... 21
2.1. Objetivo general ........................................................................................... 21
2.2. Objetivos especficos .................................................................................... 21
3. Estructura de la memoria ..................................................................................... 22
CAPTULO II: La auditora informtica

1. Conceptos generales ............................................................................................ 24
2. Objetivos generales de la auditora informtica .................................................. 25
3. reas de la auditora informtica ........................................................................ 26
3.1. Auditora Fsica ............................................................................................. 27
3.2. Auditora de la Direccin .............................................................................. 28
3.3. Auditora de la Explotacin........................................................................... 29
3.3.1.Control Interno ..................................................................................... 31
3.4. Auditora de las Bases de Datos ................................................................... 32
3.4.1.Objetivos de Control en el ciclo de vida de una Base de Datos............ 32
3.5. Auditora del Outsourcing de los Sistemas de Informacin ......................... 34
4. Metodologa general de auditora informtica .................................................... 35
4.1. Proceso metodolgico en una auditora informtica ................................... 35
4.2. Etapas de la metodologa de auditora......................................................... 36
4.2.1.Etapa preliminar o de diagnstico ........................................................ 37

4.2.2.Etapa de justificacin ............................................................................ 38
4.2.3.Etapa de adecuacin ............................................................................. 38
4.2.4.Etapa de formalizacin ......................................................................... 38
4.2.5.Etapa de desarrollo ............................................................................... 38
4.2.6.Etapa de implementacin ..................................................................... 39
4.2.7.Presentacin del informe final.............................................................. 39
4.3. Principales pruebas y herramientas para efectuar una auditora
Informtica .......................................................................................................... 39
5. Evolucin de la funcin de auditora informtica ................................................ 40
CAPTULO III: El anlisis y la gestin de riesgos

1. Conceptos generales ............................................................................................ 43
2. El anlisis de riesgos. Definicin ........................................................................... 46
2.1. Objetivo del anlisis de riesgos .................................................................... 46
2.2. Fases del anlisis de riesgos ......................................................................... 47
3. La gestin de riesgos ............................................................................................ 48
3.1. Fases de la gestin de riesgos....................................................................... 49
4. El anlisis y la gestin de riesgos en su contexto ................................................. 50
5. Cundo procede analizar y gestionar los riesgos ................................................. 51
CAPTULO IV: Estndares, Marcos de Trabajo y Guas y Normas para la

Auditora de Sistemas de Informacin
1. Introduccin ......................................................................................................... 54

2. La familia ISO/IEC 27000 ...................................................................................... 55
2.1. ISO/IEC 27001: Tecnologas de la informacin Tcnicas
de Seguridad- Sistemas de Gestin de la Seguridad de la Informacin (SGSI). ..
Requisitos ............................................................................................................ 56
2.2. ISO/IEC 27002:2005: Tecnologas de la informacin Tcnicas
de Seguridad Cdigo de buenas prcticas para la Gestin de
la Seguridad de la Informacin ............................................................................. 59
2.3. ISO/IEC 27004:2009: Tecnologas de la informacin Tcnicas de
Seguridad Mediciones para la Gestin de la Seguridad de la Informacin ....... 69
2.4. ISO/IEC 27007:2011: Information technology Security Techniques
Guidelines for Information Security Management Systems Auditing ................ 74
2.4.1.Caractersticas y ventajas principals ..................................................... 74
2.4.2.Estructura del estndar ........................................................................ 75
3. ISO/IEC 38500:2008: Corporate governance of information technology 2008 . 76
3.1. Definiciones, principios y tares ..................................................................... 77
3.2. Orientaciones y prcticas ............................................................................. 80
4. CoBiT 4.1: Objetivos de control para la Informacin y la Tecnologa
relacionada ........................................................................................................... 82
4.1. Orientado a negocios.................................................................................... 84
4.1.1.Criterios de Informacin de CoBiT ........................................................ 84
4.1.2.Metas de negocios y de TI .................................................................... 85
10

4.1.3.Recursos de TI ....................................................................................... 86
4.2. Orientado a procesos ................................................................................... 87
4.3. Basado en controles ..................................................................................... 90
4.4. Impulsado por mediciones ........................................................................... 91
5. GTAG Global Technology Audit Guide .............................................................. 94
6. El Esquema Nacional de Seguridad ...................................................................... 100
6.1. Gua de auditora .......................................................................................... 101
6.2. El objeto de la auditora ............................................................................... 101
6.3. Desarrollo y ejecucin de la auditora .......................................................... 102
6.3.1.Alcance y objetivo de la auditora......................................................... 102
6.3.2.Composicin del equipo auditor........................................................... 103
6.3.3.Planificacin preliminar de la auditora ................................................ 104
6.3.4.Programa de auditora .......................................................................... 105
6.3.5.Elaboracin y presentacin de resultados y pruebas de auditora ...... 105
6.3.6.Presentacin del informe de auditora ................................................. 105
6.4. Anexos .......................................................................................................... 106
7. Normas de Auditora de Sistemas de Informacin de ISACA ............................... 106
8. ITIL: Information Technology Infrastructure Library ............................................ 107
8.1. ITIL v 3.0. ....................................................................................................... 108
11

CAPTULO V: Metodologas y/o estndares para el anlisis y la gestin de
riesgos
1. Introduccin ......................................................................................................... 111
2. La norma AS/NZS ISO 31000:2009 ....................................................................... 111
3. La norma UNE 71504:2008.- Metodologa de anlisis y gestin de
riesgos para los sistemas de informacin ................................................................... 117
4. MAGERIT: Metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de Informacin .................................................................................. 119
4.1. Finalidad de Magerit ..................................................................................... 120
4.2. Objetivos de Magerit .................................................................................... 121
4.3. Organizacin de las guas de Magerit ........................................................... 121
4.4. Productos y servicios complementarios ....................................................... 123
4.5. El anlisis y la gestin de riesgos segn Magerit .......................................... 123
4.5.1.El anlisis de riesgos segn Magerit ..................................................... 126
4.5.2.La gestin de riesgos segn Magerit .................................................... 135
4.5.2.1. La interpretacin de los valores de impacto y riesgo residuales 136
4.5.2.2. Salvaguardas: seleccin y tipo .................................................... 136
4.5.2.3. Prdidas y ganancias .................................................................. 138
4.5.2.4. La actitud de la Direccin ........................................................... 139
4.6. Herramienta de apoyo para el anlisis de riesgos: PILAR............................. 141
5. OCTAVE ................................................................................................................. 142
12

6.
ISO/IEC 27005:2011: Tecnologas de la informacin -
Tcnicas de seguridad- Gestin del riesgo de seguridad de la informacin............... 147

7. MEHARI: Mtodo Armonizado de Anlisis de Riesgos ......................................... 151
8. CRAMM-CCTA: Risk Analysis and Management Methodology-Metodologa
para el anlisis y la gestin de riesgos ....................................................................... 154
8.1. Primera etapa: Identificacin y valoracin de activos.................................. 155
8.2. Segunda etapa: Evaluacin de amenazas y vulnerabilidad .......................... 155
8.3. Tercera etapa: Seleccin y recomendacin de contramedidas.................... 156
9. Listado de algunas metodologas, estndares y herramientas para el anlisis
y la gestin de riesgos. ............................................................................................... 157
CAPTULO VI: El Anlisis de Riesgos dentro de una Auditora Informtica

1. Introduccin ......................................................................................................... 160
2. El papel del anlisis de riesgos dentro de una auditora informtica .................. 160
3. Desarrollo de una auditora con un enfoque en el anlisis de riesgos ................. 163
CAPTULO VII: Anlisis comparativo de estndares, marcos de trabajo y

guas y normas de auditora informtica
1. Introduccin ......................................................................................................... 166
2. Estndares ............................................................................................................ 167
3. Marcos de trabajo ................................................................................................ 168
4. Guas y normas de auditora................................................................................. 173
13

CAPTULO VIII: Anlisis comparativo de estndares y metodologas de
anlisis de riesgos
1. Introduccin ......................................................................................................... 180
2. Anlisis de caractersticas generales .................................................................... 181
3. Anlisis del mbito de aplicacin y procesos metodolgicos .............................. 184
4. Anlisis de los aspectos propios del proceso de anlisis de riesgos .................... 188
CAPTULO IX: Propuesta de una gua para llevar a cabo una auditora
informtica
1. Introduccin ......................................................................................................... 196
2. Contenido de la gua ............................................................................................. 196
2.1. Introduccin.................................................................................................. 198
2.2. Alcance y mbito de aplicacin .................................................................... 198
2.3. Objetivos ....................................................................................................... 199
2.4. Trminos y definiciones ................................................................................ 199
2.5. Estndares y metodologas relacionados ..................................................... 202
2.6. Proceso de realizacin de la auditora .......................................................... 203
2.6.1.Fase de planificacin............................................................................. 203
2.6.1.1. Etapa 1: Conocimiento preliminar de la empresa y/o
rea a auditar .......................................................................................... 204
2.6.1.2. Etapa 2: Desarrollo del anlisis de riesgos ................................. 205
2.6.1.3. Informe final del anlisis de riesgos ........................................... 222
2.6.1.4. Informe de planificacin de la auditora .................................... 223
14

2.6.2.Fase de evaluacin de controles........................................................... 223
2.6.2.1. Etapa 1: Identificacin y seleccin de controles a evaluar......... 225
2.6.2.2. Etapa 2: Recoleccin y evaluacin de evidencias ....................... 225
2.6.3.Fase de elaboracin y presentacin de informes ................................. 227
2.6.3.1. Informe de hallazgos y recomendaciones .................................. 227
2.6.3.2. Documentacin final de la auditora .......................................... 228
2.6.4.Fase de seguimiento ............................................................................. 229
2.6.4.1. Establecimiento de pautas para el seguimiento de la auditora 229
2.6.5.Anexos de la gua ................................................................................. 230
Planificacin y Presupuesto
Hitos de planificacin ....................................................................................... 233
Planificacin temporal ...................................................................................... 234
Presupuesto por partidas ................................................................................. 235
Conclusiones .......................................................................................................... 236

Bibliografa ............................................................................................................. 239
15

ndice de figuras
Figura 2.1. Componentes de un Sistema de Informacin ...............................................
30
Figura 2.2. Ciclo de vida de una Base de Datos ...............................................................
33
Figura 2.3. Etapas de una metodologa de auditora ......................................................
37
Figura 3.1 Relacin conceptos riesgo [AVEL 08] ..............................................................
38
Figura 3.2. Marco del anlisis de riesgos. [MAGE 06] ......................................................
45
Figura 3.3. Marco de la gestin de riesgos. [MAGE 06] ..................................................
50
Figura 4.1. Ciclo Deming en la ISO/IEC 27001 .................................................................
57
Figura 4.2. Distribucin de los dominios de la Norma ISO 27002. [INTE10] ...................
60
Figura 4.3.Ciclo PDCA ISO/IEC 27004 ..............................................................................
71
Figura 4.4. Modelo de Gobierno Corporativo de TIC. [BALL 10]......................................
80
Figura 4.5. Gua sobre cmo dirigir, monitorizar y evaluar la funcin de TIC [BALL 10] .
81
Figura 4.6. Principio bsico de CoBiT. [COBIT 07] ...........................................................
84
Figura 4.7. Gestin de los Recursos de TI para Alcanzar Metas de TI. [COBIT 07] .........
87
Figura 4.8. Los cuatro dominios interrelacionados de CoBiT. [COBIT 07] .......................
88
Figura 4.9. Modelo de Control. [COBIT 07] .....................................................................
91
Figura 4.10. Resumen del marco. [COBIT 07] .................................................................
93
Figura 4.11. Ciclo Deming Ciclo de vida de servicio segn ITIL ....................................
109
Figura 5.1. Marco general para la gestin de riesgos. [AS/NZS 09] .................................
114
Figura 5.2. Proceso para la gestin de riesgos. [AS/NZS 09] ...........................................
115
Figura 5.3. Proceso detallado para la gestin de riesgos. [AS/NZS 09] ..........................
116
Figura 5.4. Interrelacin clusulas 3 a 5. [AS/NZS 09] ....................................................
117
Figura 5.5. Resumen elementos del proceso de anlisis y gestin de riesgos

en Magerit .......................................................................................................................
125
Figura 5.6. Sistema de capas para el proceso de anlisis de riesgos en Magerit ...........
128
16

Figura 5.7. Dimensiones de un activo segn Magerit ....................................................
129
Figura 5.8. Fases de desarrollo de Octave. [OCTA 08] ....................................................
144
Figura 5.9. Proceso para la gestin de riesgos en Octave. [OCTA 08] ............................
146
Figura 5.10. Proceso para la gestin de riesgos en ISO 27005. [ISO/IEC 11] ..................
150
Figura 5.11 Modelo de anlisis y gestin de riesgos de CRAMM. [CRAM 06] .................
156
Figura 6.1. Fases de una auditora ..................................................................................
164
Figura 7.1. Estndares relacionados con la auditora y el control informtico ..............
166
Figura 7.2. Familia ISO 27000 ..........................................................................................
167
Figura 7.3. Marcos de trabajo relacionados con la auditora y el control informtico ...
169
Figura 7.4. Relacin entre ITIL, COBIT, ISO 27000, ISO 38500 ........................................
171
Figura 7.5. Normas y guas de auditora informtica ......................................................
174
Figura 9.1: Fases de la auditora .....................................................................................
203
Figura 9.2: Etapas de la fase de planificacin .................................................................
204
Figura 9.3: Actividades de la etapa de Anlisis de Riesgos ..............................................
206
Figura 9.4: Tareas de la actividad Caracterizacin de los activos ...................................
207
Figura 9.5: Tareas de la actividad Caracterizacin de las amenazas ...............................
213
Figura 9.6: Tareas de la actividad Estimacin del Estado de riesgo ................................
219
Figura 9.7: Etapas de la fase de Evaluacin de Controles ...............................................
224
17

ndice de Tablas
Tabla 7.1. Tabla comparativa estndares, marcos de trabajo y
guas de auditora informtico .........................................................................................
178
Tabla 8.1. Caractersticas generales de los estndares y/o metodologas

de anlisis de riesgos .......................................................................................................
182
Tabla 8.2. mbito de aplicacin y procesos metodolgicos ...........................................
186
Tabla 8.3. Aspectos propios del proceso de anlisis de riesgos .....................................
190
18

CAPTULO I:
Introduccin
y Objetivos
19

1. Introduccin
El aumento en el uso de los sistemas informticos por parte de las
empresas y la creciente complejidad en dichos sistemas y las infraestructuras que
los soportan, han incrementado la complejidad en su control y en el
aseguramiento de los mismos frente a amenazas que puedan explotar sus
posibles vulnerabilidades.
Por lo anteriormente expuesto, el establecimiento de controles y medidas
de proteccin se ha convertido en una preocupacin para todas las empresas que
buscan adems de proteger sus infraestructuras, proteger uno de sus activos ms
valiosos: la informacin y as garantizar su confidencialidad, integridad,
trazabilidad y disponibilidad.
Adems del establecimiento de controles es necesaria la evaluacin de los
mismos, por lo tanto se deben disear estrategias y planes que proporcionen
directrices efectivas de control y que permitan la realizacin de un proceso de
evaluacin, revisin y verificacin de la informacin, de los procesos y tecnologas
que los soportan.
La auditora informtica y el anlisis de riesgos, han sido los mtodos
usados comnmente de forma independiente para evaluar los sistemas de
informacin, cada uno con un enfoque diferente. De un lado la auditora
informtica es un proceso de revisin y verificacin mientras que el anlisis de
riesgos es un proceso de diagnstico y revisin.
El concepto de auditora ha ido evolucionado a la par que han ido
evolucionando las tecnologas de la informacin y comunicacin y se ha
enfrentado a la necesidad de pasar de un enfoque de verificacin, efectuado a
posteriori, a un enfoque preventivo y proactivo basado en la valoracin de los
riesgos y en la evaluacin de la eficacia y eficiencia de los procedimientos y los
controles establecidos en las organizaciones, orientados a mejorar las
caractersticas de seguridad, calidad, eficiencia y eficacia de los sistemas de
informacin y las tecnologas asociadas y por lo tanto al mejoramiento de los
procesos que sustentan sus negocios.
20

De la mano de la evolucin de los conceptos de control, auditora, anlisis
de riesgos y en general de seguridad de la informacin se han desarrollado
normativas, estndares, metodologas y marcos de trabajo ampliamente
conocidos, que pueden ser aplicados por las empresas para apoyar y estandarizar
el desarrollo de las labores de auditora y anlisis de riesgos. En el caso de la
auditora informtica, no se cuenta con una metodologa concreta y estandarizada
para abordar la auditora con un enfoque de anlisis de riesgos, los diferentes
estndares, normativas y marcos de trabajo tocan aspectos puntuales; por lo
tanto con el fin de abordar esta problemtica, en este trabajo se hace un anlisis
de la auditora informtica y el anlisis de riesgos, inicialmente como mecanismos
de evaluacin independientes y posteriormente de cmo pueden usarse de forma
conjunta dentro de una auditora informtica, para finalmente proponer una gua
de auditora que hace uso del anlisis de riesgos.
2. Objetivos
2.1. Objetivo general
El objetivo general de este Proyecto de Fin de Carrera, es realizar un
estudio terico acerca de la auditora informtica y el anlisis de riesgos, y
posteriormente realizar una propuesta metodolgica para llevar a cabo una
auditora informtica basada en el anlisis de riesgos.
2.2. Objetivos especficos

Realizar un estudio del estado de la cuestin, de las reas de conocimiento
involucradas en este trabajo, como lo son la auditora informtica y el anlisis
de riesgos.
Realizar una evaluacin de las principales metodologas existente para la
realizacin de auditoras informticas y de anlisis de riesgos.
Realizar una propuesta metodolgica para llevar a cabo una auditora
informtica soportada en el anlisis de riesgos, a travs del desarrollo de una
gua que pueda ser aplicada a empresas pequeas y medianas.
21

3. Estructura de la memoria
La estructura que sigue la memoria es la siguiente:
En el captulo 1 se presenta la introduccin y los objetivos del PFC.
En el captulo 2 se hace una introduccin a los conceptos generales de la
auditora informtica y se tratan diferentes temas relacionados como son: sus
objetivos, las diferentes reas de aplicacin, la metodologa general para llevar a
cabo una auditora informtica y la evolucin de la funcin de auditora
informtica.
En el captulo 3 se abordan los conceptos generales relacionados con el
anlisis y la gestin de riesgos, sus objetivos, las fases en un anlisis de riesgos, las
fases de la gestin de riesgos.
En el captulo 4 se presentan diferentes metodologas y estndares para la
auditora informtica.
En el captulo 5 se presentan diferentes metodologas y estndares para el
anlisis y la gestin de riesgos.
En el captulo 6 se realiza un anlisis del papel del anlisis de riesgos dentro
de una auditora informtica, como tema central del PFC.
En los captulos 7 y 8, se presenta un anlisis comparativo de estndares,
metodologas, marcos de trabajo, guas y normas de auditora informtica y
anlisis de riesgos.
En el captulo 9, se desarrolla una propuesta de una gua para llevar a cabo
una auditora informtica con un enfoque de anlisis de riesgos.
Finalmente se presentan las conclusiones y trabajos futuros y la bibliografa
del trabajo.
22

CAPTULO II:
La Auditora
Informtica
23

1. Conceptos generales
En trminos generales se puede definir la auditora informtica, tal y como
se indica en [CARI 06], como el conjunto de procedimientos y tcnicas para
1
evaluar y controlar un sistema informtico o de informacin , con el fin de

constatar si sus actividades son las adecuadas en relacin con las normativas
generales de aplicacin y los objetivos prefijados por la organizacin. Dicho de
otra manera, una auditora recoge, agrupa y evala evidencias para determinar si
un sistema salvaguarda los activos, mantiene la integridad de los datos y lleva a
cabo eficazmente los fines de la organizacin y utiliza eficazmente los recursos,
[OOCI 03].
La auditora informtica como se expone en [OOCI 03], tambin es vista
como el conjunto de acciones que realiza el personal especializado en las reas de
auditora y de informtica para el aseguramiento continuo de que los recursos de
informtica operen en un ambiente de seguridad y control eficientes, con la
finalidad de proporcionar a la alta direccin o a niveles ejecutivos la certeza de
que la informacin que circula por el rea se maneja con los conceptos bsicos de
integridad, totalidad, exactitud, confiabilidad, etc.
La auditora como proceso metodolgico tiene el propsito principal de
evaluar los recursos (humanos, materiales, financieros, tecnolgicos, etc.)
relacionados con la funcin de informtica para garantizar al negocio que dicho
conjunto opere con un criterio de integracin y desempeo de niveles altamente
satisfactorios, para que a su vez apoyen la productividad y rentabilidad de la
organizacin, [UCMA 09].
A efectos de este trabajo se usarn los trminos sistema informtico y sistema de
informacin, indistintamente, debido a las diferencias sutiles que existen entre

dichos trminos y se considerar que se refieren al mismo concepto.
24

2. Objetivos generales de la auditora informtica

Los objetivos tradicionales de una auditora informtica, tal y como se
indica en [NAVA 10] son la proteccin de activos e integridad de datos y la eficacia
y eficiencia en la gestin de los mismos. Por tanto, la realizacin adecuada de la
auditora proporciona informacin que ayuda a mejorar la rentabilidad, la
seguridad y la eficacia de los sistemas.
En lo relativo al control de la seguridad, la auditora informtica debe
contemplar tres vertientes:
Aspectos generales. En este caso estamos hablando del control de los
elementos que aunque, no se consideran parte intrnseca del sistema s
que su falla afecta al mismo. Estamos hablando por ejemplo de la
seguridad en los suministros, de la seguridad fsica de las instalaciones.
Aspectos relativos a la confidencialidad y seguridad de la informacin,
es decir, el control y el acceso a la informacin.
Aspectos jurdicos y econmicos. En este sentido se habla de la
adecuacin de los sistemas a la normativa vigente y que sean de
aplicacin a estos y de su rentabilidad.
La eficacia del sistema informtico debe venir determinada por la
aportacin a la organizacin de una informacin vlida, exacta, completa,
actualizada y disponible en el momento adecuado y para el personal adecuado. La
medicin debe realizarse en trminos de calidad, plazo y coste. Sin el control
adecuado, y eso incluye auditoras, no sera posible certificar que se consiguen
estos objetivos y podra tener graves repercusiones en la correcta gestin de la
organizacin.
Con relacin a la rentabilidad del sistema informtico, una auditora debe
revisar que el sistema asegure el equilibrio entre riesgos, costes de seguridad y los
costes del propio sistema. stos ltimos, deben ser valorados en trminos
econmicos mediante el anlisis de tres datos:
25

Evaluacin de los costes reales. Se busca determinar en trminos
econmicos los costes que para una empresa supone el sistema de
informtico, cuantificando los costes de los distintos elementos que
componen el sistema informtico (hardware, software, aplicaciones,
personal)
Comparacin de los costes reales con magnitudes representativas de la
organizacin. Esto constituye una valiosa informacin que deber ser
especificada en las conclusiones de la auditora informtica y que
deber tener incidencia en los planteamientos de futuro.
Comparacin de los costes del sistema informtico de la empresa con
los de empresas similares.
3. reas de la auditora informtica

En el momento de llevar a cabo una auditora informtica, debemos
entender que puede ser (y en la mayora de los casos as se hace) una auditora de
algunas de las reas en las que puede dividirse una auditora informtica y que
dependen de la variedad de actividades informticas que se lleven a cabo dentro
de una empresa, y de los procesos que estas ejecutan y que se apoyan en el uso
intensivo de tecnologa informtica
Al revisar la bibliografa, nos encontramos con varias clasificaciones de las
reas de la auditora informtica y que tradicionalmente se han asociado a las
funciones llevadas a cabo por el departamento de informtica de las empresas.
De manera general varios autores sugieren la siguiente clasificacin: auditora de
la explotacin u operacin, auditora de sistemas, auditora de desarrollo de
proyectos, auditora de comunicaciones y redes y auditora de seguridad.
A efectos de este apartado hemos tomado como referencia la clasificacin,
expuesta en el libro Auditora de tecnologas y sistemas de informacin, de
Mario G Piattini y Emilio del Peso, que consideramos ha evolucionado con
respecto a las clasificaciones tradicionales y presenta un enfoque ms moderno
de la auditora informtica y mayor especificidad en sus reas de aplicacin. Dicha
26

clasificacin ha sido tomada de y adaptada de [PIAT 08]
y se presenta a
continuacin:
Auditora de outsourcing.
Auditora fsica
Auditora de la direccin
Auditora de explotacin
Auditora de Bases de Datos
Auditora de Tcnica de Sistemas
Auditora de la seguridad
Auditora de redes
Auditora de Internet
Auditora de Aplicaciones
Auditora del desarrollo y mantenimiento de sistemas informticos
Auditora de la video vigilancia.
Auditora reglamentaria de los datos de carcter personal.
En los siguientes apartados vamos a desarrollar algunas reas de auditora,
que nos pueden parecer especialmente significativas o relevantes bien por el rea
que tocan o bien por el enfoque que utilicen.
3.1. Auditora Fsica

La Auditora Fsica, al igual que cualquier otra rea de una auditora
informtica, no difiere de una Auditora General ms que en el alcance de la
misma.
La seguridad debe vigilar tres tipos de seguridad: la seguridad lgica, la
seguridad fsica y la seguridad de las comunicaciones, aunque las fronteras que
delimitan estas tres seguridades es bastante difusa. En lo que concierne a la
seguridad fsica, debe garantizar la integridad de los activos humanos, lgicos y
materiales y para ello, debe tener preparadas las tres medidas -en orden
cronolgico- que deben ponerse en funcionamiento si se produce un riesgo de
fallo: antes, durante y despus.
27

Antes, es decir, el conjunto de acciones que se pueden llevar a cabo para

evitar el fallo o, de no ser posible, aminorar las consecuencias que pueda tener.
Durante, ejecutando un Plan de Contingencia adecuado que debe ser el
resultado de realizar un Anlisis de Riesgos adecuado, de establecer perodos
crticos de recuperacin y de determinar adecuadamente los objetivos de
recuperacin.
Despus, para que una vez que haya sucedido el fallo, se pueda compensar
en la medida de lo posible, las prdidas, gastos o responsabilidades que se
puedan derivar. Esto lo vienen a compensar los contratos de seguro.
Respecto a las reas que debe tratar una auditora fsica, si usamos un
orden basado en la lgica de fuera adentro, el edificio sera la primera rea a
tener en cuenta en una Auditora Fsica. Cabe suponer que el auditor informtico
no tiene los conocimientos suficientes para detectar el estado actual de la
infraestructura y diagnosticar sus defectos y vicios, por lo que se debe prever la
ayuda de un perito independiente.
Las reas que el auditor s que debe analizar personalmente, siempre
considerando el aspecto fsico de la seguridad, son:
Organigrama de la empresa
Auditora interna
Administracin de la seguridad
Centros de procesos de datos e instalaciones
Equipos y comunicaciones
Ordenadores personales
Seguridad fsica del personal
3.2. Auditora de la Direccin

Esta rea de auditora debe revisar que la direccin de informtica de
cualquier organismo y/o entidad funcione de manera adecuada, es decir,
planifique, organice, coordine y controle adecuadamente.
28

Planificacin: La auditora, deber examinar el proceso de planificacin de
sistemas de informacin y evaluar si se cumplen los objetivos del mismo. Para ello
deber evaluar:
Si el proceso de planificacin est alineado con el plan estratgico de

la empresa, estableciendo mecanismos de sincronizacin entre los
hitos empresariales y los proyectos informticos que estn asociados.
As mismo, se deber evaluar si se presta la consideracin necesaria a
las nuevas tecnologas informticas.
Si se ha realizado una adecuada asignacin de recursos para llevar
a cabo las tareas y actividades recogidas en el Plan
Organizacin y coordinacin: En este punto, la auditora de direccin debe

revisar la existencia de flujos de informacin con el resto de las reas del
organismo y/o entidad as como aspectos intrnsecos de la propia funcin de
direccin.
Control y seguimiento: La tarea de dirigir no puede considerarse completa sin
esta ltima fase, que es parte indisoluble de esta responsabilidad. Se debe
vigilar y controlar que se cumplen todos los puntos que se han tratado
anteriormente. Para poder hacer esta labor, se convierte en recomendable la
existencia de estndares de rendimiento con los que comparar cada una de
las tareas. La direccin de informtica no debe dejar nunca de lado, que el
cumplimiento de sus actividades se lleve a cabo dentro del respeto a la
normativa legal de aplicacin.
3.3. Auditora de la Explotacin

Podemos considerar que un sistema de informacin (SI) es un conjunto de
componentes que interactan para que una organizacin pueda alcanzar sus
objetivos de manera satisfactoria.
Utilizando la clasificacin del proyecto CoBiT, podemos concluir que los
componentes de un SI son:
29

Datos.- Se consideran datos tanto los estructurados como los no
estructurados, es decir, imgenes, sonidos, etc.
Aplicaciones.- Tanto las manuales como las informativas.
Tecnologa.- Software y hardware; sistemas operativos, de gestin de
bases de datos, de redes,
Instalaciones.- Donde se ubican y mantienen los SI.
Personal.- Los conocimientos especficos que deben tener para
planificar, organizar, administrar y gestionar los SI.
Estos recursos se deben utilizar de forma y manera que posibiliten la
eficacia y eficiencia de la organizacin de la empresa y que asegura la
confidencialidad de los datos.
Para poder hacer el seguimiento y comprobar que el SI funciona como se
debe, ste deber disponer de un control interno que prevenga los eventos no
deseados o si esto no es posible los detecte y los corrija.
Segn las recomendaciones que se incluyen en la Gua del Proyecto CoBiT,
el objetivo general de la auditora consiste en: Asegurarse que las funciones que
30

sirven de apoyo a las Tecnologas de la Informacin se realizan con regularidad, de
forma ordenada y satisfaciendo los requisitos empresariales.
En funcin de la importancia de los riesgos que se hayan detectado, se
determinarn los objetivos de auditora, que se debern determinar
concretamente para definir con claridad el alcance de la misma.
3.3.1. Control interno
Vamos a hacer en este apartado una mencin especial a la definicin de
control interno dentro de un SI. Todo SI debe disponer de un control interno que
prevenga los eventos no deseados o si esto no es posible, los detecte y los corrija.
Tradicionalmente se ha distinguido entre controles generales y controles de
aplicacin.
LA AICPA (American Institute of Charter Public Accountants), public en la
Norma nmero 48 (1984) la definicin de controles generales como aquellos
que estn relacionados con todas o con la mayora de las actividades contables
informatizadas, que generalmente incluyen controles del desarrollo de las
modificaciones y del mantenimiento de programas informticos y controles de la
utilizacin y modificacin de los datos que se mantienen en ficheros
informticos.
El Registro de Economistas y Auditores public en enero de 1996
el
informe El estudio y evaluacin del control interno en entornos informatizados,

en el que dice que: Los controles generales son una parte del entorno general de
control y son aquellos que afectan a toda la informacin por igual y a la
continuidad de servicio de la organizacin. La debilidad o ausencia de estos
controles puede tener un impacto significativo en la integridad y exactitud de los
datos. Tambin se consideran controles generales aquellos relacionados con la
proteccin de los activos: la informacin resultante, los elementos fsicos del
hardware y el software.
Por otra parte, los controles de aplicacin son aquellos relacionados con la
captura, entrada y registro de datos en un sistema informtico y los relacionados
con su procesamiento, clculo, salida de informacin y su distribucin.
31

En el proceso de auditora se deber evaluar el nivel de control interno as
como juzgar si los procedimientos establecidos son adecuados para salvaguardar
el SI.
Se define control, segn el informe COSO, como el conjunto de normas,
procedimientos, prcticas y estructuras organizativas diseadas para proporcionar
seguridad razonable de que los objetivos de las empresas se alcanzarn y que los
eventos no deseados se prevern, se detectarn y se corregirn.
3.4. Auditora de Bases de Datos

Queremos hacer especial mencin en este apartado, a la manera en que el
profesor Mario Piattini plantea la realizacin de una auditora de Bases de Datos.
Para auditar un entorno de base de datos, o cualquier otro entorno o rea
podemos emplear una metodologa tradicional basada en el uso de checklist,
como herramienta bsica de trabajo o bien utilizar una metodologa de evaluacin
de riesgos (objetivos de control, tcnicas de control, pruebas de cumplimiento y
pruebas sustantivas), que es la que se propone en ISACA y que es el objeto final
de este trabajo.
3.4.1. Objetivos de control en el ciclo de vida de una Base de
Datos
En la siguiente figura reflejamos el ciclo de vida de una base de datos, segn
los modelos propuestos por ISACA, Menkus y CoBiT, que vamos a desarrollar
brevemente.
32

Figura 2.2. Ciclo de vida de una Base de Datos
Fase I: Estudio previo y plan de trabajo

En esta primera fase se debe elaborar un estudio de viabilidad que
contemple las distintas alternativas existentes, incluyendo la no realizacin del
proyecto o la posibilidad de comprar en lugar de desarrollar, que contemple un
anlisis de coste-beneficio.
El auditor deber comprobar la existencia de este estudio, adems de si son
revisados por la direccin, que es la que decide si se sigue con el proyecto o no.
En caso en que se decida seguir adelante con el proyecto, el auditor
verificar que se establece un plan de trabajo (plan director), y que adems se
emplea para el seguimiento y la gestin del proyecto.
Fase II: Concepcin de la base de datos y seleccin del equipo
En el proceso de auditora se deber analizar la metodologa de diseo y
verificar si es adecuada o no, as como comprobar su correcta utilizacin.
Fase III: Diseo y carga
33

El proceso de auditora deber verificar que los diseos lgico y fsico de la
base de datos- se han realizado correctamente. Se deber comprobar si la
definicin de los datos contempla no slo la estructura de los mismos, sino las
asociaciones y las restricciones que les afecten, as como las cuestiones relativas a
su seguridad. En el proceso de auditora se deber comprobar tambin, en el caso
en el que las definiciones sean correctas, que han sido aprobadas por el usuario.
Fase IV: Explotacin y mantenimiento
En esta cuarta fase, el proceso de auditora debe verificar que existen los
mecanismos de explotacin y mantenimiento que aseguren que los datos son
tratados de manera congruente y que el contenido slo se modifica una vez
conseguida la autorizacin adecuada.
Fase V: Revisin post-implantacin
Esta ltima fase, que no se lleva a cabo en bastantes organizaciones, deber
establecer el desarrollo de un plan que evale si se han conseguido los resultados
esperados, si se han satisfecho las necesidades de los usuarios y si la relacin
coste/beneficio coincide con la prevista.
3.5. Auditora del outsourcing de los Sistemas de Informacin

El outsourcing de los Sistemas de Informacin, se ha ido convirtiendo en un
proceso ms en la actividad habitual de cualquier organizacin a la hora de
gestionar las Tecnologas de la Informacin.
Es por lo tanto, un rea ms que se debe auditar y cuya necesidad de llevar
a cabo un proceso de auditora en el mbito de una organizacin, vendr dado por
el resultado que se obtenga del anlisis de riesgos que se lleve a cabo, que debe
ser el que detecte los procesos que se encuentren en un rgimen de outsourcing.
Adems, tal y como indica la Ley Sarbanes-Oxley: los servicios que se
desarrollan bajo outsourcing tecnolgico son parte del conjunto de operaciones y
responsabilidades de las empresas y necesitan ser consideradas dentro del marco
de control interno.
En un outsourcing de los SI, se formaliza un pacto o convenio entre partes
que se recoge en un contrato, en el que se obligan al cumplimiento de una serie
34

de servicios sobre una materia determinada (en el caso que nos ocupa sera
servicios informticos, de informacin o tecnolgicos). En el contrato deber
figurar un Acuerdo de Nivel de Servicio, que recoge el nivel de servicios que deben
prestarse y que se considerarn como adecuados por ambas. Es decir, deben
posibilitar una medida objetiva de la calidad de la prestacin de los servicios
contratados. A estas medidas objetivas, es a lo que se llama Indicadores de Nivel
de Servicio.
4. Metodologa general de auditora informtica

La auditora informtica como proceso formal, el cual es ejecutado por
especialistas del rea de auditora tal y como se expone en [UCMA 09], es un
proceso metodolgico, que tiene el propsito de evaluar los recursos humanos,
tecnolgicos, materiales, financieros que estn relacionados con la funcin de
informtica, para garantizar que se opere con criterios de integracin y
desempeo altamente satisfactorios y que tambin apoyen la productividad y la
rentabilidad de la organizacin.
4.1. Proceso metodolgico en una auditora informtica

Anteriormente nos hemos referido a la auditora informtica como un
proceso formal, el cual debe llevar a cabo los procesos, tareas y actividades
mediante una metodologa.
No es recomendable basar el proceso de auditora nicamente en la
experiencia, habilidades y criterios sin que exista una referencia metodolgica.
Esta metodologa debe ser entendida y aceptada por todas las partes implicadas
en el proceso de auditora.
No obstante, tampoco el uso de una metodologa garantiza por s sola el
xito de los proyectos de auditora, tambin se requiere un buen dominio y uso
constante de los siguientes aspectos complementarios, como se indica en [UCMA
09]:
35

Tcnicas
Herramientas de productividad
Habilidades personales
Conocimientos tcnicos y administrativos
Experiencia en los campos de auditora e informtica
Conocimiento de los factores de negocio y del medio externo al mismo
Actualizacin permanente
Comunicacin con asociaciones relacionadas
4.2. Etapas de la metodologa de auditora

A continuacin presentamos una ruta posible a seguir en una metodologa
de auditora, la cual ha sido sugerida en [UCMA 09], [HERN 00] y [ECHE 97].
Es importante mencionar que la metodologa que se describe a
continuacin es de mbito general y que existen metodologas especficas y
reconocidas para realizar una auditora informtica, al igual que estndares y
normativa asociada; esta metodologa se presenta como un marco de trabajo que
permite abordar una auditora.
Cada una de las etapas indicadas a continuacin se ha tomado de [UCMA
09], [HERN 00] y [ECHE 97].
36

1. Etapa
preliminar o
de
diagnstico
7.
Presentacin
del informe
final
2. Etapa de
justificacin
3. Etapa de
adecuacin
6. Etapa de
implementacin
5. Etapa de
desarrollo
4. Etapa de
formalizacin
Figura 2.3. Etapas de una metodologa de auditora
4.2.1. Etapa preliminar o de diagnstico

En este primer paso, se hace un diagnstico del negocio, que incluye a la
direccin y las reas usuarias.
De la direccin, se intenta poder saber el grado de satisfaccin y confianza
que tiene en los productos, servicios y recursos informticos. Este primer paso,
tambin sirve para detectar las fortalezas, aciertos y apoyos que brinda la funcin
de informtica y las oportunidades de negocio que sta puede ofrecer para
hacerle ms competitivo.
37

4.2.2. Etapa de justificacin
En esta segunda etapa, se elabora el documento que va a ser fundamental
para la aprobacin del proyecto de auditora.
Este documento contendr el resultado de las siguientes tres tareas:
La matriz de riesgo: que contempla las reas a auditar,
El tiempo sugerido para hacerlo: plan de auditora informtica y
El visto bueno o compromiso ejecutivo.
4.2.3. Etapa de adecuacin
Esta etapa puede definirse como un conjunto de tareas estructuradas para
que el proyecto de auditora informtica se adapte a las necesidades de la
empresa que se est evaluando, sin olvidar en ningn caso la referencia a los
estndares, polticas y procedimientos de auditora que son siempre aceptados y
recomendados por las asociaciones relacionadas con el proceso.
4.2.4. Etapa de formalizacin
Al trmino del desarrollo de las etapas ejecutadas hasta el momento
preliminar, justificacin y adecuacin-, el auditor habr obtenido una fotografa
de la situacin actual de la empresa y de la funcin de informtica, que refleje las
debilidades y fortalezas ms relevantes. As mismo, se ha definido la planificacin
y proyeccin de las reas que se van a auditar y se han documentado las
actuaciones. Es en esta etapa en la que la direccin da su aprobacin y apoyo
formal para el desarrollo del proyecto de auditora.
4.2.5. Etapa de desarrollo
En esta etapa, el auditor va a ejercer su funcin de manera prctica, es
decir, comienza la ejecucin propia de las tareas y, aplicando sus conocimientos y
experiencias, de acuerdo con el plan aprobado en la etapa anterior, conseguir un
informe final cuyo seguimiento suponga beneficios tangibles para el negocio.
38

4.2.6. Etapa de implementacin
Finalizadas todas las tareas anteriores, se ha llegado al arranque de la etapa
de implantacin. En este punto, finaliza la tarea del auditor propiamente dicha y
empieza para los responsables de las reas usuarias afectadas y el responsable de
la funcin informtica. Estas personas son las responsables de poner en marcha
las acciones recomendadas y aprobadas por la direccin. La funcin del auditor
pasa a ser la de seguimiento y apoyo.
4.2.7. Presentacin del informe final
La funcin de auditora se materializa nica y exclusivamente por escrito.
Por tanto, el informe final es el exponente de la calidad de la misma.
El informe final de auditora debe comenzar con la fecha de inicio de la
auditora y la fecha de redaccin del mismo. Tiene como destinatario exclusivo al
responsable mximo de la empresa, o la persona o personas que encargaron la
auditora y se debern entregar tantas copias como solicite el cliente.
4.3. Principales pruebas y herramientas para efectuar una auditora

informtica
En la realizacin de una auditora informtica el auditor puede realizar las
siguientes pruebas, de acuerdo a lo expuesto en [OOCI 03], [CARI 06]:
Pruebas clsicas: Consisten en probar las aplicaciones / sistemas con datos

de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen
paquetes que permiten la realizacin de estas pruebas.
Pruebas sustantivas: Aportan al auditor suficientes evidencias para que se
pueda realizar un juicio imparcial. Se suelen obtener mediante observacin,
clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y
conciliaciones. Verifican asimismo la exactitud, integridad y validez de la
informacin obtenida.
39

Pruebas de cumplimiento: Determinan si el sistema evaluado funciona
adecuadamente, de acuerdo a la documentacin revisada, segn declaran los
auditados y segn las polticas y procedimientos de la organizacin.
Las principales herramientas de las que dispone un auditor informtico para

la realizacin de estas pruebas son:
Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujogramas
Listas de comprobacin de realizacin de requisitos
Mapas conceptuales
Software
5. Evolucin de la funcin de auditora informtica

Tal y como se sugiere en [NAVA 10], cada vez con mayor frecuencia las
empresas y organismos, someten sus sistemas informticos a auditoras, entre
otras cosas debido a la obligatoriedad que establece (en algunos casos), por
ejemplo en Espaa, la Ley Orgnica de Proteccin de Datos LOPD- .
En un principio, la informtica se orient al apoyo de reas tales como
contabilidad, nminas, finanzas; a partir de la necesidad de conocer y medir el
apoyo que la misma realizaba en las reas antes mencionadas y, en el entorno
organizacional en general, se origin el proceso que se denomin auditora de
sistemas de informacin o auditora de sistemas.
Con el desarrollo de las tecnologas de la informacin y su creciente
incorporacin en las actividades empresariales, los profesionales encargados de
llevar a cabo las auditoras de sistemas se vieron abocados a cambiar el enfoque
con el cual se llevaban hasta ahora las auditorias.
40

De esta manera, surgi la necesidad del replanteamiento de la auditora de
sistemas y pasar al concepto de auditora informtica. sta adems de encargarse
de la auditora de sistemas como antes definida- se encargara tambin de
evaluar y verificar polticas, controles, procedimientos y seguridad en los recursos
dedicados al manejo de la informacin.
41

CAPTULO III:
El Anlisis y
la Gestin de
Riesgos
42

1. Conceptos generales
Para iniciar el estudio del anlisis y la gestin de riesgos es preciso
comenzar definiendo lo que es riesgo; quizs podemos tener una definicin
intuitiva de lo que en trminos generales es un riesgo, pero cuando hablamos
de seguridad y de anlisis de riesgos debemos ir ms all y acudir a fuentes que
nos ofrezcan una buena definicin.
Podemos empezar haciendo mencin a la definicin que hace la Real
Academia Espaola de la Lengua; en su primera acepcin lo define como
contingencia o proximidad de un dao y en la segunda como cada una de las
contingencias que pueden ser objeto de un contrato de seguro.
En el contexto empresarial se define riesgo como: los factores,
acontecimientos, tanto internos como externos, a los que est expuesta la
empresa y, que ponen en peligro la consecucin de los objetivos.
Tambin podemos definirlo como: incertidumbre de la ocurrencia de un
suceso con efectos negativos y de la magnitud de dichos efectos. Otras
variedades de interpretacin hablan de: posibilidad de que exista un dao o
contratiempo, conjunto de circunstancias de pueden disminuir el beneficio,
eventualidad que imposibilita el cumplimiento de un objetivo y as seguramente
podramos seguir durante algunos prrafos ms.
Si centramos la definicin de riesgo en el campo del presente trabajo, la
tecnologa informtica (sistemas de informacin), cuando se habla de riesgo se
plantea como amenaza, determinando el grado de exposicin a la ocurrencia de
una prdida (el riesgo de perder la informacin de un disco duro por un virus, por
ejemplo).
Si bien existen mltiples definiciones abordadas por diferentes normas y
estndares nos quedaremos con las siguientes definiciones para continuar en
nuestro estudio:
Magerit define riesgo como: La estimacin del grado de exposicin a que
una amenaza se materialice sobre uno o ms activos causando daos o
perjuicios a la Organizacin.
43

Por su parte el Centro Superior de Informacin de la Defensa, Glosario de
Trminos de Criptologa, del Ministerio de Defensa, define riesgo como:
La probabilidad de que una vulnerabilidad propia de un sistema de
informacin sea explotada por las amenazas a dicho sistema, con el
objetivo de penetrarlo
En las definiciones anteriores se pueden identificar varios elementos
comunes, que se deben comprender adecuadamente para poder entender y
valorar en su integridad el concepto de riesgo.
Dichos elementos son: activo, amenaza, impacto, probabilidad y
vulnerabilidad, de los cuales presentamos su definicin a continuacin, de
acuerdo a algunas normas y/o estndares y entidades oficiales:
Activo [MAGE 06]: Recursos del sistema de informacin o
relacionados con ste, necesarios para que la Organizacin funcione
correctamente y alcance los objetivos propuestos por su direccin.
Amenaza [MAGE 06]: Eventos que pueden desencadenar un incidente
en la Organizacin, produciendo daos materiales o prdidas
inmateriales en sus activos.
En el Esquema Nacional de Seguridad encontramos la siguiente definicin:
Componente o funcionalidad de un sistema de informacin susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organizacin.
Incluye:
informacin,
datos,
servicios,
aplicaciones
(software),
equipos
(hardware), comunicaciones, recursos administrativos, recursos fsicos y recursos

humanos
Impacto [MAGE 06]: Consecuencia que sobre un activo tiene la
materializacin de una amenaza.
Probabilidad: segn el diccionario de la Real Academia Espaola de la
Lengua, sera la razn entre el nmero de casos favorables (yo dira
tratndose de riesgos que desfavorables) y el nmero de casos
posibles. Estamos ante el estudio cuantitativo y/o cualitativo del
nmero de veces que la amenaza puede materializarse.
44

Vulnerabilidad [MAGE 06]: Estimacin de la exposicin efectiva de
un activo a una amenaza. Se determina por dos medidas: frecuencia de
ocurrencia y degradacin causada.
Figura 3.1 Relacin conceptos riesgo [AVEL 08]
Una vez expuestos los conceptos bsicos relacionados con los riesgos,
ahora pasamos a realizar un estudio del anlisis de riesgos como proceso, para lo
cual empezaremos definiendo el anlisis de riesgos, como lo hemos hecho hasta
ahora, basados en conceptos emitidos por organizaciones oficiales.
45

2. El anlisis de riesgos. Definicin

En Magerit Versin 2.0, el anlisis de riesgos se ha definido como: Proceso
sistemtico para estimar la magnitud de los riesgos a que est expuesta una
Organizacin. [MAGE 06]
Dentro de Magerit versin 1.0, encontramos una definicin un poco ms
amplia, que agrupa varios de los conceptos estudiados hasta ahora, y define el
anlisis de riesgos como: Identificacin de las amenazas que acechan a los
distintos componentes pertenecientes o relacionados con el sistema de
informacin (conocidos como activos); para determinar la vulnerabilidad del
sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que
una seguridad insuficiente puede tener para la organizacin, obteniendo cierto
conocimiento del riesgo que se corre, [MAGE 97].
En la norma ISO 27002 [ISO/IEC 05], se define como: Proceso mediante el
cual se identifican las amenazas y las vulnerabilidades en una organizacin, se
valora su impacto y la probabilidad de que ocurran.
Si bien son definiciones presentadas por diferentes organizaciones y
estndares, podemos observar que su esencia es similar y que nos dan los
elementos necesarios para abordar el anlisis de riesgos como el proceso que nos
permitir identificar y evaluar los riesgos a los que est expuesta una
organizacin.
2.1. Objetivo del anlisis de riesgos

Es importante para una organizacin tener claridad en cuanto a lo que
espera al llevar a cabo un anlisis de riesgos. Para ello se han identificado los
principales objetivos que se persiguen al realizar un anlisis de riesgos de acuerdo
a lo expuesto en, [GOME 03]:
Identificar, evaluar y manejar los riesgos de seguridad.
Estimar la exposicin de un activo a una amenaza determinada.
46

Determinar cul combinacin de medidas de seguridad proporcionar un
nivel de seguridad razonable a un costo aceptable.
Tomar mejores decisiones en seguridad informtica.
Enfocar recursos y esfuerzos en la proteccin de los activos.
2.2. Fases del anlisis de riesgos

Si bien existen diferentes metodologas que indican cmo llevar a cabo un
anlisis de riesgos, de forma general y sin hacer referencia a ninguna metodologa
en particular, el proceso de anlisis de riesgos debe contemplar las siguientes
fases segn lo expuesto en, [GOME 03]:
Determinar los activos relevantes para la Organizacin
Valorar los activos identificados
Determinar las amenazas a las que estn expuestos los activos
Estimar el impacto de la amenaza
Calcular el nivel de riesgo. Estimar el riesgo.
El anlisis de riesgos clasifica los riesgos identificados y proporciona datos
para la evaluacin y el tratamiento de los mismos. En el anlisis del riesgo no slo
se tienen en cuenta las fuentes del riesgo sino que tambin deben considerarse
las consecuencias que puedan provocar la materializacin del riesgo y las
probabilidades de que dicha materializacin ocurra.
El anlisis de riesgos (o del riesgo) tiene como objetivo identificar los
riesgos (mediante la identificacin de sus elementos) y lograr establecer el Riesgo
Total (o exposicin bruta al riesgo) y el Riesgo Residual (Riesgo remanente en el
sistema tras la implantacin de las salvaguardas determinadas en el plan de
seguridad de la informacin [MAGE 06]), bien sea en trminos cuantitativos o en
trminos cualitativos.
Realizar un correcto anlisis de riesgos es indispensable para lograr una
gestin adecuada de los mismos. Los riesgos necesitan ser analizados para decidir
cules son los factores de riesgo que potencialmente tendran un mayor efecto y
por tanto necesitan ser tratados o gestionados.
47

Una vez llevadas a cabo las fases del anlisis de riesgos se obtendr un
mapa de los riesgos a los que est expuesta una organizacin y se proceder a su
gestin o tratamiento.
En la figura 3.2, se puede observar el marco del anlisis de riesgos.
Figura 3.2. Marco del anlisis de riesgos. [MAGE 06]
3. La gestin de riesgos
Una vez conceptualizado el anlisis de riesgos, ahora entraremos a definir
lo que es la gestin de riesgos, como el proceso que nos permitir tratar los riegos
identificados y mitigar su impacto.
48

En Magerit [MAGE 06], se define la gestin de riesgos como la Seleccin e
implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar
los riesgos identificados.
Seleccin e implantacin de las medidas o salvaguardas de seguridad
adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos
identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios. La
gestin de riesgos se basa en los resultados obtenidos en el anlisis de los riesgos.
3.1. Fases de la gestin de riesgos

De forma general, la gestin de riesgos sigue las siguientes fases:
Determinacin de los criterios de aceptacin del riesgo
Determinacin
de
las
medidas
de
seguridad
necesarias
(establecimiento de salvaguardas).
Estimacin del impacto residual
Estimacin del nivel de riesgo residual
La gestin de riesgos permite tomar las decisiones necesarias para el
tratamiento de los riesgos, definiendo las salvaguardas necesarias para mitigar o
impedir los riesgos identificados.
Pero no basta solo con determinar dichas salvaguardas, es necesario
evaluarlas para lo cual, se debe evaluar el impacto de las amenazas identificadas
en el anlisis de riesgos, tras aplicar las medidas de seguridad o salvaguardas, lo
cual determinar el impacto residual, que es el impacto remanente en el sistema
tras la implantacin de las salvaguardas determinadas en el plan de seguridad de
la informacin, [MAGE 06]), si las salvaguardas aplicadas son eficaces, el impacto
residual en este punto debera ser despreciable.
De igual forma se debe realizar una estimacin del nivel de riesgo residual,
que es el riesgo remanente en el sistema tras la implantacin de las salvaguardas
determinadas en el plan de seguridad de la informacin, [MAGE 06]. De igual
forma que con el impacto residual, si las salvaguardas aplicadas son eficaces, el
riesgo residual en este punto debera ser despreciable.
49

Si tanto el impacto como el riesgo residual tuviesen un nivel importante, es
necesario revisar el anlisis de riesgos efectuado y repetir el proceso.
Figura 3.3. Marco de la gestin de riesgos. [MAGE 06]
4. El anlisis y gestin de riesgos en su contexto

Tal y como se indica en [MAGE 06], las tareas de anlisis y gestin de
riesgos no son un fin en s mismas sino que se encajan en la actividad continua de
gestin de la seguridad.
El anlisis de riesgos permite determinar cmo es, cunto vale y cmo de
protegidos se encuentran los activos. En coordinacin con los objetivos, estrategia
y poltica de la organizacin, las actividades de gestin de riesgos permiten
elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos
propuestos con el nivel de riesgo que se acepta la direccin.
La implantacin de los controles de seguridad requiere una organizacin
gestionada y la participacin informada de todo el personal que trabaja con el
50

sistema de informacin. Es este personal el responsable de la operacin diaria, de
la reaccin ante incidencias y de la monitorizacin en general del sistema para
determinar si satisface con eficacia y eficiencia los objetivos propuestos.
Este esquema de trabajo debe ser repetitivo pues los sistemas de
informacin rara vez son inmutables; ms bien se encuentran sometidos a
evolucin continua tanto propia (nuevos activos) como del entorno (nuevas
amenazas), lo que exige una revisin peridica en la que se aprende de la
experiencia y se adapta al nuevo contexto.
El anlisis de riesgos proporciona un modelo del sistema en trminos de
activos, amenazas y salvaguardas, es la piedra angular para controlar todas las
actividades con fundamento. La gestin de riesgos es la estructuracin de las
acciones de seguridad para satisfacer las necesidades detectadas por el anlisis.
5. Cundo procede analizar y gestionar los riesgos

Conforme a lo expuesto en [MAGE 06], realizar un anlisis de riesgos es
laborioso y costoso. Levantar un mapa de activos y valorarlos requiere la
colaboracin de muchos perfiles dentro de la Organizacin, desde los niveles de
gerencia hasta los tcnicos. Y no solo es que haya que involucrar a muchas
personas, sino que hay que lograr una uniformidad de criterio entre todos pues, si
importante es cuantificar los riesgos, ms importante an es relativizarlos. Y esto
es as porque tpicamente en un anlisis de riesgos aparecen multitud de datos. La
nica forma de afrontar la complejidad es centrarse en lo ms importante
(mximo impacto, mximo riesgo) y obviar lo que es secundario o incluso
despreciable.
Un anlisis de riesgos es recomendable en cualquier Organizacin que
dependa de los sistemas de informacin y comunicaciones para el cumplimiento
de su misin. En particular en cualquier entorno donde se practique la tramitacin
electrnica de bienes y servicios, sea en contexto pblico o privado. El anlisis de
riesgos permite tomar decisiones de inversin en tecnologa, desde la adquisicin
de equipos de produccin hasta el despliegue de un centro alternativo para
51

asegurar la continuidad de la actividad, pasando por las decisiones de adquisicin
de salvaguardas tcnicas y de seleccin y capacitacin del personal.
El anlisis de riesgos es una herramienta de gestin que permite tomar
decisiones. Las decisiones pueden tomarse antes de desplegar un servicio o con
ste funcionando. Es muy deseable hacerlo antes, de forma que las medidas que
haya que tomar se incorporen en el diseo del servicio, en la eleccin de
componentes, en el desarrollo de las aplicaciones y en los manuales de usuario.
Todo lo que sea corregir riesgos imprevistos es costoso en tiempo propio y ajeno,
lo que puede ir en detrimento de la imagen prestada por la Organizacin y puede
suponer, en ltimo extremo, la prdida de confianza en su capacidad.
52

CAPTULO IV:
Estndares,
Marcos de
Trabajo y
Guas y
Normas para
la Auditora
de Sistemas
de
Informacin
53

1. Introduccin
En el campo de la auditora informtica existen diversas metodologas,
estndares y marcos de trabajo, que ofrecen las pautas necesarias de un lado para
asegurar estos sistemas a travs del establecimiento de controles, y por otro para
realizar tareas de auditora. En este trabajo abordaremos aquellos de mayor
relevancia tanto en el mbito nacional como internacional y que se ajustan a los
objetivos y mbito del trabajo.
Iniciaremos nuestro estudio con la familia ISO 27000 que ofrece un
conjunto de estndares que permite el aseguramiento, control y adecuada
gestin de la seguridad de la informacin y de los sistemas a travs de los cuales
esta es procesada y transmitida; de especial inters para el trabajo son los
estndares ISO/ IEC 27001, 27002, 27002, 27005 (que ser tratado en el captulo
V) y 27007, este ltimo estndar especfico para auditora de un Sistema de
Gestin de Seguridad de la Informacin.
Abordaremos dos marcos de trabajo y de buenas prcticas como son CoBiT
e ITIL, el primero de inters como marco de trabajo de control interno para
Tecnologas de la Informacin y el segundo ofrece un conjunto de mejores
prcticas destinadas a facilitar la entrega de servicios de tecnologas de la
informacin de forma eficaz, segura y controlada.
Tambin estudiaremos la auditora de sistemas de informacin, dentro del
Esquema Nacional de Seguridad, como un referente de prcticas recomendadas a
ser aplicadas dentro de la administracin pblica.
Finalmente abordaremos las guas de auditora sugeridas y recomendadas
por instituciones reconocidas como son ISACA y The Institute of Internal Auditors
-IIA-, las cuales ofrecen directrices generales para llevar a cabo una auditora
informtica.
54

2. La familia ISO/IEC 27000
ISO/IEC 27000 es un conjunto de estndares desarrollados (algunos en fase
de desarrollo) por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de
organizacin, pblica o privada, grande o pequea. Los rangos de numeracin
reservados por ISO para esta serie van de 27000 a 27019 y de 27030 a 27044.
A continuacin se listan las normas que componen dicha serie, con una
breve descripcin de cada una. Posteriormente ampliaremos aquellas que sean de
particular importancia para el mbito de este trabajo, [AIFC 08].
ISO 27000: Contiene trminos y definiciones que se emplean en toda la
serie 27000.
ISO 27001: Es la norma principal de la serie y contiene los requisitos del
Sistema de Gestin de Seguridad de la Informacin (SGSI). Tiene su origen
en la BS 7799-2:2002 y es la norma con la cual se certifican, por auditores
externos, los SGSI de las organizaciones.
ISO 27002: Es el nuevo nombre de ISO 17799:2005, manteniendo 2005
como ao de edicin. Es una gua de buenas prcticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de
la informacin. No es certificable. Contiene 39 objetivos de control y 133
controles, agrupados en 11 dominios.
ISO 27003: Gua de implementacin de SGSI e informacin acerca del uso
del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus
diferentes fases.
ISO 27004: Gua de mtricas y tcnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados. Estas
mtricas se usan fundamentalmente para la medicin de los
componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Gua de tcnicas para la gestin del riesgo de la seguridad de
la informacin y servir, por tanto, de apoyo a la ISO 27001 y a la
implantacin de un SGSI. Recoge partes de ISO/IEC TR 13335.
55

ISO 27006: Requisitos para la acreditacin de entidades de auditora y
certificacin de sistemas de gestin de seguridad de la informacin.
ISO 27007: Gua de auditora de un SGSI.
ISO 27011: Gua de gestin de seguridad de la informacin especfica para
telecomunicaciones.
la industria automotriz.
la asociacin mundial de loteras.
sistemas de informacin en los transportes.
ISO 27031: Gua de continuidad de negocio en cuanto a tecnologas de la
informacin y comunicaciones.
ISO 27032: Gua relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad de
redes, arquitectura de seguridad de redes, escenarios de redes de
referencia, aseguramiento de las comunicaciones entre redes mediante
gateways, acceso remoto, aseguramiento de comunicaciones en redes
mediante VPNs y diseo e implementacin de seguridad en redes.
Proviene de la revisin, ampliacin y renumeracin de ISO 18028.
ISO 27034: Gua de seguridad en aplicaciones.
ISO 27799: Estndar de gestin de seguridad de la informacin en el
sector sanitario aplicando ISO 17799 (actual ISO 27002).
2.1. ISO/IEC 27001: Tecnologas de la informacin Tcnicas de

Seguridad - Sistemas de Gestin de la Seguridad de la
Informacin (SGSI). Requisitos
La norma ISO/IEC 27001, [ISO/IEC 05a], especifica los requisitos para
establecer, implantar, documentar y evaluar un Sistema de Gestin de la
Seguridad de la Informacin (SGSI), de acuerdo a la Norma ISO 27002, dentro del
56

contexto de los riesgos identificados por la Organizacin, [INTE 10]. Esta norma es
aplicable a cualquier tipo de organizacin.
La norma ISO/IEC 27001 est basada en un enfoque por procesos y en la
mejora continua. Es, por lo tanto, compatible e integrable con el resto de sistemas
de gestin que ya existan en una organizacin.
ISO 27001 est basada en el modelo de proceso Plan-Do-Check-Act
(Planificar-Hacer-Chequear-Actuar), tambin conocido como crculo de Deming y
que se resume en la figura 4.1.
Mejora y Actualizacin
del SGSI
Act
Plan
Definicin del SGSI
CICLO CONTINUO DE
MANTENIMIENTO Y
MEJORA
Check
Do
Supervisin y
Implementacin y
verificacin del SGSI
Operacin del SGSI
Figura 4.1. Ciclo Deming en la ISO/IEC 27001
De acuerdo al modelo PDCA mencionado, las etapas del SGSI definido por la
ISO 27001 son las que se relacionan a continuacin:
1. Plan (planificar): Definicin del SGSI:
Delimitacin del escenario que cubre el SGSI.
Definicin de la poltica de seguridad incluyendo objetivos y estrategia de
gestin de riesgos.
57

Diseo del mtodo de gestin de riesgos.
Evaluacin de riesgos inicial, delimitacin de riesgo residual.
Estado de aplicabilidad, definicin de controles y excepciones.
2. Do (hacer): Implementacin y operacin del SGSI:
Plan de accin para el tratamiento de los riesgos.
Implementacin de los controles.
Formacin y adiestramiento.
3. Check (chequear): Supervisin y verificacin del SGSI
Seguimiento de los objetivos marcados.
Adaptacin de buenas prcticas.
Programas de revisiones y auditoras.
4. Act (actuar): Mejora y actualizacin del SGSI
Adoptar acciones preventivas.
Adoptar acciones correctivas.
La norma ISO/IEC 27001, [ISO/IEC 05a], est estructurada en 9 captulos y
3 anexos:
Captulo 1. Introduccin: Generalidades e introduccin al mtodo PDCA.
Captulo 2. Alcance y campo de aplicacin: En este captulo se especifica el
alcance de la norma, la aplicacin y el tratamiento de exclusiones.
Captulo 3. Referencias Normativas: Se mencionan aquellas normas que
sirven de referencia y que son necesarias para la aplicacin de esta norma.
Captulo 4. Trminos y definiciones: Breve descripcin de los trminos ms
usados en la norma.
Captulo 5. Sistema de Gestin de la Seguridad de la Informacin: Captulo
que aborda aspectos de cmo crear, implementar, operar, supervisar, revisar,
mantener y mejorar el SGSI, as como establecer los requisitos de documentacin
y el control de la misma.
Captulo 6. Responsabilidad de la direccin: Indica la responsabilidad de la
direccin en cuanto a compromiso con el SGSI, gestin y provisin de recursos y
concienciacin, formacin y capacitacin del personal.
58

Captulo 7. Auditoras internas del SGSI: Este captulo trata de cmo
realizar las auditoras internas de control y cumplimiento.
Captulo 8. Revisin del SGSI por la direccin: En este captulo se
proporcionan las claves de actuacin para gestionar el proceso peridico de
revisin del SGSI por parte de la direccin.
Captulo 9. Mejoramiento del SGSI: Acciones de mejora continua, acciones
correctivas y acciones preventivas.
Anexo A. Objetivos de control y controles: Anexo normativo que enumera
los objetivos de control y controles que se encuentran detallados en la norma ISO
27002:2005.
Anexo B. Relacin con los Principios de la OCDE: Anexo informativo con la
correspondencia entre los apartados de la ISO 27001 y los principios de buen
gobierno de la OCDE.
Anexo C. Correspondencia con otras normas: Anexo informativo con una
tabla de correspondencia de clusulas con ISO 9001 e ISO 14001.

de Seguridad - Cdigo de buenas prcticas para la Gestin de la
Seguridad de la Informacin.
ISO/IEC 27002:2005, [ISO/IEC 05], es una gua de buenas prcticas que
describe los objetivos de control y controles recomendables en cuanto a
seguridad de la informacin. Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios que cubren aspectos especficos de la seguridad de la
informacin. Anteriormente esta gua era conocida como ISO 17799:2005, a partir
del 1 de Julio de 2007 es renombrada, manteniendo 2005 como ao de edicin,
esta norma no es certificable.
La norma est estructurada en 16 captulos de los cuales, los captulos del 0
al 4 tratan aspectos generales de la norma y los captulos del 5 al 15 tratan cada
uno de los 11 dominios, centrndose en un determinado aspecto de la seguridad
de la informacin. En la siguiente figura se muestra la distribucin de dichos
dominios y el aspecto de seguridad que cubren:
59

Figura 4.2. Distribucin de los dominios de la Norma ISO 27002. [INTE10]
A continuacin se presenta una breve descripcin de cada uno de los

captulos de la norma y se indican los objetivos de control y los controles para
cada dominio, los cuales han sido tomados y adaptados de [RUBI 09] y de
[ISO/IEC 05a]:
Captulo 0. Introduccin: conceptos generales de seguridad de la

informacin y SGSI.
Captulo 1. Campo de aplicacin: Se especifica el objetivo de la norma y su
campo de aplicacin.
60

Captulo 2. Trminos y definiciones: Breve descripcin de los trminos ms
usados en la norma.
Captulo 3. Estructura del estndar: Descripcin de la estructura de la
norma.
Captulo 4. Evaluacin y tratamiento del riesgo: Indicaciones sobre cmo
evaluar y tratar los riesgos de seguridad de la informacin.
Captulo 5. Poltica de seguridad: El objetivo de este dominio es establecer
controles que permitan brindar apoyo y orientacin a la direccin con respecto a
la seguridad de la informacin, de acuerdo con los requisitos del negocio y los
reglamentos y las leyes pertinentes, a travs de la elaboracin y aprobacin de un
documento de poltica de seguridad, el cual debe darse a conocer a toda la
organizacin y a los interesados externos.
Poltica de seguridad de la informacin. Controles
Documento de poltica de seguridad de la informacin.
Revisin de la poltica de seguridad de la informacin.
Captulo 6. Aspectos organizativos de la seguridad de la informacin: El

objetivo de este dominio es establecer controles a travs de los cuales se pueda
gestionar la seguridad de la informacin dentro de la organizacin y mantener la
seguridad de la informacin y de los servicios de procesamiento de informacin
de la organizacin a los cuales tienen acceso partes externas o que son
procesados, comunicados o dirigidos por stas.
Organizacin interna.
Compromiso de la Direccin con la seguridad de la informacin.
Coordinacin de la seguridad de la informacin.
Asignacin de responsabilidades relativas a la seguridad de la

informacin.
Proceso de autorizacin de recursos para el tratamiento de la

informacin.
Acuerdos de confidencialidad.
Contacto con las autoridades.
61

Contacto con grupos de especial inters.
Revisin independiente de la seguridad de la informacin.
Terceros.
Identificacin de los riesgos derivados del acceso de terceros.
Tratamiento de la seguridad en la relacin con los clientes.
Tratamiento de la seguridad en contratos con terceros.
Captulo 7. Gestin de activos: Este dominio busca establecer controles

que permitan lograr y mantener la proteccin adecuada de los activos de la
organizacin, definiendo responsabilidad sobre los activos y realizando
clasificacin de la informacin.
Responsabilidad sobre los activos.
Inventario de activos.
Propiedad de los activos.
Uso aceptable de los activos.
Clasificacin de la informacin.
Directrices de clasificacin.
Etiquetado y manipulado de la informacin.
Captulo 8. Seguridad ligada a los recursos humanos: Con este dominio se

pretende establecer controles que conduzcan a asegurar que los empleados,
contratistas y usuarios de terceras partes, entienden sus responsabilidades y sean
aptos para las funciones para las cuales estn considerados, y reducir el riesgo de
robo, fraude, o uso inadecuado de las instalaciones. De igual forma se busca que
sean conscientes de las amenazas y preocupaciones respecto a la seguridad de la
informacin, sus responsabilidades y sus deberes, y que estn equipados para
apoyar la poltica de seguridad de la organizacin en el transcurso de su trabajo
normal, y as ayudar a reducir el riesgo de error humano. Todos estos han de
tenerse en cuenta antes del empleo; durante el empleo; una vez ha cesado el
empleo o cuando hay un cambio de puesto de trabajo.
62

Antes del empleo: funciones y responsabilidades; investigacin de
antecedentes; trminos y condiciones de contratacin.
Durante
el
empleo:
Responsabilidades
de
la
Direccin;
concienciacin, formacin y captacin en seguridad de la informacin;

proceso disciplinario.
Cese del empleo o cambio de puesto de trabajo: Responsabilidad de
cese o cambio; devolucin de activos: retirada de los derechos de
acceso.
Captulo 9. Seguridad fsica y ambiental: Con este dominio se busca
establecer controles que permitan evitar el acceso fsico no autorizado, el dao o
la interferencia en las instalaciones y a la informacin de la organizacin, de igual
forma evitar la prdida, dao, robo o puesta en peligro de los activos, y la
interrupcin de las actividades de la organizacin
reas seguras.
Permetro de seguridad fsica.
Controles fsicos de entrada.
Seguridad de oficinas, despachos e instalaciones.
Proteccin contra las amenazas externas y de origen ambiental.
Trabajo en reas seguras.
reas de acceso pblico y de carga y descarga.
Seguridad de los equipos.
Emplazamiento y proteccin de equipos.
Instalaciones de suministro.
Seguridad del cableado.
Mantenimiento de los equipos.
Seguridad de los equipos fuera de las instalaciones.
Reutilizacin o retirada segura de equipos.
Retirada de materiales propiedad de la empresa.
63

Captulo 10. Gestin de comunicaciones y operaciones: Este dominio est
orientado al establecimiento de controles que permitan asegurar la operacin
correcta y segura de los servicios de procesamiento de informacin, e
implementar y mantener un grado adecuado de seguridad de la informacin de la
prestacin del servicio, de conformidad con los acuerdos de prestacin del
servicio por terceros.
Responsabilidades y procedimientos de operacin.
Documentacin de los procedimientos de operacin.
Gestin de cambios.
Segregacin de tareas.
Separacin de los recursos de desarrollo, prueba y operacin.
Gestin de la provisin de servicios por terceros.
Provisin de servicios.
Supervisin y revisin de los servicios prestados por terceros.
Gestin del cambio en los servicios prestados por terceros.
Planificacin y aceptacin del sistema.
Gestin de capacidades.
Aceptacin del sistema.
Proteccin contra el cdigo malicioso y descargable.
Controles contra el cdigo malicioso.
Controles contra el cdigo descargado en el cliente.
Copias de seguridad.
Copias de seguridad de la informacin.
Gestin de la seguridad de las redes.
Controles de red.
Seguridad de los servicios de red.
Manipulacin de los soportes.
Gestin de soportes extrables.
Retirada de soportes.
Procedimientos de manipulacin de la informacin.
64

Seguridad de la documentacin del sistema.
Intercambio de informacin.
Polticas y procedimientos de intercambio de informacin.
Acuerdos de intercambio.
Soportes fsicos en trnsito.
Mensajera electrnica.
Sistemas de informacin empresariales.
Servicios de comercio electrnico.
Comercio electrnico.
Transacciones en lnea.
Informacin pblicamente disponible.
Supervisin.
Registros de auditora.
Supervisin del uso del sistema.
Proteccin de la informacin de los registros.
Registros de administracin y operacin.
Registro de fallos.
Sincronizacin del reloj.
Captulo 11. Control de acceso: El objetivo de este dominio es permitir

controlar el acceso a la informacin de la organizacin con base en los requisitos
de seguridad y del negocio, asegurar el acceso de usuarios autorizados y evitar el
acceso de usuarios no autorizados a los sistemas de informacin.
Requisitos de negocio para el control de acceso.
Poltica de control de acceso.
Gestin de acceso de usuario.
Registro de usuario.
Gestin de privilegios.
Gestin de contraseas de usuario.
Revisin de los derechos de acceso de usuario.
Responsabilidades de usuario.
65

Uso de contraseas.
Equipo de usuario desatendido.
Poltica de puesto de trabajo despejado y pantalla limpia.
Control de acceso a la red.
Poltica de uso de los servicios en red.
Autenticacin de usuario para conexiones externas.
Identificacin de los equipos en las redes.
Proteccin de los puertos de diagnstico y configuracin remotos.
Segregacin de las redes.
Control de la conexin a la red.
Control de encaminamiento (routing) de red.
Control de acceso al sistema operativo.
Procedimientos seguros de inicio de sesin.
Identificacin y autenticacin de usuario.
Sistema de gestin de contraseas.
Uso de los recursos del sistema.
Desconexin automtica de sesin.
Limitacin del tiempo de conexin.
Control de acceso a las aplicaciones y a la informacin.
Restriccin del acceso a la informacin.
Aislamiento de sistemas sensibles.
Ordenadores porttiles y teletrabajo.
Ordenadores porttiles y comunicaciones mviles.
Teletrabajo.
Captulo 12. Adquisicin, desarrollo y mantenimiento de los sistemas de

informacin: Este dominio busca establecer controles que permitan: mantener la
seguridad en los procesos de adquisicin, mantenimiento y desarrollo del
software, garantizando que la seguridad es parte integral de los sistemas de
informacin;
evitar errores, prdidas, modificaciones no autorizadas o uso
inadecuado de la informacin en las aplicaciones; proteger la confidencialidad,

autenticidad o integridad de la informacin por medios criptogrficos; garantizar
66

la seguridad de los archivos del sistema, y de la informacin de los sistemas de
aplicaciones.
Requisitos de seguridad de los sistemas de informacin.
Anlisis y especificacin de los requisitos de seguridad.
Tratamiento correcto de las aplicaciones.
Validacin de los datos de entrada.
Control del procesamiento interno.
Integridad de los mensajes.
Validacin de los datos de salida.
Controles criptogrficos.
Poltica de uso de los controles criptogrficos.
Gestin de claves.
Seguridad de los archivos de sistema.
Control del software en explotacin.
Proteccin de los datos de prueba del sistema.
Control de acceso al cdigo fuente de los programas.
Seguridad en los procesos de desarrollo y soporte.
Procedimientos de control de cambios.
Revisin tcnica de las aplicaciones tras efectuar cambios en el

sistema operativo.
Restricciones a los cambios en los paquetes de software.
Fugas de informacin.
Externalizacin del desarrollo de software.
Gestin de la vulnerabilidad tcnica.
Control de las vulnerabilidades tcnicas.
Captulo 13. Gestin de incidentes de seguridad de la informacin: El

objetivo de este dominio es establecer controles que permitan asegurar que los
eventos y las debilidades de la seguridad de la informacin asociados con los
sistemas de informacin, se comunican de forma tal que permitan tomar las
acciones correctivas oportunamente.
67

Notificacin de eventos y puntos dbiles de seguridad de la informacin.
Notificacin de los eventos de seguridad de la informacin.
Notificacin de puntos dbiles de seguridad.
Gestin de incidentes y mejoras de seguridad de la informacin.
Responsabilidades y procedimientos.
Aprendizaje de los incidentes de seguridad de la informacin.
Recopilacin de evidencias.
Captulo 14. Gestin de la continuidad del negocio: Con este dominio se

busca establecer controles orientados a contrarrestar las interrupciones en las
actividades del negocio y proteger sus procesos crticos contra los efectos de
fallos importantes en los sistemas de informacin o contra desastres, y asegurar
su recuperacin oportuna.
Aspectos de seguridad de la informacin en la gestin de la continuidad del
negocio.
Inclusin de la seguridad de la informacin en el proceso de gestin

de la continuidad del negocio.
Continuidad del negocio y evaluacin de riesgos.
Desarrollo e implantacin de planes de continuidad que incluyan la

seguridad de la informacin.
Marco de referencia para la planificacin de la continuidad del

negocio.
Pruebas, mantenimiento y revaluacin de planes de continuidad.
Captulo 15. Cumplimiento: El objetivo de este dominio es el

establecimiento de controles tendentes a evitar el incumplimiento de cualquier
ley, de obligaciones estatuarias reglamentarias o contractuales y de cualquier
requisito de seguridad.
Cumplimiento de los requisitos legales.
Identificacin de la legislacin aplicable.
68

Derechos de propiedad intelectual (DPI).
Proteccin de los documentos de la organizacin.
Proteccin de datos y privacidad de la informacin de carcter

personal.
Prevencin del uso indebido de recursos de tratamiento de la

informacin.
Regulacin de los controles criptogrficos.
Cumplimiento de las polticas y normas de seguridad y cumplimiento

tcnico.
Cumplimiento de las polticas y normas de seguridad.
Comprobacin del cumplimiento tcnico.
Consideraciones sobre las auditoras de los sistemas de informacin.
Controles de auditora de los sistemas de informacin.
Proteccin de las herramientas de auditora de los sistemas de

informacin.

de Seguridad Mediciones para la Gestin de la Seguridad de la
Informacin
El estndar ISO/IEC 27004:2009, es una gua para el desarrollo y uso de
mtricas para evaluar la efectividad de un Sistema de Gestin de Seguridad de la
Informacin (SGSI) y sus controles o grupo de controles, como se especifica en
ISO/IEC 27001. Es un estndar que se aplica para cualquier tipo de organizacin, y
permite desarrollar criterios para la medicin de la eficacia y eficiencia de un SGSI,
implementado a travs del estndar ISO/IEC 27001.
Tal y como se indica en el documento oficial de la norma, [ISO/IEC 09]: El
empleo de este estndar permitir a las organizaciones dar respuesta a los
interrogantes de cun efectivo y eficiente es el SGSI y qu niveles de
implementacin y madurez han sido alcanzados. Estas mediciones permitirn
comparar los logros obtenidos en seguridad de la informacin sobre perodos de
69

tiempo en reas de negocio similares de la organizacin y como parte de
continuas mejoras.
Los objetivos de las mediciones a realizar a travs de esta estndar son:
Evaluar la eficiencia del SGSI
Evaluar la efectividad de la implementacin de la ISO/IEC 27001 sobre los
controles de seguridad.
Comunicar a la organizacin valores de seguridad
Proporcionar estados de seguridad que guen las revisiones del SGSI
Servir como entradas al plan de anlisis y tratamiento de riesgos
Esta
norma,
tal
como
se
indica
en
[ISO/IEC09],
ofrece recomendaciones sobre las actividades que deben desarrollarse para que
una organizacin cumpla con los requisitos de medicin especificados en la norma
ISO / IEC 27001 y que citamos a continuacin:
a) Desarrollo de medidas: medidas de base, medidas derivadas e indicadores.
b) Implementacin y operacin de un programa de medicin de seguridad de la
Informacin.
c) Recogida y anlisis de datos.
d) Elaboracin de resultados de la medicin.
e) Comunicacin de resultados de las medidas desarrolladas a las partes
interesadas.
f)
Utilizar los resultados de medicin como factores que contribuyen a las

decisiones relacionadas con el SGSI.
g) Utilizar los
resultados
de la
medicin para
determinar las
necesidades para mejorar el SGSI implementado, incluyendo su mbito de

aplicacin, las polticas, objetivos, controles, procesos y procedimientos.
h) Facilitar la mejora continua de la seguridad de la informacin
El estndar ISO/IEC 27004, al igual que ISO/IEC 27001 est orientado a
procesos y se basa en el modelo PlanDoCheckAct, consistente en una relacin
70

cclica de entrada y salida de las actividades de medicin, cuyos fundamentos para
esta norma resumimos en la figura 4.3.:
Revisin
mejora
de
Definir las mtricas y establecer el
las
sistema de gestin de la seguridad de
mtricas de seguridad
la informacin SGSI
PLAN
Adaptar procedimientos y controles
ACT
DO
para la obtencin de datos
CHECK
Revisin de los datos obtenidos

de las mtricas realizadas
Figura 4.3. Ciclo PDCA ISO/IEC 27004
La norma se encuentra estructurada en 11 captulos y dos anexos, que

2
describimos a continuacin :
0. Introduction: Generalidades e introduccin a la norma.
1. Scope: En este captulo se especifica el alcance de la norma y su mbito de
aplicacin.
Hemos conservado el ttulo de cada captulo en ingls extrado del
documento oficial, al no encontrar una traduccin oficial de estos, las

descripciones que presentamos han sido extractadas y adaptadas de [ISO/IEC 09],
[DIAZ 10], [LARR 09], [ISSA 11a].
71

2. Normative References: En este captulo de indican los estndares que sirven
de referencia y que son necesarios para la aplicacin de este estndar, que en
este caso son la ISO/IEC 27000:2009 y la ISO/IEC 27001:2005.
3. Terms and Definitions: En este captulo se hace una descripcin de los
trminos fundamentales usados en el estndar.
4. Structure of this International Standard: En este captulo se describe la
estructura general del estndar.
5. Information security measurement overview: Consideraciones generales
sobre la medicin de la seguridad, factores de xito y modelo de medicin.
6. Management responsibilities: Responsabilidades de la Direccin para medir
la eficacia del SGSI. La direccin es responsable de establecer el programa de
medicin de seguridad de la informacin, con la participacin de las partes
interesadas en las actividades de medicin; la aceptacin de los resultados de
medicin para el anlisis de la gestin y el uso de medicin de los resultados
en la mejora de las actividades dentro del SGSI.
7. Measures and measurement development: Desarrollo de mtricas y la forma
de medicin. Consiste en la identificacin y desarrollo de las medidas y la
medicin para la evaluacin de la eficacia del SGSI implementado. Las
actividades necesarias para desarrollar las mtricas y la medicin incluyen las
siguientes:
a) Definicin de los procesos
b) El desarrollo de mediciones aplicables.
c) La implementacin del programa.
d) Revisin de mediciones.
8. Measurement operation: Actividades imprescindibles para asegurar que los
resultados obtenidos proporcionan informacin precisa para la medicin de la
eficacia del sistema y para la adopcin de acciones de mejora. Incluye
operaciones que son esenciales para asegurar que los resultados obtenidos en
la medicin proporcionen informacin precisa con respecto a la eficacia de
una aplicacin SGSI, controles o grupo de controles y la necesidad de acciones
de mejora apropiadas. Las actividades que se incluyen son las siguientes:
72

1. La integracin de
los procedimientos de medicin en el
funcionamiento general de SGSI.

2. Reunir, almacenar y verificar los datos.
9. Analysis and measurement results reporting: Anlisis de los datos recogidos
y reporte y comunicacin de los mismos. Las actividades a seguir son las que
siguen:
a) El anlisis de los datos y el desarrollo de resultados de la medicin,
b) Comunicar resultados de las mediciones a las partes interesadas.
10. Information
Security
Measurement
Programme
Evaluation
and
Improvement: Revisin peridica del programa de medicin de cara a

verificar su correccin y vigencia, as como las mejoras a implementar en el
mismo. La organizacin debe evaluar a intervalos planificados lo siguiente:
a) La eficacia de la aplicacin de medicin de seguridad de la
informacin para asegurarse de que:
i. Produce resultados de medicin de una manera eficaz.
ii. Se ejecuta segn lo previsto.
b) Los cambios de direcciones en el SGSI implementado y / o controles.
c) Cambios de direcciones en el entorno (por ejemplo, los requisitos, la
legislacin o la tecnologa),
d) Utilidad de los resultados de medicin desarrollados para garantizar
que se satisfagan las necesidades de informacin pertinentes. La
administracin debe especificar la frecuencia de dicha evaluacin, el
plan de revisiones peridicas y establecer los mecanismos para hacer
posibles revisiones. Las actividades correspondientes son las que
siguen:
i. Determinar los criterios de evaluacin para la medicin de la
seguridad de la informacin.
ii. Supervisar, revisar y evaluar la medicin.
iii. Implementar mejoras
Anexo A: Template for an information security measurement construct:
Este anexo consiste en una plantilla para la elaboracin de mtricas.
73

Anexo B: Measurement construct examples: En este anexo se encuentran
ejemplos de mtricas realizadas con la plantilla mencionada anteriormente.
2.4. ISO/IEC
27007:2011: Information
technology
Security
Techniques Guidelines for Information Security Management

Systems Auditing 3
Este estndar publicado en noviembre de 2011, proporciona una gua sobre
el programa de auditora para un sistema de gestin de seguridad de la
informacin (SGSI), sobre la realizacin de las auditoras y de la competencia de
los auditores de SGSI (adems de las directrices contenidas en la norma ISO
19011).
Esta norma es aplicable a aquellos que necesitan comprender o realizar
auditoras internas o externas de un SGSI o para administrar un programa de
auditora del SGSI.
2.4.1. Caractersticas y ventajas principales4
ISO/IEC 27007 proporciona orientacin sobre la realizacin de auditoras de
un SGSI, adems esta gua ayudar a los auditores a asegurarse de que estn
llevando a cabo una auditora de SGSI en la forma correcta.
Los auditores pueden utilizar las pautas establecidas por este estndar en
cualquier tipo de organizacin. Es ampliamente aplicable, y su uso garantiza un
enfoque de mejores prcticas a seguir al llevar a cabo auditoras de SGSI.
La auditora de un SGSI siguiendo las directrices de esta norma, permitir a
una organizacin identificar las deficiencias que se puedan tener y que es preciso
abordar antes de someterse a una auditora de certificacin formal.
El estndar abarca los aspectos especficos del SGSI para la auditora de
cumplimiento y que tienen que ver con:
Gua para auditar Sistemas de Gestin de Seguridad de la Informacin

La informacin que aparece en este apartado ha sido obtenida de [FORU 11],
[ITGO 11] y [WIKI 11]
4
74

Gestin del programa de auditora del SGSI, esto incluye: determinar
qu auditar, cundo y cmo; asignar los auditores correspondientes,
gestionar los riesgos de la auditora, la mejora continua de los
procesos.
Realizacin de una auditora de SGSI, esto incluye: planeacin de los
procesos de auditora, direccin, las principales actividades de
auditora incluyendo el trabajo de campo, anlisis, presentacin de
informes y seguimiento.
Gestin de los auditores del SGSI, esto incluye: gestin de
competencias y habilidades y evaluacin.
2.4.2. Estructura del estndar5
Introduction to this Standard
Scope
Normative References
Terms and Definitions
Principles of Auditing
General
Audit Activities
Competence and Evaluation of Auditors
Tal y como figura en el original
75

3. ISO/IEC
38500:2008:
Corporate
governance
of
information
technology6
La norma ISO/IEC 38500:2008 fue publicada en junio de 2008 en base a la
norma australiana AS8015:2005. Es la primera de una serie sobre normas de
gobierno de Tecnologas de la Informacin y Comunicacin TIC.
Su objetivo tal y como se indica en [BALL 10], es proporcionar un marco de
principios para que la direccin de las organizaciones lo utilice al evaluar, dirigir y
monitorizar el uso de las TIC.
De acuerdo con lo expuesto en [BALL 10], esta norma viene a
complementar el conjunto de estndares ISO que afectan a los sistemas y
tecnologas de la informacin (ISO/IEC 27000, ISO/IEC 20000, ISO/IEC 15504,
ISO/IEC 24762, etc.) y otros marcos de trabajo como CoBiT e ITIL y fija los
estndares para un buen gobierno de los procesos y decisiones empresariales
relacionadas con los servicios de informacin y comunicacin que, suelen estar
gestionados tanto por especialistas en TIC internos o ubicados en otras unidades
de negocio de la organizacin, como por proveedores de servicios externos.
La norma se aplica al gobierno de los procesos de gestin de las TIC en todo
tipo de organizaciones que utilicen las tecnologas de la informacin, facilitando
las bases para la evaluacin objetiva del gobierno de las mismas. [BALL 10].
La aplicacin de esta norma trae consigo el poder contar con un buen
gobierno de TIC, lo que conllevara como beneficios, segn lo expuesto en [BALL
10], la conformidad de la organizacin con:
Los estndares de seguridad
Legislacin de privacidad
Legislacin sobre el spam
Legislacin sobre prcticas comerciales
Derechos de propiedad intelectual, incluyendo acuerdos de licencia de
software
Regulacin medioambiental
Gobierno Corporativo de las Tecnologas de la Informacin
76

Normativa de seguridad y salud laboral
Legislacin sobre accesibilidad
Estndares de responsabilidad social
Tambin la bsqueda de un buen rendimiento de las TIC mediante:
Apropiada implementacin y operacin de los activos de TIC
Clarificacin de las responsabilidades y rendicin de cuentas en lograr los
objetivos de la organizacin
Continuidad y sostenibilidad del negocio
Alineamiento de las TIC con las necesidades del negocio
Asignacin eficiente de los recursos
Innovacin en servicios, mercados y negocios
Buenas prcticas en las relaciones con los interesados (stakeholders)
Reduccin de costes
Materializacin efectiva de los beneficios esperados de cada inversin en
TIC
3.1. Definiciones, Principios y Tareas

La norma incluye 19 definiciones de trminos, entre los que se pueden
destacar los siguientes, extrados de [BALL 10]:
Gobierno corporativo de TIC (Corporate Governance of IT). El sistema
mediante el cual se dirige y controla el uso actual y futuro de las
tecnologas de la informacin
Gestin (Management). El sistema de controles y procesos requeridos
para lograr los objetivos estratgicos establecidos por la direccin de la
organizacin. Est sujeta a la gua y monitorizacin establecida mediante
el gobierno corporativo.
Interesado (Stakeholder). Individuo, grupo u organizacin que puede
afectar, ser afectado, o percibir que va a ser afectado, por una decisin o
una actividad
77

Uso de TIC (Use of IT). Planificacin, diseo, desarrollo, despliegue,
operacin, gestin y aplicacin de TI para cumplir con las necesidades del
negocio. Incluye tanto la demanda como la oferta de servicios de TIC por
unidades de negocio internas, unidades especializadas de TI, proveedores
externos y utility services (como los que se proveen de software como
servicio).
Factor humano (Human Behavior). La comprensin de las interacciones
entre personas y otros elementos de un sistema con la intencin de
asegurar el bienestar de las personas y el buen rendimiento del sistema.
Incluye la cultura, necesidades y aspiraciones de las personas como
individuos y como grupo.
La norma define seis principios para un buen gobierno corporativo de las
TIC, y que relacionamos a continuacin, [BALL 10]:
Responsabilidad: Los individuos y grupos dentro de la organizacin deben
comprender y aceptar sus responsabilidades en la oferta o demanda de
TI. La responsabilidad sobre una accin conlleva la autoridad para su
realizacin.
Estrategia: La estrategia de negocio de la organizacin tiene en cuenta las
capacidades actuales y futuras de las TIC. Los planes estratgicos de las
TIC satisfacen las necesidades, actuales y previstas, derivadas de la
estrategia de negocio.
Adquisicin: Las adquisiciones de TI se hacen por razones vlidas, en base
a un anlisis apropiado y continuo, con decisiones claras y transparentes.
Hay un equilibrio adecuado entre beneficios, oportunidades, costes y
riesgos tanto a corto como a largo plazo.
Rendimiento: La TI est dimensionada para dar soporte a la organizacin,
proporcionando los servicios con la calidad adecuada para cumplir con las
necesidades actuales y futuras.
78

Conformidad: La funcin de TI cumple todas las legislaciones y normas
aplicables. Las polticas y prcticas al respecto estn claramente definidas,
implementadas y exigidas.
Factor humano: Las polticas de TIC, prcticas y decisiones demuestran
respeto al factor humano, incluyendo las necesidades actuales y
emergentes de toda la gente involucrada.
La norma propone un modelo a travs del cual, la direccin ha de gobernar
las TIC mediante tres tareas principales, [BALL 10]:
Evaluar: Examinar y juzgar el uso actual y futuro de las TIC, incluyendo
estrategias, propuestas y acuerdos de aprovisionamiento (internos y
externos).
Dirigir: Dirigir la preparacin y ejecucin de los planes y polticas,
asignando las responsabilidades al efecto. Asegurar la correcta transicin
de los proyectos a la produccin, considerando los impactos en la
operacin, el negocio y la infraestructura. Impulsar una cultura de buen
gobierno de TIC en la organizacin.
Monitorizar: Mediante sistemas de medicin, vigilar el rendimiento de la
TIC, asegurando que se ajusta a lo planificado.
El modelo se resume grficamente en la siguiente figura:
79

Figura 4.4. Modelo de Gobierno Corporativo de TIC. [BALL 10].
3.2. Orientaciones y Prcticas

Para cada uno de los principios citados anteriormente, la norma
proporciona una breve gua u orientacin sobre como evaluar, dirigir y
monitorizar la funcin de TIC, los cuales se resumen en la figura 4.5.
Tal y como se indica en [BALL 10], estas orientaciones dadas por la norma
son muy generales, ya que no incluyen mecanismos, tcnicas o herramientas
concretas a utilizar.
80

Principios
Responsabilidad
Dirigir
Planes con
responsabilidad asignada
Recibir informacin y
rendir cuentas
Estrategia
Creacin y uso de planes y

polticas
Alentar propuestas
innovadoras
Adquisicin
Activos TI adquieren
manera apropiada
Documentos capacidad
requerida
Monitorizar
Mecanismos establecidos
gobierno de TIC
Asignacin
responsabilidades
(entendimiento)
Desempeo responsables
gobierno TIC
Progreso propuestas
aprobadas
Alcanzar objetivos en
plazos establecidos
Utilizar recursos
asignados
Uso de TIC, alcanzando
beneficios esperados
Inversiones y capacidades
requeridas
Entendimiento
interno/externo
necesidad negocio
Acuerdos de provisin
respalden necesidades
negocio
Rendimiento
Cumplimiento
Grado TIC sustenta

negocio
Asignar prioridades y
restricciones
Recursos e inversiones
priorizados necesidades
negocio
Polticas precisin datos
Datos correctos,
actualizados, protegidos
Polticas uso eficiente TIC
TI cumple obligaciones,
normas y directrices
Cumplimiento y
conformidad
(auditoras/informes)
Oportunos, completos,
adecuados (necesidades
negocio)
Actividades de TIC
Establecer y aplicar
polticas (uso TI interno)
Factor Humano
Personal TIC cumple

directrices desarrollo y
conducta
tica rija acciones
relacionadas TIC
Actividades TI
compatibles factor
humano
Informar cualquier
individuo (riesgos,
problemas)
Administracin riesgos
segn polticas y
procedimientos
Escalado a las decisiones
Desarrollo de TIC y
procesos negocio
Evaluar actividades de TIC
y alineamiento
Mejores prcticas
Satisfaccin interesados
Valoracin y evaluacin
riesgos
Alternativas propuestas
Propuestas aprobadas
Anlisis de riesgo/valor
Asignacin recursos
suficientes
Satisfacer necesidades de
negocio
Evaluar
Asignacin
responsabilidades
Competencias de
responsables
Actividades TIC,
identificar, prestar
atencin
Prcticas de trabajo
consistente uso apropiado
de TIC
Inversiones
TIC sustenta procesos de
negocio dimensionado y
capacidad
Riesgos: continuidad de
operaciones
Riesgos: integridad de
informacin, proteccin
de activos
Decisiones uso TIC apoyo
al negocio
Eficacia y desempeo de
gobierno de TIC
TIC cumple obligaciones,
normas y directrices
Conformidad gobierno TIC
Actividades de TIC,
identificar
Actividades de TIC,
considera debidamente
Figura 4.5. Gua sobre cmo dirigir, monitorizar y evaluar la funcin de TIC.
[BALL 10].
81

4. CoBiT 4.1: Objetivos de control para la Informacin y la Tecnologa
relacionada
CoBiT, siglas en ingls de Control Objectives for Information and related
Technology, es un marco de trabajo de control interno para TI (Tecnologas de la
Informacin), que ofrece una serie de mejores prcticas, las cuales estn
orientadas al control de la informacin y tecnologa relacionada y que se ha
convertido en un marco de referencia general para el gobierno de TI en las
organizaciones.
CoBiT ha sido desarrollado por el Instituto de Administracin de las
Tecnologas de la Informacin ITGI (IT Governance Institute) en 1996. En la
actualidad se encuentra disponible de manera gratuita la versin 4.1 y su
actualizacin a la versin 5.0, tambin est disponible pero an de pago.
CoBiT est formado por un grupo de productos que citamos a continuacin:
El resumen informativo al consejo sobre el gobierno de TI, 2 Edicin.
Diseado para ayudar a los ejecutivos a entender por qu el gobierno de TI es
importante, cules son sus intereses y cules son sus responsabilidades para
administrarlo.
Directrices Gerenciales / Modelos de madurez. Ayudan a asignar
responsabilidades, medir el desempeo, llevar a cabo benchmarks y manejar
brechas en la capacidad.
Marco de Referencia. Explica cmo CoBiT organiza los objetivos de
gobierno y las mejores prcticas de TI basndose en dominios y procesos de TI y
los alinea a los requerimientos del negocio.
Objetivos de control. Brindan objetivos a la direccin basados en las
mejores prcticas genricas para todos los procesos de TI.
Gua de Implementacin de Gobierno de TI: Usando CoBiT y Val TI 2
Edicin. Proporciona un mapa de ruta para implementar gobierno TI utilizando los
recursos CoBiT y Val TI.
Prcticas de Control de CoBiT: Gua para Conseguir los Objetivos de
Control para el xito del Gobierno de TI 2 Edicin. Proporciona una gua del
porqu vale la pena implementar controles y cmo implementarlos.
82

Gua de Aseguramiento de TI: Usando CoBiT. Proporciona una gua de
cmo CoBiT puede utilizarse para soportar una variedad de actividades de
aseguramiento junto con los pasos de prueba sugeridos para todos los procesos
de TI y objetivos de control.
En este apartado vamos a abordar los aspectos fundamentales del marco
de trabajo de CoBiT, como modelo para auditar la gestin y control de los
sistemas de informacin y tecnologa.
CoBiT, tal y como se indica en [COBIT 07], se fundamenta en cuatro pilares
que son la base de todo el marco de trabajo y que enumeramos a continuacin:
Orientado a negocios
Orientado a procesos
Basado en controles
Impulsado por mediciones
CoBiT pretende con estos pilares dar respuesta a la necesidad que tienen
las organizaciones de contar con un marco de trabajo para su gobierno y control
de TI y que permita:
la alineacin de sus estrategias de negocio y de TI
contar con un enfoque de procesos que facilite la definicin del alcance y
el nivel de cobertura y con estructura claramente definida
ser generalmente aceptado
ser consistente con otros estndares e independiente de tecnologas
proveer un lenguaje simple y comprensible para todos los interesados
cumplir con requerimientos de entidades reguladoras
En la figura 4.6, se puede observar el principio bsico en que se fundamenta
CoBiT.
83

Requerimientos
Que responde a
Dirige la inversin en
de negocio
Informacin
de
Recursos de TI
CoBiT
la Empresa
Que es utilizado por
Para entregar
Procesos de TI
Figura 4.6. Principio bsico de CoBiT. [COBIT 07]
4.1. Orientado a negocios

Tal y como se indica en [COBIT 07], la orientacin a negocios es uno de los
pilares principales de CoBiT, por lo cual est diseado para ser utilizado no slo
por proveedores de servicios, usuarios y auditores de TI, sino tambin y
principalmente, como gua integral para la gerencia y para los responsables de los
procesos de negocio. Con el objetivo de garantizar dicha alineacin con los
requerimientos del negocio CoBiT ofrece las siguientes herramientas:
4.1.1. Criterios de Informacin de CoBiT

Con el fin de satisfacer los objetivos de negocio, la informacin necesita
adaptarse a determinados criterios de control, es lo que CoBiT ha llamado
requerimientos de informacin del negocio. Con este objetivo se definen siete
criterios de informacin, que se describen a continuacin, [COBIT 07]:
Efectividad, tiene que ver con que la informacin sea relevante y

pertinente a los procesos del negocio y se proporcione de una manera
oportuna, correcta, consistente y utilizable.
84

Eficiencia, se refiere a que la informacin sea generada con el ptimo
(ms productivo y econmico) uso de los recursos.
Confidencialidad, se refiere a la proteccin de informacin sensible
contra revelacin no autorizada.
Integridad, est relacionada con la precisin y completitud de la
informacin, as como con su validez de acuerdo a los valores y
expectativas del negocio.
Disponibilidad, se refiere a que la informacin est disponible cuando sea
requerida por los procesos del negocio en cualquier momento. Tambin
concierne a la proteccin de los recursos y las capacidades necesarias
asociadas.
Cumplimiento, tiene que ver con acatar aquellas leyes, reglamentos y
acuerdos contractuales a los cuales estn sujetos los procesos de negocio,
es decir, criterios de negocios impuestos externamente, as como polticas
internas.
Confiabilidad, se refiere a proporcionar la informacin apropiada para
que la gerencia administre la entidad y ejerza sus responsabilidades
fiduciarias y de gobierno.
4.1.2. Metas de negocios y de TI

Si bien los criterios de informacin vistos anteriormente proporcionan un
mtodo genrico para definir los requerimientos del negocio, como se indica en
[COBIT 07], la definicin de un conjunto de metas genricas de negocio y de TI
ofrece una base ms refinada y relacionada con el negocio para el establecimiento
de requerimientos de negocio y para el desarrollo de mtricas que permitan la
medicin con respecto a estas metas.
CoBiT ofrece en su Apndice I una matriz de metas genricas de negocios y
metas de TI y se asocian con los criterios de la informacin. Estos ejemplos
genricos se pueden utilizar como gua para determinar los requerimientos,
metas y mtricas especficas del negocio para la empresa.
85

4.1.3. Recursos de TI
Estos recursos son la base sobre la cual se desarrollan los procesos que
permiten cumplir las metas de TI y por ende de la organizacin. Dichos recursos
tienen que ver con las personas y la infraestructura de tecnologa de la
organizacin. El conjunto de los procesos y la infraestructura constituyen la
arquitectura empresarial para TI.
Los recursos de TI identificados en CoBiT [COBIT 07] son los siguientes:
Las aplicaciones. Incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan informacin.
La informacin. Son los datos en todas sus formas, de entrada,
procesados y generados por los sistemas de informacin, en cualquier
forma en que sean utilizados por el negocio.
La infraestructura. Es la tecnologa y las instalaciones (hardware, sistemas
operativos, sistemas de administracin de bases de datos, redes,
multimedia, etc., as como el sitio donde se encuentran y el entorno que
los soporta) que permiten el procesamiento de las aplicaciones.
Las personas. Son el personal requerido para planificar, organizar,
adquirir, implementar, entregar, soportar, monitorear y evaluar los
sistemas y los servicios de informacin. Estas pueden ser internas o
externas (por outsourcing o contratadas), de acuerdo a como se
requieran.
En la figura 4.7.se puede ver la relacin existente entre las metas de TI y los
recursos de TI:
86

Metas de la empresa
IImpulsores
de Gobierno
Impulsores
de Gobierno
Personas
Infraestructura
Informacin
Aplicaciones
Resultados de Negocio
Procesos TI
Metas TI
Figura 4.7. Gestin de los Recursos de TI para Alcanzar Metas de TI.

[COBIT07]
4.2. Orientado a procesos

CoBiT [COBIT 07], define las actividades de TI en un modelo genrico de
procesos organizado en cuatro dominios, que en CoBiT 4.1 se denominan como se
indica a continuacin:
Planificar y Organizar (PO). Proporciona direccin para la entrega de
soluciones (AI) y la entrega de servicio (DS).
Adquirir e Implementar (AI). Proporciona las soluciones y las implanta
para convertirlas en servicios.
Entregar y Dar Soporte (DS). Recibe las soluciones y las hace utilizables
por los usuarios finales.
87

Monitorear y Evaluar (ME). Monitorea todos los procesos para asegurar
que se sigue la direccin prevista.
Dicho modelo de procesos es ofrecido por CoBiT como un modelo de
referencia y un lenguaje comn para que todos en la empresa visualicen y
administren las actividades de TI. Adems brinda un marco de trabajo para la
medicin y monitoreo del desempeo de TI.
En la figura 4.8., se pueden observar los dominios y su interrelacin.
Planificar y Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y Evaluar
Figura 4.8. Los cuatro dominios interrelacionados de CoBiT. [COBIT 07]
Dentro de estos cuatro dominios, CoBiT ha identificado 34 procesos de TI

generalmente usados. CoBiT proporciona una lista completa de procesos que
puede ser utilizada para verificar que se completan las actividades y
responsabilidades. Sin embargo, no es necesario que se apliquen todas, y, aun
ms, se pueden combinar como se necesite por cada empresa. A continuacin se
presenta la lista de dichos procesos para cada dominio:
Planificar y Organizar (PO)
PO1 Definir un Plan Estratgico de TI
PO2 Definir la Arquitectura de la Informacin
PO3 Determinar la Direccin Tecnolgica
PO4 Definir los Procesos, Organizacin y Relaciones de TI
88

PO5 Administrar la Inversin en TI
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia
PO7 Administrar los Recursos Humanos de TI
PO8 Gestionar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
Adquirir e Implementar (AI)
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnolgica
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Entregar y dar Soporte (DS)
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Formar y entrenar a los usuarios
DS8 Administrar la atencin a usuarios (help desk) y los incidentes
DS9 Administrar la configuracin
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fsico
DS13 Administrar las operaciones
Monitorear y Evaluar (ME)
ME1 Monitorear y Evaluar el Desempeo de TI
ME2 Monitorear y Evaluar el Control Interno
89

ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI
Es importante resaltar que para cada uno de estos 34 procesos, se tiene un

enlace a las metas de negocio y TI que soporta. Adems se proporciona
informacin de cmo se pueden medir las metas, tambin se proporcionan cules
son sus actividades clave y entregables principales y quin es el responsable de
ellas.
4.3. Basado en controles

CoBiT [COBIT 07], define el control como las polticas, procedimientos,
prcticas y estructuras organizacionales diseadas para brindar la seguridad
razonable de que los objetivos de negocio se alcanzarn y los eventos no
deseados sern prevenidos o detectados y corregidos.
Como hemos visto hasta ahora, CoBiT brinda un modelo genrico que
representa todos los procesos que normalmente se encuentran en las funciones
de TI, proporcionando un modelo de referencia general y entendible para la
gerencia de operaciones de TI y para la gerencia de negocios. Dicho modelo de
procesos debe tener mecanismos claros de control para lo cual CoBiT define
objetivos de control para los 34 procesos, as como para el proceso general y los
controles de aplicacin. Cada proceso tiene un objetivo de control de alto nivel y
varios objetivos de control detallados; adems el marco de trabajo de CoBiT
brinda vnculos claros entre los requerimientos de gobierno de TI, los procesos de
TI y los controles de TI, a travs de un modelo de control. La figura 4.9 que se
presenta a continuacin, representa grficamente lo expuesto anteriormente.
90

Figura 4.9. Modelo de Control. [COBIT 07]
Los objetivos de control definidos por CoBiT pueden ser consultados en su

documentacin oficial, [COBIT 07].
4.4. Impulsado por mediciones

Dentro de cualquier tipo de organizacin es necesario realizar mediciones
que le permitan determinar cul es su estado actual y qu tipo de mejoras se
requieren, adems es necesario monitorear permanentemente su desempeo.
CoBiT ofrece tres herramientas que permiten llevar a cabo estas mediciones y
realizar monitoreo permanente:
Modelos de madurez que facilitan la evaluacin por medio de benchmarking

y la identificacin de las mejoras necesarias en la capacidad. El modelo de
madurez para la administracin y el control de los procesos de TI, propuesto
por CoBiT [COBIT 07], se basa en un mtodo de evaluacin de la organizacin,
de tal forma que se pueda evaluar a s misma desde un nivel de no-existente
(0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de
madurez que el Software Engineering Institute defini para la madurez de la
capacidad del desarrollo de software.
91

CoBiT ha desarrollado para cada uno de sus 34 procesos un modelo de
madurez.
Metas y mediciones de desempeo para los procesos de TI, que demuestran
cmo los procesos satisfacen las necesidades del negocio y de TI, y cmo se
usan para medir el desempeo de los procesos internos basados en los
principios de un marcador de puntuacin balanceado (balanced scorecard).
Las mtricas y las metas se definen en CoBiT a tres niveles:
a) Las metas y mtricas de TI que definen lo que el negocio espera
de las TI (lo que el negocio usara para medir a TI)
b) Metas y mtricas de procesos que definen lo que el proceso de TI
debe generar para dar soporte a los objetivos de TI.
c) Mtricas de desempeo de los procesos (miden como de bien se
desempea el proceso para indicar si es probable alcanzar las
metas).
Metas de actividades para facilitar el desempeo efectivo de los
procesos.
A manera de resumen en la figura 4.10, se puede observar el marco de

trabajo de CoBiT completo.
92

Objetivos de Negocio
Objetivos de Gobierno
ME1 Monitorear y Evaluar el Desempeo de TI

ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI
PO1 Definir un Plan Estratgico de TI

PO2 Definir la Arquitectura de la Informacin
PO3 Determinar la Direccin Tecnolgica
PO4 Definir los Procesos, Organizacin y Relaciones
de TI
PO5 Administrar la Inversin en TI
PO6 Comunicar las Aspiraciones y la Direccin de la
Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Gestionar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
Criterios de
informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Monitorear y
Evaluar
Planificar y
Organizar
Recursos de
TI
Aplicaciones
Informacin
Infraestructura
Personas
Entregar y dar
Soporte
DS1 Definir y administrar los niveles de servicio

DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la atencin a usuarios y los
incidentes
DS9 Administrar la configuracin
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fsico
DS13 Administrar las operaciones
Adquirir e
Implementar
AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software aplicativo
AI3Adquirir y mantener infraestructura tecnolgica
AI4 Facilitar la operacin y uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Figura 4.10. Resumen del marco. [COBIT 07]
93

5. GTAG -Global Technology Audit Guide7
Las guas GTAG - Global Technology Audit Guide-, han sido elaboradas por
The Institute of Internal Auditors -IIA-. Esta serie de guas ha sido creada para
proporcionar informacin de alto nivel sobre aspectos tecnolgicos desde un
punto de vista no demasiado tcnico, de forma que puedan ayudar a los auditores
internos (principales destinatarios de las guas) y externos a comprender mejor los
diferentes riesgos, los controles y los temas del buen gobierno relacionados con
aspectos tecnolgicos.
Cada gua sirve como fuente de recursos para auditores e informticos en
distintos aspectos relacionados con los riesgos de las tecnologas de la
informacin y las mejores prcticas aplicables. Las guas desarrolladas hasta el
momento son, [GTAG 09]:
GTAG 1: Information Technology Controls
GTAG-2:Change and Patch Management Controls: Critical for Organizational
Success
GTAG-3: Continuous Auditing: Implications for Assurance, Monitoring, and
Risk Assessment
GTAG-4: Management of IT Auditing
GTAG-5: Managing and Auditing Privacy Risks
GTAG-6: Managing and Auditing IT Vulnerabilities
GTAG-7: Information Technology Outsourcing
GTAG-8: Auditing Application Controls
GTAG-9: Identity and Access Management
GTAG-10: Business Continuity Management
GTAG-11: Developing the IT Audit Plan
GTAG-12: Auditing IT Projects
GTAG-13: Fraud Prevention and Detection in an Automated World
GTAG-14: Auditing User-developed Applications
GTAG-15: Information Security Governance
7
Gua de Auditora Tecnolgica Global
94

GTAG-16: Data Analysis Technologies
A continuacin se presenta una breve descripcin de cada gua, a excepcin
de la GTAG 16 que slo es accesible para miembros de la IIA. Dichas descripciones
han sido tomadas y adoptadas de su web oficial, [GTAG 09]:
GTAG 1: Information Technology Controls
Esta primera gua cubre temas generales de tecnologa de la informacin y
auditora, as como temas relacionados con la gestin, seguridad, control,
aseguramiento y gestin de riesgos.
GTAG 2: Change and Patch Management Controls: Critical for
Organizational Success
El objetivo de esta gua es transmitir la idea de cmo una efectiva y
eficiente gestin de cambios en las TI contribuye al xito de una organizacin,
teniendo en cuenta que la gestin de los cambios de TI es un proceso
fundamental que puede causar problemas a toda la organizacin y fcilmente
interrumpir las operaciones, si dicha gestin no se realiza bien.
Esta gua proporciona un conocimiento prctico de los procesos y riesgos de
la gestin del cambio en TI.
GTAG 3: Continuous Auditing: Implications for Assurance,
Monitoring, and Risk Assessment
Esta gua se centra en ayudar a los CAE (Chief Audit Executive). Tiene como
misin identificar lo que se debe hacer para usar de manera efectiva la tecnologa
en apoyo de la auditora continua. As mismo, se destacan las reas que
requieren mayor atencin.
GTAG 4: Management of IT Auditing
El propsito de esta gua es ayudar a los CAE y gerentes de auditora interna
como responsables de la supervisin de las auditoras de TI, a organizar su trabajo
a travs de aspectos estratgicos relativos a la planificacin, ejecucin y
95

presentacin de informes de las auditoras de TI, de tal forma que se pueda llevar
un trabajo de forma ordenada.
GTAG 5: Managing and Auditing Privacy Risks
Esta gua abarca conceptos, principios y marcos de trabajo relacionados con
la privacidad, que ayudarn a los CAE, auditores internos y directores a encontrar
fuentes apropiadas para guiarse en materia de privacidad. Ofrece la visin de
riesgos de privacidad que debera tener la organizacin, cuando se recopila,
utiliza, mantiene o divulga informacin personal. Esta gua explica detalladamente
cmo tratar la privacidad en el proceso de auditora y tambin proporciona un
esquema genrico para un programa de auditora de privacidad.
GTAG 6: Managing and Auditing IT Vulnerabilities
Esta gua fue desarrollada para ayudar a los CAE y auditores internos a
formular las preguntas correctas al personal de seguridad de TI al evaluar la
eficacia de sus procesos de administracin de vulnerabilidades. La gua
recomienda prcticas especficas de gestin para ayudar a una organizacin a
alcanzar y mantener niveles ms altos de eficacia y eficiencia, e ilustra las
diferencias entre un alto y un bajo desempeo en la gestin de vulnerabilidad. La
gua cubre los siguientes aspectos:
a) Definicin del ciclo de vida de gestin de vulnerabilidades
b) Definicin del alcance de una auditora de gestin de vulnerabilidades
c) Definicin del nivel de madurez de la organizacin
GTAG 7: IT Outsourcing
Esta gua provee al CAE, los auditores internos y la direccin la informacin
sobre los tipos de actividades de outsourcing de TI, el ciclo de vida de outsourcing
y cmo las actividades de outsourcing deben ser administradas a travs de la
aplicacin de planes bien definidos y que estn respaldados por un marco de
trabajo de riesgos, control, cumplimiento y gobierno.
96

GTAG 8 - Auditing Application Controls
Esta gua proporciona orientacin sobre el desarrollo y ejecucin peridica
de auditoras de control de aplicaciones (business application systems), para
determinar si los controles a las aplicaciones estn diseados de manera
adecuada y operando de manera efectiva.
GTAG 9 - Identity and Access Management IAM
El propsito de esta gua es dar una idea de lo que significa IAM para una
organizacin y sugerir reas de auditora interna para su investigacin. Esta gua
puede ayudar a los CAE y auditores internos a entender, analizar y supervisar sus
procesos de Gestin de Identidad y Acceso. Se incluye en esta gua una lista de
verificacin para la revisin de la Gestin de Identidad y Acceso.
GTAG 10 - Business Continuity Management
Esta gua se centra en cmo la gestin de la continuidad del negocio (BCM)
debe ser diseada para permitir que los lderes de negocio gestionen el nivel de
riesgo en que la organizacin podra encontrarse, en el caso de que un evento
destructivo natural o provocado por el hombre, afecte a la operatividad de la
organizacin. La gua incluye la planificacin de la recuperacin de desastres para
la continuidad de la infraestructura de tecnologa de informacin crtica y de los
sistemas de aplicaciones de negocios.
GTAG 11: Developing the IT Audit Plan
Esta gua est orientada a apoyar a los CAE y auditores internos en el
desarrollo de un plan de auditora de TI.
La gua propone los siguientes aspectos a tener en cuenta para desarrollar
el plan de auditora de TI:
Comprender la organizacin y cmo TI la soporta
Comprender el entorno de TI y definir el universo de auditora de TI
Priorizar temas de auditora a travs de la evaluacin de riesgos
Desarrollar el plan de auditora de TI
97

GTAG 12: Auditing IT Projects
Esta gua ofrece una visin general de las tcnicas para la participacin
efectiva entre equipos de proyectos y la direccin en la evaluacin de los riesgos
relacionados con los proyectos de TI. Esta gua incluye:
Los principales riesgos de gestin de proyectos.
Expone cmo la actividad de auditora interna puede participar
activamente en la revisin de los proyectos, mientras mantiene la
independencia.
Presenta cinco componentes claves de los proyectos de TI, para ser
considerados por los auditores internos, en la construccin de un enfoque
de auditora.
Indica tipos de auditoras de los proyectos.
Presenta una lista de sugerencias de preguntas para su uso en la
evaluacin de proyectos de TI
GTAG 13: Fraud Prevention and Detection in an Automated World

Esta gua se centra en los riesgos de TI relacionados con el fraude y en las
evaluaciones de estos riesgos y en cmo el uso de la tecnologa puede ayudar a
los auditores internos y otros actores clave en la organizacin a direccionar el
fraude y los riesgos asociados.
Tambin tiene como objetivo informar y orientar a los CAE y auditores
internos sobre cmo utilizar la tecnologa para ayudar a prevenir, detectar y
responder al fraude.
GTAG 14: Auditing User-developed Applications (UDAs)
Esta gua ofrece pautas para la realizacin de auditora al desarrollo de
aplicaciones, User-developed Applications. Esta gua proporciona:
98

Direccionamiento sobre el alcance de una auditora interna de la UDA.
Orientacin sobre cmo el rol del auditor interno como asesor se puede
aprovechar para asistir a la direccin en el desarrollo de un marco
efectivo para el control de UDA.
Consideraciones que los auditores internos deben tener en cuenta cuando
se realizan auditoras de UDA.
Un ejemplo de un flujo de proceso de UDA, as como un programa de
auditora interna de UDA y soporte de hojas de trabajo para ayudar a los
auditores internos a organizar y ejecutar una auditora.
GTAG 15: Information Security Governance
Esta gua proporciona pautas para ayudar al CAE en la incorporacin de una
auditora de gobierno de la seguridad de la informacin (ISG) en el plan de
auditora, se centra en si la actividad de ISG de la organizacin ofrece las
conductas, prcticas y ejecucin de la Seguridad de la Informacin correctas. Esta
gua permite:
1. Definir el ISG.
2. Ayudar a los auditores internos a entender las preguntas correctas y saber
que documentacin es requerida.
3. Describir el rol de las actividades de auditora interna (IAA) en el ISG.
99

6. El Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad (ENS) es el encargado de establecer las
polticas de seguridad en la utilizacin de medios electrnicos en las
Administraciones Pblicas. Est formado por un conjunto de principios bsicos y
de requisitos mnimos que permitan una proteccin adecuada de la informacin.
(Fuente: II jornadas Asticnet)
La regulacin de ENS viene determinada en el Real Decreto 3/2010, de 8 de
enero y que se prev en el artculo 42 de la Ley 11/2007, de 22 de junio, de acceso
electrnico de los ciudadanos a los Servicios Pblicos.
El ENS es el resultado del trabajo conjunto de todas las Administraciones
Pblicas con el apoyo del Centro Criptolgico Nacional, a los que hay que sumar la
aportacin de profesionales externos.
El objetivo fundamental del ENS es que todos los rganos superiores de las
administraciones pblicas dispongan de una poltica de seguridad que garantice
el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y
conservacin de los datos, informaciones y servicios utilizados
en medios
electrnicos.
Como objetivos fundamentales del ENS, podemos resear:
Creacin de las condiciones necesarias en el uso de medios
electrnicos.
Aportar un lenguaje comn para la interaccin entre las
administraciones pblicas.
En el ENS se categorizan los sistemas para que la adopcin de medidas de
seguridad sean proporcionales a la naturaleza de la informacin y de los sistemas
y servicios a proteger. Para que el principio de proporcionalidad se aplique
correctamente, se categorizan los sistemas en tres escalones, en funcin de la
valoracin del impacto que un incidente tendra en la seguridad de la informacin
o de los servicios.
100

La auditora de seguridad que verifica el cumplimiento del ENS se debe
llevar a cabo al menos cada dos aos en el caso de sistemas de categora Media y
Alta.
6.1. Gua de Auditora

El Centro Criptolgico Nacional, tiene entre sus funciones la de elaborar y
difundir normas, instrucciones, guas y recomendaciones para garantizar la
seguridad de los sistemas de las tecnologas de la informacin y las
comunicaciones de la Administracin, materializada en la existencia de la serie de
documentos CCN-STIIC (STIC), tal y como consta en la Gua de Seguridad CCNSTIC-802) [STIC 10].
La gua CCN-STIC-802, hecha por y para las Administraciones Pblicas,
define un marco de referencia para poder llevar a cabo auditoras de sistemas de
las tecnologas de la informacin y como tal, establece pautas de carcter general
que puedan ser aplicadas a entidades con diferente tipologa.
Esta gua de auditora [STIC 10], se encuadra dentro de lo previsto en la Ley
11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios
Pblicos, y especficamente dentro del artculo 34 (Auditora de Seguridad) y del
Anexo III (Auditora de la Seguridad) del Real Decreto 3/2010 de 8 de enero, por el
que se regula el Esquema Nacional de Seguridad en el mbito de la
Administracin Electrnica.
La gua [STIC 10] tiene como objetivo establecer unas premisas mnimas de
ejecucin de auditoras, que asegure una realizacin lo ms homognea posible
sin que ello implique la utilizacin de una metodologa determinada.
6.2. El objeto de la auditora

La gua [STIC 10], propone como objeto de una auditora dar cumplimiento
a lo que se establece en el artculo 34 y en el anexo III del Real Decreto 3/2010.
El resultado de la auditora, segn [STIC 10], emitir una opinin
independiente y objetiva sobre el cumplimiento de las normas, que permita a los
101

responsables de la entidad u organismo, la toma de decisiones adecuadas para la
subsanacin de las deficiencias identificadas y para alcanzar el nivel de seguridad
adecuado.
Por tanto, el objetivo final de la auditora, ser certificar la seguridad del
sistema que haya sido objeto de la misma y poder asegurar la integridad,
disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios
prestados y de la informacin tratada.
6.3. Desarrollo y ejecucin de la auditora

La gua [STIC 10], presenta un esquema tradicional para la realizacin de
una auditora:
Alcance y objetivo de la auditora
Composicin del equipo auditor
Planificacin preliminar de la auditora
Programa de auditora
Revisiones y pruebas de auditora
Elaboracin y presentacin de resultados y pruebas de auditora
Presentacin del informe de auditora
6.3.1. Alcance y objetivo de la auditora
La gua [STIC 10], presenta de manera esquematizada los puntos que se
deben recoger en este primer paso de ejecucin de una auditora:
El alcance y el objetivo de la auditora debe estar claramente definido,
documentado y consensuado entre el equipo auditor y el rgano
(Administracin Pblica, entidad de derecho pblico,) que haya
solicitado la auditora.
Se deber establecer claramente el lmite hasta donde se audita.
Dado que las medidas de seguridad objeto de la auditora, pueden
abarcar medidas de diversa naturaleza (fsica, lgica, organizativa,),
102

ser necesario identificar los elementos que forman parte del alcance
de la auditora (ej. Polticas de seguridad, tipo de datos que se
manejan, personal afectado por la auditora, conexiones externas con
otros organismos pblicos y/o privados, legislacin que afecta al
sistema de informacin objeto de la auditora,)
Por ltimo, la gua [STIC 10] deja claro que no debe ser objeto de
auditora la ejecucin de cualquier accin que pueda ser considerada
como responsabilidad de consultora o similar, para poder garantizar
la independencia y objetividad del auditor.
6.3.2. Composicin del equipo auditor
En este segundo punto, la gua [STIC 10] relaciona como debe ser la
composicin del equipo auditor y qu requisitos son los que debe cumplir:
El equipo auditor deber estar compuesto por un conjunto de
profesionales, que disponga de los conocimientos suficientes para
asegurar la correcta ejecucin de la auditora.
El equipo puede estar compuesto slo por auditores internos, slo por
auditores externos o bien puede ser un equipo de trabajo mixto. En
cualquier caso, ser necesario cumplir los siguientes requisitos:
Si es un equipo de auditores internos, deber ser totalmente

independiente de la organizacin, sistemas o servicios que
sean objeto de la auditora [STIC 10].
Si en el equipo participan auditores externos e internos, debe

quedar claro el equipo que es responsable de la auditora as
como establecer con claridad las responsabilidades y
funciones de cada uno de los integrantes del equipo auditor.
Se deber determinar con claridad, la propiedad de la

documentacin de trabajo y de las evidencias de auditora,
independientemente de la composicin del equipo. As
mismo, debe establecerse de manera inequvoca la
responsabilidad del informe de auditora.
103

En el caso en que la auditora se lleve a cabo por un equipo de

auditores externos o bien por auditores internos en los que se
haya incorporado a expertos externos, se debern firmar las
clusulas de confidencialidad necesarias.
Con relacin a la responsabilidad del equipo auditor, sus pruebas y

revisiones no deben limitarse a la revisin de documentos, sino a la
obtencin de evidencias eficaces que sustenten el informe final.
6.3.3. Planificacin preliminar de la auditora
La gua [STIC 10], en la planificacin preliminar de la auditora relaciona las
tareas habituales descritas en los modelos clsicos de ejecucin de una auditora,
que consiste bsicamente en el establecimiento de los requisitos de informacin y
documentacin necesarios para desarrollar el programa de auditora, definir las
pruebas a auditar, las entrevistas y revisiones.
La aportacin que hace la gua [STIC 10], con relacin a otros marcos de
referencia y/o metodologas tradicionales es el hecho de especificar cul debe ser
la documentacin mnima necesaria para concretar la planificacin de la auditora
del cumplimiento del Real Decreto 3/2010:
Documentos firmados por el rgano superior correspondiente, que
muestren el conocimiento y la aprobacin formal de las decisiones en
materia de poltica de seguridad.
Organigrama de las reas afectadas.
Identificacin de los responsables.
Descripcin detallada del sistema a auditar.
Identificacin de la categora del sistema segn el Anexo I del RD
3/2010.
Poltica de seguridad, de firma electrnica, normativa de seguridad.
Descripcin detallada del sistema de gestin de la seguridad.
Informe de Anlisis de Riesgos.
Decisiones adoptadas para gestionar los riesgos.
104

6.3.4. Programa de auditora
Dado que la gua [STIC 10], como dijimos al comienzo de este apartado,
funciona como marco de referencia, en este paso de ejecucin de auditora se
seala en primer lugar que en cada contexto de auditora se debern disear las
revisiones y pruebas de validacin, definiendo en qu consistirn cada una de
ellas y estableciendo los recursos necesarios para llevarlas a cabo [STIC 10].
6.3.5. Elaboracin y presentacin de resultados y pruebas de
auditora
Para la gua [STIC 10], el objetivo principal en este momento de la auditora
es la presentacin de los resultados de las revisiones y pruebas, con carcter
previo a la emisin y presentacin del informe de auditora, y que servir para
reforzar la eficacia del mismo, ya que, al confirmar la veracidad de los resultados
de las pruebas y sin existir ninguna otra consideracin no tenida en cuenta, se
puede cambiar la evaluacin del cumplimiento de un requisito de seguridad.
La especificidad que presenta esta gua, con relacin a otros posibles
marcos de referencia y/o metodologas de auditora, se refiere al estricto
cumplimiento de lo establecido en el RD 3/2010 y en el Ttulo VIII del RD
1720/2007, ya que en el caso de observarse alguna deficiencia que pueda implicar
riesgos en la proteccin de la informacin, debe ser sealado.
6.3.6. Presentacin del informe de auditora
Concluidas las anteriores etapas, la presentacin del informe de auditora,
segn la gua de seguridad [STIC 10], deber incluir una opinin sobre: la poltica
de seguridad, los procedimientos de resolucin de conflictos, si existe un sistema
de gestin de la seguridad de la informacin regulado y documentado, si se ha
realizado anlisis de riesgos y si existe un sistema de gestin de mejora continua.
En comparacin con otras metodologas y/o marcos de referencia la gua de
seguridad [STIC 10] presenta como diferencia, el obligado cumplimiento en cada
una de las etapas de la auditora de lo especificado en la normativa (Real Decreto
3/2010 y la Ley 11/2007).
105

6.4. Anexos
Por ltimo, la gua [STIC 10], presenta un conjunto de anexos que
relacionamos a continuacin - que definen diferentes requisitos, modelos y
glosario de trminos.
Anexo A. Requisitos para el equipo auditor
Anexo B. Incorporacin de expertos al equipo de auditora
Anexo C. Concurrencia con el ttulo VIII del RD 1720/2007
Anexo D. Modelo de acuerdo de confidencialidad
Anexo E. Glosario de trminos.
Anexo F. Bibliografa de referencia
7. Normas de Auditora de Sistemas de Informacin de ISACA

Information Systems Audit and Control Association (ISACA) es una
asociacin reconocida mundialmente, dedicada al desarrollo de los conocimientos
relacionados con la seguridad y auditora de los sistemas de informacin, el
gobierno TI de la empresa, los riesgos relacionados con las TI y el cumplimiento.
Fundada en 1969, ISACA desarrolla estndares internacionales de auditora y
normas de control.
ISACA aprob las Normas de Auditora de Sistemas de Informacin [ISAC
07], de aplicacin obligatoria para los auditores de sistemas de informacin con la
certificacin CISA (Certified Information Systems Auditor) que gestiona y concede
la propia asociacin ISACA.
Los objetivos de estas normas [ISAC 07], son los de informar a los auditores
del nivel mnimo de rendimiento aceptable para satisfacer las responsabilidades
profesionales establecidas en el Cdigo de tica Profesional y de informar a la
gerencia y a otras partes interesadas de las expectativas de la profesin con
respecto al trabajo de aquellos que la ejercen.
En la actualidad existen 16 normas publicadas [ISAC 07], las cuales citamos
a continuacin:
106

S1 Estatuto de Auditora
S2 Independencia
S3 tica y normas profesionales
S4 Competencia profesional
S5 Planeacin
S6 Realizacin de labores de auditora
S7 Reporte
S8 Actividades de seguimiento
S9 Irregularidades y acciones ilegales
S10 Gobernabilidad de TI
S11 Uso de la evaluacin de riesgos en la planeacin de auditora
S12 Materialidad de la auditora
S13 Uso del trabajo de otros expertos
S14 Evidencia de auditora
S15 Controles de TI
S16 Comercio electrnico
Cada una de estas normas puede ser consultada y descargada del sitio web
de ISACA, [ISAC 07].
8. ITIL: Information Technology Infrastructure Library8
ITIL fue desarrollada a finales de los 80 como una gua para el gobierno
britnico y se ha acabado convirtiendo en un estndar mundial para la Gestin de
Servicios Informticos. Su estructura ha demostrado ser til para todas las
organizaciones y para todos los sectores mediante su adopcin por innumerables
compaas como base para la consulta, formacin y soporte de herramientas de
software.
ITIL es una gua de las mejores prcticas destinadas a facilitar la entrega de
servicios de tecnologas de la informacin. ITIL est formado por un conjunto de
procedimientos que permiten a las organizaciones conseguir la calidad y la
8
Biblioteca de infraestructura de Tecnologas de la Informacin
107

eficiencia en las operaciones de TI. Todos los procedimientos son independientes
del proveedor y abarcan toda la infraestructura, el desarrollo y las operaciones de
TI.
8.1. ITIL v 3.0

Cuando fue creada en los 80s, ITIL constaba de 10 libros centrales que
cubran las dos principales reas de Soporte del Servicio y de Prestacin del
Servicio; libros que fueron ms tarde soportados por 30 libros complementarios.
Desde el ao 2000, se ha ido acometiendo una revisin de la biblioteca,
intentando conseguir un acceso ms simple a la informacin. En la actualidad ITIL
se encuentra en su versin 3.0 y est formada por cinco libros [http://www.itilofficialsite.com/], que relacionamos a continuacin:
Libro 1. Estrategia del Servicio: Trata sobre el alineamiento del negocio y
la TI para que cada uno de ellos obtenga lo mejor del otro. Abunda en las claves
de las estrategias de gestin de los servicios y la planificacin del valor, es decir,
en la relacin de la estrategia del servicio informtico con las necesidades de la
organizacin y en la planificacin e implementacin de la estrategia del servicio.
Libro 2. Diseo del Servicio: Este libro se centra en la generacin y
mantenimiento de las polticas informticas as como en la creacin de la
arquitectura y documentacin necesaria para el diseo de los procesos y que las
soluciones de servicios de infraestructuras sea acertados e innovadores.
Libro 3.
Transicin al
Servicio:
En este libro
se
presentan
recomendaciones y actividades de proceso para la transicin de los servicios en el

entorno empresarial. Considera la gestin del cambio as como los riesgos,
beneficios, mecanismos de entrega y el apoyo de los servicios operacionales
continuos.
Libro 4. Operaciones de Servicio: El libro presenta con detalle cmo
llevar a cabo el control de las actividades necesarias para lograr la excelencia en
las operaciones del da a da.
108

Libro 5. Mejora continua del servicio: Este libro se presenta como una
gua para introducir elementos de mejora en la gestin de los servicios TI,
incluyendo las cuestiones relacionadas con la retirada de los servicios.
Todos los libros mantienen la misma estructura diferenciando Objetivos,
Conceptos clave, Procedimientos, Modelos y Salidas y Documentacin.
Cada uno de estos libros representa una de las fases del ciclo de vida del
servicio de TI, que son un reflejo de un ciclo Deming (PDCA). Por tanto, no son
independientes y aislados del resto sino que se establecen mltiples
interrelaciones entre ellos que afectan al ciclo de vida del servicio.
Figura 4.11. Ciclo Deming Ciclo de vida de servicio segn ITIL
109

CAPTULO V:
Metodologas
y/o
estndares
para el
anlisis y la
gestin de
riesgos
110

1. Introduccin
Existen en la actualidad un nmero importante de metodologas y
estndares o normas que tratan el anlisis y la gestin de riesgos, tanto en el
mbito local como Internacional. Dichas metodologas y estndares, se ofrecen a
las diferentes organizaciones como guas para llevar a cabo un adecuado anlisis y
gestin de riesgos bajo un proceso estandarizado y normalizado, lo cual ayuda a
mejorar el desarrollo del proceso y por ende los resultados esperados.
Encontramos estndares y/o metodologas orientadas a la gestin de
riesgos de carcter general, es decir que son aplicables a cualquier rea o sector
como es el caso del estndar AS/NZS ISO 31000:2009 y otras que son aplicables a
sectores especficos, siendo nuestro objetivo aquellas que tienen que ver en
concreto con las tecnologas de la informacin (sistemas de informacin, sistemas
informticos).
La seleccin de las normas y metodologas a estudiar se ha realizado con
base en la relevancia, mbito de aplicacin y mbito geogrfico de la norma,
prestando inters particular en las normas de mbito local dado el objetivo de
aplicacin del presente trabajo.
Al final del captulo se presenta un listado que recopila diversos estndares
y metodologas para informacin del lector.
Para iniciar nuestro estudio de dichos estndares y metodologas hemos
seleccionado el estndar de carcter general AS/NZS ISO 31000:2009, que es un
estndar internacional de referencia y que aporta elementos generales
importantes para la gestin de riesgos. Continuaremos con estndares y
metodologas propias del mbito del presente trabajo.
La descripcin de cada metodologa y/o estndar se ha tomado de los
documentos oficiales de cada una de ellas, y de sus respectivas webs donde
ofrecen informacin de carcter general.
2. La norma AS/NZS ISO 31000:2009

La norma AS/NZS ISO 31000:2009, [AS/NZS 09] surge como remplazo a la
norma AS/NZS 4360:2004, estndar australiano para la gestin de riesgos
111

ampliamente conocido y utilizado a nivel mundial. Ha sido elaborada con
participacin conjunta entre la Organizacin Internacional para la Estandarizacin
- ISO y el Comit de Normas de Australia / Nueva Zelanda.
Este estndar, suministra orientaciones genricas para la gestin de riesgos,
pudindose aplicar a una gran variedad de actividades, decisiones u operaciones
de cualquier entidad pblica o privada.
Dentro de las novedades en esta versin se ha incorporado conceptos
adicionales al estndar Australiano Neozelands AS/NZS 4360:2004 y entre sus
principios ms importantes se encuentran los siguientes, [AS/NZS 09]:
Define el riesgo como un efecto de incertidumbre en el logro de los

objetivos
Los principios que recomienda seguir por las organizaciones son ms

explcitos que su antecesor AS/NZS 4360:2004.
Aconseja integrar en forma explcita el mejoramiento continuo de la

estructura de administracin de riesgo.
Incorpora un anexo informativo donde describe los atributos que deberan
considerar las organizaciones para apuntar al nivel ms alto de desempeo en la

gestin de riesgos, en relacin con la criticidad de las decisiones a tomar, e indica
algunos indicadores tangibles para cada atributo.
La norma est formada por 5 clusulas y un anexo. A continuacin citamos
los aspectos principales de cada clusula, que han sido tomados directamente de
la norma, [AS/NZS 09]:
Clusula 1: Alcance
El estndar tiene como objetivo ayudar a las organizaciones de todo tipo y
tamao a gestionar sus riesgos con efectividad. Proporciona los principios, el
marco y un proceso destinado a gestionar cualquier tipo de riesgo en una manera
transparente, sistemtica y creble dentro de cualquier alcance o contexto.
112

Clusula 2: Trminos y definiciones
Esta clusula presenta una serie de trminos y definiciones que se usan a lo
largo del desarrollo del documento del estndar y del proceso de gestin de
riesgos.
Clusula 3: Principios
Para el estndar la gestin de riesgos se basa en los siguientes principios
Crea valor en la organizacin y lo preserva.
Est integrada en los procesos de la organizacin.
Forma parte de la toma de decisiones.
Trata explcitamente la incertidumbre.
Es sistemtica, estructurada y oportuna.
Est basada en la mejor informacin disponible.
Est hecha a medida.
Tiene en cuenta factores humanos y culturales.
Es transparente e inclusiva.
Es dinmica, iterativa y sensible al cambio.
Facilita la mejora continua de la organizacin.
Clusula 4: Estructura
En esta clusula se describe un marco o estructura general para la gestin
de los riesgos en forma de ciclo PDCA (PlanDoCheckAct) de mejora continua
que no pretende ser en s mismo un sistema de gestin certificable, sino ms bien
ayudar a la organizacin a integrar la gestin. Es importante aclarar que esta no es
una norma certificable, como otras de la familia ISO.
En la siguiente figura se resume de forma grfica, el contenido de esta
clusula.
113

Compromiso de la direccin
Diseo de la estructura para gestionar riesgos

Comprender la organizacin y su contexto
Establecimiento de la poltica e gestin de riesgos
Responsabilidad
Integracin en los procesos de organizacin
Recursos
Establecimiento de mecanismos de comunicacin interna e
informacin
Establecimiento de mecanismos de comunicacin externa e
informacin
Implantacin de la Gestin de Riesgos
Implantacin de la estructura para
gestionar los riesgos
Implantacin del proceso de
gestin de riesgos
Mejora continua de la estructura
Seguimiento y revisin de la
estructura
Figura 5.1. Marco general para la gestin de riesgos. [AS/NZS 09]
Clusula 5: Procesos
A travs de esta clusula se define un proceso para la gestin de los riesgos
que debera formar parte de la gestin, integrarse en su cultura y prcticas, y
adaptarse a los distintos procesos operativos de la organizacin. Estos procesos se
han conservado con respecto a la norma AS/NZS 4360:2004. El estndar establece
cinco actividades bsicas que se interrelacionan para llevar a cabo el proceso de
gestin de riesgos y que se ilustran en las figuras 5.2 y 5.3.
114

Establecer el contexto
Evaluacin de riesgos
Comunicacin
Identificar los riesgos
Seguimiento y
revisin
y consulta
Analizar los riesgos
Evaluar los riesgos
Tratar los riesgos
Figura 5.2. Proceso para la gestin de riesgos. [AS/NZS 09]
115

Figura 5.3. Proceso detallado para la gestin de riesgos. [AS/NZS 09]
Finalmente en la figura 5.4 podemos ver la interrelacin de las clusulas 3 a

5, que son a travs de las que se fundamenta y desarrolla el proceso de gestin de
riesgos:
116

Clusula 4: Estructura
Clusula 3: Principios
Clusula 5:
Proceso
1.
2.
Establecer el
contexto
Compromiso de la direccin
Implantacin de la gestin de riesgos
Seguimiento y revisin de la
estructura
Mejora continua de la estructura
Evaluacin de
riesgos
Identificar los
riesgos
Analizar los
riesgos
Evaluar los
riesgos
Tratar los
riesgos
Figura 5.4. Interrelacin clusulas 3 a 5. [AS/NZS 09]
Anexo A: Atributos para mejorar la gestin de riesgos

Donde se describen los atributos que deberan considerar las
organizaciones para apuntar al nivel ms alto de desempeo en la gestin de
riesgos, en relacin con la criticidad de las decisiones a tomar, e indica algunos
indicadores tangibles para cada atributo.
3. Norma UNE 71504:2008.- Metodologa de anlisis y gestin de

riesgos para los sistemas de informacin
Esta norma ha sido desarrollada por el comit tcnico AEN/CTN 71
Tecnologa de la informacin, de AENOR - Asociacin Espaola de Normalizacin y
Certificacin, [AENO 08]. Tal y como se indica en la norma su campo de aplicacin
est dirigido a los sistemas de tratamiento de la informacin, a los procesos de
negocio que soportan, como son: toda la informacin que fluye en el proceso, el
117
Seguimiento y revisin
Diseo de la estructura de soporte
Comunicacin y consulta
Crea valor
Est integrada en los procesos
de la organizacin
3. Forma parte de la toma de
decisiones
4. Trata explcitamente la
incertidumbre
5. Es sistemtica, estructurada y
adecuada
6. Est basada en la mejor
informacin disponible
7. Est hecha a medida
8. Tiene en cuenta factores
humanos y culturales
9. Es transparente e inclusiva
10. Es dinmica, iterativa y sensible
al cambio
11. Facilita la mejora continua de la
organizacin

marco legislativo, el equipo humano, las aplicaciones informticas, el
equipamiento informtico, las redes de comunicaciones, las instalaciones y otro
equipo auxiliar.
La norma establece los requisitos que debe cumplir el mtodo para:
Analizar los riesgos a que estn expuestos los sistemas de informacin.
Analizar las salvaguardas desplegadas para su proteccin
Estimar el riesgo residual y
Gestionar dichos riesgos
Conforme a lo expuesto en esta norma, para una adecuada gestin de los
riesgos es necesario:
Un mtodo de anlisis cualitativo o cuantitativo que permita identificar
y calibrar los riesgos a los que est expuesta la organizacin.
Un procedimiento de evaluacin de los riesgos: que permita traducir los
riesgos tcnicos en trminos de negocio o servicio.
Un procedimiento de tratamiento: que permita interpretar las
decisiones de negocio en trminos tcnicos y materializarlas de forma
que el sistema de informacin se alinee efectivamente con las
decisiones de la direccin.
Para desarrollar lo expuesto anteriormente la metodologa UNE
71504:2008 para el anlisis y la gestin de riesgos, propone una serie de
actividades agrupadas en Mtodo de Anlisis, Evaluacin de Riesgos, Tratamiento
de los Riesgos y Administracin de la Gestin de Riesgos.
El mtodo de anlisis de riesgos a los que est expuesto un sistema se
lleva a cabo mediante la ejecucin de una serie de actividades que
pretende establecer el contexto o marco en el que se gestiona el
riesgo, la caracterizacin de los activos del sistema de informacin, de
las amenazas, la determinacin del riesgo potencial y la
caracterizacin de las salvaguardas.
118

La evaluacin de los riesgos
El tratamiento que se dar a los riesgos, para aquellos riesgos cuya
evaluacin determine que no son aceptables por la organizacin se
aplicar un tratamiento adecuado, para aquellos riesgos que se
acepten, se dispondr de un sistema de monitorizacin que garantice
que permanecen en el nivel estimado
Para aplicar el tratamiento elegido se elaborara un plan de accin o
plan de seguridad, el cual deber ser aprobado por la direccin
La administracin de la gestin de riesgos. El anlisis y tratamiento de
los riesgos debe ser una actividad recurrente, para lo cual el proceso
de gestin debe estar definido, ser vlido, estar cuantificado, estar
previsto su plan de revisin y actualizacin regular y adems deber
ser auditado y estar coordinado con el proceso de gestin de cambios.
Esta norma cuenta con una serie de anexos que apoyan el proceso de
anlisis y gestin de riesgos, que se citan a continuacin:
Anexo A: Trminos en ingls
Anexo B: Evaluacin de riesgos
Anexo C: Organizacin interna
Anexo D: Requisitos necesarios para el xito
Anexo E: Malas prcticas
Anexo F: Modelo de Madurez
4. MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los

Sistemas de Informacin
La metodologa MAGERIT [MAGE 06], ha sido desarrollada por el Consejo
Superior de Administracin Electrnica, y publicada por el entonces Ministerio de
Administraciones Pblicas de Espaa, hoy en da Ministerio de Hacienda y
Administraciones Pblicas
La primera versin se public en 1997. En 2006 se publica la versin 2.0
(que ha sido la utilizada para el desarrollo de este trabajo, ya que era la que
119

estaba vigente en el momento de iniciar el proyecto y en el transcurso del
desarrollo del mismo). Recientemente, octubre 2012, se ha publicado la versin
3.0, que segn se comenta en [CALI 12], introduce los siguientes cambios
respecto a la versin anterior:
Mejor alineamiento con la normativa ISO, buscando una integracin de
las tareas de anlisis de riesgos dentro de un marco organizacional de
gestin de riesgos dirigido desde los rganos de gobierno.
Aligerar el texto.
Eliminar partes poco importantes o poco usadas.
Normalizar las siguientes actividades:
MAR - Mtodo de Anlisis de Riesgos.
PAR Proyecto de Anlisis de Riesgos.
PS Plan de seguridad.
Se trata de una metodologa abierta, de uso muy extendido en el mbito

espaol, y de uso generalizado en la Administracin Pblica Espaola.
Dispone de una herramienta de soporte, PILAR II (Proceso InformticoLgico para el Anlisis y la gestin de Riesgos), de uso gratuito para la
Administracin Pblica espaola y comercial para organizaciones privadas.
4.1. Finalidad de MAGERIT

Segn lo expuesto por el equipo de desarrollo de MAGERIT en [MAGE 06],
el anlisis y gestin de los riesgos es un aspecto clave del Real Decreto 3/2010, de
8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito
de la Administracin Electrnica que tiene la finalidad de poder dar satisfaccin al
principio de proporcionalidad en el cumplimiento de los principios bsicos y
requisitos mnimos para la proteccin adecuada de la informacin.
MAGERIT es un instrumento para facilitar la implantacin y aplicacin del
Esquema Nacional de Seguridad proporcionando los principios bsicos y requisitos
mnimos para la proteccin adecuada de la informacin.
120

4.2. Objetivos de MAGERIT
Como se indica en [MAGE 06], MAGERIT persigue los siguientes objetivos:
Concienciar a los responsables de los sistemas de informacin de la
existencia de riesgos y de la necesidad de atajarlos a tiempo.
Ofrecer un mtodo sistemtico para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control.
Preparar a la Organizacin para procesos de evaluacin, auditora,
certificacin o acreditacin, segn corresponda en cada caso.
MAGERIT [MAGE 06], permite:
Estudiar los riesgos que soporta un sistema de informacin y el entorno
asociado a l. MAGERIT propone la realizacin de un anlisis de los riesgos
que implica la evaluacin del impacto que una violacin de la seguridad
tiene en la organizacin. Seala los riesgos existentes, identificando las
amenazas que acechan al sistema de informacin y determina la
vulnerabilidad del sistema de prevencin de dichas amenazas, obteniendo
unos resultados.
Los resultados del anlisis de riesgos permiten a la gestin de riesgos
recomendar las medidas apropiadas que deberan adoptarse para
conocer, prevenir, impedir, reducir o controlar los riesgos identificados y
as reducir al mnimo su potencialidad o sus posibles perjuicios.
4.3. Organizacin de las guas de MAGERIT

De acuerdo a lo que se indica en la web oficial de MAGERIT [MAGE 06], el
desarrollo de la metodologa se ha estructurado en tres guas: Mtodo, Catlogo
de Elementos y Gua de Tcnicas.
El Mtodo, describe los pasos y las tareas bsicas para realizar un
proyecto de anlisis y gestin de riesgos, y proporciona una serie de
121

aspectos prcticos. Es la gua principal donde se explica detallada la
metodologa
El Catlogo de Elementos, ofrece unas pautas y elementos estndar en
cuanto a: tipos de activos, dimensiones de valoracin de los activos,
criterios de valoracin de los activos, amenazas tpicas sobre los sistemas
de informacin y salvaguardas a considerar para proteger sistemas de
informacin.
La Gua de Tcnicas, es una gua de consulta que proporciona algunas
tcnicas que se emplean habitualmente para llevar a cabo proyectos de
anlisis y gestin de riesgos: tcnicas especficas para el anlisis de
riesgos, anlisis mediante tablas, anlisis algortmicos, rboles de ataque,
tcnicas generales, anlisis coste-beneficio, diagramas de flujo de datos,
diagramas de procesos, tcnicas grficas, planificacin de proyectos,
sesiones de trabajo (entrevistas, reuniones y presentaciones) y valoracin
Delphi.
Magerit adems propone un conjunto de informes en los cuales se recogen
los principales hallazgos y conclusiones en un proyecto de anlisis y gestin de
riesgos, los cuales se describen a continuacin.
Modelo de valor: Caracterizacin del valor que representan los activos
para la Organizacin as como de las dependencias entre los diferentes
activos.
Mapa de riesgos: Relacin de las amenazas a que estn expuestos los
activos.
Evaluacin de salvaguardas: Evaluacin de la eficacia de las salvaguardas
existentes en relacin al riesgo que afrontan.
Estado de riesgo: Caracterizacin de los activos por su riesgo residual; es
decir, por lo que puede pasar tomando en consideracin las salvaguardas
desplegadas.
Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que
aparecen como oportunas para reducir los riesgos sobre el sistema.
122

Plan de seguridad: Conjunto de programas de seguridad que permiten
materializar las decisiones de gestin de riesgos
4.4. Productos y servicios complementarios

PILAR [MAGE 06], es una herramienta que implementa la metodologa
MAGERIT de anlisis y gestin de riesgos, desarrollada por el Centro Criptolgico
Nacional (CCN) y de amplia utilizacin en la administracin pblica espaola.
4.5. El anlisis y la gestin de riesgos en MAGERIT

De acuerdo con lo propuesto en la metodologa [MAGE 06], las dos grandes
tareas a realizar son: el anlisis de riesgos y la gestin de riesgos. Vamos a hacer
una breve descripcin sobre la forma en que lo trata la metodologa MAGERIT.
El anlisis de riesgos permite determinar qu tiene la Organizacin y hacer
una estimacin sobre lo que puede pasar, dicho de otra manera, es una
aproximacin metdica para determinar el riesgo siguiendo unos pasos pautados.
Los elementos con los que trabaja el anlisis de riesgo son:
Activos, que son los elementos del sistema de informacin (o
estrechamente relacionados con este) que aportan valor a la
Organizacin.
Amenazas, que son aquellas actuaciones o eventos que les pueden pasar
a los activos causando un perjuicio a la Organizacin.
Salvaguardas (o contramedidas), que no son sino elementos de defensa
desplegados para que aquellas amenazas causen el menor dao posible.
Con estos elementos se puede estimar el impacto, es decir, lo que podra
pasar y el riesgo, lo que probablemente pase.
La gestin de riesgos, permite organizar la defensa de manera concienzuda
y prudente, posibilitando defensas para que no pase nada malo y al tiempo
estando preparados para atajar las emergencias, sobrevivir a los incidentes y
seguir operando en las mejores condiciones. Como nada es perfecto, se dice que
el riesgo se reduce a un nivel residual que la Direccin asume.
123

Informalmente, se puede decir que la gestin de la seguridad de un sistema
de informacin es la gestin de sus riesgos y que el anlisis permite racionalizar
dicha gestin.
A manera de resumen y antes de entrar a detallar la metodologa,
presentamos los elementos principales del proceso de anlisis y gestin de
riesgos, propuestos por la metodologa, a travs del siguiente grfico.
124

Figura 5.5. Resumen elementos del proceso de anlisis y gestin de

riesgos en Magerit
125

4.5.1. El Anlisis de Riesgos segn Magerit
Tal y como hemos definido en el apartado anterior, el anlisis de riesgos
para Magerit [MAGE 06], es una aproximacin metdica para determinar el
riesgo siguiendo unos pasos pautados que permiten:
Determinar los activos relevantes para la Organizacin, su interrelacin y
su valor, en el sentido de qu perjuicio (coste) supondra su degradacin.
Determinar a qu amenazas estn expuestos aquellos activos
Determinar qu salvaguardas hay dispuestas y cun eficaces son frente al
riesgo
Estimar el impacto, definido como el dao sobre el activo derivado de la
materializacin de la amenaza
Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materializacin) de la amenaza
Magerit [MAGE 06], presenta el proceso seguido para el anlisis de riesgos,
tratando primero los pasos 1, 2, 4 y 5, y finalmente el paso 3. La razn expuesta
para saltar el paso 3 es que esto permite, tal y como lo indican en el libro, que las
estimaciones de impacto y riesgo sean potenciales, es decir, caso de que no
hubiera salvaguarda alguna desplegada. Una vez obtenido este escenario terico,
se incorporan las salvaguardas del paso 3, derivando estimaciones realistas de
impacto y riesgo.
A continuacin se detallan cada uno de estos pasos siguiendo la

presentacin sugerida por la metodologa.
126

Paso 1: Activos
En Magerit [MAGE 06], se denominan activos a los recursos del sistema de
informacin o relacionados con ste, necesarios para que la Organizacin
funcione correctamente y alcance los objetivos propuestos por su direccin.
El activo esencial es la informacin que maneja el sistema; o sea los datos. Y
alrededor de estos datos se pueden identificar otros activos relevantes:
Los servicios
Las aplicaciones informticas (software)
Los equipos informticos (hardware)
Los soportes de informacin
El equipamiento auxiliar
Las redes de comunicaciones
Las instalaciones
Las personas
En este punto de la metodologa se tienen en cuenta diversos aspectos para
la categorizacin de los activos y las relaciones existentes entre ellos.
Para Magerit, no todos los activos son de la misma especie. Dependiendo
del tipo de activo, las amenazas y las salvaguardas son diferentes. El "Catlogo de
Elementos" presenta una relacin de tipos de activos.
Dentro de la metodologa encontramos un concepto muy importante para
realizar el anlisis de riesgos y es el de dependencia entre activos. Este concepto
indica la medida en que un activo superior se vera afectado por un incidente de
seguridad en un activo inferior.
Se dice que un activo superior depende de otro activo inferior cuando
las necesidades de seguridad del superior se reflejan en las necesidades de
seguridad del inferior.
MAGERIT [MAGE 06], ha desarrollado una forma de clasificacin de
dependencias entre activos que generalmente se dan en casi todas las
organizaciones y que describimos a continuacin.
127

Figura 5.6. Sistema de capas para el proceso de anlisis de riesgos en Magerit
En la capa 1- el entorno-, quedan encuadrados los activos que se precisan

para garantizar las siguientes capas: equipamiento y suministros (energa,
climatizacin, comunicaciones), personal (de direccin, de operacin, de
desarrollo, etc.) y otros como pueden ser edificios, mobiliario, etc.
En la capa 2, se encuentra el sistema de informacin propiamente dicho y
que
incluye
equipos
informticos
(hardware),
aplicaciones
(software),
comunicaciones y soportes de informacin.

En la capa 3, encontramos la informacin (datos y metadatos).
En la capa 4, se sitan las funciones de la Organizacin, que justifican la
existencia del sistema de informacin y le dan finalidad as como los objetivos y la
misin y los bienes y/o servicios producidos.
Por ltimo en la capa 5, podemos encontrar otros activos como pueden ser
la credibilidad o buena imagen, el conocimiento acumulado, la independencia de
criterio.
128

Otra caracterstica fundamental para los activos es su valor. El valor puede
ser propio, o puede ser acumulado. Se dice que los activos inferiores en un
esquema de dependencias, acumulan el valor de los activos que se apoyan en
ellos. El valor nuclear suele estar en la informacin (o datos) que el sistema
maneja, quedando los dems activos subordinados a las necesidades de
explotacin y proteccin de la informacin. La valoracin de un activo puede ser
cuantitativa o cualitativa.
Por ltimo, y dentro del concepto activo, cabe hablar de sus dimensiones
que se pueden calibrar desde diferentes ngulos: la autenticidad, la
confidencialidad, la integridad, la disponibilidad y la trazabilidad.
Figura 5.7. Dimensiones de un activo segn Magerit
Paso 2: Amenazas
El siguiente paso sugerido por la metodologa [MAGE 06], en el anlisis de
riesgos consiste en determinar las amenazas que pueden afectar a cada activo.
129

Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa
lo que puede pasarle a nuestros activos y causar un dao.
El captulo 5 del "Catlogo de Elementos" presenta una relacin de
amenazas tpicas.
No todas las amenazas afectan a todos los activos, sino que hay una cierta
relacin entre el tipo de activo y lo que le podra ocurrir. Cuando un activo es
vctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la
misma cuanta.
Una vez determinado que una amenaza puede perjudicar a un activo, hay
que estimar cun vulnerable es el activo, en dos sentidos: la degradacin y la
frecuencia.
La degradacin mide el dao causado por un incidente en el supuesto de
que ocurriera, es decir, cmo de perjudicado resultara el activo. La degradacin
se suele caracterizar como una fraccin del valor del activo y as aparecen
expresiones como que un activo se ha visto totalmente degradado, o
degradado en una pequea fraccin. Cuando las amenazas no son
intencionales, probablemente baste conocer la fraccin fsicamente perjudicada
de un activo para calcular la prdida proporcional de valor que se pierde. Pero
cuando la amenaza es intencional, no se puede pensar en proporcionalidad
alguna pues el atacante puede causar muchsimo dao de forma selectiva.
La frecuencia pone en perspectiva aquella degradacin, pues una amenaza
puede ser de terribles consecuencias pero de muy improbable materializacin;
mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan
frecuente como para acabar acumulando un dao considerable.
Paso 4: Determinacin del impacto

En Magerit [MAGE 06], se denomina impacto a la medida del dao sobre el
activo derivado de la materializacin de una amenaza. Conociendo el valor de los
activos (en varias dimensiones) y la degradacin que causan las amenazas, es
directo derivar el impacto que estas tendran sobre el sistema. La nica
consideracin que queda hacer es relativa a las dependencias entre activos. Es
130

frecuente que el valor del sistema de informacin se centre en los servicios que
presta y los datos que maneja, al tiempo que las amenazas suelen materializarse
en los medios.
Magerit diferencia dos tipos de impactos sobre un activo: el impacto
acumulado y el impacto repercutido.
El impacto acumulado se calcula sobre un activo teniendo en cuenta su
valor acumulado (el propio ms el acumulado de los activos que dependen de l)
y las amenazas a que est expuesto.
El impacto acumulado se calcula para cada activo, por cada amenaza y en
cada dimensin de valoracin, siendo una funcin del valor acumulado y de la
degradacin causada.
El impacto es tanto mayor cuanto mayor es el valor propio o acumulado
sobre un activo.
El impacto es tanto mayor cuanto mayor sea la degradacin del activo
atacado.
El impacto acumulado, al calcularse sobre los activos que soportan el peso
del sistema de informacin, permite determinar las salvaguardas de que hay que
dotar a los medios de trabajo: proteccin de los equipos, copias de respaldo, etc.
El impacto repercutido se calcula sobre un activo teniendo en cuenta su
valor propio y las amenazas a que estn expuestos los activos de los que depende.
El impacto repercutido se calcula para cada activo, por cada amenaza y en
cada dimensin de valoracin, siendo una funcin del valor propio y de la
degradacin causada.
El impacto es tanto mayor cuanto mayor es el valor propio de un activo.
El impacto es tanto mayor cuanto mayor sea la degradacin del activo
atacado.
El impacto es tanto mayor cuanto mayor sea la dependencia del activo
atacado.
El impacto repercutido, al calcularse sobre los activos que tienen valor
propio, permite determinar las consecuencias de las incidencias tcnicas sobre la
misin del sistema de informacin. Es pues una presentacin gerencial que ayuda
131

a tomar una de las decisiones crticas de un anlisis de riesgos: aceptar un cierto
nivel de riesgo.
Paso 5: Determinacin del riesgo

Para Magerit [MAGE 06], el riesgo es la medida del dao probable sobre un
sistema. Conociendo el impacto de las amenazas sobre los activos, es directo
derivar el riesgo sin ms que tener en cuenta la frecuencia de ocurrencia. El riesgo
crece con el impacto y con la frecuencia.
Sobre cada activo podemos tener riesgo acumulado, riesgo repercutido y
agregacin de riesgos.
Cuando hablamos de riesgo acumulado, es el que se calcula para un activo
teniendo en cuenta el impacto acumulado sobre un activo debido a una amenaza
y la frecuencia de la amenaza.
El riesgo acumulado se calcula para cada activo, por cada amenaza y en
cada dimensin de valoracin, siendo una funcin del valor acumulado, la
degradacin causada y la frecuencia de la amenaza.
El riesgo acumulado, al calcularse sobre los activos que soportan el peso del
sistema de informacin, permite determinar las salvaguardas de que hay que
dotar a los medios de trabajo: proteccin de los equipos, copias de respaldo, etc.
El riesgo repercutido es el calculado sobre un activo teniendo en cuenta el
impacto repercutido sobre un activo debido a una amenaza y la frecuencia de la
amenaza.
El riesgo repercutido se calcula para cada activo, por cada amenaza y en
cada dimensin de valoracin, siendo una funcin del valor propio, la degradacin
causada y la frecuencia de la amenaza.
El riesgo repercutido, al calcularse sobre los activos que tienen valor propio,
permite determinar las consecuencias de las incidencias tcnicas sobre la misin
del sistema de informacin. Es pues una presentacin gerencial que ayuda a
tomar una de las decisiones crticas de un anlisis de riesgos: aceptar un cierto
nivel de riesgo.
132

En los prrafos anteriores hemos reflejado los riesgos que sobre un activo
tendra una amenaza en una determinada dimensin. No obstante, estos riesgos
singulares pueden agregarse bajo ciertas condiciones:
puede agregarse el riesgo repercutido sobre diferentes activos,
puede agregarse el riesgo acumulado sobre activos que no sean
dependientes entre s, ni dependan de ningn activo superior comn,
no debe agregarse el riesgo acumulado sobre activos que no sean
independientes, pues ello supondra sobreponderar el riesgo al incluir
varias veces el valor acumulado de activos superiores,
puede agregarse el riesgo de diferentes amenazas sobre un mismo activo,
aunque conviene considerar en qu medida las diferentes amenazas son
independientes y pueden ser concurrentes,
puede agregarse el riesgo de una amenaza en diferentes dimensiones.
Paso 3: Salvaguardas
En los pasos anteriores no se han tomado en consideracin las salvaguardas
desplegadas. Se miden, por tanto, los impactos y riesgos a que estaran expuestos
los activos si no se protegieran en absoluto. En la prctica no es frecuente
encontrar sistemas desprotegidos: las medidas citadas indican lo que ocurrira si
se retiraran las salvaguardas presentes.
Se definen las salvaguardas o contramedidas como aquellos procedimientos
o mecanismos tecnolgicos que reducen el riesgo. Hay amenazas que se conjuran
simplemente organizndose adecuadamente, otras requieren elementos tcnicos
(programas o equipos), otra seguridad fsica y, por ltimo, est la poltica de
personal.
El captulo 6 del "Catlogo de Elementos" presenta una relacin de
salvaguardas adecuadas para cada tipo de activos.
Las salvaguardas intervienen en el clculo del riesgo de dos formas, o bien,
reduciendo la frecuencia de las amenazas o bien, limitando el dao causado. Las
primeras son las que llamamos salvaguardas preventivas, que en un caso ideal,
impiden completamente que la amenaza se materialice.
133

En el segundo caso, hay salvaguardas que limitan la posible degradacin,
mientras que otras permiten detectar inmediatamente el ataque para frenar que
la degradacin avance. Incluso algunas salvaguardas se limitan a permitir la
pronta recuperacin del sistema cuando la amenaza lo destruye. En cualquiera de
las versiones, la amenaza se materializa; pero las consecuencias se limitan.
Las salvaguardas se caracterizan, adems de por su existencia, por su
eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100%
eficaz, lo que implica que:
Es tericamente idnea
Est perfectamente desplegada, configurada y mantenida
Se emplea siempre
Existen procedimientos claros de uso normal y en caso de incidencias
Los usuarios estn formados y concienciados
Existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que estn de adorno y el 100% para
aquellas que son perfectas, se estimar un grado de eficacia real en cada caso
concreto.
Revisin del paso 4: impacto residual

Si se han hecho todos los deberes a la perfeccin, el impacto residual debe
ser despreciable.
Si hay deberes a medio hacer (normas imprecisas, procedimientos
incompletos, salvaguardas inadecuadas o insuficientes, o controles que no
controlan) entonces se dice que el sistema permanece sometido a un impacto
residual.
El clculo del impacto residual es sencillo. Como no han cambiado los
activos, ni sus dependencias, sino solamente la magnitud de la degradacin, se
repiten los clculos de impacto con este nuevo nivel de degradacin.
La magnitud de la degradacin tomando en cuenta la eficacia de las
salvaguardas, es la proporcin que resta entre la eficacia perfecta y la eficacia
real.
134

El impacto residual puede calcularse acumulado sobre los activos inferiores,
o repercutido sobre los activos superiores.
Revisin del paso 5: riesgo residual

Si se han hecho todos los deberes a la perfeccin, el riesgo residual debe
ser despreciable.
Si hay deberes a medio hacer (normas imprecisas, procedimientos
incompletos, salvaguardas inadecuadas o insuficientes, o controles que no
controlan) entonces se dice que el sistema permanece sometido a un riesgo
residual.
El clculo del riesgo residual es sencillo. Como no han cambiado los activos,
ni sus dependencias, sino solamente la magnitud de la degradacin y la frecuencia
de las amenazas, se repiten los clculos de riesgo usando el impacto residual y la
nueva tasa de ocurrencia.
La magnitud de la degradacin se toma en consideracin en el clculo del
impacto residual.
La magnitud de la frecuencia tomando en cuenta la eficacia de las
salvaguardas, es la proporcin que resta entre la eficacia perfecta y la eficacia
real.
El riesgo residual puede calcularse acumulado sobre los activos inferiores, o
repercutido sobre los activos superiores.
4.5.2. La Gestin de Riesgos segn Magerit
De acuerdo a lo sugerido en Magerit [MAGE 06], el anlisis de riesgos
determina impactos y riesgos. Los impactos recogen daos absolutos,
independientemente de que sea ms o menos probable que se d la
circunstancia. En cambio el riesgo pondera la probabilidad de que ocurra. El
impacto refleja el dao posible, mientras que el riesgo refleja el dao probable.
Si el impacto y el riesgo residuales son despreciables, se ha terminado. Si
no, hay que hacer algo.
135

4.5.2.1.
La interpretacin de los valores de impacto y riesgo
residuales
Impacto y riesgo residual son una medida del estado presente,
entre la inseguridad potencial (sin salvaguarda alguna) y las medidas
adecuadas que reducen impacto y riesgo a valores despreciables, se
puede decir que son una mtrica de carencias.
Si el valor residual es igual al valor potencial, las salvaguardas
existentes no valen para nada, tpicamente no porque no haya nada
hecho, sino porque hay elementos fundamentales sin hacer.
Si el valor residual es despreciable, ya est. Esto no quiere decir que
podamos bajar la guardia, pero s podemos afrontar el da a da con cierta
confianza. Si, por ltimo, el valor residual es algo ms que despreciable
(aunque sea poco), hay una cierta exposicin.
Es importante entender que un valor residual es slo un nmero.
Para poderlo interpretar correctamente se debe acompaar de la relacin
de lo que se debera hacer y no se ha hecho. Los responsables de la toma
de decisiones debern prestar cuidadosa atencin a esta relacin de
tareas pendientes, que se denomina Informe de Insuficiencias.
4.5.2.2.
Salvaguardas: seleccin y tipo
Las amenazas hay que intentar neutralizarlas, por principio y

mientras no se justifique lo contrario.
Hay que planificar el conjunto de salvaguardas pertinentes para
atajar tanto el impacto como el riesgo,
bien sea reduciendo la
degradacin del activo (minimizando el dao) o bien reduciendo la

frecuencia de la amenaza (minimizando sus oportunidades).
Toda amenaza debe ser conjurada profesionalmente, lo que quiere
decir que hay que:
1. establecer una poltica de la Organizacin al respecto, o sea, unas
directrices generales de quin es responsable de cada cosa
136

2. establecer una norma, o sea, unos objetivos a satisfacer para
poder decir con propiedad que la amenaza ha sido conjurada
3. establecer unos procedimientos, o sea, instrucciones paso a paso
de qu hay que hacer
4. desplegar salvaguardas tcnicas que efectivamente se enfrenten
a las amenazas con capacidad para conjurarlas
5. desplegar controles que permitan saber que todo lo anterior est
funcionando segn lo previsto.
A este conjunto de elementos se le encasilla habitualmente bajo el
nombre de Sistema de Gestin de la Seguridad de la Informacin (SGSI),
aunque se est gestionando tanto como actuando.
De lo expuesto anteriormente puede interpretarse que hay que
llevar a cabo todos y cada uno de los puntos para cada amenaza. No es
as. En la prctica lo dicho se traduce en desarrollar una poltica, unas
normas y unos procedimientos junto con el despliegue de una serie de
salvaguardas y controles y, ahora s, verificar que todas y cada una de las
amenazas tienen una respuesta adecuada.
De los puntos anteriores, el ms abierto, el que puede dar lugar a
diversas interpretaciones es el que se refiere a la determinacin de las
salvaguardas apropiadas.
Es realmente un arte que requiere personal especializado aunque
en la prctica las situaciones ms habituales estn perfectamente
documentadas en la documentacin existente y basta elegir de entre un
catlogo en funcin de la magnitud del riesgo.
En los prrafos siguientes vamos a analizar los tipos de salvaguardas
existentes y como seleccionarlas.
Un sistema debe considerar prioritariamente las salvaguardas de
tipo preventivo que buscan que la amenaza no ocurra o su dao sea
despreciable, es decir, aquellas que impidan incidentes o ataques.
En la prctica, no todo es previsible, ni todo lo previsible es
econmicamente razonable atajarlo en sus orgenes. Tanto para enfrentar
137

lo desconocido como para protegerse de aquello a lo que se permanece
expuesto, es necesario disponer de elementos que detecten el inicio de
un incidente y permitan reaccionar con presteza impidiendo que se
convierta en un desastre.
Tanto las medidas preventivas como las de emergencia admiten
una cierta degradacin de los activos por lo que habr que disponer por
ltimo de medidas de recuperacin que devuelvan el valor perdido por los
activos.
Es de sentido comn intentar actuar de forma preventiva para que
las cosas no ocurran o no puedan causar mucho dao; pero no siempre es
posible y hay que estar preparados para que ocurran. Lo que no debe ser
de ninguna manera es que un ataque pase inadvertido: hay que
detectarlo, registrarlo y reaccionar primero con un plan de emergencia
(que pare y limite el incidente) y despus con un plan de continuidad y
recuperacin para regresar a donde se debe estar.
Completando lo expuesto anteriormente hay que recordar que
conviene llegar a un cierto equilibrio entre:
Salvaguardas tcnicas: en aplicaciones, equipos y comunicaciones
Salvaguardas fsicas: protegiendo el entorno de trabajo de las
personas y los equipos
Medidas de organizacin: de prevencin y gestin de las
incidencias
Poltica de personal: que, a fin de cuentas, es el eslabn
imprescindible y ms delicado (poltica de contratacin, formacin
permanente, informe de incidencias, plan de reaccin y medidas
disciplinarias)
4.5.2.3.
Prdidas y ganancias
En primer lugar y aunque es de sentido comn, debemos sealar

que no se puede invertir en salvaguardas ms all del valor de los propios
138

activos a proteger. Por lo tanto, se hace necesario analizar el coste de la
inseguridad (lo que costara no estar protegidos) y el coste de las
salvaguardas.
Siguiendo las directrices que marca la metodologa que estamos
estudiando, en la prctica cuando hay que protegerse de un riesgo que se
considera significativo, aparecen varios escenarios hipotticos (En):
E0: si no se hace nada
E1: si se aplica un cierto conjunto de salvaguardas
E2: si se aplica otro conjunto de salvaguardas
Y as en n escenarios con diferentes combinaciones de
salvaguardas.
El anlisis econmico tendr como misin decidir entre estas
opciones, siendo E0 (no hacer nada) una opcin posible, que pudiera estar
justificada econmicamente.
En cada escenario hay que estimar el coste que va a suponer. Para
poder agregar costes, se contabilizan como valores negativos las prdidas
de dinero y como valores positivos las entradas de dinero:
(recurrente) riesgo residual
(una vez) coste de las salvaguardas
(recurrente) coste anual de mantenimiento de las salvaguardas
+ (recurrente) mejora en la productividad
+ (recurrente) mejoras en la capacidad de la Organizacin para
prestar nuevos servicios, conseguir mejores condiciones de los
proveedores, entrar en asociacin con otras organizaciones, etc.
4.5.2.4.
La actitud de la Direccin
La direccin de la Organizacin sometida al anlisis de riesgos debe

determinar el nivel de impacto y riesgo aceptable. Ms propiamente
dicho, debe aceptar la responsabilidad de las insuficiencias.
Esta decisin no es tcnica. Puede ser una decisin poltica o
gerencial o puede venir determinada por ley o por compromisos
139

contractuales con proveedores o usuarios. Estos niveles de aceptacin se
pueden establecer por activo o por agregacin de activos (en un
determinado departamento, en un determinado servicio, en una
determinada dimensin.)
Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y
acepta formalmente la Direccin.
Si el impacto y/o el riesgo estn por encima de lo aceptable, se
puede o bien eliminar el activo que, aunque suena muy fuerte a veces hay
activos que, simplemente, no vale la pena mantener; o bien, introducir
nuevas salvaguardas o mejorar la eficacia de las presentes
Para Magerit un proyecto de Anlisis y Gestin de Riesgos (AGR)
conlleva tres procesos bsicos:
Proceso P1: Planificacin

Se establecen las consideraciones necesarias para arrancar el
proyecto AGR.
Se investiga la oportunidad de realizarlo.
Se definen los objetivos que ha de cumplir y el dominio
(mbito) que abarcar.
Se planifican los medios materiales y humanos para su
realizacin.
Se procede al lanzamiento del proyecto.
Proceso P2: Anlisis de riesgos
Se identifican los activos a tratar, las relaciones entre ellos y la
valoracin que merecen.
Se identifican las amenazas significativas sobre aquellos activos
y se valoran en trminos de frecuencia de ocurrencia y
degradacin que causan sobre el valor del activo afectado.
Se identifican las salvaguardas existentes y se valora la eficacia
de su implantacin.
140

Se estima el impacto y el riesgo al que estn expuestos los
activos del sistema.
Se interpreta el significado del impacto y el riesgo.
Proceso P3: Gestin de riesgos
Se elige una estrategia para mitigar impacto y riesgo.
Se determinan las salvaguardas oportunas para el objetivo
anterior.
Se determina la calidad necesaria para dichas salvaguardas.
Se disea un plan de seguridad (plan de accin o plan director)
para llevar el impacto y el riesgo a niveles aceptables.
Se lleva a cabo el plan de seguridad.
4.6. Herramienta de apoyo para el anlisis de riesgos: PILAR

PILAR, acrnimo de Procedimiento Informtico-Lgico para el Anlisis de
Riesgos es una herramienta desarrollada bajo especificacin del Centro Nacional
de Inteligencia para soportar el anlisis de riesgos de sistemas de informacin
siguiendo la metodologa Magerit, [MAGE 06].
La herramienta soporta todas las fases del mtodo Magerit: caracterizacin
de los activos -identificacin, clasificacin, dependencias y valoracin-,
caracterizacin de las amenazas y evaluacin de las salvaguardas.
La herramienta, tambin incorpora los catlogos del "Catlogo de
Elementos" permitiendo una homogeneidad en los resultados del anlisis con
relacin a tipos de activos, dimensiones de valoracin, criterios de valoracin y
catlogo de amenazas.
Para incorporar este catlogo, PILAR diferencia entre el motor de clculo de
riesgos y la biblioteca de elementos, que puede ser reemplazada para seguir el
paso de la evolucin en el tiempo de los catlogos de elementos.
La herramienta evala el impacto y el riesgo, acumulado y repercutido,
potencial y residual, presentndolo de forma que permita el anlisis de por qu se
da cierto impacto o cierto riesgo.
141

Las salvaguardas se califican por fases, permitiendo la incorporacin a un
mismo modelo de diferentes situaciones temporales. Tpicamente se puede
incorporar el resultado de los diferentes programas de seguridad a lo largo de la
ejecucin del plan de seguridad, monitorizando la mejora del sistema.
Los resultados se presentan en varios formatos: informes RTF, grficas y
tablas para incorporar a hojas de clculo. De esta forma es posible elaborar
diferentes tipos de informes y presentaciones de los resultados.
Por ltimo, la herramienta calcula calificaciones de seguridad siguiendo los
epgrafes de normas de iure o de facto de uso habitual. Cabe citarse:
Criterios de Seguridad, normalizacin y conservacin
UNE-ISO/IEC 17799:2002: sistemas de gestin de la seguridad
Real Decreto 1720/2007: reglamento de desarrollo de la LOPD.
Por ltimo hay que destacar que PILAR incorpora tanto los modelos
cualitativos como cuantitativos, pudiendo alternarse entre uno y otro para extraer
el mximo beneficio de las posibilidades tericas de cada uno de ellos.
5. OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation),
[OCTA 08], es un mtodo de anlisis de riesgos orientado a activos, desarrollado
por el CERT (Coordination Center, del Software Engineering Institute de la
Universidad Carnegie Mellon de Pensilvania, Estados Unidos).
En OCTAVE, los activos incluyen personas, hardware y software,
informacin y sistemas. Los activos se ordenan segn la importancia que tienen
para los objetivos de la organizacin, y las posibles amenazas y vulnerabilidades
asociadas a dichos activos, as como el impacto que causara un problema en cada
activo.
El objetivo de OCTAVE es desarrollar una perspectiva de seguridad dentro
de una organizacin, teniendo en cuenta perspectivas de todos los niveles para
asegurarse que las soluciones puedan implementarse con facilidad.
142

Aunque OCTAVE fue desarrollada pensando en empresas, est diseada
para ser flexible y poder adaptarse a cualquier entorno. Esta flexibilidad tiene la
ventaja de no atarse a ningn cdigo concreto de buenas prcticas, poniendo el
nfasis en dirigir la seguridad de la informacin con independencia de la
tecnologa actual.
OCTAVE tiene dos objetivos especficos que son:
1. Desmitificar la falsa creencia de que la Seguridad Informtica es un
asunto meramente tcnico.
2. Presentar los principios bsicos y la estructura de las mejores
prcticas internacionales que guan los asuntos no tcnicos.
Con relacin a los activos, OCTAVE los clasifica en dos grandes grupos:
1. Sistemas: Hardware. Software y Datos.
2. Personas.
Cuando se aplica esta metodologa se hace un trabajo conjunto con las
diferentes reas de la organizacin centrndose en las necesidades de seguridad y
equilibrando los siguientes tres aspectos: riesgos operativos, prcticas de
seguridad y tecnologa.
El objetivo de OCTAVE va direccionado a dos aspectos diferentes: riesgos
operativos y prcticas de seguridad. En este caso la tecnologa es examinada en
proporcin a las prcticas de seguridad, esto permite a las compaas realizar la
toma de decisiones de proteccin de informacin basados en los riesgos de
confidencialidad, integridad y disponibilidad de los bienes afines a la informacin
crtica.
De acuerdo a lo expuesto en la metodologa, [OCTA 08], OCTAVE tiene tres

fases de desarrollo, que hemos esquematizado en la figura anterior y que vamos a
detallar un poco ms (en cuanto a sus procesos).
143

Figura 5.8. Fases de desarrollo de Octave. [OCTA 08]
Fase 1: Visin de la organizacin

Para realizar esta fase OCTAVE ha desarrollado una serie de procesos (1-4)
que desarrollamos a continuacin:
Proceso 1: Identificar el conocimiento de los altos directivos
En este proceso se recopila informacin de los principales activos
de la organizacin, los niveles de seguridad y los motivos de preocupacin
por esos activos, as como tambin las estrategias actuales de proteccin
y las vulnerabilidades de la organizacin. Los participantes de este nivel
son los altos directivos de la organizacin.
Proceso 2: Identificar el conocimiento de los directivos de reas
operativas
Este proceso tiene como objetivo recopilar informacin a nivel
operativo, es decir, de los encargados operacionales de los activos
importantes de la organizacin, de igual forma que en el anterior proceso
se identificar los requisitos de seguridad y los motivos de preocupacin
por esos activos. Los participantes de este nivel son los encargados de las
areas operativas.
Proceso 3: Identificar el conocimiento del personal
144

En este nivel se recopila informacin de miembros del personal
sobre activos importantes de la organizacin, requisitos de seguridad y
motivos de preocupacin por esos activos, estrategias actuales de la
proteccin y vulnerabilidades de la organizacin.
En este nivel hay dos tipos de participantes: el personal de planta y el
personal del departamento de Tecnologa de Informacin.
Proceso 4: Crear perfiles de amenaza
En este proceso el equipo de anlisis analiza la informacin
obtenida durante los procesos 1 al 3, en donde se seleccionan 5 activos
crticos sobre los cuales se definen los requisitos y las amenazas de
seguridad para esos activos.
Fase 2: Visin Tecnolgica

De igual forma en esta fase hay que continuar con los procesos para
desarrollar de una manera correcta el anlisis y gestin de riesgos dentro de una
organizacin:
Proceso 5: Identificar componentes claves, los cuales son sistemas
importantes para activos crticos.
En este nivel para cada activo crtico encontrado hay que identificar
los componentes claves que se deben evaluar para las vulnerabilidades de
la tecnologa. El equipo de anlisis realiza esta actividad, con ayuda del
personal de TI, segn la necesidad
Proceso 6: Evaluacin de componentes seleccionados, donde debemos
identificar las principales vulnerabilidades de los componentes crticos.
En este nivel el equipo del anlisis y los miembros de equipo
suplementarios evalan cada uno de los componentes de la infraestructura
de tecnologa, identificando las vulnerabilidades de los mismos. Aqu se
necesita la ayuda de herramientas de evaluacin de vulnerabilidades.
Fase 3: Planificacin de las medidas y reduccin de riesgos

En esta ltima fase se deben seguir los siguientes procesos:
145

Proceso 7: Realizar un anlisis de riesgos
Donde debemos identificar los riesgos que se podran dar sobre los
activos crticos de una organizacin.
Para realizar este proceso se utiliza la informacin recopilada. Este
proceso utiliza la informacin de los procesos 1 al 6 para crear los perfiles
de riesgo para los activos crticos, en donde se define cada una de las
descripciones de los impactos encontrados, se crean los criterios de
evaluacin, y al final se evalan los resultados de cada amenaza contra los
criterios. Este proceso es realizado por el equipo del anlisis, en
colaboracin con personal suplementario (encargado operacional del rea)
segn lo necesitado.
Proceso 8: Desarrollo de estrategias de proteccin
Donde se debe definir una serie de acciones, estrategias y planes

para proteger los activos crticos, los cuales debern ser estudiados y
aprobados para su ejecucin.
En la figura siguiente se resumen los procesos que se ejecutan
cuando se lleva a cabo un anlisis de riesgos utilizando la metodologa
OCTAVE.
Figura 5.9. Proceso para la gestin de riesgos en Octave. [OCTA 08]
146

6. ISO/IEC 27005:2011: Tecnologas de la informacin Tcnicas de
seguridad- Gestin del riesgo de seguridad de la informacin
La norma ISO/IEC 27005:2011, [ISO/IEC 11], forma parte de la familia de
ISO 27000 enfocada a la seguridad de la informacin, siendo un complemento a
las normas ISO/IEC 27001 e ISO 27002, las cuales definen las necesidades de
elaborar un anlisis de riesgos pero no especifican directrices para ello.
La norma proporciona un marco para la implementacin de un enfoque de
gestin de riesgos, ayudando a gestionar los riesgos en un sistema de gestin de
seguridad de la informacin (SGSI). En la norma se describe el proceso de gestin
de riesgos y apoya los conceptos generales especificados en la norma ISO/IEC
27001:2005, Tecnologa de la informacin - Tcnicas de seguridad - Sistemas de
gestin de seguridad Requisitos.
La norma como tal no proporciona ninguna metodologa especfica para la
gestin de riesgos de seguridad, sino que aporta un enfoque genrico para la
gestin de riesgos que debe apoyarse en metodologas especficas de anlisis y
gestin de riesgos; es aplicable a cualquier tipo de organizacin que quiera
mejorar la gestin de sus riesgos en seguridad de la informacin.
En esta segunda edicin, el marco descrito en la norma ISO/IEC 27005 ha
sido revisado y actualizado para reflejar el contenido de los documentos de
gestin de riesgos:
ISO 31000:2009, Gestin de riesgos - Principios y directrices,
ISO / IEC 31010:2009, Gestin de riesgos - las tcnicas de evaluacin de
riesgos, e
ISO Guide73: 2009, La gestin del riesgo - Vocabulario
La norma tiene el propsito de alinearse con ISO 31000:2009 con el fin de
ayudar a las organizaciones que deseen gestionar sus riesgos de seguridad de la
informacin de una manera similar a la forma de gestionar "otros" riesgos.
ISO/IEC 27005:2011 ayudar a los usuarios en la implementacin de ISO/IEC
27001, la norma de sistemas de gestin de seguridad de la informacin, que se
basa en un enfoque de gestin de riesgos. El conocimiento de los conceptos,
147

modelos, procesos y terminologas descritos en la norma ISO/IEC 27001 e ISO/IEC
27002: 2005, Tecnologa de la informacin - Tcnicas de seguridad - Cdigo de
buenas prcticas para la gestin de seguridad de la informacin, es importante
para una comprensin completa de esta Norma Internacional.
La norma est estructurada en 12 clusulas y 6 anexos que apoyan el
desarrollo de cada una de las clusulas. Las clusulas que la conforman son las
siguientes:
1. Objeto y campo de aplicacin
2. Referencias y Normativas
3. Trminos y definiciones
4. Estructura
5. Informacin general
6. Visin general
7. Establecimiento del contexto
8. Valoracin del riesgo
9. Tratamiento del riesgo
10. Aceptacin del riesgo
11. Comunicacin del riesgo de SI
12. Monitoreo y Revisin
El proceso de gestin de riesgos propiamente dicho se describe a partir de

la clusula 7 y que mencionaremos de forma general a continuacin.
Clusula 7. Establecimiento del contexto, se definen los objetivos, el

alcance y la organizacin para todo el proceso (polticas, enfoque)
Clusula 8. Valoracin del riesgo, se obtiene toda la informacin necesaria
para conocer, valorar y priorizar los riesgos. Se divide en tres apartados:
Identificacin de riesgos
Estimacin de riesgos
148

Clusula 9. Tratamiento del riesgo, define la estrategia para tratar cada
uno de los riesgos valorados: reduccin, aceptacin, evitacin o transferencia.
Clusula 10. Aceptacin del riesgo, se determinan los riesgos que se decide
aceptar, y la justificacin correspondiente a cada riesgo aceptado. Se debe tratar
el riesgo residual.
Clusula 11. Comunicacin del riesgo, todos los grupos de inters
intercambian informacin sobre riesgos, esta comunicacin debe hacerse durante
todo el proceso.
Clusula 12. Monitoreo y Revisin del riesgo, el anlisis de riesgos se
actualiza con todos los cambios internos o externos que afectan a la valoracin de
los riesgos. Se realiza un monitoreo y evaluacin continua.
Como mencionamos anteriormente la norma ofrece, adems, una serie de

anexos que apoyan todo el proceso de gestin de riesgos y que citamos a
continuacin:
Anexo A: Alcance y Limitaciones
Anexo B: Identificacin, evaluacin de activos y valoracin de impactos
Anexo C: Ejemplos de amenazas crticas
Anexo D: Vulnerabilidades y mtodos para valorarlas
Anexo E: Enfoques para la valoracin de riesgos
Anexo F: Obligaciones para reduccin de riesgos
149

Figura 5.10. Proceso para la gestin de riesgos en ISO 27005. [ISO/IEC 11]
150

7. MEHARI: Mtodo Armonizado de Anlisis de Riesgos

MEHARI, [MEHA 10], es una metodologa desarrollada por la comisin de
mtodos de Clusif (Club Francs de la Seguridad de la Informacin) en 1996 y es
de acceso pblico.
Mehari es un conjunto de herramientas y funcionalidades metodolgicas
para la gestin de la seguridad y de las medidas asociadas, basado en un anlisis
de riesgo preciso. Los aspectos fundamentales de MEHARI son:
Su modelo de riesgo (cualitativo y cuantitativo),
El examen de la eficacia de las medidas de seguridad en vigor previstas
La capacidad para evaluar y simular los niveles de riesgo derivado de
medidas adicionales
Conforme a lo expuesto en los documentos oficiales de la metodologa,
[MEHA 10], Mehari
proporciona un marco metodolgico, componentes
modulares y bases de datos de conocimiento, con el fin de:

Analizar los principales problemas
Analizar las vulnerabilidades
Disminuir y controlar los riesgos
Supervisar la seguridad de la informacin
El principal objetivo de Mehari es proporcionar un mtodo para la
evaluacin y gestin de riesgos, concretamente en el dominio de la seguridad de
la
informacin,
conforme
los
requerimientos
ISO/IEC
27005:2008,
proporcionando el conjunto de herramientas y elementos necesarios para su

implementacin.
Otros objetivos adicionales son:
Permitir un anlisis directo e individual de situaciones de riesgos
descritas en los escenarios,
Proporcionar un completo conjunto de herramientas especficamente
diseadas para la gestin de la seguridad a corto, medio y largo plazo,
151

adaptables a diferentes niveles de madurez y tipos de acciones
consideradas.
Mehari proporciona una metodologa consistente, con unas bases de datos
de conocimiento adecuadas, para ayudar a los responsables de seguridad u otras
personas implicadas en la reduccin de riesgos, en sus diferentes tareas y
actividades.
Las diferentes herramientas y mdulos de la metodologa MEHARI,
diseados para acompaar un anlisis de riesgos directo e individual, se pueden
utilizar de forma separada unas de otras en cualquier etapa del desarrollo de la
seguridad, utilizando diferentes enfoques de gestin y garantizando la
consistencia de las decisiones resultantes.
Los mdulos que componen Mehari se pueden seleccionar, basados en las
polticas corporativas o las estrategias seleccionadas, para decidir y construir
planes de accin de seguridad para la seguridad de la informacin. Los mdulos
propuestos por la metodologa son los siguientes:
Anlisis o evaluacin de riesgos
Evaluacin de seguridad (Evaluacin de vulnerabilidades)
Anlisis de amenazas
Mehari cuenta con una serie de documentos donde se describe con mayor
detalle la metodologa y son los siguientes:
Mehari: Conceptos y especificaciones funcionales
Guas Mehari para Anlisis y clasificacin de amenazas
Gua Mehari para Evaluacin de servicios de seguridad
Guas Mehari para Anlisis de Riesgos
Mehari Manual de referencia de servicios de seguridad
Mehari base de datos de conocimiento
Segn la metodologa, una situacin de riesgo se puede caracterizar por
diferentes factores:
152

Factores de reduccin del riesgo, que son una funcin directa de las
medidas de seguridad implementadas.
Factores estructurales (u organizacionales), los cuales no dependen de
medidas de seguridad, sino de la actividad principal de la organizacin,
su entorno y su contexto.
Con el fin de evaluar los riesgos, se proponen dos opciones:
Utilizar una serie de funciones de la base de datos de conocimiento que
permita integrar los resultados de los mdulos de MEHARI. Desde estas
funciones es posible evaluar el nivel actual de riesgo y proponer
medidas adicionales para la reduccin del mismo.
Emplear una aplicacin software que proporciona una interfaz ms
completa
que
permite
simulaciones,
visualizaciones
ms
optimizaciones.
El mdulo de evaluacin de la seguridad permite la confeccin de planes de
seguridad, como resultado directo de la evaluacin del estado de los servicios de
seguridad.
Mehari integra cuestionarios de controles de seguridad, lo que permite
evaluar el nivel de calidad de los mecanismos y soluciones encaminadas a la
reduccin del riesgo.
La metodologa proporciona un modelo de riesgos estructurado que
considera los "factores de reduccin del riesgo" en forma de servicios de
seguridad.
Para realizar la evaluacin de seguridad se puede utilizar directamente la
base de datos de conocimiento Mehari para crear un marco de referencia de
seguridad (o polticas de seguridad) que contendr, y describir, el conjunto de
reglas e instrucciones de seguridad que debe seguir la empresa u organizacin
Mehari proporciona un mdulo de anlisis de amenazas que proporciona
dos tipos de resultados:
Una escala de valores de malfuncionamiento
Una clasificacin de la informacin y de los activos de TI
153

8. CRAMM-CCTA:
Risk
Analysis
and
Management
Methodology-
Metodologa para el anlisis y la gestin de riesgos

CRAMM-CCTA, [CRAM 06], es una metodologa de anlisis y gestin de
riesgos desarrollada en Reino Unido por la Agencia Central de Cmputo y
Telecomunicaciones (CCTA) en 1987, y actualmente se encuentra en la versin
5.2. Esta metodologa es usada de forma preferente en organismos de la
administracin pblica britnica y se ha ido extendiendo al sector privado.
Actualmente es utilizada por la OTAN, el Ejrcito de Holanda, y numerosas
empresas de todo el mundo.
Podemos decir que CRAMM es en esencia:
Una metodologa para el anlisis y la gestin de riesgos.
Una metodologa que aplica sus conceptos de una manera formal,
estructurada y disciplinada.
Una metodologa orientada a proteger la confidencialidad, integridad y
disponibilidad de un sistema de informacin y de sus activos.
Una metodologa que, aunque se la encuadre, a veces, como
cuantitativa, utiliza evaluaciones cuantitativas y cualitativas; por lo cual
se dice que tiene un carcter mixto.
Los objetivos fundamentales que se persiguen al realizar un anlisis de
riesgos CRAMM son:
Identificar las amenazas a conjuntos de activos, haciendo adems una
evaluacin de los grados o importancia de estas vulnerabilidades
Evaluar los niveles de riesgo, calculados a partir de las valoraciones de
los activos, y de los niveles de amenazas y vulnerabilidades evaluados.
Por su parte, los objetivos que se persiguen al llevar a cabo la gestin de
riesgos CRAMM, son:
Orientar a que los responsables de la seguridad estn en condiciones,
bien de evitar o aceptar riesgos individuales o bien de reducir los
riesgos a un nivel aceptable.
154

Reducir los riesgos a un nivel aceptable adoptando las contramedidas
(en la metodologa se utiliza la palabra contramedida que es similar a
salvaguarda) apropiadas.
Uno de los aspectos principales de CRAMM es el soporte que proporciona
la herramienta informtica que posee, con una base de datos de:
Ms de 400 tipos de activos
Ms de 25 tipos de impacto
38 tipos de amenaza
7 tipos de medida del riesgo
Ms de 3.500 salvaguardas
Esta metodologa, tal y como se indica en su web oficial, [CRAM 06], sigue
tres etapas para realizar el proceso de anlisis y gestin de riesgos, las cuales se
describen a continuacin:
8.1. Primera etapa CRAMM: Identificacin y valoracin de activos

CRAMM permite identificar y valorar los activos fsicos (el hardware,
instalaciones), los activos de software (sistemas y aplicaciones), los datos (la
informacin contenida en un sistema informtico). Los activos fsicos se valoran
en trminos del coste de reemplazo. Los activos de datos y de software se valoran
en trminos del impacto que se producira si la informacin no estuviera
disponible, fuera destruida, divulgada o modificada.
8.2. Segunda
etapa
CRAMM:
Evaluacin
de
amenazas
vulnerabilidad
Una vez comprendida la magnitud de los problemas potenciales, el
siguiente paso es identificar cmo de probable es que estos problemas ocurran.
CRAMM cubre toda la gama de amenazas deliberadas o accidentales que puedan
afectar a los sistemas de informacin, incluyendo hacking, virus, fallos de equipos
o software, daos intencionales o el terrorismo y errores humanos.
155

Esta etapa concluye con el clculo del nivel del riesgo subyacente o real.
8.3. Tercera
etapa
CRAMM:
seleccin
recomendacin
de
contramedidas
CRAMM contiene una gran biblioteca que
consta de ms de 3000
contramedidas detalladas organizadas en ms de 70 agrupaciones lgicas. El

software CRAMM utiliza las medidas de los riesgos determinados en la etapa
anterior y los compara con el nivel de seguridad (un nivel de umbral asociado a
cada contramedida), con el fin de determinar si los riesgos son lo suficientemente
grandes para justificar la implementacin de una determinada contramedida.
CRAMM ofrece una serie de utilidades, que incluyen la posibilidad de hacer un
anlisis hacia atrs, que permita responder interrogantes como: Qu pasa si?,
funciones de asignacin de prioridades y herramientas de reportes, que ayudan
en la implementacin de las contramedidas y la activa gestin de los riesgos
identificados.
En la figura 5.11, se puede observar el modelo que sigue CRAMM para el
anlisis y la gestin de riesgos.
Figura 5.11 Modelo de anlisis y gestin de riesgos de CRAMM. [CRAM 06]
156

9. Listado de algunas metodologas, estndares y herramientas para el
anlisis y la gestin de riesgos [ISSA 11]
MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas
de Informacin), promovida por el Ministerio de Administraciones
Pblicas de Espaa.
EAR/Pilar (Entorno de anlisis de riesgos). Herramienta en espaol,
basada en Magerit.
ISO/IEC 27005 es el estndar ISO de la serie 27000 dedicado a la gestin
de riesgos de seguridad de la informacin.
MEHARI (Mthode Harmonise dAnalyse de Risques). Mtodo de anlisis
y gestin de riesgos, desarrollado por el Clusif (Club de la Scurit des
Systmes dInformation Franais).
OCTAVE
(Operationally
Critical
Threat,
Asset,
and
Vulnerability
Evaluation). Metodologa de evaluacin de riesgos desarrollada por el

Software Engineering Institute (SEI) de la Carnegie Mellon University.
OCTAVE-S es la versin para pequeas empresas (menos de 100
empleados).
CRAMM (CCTA Risk Analysis and Management Method). Metodologa y
herramienta de anlisis y gestin de riesgos desarrollada por la Central
Computer and Telecommunications Agency del Reino Unido y gestionada
por Insight Consulting Limited (Grupo Siemens). Existe en versin Expert
y Express, incluye software y no es gratuita.
Inventario de metodologas y herramientas de anlisis y gestin de riesgos
de ENISA (European Network and Information Security Agency). Incluye
sistema de comparativas.
Risk management guide for information technology systems. Publicada
por NIST (National Institute of Standards and Technology) de EEUU.
AS/NZS ISO 31000:2009 es el estndar australiano de gestin de riesgos
de la seguridad de la informacin.
EBIOS (Expression des Besoins et Identification des Objectifs de Scurit).
Metodologa de gestin de los riesgos de seguridad de sistemas de
157

informacin desarrollada por la Direction Centrale de la Scurit des
Systmes
dInformation
francesa.
Disponible
en
espaol.
Est
acompaada por un software multilinge -francs, ingls, alemn,

espaol- gratuito para varias plataformas -Windows, Linux, Solaris-.
Estndar de anlisis de riesgos del Bundesamt fr Sicherheit in der
Informationstechnik de Alemania.
IRAM (Information Risk Analysis Methodologies) es una metodologa de
anlisis de riesgos del Information Security Forum slo disponible para sus
miembros.
FIRM (Fundamental Information Risk Management) es una metodologa
de gestin de riesgos del Information Security Forum.
Citicus ONE es un software comercial (disponible en varios idiomas, pero
no en espaol) de gestin de riesgos de seguridad de la informacin,
basado en la metodologa FIRM.
Gua en ingls de evaluacin de riesgos de la Polica de Canad.
Introduccin a la metodologa FAIR (Factor Analysis of Information Risk).
Security Risk Management Guide de Microsoft.
COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software
-no gratuito- de evaluacin del riesgo de C&A Systems Security Ltd..
RA2 Art of Risk. Software de anlisis de riesgos y soporte de SGSI. No es
gratuito.
Whitepaper de SANS sobre gestin del riesgo.
Gua de evaluacin de riesgos de seguridad de ASIS.
CERO es una aplicacin web que permite tener una visin global de los
riesgos a los que se expone una compaa, Operativos y de LA/FT.
158

CAPTULO VI:
El anlisis de
riesgos
dentro de una
auditora
informtica
159

1.
Introduccin
El objetivo de este captulo es realizar un anlisis del papel del anlisis de
riesgos dentro de una auditora informtica como tema central de este PFC, de
tal manera que podamos encajarlo dentro de una propuesta metodolgica de una
auditora informtica basada en riesgos.
Para realizar este anlisis vamos a estudiar cada rea de forma
independiente y luego analizaremos cmo encaja el anlisis de riesgos dentro de
una auditora, vamos a partir de los aportes realizados por entidades y
metodologas oficiales e iremos realizando un anlisis personal de dichos aportes,
evaluando de qu forma el anlisis de riesgos puede servir a una auditora
informtica.
2. El papel del anlisis de riesgos dentro de una auditora informtica

En la actualidad las organizaciones estn experimentando un aumento en el
uso de tecnologas para el procesamiento de informacin vital para el desarrollo
de sus objetivos de negocio. La gestin efectiva de dicha informacin as como de
las tecnologas que soportan su procesamiento y explotacin es un aspecto
fundamental para el xito de dichas organizaciones, mxime cuando esta
informacin traspasa las fronteras organizacionales y viaja a travs de redes, lo
cual conlleva un incremento de las vulnerabilidades y por ende de las amenazas.
Por otro lado, las organizaciones tienden a tener una mayor dependencia
de las tecnologas de la informacin y los sistemas informticos, lo cual hace que
se hagan inversiones importantes en infraestructura tecnolgica para soportar sus
procesos de negocio, que a su vez tambin requiere de una adecuada gestin.
As pues, en este contexto, se deben generar estrategias y planes que
proporcionen directrices efectivas de control y que permitan la realizacin de un
proceso de evaluacin, revisin y verificacin de la informacin, de los procesos y
tecnologas que los soportan.
160

La auditora informtica y el anlisis de riesgos han sido los mtodos usados
comnmente de forma independiente para evaluar los sistemas de informacin,
cada una con un enfoque diferente. De un lado la auditora informtica es un
proceso de revisin y verificacin y el anlisis de riesgos un proceso de
diagnstico y revisin.
La auditora informtica slo identifica el nivel de exposicin por la falta
de controles, mientras que el anlisis de riesgos facilita la evaluacin de los
riesgos y recomienda acciones en base al coste/beneficio de las mismas, tal y
cmo se indica en, [SOBR 99].
Debido a los cambios en los modelos de operacin de los negocios,
impulsados por los avances en las tecnologas de informacin -que hemos
indicado
anteriormente-,
el
surgimiento
de
normativas
nacionales
internacionales en el mbito de las tecnologas de informacin relacionadas con el

procesamiento, explotacin y entrega de informacin y servicios basados en
dichas tecnologas, y los nuevos modelos de control interno impulsados por
ejemplo, por marcos de trabajo ampliamente conocidos y aceptados como COBIT,
la auditora informtica se ha enfrentado a la necesidad de evolucionar de un
enfoque de verificacin efectuado a posteriori, a un enfoque preventivo y
proactivo basado en la valoracin de los riesgos y la evaluacin de la eficacia y
eficiencia de los procedimientos y los controles establecidos en las
organizaciones, orientados a mejorar las caractersticas de seguridad, calidad,
eficiencia y eficacia de los sistemas de informacin y las tecnologas asociadas.
Ahora bien, cabe preguntarnos cmo encajar el anlisis de riesgos y la
auditora informtica. Para responder a este interrogante vamos a remitirnos a
algunas metodologas y/o estndares que consideran el anlisis de riesgos como
parte de una auditora informtica.
En primer lugar encontramos en [MAGE 06] la siguiente referencia al tema:
El anlisis de riesgos es una piedra angular de los procesos de evaluacin,
certificacin, auditora y acreditacin que formalizan la confianza que merece un
sistema de informacin. Dado que no hay dos sistemas de informacin iguales, la
evaluacin de cada sistema concreto requiere amoldarse a los componentes que
161

lo constituyen. El anlisis de riesgos proporciona una visin singular de cmo es
cada sistema, qu valor posee, a qu amenazas est expuesto y de qu
salvaguardas se ha dotado.
Una auditora puede servirse de un anlisis de riesgos que le permita (1)
saber qu hay en juego, (2) saber a qu est expuesto el sistema y (3) valorar la
eficacia y eficiencia de las salvaguardas.
De acuerdo a lo expuesto podemos observar que el papel que puede
desempear un anlisis de riesgos dentro de una auditora informtica, est
enfocado a utilizar la informacin proveniente de dicho anlisis relativa al valor
que posee el o los sistemas o procesos a auditar, las amenazas y sus salvaguardas,
lo cual le permitir al auditor focalizar su trabajo y a priorizar las reas o procesos
a auditar.
Encontramos en [ISAC 07], en su serie de estndares, guas y
procedimientos al respecto del tema que nos ocupa, el estndar S11: Uso de la
evaluacin de riesgos en la planeacin de auditora, que nos proporciona las
siguientes lneas bsicas:
El auditor de SI debe utilizar una tcnica o enfoque apropiado de
evaluacin de riesgos al desarrollar el plan general de auditora de SI y al
determinar prioridades para la asignacin eficaz de los recursos de auditora de SI.
Al planear revisiones individuales, el auditor de SI debe identificar y evaluar
los riesgos relevantes al rea bajo revisin.
Para la aplicacin de este estndar, [ISAC 10] recomienda el uso de la gua
G13: Uso de la evaluacin de riesgos en la planeacin de auditora, que da las
claves para la aplicacin del estndar y el procedimiento de auditora de SI P1:
Medicin de la evaluacin de riesgos de SI que proporciona ejemplos de
procedimientos a seguir.
A travs de este estndar podemos observar claramente un enfoque de
auditora que hace uso del anlisis de riesgos. El papel principal del anlisis de
riesgos es servir de base para la seleccin de las reas a revisar que tengan una
mayor exposicin a riesgos, e incluirlas en un plan general de auditora o en una
auditora puntual.
162

Con la aplicacin de este enfoque es posible identificar los riesgos y

vulnerabilidades que le permitirn al auditor determinar que controles son
necesarios para mitigar esos riesgos. En este sentido es importante establecer una
clara relacin entre riesgo y control, y conocer los tipos de riesgos y los controles
que se utilizan para mitigarlos, es quizs este un punto clave para el uso de este
enfoque de auditora ya que permitir al auditor centrarse en aquellas reas con
mayor exposicin a riesgos.
Como resultado de la auditora se obtendr un informe que mostrar las
inconsistencias entre las necesidades identificadas en el anlisis de riesgos y la
realidad detectada durante la inspeccin del sistema, rea o proceso.
En la actualidad muchas organizaciones utilizan un enfoque de auditora
basada en el anlisis de riesgos, como un enfoque de auditora moderno, que les
permite desarrollar y mejorar su proceso de auditora continua. Es importante
puntualizar que en un proceso de auditora que haga uso de este enfoque, los
auditores pueden partir de un anlisis de riesgos ya elaborado o realizar ellos
mismos este anlisis.
El desarrollo de una auditora bajo este enfoque basado en riesgos puede
alinearse con metodologas, estndares y marcos de trabajo, nacionales e
internacionales de control interno, auditora, gestin de riesgos y seguridad
informtica tales como Magerit, ISO 27005, ISO 27002, COBIT, Esquema Nacional
de Seguridad, entre otros, los cuales han sido tratados en captulos anteriores.
De la anterior exposicin podemos concluir que, el principal uso que puede
hacerse del anlisis de riesgos dentro de una auditora informtica es por un lado
la planificacin de la auditora y definir su alcance y por otro, la verificacin de los
controles implementados frente a los riesgos identificados.
3. Desarrollo de una auditora con un enfoque en el anlisis de riesgos

El desarrollo de una auditora bajo este enfoque lo podemos englobar en
cuatro fases como se muestra en la siguiente figura:
163

Planificacin
Planificacin de la auditora basada en un anlisis de riesgos

Definicin de objetivos, alcance y recursos
Verificacin y
pruebas
Evaluacin de controles
Recoleccin de evidencias
Evaluacin de evidencias
Presentacin de
informes
Seguimiento
Informe de hallazgos
Seguimiento
Figura 6.1. Fases de una auditora
164

CAPTULO VII:
Anlisis
comparativo de
estndares,
marcos de
trabajo y guas y
normas de
auditora
informtica
165

1. Introduccin
En este captulo realizaremos un anlisis comparativo de los diferentes
estndares, gua y marcos de trabajo relacionados con la auditora informtica y el
control aplicado a los sistemas informticos, y que han sido expuestos en el
captulo IV.
Debido al carcter complementario de cada uno de estos estndares, guas
y marcos de trabajo, abordaremos este anlisis desde la perspectiva del aporte
que cada uno puede brindar a una auditora informtica y al control de los
sistemas informticos (SI) y no desde el punto de vista de sus diferencias y
similitudes, como es el caso de los anlisis comparativos de las metodologas y
estndares de anlisis de riesgos que trataremos en el siguiente captulo.
Dado que cada uno tiene una naturaleza, objetivo y enfoque diferente, este
anlisis se realizar agrupndolos segn su naturaleza, para lo cual se han dividido
en 3 grupos as: estndares, marcos de trabajo y guas y normas.
En el primer grupo analizaremos los estndares. En este grupo
encontramos los estndares emitidos por la ISO - Organizacin Internacional de
Normalizacin, que han sido seleccionados debido a la relevancia que sus normas
tienen a nivel internacional y que recogen el consenso de gran variedad de
expertos en la materia, lo que permite a la hora de ser adoptados, contar con
normas y recomendaciones de facto.
ISO/IEC
27002:2005
ISO/IEC
27001:2005
ISO/IEC
27004:2009
ISO/IEC
27007:2011
Estndares
ISO/IEC
38500:2008
Figura 7.1. Estndares relacionados con la auditora y el control

informtico
166

2. Estndares
En este apartado vamos a tomar como referencia los estndares de la
familia ISO 2700 y el estndar ISO/IEC 38500:2008.
En primer lugar, abordaremos algunos estndares de la familia ISO 27000
relacionados directamente con temas de seguridad de la informacin y que
recogen las mejores prcticas recomendadas, adems de dar pautas para
desarrollar, implementar y mantener un Sistema de Gestin de la Seguridad de la
Informacin (SGSI) y especificar los requerimientos para la implementacin de
controles de seguridad diseados de acuerdo a las necesidades especficas de una
empresa o una parte de esta.
Dentro de esta familia 27000 podemos destacar los siguientes elementos
fundamentales y su estndar asociado, que recogemos en la siguiente figura:
Figura 7.2. Familia ISO 27000
Como se puede apreciar cada estndar tiene un objetivo particular y por

tanto una aplicabilidad diferente. En conjunto son complementarios y permiten el
desarrollo de un Sistema de Gestin de Seguridad de la Informacin -SGSI- .
167

En el caso particular de la auditora informtica, el estndar que tiene
mayor relacin y del que se podra hacer uso para el desarrollo de la misma es el
27002, ya que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la informacin, que deben ser implementados y que
posteriormente servirn de base para realizar una auditora.
A continuacin abordamos dentro de este grupo, el estndar ISO/IEC
38500:2008. ste est enfocado al gobierno corporativo de Tecnologas de la
Informacin y la Comunicacin (TIC) y ofrece un conjunto de buenas prcticas
para que la direccin de las organizaciones lo utilice al evaluar, dirigir y
monitorizar el uso de las TIC. As mismo, ayuda a la buena gestin de los procesos
y decisiones empresariales relacionadas con los servicios de informacin y
comunicacin que son utilizados habitualmente en una organizacin y, suelen
estar gestionados tanto por especialistas en TIC internos o ubicados en otras
unidades de negocio de la organizacin, como por proveedores de servicios
externos.
La aplicacin de esta norma en una organizacin permite:
Llevar un control adecuado de los procesos relacionados con el
gobierno de TI,
Llevar un control de los recursos de TI,
Proveer las bases para la realizacin de evaluaciones objetivas de la
gestin y uso de la TI y,
Ofrecer la garanta de cumplir con los requerimientos legales y
normativos
3. Marcos de trabajo
En el segundo grupo encontramos los marcos de trabajo. stos son
conjuntos de mejores prcticas recomendadas por consenso de expertos para ser
aplicadas en un rea en particular. No son estndares ni metodologas.
En este grupo hemos estudiado COBIT e ITIL. El primero como marco de
trabajo de control interno para TI, que ofrece una serie de mejores prcticas, las
cuales estn orientadas al control de la informacin y tecnologa relacionada.
168

COBIT adems se ha convertido en un marco de referencia general para el
gobierno de TI en las organizaciones y el segundo conjunto de mejores prcticas y
recomendaciones efectivas para la administracin de servicios de TI, con un
enfoque de procesos.
Cobit
ITIL
Marcos
de
Trabajo
Figura 7.3. Marcos de trabajo relacionados con la auditora y el control

informtico
Tanto COBIT como ITIL pueden ser usados como prcticas complementarias
dentro de una empresa y alinearse dentro de su gestin de TI. A nivel de auditora
pueden servir como soporte en el proceso de revisin y verificacin, siendo COBIT
el ms orientado hacia la auditora y el control.
COBIT proporciona un enfoque a los auditores que permite identificar
problemas de control de TI dentro de la infraestructura de TI de la empresa.
Podemos decir, por tanto, que con COBIT las auditoras sern ms eficientes y
exitosas.
COBIT es un modelo para auditar la gestin y control de los sistemas de
informacin y tecnologa, orientado a todos los sectores de una organizacin, es
decir, administradores TI, usuarios y por supuesto, los auditores involucrados en
el proceso.
La estructura del modelo COBIT propone un marco de actuacin donde:
Se evalan los criterios de informacin, como por ejemplo la seguridad
y calidad,
169

se auditan los recursos que comprenden la tecnologa de informacin,
como por ejemplo los recursos humanos, instalaciones, sistemas, y,
se realiza una evaluacin sobre los procesos involucrados en la
organizacin.
COBIT es un modelo de evaluacin y monitoreo que se focaliza en el control
del negocio y la seguridad TI y que abarca controles especficos de TI desde una
perspectiva de negocios.
La adecuada implementacin de un modelo COBIT en una organizacin,
proporciona a la misma una herramienta, para evaluar de manera gil y
consistente el cumplimiento de los objetivos de control y controles detallados,
que a su vez aseguran que los procesos y recursos de informacin y tecnologa
contribuyan al logro de los objetivos del negocio en un mercado cada vez ms
exigente, complejo y diversificado.
A continuacin mencionamos los aportes que hace cada marco de trabajo y
como se pueden aplicar y alinear dentro de una empresa, apoyados en lo
expuesto en [ITGI 08]:
COBIT est basado en marcos de referencia establecidos, tales como
CMM del SEI (Software Engineering Institute), ISO 9000, ITIL e ISO/IEC
27002, sin embargo COBIT no incluye tareas y pasos de procesos porque,
aunque est orientado a procesos de TI, es un marco de referencia para
gestin y control antes que un marco de referencia para procesos.
COBIT se focaliza en lo que una empresa necesita hacer, no cmo lo tiene
que hacer. La audiencia objetivo es la alta gerencia, los gerentes
funcionales, los gerentes de TI y los auditores.
ITIL proporciona un marco de trabajo de mejores prcticas integral,
consistente y coherente para la gestin de servicios de TI y los procesos
relacionados, la promocin de un enfoque de alta calidad para el logro de
la eficacia y eficiencia del negocio en la gestin de servicios de TI.
El papel del marco de trabajo de ITIL es describir los enfoques, las
funciones, los roles y procesos en los que las organizaciones pueden basar
sus propias prcticas.
170

COBIT puede ser utilizado en el ms alto nivel, ofreciendo un marco
general de control basado en un modelo de procesos de TI que debera
adaptarse a cada organizacin.
Los estndares y las prcticas especficas, tales como ITIL e ISO/IEC 27002
abarcan reas discretas y pueden ser mapeadas en el marco COBIT,
estructurando una jerarqua de materiales de orientacin.
Debido a su alto nivel, a la amplia cobertura y porque est basado en
muchas prcticas existentes, frecuentemente se hace referencia a COBIT como un
integrador, que permite ubicar diferentes prcticas bajo un mismo contexto, y
ayudando a enlazar estas varias prcticas de TI con los requerimientos del
negocio.
En la figura siguiente podemos observar la relacin existente entre los
diferentes marcos de trabajo y estndares analizados.
ISO 38500
COBIT
ISO 27000
QU
CMO
ITIL
CAMPO DE COBERTURA
Figura 7.4.Relacin entre ITIL, COBIT, ISO 27000, ISO 38500
COBIT, ISO 38500 e ISO/IEC 27002 pueden utilizarse para ayudar a definir
qu debera hacerse e ITIL muestra el cmo para los aspectos de la gestin de
servicios.
171

A continuacin presentamos un resumen de las aplicaciones tpicas que
pueden hacerse con este tipo de estndares y prcticas son las siguientes y que
han sido recopiladas con el apoyo del texto contenido en [ITGI 08]
Apoyar la gobernabilidad a travs de:
Proporcionar una poltica de gestin y un marco de control.
Facilitar el proceso de asignacin de propietarios, responsabilidades

claras y rendicin de cuentas para las actividades de TI.
Alinear los objetivos de TI con los objetivos del negocio, definiendo

prioridades y la asignacin de recursos.
Asegurar el retorno de la inversin y optimizar los costos.
Asegurar la identificacin de los riesgos significativos y que sean

transparentes para la administracin; asignar la responsabilidad en la
gestin del riesgo y que se integre en la organizacin, y asegurar a la
direccin que se han implementado controles eficaces.
Asegurar que los recursos se han organizado de manera eficiente y

que existe suficiente capacidad (infraestructura tcnica, procesos y
habilidades) para ejecutar la estrategia de TI.
Asegurar que las actividades crticas de TI pueden ser monitoreadas y

medidas, de modo que los problemas puedan ser identificados y que
las medidas correctivas puedan ser adoptadas.
Definir los requisitos del servicio y las definiciones del proyecto, tanto
internamente como con los proveedores de servicios, por ejemplo:
Estableciendo objetivos claros de TI relacionados con el negocio as

como mtricas.
Definiendo los servicios y proyectos en trminos de usuario final.
Elaborando acuerdos de niveles de servicio y contratos que pueden

ser monitoreados por los clientes.
Asegurando que los requisitos del cliente han sido plasmados

apropiadamente en requisitos operativos y tcnicos de TI.
172

Considerando los portafolios de servicios y de proyectos en conjunto,

a fin de establecer las prioridades relativas, de modo que los recursos
se asignen de manera equitativa y viable.
Verificar la capacidad profesional o demostrar competencia en el mercado a

travs de:
Las evaluaciones y las auditoras independientes de terceros.
Compromisos contractuales.
Constancias y certificaciones.
Facilitar la mejora continua por:
Evaluaciones de madurez.
Anlisis de brechas.
Benchmarking.
Planificacin de la mejora.
Evitar la reinvencin de buenos enfoques ya probados.
Como marco para la auditora, evaluacin y una visin externa a travs de:
Criterios objetivos y mutuamente entendidos.
Benchmarking para justificar las debilidades y brechas en los

controles.
Incrementando la profundidad y el valor de las recomendaciones

mediante enfoques generalmente aceptados.
4. Guas y normas de auditora

En el tercer grupo, encontramos las normas y guas de auditora, de un
lado las publicadas por ISACA y de otro las publicadas por el Instituto de Auditores
Internos.
173

Estndares y guas
de Auditora de
Sistemas de
Informacin de
ISACA
GTAG -Global
Technology Audit
Guide - The
Institute of Internal
Auditors
Normas
y guas
Figura 7.5. Normas y guas de auditora informtica

Ambas tienen como objetivo comn servir de gua a los auditores a la hora
de abordar una auditora, ofreciendo informacin estandarizada y especfica para
las diferentes reas relacionadas en una auditora.
Las normas y guas de ISACA tienen un campo de aplicacin amplio y cubren
aspectos de orden procedimental (planeacin, reporte, actividades de
seguimiento, documentacin) y aspectos tcnicos concretos (por ejemplo,
controles de acceso, controles biomtricos). Esto lo consiguen a travs de tres
niveles de asesoramiento diferentes: los estndares que definen requisitos
obligatorios para la auditora de SI; las guas o directrices, que proporcionan
asesoramiento en la aplicacin de los estndares; y los procedimientos que
proporcionan ejemplos de procedimientos que podra seguir un auditor de SI.
Las normas y guas de ISACA son reconocidas a nivel mundial y tienen una
amplia aceptacin en el colectivo de los auditores, por lo cual son de uso
recomendado al llevarse a cabo un proceso de auditora informtica en cualquier
tipo de organizacin. Son de acceso pblico lo cual facilita su uso.
En el caso de las guas GTAG, su principal objetivo es proveer un lenguaje
comn para la auditora informtica, que no contenga demasiados aspectos
tcnicos y que pueda ser fcilmente entendido por personal no tcnico, cada gua
sirve como fuente de recursos para auditores e informticos en distintos aspectos
174

relacionados con los riesgos de las tecnologas de la informacin y las mejores
prcticas aplicables, cubren mltiples aspectos del proceso de auditora desde su
planeacin y gestin hasta aspectos puntuales como por ejemplo la gestin de la
identidad.
Si bien son reconocidas en el mundo de la auditora, no cuentan con tanta
popularidad como las guas de ISACA, el acceso a las guas es solo para miembros
lo cual puede dificultar su uso. A continuacin se presenta una tabla comparativa
donde se pueden observar los aspectos generales de cada estndar, marco o gua.
175

COBIT
ITIL
ISO/IEC 27000
ISO/IEC 38500
Normas y guas de
GTAG -Global
Auditora de Sistemas de
Technology Audit
Informacin de ISACA
Guide - The Institute

of Internal Auditors
Objetivo
Marco de trabajo de
Gua de las mejores
Marco de
Gobierno TI:
Definir los requisitos
Proporcionar
control interno para
prcticas destinadas a
referencia de
Proporcionar un
obligatorios para la
informacin de alto
TI, que ofrece una
facilitar la entrega de
seguridad de la
marco de
auditora, proporcionar
nivel sobre aspectos
serie de mejores
servicios de tecnologas
informacin
principios para que
asesoramiento en la
tecnolgicos que
prcticas, las cuales
de la informacin
la direccin de las
aplicacin de los
puedan ayudar a los
estn orientadas al
organizaciones lo
estndares de Auditora
auditores internos y
control de la
utilice al evaluar,
de SI, proporcionar
externos a
informacin y
dirigir y
informacin sobre cmo
comprender mejor
tecnologa
monitorizar el uso
cumplir con los
los diferentes
relacionada
de las TIC.
estndares al realizar
riesgos, los controles
trabajos de auditora de
y los temas del buen
SI
gobierno
relacionados con
aspectos
tecnolgicos
176

COBIT
ITIL
ISO/IEC 27000
ISO/IEC 38500
Normas y guas de
GTAG -Global
Auditora de Sistemas de
Technology Audit
Informacin de ISACA
Guide - The Institute

of Internal Auditors
reas
4 dominios y 34
5 dominios
procesos
Define 3 tareas
14 Estndares, 42 guas,
principales:
11 procedimientos.
13 guas
evaluar, dirigir,
monitorizar
Creador
ISACA
OGC - Oficina de
ISO
ISO
ISACA
comercio
Institute of Internal
Auditors- IIA
gubernamental
Para qu se
COBIT brinda las
ITIL permite la
Desarrollar,
Para llevar un
Permiten llevar procesos
Como gua para los
implementa
mejores prcticas y
adecuada gestin de
implementar y
control adecuado
de auditora
auditores internos y
herramientas para
servicios de TI, los
mantener un
de los procesos
estandarizados, guiados
externos en
el monitoreo y la
procesos relacionados,
Sistema de
relacionados con el por estndares, guas y
distintos aspectos
gestin de las
a travs de la
Gestin de la
gobierno de TI, un
procedimientos que
relacionados con la
actividades de TI.
promocin de un
Seguridad de la
control de los
aplica especficamente a
auditora , el control
Ayuda a las
enfoque de alta calidad
Informacin
recursos de TI y da
la auditora de SI y de
y los riesgos de las
organizaciones a
para el logro de la
(SGSI) y
las bases para la
aplicabilidad
tecnologas de la
gestionar los riesgos
eficacia y eficiencia del
especificar los
realizacin de
internacional.
informacin y las
177

relacionados con TI
negocio en la gestin de
requerimientos
evaluaciones
mejores prcticas
y a asegurar el
servicios de TI.
para la
objetivas de la
aplicables
cumplimiento, la
Proporcionar una
implementacin
gestin y uso de la
continuidad,
adecuada gestin de la
de controles de
TI.
seguridad y
calidad.
seguridad
privacidad.
Aumentar la eficiencia.
Alinear los procesos de
negocio y la
infraestructura TI.
Reducir los riesgos
asociados a los Servicios
TI.
Generar negocio.
Tabla 7.1. Tabla comparativa estndares, marcos de trabajo y guas de auditora informtica.
178

CAPTULO VIII:
Anlisis
comparativo de
estndares y
metodologas
de anlisis de
riesgos
179

1. Introduccin
En este apartado realizaremos un anlisis comparativo de los diferentes
estndares y metodologas de anlisis de riesgos que son de uso frecuente y que
han sido expuestos en el captulo V, con el objetivo de tener una visin general de
los aportes que hace cada uno de ellos y tener un elemento de decisin para
seleccionar una metodologa y/o estndar al momento de realizar un anlisis de
riesgos.
Es importante destacar que hay una diferencia importante a tener en
cuenta entre los estndares y las metodologas en general. En el primer caso, los
estndares, dan las pautas generales de qu hacer para llevar a cabo un anlisis
de riesgos y la metodologa proporciona los pasos exactos que se deben llevar a
cabo para un anlisis de riesgos. Es por este motivo, por el que pueden verse
como complementarios, es decir, es posible seguir un estndar como gua o
marco dentro de un anlisis de riesgos y utilizar una metodologa en particular
para llevar a cabo dicho anlisis.
Para realizar este anlisis vamos a segmentarlo por grupos de
caractersticas de tal forma que podamos ver aspectos relevantes de cada
estndar o metodologa, como sigue a continuacin.
180

2. Anlisis de caractersticas generales
Metodologa/Estndar
AS/NZS ISO 31000:2009
Creador
Organizacin Internacional
Fecha ltima
versin
2009
para la Estandarizacin - ISO y
Pas
mbito
Australia/Nueva Estndar de carcter

Zelanda
el Comit de Normas de
Acceso
Restringido / de pago
genrico para el anlisis y

la gestin de riesgos.
Australia /Nueva Zelanda

UNE 71504:2008
Comit tcnico AEN/CTN 71
2008
Espaa
Metodologa de anlisis y
Tecnologa de la informacin,
gestin de riesgos para
de AENOR - Asociacin
los sistemas de
Espaola de Normalizacin y
informacin
Certificacin
MAGERIT Versin 2.0
Consejo Superior de
2006
Espaa
Metodologa de Anlisis y
Administracin Electrnica, y
Gestin de Riesgos de los
publicada por el Ministerio de
Sistemas de Informacin.
Hacienda y Administraciones
Pblicas de Espaa
181
Pblico

Metodologa/Estndar
Creador
Fecha ltima
versin
2005
Pas
Estados Unidos
mbito
OCTAVE
CERT - Coordination Center
Operationally Critical
del Software Engineering
riesgos orientado a
Threat, Asset, and
Institute de la Universidad
activos.
Vulnerability Evaluation
Carnegie Mellon
ISO/IEC 27005:2011
Organizacin Internacional
2011
Mtodo de anlisis de
Acceso
Pblico
Estndar para la gestin Restringido / de pago
para la Estandarizacin - ISO
del riesgo de seguridad

de la informacin.
MEHARI - Mtodo
Comisin de mtodos de
Armonizado de Anlisis
Clusif (Club de la seguridad de
de Riesgos
los sistemas de informacin
2010
Francia
Mtodo de anlisis de
Pblico
riesgo
franceses)
CRAMM-CTA -Risk
Agencia Central de Cmputo
Analysis and
y Telecomunicaciones (CCTA)
2010
Reino Unido
Metodologa para el
anlisis y la gestin de
Management
riesgos
MethodologyTabla 8.1. Caractersticas generales de los estndares y/ metodologas de anlisis de riesgos
182

En este primer cuadro comparativo podemos observar las caractersticas
generales de cada metodologa o estndar. Como se puede apreciar todas las
metodologas y estndares analizados cubren el proceso de anlisis y gestin de
riesgos. Encontramos diferencias en el tipo de acceso que se tiene a la
documentacin de las metodologas y estndares, lo cual puede ser un factor
importante a tener en cuenta al momento de seleccionar una u otra, algunas son
de acceso pblico y otras restringido para miembros de las entidades promotoras
o de pago directo.
En general se cuenta con versiones recientes de cada metodologa y
estndar, los creadores o promotores de estas metodologas y estndares son
entidades de reconocimiento en el mbito local que la desarrolla y a nivel
mundial, lo que da un respaldo importante a cada una de ellas.
A continuacin presentamos una segunda tabla en la que se comparan los
mbitos de aplicacin y procesos metodolgicos.
183

3. Anlisis del mbito de aplicacin y procesos metodolgicos
Metodologa / Estndar
AS/NZS ISO 31000:2009
mbito de aplicacin
Etapas / Fases que se llevan a cabo
Cualquier organizacin pblica o privada.

Estndar de carcter genrico orientado a
una amplia gama de actividades,
operaciones, procesos, funciones,
proyectos, productos, servicios, activos.
UNE 71504:2008
Cualquier organizacin pblica o privada,

orientacin
hacia
los
sistemas
informticos
MAGERIT Versin 2.0
Uso preferente en la administracin

pblica espaola, pero puede aplicarse
en cualquier tipo de organizacin.
Orientada a los sistemas informticos
1.
2.
3.
4.
5.
6.
7.
1.
2.
3.
4.
5.
6.
7.
1.
2.
Establecer el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratar riesgos
Monitorear y revisar
Comunicar y consultar
Determinar el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratamiento de los riesgos
Administracin de la gestin del riesgo
Comunicacin y consulta
Anlisis de riesgos
Caracterizacin de los activos
a. Caracterizacin de las amenazas
b. Caracterizacin de las salvaguardas
c. Estimacin del estado de riesgo
3. Gestionar los riesgos
184

mbito de aplicacin
OCTAVE
Operationally Critical
Orientada a los sistemas informticos
Threat, Asset, and

Vulnerability Evaluation
ISO/IEC 27005:2011

Orientada a los sistemas informticos.

Fase 1- Construir perfiles de amenazas basados en los activos
Proceso 1: Identificar el conocimiento de los altos directivos
Proceso 2: Identificar el conocimiento de los directivos de reas operativas
Proceso 3: Identificar el conocimiento del personal operativo
Proceso 4: Crear perfiles de amenaza
Fase 2- Identificar vulnerabilidades en la infraestructura
Proceso 5: Identificar componentes claves
Proceso 6: Evaluacin de componentes seleccionados
Fase 3- Desarrollar estrategias y planes de seguridad
Proceso 7: Realizar un anlisis de riesgos
Proceso 8: Desarrollar estrategias de proteccin
1. Establecimiento del contexto
2. Valoracin del riesgo
3. Tratamiento del riesgo
4. Aceptacin del riesgo
5. Comunicacin del riesgo
6. Monitoreo y Revisin
185

MEHARI - Mtodo
Armonizado de Anlisis de
Riesgos
CRAMM-CTA -Risk
Analysis and Management
Methodology Metodologa para el
anlisis y la gestin de
riesgos
mbito de aplicacin
Cualquier organizacin pblica o privada
Fase1: Valoracin de riesgos

Identificacin de riesgos
Estimacin de riesgos
Fase2: Tratamiento del riesgo. Decidir entre las siguientes alternativas:
Retener el riesgo
Reducir el riesgo
Transferir el riesgo
Evitar el riesgo
Fase3: Gestin del riesgo
Desarrollo de planes de accin
Implementacin de planes de accin
Monitoreo
Uso preferente en la administracin
1. Definir marco de gestin del riesgo
2. Identificar riesgos
pblica britnica, pero puede ser
3. Identificar propietarios de los riesgos
adaptada a cualquier entidad pblica o
4. Evaluar riesgos
5. Definir niveles aceptables de riesgo
privada.
6. Identificar respuestas adecuadas al riesgo
7. Implantar respuestas
8. Obtener garantas de la efectividad
9. Monitorizar y revisar
Tabla 8.2. mbito de aplicacin y procesos metodolgicos
186

En este segundo cuadro comparativo se puede observar que cada metodologa y/o
estndar puede ser aplicado en general en cualquier tipo de organizacin, ya sea esta pblica o
privada, en el caso de Magerit y CRAMM han sido concebidas con una orientacin primaria
hacia las administraciones pblicas pero de igual forma pueden adaptarse a otro tipo de
organizaciones.
A excepcin del estndar AS/NZS ISO 31000:2009, las dems estn orientadas
especficamente a los sistemas informticos, pese a ello dicha norma al ser de carcter general
podra aplicarse en este mbito particular.
Otra cuestin a tener en cuenta en este punto es que ISO 27005 y AS/NZS ISO 31000,
son estndares y no proveen una metodologa concreta de anlisis de riesgos, dichos
estndares describen a travs de sus diferentes clusulas, el proceso recomendado para llevar
a cabo un anlisis de riesgos y proporcionan un marco general para la gestin de riesgos, pero
deben apoyarse en metodologas particulares de anlisis y gestin de riesgos.
En cuanto a las etapas o fases generales seguidas por cada una de las metodologas y
estndares se observa una similitud generalizada en cuanto al proceso seguido, se aprecia un
enfoque estructurado donde se separan claramente las actividades de anlisis de riesgos
frente a la gestin de riesgos, las diferencias entre una y otra metodologa y estndar estn
marcadas en el desarrollo particular de cada etapa o fase.
187

4. Anlisis de los aspectos propios del proceso de anlisis de riesgos
Metodologa /
Tipos de anlisis
Estndar
AS/NZS ISO
31000:2009
Cualitativo
Semi-cuantitativo
Cuantitativo
UNE
71504:2008
Admite mtodos
de valoracin
cuantitativa y
cualitativa
Caracterizacin y
Valoracin de
activos
No se define
explcitamente un
mtodo de
identificacin y
valoracin de
activos
Caracterizacin
y Valoracin de
amenazas
No se define
explcitamente
un mtodo de
identificacin y
valoracin de
amenazas
Caracterizacin y
Valoracin de
vulnerabilidades
No se define
explcitamente un
mtodo de
identificacin y
valoracin de
vulnerabilidades
Caracterizacin y
Valoracin de
Salvaguardas
No se define
explcitamente un
mtodo
identificacin y
valoracin de
salvaguardas
Sugiere
procedimiento de
caracterizacin y
valoracin de
activos, no muy
detallado.
Sugiere
procedimiento
de
caracterizacin
de amenazas,
no indica un
mtodo en
particular, no
muy detallado
Se describe como
una actividad
dentro del proceso,
no se detalla.
Describe las
actividades
necesarias para la
caracterizacin y
valoracin de
salvaguardas
188
Estimacin de
riesgos
Tratamiento de
riesgos
Se sugieren
mtodos
cualitativos y
cuantitativos
que pueden
ser aplicados.
No detalla
alguna tcnica
en particular
Estrategias:
- Evitar el riesgo
- Reducir la
probabilidad de
la ocurrencia
- Reducir las
consecuencias
- Transferir los
riesgos
- Retener los
riesgos
Estrategias:
- Riesgos no
aceptables: se
aplicar
tratamiento
adecuado
- Riesgos
aceptables:
sistema de
monitorizacin
que garantice
ese nivel
Sugiere
criterios a
tener en
cuenta, no se
menciona un
mtodo
particular

Metodologa /
Estndar
Tipos de anlisis
MAGERIT
Versin 2.0
Anlisis
cuantitativos y
cualitativos
OCTAVE
Anlisis
cuantitativos y
cualitativos.
Caracterizacin y
Valoracin de
activos
Detalla la forma de
caracterizar activos
y hacer su
valoracin, provee
ejemplos y sugiere
tcnicas
Caracterizacin
y Valoracin de
amenazas
Detalla la forma
de caracterizar
amenazas y
hacer su
valoracin,
provee
ejemplos y
sugiera tcnicas
Caracterizacin y
Valoracin de
vulnerabilidades
No se considera
explcitamente
Caracterizacin y
Valoracin de
Salvaguardas
Detalla la forma
de caracterizar
salvaguardas y
hacer su
valoracin,
provee ejemplos
y sugiere tcnicas
Detalla la forma de
caracterizar
activos, provee
guas y ejemplos
Detalla la forma
de caracterizar
amenazas,
provee guas y
ejemplos
Detalla la forma de
caracterizar
vulnerabilidades,
provee guas y
ejemplos
No se considera
explcitamente
189
Estimacin de
riesgos
Tratamiento de
riesgos
Detalla la
forma de
estimar el
impacto del
riesgo, estimar
el riesgo e
interpretar los
resultados,
provee
ejemplos y
sugiere
tcnicas
Se identifican
los riesgos y se
evala el
impacto en
trminos de
una escala
predefinida
(alto, medio,
bajo)
Provee un
proceso
detallado para la
gestin de
riesgos
Se basa en el
desarrollo de:
-Estrategias de
proteccin
- Planes de
mitigacin y lista
de acciones.

Metodologa/
Estndar
Tipos de anlisis
Caracterizacin y
Valoracin de
activos
Detalla la forma de
identificar activos y
hacer su
valoracin, provee
ejemplos.
Caracterizacin
y Valoracin de
amenazas
Presenta
ejemplos de
amenazas
tpicas, no
detalla la forma
de valorarlos.
Caracterizacin y
Valoracin de
vulnerabilidades
Presenta ejemplos
de vulnerabilidades
y describe formas
de valoracin
Caracterizacin y
Valoracin de
Salvaguardas
No se considera
explcitamente
Describe
procedimientos
para la
Identificacin
de amenazas
Describe
procedimientos
para la
Identificacin de
activos
Estimacin de
riesgos
Tratamiento de
riesgos
Describe
procedimiento
para realizar
estimacin del
riesgo.
Sugiere alguna
de estas
estrategias:
-Retencin del
riesgo
-Evitacin del
riesgo
-Transferencia
del riesgo
-Retencin del
riesgo
-Reduccin del
riesgo
-Evitacin del
riesgo
-Transferencia
del riesgo
No se considera
explcitamente
ISO/IEC
27005:2011
Anlisis
cuantitativos y
cualitativos
preferentemente
MEHARI
Anlisis
cualitativos y
cuantitativos
Describe
procedimientos
para la
Identificacin de
activos
No se considera
explcitamente
Describe
procedimiento
s para la
estimacin del
riesgo
CRAMM-CTA
Anlisis
cuantitativos o
cualitativos
Describe
Describe
Describe
No se considera
procedimientos
procedimientos procedimientos
explcitamente
para la
para la
para la evaluacin
Identificacin y
evaluacin de
de vulnerabilidades
valoracin de
amenazas
activos
Tabla 8.3. Aspectos propios del proceso de anlisis de riesgos
Describe el
procedimiento
para la
estimacin del
riesgo
190

En este tercer cuadro comparativo se analizan aspectos puntuales de cada
metodologa y/o estndar que son fundamentales a la hora de realizar un anlisis
de riesgos, y que hacen parte del modelo o proceso de anlisis de riesgos utilizado
por cada una de ellas.
La principal particularidad que podemos encontrar en este punto, es como
cada estndar y/o metodologa aborda el desarrollo de cada uno de los aspectos
tratados, algunas con mayor o menor detalle. En general se observa que
estndares como ISO/IEC 27005:2011 y AS/NZS ISO 31000:2009 no detallan o
sugieren tcnicas particulares para el desarrollo de cada una de las tareas, sino
que indican la forma en que se debera llevar a cabo el proceso de anlisis de
riesgos y que aspectos deben considerarse. Estos estndares podran apoyarse en
metodologas concretas que provean mtodos detallados de anlisis de riesgos.
En el caso de las metodologas analizadas se puede observar que
metodologas como MAGERIT y OCTAVE son bastante detalladas en sus fases de
desarrollo y proveen herramientas adicionales para apoyar el trabajo del anlisis
de riesgos, como son guas, ejemplos, mtodos de caracterizacin y valoracin,
catlogos de elementos y herramientas software.
OCTAVE desarrolla el anlisis de riesgos partiendo de la perspectiva de los
integrantes de la organizacin quienes estn involucrados permanentemente en
dicho proceso y aportan una visin desde el punto de vista organizacional y
tecnolgico, lo que permite forjar una visin en todos los niveles de la
organizacin de los riesgos de seguridad de la informacin, siendo este enfoque
una de las principales diferencias frente a otras metodologas.
Tras desarrollar el anlisis de riesgos la metodologa permite desarrollar
estrategias de proteccin frente al riesgo y planes de seguridad.
OCTAVE cuenta con versiones diferentes que pueden ser adaptadas a las
organizaciones dependiendo de su tamao. Otra ventaja importante de esta
metodologa es que es de acceso pblico lo que facilita la disponibilidad de los
documentos y herramientas de apoyo. Es una metodologa de reconocimiento
internacional y se encuentra incluida en el Inventory of Risk Management / Risk
191

Assessment Methods de ENISA (European Network and Information Security
Agency), solo se encuentra disponible en ingls.
Por su parte MAGERIT se presenta como una muy buena opcin a la hora
de seleccionar una metodologa de anlisis de riesgos, que adems de que cubre
el proceso de gestin de riesgos, provee fases muy detalladas para el proceso de
anlisis de riesgos, indicando mtodos particulares para la caracterizacin y
valoracin de activos, amenazas y salvaguardas, as como para la estimacin de
los riesgos tanto potenciales como residuales.
Lo anterior es posible ya que adicionalmente al documento base donde se
detalla la metodologa se cuenta con dos documentos adicionales que proveen de
un lado una gua de consulta que sugiere algunas tcnicas que se emplean
habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos tcnicas especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis
algortmico, rboles de ataque, tcnicas generales, anlisis coste-beneficio,
diagramas de flujo de datos, diagramas de procesos, tcnicas grficas,
planificacin de proyectos, sesiones de trabajo (entrevistas, reuniones y
presentaciones) y valoracin Delphi, tal como se indica en [MAGE 06] - y de otro
lado se cuenta con un catlogo de elementos que ofrece unas pautas y elementos
estndar en cuanto a: tipos de activos, dimensiones de valoracin de los activos,
criterios de valoracin de los activos, amenazas tpicas sobre los sistemas de
informacin y salvaguardas a considerar para proteger sistemas de informacin,
tal como se indica en [MAGE 06].
MAGERIT est alineada con la normativa vigente de carcter nacional
relacionada con las Tecnologas de la Informacin y Comunicacin, como son
entre otras La Ley de Proteccin de Datos de Carcter Personal, Firma Electrnica
y procedimientos administrativos especficos, entre otros. De igual forma se
constituye en un instrumento que ayuda a la implantacin y aplicacin del
Esquema Nacional de Seguridad.
MAGERIT cuenta con el reconocimiento de ENISA (European Network and
Information Security Agency) que la ha incluido desde el ao 2009 en su
Inventory of Risk Management/Risk Assessment Methods, lo que le aporta
192

reconocimiento internacional y cumple con estndares internacionales como
ISO/IEC 27001, ISO/IEC 15408, ISO/IEC 27002, e ISO/IEC 27005.
MAGERIT cuenta con una herramienta software de apoyo llamada
EAR/PILAR, los documentos de la metodologa estn disponibles en ingls y
espaol y son de libre acceso, sin embargo la herramienta software no es de uso
pblico.
En el mbito nacional encontramos otra metodologa que puede ser
considerada incluso como un estndar y es la UNE 71504:2008 que ofrece las
directrices para llevar a cabo un anlisis de riesgos. Esta metodologa, si bien no es
tan detallada como OCTAVE o MAGERIT ni ofrece mtodos particulares de
caracterizacin y valoracin de los diferentes elementos de su modelo, ofrece
pautas para la caracterizacin y valoracin de activos, amenazas, vulnerabilidades
y salvaguardas, y establece pautas para la estimacin del riesgo potencial y
residual.
Esta metodologa separa dentro de su proceso general el anlisis, la
evaluacin y el tratamiento de los riesgos, hace uso del modelo ALARP para la
evaluacin de riesgos que agrupa los riesgos para su evaluacin en tres zonas:
zona de riesgos inaceptables, zona de riesgos intermedia y zona de riesgos
tolerables.
Est disponible en espaol y no es de acceso pblico, est alineada con
MAGERIT y no se encuentra an incluida en el Inventory of Risk Management /
Risk Assessment Methods de ENISA.
En cuanto a MEHARI su principal caracterstica es que est totalmente
enfocada a responder a las pautas dadas por la ISO/IEC 27005 para el anlisis y la
gestin de riesgos. Cuenta con documentos de apoyo que guan el desarrollo de
dichos procesos y aunque sin proponer mtodos concretos ofrecen una buena
gua metodolgica.
Un aspecto importante a destacar de MEHARI es que cuenta con una base
de datos de conocimiento en formato de hoja de clculo, que puede ser
descargada y que facilita el desarrollo de las diferentes fases de la metodologa.
193

Los documentos de la metodologa y la base de datos son de libre acceso,
est disponibles por completo en francs e ingls y algunos documentos
introductorios en espaol, italiano, alemn, portugus y chino, entre otros.
Se encuentra incluida en el Inventory of Risk Management/Risk
Assessment Methods de ENISA.
En lo que respecta a CRAMM, en esencia es la base de una herramienta
software que gua todo el proceso de anlisis y gestin de riesgos, que goza de
gran prestigio en el Reino Unido, cumple con el estndar ISO 27002 y no es de
acceso pblico por lo cual no se cuenta con muchos detalles de la misma. Se
encuentra incluida en el Inventory of Risk Management/Risk Assessment
Methods de ENISA, est disponible en ingls, alemn, holands y checo.
194

Captulo IX:
Propuesta de
una gua para
llevar a cabo
una auditora
informtica
195

1. Introduccin
En este apartado se presenta la propuesta de una gua de auditora
informtica que hace uso del anlisis de riesgos como parte de la planificacin de
dicha auditora, de tal forma que permita definir el alcance de la misma y ayude a
priorizar el o las reas a auditar.
El objetivo de la gua es servir como referencia y ayuda al desarrollo de una
auditora informtica en empresas pequeas y medianas en el mbito nacional
que, con independencia de su sector de actividad hagan uso de tecnologas
informticas.
La gua estar apoyada en estndares, guas y metodologas de
reconocimiento en el sector y que han sido seleccionadas por su pertinencia, de
acuerdo al anlisis realizado en apartados anteriores.
Para el caso del anlisis de riesgos se usar Magerit y para la evaluacin de
controles se usar COBIT, tambin se seguirn las recomendaciones de las normas
y guas de auditora de sistemas de informacin de ISACA.
En primera instancia se presenta el contenido o estructura de la gua y
posteriormente se ir desarrollando cada punto de manera detallada.
Como complemento al documento que se presenta a continuacin, se ha
elaborado una web con todo el contenido de la gua para que pueda ser
consultada de una manera gil y que se incluye como anexo a la memoria del
proyecto.
2. Contenido de la gua
La gua se estructura segn el esquema que se indica a continuacin:
1. Introduccin
2. Alcance y mbito de aplicacin
3. Objetivos
4. Trminos y definiciones
5. Estndares y metodologas relacionados
6. Proceso de realizacin de la auditora
196

7. Fase de planificacin
7.1. Etapa 1: Conocimiento preliminar de la empresa y/ o rea a auditar
7.2. Etapa 2: Desarrollo del anlisis de riesgos, siguiendo la metodologa
Magerit V2.0
7.3. Informe final del anlisis de riesgos
7.4. Informe de planificacin de la auditora
7.5. Fase de evaluacin de controles
7.5.1. Etapa 1: Identificacin y seleccin de controles a evaluar
7.5.2. Etapa 2: Recoleccin y evaluacin de evidencias
7.6. Fase de elaboracin y presentacin de informes
7.6.1. Informe de hallazgos y recomendaciones
7.6.2. Documentacin final de la auditora
7.7. Fase de seguimiento
7.7.1. Establecimiento de pautas para el seguimiento de la auditora
7.8. Anexos de la gua
197

2.1. Introduccin
Dado el creciente uso de las Tecnologas de la Informacin y la
Comunicacin en todas las empresas, con independencia de su tamao y sector,
se hace necesario contar con estrategias encaminadas a asegurar sus recursos
informticos, entendidos estos como recursos lgicos: -software- y recursos
fsicos: equipos, soportes de almacenamiento de informacin, medios de
comunicacin, hardware en general e instalaciones y recursos humanos que
hacen uso de dichos recursos, los operan y administran.
Dichos recursos soportan la operacin cotidiana de las empresas y en su
conjunto constituyen los sistemas informticos a travs de los cuales se procesa,
almacena y transmite informacin. Es importante indicar que puede existir
informacin que no est automatizada, que sea necesario asegurar y para la cual
se pueden considerar algunos procedimientos de control.
De acuerdo con lo anterior es necesario contar con procedimientos que
permitan revisar y evaluar el funcionamiento de dichos sistemas informticos y
establecer controles, de tal forma que se garantice su operacin de forma segura
y eficiente y que adems, permita cumplir con la normativa vigente.
Con el fin de ayudar a cumplir con lo anterior se presenta esta gua de
auditora, que pretende servir de orientacin en el desarrollo de una auditora
informtica con un enfoque de riesgos.
2.2. Alcance y mbito de aplicacin

Esta gua de auditora est orientada a las PYMES de cualquier sector, que
hagan uso de las Tecnologas de la Informacin y Comunicacin y, que apoyen o
soporten su operacin y procesos en sistemas informticos. La gua se apoya en
estndares y normativas tanto de mbito local como internacional, por lo que
puede ser aplicada en cualquier contexto que rena los requerimientos
particulares.
198

2.3. Objetivos
Proporcionar una gua de auditora que facilite el desarrollo de un proceso
de verificacin y evaluacin de los sistemas informticos dentro de una
empresa.
Proporcionar un enfoque de auditora basado en anlisis de riesgos que
haga de la auditora y el control un proceso dinmico y constante dentro
de una empresa.
Apoyar el cumplimiento de la normativa vigente relacionada con las
Tecnologas de la Informacin y Comunicacin, el tratamiento de la
informacin y dems normativa relacionada.
2.4. Trminos y definiciones

Activo: Componente o funcionalidad de un sistema de informacin
susceptible de ser atacado deliberadamente con consecuencias para la
Organizacin.
Incluye
datos,
servicios,
aplicaciones
(software),
equipos
(hardware), comunicaciones, recursos administrativos, recursos fsicos y personal.

(UNE 71504-008).
Amenaza: Eventos que pueden desencadenar un incidente en la
Organizacin, produciendo daos materiales o prdidas inmateriales en sus
activos. (Magerit).
Anlisis de riesgos: Proceso sistemtico para estimar la magnitud de los
riesgos a que est expuesta una Organizacin. (Magerit).
Auditora Informtica: La auditora de los sistemas de informacin se
define como cualquier auditora que abarca la revisin y evaluacin de todos los
aspectos (o de cualquier porcin de ellos) de los sistemas automticos de
procesamiento de la informacin, incluidos los procedimientos no automticos
relacionados con ellos y las interfaces correspondientes.(ISACA).
Conjunto de procedimientos y tcnicas para evaluar y controlar un sistema
informtico o de informacin, con el fin de constatar si sus actividades son las
adecuadas en relacin con las normativas generales de aplicacin y los objetivos
prefijados por la organizacin. [CARI 06].
199

Auditora de seguridad: Estudio y examen independiente del historial y
actividades de un sistema de informacin, con la finalidad de comprobar la
idoneidad de los controles del sistema, asegurar su conformidad con la estructura
de seguridad y procedimientos operativos establecidos, a fin de detectar brechas
en la seguridad y recomendar cambios en los procedimientos, controles y
estructuras de seguridad. (Magerit).
Alcance de la Auditora: Marco o lmite de una auditora en el que se
determina el tiempo que se va a emplear, las materias o reas que se van a cubrir,
la profundidad de las pruebas a realizar, los objetivos y la metodologa aplicable.
[CONT 10].
Control:
Las
polticas,
procedimientos,
prcticas
estructuras
organizacionales diseadas para proporcionar una garanta razonable de que los

objetivos del negocio se alcanzarn y los eventos no deseados sern prevenidos o
detectados. (COBIT).
Evidencia: Prueba determinante en un proceso. (RAE).
Prueba obtenida por cualquiera de los diversos procedimientos empleados
por el auditor en el curso de una auditora. La evidencia es competente, cuando es
vlida y confiable; es relevante cuando guarda una relacin lgica y patente con el
hecho a demostrar o refutar; y es suficiente cuando es objetiva y convincente y
sirve para sustentar los hallazgos, conclusiones y recomendaciones del auditor.
[CONT 10].
Gestin de riesgos: Seleccin e implantacin de salvaguardas para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados.
Seleccin e implantacin de las medidas o salvaguardas de seguridad
adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos
identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios.
La gestin de riesgos se basa en los resultados obtenidos en el anlisis de
los riesgos. (Magerit).
Hallazgo: Toda situacin irregular encontrada durante el proceso de una
auditora. En su descripcin se debe incluir informacin necesaria para que el
lector pueda entender y juzgar el hallazgo sin explicacin adicional.
200

Hechos o situaciones irregulares que impactan significativamente el
desempeo de la organizacin,[CONT 10].
Identificacin de riesgos: Proceso de determinacin de qu le puede
ocurrir a cada activo y cules seran las consecuencias. (UNE 71504-008).
Impacto: Consecuencia que sobre un activo tiene la materializacin de una
amenaza. (Magerit).
Mapa de riesgos Informe: Relacin de las amenazas a que estn expuestos
los activos. (Magerit).
Objetivo de control: Una declaracin del resultado o propsito que se
desea alcanzar al implementar procedimientos de control en un proceso en
particular. (COBIT).
Programa de Auditora: Es un plan detallado de la auditora donde se
define el cmo, dnde y el porqu, dividindose cada uno de ellos en
procedimientos. Esquema detallado del trabajo por realizar y los procedimientos a
emplear durante la Fase de Ejecucin, determinando la extensin y la
oportunidad con que sern aplicados, as como los papeles de trabajo que han de
ser elaborados. [CONT 10].
Procedimientos de Auditora: Comprobaciones, instrucciones y detalles
incluidos en el programa de auditora, que se deben llevar a cabo en forma
sistemtica y razonable.
Pasos especficos que desarrollar el auditor para examinar la gestin,
detectar hallazgos y recopilar la evidencia necesaria. [CONT 10].
Riesgo: El potencial de que una amenaza especfica explote las debilidades
de un activo o grupo de activos para ocasionar prdida y/o dao a los activos. Por
lo general se mide por medio de una combinacin del impacto y la probabilidad
de ocurrencia. (COBIT).
Estimacin del grado de exposicin a que una amenaza se materialice sobre
uno o ms activos causando daos o perjuicios a la Organizacin. (Magerit).
Salvaguarda: Procedimiento o mecanismo tecnolgico que reduce el riesgo.
(Magerit).
201

Sistema de Informacin / Informtico: Conjunto organizado de recursos
para que la informacin se pueda recoger, almacenar, procesar (tratar),
mantener, usar, compartir, distribuir, poner a disposicin, presentar o transmitir.
Vulnerabilidad: Estimacin de la exposicin efectiva de un activo a una
amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradacin
causada.
Debilidad en la seguridad de un sistema de informacin. (Magerit).
2.5. Estndares y metodologas relacionados

A continuacin se incluye un catlogo de los estndares y metodologas
relacionados con el desarrollo de esta gua.
ISO 27001. Es la norma principal de la serie 27000 y contiene los requisitos
del Sistema de Gestin de Seguridad de la Informacin (SGSI). Tiene su origen en
la BS 7799-2:2002 y es la norma con la cual se certifican, por auditores externos,
los SGSI de las organizaciones.
ISO 27002. Es el nuevo nombre de ISO 17799:2005, manteniendo 2005
como ao de edicin. Es una gua de buenas prcticas que describe los objetivos
de control y controles recomendables en cuanto a seguridad de la informacin.
No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en
11 dominios.
Magerit V2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas
de Informacin, desarrollada por el Consejo Superior de Administracin
Electrnica, y publicada por el Ministerio de Hacienda y
Administraciones
Pblicas de Espaa.
COBIT. Objetivos de Control para la Informacin y la Tecnologa
relacionada, es un marco de trabajo de control interno para TI (Tecnologas de la
Informacin), que ofrece una serie de mejores prcticas, las cuales estn
orientadas al control de la informacin y tecnologa relacionada y que se ha
convertido en un marco de referencia general para el gobierno de TI en las
organizaciones.
202

Guas de Auditora de ISACA: Conjunto de normas de auditora que guan y
apoyan el trabajo del auditor, publicadas por ISACA, cuyos objetivos son los de
informar a los auditores del nivel mnimo de rendimiento aceptable para
satisfacer las responsabilidades profesionales establecidas en el Cdigo de tica
Profesional y de informar a la gerencia y a otras partes interesadas de las
expectativas de la profesin con respecto al trabajo de aquellos que la ejercen.
2.6. Proceso de realizacin de la auditora

El proceso de realizacin de la auditora sigue el esquema que se muestra
en la imagen a continuacin:
FASE DE
PLANIFICACIN
Conocimiento
preliminar de la
empresa y/ o
rea a auditar
Anlisis de
riesgos
FASE DE
ELABORACIN Y
PRESENTACIN DE
INFORMES
FASE DE
EVALUACIN DE
CONTROLES
Identificacin y
seleccin de
controles a
evaluar
recoleccin y
evaluacin de
evidencias
FASE DE
SEGUIMIENTO
Informe de
hallazgos y
recomendaciones
Figura 9.1: Fases de la auditora
2.6.1. Fase de planificacin

En esta fase se llevar a cabo la definicin de los objetivos de la auditora y
el alcance de la misma, basada en un anlisis de riesgos.
203
Establecimiento
de pautas para el
seguimiento de la
auditora

Objetivos
Los objetivos de esta fase son determinar las reas o procesos a ser
auditados, definir el universo de la auditora, identificar las reas prioritarias y
ayudar en la asignacin de recursos necesarios para la ejecucin de la auditora.
Alcance
Esta fase comprende la realizacin de dos etapas principales: un anlisis
para el conocimiento preliminar de la empresa y la realizacin del anlisis de
riesgos.
Conocimiento preliminar
de la empresa y/ o rea a
auditar
FASE DE PLANIFICACIN
Anlisis de riesgos
Figura 9.2: Etapas de la fase de planificacin
2.6.1.1. Etapa 1: Conocimiento preliminar de la empresa y/o rea a

auditar
Para el desarrollo de esta actividad se debe realizar un anlisis detallado de
la empresa y/o rea a auditar. Para ello se deben analizar diferentes fuentes de
informacin y emplear diferentes mecanismos para la obtencin de la
informacin necesaria.
Para esta actividad se debe disponer de:
Conocimiento del negocio y la industria en la que opera
Conocimiento de la arquitectura tecnolgica
204

Normas regulatorias
Evaluaciones de riesgos previas
Informes de auditoras previos
Informacin financiera reciente
Como mecanismos para realizar esta investigacin preliminar se pueden
usar los siguientes:
Entrevistas con los actores involucrados en las reas y procesos a auditar
y los involucrados en el proyecto de auditora.
Revisin de documentacin proporcionada por la empresa
Inspeccin de las instalaciones donde se llevar a cabo la auditora y
observacin de operaciones.
Revisin de informes de auditora anteriores si se han realizado.
Estudio y evaluacin del sistema de control interno.
Una vez finalizada esta actividad se tendr un conocimiento global de la
empresa y / o del rea a auditar.
El auditor puede documentar esta actividad, realizando un registro de los
aspectos ms relevantes encontrados durante esta investigacin preliminar, para
este registro no se plantea un formato particular sino que ser a criterio del
auditor.
2.6.1.2. Etapa 2: Desarrollo del anlisis de riesgos

El objetivo de esta actividad es realizar un anlisis de riesgos basado en la
metodologa Magerit. Si existe un anlisis de riesgos previo se har uso de ste, de
lo contrario se proceder a la realizacin de dicho anlisis como parte de la fase
de planificacin de la auditora.
Para el desarrollo de estas actividades se har uso de los documentos
oficiales de la metodologa, tomando de ellos los aspectos relevantes de cada
actividad. En todo momento se conservarn los planteamientos de la
metodologa, no obstante se ajustarn aquellos aspectos que se consideren
necesarios al contexto de la gua. Los documentos a utilizar son los siguientes:
205

Magerit - El Mtodo
Magerit - Catlogo de Elementos
Magerit - Gua de Tcnicas
Se desarrollarn tres actividades centrales cuyo resultado final ser un
mapa de riesgos de la empresa, que ser utilizado para definir los objetivos y el
alcance de la auditora.
Las tres actividades a desempear son las siguientes:
Actividad 1:
Caracterizacin de los
activos
Actividad 2:
Etapa 2: ANLISIS DE
RIESGOS
Caracterizacin de las
amenazas
Actividad 3:
Estimacin del estado
de riesgo
Figura 9.3: Actividades de la etapa de Anlisis de Riesgos
Como apoyo al desarrollo de cada una de estas actividades es posible usar

la herramienta PILAR, que ha sido desarrollada para brindar un soporte
automatizado en el proceso del anlisis de riesgos. Por otra parte como
alternativa al uso de dicha herramienta, se propone a lo largo de la gua el uso de
una serie de plantillas que facilitarn la realizacin de este anlisis. El uso de una u
otra alternativa depender del criterio de quienes ejecuten las diferentes
actividades.
206

Actividad 1: Caracterizacin de los activos
El objetivo de esta actividad es reconocer los activos que componen los
procesos y definir las dependencias entre ellos. As y a partir de la informacin
recopilada en la etapa anterior, esta actividad profundiza en el estudio de los
activos con vistas a obtener la informacin necesaria para realizar las
estimaciones de riesgo. Para el desarrollo de esta actividad se deben llevar a cabo
las siguientes tareas:
Tarea T1.1:
Identificacin de los
activos
Actividad 1:
Caracterizacin de los
activos
Tarea T1.2:
Dependencias entre
activos
Tarea T1.3: Valoracin

de los activos
Figura 9.4: Tareas de la actividad Caracterizacin de los activos
Tarea T1.1: Identificacin de los activos

Objetivos: El objetivo de esta tarea es identificar los activos que componen
el dominio del anlisis, determinando sus caractersticas, atributos y clasificacin
en los tipos determinados.
Productos de entrada: como informacin de entrada para el adecuado
desarrollo de esta la tarea se puede utilizar la siguiente:
Inventarios de datos manejados por la Organizacin
Procesos de negocio
Diagramas de uso
Diagramas de flujo de datos
207

Inventarios de equipamiento lgico
Inventarios de equipamiento fsico
Caracterizacin funcional de los puestos de trabajo
Locales y sedes de la Organizacin
Productos de salida: Una vez finalizada esta tarea se obtendrn los
siguientes productos de salida:
Relacin de activos a considerar
Caracterizacin de los activos
Tcnicas, prcticas y pautas: Para la ejecucin de esta actividad se
recomienda una serie de tcnicas y pautas que facilitaran el desarrollo de la tarea
y que son sugeridas por la metodologa Magerit. Dichas tcnicas se encuentran en
los documentos que provee la metodologa:
Diagramas de flujo de datos (ver "Gua de Tcnicas" 3.2)
Diagramas de procesos (ver "Gua de Tcnicas" 3.3)
Entrevistas (ver "Gua de Tcnicas" 3.6.1)
Reuniones (ver "Gua de Tcnicas" 3.6.2)
Ver tambin la seccin 2.1.1 del documento El Mtodo.
Para la identificacin de los activos es necesario determinar una serie de
caractersticas que lo definen y que se sugieren a continuacin:
Cdigo, tpicamente procedente del inventario.
Nombre (corto).
Descripcin (larga).
Tipo (o tipos) que caracterizan el activo.
Unidad responsable. A veces hay ms de una unidad. Por ejemplo, en el
caso de aplicaciones cabe diferenciar entre la unidad que la mantiene y la
que la explota.
Persona responsable. Especialmente relevante en el caso de datos. A
veces hay ms de un responsable. Por ejemplo en caso de datos de
208

carcter personal cabe diferenciar entre el responsable del dato y el
operador u operadores que lo manejan.
Ubicacin. Tcnica (en activos intangibles) o geogrfica (en activos
materiales).
Cantidad, si procede como puede ser en el caso de la informtica personal
(por ejemplo, 350 equipos de sobremesa).
Otras caractersticas especficas del tipo de activo.
Para el registro de estas caractersticas se sugiere el uso de una plantilla
que forma parte de los anexos de este documento. [Anexo 1].
Tarea T1.2: Dependencias entre activos

Objetivos: Identificar y valorar las dependencias entre activos, es decir, la
medida en que un activo de orden superior se puede ver perjudicado por una
amenaza materializada sobre un activo de orden inferior.
Productos de entrada: Como informacin de entrada para el adecuado
desarrollo de esta tarea se puede utilizar la siguiente:
Resultados de la tarea T1.1, Identificacin de activos
Procesos de negocio
Diagramas de flujo de datos
Diagramas de uso
Diagrama de dependencias entre activos
recomienda una serie de tcnicas y pautas que facilitarn el desarrollo de la tarea
Diagramas de flujo de datos (ver "Gua de Tcnicas" 3.2)
Diagramas de procesos (ver "Gua de Tcnicas" 3.3)
209

Valoracin Delphi (ver "Gua de Tcnicas" 3.7)
Ver tambin la seccin 2.1.1 del documento El Mtodo.
Para cada dependencia se sugiere registrar la siguiente informacin:
Estimacin del grado de dependencia: hasta un 100%
Explicacin de la valoracin de la dependencia
Entrevistas realizadas de las que se ha deducido la anterior estimacin
Para la realizacin de esta actividad se puede usar como apoyo una matriz
de dependencias donde se crucen los activos padres y sus activos hijos o
dependientes. Dichas dependencias se pueden evaluar en funcin de la
dependencia de un activo dentro de las dimensiones de valoracin de los activos
definidas en la metodologa y que se listan a continuacin:
[D] disponibilidad
[I] integridad de los datos
[C] confidencialidad de los datos
[A_S] autenticidad de los usuarios del servicio
[A_D] autenticidad del origen de los datos
[T_S] trazabilidad del servicio
[T_D] trazabilidad de los datos
Para el desarrollo de esta tarea se sugiere el uso de una plantilla que forma
parte de los anexos de este documento. [Anexo 2]. De igual forma puede hacerse
uso de la herramienta PILAR.
Esta informacin de dependencias tambin se puede visualizar de forma
grfica a travs de la construccin de un grfico de dependencias entre activos.
Este grfico se puede construir de forma manual basndose en la matriz de
dependencias construida o de forma automtica a travs de la herramienta PILAR.
Tarea T1.3: Valoracin de los activos

Objetivos: Los objetivos de esta tarea son los siguientes:
210

Identificar en qu dimensin es valioso el activo
Valorar el coste que para la Organizacin supondra la imposibilidad
del uso del activo
desarrollo de esta tarea se puede utilizar lo siguiente:
Resultados de la tarea T 1.1, Identificacin de los activos
Resultados de la tarea T 1.2, Dependencias entre activos
Modelo de valor: informe de valor de los activos
Ver tambin la seccin 2.1.1, del documento El Mtodo.
Para el desarrollo de esta tarea y la adquisicin del conocimiento requerido,
puede ser necesario entrevistar a diferentes colectivos dentro de la Organizacin:
Direccin o gerencia, que conocen las consecuencias para la misin de
la organizacin
Responsables de los servicios, que conocen las consecuencias de la no
prestacin del servicio o de su prestacin degradada
Responsables de los datos, que conocen las consecuencias de la
degradacin de los datos
Responsables de sistemas de informacin y responsables de
operacin, que conocen las consecuencias de un incidente
211

Para cada valoracin de un activo conviene registrar la siguiente
informacin:
Dimensiones en las que el activo es relevante
Estimacin de la valoracin en cada dimensin
Explicacin de la valoracin
Entrevistas realizadas de las que se han deducido las anteriores
estimaciones.
Para la valoracin de los activos se utilizarn las dimensiones de valoracin
definidas por la metodologa:
[D] disponibilidad
[I] integridad de los datos
[C] confidencialidad de los datos
[A_S] autenticidad de los usuarios del servicio
[A_D] autenticidad del origen de los datos
[T_S] trazabilidad del servicio
[T_D] trazabilidad de los datos
Las dimensiones se utilizan para valorar las consecuencias de la
materializacin de una amenaza. La valoracin que recibe un activo en una cierta
dimensin es la medida del perjuicio para la organizacin si el activo se ve daado
en dicha dimensin.
La valoracin de activos se realizar con base a la escala propuesta por la
metodologa y que se presenta a continuacin:
Valor
Criterio
10
muy alto
dao muy grave a la organizacin
7-9
Alto
4-6
medio
1-3
bajo
dao menor a la organizacin
despreciable
irrelevante a efectos prcticos
dao grave a la organizacin

dao importante a la organizacin
212

Para la valoracin de los activos se sugiere el uso de una matriz de
valoracin donde se consigne para cada activo su valor en la dimensin que
corresponda y que indica la medida del perjuicio para la organizacin si el activo a
valorar se ve daado en dicha dimensin.
Dicha matriz se encuentra en una plantilla que forma parte de los anexos de
este documento. [Anexo 2]. De igual forma puede hacerse uso de la herramienta
PILAR.
Actividad 2: Caracterizacin de las amenazas

Objetivo: El objetivo de esta actividad es identificar y valorar las amenazas
posibles para cada activo, de tal forma que se obtenga un mapa de riesgos de la
empresa.
Para el desarrollo de esta actividad se deben llevar a cabo las siguientes
tareas:
T 2.1: Identificacin de
las amenazas
ACTIVIDAD 2:
CARACTERIZACIN DE
LAS AMENAZAS
T 2.2: Valoracin de las
amenazas
Figura 9.5: Tareas de la actividad Caracterizacin de las amenazas
Tarea T2.1: Identificacin de las amenazas

Objetivos: Identificar las amenazas relevantes sobre cada activo
213

Resultados de la actividad A 1, Caracterizacin de los activos
Relacin de amenazas posibles
recomienda una serie de tcnicas y facilitaran el desarrollo de la tarea y que son
sugeridas por la metodologa Magerit. Dichas tcnicas se encuentran en los
documentos que provee la metodologa:
Catlogos de amenazas (ver "Catlogo de Elementos", captulo 5)
rboles de ataque (ver "Gua de Tcnicas" 2.3)
En esta tarea se identifican las amenazas significativas sobre los activos
identificados, tomando en consideracin:
el tipo de activo
las dimensiones en que el activo es valioso
la experiencia de la Organizacin
Para cada amenaza sobre cada activo conviene registrar la siguiente
informacin:
explicacin del efecto de la amenaza
entrevistas realizadas de las que se ha deducido la anterior estimacin
antecedentes, si los hubiera, bien en la propia Organizacin, bien en
otras organizaciones que se haya considerado relevantes
Para la identificacin de las amenazas se usar un catlogo de amenazas
posibles sobre los activos de un sistema de informacin, definidas por la
metodologa y que se han identificado como las amenazas tpicas a las que puede
214

estar expuesto un activo. A continuacin se listan las amenazas, que se
encuentran de forma detallada en el documento Catlogo de Elementos:
[N] Desastres naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*] Desastres naturales
[I] De origen industrial
[I.1] Fuego
[I.2] Daos por agua
[I.*] Desastres industriales
[I.3] Contaminacin mecnica
[I.4] Contaminacin electromagntica
[I.5] Avera de origen fsico o lgico
[I.6] Corte del suministro elctrico
[I.7] Condiciones inadecuadas de temperatura y/o humedad
[I.8] Fallo de servicios de comunicaciones
[I.9] Interrupcin de otros servicios y suministros esenciales
[I.10] Degradacin de los soportes de almacenamiento de la informacin
[I.11] Emanaciones electromagnticas
[E] Errores y fallos no intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador
[E.3] Errores de monitorizacin (log)
[E.4] Errores de configuracin
[E.7] Deficiencias en la organizacin
[E.8] Difusin de software daino
[E.9] Errores de [re-]encaminamiento
[E.10] Errores de secuencia
[E.14] Escapes de informacin
[E.15] Alteracin de la informacin
[E.16] Introduccin de informacin incorrecta
215

[E.17] Degradacin de la informacin
[E.18] Destruccin de informacin
[E.19] Divulgacin de informacin
[E.20] Vulnerabilidades de los programas (software)
[E.21] Errores de mantenimiento/actualizacin de programas (software)
[E.23] Errores de mantenimiento/actualizacin de equipos (hardware)
[E.24] Cada del sistema por agotamiento de recursos
[E.28] Indisponibilidad del personal
[A] Ataques intencionados
[A.4] Manipulacin de la configuracin
[A.5] Suplantacin de la identidad del usuario
[A.6] Abuso de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusin de software daino
[A.9] [Re-]encaminamiento de mensajes
[A.10] Alteracin de secuencia
[A.11] Acceso no autorizado
[A.12] Anlisis de trfico
[A.13] Repudio
[A.14] Interceptacin de informacin (escucha)
[A.15] Modificacin de la informacin
[A.16] Introduccin de falsa informacin
[A.17] Corrupcin de la informacin
[A.18] Destruccin la informacin
[A.19] Divulgacin de informacin
[A.22] Manipulacin de programas
[A.24] Denegacin de servicio
[A.25] Robo
[A.26] Ataque destructivo
[A.27] Ocupacin enemiga
[A.28] Indisponibilidad del personal
216

[A.29] Extorsin
[A.30] Ingeniera social
Para realizar el registro de las amenazas identificadas se sugiere el uso de
una plantilla que forma parte de los anexos de este documento, [Anexo 3]. De
igual forma puede hacerse uso de la herramienta PILAR.
Tarea T2.2: Valoracin de las amenazas

Objetivos: Los objetivos de esta tarea son:
Estimar la frecuencia de ocurrencia de cada amenaza sobre cada activo
Estimar la degradacin que causara la amenaza en cada dimensin del
activo si llegara a materializarse
Resultados de la tarea T2.1, Identificacin de las amenazas
Series histricas de incidentes
Antecedentes: incidentes en la Organizacin
Mapa de riesgos: informe de amenazas posibles, caracterizadas por su
frecuencia de ocurrencia y la degradacin que causaran en los activos.
rboles de ataque (ver "Gua de Tcnicas" 2.3)
217

En esta tarea se valoran las amenazas identificadas en la tarea anterior,
tomando en consideracin:
la experiencia (historia) universal
la experiencia (historia) del sector de actividad
la experiencia (historia) del entorno en que se ubican los sistemas
la experiencia (historia) de la propia Organizacin
Para cada amenaza sobre cada activo conviene registrar la siguiente
informacin:
estimacin de la frecuencia de la amenaza
estimacin del dao (degradacin) que causara su materializacin
explicacin de las estimaciones de frecuencia y degradacin
entrevistas realizadas de las que se han deducido las anteriores
estimaciones
Para realizar el registro de las amenazas identificadas y su valoracin se
har uso de una matriz que permita registrar para cada activo:
las amenazas a las que puede estar expuesto,
la frecuencia de ocurrencia expresada como una tasa anual
(incidencias por ao), la cual indica cada cunto se materializa la
amenaza y,
la degradacin estimada del activo en cada una de las dimensiones de
seguridad, expresada como porcentaje de su valor e indica cun
perjudicado resultara el activo.
218

La frecuencia se modela como una tasa anual de ocurrencia, siendo valores
tpicos los siguientes:
100
muy frecuente
10
frecuente
mensualmente
normal
una vez al ao
1/10
poco frecuente
a diario
cada varios aos
La matriz sugerida se encuentra en una plantilla que forma parte de los

anexos de este documento, [Anexo2]. De igual forma puede hacerse uso de la
herramienta PILAR.
Actividad 3: Estimacin del estado de riesgo

El objetivo de esta actividad es realizar estimaciones del estado de riesgo
dentro de la empresa objeto del anlisis.
Para obtener estas estimaciones deben llevarse a cabo las siguientes tareas:
T3.1: Estimacin del impacto

ACTIVIDAD 3: ESTIMACIN DEL
ESTADO DE RIESGO
T3.2: Estimacin del riesgo
Figura 9.6: Tareas de la actividad Estimacin del Estado de riesgo
219

T3.1: Estimacin del impacto
Objetivos: Determinar el impacto potencial al que estn expuestos los
activos del sistema.
Resultados de la actividad 1, Caracterizacin de los activos
Resultados de la actividad 2, Caracterizacin de las amenazas
Informe de impacto (potencial) por activo
Anlisis mediante tablas (ver "Gua de Tcnicas" 2.1)
Anlisis algortmico (ver "Gua de Tcnicas" 2.2)
Ver tambin la seccin 2.1.3 y 2.1.6, del documento El Mtodo.
El impacto potencial es aquel al que est expuesto el sistema teniendo en
cuenta el valor de los activos y la valoracin de las amenazas, pero no las
salvaguardas actualmente desplegadas.
El clculo de este impacto puede hacerse siguiendo alguno de los enfoques
algortmicos sugeridos por la metodologa:
Modelo cualitativo: En un anlisis de riesgos cualitativo se busca
saber qu es lo que hay, sin cuantificarlo con precisin ms all de
relativizar los elementos del modelo. Para llevarlo a trmino se hace uso de
un modelo de clculo que trabaja sobre una escala discreta de valores.
Modelo cuantitativo: En un anlisis de riesgos cuantitativo se busca
saber qu y cunto hay, cuantificando todos los aspectos posibles. El
220

modelo propuesto no trabaja sobre una escala discreta de valores, sino con
nmeros reales (en el sentido matemtico) positivos.
Modelo escalonado: Ciertas dimensiones de degradacin de un
activo se modelan ms adecuadamente como escalones de valor. El caso
tpico es la interrupcin del servicio, que responde a esquemas donde se
observa una serie de escalones de interrupcin que terminan con la
destruccin total o permanente del activo.
Los modelos anteriores nos permiten de forma general valorar los activos,
el impacto de las amenazas y el riesgo al que se est expuesto y de manera
particular obtener los siguientes valores:
El valor de los activos.
Las dependencias entre activos.
El valor acumulado.
La degradacin [del valor] de un activo.
Impacto acumulado de una amenaza sobre un activo.
Impacto repercutido de una amenaza sobre un activo.
Frecuencia de una amenaza.
El riesgo.
Para el clculo del impacto se sugiere el uso de la plantilla correspondiente
al [Anexo 2] de este documento, en la que para cada activo se tendr en cuenta el
valor acumulado sobre el activo en una dimensin de seguridad particular y la
degradacin causada por la amenaza en dicha dimensin. El clculo del impacto
se har a travs de un modelo cuantitativo y es una funcin del valor de activo por
su degradacin.
Tarea T3.2: Estimacin del riesgo

Objetivos: El objetivo de esta tarea es determinar el riesgo potencial al que
est sometido el sistema objeto de anlisis.
221

Resultados de la actividad 1, Caracterizacin de los activos
Resultados de la actividad 2, Caracterizacin de las amenazas
Informe de riesgo (potencial) por activo
Anlisis mediante tablas (ver "Gua de Tcnicas" 2.1)
Anlisis algortmico (ver "Gua de Tcnicas" 2.2)
Ver tambin la seccin 2.1.4 y 2.1.7 del documento El Mtodo.
Para la estimacin del riesgo se har uso de la plantilla correspondiente al
[Anexo 2] de este documento y se podr hacer uso de alguno de los modelos
descritos en el apartado anterior -modelo cualitativo, modelo cuantitativo y
modelo escalonado-.
2.6.1.3. Informe final del anlisis de riesgos

Una vez finalizado el anlisis de riesgos se obtiene un mapa de riesgos de la
organizacin o rea de anlisis, que servir como base para la planificacin de la
auditora.
Como parte de este proceso se obtendrn una serie de documentos finales
que en su conjunto darn al auditor un panorama detallado de la situacin de
riesgo. Dichos documentos son los siguientes:
222

Modelo de valor
Informe que detalla los activos, sus dependencias, las dimensiones en las
que son valiosos y la estimacin de su valor en cada dimensin.
Mapa de riesgos
Informe que detalla las amenazas significativas sobre cada activo,
caracterizndolas por su frecuencia de ocurrencia y por la degradacin que
causara su materializacin sobre el activo.
Estado de riesgo
Informe que detalla para cada activo el impacto y el riesgo frente a cada
amenaza.
2.6.1.4. Informe de planificacin de la auditora

Como resultado de las fases de conocimiento de la organizacin y el anlisis
de riesgos el auditor presentar un informe donde se detalle el plan de la
auditora. Dicho plan debe contener los siguientes elementos bsicos:
Introduccin
Objetivos de la auditora
Alcance de la auditora
Planificacin de los procedimientos de auditora a ejecutar
Recursos necesarios para la ejecucin de la auditora
Plazo de ejecucin
2.6.2. Fase de evaluacin de controles

En esta fase se llevar a cabo la identificacin y seleccin de controles a
evaluar con base al mapa de riesgos obtenido en la fase anterior y a la
planificacin de la auditora.
Se evaluarn los controles establecidos como medidas para mitigar el
impacto de las amenazas. Estas medidas pueden prevenir o reducir la
223

probabilidad de que un riesgo ocurra, detectar la ocurrencia de un riesgo y
minimizar el impacto o transferir el riesgo, a travs de:
La identificacin de todos los controles que existen para minimizar el
riesgo
Determinando y evaluando todo control nuevo o adicional que se
identifique durante el anlisis del riesgos
Priorizando todos los riesgos identificados, identificando aquellos
controles que sean ms eficaces y eficientes en la mitigacin del riesgo.
Identificacin y seleccin de
controles a evaluar
FASE DE EVALUACIN DE
CONTROLES
Recoleccin y evaluacin de
evidencias
Figura 9.7: Etapas de la fase de Evaluacin de Controles
Objetivos
El objetivo de esta fase es identificar los controles a evaluar, con el fin de
verificar que medidas permiten realizar un adecuado tratamiento de los riesgos.
Alcance
Esta fase comprende la realizacin de dos etapas: la identificacin y
seleccin de controles a evaluar y la recoleccin y evaluacin de evidencias, a
travs de las que se podr hacer una adecuada evaluacin de las medidas de
224

control desplegadas para cada amenaza y las medidas requeridas para aquellas
amenazas que no estn siendo tratadas.
2.6.2.1. Etapa 1: Identificacin y seleccin de controles a evaluar

Para la identificacin y seleccin de controles a evaluar se har uso de los
controles establecidos en el estndar ISO 27002 y en COBIT. Se recomienda para
empresas pequeas hacer uso de ISO 27002 ya que provee un grupo de reas de
control ms generales. En el caso de COBIT est orientado a empresas medianas y
grandes que tengan procesos de TI ampliamente desarrollados, no obstante se
podr hacer una combinacin de ambos si as se requiere.
Para la identificacin y seleccin de controles a evaluar se clasificarn las
amenazas identificadas y consignadas en el mapa de riesgos, en cada rea o grupo
de controles ISO 27002 y/o COBIT, de tal manera que para cada amenaza se
evale el control que debera implementarse o el control que ayudara a
minimizar el impacto de la amenaza.
Para realizar esta identificacin y posterior seleccin de controles se sugiere
el uso de la plantilla correspondiente al [Anexo 4] de este documento.
2.6.2.2. Etapa 2: Recoleccin y evaluacin de evidencias

Una vez seleccionados los controles a evaluar se procede a la recoleccin y
evaluacin de evidencias, para lo que inicialmente se debe llevar a cabo el diseo
de las pruebas de auditora pertinentes. Este es un trabajo donde se determinan
en trminos generales: el objetivo de la prueba (se describen brevemente los
procesos a emplear), tipo de pruebas, tcnicas a utilizar y recursos requeridos en
cuanto a informacin, hardware, software y personal.
Para el registro de esta informacin se sugiere el uso de una plantilla que
permita dejar evidencia de las pruebas realizadas y que har parte del informe
final de auditora.
Dicha plantilla forma parte del [Anexo 5] de este documento.
Existen dos tipos de pruebas que pueden ser utilizadas por el auditor:
225

Pruebas de cumplimiento: Buscan determinar si existe el control para el
riesgo identificado.
Pruebas sustantivas: Buscan conocer la forma en que est implementado el
control, en caso de que exista.
Adems, el auditor puede hacer uso de alguna de las siguientes tcnicas
para el diseo y ejecucin de las pruebas de auditora:
Observacin
Indagacin: entrevistas, cuestionarios, diagramas de flujo
Conciliacin (contraste de informacin con personas o documentos)
Inspeccin
Investigacin analtica: Evaluar tendencias
Confirmacin
TAACS: Tcnicas de Auditora Asistidas por Computador
Para llevar a cabo la evaluacin de los controles, se har uso particular y a
manera de ejemplo, de los controles definidos en el estndar ISO 27002 y se
utilizar una matriz de verificacin como parte de las pruebas de auditora a usar
por el auditor. Esta matriz est orientada a realizar pruebas de cumplimiento.
Dicha matriz de verificacin se implementar a travs de una plantilla que
forma parte del [Anexo 4] del presente documento.
La plantilla presenta, para cada amenaza, el grupo de control en el que ha
sido clasificada, la seccin dentro de ese grupo de control y las preguntas de
chequeo que permiten verificar la existencia o el cumplimiento de ese control.
Una vez realizado este procedimiento de verificacin se obtendr como
resultado un estado general del cumplimiento de los controles frente a las
amenazas y los controles que son necesarios desplegar.
El auditor segn su juicio har uso de las pruebas que considere
pertinentes.
Una vez realizada esta evaluacin se har una seleccin de los controles
que es necesario implementar y/o reforzar, para lo cual se tendrn en cuenta los
siguientes aspectos:
226

El coste del control comparado con el beneficio que reporta su
implantacin
El nivel de riesgo que la organizacin est preparada para aceptar
Los mtodos de reduccin de riesgos preferidos por la direccin (eliminar
el riesgo, minimizar la probabilidad de ocurrencia, minimizar el impacto,
transferencia del riesgo)
2.6.3. Fase de elaboracin y presentacin de informes

Objetivo
El objetivo de esta fase es realizar el informe final de la auditora y la
presentacin de los hallazgos y recomendaciones.
Alcance
Esta fase comprende la estructuracin y redaccin del informe y la
presentacin del mismo, siguiendo algunas pautas y
recomendaciones de
carcter general y algunas particulares propuestas por ISACA.

2.6.3.1. Informe de hallazgos y recomendaciones
Una vez se ha finalizado la ejecucin de las pruebas de auditora, se debe
proceder a la realizacin del informe de hallazgos y recomendaciones.
El objetivo de este informe es comunicar los resultados de la auditora a la
gerencia y/o a quien se considere pertinente.
En
este
informe
se
consignan
los
hallazgos,
observaciones
recomendaciones. No tiene un formato en particular, pero se sugieren algunas

pautas generales a tener en cuenta al momento de elaborar dicho informe:
La elaboracin del informe debe ser cuidadosa en cuanto a la
informacin que contiene, no debe dar lugar a ambigedades, y los
hallazgos y recomendaciones deben ser claramente descritos.
El informe debe estar documentado con las pruebas de auditora
realizadas.
227

La informacin consignada en el informe debe ser de carcter
confidencial.
ISACA provee dentro de sus estndares de auditora, en particular el
estndar S2 Reporte, una serie de pautas para la elaboracin del informe y que
se sugieren dentro de esta gua, en el momento de hacer el informe de auditora.
Dichas recomendaciones se presentan a continuacin:
03 El auditor de SI debe suministrar un informe, en un formato apropiado, al
finalizar la auditora. El informe debe identificar la organizacin, los destinatarios
previstos y respetar cualquier restriccin con respecto a su circulacin.
04 El informe de auditora debe indicar el alcance, los objetivos, el perodo
de cobertura y la naturaleza, plazo y extensin de las labores de auditora
realizadas.
05 El informe debe indicar los hallazgos, conclusiones y recomendaciones,
as como cualquier reserva, calificacin o limitacin que el auditor de SI tuviese en
cuanto al alcance de la auditora.
06 El auditor de SI debe tener evidencia de auditora suficiente y apropiada
para respaldar los resultados reportados.
07 Al emitirse, el informe del auditor de SI debe ser firmado, fechado y
distribuido de acuerdo con los trminos del estatuto de auditora o carta de
compromiso.
Para la realizacin del informe de auditora se sugiere una plantilla, que
forma parte del [Anexo 6] de este documento.
2.6.3.2. Documentacin final de la auditora

La documentacin que se genera en el proceso de auditora es el registro
del trabajo de auditora realizado y de la evidencia que soporta las conclusiones
de la auditora.
Dicha documentacin debe incluir como mnimo:
La planificacin y preparacin del alcance y objetivos de la auditora
Mapa de riesgos
228

La descripcin y/o recorridos en el rea de auditora vista
El programa de auditora
Los pasos de auditora realizados y la evidencia recopilada
Los hallazgos, conclusiones y recomendaciones de auditora
2.6.4. Fase de seguimiento

Objetivo
El objetivo de esta fase es establecer los mecanismos de seguimiento
pertinentes de tal forma que pueda hacerse una evaluacin constante de la
eficacia de los controles desplegados y se puedan hacer los ajustes necesarios,
actuando de una manera proactiva frente a los riesgos.
Alcance
Esta fase comprende el diseo de mecanismos de seguimiento por parte de
la empresa y con el apoyo del auditor, de tal forma que se ajusten a la dinmica
de la empresa.
2.6.4.1. Establecimiento de pautas para el seguimiento de la auditora

Dado el enfoque basado en riesgos sobre el cual se sustenta la auditora y
que la hace dinmica, es necesario realizar evaluaciones peridicas para verificar
la efectividad de los controles implementados y el impacto repercutido sobre los
riesgos identificados.
El auditor, en conjunto con la empresa, debe establecer la periodicidad de
las revisiones del estado del riesgo.
Para llevar a cabo esta revisin se parte del mapa de riesgos obtenido
previamente y del reporte de los controles desplegados para el tratamiento de
dichos riesgos.
229

2.6.5. Anexos de la gua
A continuacin se presenta la lista de anexos de la gua de auditora, cada
anexo es un fichero independiente al documento principal.
[Anexo 1]-Plantilla-identificacion-activos.docx
Esta plantilla permite consignar la informacin detallada de cada uno de los
activos identificados.
[Anexo 2]- Plantilla-valoracion-activos.xlsx9
Esta plantilla permite obtener el mapa de riesgos de la organizacin. Est
diseada como una hoja de clculo que consta de:
Clasificacin-activos: En esta hoja se hace una relacin de cada uno de los
activos y sus categoras, sugeridos en Magerit y servir como base para la
seleccin de los activos en el proceso de valoracin de riesgos.
Valoracin-activos: En esta hoja se lleva a cabo una valoracin de los
activos identificados, para lo cual se puede seleccionar la categora del activo y el
activo a particular que se quiera valorar. Cada activo se valora en la dimensin de
valoracin que corresponda con base en la escala de valoracin sugerida por
Magerit y que se encuentra especificada en esta hoja.
Dependencia entre activos: En este apartado se podr establecer la
dependencia que existe entre los diferentes activos identificados, para lo cual de
un lado se seleccionarn los activos de nivel superior y de otro los activos de nivel
inferior que dependen de los anteriores y se establece una relacin de
dependencia donde se marcan con un uno (1) aquellos activos que dependan de
otro de nivel superior y con un cero (0) los que no tienen dependencia.
Clasificacin-amenazas: En esta hoja se presentan las amenazas sugeridas
por Magerit, clasificadas por grupos, y que servirn de base para la valoracin de
las amenazas. Tambin se presenta la escala de valoracin de amenazas de
acuerdo con su frecuencia de ocurrencia.
En este anexo se encuentran agrupadas las siguientes plantillas: valoracin de

activos, registro y valoracin de amenazas y estimacin de riesgo.
230

Valoracin-amenazas: En esta hoja se realiza la valoracin de las amenazas.
Esta valoracin se lleva a cabo identificando para cada activo las amenazas a las
que est expuesto. Para cada amenaza se consignar la frecuencia de ocurrencia
de acuerdo con la escala indicada y la degradacin estimada del activo en cada
una de sus dimensiones de seguridad, expresada como porcentaje del valor del
activo (lo que indica en qu medida resultara perjudicado el activo si se
materializa la amenaza).
Estimacin del impacto: Esta hoja contiene una frmula que permite
calcular de forma automtica el impacto. Este clculo se hace en funcin del valor
del activo y la degradacin estimada del mismo.
Estimacin del riesgo: En esta hoja se realiza la estimacin del riesgo como
una funcin de la frecuencia de las amenazas y el impacto estimado.
[Anexo 3]-Plantilla-identificacion-amenazas.docx
Esta plantilla permite realizar una descripcin detallada de cada una de las
amenazas identificadas.
[Anexo4]Plantilla_identificacin_evaluacion_controles_ISO_27002.xls
Esta plantilla permite realizar una verificacin de los controles establecidos
en la organizacin objeto del anlisis, con base en los controles establecidos en la
ISO27002. Cada amenaza identificada se clasifica dentro de alguno de los grupos
de controles y se realiza una verificacin de los controles asociados. La valoracin
del cumplimiento del control o estado del control se hace en funcin del nivel de
cumplimiento expresado en porcentaje.
[Anexo 5]- Plantilla_pruebas_de_auditoria.docx
Esta plantilla permite consignar de forma detallada las pruebas de auditora
realizadas y sus resultados.
[Anexo 6]- Plantilla_informe_auditoria.docx
Esta plantilla presenta la estructura sugerida para la realizacin del informe
de auditora.
231

Planificacin
y
Presupuesto
232

Hitos Planificacin
233

Planificacin temporal
234

Presupuesto por partidas
MANO DE OBRA
HORAS
COSTE
4
60
4
4
60
120
120
1.800
120
120
1.800
3.600
40
1.200
Realizacin del anlisis comparativo de las metodologas

de anlisis de riesgos
40
1.200
Realizacin del anlisis del papel del anlisis de riesgos

dentro de una auditora informtica
20
600
Definicin estructura de la gua de auditora

Elaboracin gua de auditora
Desarrollo de la pgina web para la gua de auditora
Elaboracin de las conclusiones y trabajos futuros
8
120
32
8
240
3.600
960
240
TOTAL MANO DE OBRA
520
15.600
CANTIDAD
COSTE
379
650
FASE I : MARCO TERICO

Definicin de los objetivos del proyecto
Revisin bibliogrfica inicial
Elaboracin de la estructura de la memoria
Definicin del ndice del documento
Revisin detallada informacin
Redaccin del Marco Terico
FASE II : PROPUESTA GUA AUDITORA
Realizacin del anlisis comparativo de las metodologas
de auditora
MEDIOS MATERIALES
Microsoft Office 2010 (versin hogar y pequea
empresa)
Ordenador porttil
TOTAL MEDIOS MATERIALES
TOTAL PRESUPUESTO
1.029
16.629
El presupuesto total de este proyecto ascienda a la cantidad de 16.629 euros.
El ingeniero consultor:
Fdo.: M del Carmen Crespo Rin
235

Conclusiones
236

A travs del estudio realizado del estado de la cuestin de las reas de

conocimiento involucradas en este trabajo, se ha podido ver como la auditora
informtica y el anlisis de riesgos son reas del conocimiento que han tenido una
evolucin importante tanto a nivel terico, a travs de los aportes realizados por
organizaciones pblicas y privadas, como a nivel prctico a travs de su aplicacin
en el mbito empresarial como mecanismos de evaluacin y control.
Se han realizado importantes esfuerzos en el desarrollo de normativas,

estndares, metodologas y marcos de trabajo enfocados hacia la auditora
informtica y el anlisis de riesgos, de reconocimiento internacional, que ayudan a
la estandarizacin y normalizacin de estas disciplinas del conocimiento y que
permiten a las empresas contar con referentes para sus procesos de auditora y
anlisis de riesgos.
Tras realizar el estudio terico se ha podido observar que si bien existen

estndares y normativa relacionada con las dos reas objeto de este trabajo, no
hay una metodologa concreta de auditora informtica que d las pautas de como
poder llevar a cabo una auditora con un enfoque de anlisis de riesgos, aunque s
existen recomendaciones sobre cmo usar el anlisis de riesgos dentro de una
auditora como es el caso de las guas de auditora de ISACA.
El estudio comparativo de las metodologas, estndares y marcos de trabajo

nos ha mostrado las diferentes posibilidades en cuanto a tcnicas y mtodos que
tienen las empresas a la hora de abordar un proceso de auditora y anlisis de
riesgos, y como debe hacerse un anlisis cuidadoso de cul es la que mejor se
adaptar a cada situacin particular. Algunos factores importantes a tener en
cuenta para dicho anlisis son: el tipo de empresa, el tamao, la madurez de sus
procesos de TI, el alcance de la auditora y/o anlisis de riesgos, los recursos
tcnicos, financieros y de personal con que cuentan, en cuanto a la metodologa
237

se debera tener en cuenta su mbito de aplicacin, el alcance, el tipo de acceso
(pblico o privado), y los procesos, fases o etapas que desarrollan.
Para el desarrollo de la gua de auditora se ha usado la metodologa

Magerit para la fase de anlisis de riesgos, por ser una metodologa de
reconocimiento en al mbito local e internacional y por ofrecer un proceso
detallado para la ejecucin del anlisis de riesgos, adems de poner a disposicin
mltiples recursos para guiar dicho proceso; otro factor importante es que se
encuentra alineada con estndares y normativa nacional e internacional y que se
puede aplicar en cualquier tipo de empresa y de cualquier tamao, adaptndose
fcilmente a empresas medianas y pequeas.
Para el caso de la evaluacin de controles se ha decidido optar por ISO

27002 por proporcionar un grupo de controles claramente segmentados y que
cubren un amplio espectro de los tipos de controles a aplicar para sistemas de
informacin y que pueden adaptarse a cualquier tipo de empresa, adems de ser
un estndar de mbito mundial.
En trabajos futuros se podra abordar la gua de auditora con base en otra

metodologa de anlisis de riesgos como complemento a Magerit, de tal forma
que permita contrastar otros mtodos de estimacin de riesgos. Por otra parte se
podra revisar la recin publicada versin 3 de Magerit y ajustar la gua de acuerdo
a los cambios introducidos en la misma.
Otra lnea futura podra enfocarse en usar COBIT para la evaluacin de

controles, de tal forma que pueda ampliarse el alcance de aplicacin de la gua,
dado el amplio espectro que cubre COBIT.
238

Bibliografa
239

[AENO 08]
Asociacin Espaola de Normalizacin y Certificacin AENOR

UNE 71504:2008: Metodologa de anlisis y gestin de riesgos
para los sistemas de Informacin.
http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tip
o=N&codigo=N0041430&PDF=Si
Fecha de acceso: Octubre de 2011
[AIFC 08]
Blog: Auditora, Informtica, Fraudes, CAATTs

La familia ISO 27000
http://fraudit.blogspot.com/2008/07/la-familia-iso-27000.html
[AS/NZS 09]
Comit de Normas de Australia / Nueva Zelanda - Organizacin

Internacional para la Estandarizacin ISO AS/NZS ISO
31000:2009
http://www.iso.org/iso/catalogue_detail?csnumber=43170
[AVEL 08]
J. Cao Avellaneda
Artculo: Publicada la ISO 27005:2008 sobre gestin del riesgo.
Blog Sistemas de Gestin Seguridad de la Informacin, 2008
http://sgsi-iso27001.blogspot.com/2008/06/publicada-la-iso270052008-sobre-gestin.htmlFecha de acceso: Octubre de 2011
[BALL 10]
M. Ballester
Gobierno de las TIC ISO/IEC 38500
Journal ISACA, 2010
http://www.isaca.org/Journal/Past-Issues/2010/Volume1/Pages/Gobierno-de-las-TIC-ISO-IEC-385001.aspx
Fecha de acceso: Noviembre de 2011
240

[CALI 12]
Blog calidad en las TIC

http://calidadtic.blogspot.com.es/2012/10/disponible-la-nuevaversion-de-magerit.html
[CARI 06]
L. Carima Moreno
Tesis: La auditora Informtica
Universidad de Colima, Mxico, Facultad de ingeniera Mecnica y
Elctrica, 2006
[COBIT 07]
Instituto de Administracin de las Tecnologas de la Informacin

ITGI
Objetivos de control para la informacin y tecnologas
relacionadas CoBiT 4.1
http://www.isaca.org/KnowledgeCenter/cobit/Pages/Downloads.aspx
[CRAM 06]
Agencia Central de Cmputo y Telecomunicaciones (CCTA)

CRAMM-CCTA: Risk Analysis and Management MethodologyMetodologa para el anlisis y la gestin de riesgos
http://www.cramm.com/
[DIAZ 10]
M. Daz Sampedro
Artculo: Publicada la norma ISO 27004:2009
Portal Navactiva, 2010
http://www.navactiva.com/es/documentacion/publicada-lanorma-iso-27004-2009_49051
Fecha de acceso: Diciembre de 2011
241

[ECHE 97]
Jos Antonio Echenique Garca, Auditora en informtica, 1997,

McGraw-HILL.
[ENS 10]
Ministerio de la Presidencia. Secretara General Tcnica

Esquema Nacional de Seguridad.
https://www.ccncert.cni.es/index.php?option=com_content&view=article&id=242
0&Itemid=211&lang=es#1
[FORU 11]
Forum ISO 27001 security

ISO/IEC 27007:2011
http://www.iso27001security.com/html/27007.html
[GOME 03]
L. Gmez, M. Faras, M. Mendoza

Ponencia: Importancia del Anlisis de Riesgo de Seguridad
Grupo de Seguridad de RedCUDI, Mxico
seguridad.cudi.edu.mx/congresos/2003/cudi2/impariesgo.pdf
[GTAG 09]
Global Technology Audit Guides (GTAG)

Institute of Internal Auditors - IIA
http://www.theiia.org/guidance/technology/
[HERN 00]
Enrique Hernndez Hernndez. Auditora en informtica: Un

enfoque metodolgico y prctico, 2000, Compaa Editorial
Continental
242

[INTE 10]
Instituto Nacional de las Tecnologas de la Comunicacin - INTECO

Curso Sistema de Gestin de la Seguridad de la Informacin - SGSI,
http://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos/
[ISAC 07]
Information Systems Audit and Control Association - ISACA

Normas Generales Para la Auditora de Sistemas de Informacin
http://www.isaca.org/KnowledgeCenter/Standards/Pages/Standards-for-IS-Auditing-Spanish-.aspx
[ISAC 10]
Information Systems Audit and Control Association - ISACA

IT Standards, Guidelines, and Tools and Techniques for Audit and
Assurance and Control Professionals, 2010
[ISO/IEC 05]
Organizacin Internacional para la Estandarizacin - ISO

ISO/IEC 27002:2005: Tecnologas de la informacin Tcnicas de
Seguridad - Cdigo de buenas prcticas para la Gestin de la
Seguridad de la Informacin.
[ISO/IEC 05a] Organizacin Internacional para la Estandarizacin - ISO

ISO/IEC 27001:2005: Tecnologas de la informacin - Tcnicas de
Seguridad - Sistemas de Gestin de la Seguridad de la Informacin
(SGSI). Requisitos
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_de
tail.htm?csnumber=42103
243

[ISO/IEC 09]

Seguridad Mediciones para la Gestin de la Seguridad de la
Informacin.
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_de
tail.htm?csnumber=42106
[ISO/IEC 11]

Seguridad - Gestin del riesgo de seguridad de la informacin.
[ISSA 11]
ISSA (Information Systems Security Association) - Per

Inventario de metodologas y herramientas de anlisis y gestin
de riesgos.
http://issaperu.org/?p=88
[ISSA 11a]
ISSA (Information Systems Security Association) Per

Artculo: ISO 27004
http://issaperu.org/?p=13
244

[ITGI 08]
IT Governance Institute
Alineando CobiT 4.1, ITIL V3 y ISO/IEC 27002 en beneficio de la
empresa, 2008
http://www.isaca.org/KnowledgeCenter/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO27002-en-beneficio-de-la-empresa-v2,7.pdf
Fecha de acceso: Marzo de 2012
[ITGO 11]
IT Governance Web
ISO/IEC 27007:2011
http://www.itgovernance.co.uk/products/3716
[LARR 09]
A. Larrondo
Proyecto Fin de Carrera: Uso de la norma ISO/IEC 27004 para
Auditora Informtica.
E-archivo Universidad Carlos III de Madrid. Ingeniera Tcnica de
Informtica de Gestin, 2010.
http://e-archivo.uc3m.es/handle/10016/10564
[MAGE 97]
Ministerio de Hacienda y Administraciones Pblicas

Magerit versin 1.0: Metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de Informacin
Centro de Transferencia de Tecnologa CTT
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel
=PAE_PG_CTT_General&langPae=es&iniciativa=184
245

[MAGE 06]
Ministerio de Hacienda y Administraciones Pblicas

Magerit versin 2.0: Metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de Informacin
Centro de Transferencia de Tecnologa CTT
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel
=PAE_PG_CTT_General&langPae=es&iniciativa=184
[MEHA 10]
Clusif (Club Francs de la Seguridad de la Informacin)

MEHARI: Mtodo Armonizado de Anlisis de Riesgos
http://www.clusif.asso.fr/en/clusif/present/
[NAVA 10]
F. Nava Garca
Apuntes asignatura Auditora informtica
Universidad Rey Juan Carlos, 2010
http://www.gavab.escet.urjc.es/wiki/bin/ai/10
[OCTA 08]
Software Engineering Institute (SEI), Carnegie Mellon

OCTAVE: Operationally Critical Threat, Asset, and Vulnerability
Evaluation. Method Implementation Guide.
http://www.cert.org/octave/octavemethod.html
[OOCI 03]
Conceptos de auditora Informtica

Auditora Informtica Apuntes
http://www.oocities.org/mx/acadentorno/aui.htm
10
A fecha de finalizacin de la memoria esta web no estaba disponible, pero fue

usada informacin de dicha web cuando estuvo disponible.
246

[PIAT 08]
M.Piattini, E. del Peso, M. Del Peso

Auditora de Tecnologas y Sistemas de Informacin
Alfaomega, Ra-Ma, Madrid, Espaa. 2008
[RUBI 09]
E. Rubio, J. Patio
Desarrollo
de
Polticas
de
Seguridad
Informtica
Implementacin de Cuatro Dominios en Base a la Norma 27002

para el rea de Hardware en la Empresa Uniplex Systems S.A. en
Guayaquil.
Repositorio de la Escuela Politcnica del Litoral. Facultad de
Ingeniera en Electricidad y Computacin, 2009.
[SOBR 99]
Roberto Sobrinos Snchez. Escuela Superior de Informtica de

Ciudad Real Universidad de Castilla La Mancha.
Planificacin y Gestin de Sistemas de Informacin, 1999
[STIC 10]
Centro Criptolgico Nacional

Gua de Seguridad (CCN-STIC-802)
Esquema Nacional de Seguridad
Gua de Auditora
[UCMA 09]
Universidad de Castilla-La Mancha - Departamento de Informtica

Metodologa de la Auditora Informtica
Apuntes asignatura auditora de sistemas de informacin, 2009
http://www.dsi.uclm.es/asignaturas/42366/11
11
A fecha de finalizacin de la memoria esta web no estaba disponible, pero fue

usada informacin de dicha web cuando estuvo disponible.
247

[WIKI 11]
Wikipedia
ISO/IEC 27007:2011
http://en.wikipedia.org/wiki/ISO/IEC_27007
248

PFC Carmen Crespo Rin

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

PFC Carmen Crespo Rin

Diunggah oleh

Hak Cipta:

Format Tersedia

INGENIERA TCNICA EN INFORMTICA DE GESTIN

EL ANLISIS DE RIESGOS DENTRO DE UNA AUDITORA

El Anlisis de Riesgos dentro de una Auditora

Ttulo: El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

CAPTULO II: La auditora informtica

El Anlisis de Riesgos dentro de una Auditora

CAPTULO III: El anlisis y la gestin de riesgos

CAPTULO IV: Estndares, Marcos de Trabajo y Guas y Normas para la

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

ISO/IEC 27005:2011: Tecnologas de la informacin -

Tcnicas de seguridad- Gestin del riesgo de seguridad de la informacin............... 147

CAPTULO VI: El Anlisis de Riesgos dentro de una Auditora Informtica

CAPTULO VII: Anlisis comparativo de estndares, marcos de trabajo y

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

Conclusiones .......................................................................................................... 236

El Anlisis de Riesgos dentro de una Auditora

Figura 2.2. Ciclo de vida de una Base de Datos ...............................................................

Figura 2.3. Etapas de una metodologa de auditora ......................................................

Figura 3.1 Relacin conceptos riesgo [AVEL 08] ..............................................................

Figura 3.2. Marco del anlisis de riesgos. [MAGE 06] ......................................................

Figura 3.3. Marco de la gestin de riesgos. [MAGE 06] ..................................................

Figura 4.1. Ciclo Deming en la ISO/IEC 27001 .................................................................

Figura 4.3.Ciclo PDCA ISO/IEC 27004 ..............................................................................

Figura 4.4. Modelo de Gobierno Corporativo de TIC. [BALL 10]......................................

Figura 4.6. Principio bsico de CoBiT. [COBIT 07] ...........................................................

Figura 4.9. Modelo de Control. [COBIT 07] .....................................................................

Figura 4.10. Resumen del marco. [COBIT 07] .................................................................

Figura 5.2. Proceso para la gestin de riesgos. [AS/NZS 09] ...........................................

Figura 5.4. Interrelacin clusulas 3 a 5. [AS/NZS 09] ....................................................

Figura 5.5. Resumen elementos del proceso de anlisis y gestin de riesgos

El Anlisis de Riesgos dentro de una Auditora

Figura 5.7. Dimensiones de un activo segn Magerit ....................................................

Figura 5.8. Fases de desarrollo de Octave. [OCTA 08] ....................................................

Figura 6.1. Fases de una auditora ..................................................................................

Figura 7.1. Estndares relacionados con la auditora y el control informtico ..............

Figura 7.2. Familia ISO 27000 ..........................................................................................

Figura 7.5. Normas y guas de auditora informtica ......................................................

Figura 9.1: Fases de la auditora .....................................................................................

Figura 9.2: Etapas de la fase de planificacin .................................................................

Figura 9.3: Actividades de la etapa de Anlisis de Riesgos ..............................................

Figura 9.4: Tareas de la actividad Caracterizacin de los activos ...................................

Figura 9.5: Tareas de la actividad Caracterizacin de las amenazas ...............................

Figura 9.6: Tareas de la actividad Estimacin del Estado de riesgo ................................

Figura 9.7: Etapas de la fase de Evaluacin de Controles ...............................................

El Anlisis de Riesgos dentro de una Auditora

Tabla 8.1. Caractersticas generales de los estndares y/o metodologas

Tabla 8.2. mbito de aplicacin y procesos metodolgicos ...........................................

Tabla 8.3. Aspectos propios del proceso de anlisis de riesgos .....................................

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora

2.2. Objetivos especficos

El Anlisis de Riesgos dentro de una Auditora

El Anlisis de Riesgos dentro de una Auditora