SISTEMAS E INFORMATICA

ADMINISTRACION DE TECNOLOGIAS
DE INFORMACION.

Curso: SISTEMAS DE SEGURIDAD

INFORMATICA
Parte 4
Dr. Vctor Manuel Cornejo Aparicio
 MAGERIT
Metodologa particular y concreta de Anlisis de Riesgos que permite unificar dos
metodologas de anlisis de riesgos tradicionalmente independientes: riesgos
lgicos y riesgos fsicos.

Cumple con los estndares ISO 31000 e ISO 27001, lo que permite usar
terminologa comn y el mismo ciclo de vida de gestin de riesgos

Resuelve problemas muy habituales como son:

Consideraciones opuestas de cules son los activos a proteger y su entorno
Diferencias en los pasos a seguir
Distintas normas y mejores prcticas sobre los que basar el proceso
Nomenclatura y vocabulario diferente
Mtodos de evaluacin y consecuencias a medir diferentes
Base Normativa
Esta metodologa se ajusta al marco normativo de ISO 27001 para la gestin de Riesgos de
Seguridad Lgica, y de ISO 31000 para la gestin de riesgos de Seguridad Fsica. Se
emplea un modelo nico que surge de la unin de ambos: el modelo SGSC (modelo del
Sistema de Gestin Corporativa de Seguridad)
Seguridad Fsica ISO
31000 MODELO SGSC
SGSC: Sistema de Gestin Corporativa de Seguridad Requerimientos Seguridad de
Decisin y de la Seguridad la
Compromiso
Requerimient de la Informacin
os Informacin gestionada
Polticas
Diseo del Gestin de Plan
Marco de la Seguridad del
Actuacin del SGSI
SGSF Planificaci
n
Mantenimient
Mejora Implementaci
Implementacin o y mejora del
continua del n del SGSI
del SGSF SGSI
SGSF Implementaci
Actuacin
n
Seguimiento y Medicin
Revisin del del SGSI
SGSF Medicin
SGSF: SGSI:
Sistema de Gestin de Seguridad Fsica Sistema de Gestin de Seguridad de la
Informacin
Bases de la Metodologa
Metodologa basada en la confluencia de dos metodologas maduras de Anlisis de Riesgos que son
especficas para cada sector:

Seguridad Fsica: Basada en ISO 31000, e implementada a travs de herramientas software

propias. Tambin se utilizan algunos aspectos y recomendaciones del estndar AS/NZS 4360 y
su addendum en forma de gua: Risk Management Guidelines.

Seguridad Lgica: MAGERIT . Desarrollada por el Consejo Superior de Administracin

Electrnica (CSAE). La metodologa MAGERIT pretende dar respuesta a la dependencia que
tiene la Administracin de las tecnologas de la informacin para el cumplimiento de su misin.

Gestin de ambos riesgos en un mismo proceso en el que amenazas y activos comparten

indicadores y criterios, permitiendo su comparacin y evaluacin conjunta.
Fundamentos de la Metodologa
Leyenda
Activos Valor de Sustitucin Activos Criticidad

Elemento
Dependencias
Dependencias
entre activos
Valor Estimado

Valor
Amenazas
Calculado
Impacto Probabilidad
Probabilidad de
Impacto
Ocurrencia

Riesgo
Nivel de Riesgo Intrnseco PASOS A SEGUIR:
Nivel de Riesgo

Madurez de
1. Determinar activos
Salvaguardas/ Salvaguardas
Controles Salvaguardas 2. Determinar amenazas
3. Estimar Impactos/probabilidad
Riesgo Mitigado 4. Estimar el coste/criticidad
Nivel de 5. Estimar madurez de salvaguardas
Riesgo Efectivo Riesgo
Riesgo Efectivo
Nivel de Riesgo 6. Clculo de los riesgos
Fundamentos de la Metodologa
La metodologa propuesta tiene en cuenta estas etapas, aunque las agrupa segn la estructura del
estndar ISO 31000.

El mtodo propuesto por MAGERIT da cumplimiento en lo establecido en:

ISO 27005, epgrafe 4.2.1.d, Identificar Riesgos

ISO 27005, epgrafe 4.2.1.e, Analizar y Evaluar Riesgos

ISO 27001/2005, Sistemas de Gestin de Seguridad de la Informacin

ISO 27002/2005, 2005 Manual de Buenas Prcticas de Gestin de Seguridad de la Informacin

ISO 27005/2008, Gestin de Riesgos de Seguridad de Informacin

ISO 15408-1/2009 , Criterios de Evaluacin de Seguridad de la Informacin

Aspectos adoptados de las Normas ISO
31000 y AS/NZS 4360
Adopcin de las etapas definidas por las normas ISO 31000 y AS/NZS 4360, para
una correcta gestin de los riesgos y su relacin para un continuo proceso de
mejora.
ANLISIS DE RIESGOS

ESTABLECIMIENTO DE CONTEXTO
COMUNICACIN Y CONSULTA

MONITORIZACIN Y
IDENTIFICACIN DE

ASESORAMIENTO
RIESGOS

DEL RIESGO

REVISIN
ANLISIS DE RIESGOS

EVALUACIN DE RIESGOS

TRATAMIENTO DE LOS RIESGOS

PROPUESTA DE MEDIDAS DE SEGURIDAD

Aspectos adoptados de las Normas ISO
31000 y AS/NZS 4360
Las etapas referidas por las normas son asumidas por los dos conjuntos de
actividades: el Anlisis de Riesgos y la Propuesta de Medidas de Seguridad
REQUERIMIENTO MODELO SGSC
S POLTICAS
PLANIFICACIN

ESTABLECIMIENTO DEL CONTEXTO

COMMUNICACIN Y CONSULTA
GESTIN DE LA

MONITORIZACIN Y REVISIN
SEGURIDAD

RISK ASSESSMENT
IDENTIFICACIN DE RIESGOS

ANLISIS DE RIESGOS

EVALUACIN DE RIESGOS

IMPLEMENTACIN
ACTUACIN TREAT RISKS

MEDICIN
 Resumen de las etapas
A. Establecimiento de Contexto
Activos
Amenazas
Tiempos
B. Identificacin de Riesgos
Situaciones de Riesgo
C. Anlisis de Riesgos
Impacto
Probabilidad
Criticidad
Nivel de Necesidad de Salvaguardas
D. Evaluacin de Riesgos
Riesgo Intrnseco
Riesgo Reducido
Riesgo Efectivo
A. Establecimiento de Contexto
Activos: todos aquellos bienes, espacios, procesos y cualquier otro elemento
de consideracin que sea susceptible de sufrir las consecuencias de una
amenaza.
Proceso de Seleccin e Identificacin de Activos:
Analizar los procesos clave de la organizacin/instalacin considerada
Listado de los activos requeridos por estos procesos
Identificar, enumerar y clasificarlos entre 9 categoras adoptadas de
MAGERIT II
Identificar la ubicacin fsica de los activos considerados
Tipos de Activos:
Tipos de Activos Fsicos considerados
Escenarios
Tipos de Activos Lgicos considerados
Servicios Datos/informacin
Aplicaciones (Software) Equipos Informticos (Hardware)
Redes de Comunicaciones Soportes de informacin
A. Establecimiento de Contexto
Amenazas: Contingencias o riesgos especficos de los activos
analizados, dependientes de su del entorno y circunstancias, cuya
potencial materializacin debe ser baremada.

Cada amenaza considerada pertenece a uno de los siguientes Tipos de

Amenaza:

Grupos de Amenazas Fsicas consideradas (de Metodologa de

Cuevavaliente)
Delincuencia Comn
Crmenes Agresivos o Violentos
Crimen Organizado y Terrorismo

Grupos de Amenazas Lgicas consideradas (del catlogo

Magerit)
Desastres Naturales
B. Identificacin de Riesgos
En esta etapa las combinaciones aplicables de activos-tiempos-
amenazas son consideradas.

Cada posible combinacin de activo-tiempo-amenaza se denomina

Situacin de Riesgo. El conjunto de ellas generan el Mapa de
Riesgos.

La dimensin de Tiempos se obvia con frecuencia en los riesgos de

origen lgico, con lo que es frecuente disponer de situaciones de
riesgo lgicas de dos dimensiones (activo-amenaza).
C. Anlisis de Riesgos
El Anlisis de Riesgos Fsico se ha basado tradicionalmente en parmetros cuantitativos.

El Anlisis de Riesgos Fsicos y Lgicos unificado se simplifica, utilizando escalas cualitativas para
los parmetros considerados.

Los resultados con la nueva metodologa han sido validados y comprobados respecto a los
obtenidos con la metodologa tradicional, mantenindose la coherencia y la experiencia acumulada
con las metodologas usadas previamente.

Parmetros que deben analizarse y estimarse:

Parmetros a considerar para cada Situacin de Riesgo
Impacto
Probabilidad
Nivel de Necesidad de Salvaguardas
Parmetros a considerar para cada Activo
Criticidad
C. Anlisis de Riesgos- Parmetros
para cada Situacin de Riesgo
Impacto: Medida de las consecuencias que puede sufrir un activo, en caso
de materializacin de una amenaza en un tiempo determinado.

El impacto se valora para cada situacin de riesgo considerada, asumiendo

uno de los siguientes valores:

IMPACTO
MA Impacto Muy Alto/Muy Grave o Severo para la Organizacin
A Impacto Alto/Grave para la Organizacin
M Impacto Medio/Moderado/Importante para la Organizacin
B Impacto Bajo/Menor para la Organizacin
MB Impacto Muy Bajo/Irrelevante para la Organizacin
C. Anlisis de Riesgos- Parmetros
para cada Situacin de Riesgo
Probabilidad de Ocurrencia de Riegos Lgicos: suele basarse en estudios
estadsticos sobre la materializacin de sucesos, averas o amenazas.

Probabilidad de Ocurrencia de Riesgos Fsicos deliberados: se refiere a un

indicador no probabilstico que pretende indicar el grado de materializacin de una
amenaza. Como tal, es el resultado de multiplicar dos indicadores:
Atractivo: en qu medida es atractivo para el potencial agente de la amenaza el
llevarla a cabo. Se debe evaluar desde la perspectiva del sujeto actuante
terico.
Vulnerabilidad: indicador de cun sencillo es llevar a cabo una amenaza en el
activo y tiempo considerados, considerndose que no existen salvaguardas.
En ambos casos (riesgos fsicos y lgicos), la Probabilidad podr tomar uno de los
PROBABILIDAD
siguientes valores:M
Probabilidad Muy Alta de Ocurrencia del Evento/Evento Probablemente ocurra
A
A Probabilidad Alta de Ocurrencia del Evento/Evento Posible
M Probabilidad Moderada de Ocurrencia del Evento/Evento Improbable
B Probabilidad Baja de Ocurrencia del Evento/Evento Raro
M
Probabilidad Muy Baja de Ocurrencia del Evento/Evento Muy Raro
C. Anlisis de Riesgos- Parmetros
para cada Activo
Criticidad: Consecuencias que se estiman o asignan a cada dimensin de
Seguridad en los activos considerados, independiente de amenazas o tiempos.

La metodologa considera la estimacin de la criticidad para la Organizacin, en

caso de ocurrencia, para cada combinacin aplicable de las siguiente
consecuencias de amenazas y las dimensiones de Seguridad y que se veran
afectadas por estas consecuencias:
CONSECUENCIAS Y DIMENSIONES DE SEGURIDAD A CONSIDERAR
CONSECUENCIAS DIMENSIONES CRTICAS A ESTIMAR
Activos de Seguridad Fsica: Daos fsicos sufridos Reduccin del Beneficio
Activos de Seguridad Lgica: Disponibilidad Consecuencias en la Salud y Daos a las Personas
Activos de Seguridad Lgica: Integridad Daos a la Herencia Socio-Cultural
Activos de Seguridad Lgica: Confidencialidad Comunidad, Gobierno, Reputacin y Medios
Consecuencias Legales

Reduccin del Beneficio

C. Anlisis de Riesgos- Parmetros
para cada Activo
Las salvaguardas reducen ciertos riesgos a travs de 2 vas:

Reduciendo el impacto de las amenazas

Reduciendo la probabilidad o frecuencia de ocurrencia

La necesidad de salvaguardas: (o carencia de salvaguardas existentes), es

inversamente proporcional al nivel de salvaguardas que afectan a un activo. Se
calculan siguiendo un modelo propio similar al modelo CMMI, obteniendo valores
cuantitativos:
NIVEL DE NECESIDAD DE
SALVAGUARDAS NIVEL CMMI
Activos Fsicos Activos Lgicos
MB MB Optimizado
B M Gestionado
M A Definido
MA MA Repetible
MA MA Inicial
MA MA No Existente
C. Anlisis de Riesgos- Parmetros
para cada Activo
Niveles CMMI y Necesidades de Salvaguardas:
GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS FSICOS
GRADO DE NECESIDAD DE
NIVEL CMMI PRACTICAS DE GESTIN DE SEGURIDAD FSICA
MADUREZ SALVAGUARDAS
Las salvaguardas han sido implementadas y revisadas hasta un nivel de "best practice", sobre la base
5 MB OPTIMIZADO
de mejora continua.
4 B GESTIONADO Las salvaguardas han sido implementadas.
Se conocen las necesidades y se han planteado las necesidades a implementar basadas en "best
3 M DEFINIDO
practices".
Se conocen las necesidades y se han planteado las necesidades a implementar, aunque no basadas en
2 MA REPETIBLE
"best practices".
Se conocen las necesidades, aunque no se han planteado las salvaguardas a implementar para
1 MA INICIAL
solventarlas.
0 MA NO EXISTENTE No se conocen las necesidades.

GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS LGICOS

GRADO DE NECESIDAD DE
NIVEL CMMI PRACTICAS DE GESTIN DE SEGURIDAD LGICA
MADUREZ SALVAGUARDAS
Los procesos han sido revisados hasta un nivel de best practice, sobre la base de una mejora
5 MB OPTIMIZADO
continua.
Los procesos estn en mejora continua y proporcionan mejores prcticas. Se usan herramientas
4 M GESTIONADO
automatizadas de manera aislada o fragmentada.
3 A DEFINIDO La organizacin asegura que el control se planifica, documenta, ejecuta, monitoriza y controla.
Los procesos han evolucionado de forma de que se siguen procedimientos similares para realizar la
2 MA REPETIBLE misma tarea. No existe formacin ni comunicacin de procedimientos estndar y la responsabilidad
recae en el individuo.
No existen procesos estndar aunque existen planteamientos ad hoc que se utilizan en cada
1 MA INICIAL
situacin.
0 MA NO EXISTENTE Ausencia total de procesos reconocibles.
D. Evaluacin de Riesgos
Riesgo Intrnseco: Medida del dao probable sobre un sistema sin considerar las salvaguardas
que pudieran proteger a ste.

Se calcula para cada Situacin de Riesgo

El resultado se toma de unas tablas de Impacto vs. Probabilidad, diferentes para los riesgos
fsicos y lgicos

Riesgo Reducido: Nivel de Riesgo o medida del dao probable sobre un sistema, una vez
consideradas las salvaguardas que pudieran proteger a ste.

Se calcula para cada Situacin de Riesgo

El resultado se toma de una tablas de Riesgo Intrnseco vs. Nivel de Necesidad de
Salvaguardas, comn para ambos tipos de riesgos
D. Evaluacin de Riesgos
Riesgo Efectivo: Nivel de Riesgo o medida de dao probable al que est sometido el
activo tras la valoracin de las salvaguardas implantadas en la actualidad, tomando en
consideracin el valor propio del activo (criticidad).

Se calcula para cada Situacin de Riesgo

La criticidad a considerar es la mxima de las criticidades que se hayan calculado
para las combinaciones de Consecuencias y Dimensiones de Seguridad que afecten
al Activo.
El resultado se toma de una tablas de Riesgo Reducido vs. Nivel de Necesidad de
Salvaguardas, comn para ambos tipos de riesgos
Necesidad de
Salvaguardas
Riesgo
Probabilidad * Reducido *
Riesgo
Riesgo
* intrnseco Mxima
* Efectivo
(Criticidad)
Impacto

Tabla especfica/matriz de
* clculo
Fin