Tema - 47-Seguridad de Sistemas 1 AGR PDF

CENTRO DE ESTUDIOS FINANCIEROS
C/ Viriato, 52 y C/ Ponzano, 15 • Telf.: 914 444 920 • 28010 MADRID

C/ Gran de Gracia, 171-175 • Telf: 934 150 988 • 08012 BARCELONA
C/ Alboraya, 23 • Telf.: 963 614 199 • Fax: 963 933 354 • 46010 VALENCIA
www.cef.es 902 888 990 info@cef.es
TIC-A1 CUERPO SUPERIOR DE SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN DE

LA ADMINISTACIÓN DEL ESTADO
Tema 47. Seguridad de Sistemas (1) Análisis y gestión de Riesgos. Herramientas.
1 PLAN DE SEGURIDAD .......................................................................................................... 2

2 ANÁLISIS GENERAL DE LA SEGURIDAD ................................................................................. 4
2.1 Plan Director de Seguridad ..................................................................................... 5
2.2 Políticas de Medidas de Salvaguarda ..................................................................... 7
3 EL MÉTODO MAGERIT V3 DE GESTIÓN DE LA SEGURIDAD ................................................... 7
3.1 Libro I Método........................................................................................................ 10
3.1.1.- Formalización de la confianza de un SI ............................................................ 11
3.1.2.- La Gestión de los Riesgos ................................................................................ 12
3.1.3.- Método de Análisis de Riesgos ......................................................................... 14
3.1.4.- Formalización de las actividades del MAR ....................................................... 21
3.1.5.- Documentación ................................................................................................. 21
3.1.6.- Proceso de Gestión de Riesgos........................................................................ 22
3.1.7.- Interpretación de los valores de impacto y riesgo residuales ........................... 23
3.1.8.- Coste - Beneficio ............................................................................................... 24
3.1.9.- Roles y funciones .............................................................................................. 24
3.1.10.- Estructuración del proyecto .......................................................................... 26
3.1.11.- Proyecto de Análisis de Riesgos .................................................................. 26
3.1.12.- Plan de seguridad ......................................................................................... 28
3.1.13.- Documentación de seguridad ....................................................................... 29
3.1.14.- Consejos prácticos........................................................................................ 30
3.1.15.- Protección básica.......................................................................................... 31
3.1.16.- Herramienta PILAR....................................................................................... 32
3.2 Libro II catálogo de elementos .............................................................................. 33
3.2.1.- Dimensiones de valoración ............................................................................... 34
3.2.2.- Criterios de valoración....................................................................................... 35
3.2.3.- Catálogo de amenazas ..................................................................................... 35
3.2.4.- Confidencialidad de los datos ........................................................................... 36
3.3 Libro III Guía de Técnicas ..................................................................................... 36
4 AUDITORÍAS DE SEGURIDAD .............................................................................................. 39
5 LA SEGRURIDAD EN EL ENS .............................................................................................. 40
6 NORMAS ISO ................................................................................................................... 43
7 GLOSARIO ........................................................................................................................ 50
8 W EBS RELACIONADAS ....................................................................................................... 51
9 ANEXO I ........................................................................................................................... 51
10 ANEXO II .......................................................................................................................... 52
1 PLAN DE SEGURIDAD
La información ha pasado a ser un activo crítico que le sirve a las organizaciones en distintos
grados: desde una base de datos con la información de todos los trabajadores hasta los
sistemas de ayuda a la decisión que les sirven a los directivos para la planificación estratégica.
Es necesario salvaguardar la información para el buen funcionamiento de la empresa así como
evitar que los competidores tengan ventajas.
La seguridad informática se basa en la preservación de los requisitos ACIDT o
dimensiones de la seguridad (subestados de la seguridad en Magerit V1):
A - Autenticación: Se puede asegurar quién es el originante de la información. Esto se puede

solucionar mediante el uso de la autenticación de certificados.
C- Confidencialidad: La información únicamente será conocida por las personas autorizadas,
esto es los originantes y a quienes va dirigido. Esto se puede solucionar con técnicas
criptográficas de cifrado de la información.
I- Integridad: Garantizar que la información no se modifica una vez enviado, es decir que llega
al destino sin haber sido alterada y si ha sido alterada se pone en evidencia. Esto se puede
solucionar con técnicas criptográficas mediante el uso de algoritmos hash (SHA-1, MD5, etc.)
o bien firma digital.
D- Disponibilidad: La información ha de estar disponible para las personas autorizadas,
evitándose las pérdidas de datos. Por ejemplo disponibilidad 24x7 (x 365 días).
T- Trazabilidad: Indica las acciones o procesos que se llevan a cabo en el sistema, así como
quién y cuando las realiza. (Mecanismo de auditoría en la propia base de datos o en la
aplicación).
Adicionalmente se pueden considerar otros aspectos adicionales, relacionados con los

anteriores:
No repudio: Cualquier entidad que ha enviado o recibido información no puede negar este
hecho. El (no) repudio se ejercita en origen y/o en destino. Por ejemplo firmando un formulario
y dando un recibo firmado de que ha sido presentado, respectivamente. Asimismo en el ENS,
no se trata como una dimensión más sino dentro de la A, I en la firma electrónica.
- Plan de Seguridad: conjunto de requisitos de seguridad del sistema de información y

controles necesarios para alcanzarlos. Todo ello marcando las responsabilidades y
comportamiento de todo el personal que accede al sistema. Comprende un conjunto de
normas, reglas y prácticas.
- Debe contener una estrategia de prevención (proactiva) y una de corrección (reactiva)
El RD 3/2010 y RD 951/2015, Esquema Nacional de Seguridad, les llama dimensiones de la

seguridad a: A, C, I, D y T. La gestión de la seguridad analiza los requisitos de seguridad que
deben cumplir los sistemas, para elaborar una estrategia que permita mantener y administrar
los mismos proporcionando un nivel de seguridad adecuado. Dicha estrategia es el plan de
seguridad. La gestión de la seguridad tiene las siguientes etapas:
Establecer objetivos y estrategias, creando la estructura organizativa adecuada

e implicando a los altos niveles de la organización. Para la identificación de
objetivos o requisitos de seguridad:
2
• Marco legal: LOPD (3/2018), RD 3/2010 (modificado por RD 951/2015),
RD 4/2010, LO 10/1995 y modificaciones posteriores (Código Penal, por
protección vía penal de datos sensibles y fraude informático LO 1/2019).
• Requisitos y objetivos particulares
• Las estrategias que se van a tomar respecto a las posibles amenazas de
seguridad son:
-Evitar el riesgo, para ello se aplican las medidas de salvaguarda oportuna, eliminando sus
causas. Por ejemplo: respecto a los fallos de corriente eléctrica, una medida sería los sistemas
SAI de alimentación ininterrumpida.
-Minimizar el riesgo, el riesgo nunca es nulo, para que una vez que se ha producido el ataque
tenga menos consecuencias. Por ejemplo: plan de contingencias.
-Transferir el riesgo, para que otro lo trate. (Transferencia total o parcial, en este caso sería
“compartir el riesgo). Por ejemplo: contratar un seguro.
-Aceptar el riesgo sin control. Porque se presupone que la posibilidad de que ocurra es mínima,
pero siempre habrá una medida de contingencia para los riesgos asumibles, dado que no se
tomará ninguna acción para atajarlo.
• Una política de seguridad es un conjunto de principios y reglas donde se

especifican las líneas básicas para la protección de los activos de una
manera consistente y efectiva. Incluye:
-Alinear los requisitos de seguridad con las necesidades de la
organización.
-Planificar y presupuestar la seguridad.
-Establecer responsabilidades en la gestión de la seguridad.
-Promocionar la mentalización de la seguridad y formación en seguridad.
-Facilitar la implantación de los procedimientos y mecanismos de
seguridad (plan de seguridad).
Análisis y tratamiento de riesgos (Gestión de los riesgos), incluye:
• Análisis y Evaluación de Riesgos (AER): aproximación cuantitativa

(se basa en la probabilidad de ocurrencia y daño producido que debido a
la inexactitud de las estimaciones es la menos usada; se calcula como
Coste Anual Estimado=probabilidad de pérdida*pérdida económica
ocasionada) y aproximación cualitativa (estimación de pérdidas
potenciales: obtiene el riesgo asociado a un activo, o sea, posibilidad de
que una amenaza se materialice en un activo y produzca un impacto) en
un contexto dado.
• Selección de salvaguardas:
Hay que tener en cuenta factores como el tiempo (cuánto más tiempo se
tarde en implantarse peor), económico (es antieconómico que una
salvaguarda coste más que el propio activo), técnico (debe ser una medida
que se adecue a los sistemas existentes).
• Políticas de seguridad: basadas en los resultados del AER y debe
contener las salvaguardas seleccionadas para alcanzar el nivel de
seguridad deseado
• Elaboración del Plan de Seguridad
3
Implementación del Plan de seguridad: a la vez que se implementa se debe
formar al personal y al usuario final en su uso y conocimiento de las salvaguardas
Mantenimiento.
DEFINICIÓN DE OBJETIVOS Y
ESTRATEGIAS
ANÁLISIS Y GESTIÓN DE
RIESGOS
ELECCIÓN DE MEDIDAS A
ADOPTAR
SEGURIDAD PLAN DE
PREVENTIVA CONTINGENCIAS
2 ANÁLISIS GENERAL DE LA SEGURIDAD
La norma ISO 7498-2:1989 (Sistemas de Procesamiento de la Información, Parte 2:

Arquitectura de Seguridad). Define un servicio de seguridad como la prestación de un sistema
basado en las tecnologías de la información que contribuye a incrementar la seguridad del
mismo.
La norma ISO/IEC 7498 describe el modelo de referencia ISO/OSI. De las 4 partes, la
segunda, ISO/IEC 7498-2 Security Architecture ha sido reemplazada por las sucesivas
ISO/IEC 10745, ITU-T X.803 (Upper Layers Security Model), ISO/IEC 13594, ITU-T X.802
(Lower Layers Security Model), ISO/IEC 10181-1 e ITU-T X.810 (Security Frameworks, Part 1:
Overview).
4
2.1 PLAN DIRECTOR DE SEGURIDAD
La ISO 17799:2000/2005, ha sido reemplazada por UNE-ISO/IEC 27002.
5
Otra visión, como proceso continuo en el círculo de Demming (PDCA) en los Sistemas
de Gestión de la Seguridad de la Información (SGSI, ISO 27001:2007):
Nota: en la ISO 27.001:2013 se elimina la visión PDCA.
Los sistemas de gestión de la seguridad de la información (SGSI, ISO 27001:2007) formalizan

estas cuatro etapas cíclicas añadiendo en Mantenimiento y mejora: “observar a los demás”. (El
PDCA ha sido eliminado en la ISO 27.001:2013).
El análisis de riesgos es parte de las actividades de planificación, donde se toman decisiones

de tratamiento. Estas decisiones se materializan en la etapa de implantación, donde conviene
desplegar elementos que permitan la monitorización de las medidas desplegadas para poder
6
evaluar la efectividad de las mismas y actuar en consecuencia, dentro de un círculo de
excelencia o mejora continua.
2.2 POLÍTICAS DE MEDIDAS DE SALVAGUARDA
- Van a determinar como se van a seleccionar los controles y medidas de seguridad para
alcanzar los requisitos de seguridad
- Hay tres formas de realizar esta selección:
o Línea Base: se seleccionan un conjunto de salvaguardas para alcanzar un
nivel básico de protección, se basan en metodologías o normas ya definidas:
MAGERIT, “buenas prácticas comunes”, etc. No necesitan grandes esfuerzos y
valen para cualquier sistema, el problema es que el nivel de seguridad igual
para todos los sistemas puede ser muy restrictivo para algunos y demasiado
suave para otros mas críticos
o Análisis de riesgos detallado: identifican y seleccionan las salvaguardas de
acuerdo con las necesidades estudiadas para cada sistema, esto da un nivel
adecuado de seguridad para cada sistema, pero es más caro en esfuerzo y en
tiempo
o Mixta: se separan los sistemas críticos o con alto nivel de riesgo del resto,
aplicando la primera selección a los segundos y el análisis detallado a los
primeros.
3 EL MÉTODO MAGERIT V3 DE GESTIÓN DE LA

SEGURIDAD
- MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información de las Administraciones Públicas. Es de carácter público que no
necesita autorización para su uso. Fue elaborada por el CSAE (Consejo Superior de
Administración Electrónica), Secretaría de Estado de Administraciones Públicas.
Dirección General de Modernización Administrativa, Procedimientos e Informática.
Subdirección General de Programas, Estudios e Impulso de Administración Electrónica.
- Por el RD 806/2014 el CSAE se suprime y su parte normativa la realiza la Comisión de

Estrategia TIC y la Dirección de Tecnologías de la Información y las Comunicaciones.
- La razón de ser de MAGERIT está directamente relacionada con la generalización del

uso de las tecnologías de la información, que supone unos beneficios evidentes para
los ciudadanos, pero también da lugar a ciertos riesgos que deben minimizarse con
medidas de seguridad que generen confianza. MAGERIT les permitirá saber cuánto
valor está en juego y les ayudará a protegerlo. La gestión de los riesgos es una piedra
angular en las guías de buen gobierno [ISO 38500], sea éste público o privado.
-Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se

denomina “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la
Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos”. En otras palabras,
MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de
trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los
riesgos derivados del uso de tecnologías de la información.
7
- Tiene un objetivo doble, por una parte el estudio de los riesgos (probabilidad de que
exista un daño) del SI y por otra recomendar las medidas apropiadas para prevenir,
impedir o reducir los riesgos investigados.
- Tiene en cuenta los criterios europeos ITSEC y los Criterios Comunes de Evaluación
de la Seguridad de los Productos y SI (EEUU y Canadá).
- MAGERIT permite realizar:

Análisis de Riesgos (proceso sistemático para estimar la magnitud de los
riesgos a que está expuesta una Organización):
▪ Identificar amenazas
▪ Determinar la vulnerabilidad (V1), se llamaba valoración de las
amenazas en V2 y en V3, actualmente, determinación de las
amenazas.
▪ Estimar impacto de seguridad insuficiente.
▪ Realizar un análisis de riesgos es laborioso y costoso, si es muy
complejo se debe centrar en lo más importante (máximo impacto,
máximo riesgo).
Los resultados del Análisis de Riesgos es la Gestión de Riesgos,

recomendaciones de medidas para prevenir, reducir o controlar los riesgos que
se materializan en el Plan de Seguridad.
Busca crear confianza en los SI, que no es tanto la ausencia de incidentes

como la confianza en que están bajo control: se sabe qué puede pasar y se
sabe qué hacer cuando pasa. Es decir conocer los riesgos para poder
afrontarlos y controlarlos.
- MAGERIT presenta una interfaz específica con MÉTRICA v2.1, no así con M v3 que se
desarrolló posteriormente, pero la seguridad está presente durante todo el ciclo de vida
como interfaz.
- Magerit es una guía de “máximas” que habrá que adaptar a cada circunstancia.
MAGERIT V3 consta de 3 libros:
- I Método con 6 apéndices, o material de consulta:
8
- 1 Glosario
- 2 Referencias bibliográficas
- 3 Marco legal
- 4 Marco de evaluación y certificación
- 5 Herramientas para análisis y gestión de riesgos (PILAR, Procedimiento
Informático Lógico para el Análisis de Riesgos).
- 6 Evolución de Magerit (V1 V2, V2 V3)
- II Catálogo de elementos con 4 apéndices:
- 1 Notación XML
- 2 Fichas (para captura de datos)
- 3 Modelo de valor (para la utilización de herramientas, categorización del
valor del activo para la Organización y dependencia entre distintos activos).
- 4 Informes (*) ver en el Libro I Método.
- III Guía de técnicas. (Engloba a Técnicas específicas y Técnicas generales)
Evolución de Magerit V2 a V3 (Octubre de 2012):
- Mantiene la estructura de los 3 libros de la versión 2:

• Libro 1 Método
• Libro 2 Catálogo de elementos
• Libro 3 Técnicas
- Mejor alineamiento con la normativa ISO.
- Se aligera el texto y se eliminan partes poco importantes o poco usadas
- Se normalizan las diferentes actividades:
• MAR – Método de Análisis de Riesgos
• PAR – Proyecto de Análisis de Riesgos
• PS – Plan de Seguridad
Definiciones:
▪ Activo: recursos del sistema de información, necesarios para que la organización

funcione correctamente y alcance sus objetivos. Clasificados en: Entorno, SI (HW + SW
+ Comunicaciones), Información, Funcionalidades y otros. Tiene un estado de seguridad
que se compone de 5 dimensiones de seguridad (ex subestados de MAGERIT V1):
Confidencialidad, Integridad, Disponibilidad y las derivadas Autenticidad y Trazabilidad.
▪ Amenaza: eventos que pueden desencadenar un incidente, produciendo daños sobre

los activos. Tipos: Accidentales, Intencionadas, Presenciales y Remotas.
Una amenaza es una violación potencial de la seguridad de un sistema, un ataque es la
materialización de una amenaza y se entiende como vulnerabilidad la susceptibilidad de
que un sistema o componente sufra daños por un ataque específico, o equivalentemente
como una debilidad de protección de un recurso del sistema que puede ser explotada
por un ataque.
▪ Determinación de las amenazas V3 (ex valoración de las amenazas V2, ex
vulnerabilidad V1): posibilidad de ocurrencia de la materialización de una amenaza sobre
un activo. Se mide por la probabilidad de ocurrencia y por la frecuencia histórica. Una
vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán
vulnerable es el activo, en dos sentidos: DEGRADACIÓN: cuán perjudicado resultaría el
9
activo y FRECUENCIA: cada cuánto se materializa la amenaza. Se modela como un
porcentaje o tasa anual de ocurrencia.
▪ Impacto: consecuencia en un activo de la materialización de una amenaza. Mide la

diferencia del estado de seguridad del activo antes y después del impacto, si no hay
diferencia no hay impacto. Tipos: cuantitativos (perdidas económicas), cualitativos con
perdidas funcionales (reducción de los subestados ACID y Trazabilidad en datos) y
cualitativos con perdidas orgánicas (responsabilidad penal, imagen, daño a personas,
etc.) El daño es absoluto independientemente de su probabilidad.
▪ Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un

dominio o en toda la organización. Riesgo Intrínseco (antes de aplicar salvaguardas o
sea sin protecciones), residual (después de aplicar salvaguardas), umbral de riesgo
(base para decidir si el riesgo calculado es asumible).
▪ Salvaguarda: Se distingue entre Función o Servicio de Salvaguarda: acción que

reduce el riesgo y Mecanismo de Salvaguarda: dispositivo lógico o físico capaz de
reducir el riesgo. Preventivas actúan sobre la vulnerabilidad con anterioridad a la
agresión (formación, información, disuasión, detección) y Curativas actúan sobre el
impacto reduciendo su gravedad, con posterioridad (corrección, recuperación).
En otras palabras, las amenazas son cosas que le pueden pasar a los activos causando un
perjuicio para la Organización; el impacto es lo que podría pasar y el riesgo es lo que
probablemente pase.
Algunas veces, las instrucciones de un programa de ordenador pueden producir daños y
perjuicios, cuando el daño no es intencionado, se dice que es un error de programa, siendo
esta la causa más común del comportamiento inesperado de los programas y aplicaciones. Por
el contrario se entiende por amenaza programada cuando las instrucciones se diseñaron con la
intención de hacer daño.
3.1 LIBRO I MÉTODO
Define los objetivos directos: a) crear conciencia de la existencia de riesgo en los SI y la

necesidad de gestionarlos.
b) da un método sistemático para analizarlos
c) ayuda a planificar las medidas para mantener los riesgos
bajo control
Y los indirectos: Prepara a la organización para la auditoria, evaluación o certificación.
Uniformiza los informes (*):
-Modelo de valor (de los activos de la Organización y sus dependencias)

-Mapa de riesgos (relación de amenazas a que están sometidos los activos)
-Declaración de aplicabilidad (salvaguardas que sean o no de aplicación)
-Evaluación de las salvaguardas (eficacia)
-Estado del riesgo (caracterización de los activos por el riesgo residual)
-Informe de insuficiencias (ausencia o debilidad de salvaguardas)
10
-Cumplimiento de normativa (que se ajusta a la normativa vigente)
-Plan de seguridad (conjunto de proyectos de seguridad que permiten tomar decisiones
para la gestión del riesgo).
3.1.1.- Formalización de la confianza de un SI
Evaluación: permiten expresar el grado de confianza que inspira un SI. (Hay evaluación
interna y externa). La evaluación puede llevar a la certificación o acreditación del sistema.
Certificación: permite asegurar por escrito un comportamiento (luego de un análisis de riesgo).
Una certificación dice que un sistema es capaz de proteger unos datos de unas amenazas con
una cierta calidad (capacidad de protección) en base a las medidas de salvaguardas
adoptadas. Se certifican productos y sistemas de gestión de seguridad.
La certificación es un servicio de valor añadido que sirve para probar la conformidad de las
propiedades y características de un producto con las normas y especificaciones técnicas que le
sean de aplicación. Los resultados de la evaluación son validados por un Organismo de
Certificación, quién emite un Certificado.
Acreditación: permite legitimar a un sistema para formar parte de sistemas más amplios. Es
una certificación para un propósito específico. Por ejemplo sistemas que manejan
información clasificada nacional, de UE u OTAN. Organismo en España: ENAC (Entidad
Nacional de Acreditación, ver Anexo al final).
Auditoria: permite conocer el grado de adecuación de medidas y controles. Se materializan en
informes con las recomendaciones. Es por aplicación de la LOPD (art. 9), RD 1720/2007 (art.
96 y 110), RD 3/2010 (Modificado por RD 951/2015) (art. 34) o bien requeridas por la propia
Dirección de la Organización.
Normas: Todo se basa en la norma británica de partida, la BS-7799-2. Esta evolucionó dando
origen a la ISO 17799. La ISO 17799 es una guía que contiene consejos y recomendaciones
(controles) que permiten garantizar la seguridad de la información en una empresa dentro de
varios dominios de aplicación. Define una vía sistemática para manejar la información, que es
apropiada para cualquier tipo de empresa, pero no se trataba de una norma directamente
certificable.
Para certificarse, se empleaba la norma ISO/IEC UNE 71502:2004, Especificaciones para los
Sistemas de Gestión de la Seguridad de la Información (SGSI).
La norma UNE ISO-IEC 17799:2000/2005, Código de buenas prácticas para la gestión de la
seguridad de la información (SGSI), definía 11 dominios de controles pero que no es
certificable directamente.
-La UNE ISO-IEC 17799:2000/2005, ha sido reemplazada por UNE-ISO/IEC 27002:2005/2009,
que se basa en los controles descriptos en la norma UNE ISO-IEC 17799:2000/2005, Código
de buenas prácticas para la gestión de la seguridad de la información.
-La guía UNE-ISO/IEC 27002:2005/2009 es actualmente la ISO/IEC 27.002:2013.
-El nuevo estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y
única, ya que contiene todos los nuevos términos y definiciones, esta parte se elimina de la
ISO 27.002:2013
-La guía UNE-ISO/IEC 27001:2005/2009 es actualmente la ISO/IEC 27.001:2013
(certificable).
11
El ISO-15408 son perfiles de protección que permite a priori especificar los requisitos de
seguridad (en el desarrollo o contratación) estableciendo una calificación para la idoneidad de
un SI. (Common Criteria)
El Centro Criptológico Nacional (dependiente del Centro Nacional de Inteligencia, CNI), tiene
entre una de sus misiones de constituir el Organismo de Certificación del Esquema Nacional de
Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Al respecto en
la OM PRE 2740/2007 (BOE 25-9-2007) se aprueba el Reglamento de Evaluación y
Certificación de las TIC. El ámbito de actuación del Organismo de Certificación denominado
ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías
de la Información) comprende las entidades públicas o privadas que quieran ejercer de
laboratorios de evaluación de la seguridad de las TI en el marco del Esquema. También
comprende a estas entidades cuando sean fabricantes de productos o sistemas de TI que
quieran certificar la seguridad de dichos productos, en el marco del Esquema. Todo ello,
siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el ámbito de
actuación del Centro Criptológico Nacional.
En resumen, el CCN acredita a laboratorios para que puedan certificar productos basados en
criptografía, por ejemplo del Dispositivo seguro de creación de firma que establece la ley
59/2003 de firma electrónica “reconocida”. El CCN también certifica, dentro del Ministerio de
Defensa, los equipos inmunes a las radiaciones electromagnéticas espúreas emitidas por los
equipos basados en tecnologías de la información, como por ejemplo las pantallas TRC, más
conocido como certificación TEMPEST.
Otro ejemplo, AENOR está acreditado por ENAC para que pueda certificar
3.1.2.- La Gestión de los Riesgos
Hay dos grandes tareas a realizar:
1. Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que
podría pasar.
2. Tratamiento de los riesgos, que permite organizar la defensa concienzuda y prudente,
defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las
emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones;
como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la
12
Dirección asume. Ambas actividades, análisis y tratamiento se combinan en el proceso
denominado Gestión de Riesgos.
El análisis de riesgos considera los siguientes elementos:

1. activos, que son los elementos del sistema de información (o estrechamente relacionados
con este) que soportan la misión de la Organización
2. amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a la
Organización
3. salvaguardas (o contra medidas), que son medidas de protección desplegadas para que
aquellas amenazas no causen [tanto] daño.
Con estos elementos se puede estimar:

1. el impacto: lo que podría pasar
2. el riesgo: lo que probablemente pase
Es, por lo tanto, un proceso sistemático para estimar los riesgos a que está expuesto un SI.
Es la determinación de impactos (daños absolutos o sea daño posible) y riesgos (probabilidad
de que ocurra o sea daño probable).
En la Gestión de los Riesgos, la ISO 31.000 los estructura:
13
En el contexto se incluye las obligaciones propias y obligaciones contraídas, así como las
relaciones con otras organizaciones, sean para intercambio de información y servicios o
proveedoras de servicios subcontratados.
3.1.3.- Método de Análisis de Riesgos
(Ver también las actividades en el punto 3.1.4 Formalización de las actividades del MAR
(Método de Análisis de Riesgos):
Paso1: Activos
Ver sus dependencias cuál es el activo superior e inferior, su valoración cuantitativa (valoración
numérica absoluta) y cualitativa (valor relativo de un activo respecto de los demás) para la
Organización (no su coste), sus “dimensiones” (ACIDT), dar valor a la interrupción del servicio
(no es lo mismo una hora, un día o un mes, tiene distintas consecuencias.
Los activos se estructuran en capas, donde las capas a superiores dependen de las inferiores:
7 Activos esenciales
- información que se maneja
- servicios prestados
6 Servicios internos que estructuran ordenadamente el sistema de información
5 El equipamiento informático
- aplicaciones (software)
- equipos informáticos (hardware)
- comunicaciones
- soportes de información: discos, cintas, etc.
4 El entorno: activos que se precisan para garantizar las siguientes capas
- equipamiento y suministros: energía, climatización, etc.
- mobiliario
3 Los servicios subcontratados a terceros
2 Las instalaciones físicas
1 El personal:
- usuarios
- operadores y administradores
- desarrolladores
Valor de un activo:
• Coste de reposición: adquisición e instalación
• Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
• Lucro cesante: pérdida de ingresos
• Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida
de actividad o en peores condiciones económicas
• Sanciones por incumplimiento de la ley u obligaciones contractuales
• Daño a otros activos, propios o ajenos
14
• Daño a personas
• Daños medioambientales
Paso2: Amenazas. Cuando un activo es víctima de una amenaza, no se ve afectado en todas

sus dimensiones, ni en la misma cuantía, y se modela en dos sentidos: degradación y
frecuencia. Por ello la valoración de las amenazas se realiza en dos sentidos: degradación
(fracción del valor del activo) y frecuencia (% en tiempo anual). La amenaza por sí no hace
nada, sólo si se materializa o se es víctima de una amenaza (es impacto y lo debe hacer en al
menos en una o n dimensiones del activo). El riesgo es estimativo considerando que dicha
amenaza pueda materializarse.
Valoración de las amenazas:

Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su
influencia en el valor del activo, en dos sentidos:
-degradación: cuán perjudicado resultaría el valor del activo. (interviene en el impacto).
-probabilidad: cuán probable o improbable es que se materialice la amenaza (interviene en el
riesgo). Y se modelan:
- cualitativamente como una escala nominal:
MA muy alta casi seguro fácil

A alta muy alto medio
M media posible difícil
B baja poco probable muy difícil
MB muy baja muy raro extremadamente difícil
- cuantitativamente como una tasa anual de ocurrencia, siendo los valores típicos de
probabilidad de ocurrencia:
MA 100 muy frecuente a diario

A 10 frecuente mensualmente
M 1 normal una vez al año
B 1/10 poco frecuente cada varios años
MB 1/100 muy poco frecuente siglos
Ver el capítulo 5 del "Catálogo de Elementos" que presenta una relación de amenazas típicas.
De origen natural
Hay accidentes naturales (terremotos, inundaciones, etc.). Ante esos avatares el sistema de
información es víctima pasiva, pero de todas formas tendremos en cuenta lo que puede
suceder.
Del entorno (de origen industrial)
15
Hay desastres industriales (contaminación, fallos eléctricos, etc.) ante los cuales el sistema de
información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.
Defectos de las aplicaciones
Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o
en su implementación, con consecuencias potencialmente negativas sobre el sistema.
Frecuentemente se denominan vulnerabilidades técnicas o, simplemente, ‘vulnerabilidades’.
Causadas por las personas de forma accidental
Las personas con acceso al sistema de información pueden ser causa de problemas no
intencionados, típicamente por error o por omisión.
Causadas por las personas de forma deliberada
Las personas con acceso al sistema de información pueden ser causa de problemas
intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con
ánimo de causar daños y perjuicios a los legítimos propietarios.
Tener en cuenta que no todas las amenazas afectan a todos los activos, sino que hay una
cierta relación entre el tipo de activo y lo que le podría ocurrir.
Paso4: Estimación del impacto (materialización de la amenaza). Si no hay salvaguardas

desplegadas se llaman impactos potenciales.
Hay impactos acumulados (tiene en cuenta su valor acumulado, es decir el del propio bien
más el acumulado de los que dependen de él, más las amenazas a las que esté expuesto el
activo. Se calcula para cada activo, por cada amenaza y cada dimensión de valoración y es
función del valor acumulado y la degradación causada) y repercutidos (el del propio bien más
las amenazas a las que esté expuesto los activos de los que depende. Se calcula para cada
activo, por cada amenaza y cada dimensión de valoración y es función del valor propio y la
degradación causada).
Agregación de impactos: impactos concurrentes no relacionados que no sen ni acumulados
ni repercutidos o en diferentes dimensiones.
En el impacto se tiene en cuenta la degradación, que si es total Impacto=pérdida (siempre por
dimensión, 1 ...100%, si fuese 0 no hay impacto).
En el siguiente diagrama, la dependencia es por el servicio, que lo brinda el servidor Web
(páginas estáticas), si necesita ejecutar código Java necesita redirigir la llamada al servidor de
aplicaciones que puede a su vez requerir datos dinámicos de la base de datos, así A B y
B C.
16
Paso5: Determinación del riesgo. Si no hay salvaguardas desplegadas se llaman impactos
potenciales (inherente). El riesgo crece con el impacto (o daño) y la frecuencia. Hay riesgos
acumulados, repercutidos y agregados. El riesgo es valor del activo * % de degradación *
frecuencia o (impacto*frecuencia). (El % de degradación está considerado en el Impacto, junto
con el valor del activo).
-Acumulados: se calcula sobre un activo teniendo en cuenta el impacto acumulado

sobre un activo debido a una amenaza y la frecuencia de la amenaza. Se calcula para
cada activo, por cada amenaza y en cada dimensión de valoración, siendo una función
del valor acumulado, la degradación causada y la frecuencia de la amenaza.
-Repercutidos: se calcula sobre un activo teniendo en cuenta el impacto repercutido
sobre un activo a una amenaza y la frecuencia de las amenazas. Se calcula para cada
activo, por cada amenaza y en cada dimensión de valoración, siendo una función del
valor propio, la degradación causada y la frecuencia de la amenaza
-Agregación de riesgos: varios riesgos concurrentes que no sean acumulados o
repercutidos o en diferentes dimensiones.
El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a
tener en cuenta en el tratamiento del riesgo.
Zona 1 – riesgos muy probables y de muy alto impacto. Hay que evitar estar en esta zona
Zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto
medio, hasta situaciones muy probables pero de impacto bajo o muy bajo
Zona 3 – riesgos improbables y de bajo impacto. Se dejan como están salvo que escalen.
Zona 4 – riesgos improbables pero de muy alto impacto. No justifican acciones preventivas, si
reactivas.
Paso3: Salvaguardas Son las medidas que reducen el riesgo (se limita la frecuencia o el
daño causado). En los pasos anteriores no se han protegido en absoluto (no se consideraron
las salvaguardas desplegadas y se habla de “inseguridad potencial”). Las salvaguardas pueden
reducir la frecuencia de las amenazas (se denominan Preventivas) o bien limitar el daño
causado (Impacto). Hay que tener en cuenta aquellas salvaguardas que no aplican o que no
se justifican.
Tipo se protección:
17
[PR] prevención: Cuando reduce las oportunidades de que un incidente ocurra. Si la
salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos:
autorización previa de los usuarios, gestión de privilegios, planificación de capacidades,
metodología segura de desarrollo de software, pruebas en preproducción, etc.
[DR] disuasión: Cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo
piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente,
reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños
causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de
seguridad, avisos sobre la persecución del delito o persecución del delincuente, etc.
[EL] eliminación: Cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de
que el incidente se haya producido. No reducen los daños en caso de que la salvaguarda no
sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de
cuentas sin contraseña, de servicios innecesarios, cifrado de la información, armarios
ignífugos, etc.
[IM] minimización del impacto / limitación del impacto: Cuando acota las consecuencias de
un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de
servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente.
[CR] corrección: Cuando, habiéndose producido un daño, lo repara. Son salvaguardas que
actúan después de que el incidente se haya producido y por tanto reducen los daños.
Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación
redundantes, etc.
[RC] recuperación: Cuando permite regresar al estado anterior al incidente. Son salvaguardas
que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo.
Ejemplos: copias de seguridad (back-up).
[MN] monitorización: Son salvaguardas que trabajan monitorizando lo que está ocurriendo o
lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el
incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del
incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de
actividad, registro de descargas de Web, etc.
[DC] detección: Cuando informa de que el ataque está ocurriendo. Aunque no impide el
ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque,
minimizando daños. Ejemplos: antivirus, IDS, detectores de incendio, etc.
[AW] concienciación: Son las actividades de formación de las personas anexas al sistema
que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo
cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las
operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo
por una mala operación. Ejemplos: cursos de concienciación, cursos de formación, etc.
[AD] administración: Salvaguardas relacionadas con los componentes de seguridad del
sistema. Una buena administración evita el desconocimiento de lo que hay y por tanto impide
que haya puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden
considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos,
plan de continuidad, etc.
Resumen de tipos de salvaguardas:
Efecto Tipo
Preventivas: reducen la probabilidad [PR] preventivas
[DR] disuasorias
[EL] eliminatorias
18
Acotan la degradación [IM] minimizadoras
[CR] correctivas
[RC] recuperativas
Consolidan el efecto de las demás [MN] de monitorización
[DC] de detección
[AW] de concienciación
[AD] administrativas
Eficacia de la protección: las salvaguardas se caracterizan, además de por su existencia, por

su eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz,
eficacia que combina 2 factores:
Desde el punto de vista técnico:

-es técnicamente idónea para enfrentarse al riesgo que protege
-se emplea siempre
Desde el punto de vista de operación de la salvaguarda

-está perfectamente desplegada, configurada y mantenida
-existen procedimientos claros de uso normal y en caso de incidencias
-los usuarios están formados y concienciados
-existen controles que avisan de posibles fallos
Eficacia y madurez de las salvaguardas:
factor nivel significado

0% L0 inexistente
.. L1 inicial/ ad-hoc
.. L2 reproducible pero intuitivo
.. L3 proceso definido
.. L4 gestionado y medible
100% L5 optimizado
Se denomina vulnerabilidad a toda debilidad que puede ser aprovechada por una amenaza, o
más detalladamente a las debilidades de los activos o de sus medidas de protección que
facilitan el éxito de una amenaza potencial.
Revisión del Paso4: Impacto residual (debe ser despreciable (o asumible). La eficacia de las
salvaguardas nunca es perfecta.
Revisión del Paso5: Riesgo residual (idem anterior)
19
No cambian los activos ni sus dependencias, sino la magnitud de la degradación (impacto) o la
magnitud y la frecuencia (riesgo), se repiten los cálculos con los nuevos niveles. En el caso de
introducir un nuevo elemento de salvaguarda (un activo más, además de solucionar los
problemas que se espera de él, tiene vulnerabilidades y por ende está sujeto a amenazas en
otras dimensiones), hay que considerarlo ya que entraña nuevos riesgos, hay que considerarlo
en el nuevo paso 4 y 5.
Así amenaza se estudia en % degradación y frecuencia.

El impacto como valor del activo * % de degradación (entre 1 a 100%, si es 0 no hay impacto
en dicha dimensión).
El riesgo tiene la probabilidad de ocurrencia, por lo tanto la frecuencia, es decir impacto*
frecuencia.
Para que haya impacto, la amenaza debe cumplirse, materializarse, o ser víctima de la
amenaza (degradación ≠ 0 en alguna dimensión), por sí sola no causa daño. Las
amenazas, causan una cierta degradación sólo si hay impacto con lo cual la frecuencia
al menos es 1 vez. La frecuencia estima la probabilidad que interviene en el riesgo.
Se hace este tipo de nomenclatura para reforzar las ideas, 1, 2, 4, 5, 3, 4, 5, 3, 4, 5....; es decir
se analizan los Activos, las Amenazas, y determinan los Impactos (potenciales, sin
salvaguardas), se determinan los Riesgos (potenciales, sin salvaguardas), ahora que se saben
20
ya cuantificadas las “pérdidas”, se determinan salvaguardas y se repite el Paso 4 y Paso 5 con
dichas salvaguardas, si el riesgo o el impacto no es despreciable o asumible, se refuerzan las
salvaguardas, se cambian, etc. y se itera....).
Los elementos del Análisis de Riesgo, por lo tanto son: Activos, Amenazas y
Salvaguardas.
3.1.4.- Formalización de las actividades del MAR
MAR - Método de Análisis de Riesgo
MAR.1 – Caracterización de los activos

MAR.11 – Identificación de los activos
MAR.12 – Dependencias entre activos
MAR.13 – Valoración de los activos
MAR.2 – Caracterización de las amenazas
MAR.21 – Identificación de las amenazas
MAR.22 – Valoración de las amenazas
MAR.3 – Caracterización de las salvaguardas
MAR.31 – Identificación de las salvaguardas
pertinentes
MAR.32 – Valoración de las salvaguardas
MAR.4 – Estimación del estado de riesgo
MAR.41 – Estimación del impacto
MAR.42 – Estimación del riesgo
3.1.5.- Documentación
Documentación intermedia:
-Resultados de las entrevistas.
-Documentación de otras fuentes: estadísticas, observaciones de expertos y observaciones de
los analistas.
-Información existente utilizable por el proyecto (por ejemplo inventario de activos)
-Documentación auxiliar: planos, organigramas, requisitos, especificaciones, análisis
funcionales, cuadernos de carga, manuales de usuario, manuales de explotación, diagramas
de flujo de información y de procesos, modelos de datos, etc.
-Informes y evaluaciones de defectos de los productos, procedentes de fabricantes o de
centros de respuesta a incidentes de seguridad (CERTs). {Computer Emergency Response
Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información}.
Ej: CCN-CERT, INCIBE-CERT.
(Su denominación actual es INCIBE, Instituto Nacional de Ciberseguridad, antes INTECO).
21
Documentación final:
-Modelo de valor: Informe que detalla los activos, sus dependencias, las dimensiones en las
que son valiosos y la estimación de su valor en cada dimensión. (MAR.1)
-Mapa de riesgos: Informe que detalla las amenazas significativas sobre cada activo,
caracterizándolas por su frecuencia de ocurrencia y por la degradación que causaría su
materialización sobre el activo. (MAR. 2)
-Declaración de aplicabilidad: Informe que recoge las contramedidas que se consideran
apropiadas para defender el sistema de información bajo estudio. (MAR.3)
-Evaluación de salvaguardas: Informe que detalla las salvaguardas existentes calificándolas
en su eficacia para reducir el riesgo que afrontan. (MAR.3)
-Informe de insuficiencias o vulnerabilidades: Informe que detalla las salvaguardas
necesarias pero ausentes o insuficientemente eficaces. (MAR.3)
-Estado de riesgo: Informe que detalla para cada activo el impacto y el riesgo, potenciales y
residuales, frente a cada amenaza. (Estimación de impacto y riesgo e informe de
insuficiencias. (MAR.4)
3.1.6.- Proceso de Gestión de Riesgos
-Es la selección e implantación de salvaguardas para conocer, reducir o controlar los riesgos
identificados. Cada amenaza debe tener una respuesta adecuada es el objetivo del Sistema
de Gestión de la seguridad.
-Hay que interpretar los impactos y riesgos residuales. Si no es despreciable es que hay algo
de se debería hacer y no se hace, se apunta en el informe de Insuficiencias.
-Hay que elegir las salvaguardas (reduciendo la degradación del activo, minimizando el daño) o
reduciendo la frecuencia de las amenazas (minimizando sus oportunidades). Hay que procurar
un equilibrio entre salvaguardas técnicas, salvaguardas físicas, de organización (prevención y
gestión de las incidencias) y política personal (formación contratación de RRHH, medidas
disciplinarias).
Calificación de cada riesgo significativo, se determina si:

1. es crítico en el sentido de que requiere atención urgente
2. es grave en el sentido de que requiere atención
3. es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento
4. es asumible en el sentido de que no se van a tomar acciones para atajarlo. (En su
caso, plan de contingencias).
La opción 4, aceptación del riesgo, siempre es arriesgada y hay que tomarla con prudencia y
justificación. Las razones que pueden llevar a esta aceptación son:
- cuando el impacto residual es asumible
- cuando el riesgo residual es asumible
- cuando el coste de las salvaguardas oportunas es desproporcionado en comparación al
impacto y riesgo residuales
El resultado del análisis es sólo un análisis. A partir de el disponemos de información para

tomar decisiones conociendo lo que queremos proteger
A partir de aquí, las decisiones son de los órganos de gobierno de la Organización que
actuarán en 2 pasos:
22
• Paso 1: evaluación
• Paso 2: tratamiento
La siguiente figura resume las posibles decisiones que se pueden tomar tras haber estudiado
los riesgos. La caja ‘estudio de los riesgos’ pretende combinar el análisis con la evaluación.
3.1.7.- Interpretación de los valores de impacto y riesgo residuales
Impacto y riesgo residual son una medida del estado presente, entre la inseguridad potencial
(sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores
aceptables (con las salvaguardas implantadas o contramedidas).
Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen para nada,
típicamente no porque no haya nada hecho, sino porque hay elementos fundamentales sin
hacer. Esto es sólo un número pero hay que interpretarlo dentro de las tareas pendientes del
Informe de insuficiencias, o de vulnerabilidades. La Dirección de la Organización sometida al
análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable, que más que
técnica es una decisión gerencial o política. Se puede decir entonces que cualquier nivel de
impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección.
Para tomar la mejor decisión hay que enmarcar los riesgos soportados por el SI dentro de un
contexto:
• Cumplimiento de obligaciones; sean legales, regulación pública o sectorial, compromisos

internos, misión de la Organización, responsabilidad corporativa, etc.
• Posibles beneficios derivados de una actividad que en sí entraña riesgos.
• Condicionantes técnicos, económicos, culturales, políticos, etc.
23
• Equilibrio con otros tipos de riesgos: comerciales, financieros, regulatorios, medioambientales,
laborales, etc.
En condiciones de riesgo residual extremo, casi la única opción es reducir el riesgo. En

condiciones de riesgo residual aceptable, podemos optar entre aceptar el nivel actual o
ampliar el riesgo asumido. En cualquier caso hay que mantener una monitorización continua.
Ver diagrama de Impacto vs. probabilidad visto anteriormente.
La diferencia entre riesgo asumible y aceptable, es que en el primero no se hace nada, en el
segundo se acepta como residual.
3.1.8.- Coste - Beneficio
Como regla general: “No invertir en salvaguardas más que el valor de los activos a proteger”,
salvo motivos de otro orden: políticos, administrativos, etc., para eso se tiene el valor monetario
del riesgo.
El gráfico muestra coste de la in-seguridad (lo que costaría no estar protegidos, en la escala
inicial si se asta poco o nada en salvaguardas, además del riesgo residual alto tenemos que el
gasto es elevado por la inseguridad, es decir contingencias tras cada incidente) y el coste de
las salvaguardas. El riesgo cae fuertemente con pequeñas inversiones en seguridad, y se
gasta menos en prevenir que en reponer tras los incidentes.
Si el impacto o el riesgo está por arriba de lo aceptable, se deben descartar esos activos o
mejorar la eficacia de las salvaguardas. Otras opciones: transferir el riesgo (compartir con un
seguro) o financiación (reserva de fondos a modo de plan de contingencia).
(Si hay salvaguardas técnicas (nuevos activos) hay que revisar el Paso1 de Activos (amenazas
sobre los nuevos activos) y es un nuevo punto con posibles vulnerabilidades en la arquitectura
del SI. Normalmente un nuevo componente no puede causar más riesgo que el que pretende
mitigar.
3.1.9.- Roles y funciones
24
Actores:
1- Órganos de gobierno
Son los altos cargos de los organismos. También, si existe, es el Comité de Seguridad
de la Información. Tienen la autoridad última para aceptar los riesgos con que se opera.
Se dice que son los “propietarios del riesgo”.
2- Dirección ejecutiva
Son los responsables de unidades de negocio, los responsables de la calidad de los
servicios prestados por la organización, etc.
3- Dirección operacional
Son los que toman decisiones prácticas para materializar las indicaciones dadas por los
órganos ejecutivos. Típicamente: responsables de operaciones, de producción, de
explotación y similares.
Del ENS:
1- Responsable de la información
Típicamente a nivel de gobierno. Tiene la responsabilidad última sobre qué seguridad
requiere una cierta información manejada por la Organización. Se concreta la
responsabilidad sobre datos de carácter personal y sobre la clasificación de la
información. A veces este rol lo ejerce el Comité de Seguridad de la Información.
2- Responsable del servicio
Típicamente a nivel de gobierno, aunque a veces baja a nivel ejecutivo. Tiene la
responsabilidad última de determinar los niveles de servicio aceptables por la
Organización. A veces este rol lo asume el Comité de Seguridad de la Información.
3- Responsable de la seguridad
Típicamente a nivel ejecutivo, actuando como engranaje entre las directrices emanadas
de los responsables de la información y los servicios, y el responsable del sistema. A su
vez funciona como supervisor de la operación del sistema y vehículo de reporte al
Comité de Seguridad de la Información. A veces se denomina a esta figura CISO (Chief
Information Security Officer). En lo que respecta al proceso de gestión de riesgos, es la
persona que traslada la valoración de los activos esenciales, que aprueba la
declaración de aplicabilidad de salvaguardas, los procedimientos operativos, los
riesgos residuales y los planes de seguridad.
4- Responsable del sistema
A nivel operacional, toma decisiones operativas como arquitectura del sistema,
adquisiciones, instalaciones y operación del día a día. En lo que respecta al proceso de
gestión de riesgos, es la persona que propone la arquitectura de seguridad, la
declaración de aplicabilidad de salvaguardas, los procedimientos operativos y los planes
de seguridad. También es la persona responsable de la implantación y correcta
operación de las salvaguardas.
5- Administradores y operadores
Son las personas encargadas de ejecutar las acciones diarias de operación del sistema
según las indicaciones recibidas de sus superiores jerárquicos.
Para la implantación de asignación de responsabilidades se suele utilizar la matriz RACI que se

utiliza generalmente en la gestión de proyectos para relacionar actividades con recursos
25
(individuos o equipos de trabajo). De esta manera se logra asegurar que cada una de las
tareas esté asignada a un individuo o a un órgano colegiado los roles distribuidos son:
Rol Descripción
R Responsible Este rol realiza el trabajo y es responsable por su
realización. Lo más habitual es que exista sólo un
R, si existe más de uno, entonces el trabajo
debería ser subdividido a un nivel más bajo,
usando para ello las matrices RACI. Es quien
debe ejecutar las tareas.
A Accountable Este rol se encarga de aprobar el trabajo
finalizado y a partir de ese momento, se vuelve
responsable por él. Sólo puede existir un A por
cada tarea. Es quien debe asegurar que se
ejecutan las tareas.
C Consulted Este rol posee alguna información o capacidad
necesaria para terminar el trabajo. Se le informa y
se le consulta información (comunicación
bidireccional).
I Informed Este rol debe ser informado sobre el progreso y
los resultados del trabajo. A diferencia del
Consultado, la comunicación es unidireccional.
3.1.10.- Estructuración del proyecto
Evaluación de los riesgos (estimación de probabilidades de las amenazas, umbrales de riesgo,

consecuencias de los impactos)
Decisión del tratamiento (eliminación del riesgo, limitar el impacto, implantar nuevas
salvaguardas, contratación de seguros)
Comunicación y consulta (a la Dirección, usuarios).
Seguimiento y revisión (Indicadores propuestos por el Responsable de seguridad,
monitorización)
Documentación de salida: Plan de Seguridad
3.1.11.- Proyecto de Análisis de Riesgos
Actores:
-Órganos colegidos: Comité de seguimiento (responsables de las unidades afectadas), Equipo
de Proyecto (expertos en seguridad), Grupos de Interlocutores (usuarios de las unidades
afectadas).
-Singulares: Promotor (lidera de las primeras fases del proyecto), Director del Proyecto, Enlace
Operacional (interlocutor entre el Comité de Seguimiento y el Grupo de Usuarios).
Tareas:
26
Importante:
Para que el alcance quede determinado debemos concretar:
- los activos esenciales: información que se maneja y servicios que se prestan

- los puntos de intercambio de interconexión con otros sistemas, aclarando qué
información se intercambia y qué servicios se prestan mutuamente
- los proveedores externos en los que se apoya nuestro sistema de información
En la elaboración del AR, se deben realizar:
- una primera entrevista para exponer las necesidades y recabar los datos
- una segunda entrevista para validar que los datos son completos y se han entendido
correctamente
- según las circunstancias puede ser necesaria alguna entrevista adicional si la validación
levanta muchas inexactitudes o dudas
Documentación intermedia
- Resultados de las entrevistas.
- Documentación de otras fuentes: estadísticas, observaciones de expertos y
observaciones de los analistas.
- Documentación auxiliar: planos, organigramas, requisitos, especificaciones, análisis
funcionales, cuadernos de carga, manuales de usuario, manuales de explotación,
diagramas de flujo de información y de procesos, modelos de datos, etc.
- Análisis de los resultados, con la detección de las áreas críticas claves.
- Información existente utilizable por el proyecto (por ejemplo inventario de activos)
- Resultados de posibles aplicaciones de métodos de análisis y gestión de riesgos
realizadas anteriormente (por ejemplo catalogación, agrupación y valoración de
activos, amenazas, vulnerabilidades, impactos, riesgo, mecanismos de salvaguarda,
etc.).
Documentación final
- Modelo de valor: identificación de activos junto con sus dependencias y valoración
propia y acumulada
- Mapa de amenazas junto con sus consecuencias y probabilidad de ocurrencia.
- Documento de aplicabilidad de las salvaguardas.
- Informe de valoración de la efectividad de las salvaguardas presentes.
- Informe de insuficiencias o debilidades del sistema de salvaguardas.
27
- Indicadores de impacto y riesgo, potenciales y residuales.
Nota: la documentación es del mismo estilo del MAR, pero se resume y forma parte
del proyecto. Es decir el MAR puede abarcar todo y el PAR, sólo lo que se va a
realizar de acuerdo al presupuesto,
3.1.12.- Plan de seguridad
Las decisiones que se adoptan para el tratamiento de los riesgos se plasman en un Plan de
Seguridad, estos tienen distintos nombres como plan de mejora de la seguridad, plan director
de seguridad, plan estratégico de seguridad o plan de adecuación (en concreto es el nombre
que se usa en el ENS), según el contexto en el que se hable de él.
En el Plan de Seguridad en MAGERIT v3 se identifican 3 tareas:
En la PS.1 se traducen las decisiones de tratamiento de los riesgos en acciones concretas.
• Objetivos: Elaborar un conjunto armónico de programas de seguridad

• Productos de entrada: Resultados de las actividades de análisis y tratamiento de riesgos,
conocimientos de técnicas y productos de seguridad, y por último catálogos de productos y
servicios de seguridad.
• Productos de salida: Relación de programas de seguridad
• Técnicas, prácticas y pautas: Planificación de proyectos
• Participantes: El equipo de proyecto, especialistas en seguridad y especialistas en áreas
específicas de seguridad.
En última instancia se trata de implantar o mejorar la implantación de una serie de

salvaguardas que lleven impacto y riesgo a los niveles residuales determinados por la
Dirección. Este tratamiento de las salvaguardas se materializa en una serie de tareas a llevar a
cabo. Se deberá detallar en concreto las salvaguardas a implementar, una estimación de
costes, estimación de tiempo de ejecución, un plan de despliegue, un plan de formación, un
sistema de indicadores de eficiencias para el seguimiento de su evolución temporal.
En la PS.2 es el plan de ejecución, que debe ordenarse en el tiempo los proyectos de

seguridad teniendo en cuenta los siguientes factores:
• La criticidad, gravedad o conveniencia de los impactos y/o riesgos que se afrontan, teniendo
máxima prioridad los programas que afronten situaciones críticas.
• El coste del programa.
28
• La disponibilidad del personal propio para responsabilizarse de la dirección (y, en su caso,
ejecución) de las tareas programadas
• Otros factores como puede ser la elaboración del presupuesto anual de la Organización, las
relaciones con otras organizaciones, la evolución del marco legal, reglamentario o contractual,
etc.
Típicamente un plan de seguridad se planifica en tres niveles de detalle:

• Plan director (uno). A menudo denominado “plan de actuación”, trabaja sobre un periodo
largo (típicamente entre 3 y 5 años), estableciendo las directrices de actuación.
• Plan anual (una serie de planes anuales). Trabaja sobre un periodo corto (típicamente entre 1
y 2 años), estableciendo la planificación de los programas de seguridad.
• Plan de proyecto (un conjunto de proyectos con su planificación). Trabaja en el corto plazo
(típicamente menos de 1 año), estableciendo el plan detallado de ejecución de cada programa
de seguridad.
Se debe desarrollar un (1) plan director único, que es el que da perspectiva y unidad de
objetivos a las actuaciones puntuales. Este plan director permite ir desarrollando planes
anuales que, dentro del marco estratégico, van estructurando la asignación de recursos para la
ejecución de las tareas, en particular partidas presupuestarias. Y, por último, habrá una serie
de proyectos que materializan los programas de seguridad.
• Objetivos: Ordenar temporalmente los programas de seguridad

• Productos de entrada: Resultados de las actividades de análisis y tratamiento de riesgos,
resultados de la tarea PS.1 Programas de seguridad.
• Productos de salida: Cronograma de ejecución del plan y Plan de Seguridad
• Técnicas, prácticas y pautas: Método de Análisis de riesgos (MAR) y planificación de
proyectos
• Participantes: Departamento de desarrollo y departamento de compras.
En la PS.3 se lleva a cabo la ejecución del Plan (de Seguridad)
• Objetivos: Alcanzar los objetivos previstos en el plan de seguridad para cada proyecto
planificado
• Productos de entrada: Resultados de las actividades PS.1 (proyectos de seguridad) y PS.2
(planificación) y Proyecto de seguridad que nos ocupa
• Productos de salida: Salvaguardas implantadas, normas de uso y procedimientos de
operación, sistema de indicadores de eficacia y eficiencia del desempeño de los objetivos de
seguridad perseguidos, modelo de valor actualizado, mapa de riesgos actualizado, estado de
riesgo actualizado (impacto y riesgo residuales).
• Técnicas, prácticas y pautas: Método de Análisis de riesgos (MAR) y planificación de
proyectos
• Participantes: El equipo de proyecto para la evolución del análisis de riesgos y el personal
especializado en cada salvaguarda en cuestión.
3.1.13.- Documentación de seguridad
29
Esta evoluciona con el ciclo de vida del sistema:
Fase Documentación de seguridad

Contexto se revisa la política de seguridad
se revisa la normativa de seguridad
Especificación se amplia la normativa de seguridad
Diseño se prepara el índice de procedimientos
operacionales de seguridad
Desarrollo se elaboran los procedimientos operacionales
de seguridad
Aceptación y se validan los procedimientos operacionales
de seguridad
puesta en
operación
Operación se actualizan los procedimientos
Mantenimiento se actualizan los procedimientos
Los Activos a considerar son:
En cada proceso se requiere un análisis de riesgos específico que contemple:

• Los datos que se manejan:
-especificaciones y documentación de los sistemas
-código fuente
-manuales del operador y del usuario
-datos de prueba
• El entorno software de desarrollo:

-herramientas de tratamiento de la documentación: generación, publicación, control de
documentación, etc.
-herramientas de tratamiento del código: generación, compilación, control de versiones, etc.
• El entorno hardware de desarrollo: equipos centrales, puestos de trabajo, equipos de archivo,

etc.
• El entorno de comunicaciones de desarrollo
• Las instalaciones
• El personal involucrado: desarrolladores, personal de mantenimiento y usuarios (de pruebas).
3.1.14.- Consejos prácticos
Se dan una serie de pautas de ayuda para la identificación de activos (los intangibles como
intimidad de los usuarios, buena imagen, etc.), para su modelado (descubrir dependencias y
pensar siempre por dónde se atacarían), se muestran los errores típicos (los datos dependen
de la aplicación y no al revés o el equipo y la aplicación son necesarios), la valoración de
30
activos, en la identificación y valoración de amenazas, la selección de salvaguardas y por
último la realización de aproximaciones sucesivas
Se destacan:
Dependencia de la información y aplicaciones:
No es correcto decir que una aplicación depende de la información que maneja. El

razonamiento de quien tal afirma es que “la aplicación no funcionaría sin datos”, lo que es
correcto; pero no es lo que interesa reflejar. Más bien es todo lo contrario: la [seguridad de la]
información depende de la aplicación que la maneja. En términos de servicio, se puede
decir que la aplicación no vale para nada sin datos. Pero como el valor es una propiedad de la
información, y la información es alcanzable por medio de la aplicación, son los requisitos de
seguridad de la información los que hereda la aplicación. Luego la información depende de la
aplicación. En otras palabras: a través de la aplicación puede accederse a la información,
convirtiéndose la aplicación en la vía de ataque. ( significa depende de).
mal bien
• aplicación → información • información → aplicación
Dependencias de los servicios:
La información que maneja un sistema o bien se pone por encima de los servicios, o bien se
agrupa:
- información → servicios → equipamiento (incluyendo datos, aplicaciones, equipos, `)
- {información + servicios} → equipamiento (incluyendo datos, aplicaciones, equipos, `)
No es correcto decir que una aplicación dependa del equipo donde se ejecuta. El
razonamiento de quien tal afirma es que “la aplicación no funcionaría sin equipo”, lo que es
correcto; pero no es lo que interesa reflejar. Si tanto la aplicación como el equipo son
necesarios para prestar un servicio, se debe decir explícitamente.
mal bien
• servicio → aplicación • servicio → aplicación
• aplicación → equipo • servicio → equipo
3.1.15.- Protección básica
Para aplicar un tratamiento básico se requiere un catálogo de salvaguardas. Existen

numerosas fuentes, entre las que cabe destacar:
• Normas internacionales, por ejemplo [ISO 27002]
31
• Normas sectoriales
• Normas corporativas, especialmente frecuentes en pequeñas delegaciones de grandes
organizaciones.
Las ventajas de protegerse por catálogo son:
• Es muy rápido
• Cuesta menos esfuerzo que ponerse a analizar y decidir
• Se logra un nivel homogéneo con otras organizaciones parecidas.
Los inconvenientes de protegerse por catálogo son:
• El sistema puede protegerse frente a amenazas que no padece, lo que supone un gasto
injustificado
• El sistema puede estar inadecuadamente protegido frente a amenazas reales
En general, con la protección básica no se sabe lo que se hace y, aún estando

probablemente en la senda correcta, no hay medida de si falta o si sobra. No obstante,
puede ser un punto de partida útil para refinar posteriormente.
3.1.16.- Herramienta PILAR
PILAR (Procedimiento Informático Lógico para el Análisis de Riesgos) es un conjunto de

herramientas que ofrece un análisis cuantitativo y cualitativo. Cualitativo: realiza la valoración
de los elementos (activos, amenazas, y salvaguardas) por niveles, desde la irrelevancia hasta
la máxima criticidad. Cuantitativo: son valoraciones numéricas en dinero. PILAR se desarrolló
con especificaciones del Centro Criptológico Nacional.
PILAR contempla las normas: ISO/IEC 27002:2009 “Código de buenas prácticas para la
gestión de la seguridad de la información”, RD 1720/2007 reglamentos de la LOPD de datos de
carácter personal y RD 3/2010 ENS (Modificado por RD 951/2015).
La información es un recurso que, como el resto de los activos, tiene valor para una
organización y por consiguiente debe ser debidamente protegida. La seguridad de la
información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad
del negocio, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las
oportunidades
La información puede existir en muchas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por un medio electrónico, presentada en imágenes,
o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los
medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma
adecuada.
32
Debe haber aparte un proceso de mantenimiento, ya que con el tiempo puede variar la
percepción de un activo, o la estimación de las vulnerabilidades frente a las amenazas.
Realizar el análisis de riesgo es costoso y laborioso. Hay que cuantificar los riesgos y
relativizarlos. Es decir evaluar lo más importante, descartando lo secundario o despreciable. Es
un requisito exigido antes de proceder a la certificación utilizando las normas AENOR UNE.
3.2 LIBRO II CATÁLOGO DE ELEMENTOS
Está sujeto a adecuaciones y cambios. Se incluye notación en formato XML para ser utilizado
por PILAR.
Contiene:
1) Tipos de activos
-Activos esenciales: Tener en cuenta que el activo esencial es la información que maneja
el sistema; o sea los datos y los servicios que presta. Y alrededor de estos datos se
pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan
para poder gestionar dichos datos.
-La arquitectura del sistema. Establece la frontera entre la prestación de un servicio
(proveedor) y el usuario (consumidor).
-Datos e información
-Las claves criptográficas. Se utilizan para proteger el secreto o autenticar las partes.
-Los servicios (función que satisface una necesidad de los usuarios)
-Las aplicaciones informáticas (software) que permiten manejar los datos.
-Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
-Los soportes de información que son dispositivos de almacenamiento de datos.
-El equipamiento auxiliar que complementa el material informático.
-Las redes de comunicaciones que permiten intercambiar datos.
-Las instalaciones que acogen equipos informáticos y de comunicaciones.
-Las personas que explotan u operan todos los elementos anteriormente citados.
2) Dimensiones de valoración de los activos (A, C, I, D, T)

3) Criterios de valoración de los activos (escalas estándar)
4) Amenazas típicas sobre los sistemas de información
-N: Desastres naturales

-I: De origen industrial
33
-E: Errores y fallos no intencionados
-A: Ataques intencionados
-Correlación de errores y ataques
-Nuevas amenazas
-Nivel de la amenaza
5) Salvaguardas a considerar para proteger sistemas de información

-Protecciones generales u horizontales
-Protección de los datos e información
-Protección de las claves criptográficas
-Protección de las aplicaciones (SW)
-Protección de los equipos (HW)
-Protección de las comunicaciones
-Protección de los puntos de interconexión con otros sistemas
-Protección de los soportes de información
-Protección de los elementos auxiliares
-Seguridad física y protección de las instalaciones
-Salvaguardas relativas al personal
-Salvaguardas de tipo organizativo
-Continuidad de operaciones
-Externalización
-Adquisición y desarrollo
6) Notaciones XML, fichas de capturas de datos, modelo de valor, modelos de informes.
Se persiguen dos objetivos:
1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de
ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo
específico del sistema objeto del análisis.
2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos
criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes
equipos.
3.2.1.- Dimensiones de valoración
A- Autenticidad: Propiedad o característica consistente en que una entidad es quién dice ser o
bien que garantiza la fuente de la que proceden (UNE71504:2008).
34
C- Confidencialidad: Propiedad o característica consistente en que la información ni se pone a
disposición, ni se revela a individuos, entidades o procesos no autorizados (UNE-ISO/IEC
27001:2007).
I- Integridad: Propiedad o característica consistente en que el activo de información no ha sido

alterado de manera no autorizada (ISO/IEC 13335-1:2004)
D- Disponibilidad: Propiedad o característica de los activos, consistente en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren. [UNE 71504:2008]
T- trazabilidad: Propiedad o característica consistente en que las actuaciones de una entidad

pueden ser imputadas exclusivamente a dicha entidad. [UNE 71504:2008]
3.2.2.- Criterios de valoración
Para valorar los activos vale, teóricamente, cualquier escala de valores. A efectos prácticos es
sin embargo muy importante que:
- Se use una escala común para todas las dimensiones, permitiendo comparar riesgos.
- Se use una escala logarítmica, centrada en diferencias relativas de valor, que no en
diferencias absolutas y
- Se use un criterio homogéneo que permita comparar análisis realizados por separado.
valor criterio
10 extremo daño extremadamente grave
9 muy alto daño muy grave
6-8 alto daño grave
3-5 medio daño importante
1-2 bajo daño menor
0 despreciable irrelevante a efectos prácticos
3.2.3.- Catálogo de amenazas
Se consideran:
-Desastres naturales (fuego, daños por agua, daños sísmicos, contaminación, etc.)
-De origen industrial (contaminación mecánica, electromagnética, corte de luz, fuego, daños
por agua, fallo en el servicio de comunicaciones, degradación de los soportes de
almacenamiento, amenaza TEMPEST, etc.)
35
-Errores y fallos no intencionados (de usuario, de administrador, de configuración, escapes de
información, difusión de SW dañino, alteración de la información, errores de mantenimiento,
etc.)
-Ataques intencionados (suplantación de identidades, acceso no autorizado, SW dañino, abuso
de privilegios de acceso, uso no previsto, repudio, robo, DoS, etc.)
Se establece la correlación entre errores y ataques (amenazas que son por error, otras que son
intencionales y amenazas que se producen por ambos).
Se establecen plantillas de amenazas por tipo de activo.
Se brinda un catálogo de salvaguardas, desde generales u horizontales hasta para cada tipo
de activo.
3.2.4.- Confidencialidad de los datos
Se hace referencia a:
• LOPD Ley 15/99 y RD 1720/2007 y los niveles básico, medio y alto. (Actualmente Ley 3/2018)
• Ley 9/1968 de Secretos Oficiales. (Asuntos, actos, documentos, datos e información cuyo
conocimiento por personas no autorizadas pueda dañar o poner en riesgo la seguridad y
defensa del Estado). (Secreto, reservado, confidencial y difusión limitada).
• Documentos de la UE: (datos clasificados)
-secreto: (UE Top Secret) información o material cuya divulgación no autorizada pueda
causar un perjuicio excepcionalmente grave a la UE o estados miembros.
-reservado (Secret UE) información o material cuya divulgación no autorizada pueda
causar un perjuicio grave a la UE o estados miembros.
-confidencial (Confidentiel UE) información o material cuya divulgación no autorizada
pueda causar un perjuicio a la UE o estados miembros.
-difusión limitada (Restreint UE) información o material cuya divulgación no autorizada
pueda resultar desventajosa para los intereses de la UE o estados miembros.
3.3 LIBRO III GUÍA DE TÉCNICAS

Se desarrollan técnicas específicas para el análisis de riesgos:
-análisis mediante tablas

-análisis algorítmico
-árboles de ataque (modelado de las diferentes formas de alcanzar un objetivo de B.
Scheneier)
Además técnicas generales:

(Son exactamente igual a las de Métrica III)
1. técnicas gráficas: histogramas, diagramas de Pareto y de tarta

2. sesiones de trabajo: entrevistas, reuniones y presentaciones
36
3. valoraciones Delphi: La técnica o método Delphi11, original de la Rand Corporation
(Research ANd Development), comenzó a aplicarse desde 1948 en un proyecto avanzado
de las Fuerzas Aéreas de los Estados Unidos y la Compañía Douglas de Aviación,
orientándose desde entonces a los estudios prospectivos de investigación espacial. De
forma paulatina la técnica diseñada por la Rand Corporation ha ido ampliando sus campos
de aplicación: así esta "reflexión intuitiva de expertos" (como algún autor denomina al
método Delphi), puede ser utilizada con éxito en multitud de campos y sectores. Delphi es
especialmente adecuada para Magerit
La realizan personas que tienen una opinión relevante en el tema a investigar:
Se dan ejemplos:
1.- Si un activo está valorado en 1.000.000 y sufre una degradación del 90%, el impacto
acumulado es de:
cuantía = 900.000.
(Es decir el calculado tomando en consideración el valor propio de un activo y el valor de los
activos que dependen de él.
2.- Calcular el riesgo acumulado del Activo A, sabiendo que B depende del anterior un 50% y C
depende de B un 50%. Cada uno de los activos está valorado en 10.000 Euros. Podría ser A
un servidor Web, B un servidor de aplicaciones y C un SGDB, considerando que la información
se solicita a A y esta cadena
(A → B) ∧ (B → C) implementa un servicio. Se produce una degradación en A de un 90 %, (o
una eficacia del 10%). El impacto en A es de 10.000 * 0,9 = 9.000 Euros. (o sea el daño).
Frecuencia una vez al año.
[Para las dependencias, siempre hay que empezar poniendo en lo más alto la información y los
servicios. Depende de cada circunstancia el que sea antes la información o los servicios; pero
lo más frecuente es que el valor esté en la información y deba ser respetado por los servicios
que la manejan. Los datos son importantes por su A, C e I y el servicio por su D. En todo caso
hay que ponerse en lugar del atacante, por donde robar la información más fácil o más
vulnerable
37
Para el cálculo se utiliza un análisis algorítmico recomendado en el libro III, en el que se
denomina el coeficiente “grado de dependencia”, que se aplica a las dependencias entre los
activos del modelo cuantitativo que varía entre 0,0 para los activos independientes y 1,0 para
los activos con dependencia absoluta].
Impacto acumulado en A: valor A * degradación + valor B * grado + valor C * grado
Impacto acumulado en A: 10.000 * 0,9 + 10.000 * 0,9 * 0,5 + 10.000 * 0,9 * 0,5 *0,5 = 15.750
La degradación sólo es en A, que es el que sufre el impacto, pero acumula a los activos que
dependen de A con su grado y su degradación que afecta al resto de valores.
Riesgo acumulado: Impacto acumulado * frecuencia= 15.750 * 1= 15.750 €
[El grado de C respecto de B es 50%, pero respecto de A es el 25 %. Grado(A C) = Σi

{grado(A Bi) × grado (Bi C)}
En algunos casos, en lugar de calcular la probabilidad directa, hay que considerar la
probabilidad condicionada de Bayes, en la que la suma no debe ser > 1 cuando se pregunta
por un suceso condicionado, por ejemplo si el sistema falla, cuál es la probabilidad que haya
sido por el elemento x. Es decir que hay que considerar como fallo de la información sin
importar el orden, ABC, ABC, ABC, ABC, ABC, ABC, ABC, o sea: 1 - ABC. Esta se utiliza con
el riesgo con su probabilidad o frecuencia. Notación: A, fallo de A, A, no fallo de A].
3.- Sea un activo A valorado en 1.000, que depende de otro activo B (cuyo valor es de 2.000,
aunque no interesa aquí) en un 30%. Si B es víctima de una amenaza que lo degrada un 90%,
A sufre un impacto repercutido de cuantía: 1.000 x 0,9 x 0,3 = 270
A=1.000
Grado (B)= 0,3
IMPACTO
Degradación 0,9
IMPACTO
B= 2.000
REPERCUTIDO
(Es decir el calculado tomando en consideración el valor propio de un activo y el valor de los
activos de los que depende). Es impacto repercutido porque el impacto no lo sufre él (activo A)
sino un activo del que depende (activo B, en el ejemplo al 30%). El impacto en A es 0, pero el
repercutido a causa de B, 270.
4.- Sea un activo valorado en 1.000.000, que es víctima de una amenaza que lo degrada un
90%. El impacto es de cuantía:
38
1.000.000 x 90% = 900.000 (Impacto= valor del activo * degradación)
Si el activo está expuesto a la amenaza con una frecuencia estimada de 0,1; el riesgo estimado
es de cuantía:
900.000 x 0,1 = 90.000 (Riesgo= impacto * frecuencia)
Si los valores son euros y la frecuencia mide tasa anual (o sea, si 0,1 significa una vez cada 10
años), entonces la pérdida posible de valor es de 900.000 euros (= impacto, si ocurre se pierde
el 90% de una vez), mientras que la pérdida anual prevista es de: 90.000 euros. [Se está
considerando que al menos una vez en 10 años se pierde el 90% de su valor, riesgo=pérdida
anual].
5.- Sea un activo valorado en 1.000.000, que es víctima de una amenaza que lo degrada un
90%. El impacto es de cuantía:
impacto = 1.000.000 x 90% = 900.000
Si la frecuencia anual estimada es de 0,1, el riesgo es de cuantía:
riesgo = 900.000 x 0,1 = 90.000 = pérdida anual estimada [En 10 años al menos una
vez].
Si las salvaguardas tienen un 90% de eficacia sobre el impacto, el impacto residual es:
impacto residual = 900.000 x (1 – 90%) = 90.000 (o el 10% de ineficacia)
Si las salvaguardas tienen un 50% de eficacia sobre la frecuencia, la eficacia combinada de las
salvaguardas es:
frecuencia residual = 0,1 x (1 – 50%) = 0,05 y el riesgo residual es:
riesgo residual = 90.000 * 0,05 = 4.500 (pérdida anual estimada)
riesgo= impacto * frecuencia= (valor activo * degradación) * frecuencia
riesgo residual= impacto residual * frecuencia residual
riesgo residual= (valor activo * degradación residual) * frecuencia residual =
900.000 * 0,1 * 0,05= 4.500 Euros/año (= pérdida anual)
Si las cantidades son euros y las frecuencias anuales, la pérdida posible es de: 90.000 euros
[por año], pero debido a que las salvaguardas rebaja también la frecuencia a la mitad, la
pérdida anual se estima en: 4.500 euros [= riesgo residual, si se tiene en cuenta que las
salvaguardas además de tener una eficiencia del 90% también bajan la tasa de ocurrencia a la
mitad, 1 vez cada 20 años o sea 0,05 anual].
4 AUDITORÍAS DE SEGURIDAD
La conclusión de la auditoría es un informe de insuficiencias detectadas, que no son sino

incoherencias entre las necesidades identificadas en el análisis de riesgos y la realidad
detectada durante la inspección del sistema en operación. El informe de auditoría deberá
dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo
reglamentario, identificar sus deficiencias y proponer las medidas correctoras o
complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en
que se basen los dictámenes alcanzados y recomendaciones propuestas. [RD 1720/2007,
artículo 96.2]
39
En el caso de la Administración pública, existen algunos referentes fundamentales respecto de
los cuales se puede y se debe realizar auditorías:
-Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal. (Para sistemas medio o alto, auditoría interna o externa al menos cada 2 años)
-Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica, modificado por el RD 951/2015, de 23 de
octubre).
- Auditoría regular ordinaria, al menos cada dos años.
- Auditoría extraordinaria si hay cambios sustanciales.
- Para categoría Básica: es autoevaluación por el mismo personal que administra el sistema,
para categorías Media y Alta la auditoria debe ser Externa.
En sistemas de categoría ALTA, se podrá acordar la retirada de operación de alguna
información, de algún servicio o del sistema en su totalidad, hasta la satisfacción de las
medidas correctoras.
5 LA SEGRURIDAD EN EL ENS
La seguridad en el RD 3/2010 de 8 de Enero, Esquema Nacional de Seguridad (modificado por
RD 951/2015 de 23 de octubre)
Artículo 4. Principios básicos del Esquema Nacional de Seguridad.
El objeto último de la seguridad de la información es asegurar que una organización

administrativa podrá cumplir sus objetivos utilizando sistemas de información. En las
decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios
básicos:
a) Seguridad integral.
b) Gestión de riesgos.
c) Prevención, reacción y recuperación.
d) Líneas de defensa.
e) Reevaluación periódica.
f) Función diferenciada.
Artículo 5. La seguridad como un proceso integral.
1. La seguridad se entenderá como un proceso integral constituido por todos los

elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La
aplicación del Esquema Nacional de Seguridad estará presidida por este principio, que
excluye cualquier actuación puntual o tratamiento coyuntural.
2. Se prestará la máxima atención a la concienciación de las personas que intervienen en el
proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de
organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la
seguridad.
40
Artículo 6. Gestión de la seguridad basada en los riesgos.
1. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá
mantenerse permanentemente actualizado.
2. La gestión de riesgos permitirá el mantenimiento de un entorno controlado,
minimizando los riesgos hasta niveles aceptables (*). La reducción de estos niveles se
realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre
la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las
medidas de seguridad. (* no dice asumibles).
Artículo 7. Prevención, reacción y recuperación.
1. La seguridad del sistema debe contemplar los aspectos de prevención, detección y

corrección, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten
gravemente a la información que maneja, o los servicios que se prestan.
2. Las medidas de prevención deben eliminar o, al menos reducir, la posibilidad de que las
amenazas lleguen a materializarse con perjuicio para el sistema. Estas medidas de
prevención contemplarán, entre otras, la disuasión y la reducción de la exposición.
3. Las medidas de detección estarán acompañadas de medidas de reacción, de forma
que los incidentes de seguridad se atajen a tiempo.
4. Las medidas de recuperación permitirán la restauración de la información y los
servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de
seguridad inhabilite los medios habituales.
5. Sin merma de los demás principios básicos y requisitos mínimos establecidos, el sistema
garantizará la conservación de los datos e informaciones en soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de
la información digital, a través de una concepción y procedimientos que sean la base para la
preservación del patrimonio digital.
Artículo 8. Líneas de defensa.

1. El sistema ha de disponer de una estrategia de protección constituida por múltiples capas
de seguridad, dispuesta de forma que, cuando una de las capas falle, permita:
a) Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido
evitarse.
b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
c) Minimizar el impacto final sobre el mismo.
2. Las líneas de defensa han de estar constituidas por medidas de naturaleza

organizativa, física y lógica.
Artículo 9. Reevaluación periódica.
Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su

eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a
41
un replanteamiento de la seguridad, si fuese necesario.
Artículo 10. La seguridad como función diferenciada.
En los sistemas de información se diferenciará el responsable de la información, el

responsable del servicio y el responsable de la seguridad. El responsable de la información
determinará los requisitos de la información tratada; el responsable del servicio determinará
los requisitos de los servicios prestados; y el responsable de seguridad determinará las
decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. La
responsabilidad de la seguridad de los sistemas de información estará diferenciada de la
responsabilidad sobre la prestación de los servicios.
La política de seguridad de la organización detallará las atribuciones de cada
responsable y los mecanismos de coordinación y resolución de conflictos.
.............
Artículo 13. Análisis y gestión de los riesgos.
1. Cada organización que desarrolle e implante sistemas para el tratamiento de la

información y las comunicaciones realizará su propia gestión de riesgos.
2. Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está
expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II, se empleará alguna
metodología reconocida internacionalmente.
3. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo
caso, existirá una proporcionalidad entre ellas y los riesgos.
Artículo 26. Mejora continua del proceso de seguridad.
El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma

continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e
internacional relativos a gestión de las tecnologías de la información.
Artículo 30. Sistemas de información no afectados.
Las Administraciones públicas podrán determinar aquellos sistemas de información a los que
no les sea de aplicación lo dispuesto en el presente de real decreto por tratarse de sistemas no
relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios
electrónicos ni con el acceso por medios electrónicos de los ciudadanos a la información y al
procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007, de 22 de junio.
Artículo 34. Auditoria de la seguridad.
1. Los sistemas de información a los que se refiere el presente real decreto serán
objeto de una auditoria regular ordinaria, al menos cada dos años, que verifique el
cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.
Con carácter extraordinario, deberá realizarse dicha auditoria siempre que se
produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en
las medidas de seguridad requeridas. La realización de la auditoria extraordinaria
determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la
42
realización de la siguiente auditoria regular ordinaria, indicados en el párrafo anterior.
```````````````````````````````````````.
Nota: se han reproducido los artículos más generales o extractos de ellos relacionados con el
tema de la seguridad. No obstante se recomienda al alumno una lectura completa tanto de
este RD, así como el Esquena Nacional de Interoperabilidad, RD 4 /2010 de 8 de enero y las
Normas Técnicas publicadas.
Las normas Técnicas son Resoluciones del ex Ministerio de Política Territorial y Función
Pública, Secretaría de Estado para la función pública del 19-7-2011 (BOE 30-7-2011):
1 Norma técnica de interoperabilidad de Documento Electrónico

2 Norma Técnica de Interoperabilidad de Digitalización de Documentos.
3 Norma Técnica de Interoperabilidad de Expediente Electrónico.
4 Norma Técnica de Interoperabilidad de Política de Firma Electrónica y de certificados de la
Administración reemplazada por Norma Técnica de Interoperabilidad de Política de Firma y
Sello Electrónicos y de Certificados de la Administración (27-10-2016, BOE 3-11-2016).
5 Norma Técnica de Interoperabilidad de requisitos de conexión a la red de comunicaciones de
las Administraciones Públicas españolas.
6 Norma Técnica de Interoperabilidad de Procedimientos de copiado auténtico y conversión
entre documentos electrónicos.
7 Norma Técnica de Interoperabilidad de Modelo de Datos para el Intercambio de asientos
entre las entidades registrales.
8 Norma Técnica de Interoperabilidad de Plataforma de intermediación de datos.
9 Norma Técnica de Interoperabilidad de Relación de modelos de datos.
10 Norma Técnica de Interoperabilidad de Catálogo de estándares.
11 Norma Técnica de Interoperabilidad de reutilización de recursos de la información.
12 Norma Técnica de Interoperabilidad de Política de gestión de documentos electrónicos
13 Norma Técnica de Protocolos de intermediación de datos.
14 Norma Técnica de Reutilización de recursos de la información.
6 NORMAS ISO
Todo se basa en la norma británica de partida, la BS-7799-2. Esta evolucionó dando origen a la
ISO 17799. La ISO 17799 es una guía que contiene consejos y recomendaciones (controles)
que permiten garantizar la seguridad de la información en una empresa dentro de varios
dominios de aplicación. Define una vía sistemática para manejar la información, que es
apropiada para cualquier tipo de empresa, pero no se trataba de una norma directamente
certificable. Esto ha evolucionado a:
-ISO 27002. Código de buenas prácticas. Sugerencias para cada objetivo de

seguridad de los (11 controles de 27.002:2005/2009, 14 controles en ISO 27002:2013)
para la mejora de la seguridad de la información. Sus controles coinciden con diversas
medidas de seguridad del ENS, siendo estas últimas más precisas y tratando la
proporcionalidad de las medidas.
43
-ISO 27001. Sistema de gestión de la seguridad de la información (especificación
de los requisitos de seguridad). Define el SGSI, seleccionando los controles (de la otra
guía) apropiados a la Organización en función de sus necesidades y riesgos. Es la
norma certificable. Habla de los controles sólo en su anexo, estos están definidos en la
27.002.
El ENS no obliga a certificarse mediante ISO 27001.
-ISO 27000. Fundamentos y vocabulario. Referencia normativa obligatoria única que

contiene los términos y el vocabulario utilizado en las restantes.
Se han publicado nuevas Guías ISO 27001:2013 y 27002:2013 que reemplazan a las
anteriores versiones. Causas de la evolución: los estándares ISO se revisan cada 4 o 5 años
y muchos de los controles de la ISO 27002:2009 son obsoletos, así la ISO 27002:2013 tiene
menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente
se cuentan con políticas de control más claras.
En ISO 27001:2013, es la norma certificable: los conceptos que debemos reforzar: Partes
interesadas, Liderazgo, Sensibilización, Comunicación, Capacidades, Propietario del riesgo,
Activos, Gestión de Riesgos y Oportunidades, entre otros.
Los cambios en ISO 27001 (norma para la certificación en SGSI) son:
44
Lo nuevo en ISO 27.001:2013:
-Entendiendo las necesidades y expectativas de las partes interesadas.

-Determinar los objetivos del SGSI.
-Liderazgo y compromiso.
-Acciones para direccionar los riesgos y las oportunidades.
-Los objetivos de seguridad de la información y la planificación para alcanzarlos.
-Sensibilización.
-Comunicación.
-Información documentada.
-Planificación y control operativo.
-Seguimiento, medición, análisis y evaluación.
-Revisión de la Dirección.
-No-conformidades y acciones correctivas.
Descripción de las principales secciones:
0. Introducción
El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque

del proceso” que contenía la anterior versión, en donde se describía el modelo PDCA,
corazón del Sistema de Gestión de Seguridad de la Información (SGSI).
1. Alcance
En esta sección se establece la obligatoriedad de cumplir con los requisitos especificados

en los capítulos 4 a 10 del documento, para poder obtener la conformidad de
cumplimiento y certificarse.
2. Referencias normativas
45
El estándar ISO-27002 ya no es una referencia normativa para ISO-27001:2013, aunque
continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad
(SOA, por sus siglas en inglés). El estándar ISO 27000:2013 se convierte en una
referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y
definiciones.
3. Términos y definiciones
Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la

sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo cual se llevará a cabo en todos
los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía
de términos y definiciones que sea consistente.
4. Contexto de la organización
Esta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la
organización.
• Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de
organización y su alcance.
• Introduce una nueva figura (las partes interesadas) como un elemento primordial para
la definición del alcance del SGSI.
• Establece la prioridad de identificar y definir formalmente las necesidades de las partes
interesadas con relación a la seguridad de la información y sus expectativas con
relación al SGSI, pues esto determinará las políticas de seguridad de la información y
los objetivos a seguir para el proceso de gestión de riesgos.
5. Liderazgo
Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de

manera puntual cómo debe demostrar su compromiso, por ejemplo:
• Garantizando que los objetivos del SGSI y “La política de seguridad de la información”,
anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del
negocio.
• Garantizando la disponibilidad de los recursos para la implementación del SGSI
(económicos, tecnológicos, etcétera).
• Garantizando que los roles y responsabilidades claves para la seguridad de la
información se asignen y se comuniquen adecuadamente.
6. Planificación
Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un
todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos.
Se presentan grandes cambios en el proceso de evaluación de riesgos:

• El proceso para la evaluación de riesgos ya no está enfocado en los activos, las
vulnerabilidades y las amenazas.
• Esta metodología se enfoca en el objetivo de identificar los riesgos asociados
con la pérdida de la confidencialidad, integridad y disponibilidad de la
información.
• El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y
las consecuencias generadas (impacto), si el riesgo se materializa.
• Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario
del riesgo”.
• Los requerimientos del SOA (declaración de aplicabilidad) no sufrieron
transformaciones significativas.
7. Soporte
46
Marca los requerimientos de soporte para el establecimiento, implementación y mejora del
SGSI, que incluye:
• Recursos
• Personal competente
• Conciencia y comunicación de las partes interesadas
Se incluye una nueva definición “información documentada” que sustituye a los términos
“documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar
la documentación correspondiente al SGSI.
El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un
determinado conjunto de estos.
8. Operación
Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la
Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar.
Además, plantea que la organización debe planear y controlar las operaciones y requerimientos
de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos
de seguridad de la información de manera periódica por medio de un programa previamente
elegido.
Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos.

Solo se requiere para identificar los riesgos asociados con la confidencialidad,
integridad y disponibilidad.
9. Evaluación del desempeño
La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las
auditorías internas y las revisiones del SGSI.
Se debe considerar para estas revisiones el estado de los planes de acción para atender no
conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben
realizar estas evaluaciones así como quién debe analizar la información recolectada.
10. Mejora
El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales
tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se
repitan y que las acciones correctivas sean efectivas.
Aquí se observa uno de los cambios más importantes porque las medidas preventivas se
fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite
enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se
tratan. Además, se distingue entre las correcciones que se ejecutan como una respuesta
directa a una “no conformidad”, en oposición a las acciones correctoras que se realizan para
eliminar la causa de la no conformidad.
Los cambios en ISO 27.002 son:
Nota: ISO 27.002:2005 11 dominios numerados del 5 al 15, ISO 27.002:2013, 14 dominios,
denominados ahora “cláusulas de controles”, numerados del 5 al 18).
47
La norma AENOR UNE 27.002:2015 que se denomina “Código de prácticas para los controles
de la seguridad de la información” es la versión traducida y adaptada al mercado español de la
ISO/IEC 27.002:2013. Son 14 dominios, (en 35 categorías de control) y 114 controles [dentro
de cada una de estas categorías]:
Los 14 dominios y sus 35 categorías son:
48
1) Políticas de seguridad de la información. (1 Directrices de la gestión de la seguridad de la
información).
2) Organización de la seguridad de la información. (2 Organización interna, 3 Los dispositivos
móviles y el teletrabajo).
3) Seguridad relativa a los Recursos Humanos. (4 Antes del empleo, 5 Durante el empleo, 6
Finalización del empleo o cambio del puesto de trabajo).
4) Gestión de activos. (7 Responsabilidad sobre los activos, 8 Clasificación de la información, 9
Manipulación de los soportes).
5) Control de acceso. (10 Requisitos de negocio para el control de acceso, 11 Gestión de
acceso de usuario, 12 Responsabilidades del usuario, 13 Control de acceso a sistemas y
aplicaciones).
6) Criptografía. (14 Controles criptográficos)
7) Seguridad física del entorno. (15 Áreas seguras, 16 Seguridad de los equipos)
8) Seguridad de las operaciones. (17 Procedimientos y responsabilidades operacionales, 18
Protección sobre el SW malicioso o malware, 19 Copias de seguridad, 20 Registros y
supervisión, 21 Control de software de explotación, 22 Gestión de la vulnerabilidad técnica, 23
Consideraciones sobre la auditoría de sistemas de la información).
9) Seguridad de las comunicaciones. (24 Gestión de la seguridad de redes, 25 Intercambio de
información).
10) Adquisición, desarrollo y mantenimiento de los sistemas de información. (26 Requisitos de
seguridad en sistemas de información, 27 Seguridad en el desarrollo y en los procesos de
soporte, 28 Datos de prueba).
11) Relación con proveedores. (29 Seguridad en las relaciones con los proveedores, 30
Gestión de la provisión de servicios del proveedor).
12) Gestión de incidentes de seguridad de la información. (31 Gestión de incidentes de
seguridad de la información y mejoras).
13) Aspectos de seguridad de la información para la gestión de la continuidad del negocio. (32
Continuidad de la seguridad de la información, 33 Redundancias).
14) Cumplimiento. (34 Cumplimiento de los requisitos legales y contractuales, 35 Revisiones de
la seguridad de la información).
Existe también la ISO 9004:2000 que hace referencia a las recomendaciones para la mejora
del desempeño en sistemas de gestión de la calidad.
Y la norma ISO/IEC 31000 “Gestión del riesgo. Principios y directrices” provee principios y
directrices genéricas sobre la gestión del riesgo. Se trata de una norma general, de aplicación a
cualquier organización independientemente del tamaño o sector y que no es certificable.
Al tratarse de una norma general, la ISO/IEC 31000 no establece directrices para el tratamiento
de riesgos concretos sino que da orientaciones para la implantación de un sistema de gestión
del riesgo que sea compatible con los estándares de gestión de riesgos particulares de
cualquier sector.
La ISO/IEC 31000 está estructura en tres elementos claves para una gestión de riesgos
efectiva, transparente, sistemática y creíble. Dichos elementos son:
-Principios de la gestión de riesgos

-Marco de trabajo para la gestión de riesgos
-Proceso de gestión de riesgos
49
Principios de ISO 31000: hay que satisfacer 11 principios:
1) Crear y proteger valor para ayudar a alcanzar los objetivos de la organización y mejorar su
desempeño.
2) Estar integrada en los procesos de una organización. Hacer la responsabilidad del riesgo
una responsabilidad de cada gerente.
3) Ser parte de la toma de decisiones. La gestión del riesgo ayuda a la toma de decisiones
evaluando la información sobre las distintas alternativas.
4) Tratar explícitamente la incertidumbre. Trata aquellos aspectos de la toma de decisiones que
no son ciertos, la naturaleza de esa incertidumbre y como puede solucionarse.
5) Ser sistemática, estructurada y oportuna. Contribuye a la eficiencia y a la obtención de
resultados fiables.
6) Basarse en la mejor información disponible. Los insumos del proceso de gestión del riesgo
están basados en fuentes de información fiables.
7) Alinearse al contexto y al perfil de riesgos de la organización.
8) Tener en cuenta factores humanos y culturales. Las capacidades, percepciones o
intenciones humanas pueden facilitar o dificultar el logro de los objetivos de la organización.
9) Ser transparente e inclusiva. Asegurar que la gestión del riesgo sea abierta, visible y
accesible involucrando a las partes interesadas y responsables de la organización.
10) Ser dinámica, iterativa y sensible al cambio. La gestión de riesgos debe ser capaz de
detectar y responder a los cambios de la organización y de su entorno.
11) Facilitar la mejora continua de la organización. Las organizaciones deberían desarrollar e
implementar estrategias para mejorar continuamente el enfoque de la gestión del riesgo.
Marco de trabajo de la ISO 31000: recomienda desarrollar, implementar y mejorar de forma

continua un marco de referencia, cuyo propósito es integrar el proceso de gestión de riesgos en
la dirección, estrategia y planificación, procesos, políticas, valores y cultura de toda la
organización.
7 GLOSARIO
AER Análisis y Evaluación de Riesgos

AGR Análisis y Gestión de Riesgos
BIA Business Impact Analysis: Investigación y evaluación del impacto que
puede producir un ataque en el negocio
CPD Centro de Proceso de Datos
CRR Centro de Respaldo Remoto: puede ser frío (mas de un día para recuperar
la actividad) o caliente (menos de un día)
DRP Disaster Recovery Plan: Plan de Recuperación
EAC Estimated Annual Cost: Coste anual estimado, producto entre probabilidad
de ocurrencia de un suceso y estimación de perdidas
50
ISO-13335 Guía de trazabilidad en datos. Conocer quién accede, sobre qué datos y
qué hace con ellos.
ITSEC Information Technology Security Evaluation Criteria
LOPD Ley Orgánica, 15/1999, de Protección de Datos de Carácter Personal.
Actualmente Ley 3/2018
MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas
NIST National Institute of Standards and Technology
PILAR Herramienta: Procedimiento Informático Lógico para el Análisis de Riesgo
RAID Redundant Array of Independent Disks ó Redundant Array of Inexpensive
Disks
RADIUS Remote Authenticate Dial In User Service. Sistema de autenticación de
usuarios que se encuentran fuera de la red. En la LAN hay un servidor
RADIUS centralizado con los permisos de todos los usuarios. Es un servicio
distribuido y seguro
RD 3 y 4 /2010 Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad
Resiliencia Capacidad de una organización para evitar el fracaso, colapso del negocio o
parte del mismo
SAI Sistema de Alimentación Ininterrumpida
SI Sistema de Información
SLA Service Level Agreement: Acuerdos de Nivel de Servicio, contratos entre
cliente y proveedor de un servicio sobre las calidades mínimas aceptables
del servicio prestado
TEMPEST Transient Electromagnetic Pulse Standard. Emanaciones electromagnéticas
que son susceptibles de interceptación. Ej: TRC. No son: WLAN, ni
microondas.
UPS SAI
VPN Virtual Private Network
8 WEBS RELACIONADAS
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&l
angPae=es&detalleLista=PAE_1276529683497133
9 ANEXO I
Ejemplo: Determinar el riesgo con los siguientes datos ante una amenaza de infección por virus
si La frecuencia 2 veces al año, con degradación al 25% y al 50% respectivamente, en los
siguientes dos casos:
Amenaza de infección por virus si el valor del activo es 30.000 €
51
Impacto por infección de virus: 30.000 €
[Determinación de la amenaza se llama en MAGERIT v3, Valoración de la amenaza en V2 y

vulnerabilidad en V1):
Impacto = amenaza * degradación (o valor del activo * degradación)
a) Impacto1: valor * degradación= 30.000 * 0,25

Impacto2: valor * degradación= 30.000 * 0,5 (suponiendo que la amenaza sea con el 100 %
del valor, o sea no con su valor aminorado al 25%)
Riesgo = impactos * frecuencia = (30.000 x 0,25 + 30.000 x 0,50) * 1 (una vez cada impacto al
año) = 22.500 Euros/año.
Riesgo: 22.500 €. (La frecuencia es 1, una vez al 25% y otra al 50 %).
b) Si se especifica el impacto 30.000, ya se tuvo en cuenta las degradaciones, es decir el

impacto ya interviene las degradaciones son 30.000 € cada una, entonces el riesgo es
destrucción de la base de datos y se entiende que es el 100% ya que es lo mismo que su valor
= impacto * frecuencia = 30.000 * 2= 60.000 Euros/año.
Son 30.000 € cada vez, porque reparado el incidente 1, sobreviene el 2.
La materialización de la amenaza es por ejemplo la destrucción de la base de datos con las

pérdidas antedichas. Posteriormente se debe determinar la capacidad máxima de riesgo
admisible, evaluando la capacidad financiera. Hay que analizar las salvaguardas existentes y
proponer las adecuadas y elaborar el Plan de Contingencias. En todo caso cumplir con las
prácticas de seguridad de las Organizaciones.
10 ANEXO II
ENAC (Entidad Nacional de Acreditación) tiene como misión generar confianza en el mercado
y en la sociedad en general en relación con la competencia técnica de los evaluadores de la
conformidad acreditados, contribuyendo así a la seguridad y el bienestar de las personas, la
calidad de los productos y servicios y la protección del medioambiente, y con ello al aumento
de la competitividad de los productos y servicios españoles y a una disminución de los costes
para la sociedad debidos a estas actividades. Es el organismo acreditador español dentro de la
infraestructura de calidad.
Para llevar a cabo su misión ENAC realiza las siguientes actividades:
• Declarar la competencia técnica de los evaluadores de la conformidad a través de un

sistema de evaluación independiente, imparcial y transparente basados en criterios
internacionales.
52
• Promover la aceptación internacional de las actividades de los evaluadores de la
conformidad acreditados mediante el establecimiento de acuerdos de reconocimiento,
facilitando así los intercambios comerciales en un mercado global.
• Colaborar con la Administración y otras organizaciones usuarias de la acreditación

garantizando que el servicio de acreditación del que van a hacer uso da respuesta a
sus necesidades.
• Ofrecer a los evaluadores de la conformidad un servicio de alto valor añadido que

constituye un rasgo diferenciador en el mercado, siendo garantía de integridad y
competencia, aumentando así sus oportunidades comerciales y la confianza del público
en sus actividades.
• Gestionar el sistema de acreditación con criterios de eficacia y adaptado a las

necesidades de los clientes.
• Promover y difundir los procedimientos y criterios de acreditación facilitando el acceso

de los evaluadores de la conformidad a la acreditación, y dar a conocer el concepto de
acreditación y las actividades de ENAC y de sus acreditados a todas las partes
interesadas.
• Colaborar con las instituciones y organizaciones nacionales e internacionales en los

aspectos relacionados con sus objetivos y fines.
• Tiene carácter no comercial: Debe actuar únicamente por razones técnicas evitando
en todo momento el tomar decisiones por motivos comerciales.
ENAC acredita organismos que prestan servicios de evaluación de la conformidad, sea cual
sea el sector en que se desarrolle su actividad.
• Laboratorios (Ej. Compatibilidad electromagnética)
• AENOR (Asociación Española de Normalización y Certificación)
• Entidades de Inspección (Ej. ITV).
• Entidades de Certificación (Ej. Firma electrónica)
• Verificadores Medioambientales (Ej. Calidad de aguas)
• Verificadores del Comercio de Derechos de Emisión de Gases de Efecto Invernadero
• Organismos de Control (Control oficial de productos alimenticios)
53

Tema - 47-Seguridad de Sistemas 1 AGR PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Tema - 47-Seguridad de Sistemas 1 AGR PDF

Hochgeladen von

Copyright:

Verfügbare Formate

CENTRO DE ESTUDIOS FINANCIEROS

C/ Viriato, 52 y C/ Ponzano, 15 • Telf.: 914 444 920 • 28010 MADRID

TIC-A1 CUERPO SUPERIOR DE SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN DE

Tema 47. Seguridad de Sistemas (1) Análisis y gestión de Riesgos. Herramientas.

1 PLAN DE SEGURIDAD .......................................................................................................... 2

A - Autenticación: Se puede asegurar quién es el originante de la información. Esto se puede

Adicionalmente se pueden considerar otros aspectos adicionales, relacionados con los

- Plan de Seguridad: conjunto de requisitos de seguridad del sistema de información y

- Debe contener una estrategia de prevención (proactiva) y una de corrección (reactiva)

El RD 3/2010 y RD 951/2015, Esquema Nacional de Seguridad, les llama dimensiones de la

Establecer objetivos y estrategias, creando la estructura organizativa adecuada

• Una política de seguridad es un conjunto de principios y reglas donde se

Análisis y tratamiento de riesgos (Gestión de los riesgos), incluye:

• Análisis y Evaluación de Riesgos (AER): aproximación cuantitativa

2 ANÁLISIS GENERAL DE LA SEGURIDAD

La norma ISO 7498-2:1989 (Sistemas de Procesamiento de la Información, Parte 2:

La ISO 17799:2000/2005, ha sido reemplazada por UNE-ISO/IEC 27002.

Nota: en la ISO 27.001:2013 se elimina la visión PDCA.

Los sistemas de gestión de la seguridad de la información (SGSI, ISO 27001:2007) formalizan

El análisis de riesgos es parte de las actividades de planificación, donde se toman decisiones

2.2 POLÍTICAS DE MEDIDAS DE SALVAGUARDA

3 EL MÉTODO MAGERIT V3 DE GESTIÓN DE LA

- MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de

- Por el RD 806/2014 el CSAE se suprime y su parte normativa la realiza la Comisión de

- La razón de ser de MAGERIT está directamente relacionada con la generalización del

-Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se

- MAGERIT permite realizar:

Los resultados del Análisis de Riesgos es la Gestión de Riesgos,

Busca crear confianza en los SI, que no es tanto la ausencia de incidentes

MAGERIT V3 consta de 3 libros:

- I Método con 6 apéndices, o material de consulta:

- II Catálogo de elementos con 4 apéndices:

- III Guía de técnicas. (Engloba a Técnicas específicas y Técnicas generales)

Evolución de Magerit V2 a V3 (Octubre de 2012):

- Mantiene la estructura de los 3 libros de la versión 2:

▪ Activo: recursos del sistema de información, necesarios para que la organización

▪ Amenaza: eventos que pueden desencadenar un incidente, produciendo daños sobre

▪ Impacto: consecuencia en un activo de la materialización de una amenaza. Mide la

▪ Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un

▪ Salvaguarda: Se distingue entre Función o Servicio de Salvaguarda: acción que

3.1 LIBRO I MÉTODO

Define los objetivos directos: a) crear conciencia de la existencia de riesgo en los SI y la

Y los indirectos: Prepara a la organización para la auditoria, evaluación o certificación.

Uniformiza los informes (*):

-Modelo de valor (de los activos de la Organización y sus dependencias)

3.1.1.- Formalización de la confianza de un SI

3.1.2.- La Gestión de los Riesgos

Hay dos grandes tareas a realizar:

El análisis de riesgos considera los siguientes elementos:

Con estos elementos se puede estimar:

En la Gestión de los Riesgos, la ISO 31.000 los estructura:

3.1.3.- Método de Análisis de Riesgos

Paso2: Amenazas. Cuando un activo es víctima de una amenaza, no se ve afectado en todas

Valoración de las amenazas:

- cualitativamente como una escala nominal:

MA muy alta casi seguro fácil

MA 100 muy frecuente a diario

Paso4: Estimación del impacto (materialización de la amenaza). Si no hay salvaguardas

-Acumulados: se calcula sobre un activo teniendo en cuenta el impacto acumulado

Resumen de tipos de salvaguardas:

Eficacia de la protección: las salvaguardas se caracterizan, además de por su existencia, por

Desde el punto de vista técnico:

Desde el punto de vista de operación de la salvaguarda