!

"#$%&%& () *%)&+,&
!(-%"%&./01%2" 3 4)+5/%(0( )" *)()&
65%& 7%+5)$ 80/190 *5%:





!"#$%&%& () *%)&+,&

El pioposito ue la seguiiuau ue infoimacion es aseguiai la continuiuau uel
negocio y minimizai uaos a la fiima pievinienuo y minimizanuo el impacto
ue inciuentes ue seguiiuau.

La gestion ue seguiiuau ue infoimacion peimite que la infoimacion sea
compaitiua, aseguianuo la pioteccion ue la infoimacion y touos los activos
compienuiuos en el alcance uel sistema.


La noima 0NE-IS0IEC 27uu1 especifica los iequisitos paia establecei,
implantai, uocumentai y evaluai un Sistema ue uestion ue Seguiiuau ue
Infoimacion (SuSI) ue acueiuo a la Noima IS0 27uu2 uentio uel contexto ue
los iiesgos iuentificauos poi la oiganizacion.


El anlisis ue iiesgos es la paite funuamental ue un SuSI. Las oiganizaciones
que acuuen a una ceitificacion ue una teiceia paite, basauas en la noima IS0
27uu1, iequieien meuii y evaluai los iiesgos paia aseguiai que se tiene
implantauo una eficaz seguiiuau ue infoimacion.







El anlisis ue iiesgos uebe sei piopoicionauo a la natuialeza y valoiacion ue
los activos y ue los iiesgos a los que los mismos estn expuestos.

El anlisis ue iiesgos se uefine como la utilizacion sistemtica ue la
infoimacion uisponible, paia iuentificai peligios y estimai los iiesgos.

Bay que tenei en cuenta que la iealizacion ue un anlisis ue iiesgos es un
pioceso laboiioso, ya que paia caua activo se van a valoiai touas las
amenazas posibles que pueuen afectaile, la vulneiabiliuau ue caua una ue
las amenazas y el impacto que causaiia la amenaza en caso ue que ocuiia, ue
este mouo, se calcula el valoi uel iiesgo paia un activo en concieto.


El pioceso ue evaluacion se compone ue vaiias fases que vamos a analizai
ms auelante




Las 6 fases uel pioceso ue evaluacion son:

-()".%/%010%2" 3 41&10%2" () !0.%5,&

0n activo es algo que tiene valoi o utiliuau paia la oiganizacion, sus
opeiaciones y su continuiuau. Los activos necesitan pioteccion paia
aseguiai las coiiectas opeiaciones uel negocio y la continuiuau ue la
empiesa.

Caua activo uebe estai claiamente iuentificauo y valoiauo apiopiauamente,
asi como su piopietaiio y clasificacion ue seguiiuau acoiuaua en la
oiganizacion. Los activos pueuen clasificaise ue la siguiente maneia:

!0.%5,& () %"/,*610%2": bases ue uatos y aichivos ue uatos,
uocumentacion uel sistema, manuales ue usuaiio, mateiiales ue
entienamiento, pioceuimientos opeiativos ue apoyo, planes ue
continuiuau.

7,086)".,& %69*)&,&: uocumentos impiesos, contiatos,
lineamientos, uocumentos ue la compaia, uocumentos que contienen
iesultauos impoitantes uel negocio.


!0.%5,& () &,/.:1*): Softwaie ue aplicacion, softwaie ue sistemas,
heiiamientas ue uesaiiollo.

!0.%5,& /;&%0,&: Equipos ue comunicacion y computacion, meuios
magnticos, otios equipos tcnicos.

<)*&,"1&: Peisonal, clientes, susciiptoies.

-61+)" 3 *)98.10%2" () $1 0,691=;1

>)*5%0%,&: Seivicios ue computacion y comunicacion, otios seivicios
tcnicos.



?1 .1&10%2" () 10.%5,& es un factoi impoitante en la evaluacion uel iiesgo,
ya que es necesaiio evaluai su "valoi" en timinos ue su impoitancia paia el
negocio paia asi pouei piotegeilos ue la foima coiiecta.


-()".%/%010%2" () @)A8)*%6%)".,& () >)+8*%(1(

Los iequeiimientos ue seguiiuau en cualquiei oiganizacion, gianue o
pequea, son ueiivauos ue ties fuentes esenciales y uebieian ue
uocumentaise en un SuSI.

El conjunto nico !" $%"&$'$( ) *+,&"-$./,/!$!"( 0+" 1+!/"-$&
!"#$%!&#' )*'+%+#$ $%,&%-%"#.%/#$ 0& 1# 02)'0$# $% !"3''%0'#&4

Los iequeiimientos contiactuales que ueben satisfaceise poi la
oiganizacion.

El conjunto nico ue piincipios, objetivos y iequeiimientos paia el
piocesamiento ue infoimacion que una oiganizacion ha uesaiiollauo
paia apoyai las opeiaciones uel negocio y sus piocesos.


0na vez que estos iequeiimientos ue seguiiuau han siuo iuentificauos, es
iecomenuable foimulailos en timinos ue iequeiimientos ue
confiuencialiuau, integiiuau y uisponibiliuau.

-()".%/%010%2" () !6)"1B1& 3 C8$")*1D%$%(1()&

Los activos estn sujetos a muchos tipos ue amenazas. 0na amenaza
tiene el potencial ue causai un inciuente no ueseauo geneianuo asi uao
al sistema, la oiganizacion y a los activos. El uao pueue ocuiiii poi un
ataque uiiecto o inuiiecto a la infoimacion oiganizacional.

Paia la iuentificacion ue vulneiabiliuaues sobie la platafoima ue
tecnologia, se utilizan heiiamientas como listas ue veiificacion y
heiiamientas ue softwaie que ueteiminan vulneiabiliuaues a nivel uel
sistema opeiativo y fiiewall:

>)+8*%(1( E;&%01!

Nonitoieo ambiental o Contiol ue acceso
Besasties natuiales o Contiol ue incenuios o Inunuaciones

>)+8*%(1( )" $1& 0,")F%,")& 1 -".)*").G , <,$;.%01& )" )$ E%*):1$$

vPN
Beteccion ue intiusos

>)+8*%(1( )" $1 %"/*1)&.*80.8*1 () 0,68"%010%,")&G , @,8.)*&

Switches o Fiiewall o Bubs
RAS

>)+8*%(1( )" >%&.)61 H9)*1.%5,&IJ"%FK L%"(,:&M

0na evaluacion ue la posibiliuau ue ocuiiencia ue las vulneiabiliuaues y
las amenazas, uebe sei efectuaua en esta fase.
Los uos puntos impoitantes a consiueiai son:

?1 9*,D1D%$%(1( () 8"1 16)"1B1G
La piobabiliuau que una vulneiabiliuau potencial pueua sei explotaua
poi una fuente ue amenaza la pouemos clasificai en alta, meuia-alta,
meuia, meuia-baja y baja.

La 61+"%.8( uel impacto sobie el sistema, meuiuo poi el nivel ue
uegiauacion ue uno o combinacion ue los siguientes elementos:
Confiuencialiuau, uisponibiliuau, integiiuau.


N1$08$, () $,& @%)&+,& () >)+8*%(1(

El objetivo ue la evaluacion uel iiesgo es la ue iuentificai y evaluai los
iiesgos. Los iiesgos son calculauos ue una combinacion ue valoies ue activos
y niveles ue iequeiimientos ue seguiiuau.

La evaluacion ue iiesgos envuelve la sistemtica consiueiacion ue los
siguientes aspectos:

N,"&)08)"0%1&: El uao al negocio como iesultauo ue un
incumplimiento ue seguiiuau ue infoimacion consiueianuo las
potenciales consecuencias ue peiuiuas o fallas ue confiuencialiuau,
integiiuau y uisponibiliuau ue infoimacion.

<*,D1D%$%(1(O La ieal posibiliuau ue que tal incumplimiento ocuiia.


>)$)00%2" () H90%,")& !9*,9%1(1& () 4*1.16%)"., ()$ @%)&+,

Cuanuo los iiesgos han siuo iuentificauos y evaluauos, el siguiente paso paia
la oiganizacion es iuentificai y evaluai la ue foima apiopiaua ue como tiatai
los iiesgos.
La uecision uebe sei tomaua basaua en los activos involuciauos y sus
impactos en el negocio.


El estnuai ->H PQRRSOPRRT, iequieie que la oiganizacion en ielacion al
tiatamiento uel iiesgo siga cuatio posibles acciones:

Aplicacion ue apiopiauos contioles paia ieuucii los iiesgos.

Aceptai objetivamente los iiesgos paitienuo uel supuesto que
satisfacen la politica ue la oiganizacion y su ciiteiio paia la aceptacion
uel iiesgo.

Evitai los iiesgos

Tiansfeiii el iiesgo asociauo a otias paites.


La oiganizacion poi caua uno ue los iiesgos tiene que evaluai estas opciones
paia iuentificai la ms auecuaua. Los iesultauos ue esta activiuau ueben sei
uocumentauos y luego la fiima uebe uocumentai su "9$1" () .*1.16%)".,
()$ *%)&+,UG
Bay uos opciones en la iuentificacion y evaluacion uel iiesgo: V5%.1* )$
*%)&+, 3 4*1"&/)*)"0%1 ()$ *%)&+,G

V5%.1* )$ *%)&+,: Besciibe cualquiei accion uonue los activos son
tiansfeiiuos a situaciones ue iiesgo. Cuanuo se evala la posibiliuau
ue "evitai el iiesgo" esto uebe teneise en cuenta entie las necesiuaues
ue la empiesa y las monetaiias.

4*1"&/)*)"0%1 ()$ *%)&+,O Esta opcion pueue sei vista como la mejoi
si es imposible ieuucii los niveles uel iiesgo. La tiansfeiencia uel
iiesgo pouiia logiaise contiatanuo una poliza ue seguio, poi ejemplo.
0tia posibiliuau pouiia sei la utilizacion ue "teiceias peisonas", es
uecii, uelegai cieitas taieas a una subcontiata poi caua uno ue los
iiesgos. La iesponsabiliuau poi los seivicios teicei izauos siempie
iecae en la empiesa. Eso jams se uelega.




>)$)00%2" () N,".*,$)& 91*1 @)(80%* $,& @%)&+,& 1 8" W%5)$ !0)9.1D$)

Paia ieuucii el iiesgo evaluauo uentio uel alcance uel SuSI consiueiauo,
contioles ue seguiiuau apiopiauos y justificauos ueben sei iuentificauos y
seleccionauos.
La seleccion ue los contioles uebe sei sustentaua poi los iesultauos ue la
evaluacion uel iiesgo. Las vulneiabiliuaues con las amenazas asociauas
inuican uonue la pioteccion puuieia sei iequeiiua y que foima uebe tenei.



Cuanuo se seleccionan contioles paia la implementacion, un numeio ue
factoies ueben sei consiueiauos, incluyenuo:

0so ue contioles
Tianspaiencia uel usuaiio
Ayuua otoigaua a los usuaiios paia uesempeai su funcion
Relativa fueiza ue los contioles
Tipos ue funciones uesempeauas.


@)(800%2" ()$ @%)&+, 3 &8 !0)9.10%2"

Bespus ue iuentificai los contioles auecuauos paia ieuucii un iiesgo
especifico uebe evaluaise en cuanto los contioles ieuuciin el iiesgo. Esta
ieuuccion ue iiesgo es el uenominauo X*%)&+, *)&%(81$U.

El iiesgo iesiuual es uificil ue evaluai, si el iiesgo iesiuual es inaceptable,
una uecision comeicial uebe sei tomaua sobie "como manejai la situacion".

Siempie tenemos que sabei que los iiesgos estn piesentes, poi ello es
necesaiio ievisai la implementacion! # $%& '(&)$*+,%& ,( $%& -%.*'%$(& /+'+
!"#$%&'#(' '*$%+$, -+. %/0 1/#(,/%'0 "&2%'&'#($3/0 estn opeianuo ue
foima coiiecta. Este es funuamentalmente el 9*,92&%., () $1& *)5%&%,")&
+)*)"0%1$)& paia pouei tenei un contiol concieto uel pioceso uel iiesgo en
la fiima y pouei iniciai la accion coiiectiva cuanuo sea necesaiio.


Y).,(,$,+;1& () !"#$%&%& 3 C1$,*10%2" () *%)&+,&G

vamos a vei en este apaitauo una ue las metouologias ms usauas paia
iealizai un anlisis y valoiacion ue iiesgos.

Y!ZV@-4

NAuERIT es la metouologia ue anlisis y gestion ue iiesgos uesaiiollaua poi
un equipo uel Comit Tcnico ue Seguiiuau ue los Sistemas ue Infoimacion y
Tiatamiento Automatizauo ue Batos Peisonales uel consejo Supeiioi ue
Auministiacion Electionico. El nombie ue NAuERIT viene ue #etouologia
ue Anlisis y uestion ue Riesgos ue los Sistemas ue Infoimacion ue las
auministiaciones pblicas.

La iazon ue sei ue Nageiit est uiiectamente ielacionaua con la
geneializacion uel uso ue los meuios electionicos, infoimticos y
telemticos, que supone unos beneficios eviuentes paia los usuaiios; peio
tambin ua lugai a cieitos iiesgos que ueben minimizaise con meuiuas ue
seguiiuau que geneien confianza en el uso ue tales meuios.




Se han iealizauo ties veisiones ue NAuERIT. La piimeia ue ellas uata ue
1997, la segunua veision ue 2uuS y en 0ctubie ue 2u12 se publico una
ultima veision NAuERIT vS.

Est compuesta ue S libios:

- El piimeio se uenomina Y[.,(,, y uesciibe las taieas a iealizai paia
acometei pioyectos ue anlisis y gestion ue iiesgos apoitanuo una
guia paia el uesaiiollo ue anlisis ue iiesgos, aspectos picticos y
consejos paia facilitai la taiea.

- El segunuo libio N1.#$,+, () )$)6)".,&, iecoge el catlogo ue
elementos implicauos en el anlisis ue iiesgos tales como: una
categoiizacion ue activos, ciiteiios paia valoiacion ue activos como
piocesos ue negocio o uatos, catlogo ue amenazas y un catlogo ue
meuiuas a implantai paia mitigai los iiesgos a los que estn
expuestos los sistemas ue infoimacion. Poi ltimo inuica como
uesaiiollai un infoime.

- El teicei libio, Z8;1 () 4[0"%01&, piopoiciona tcnicas paia el
anlisis ue iiesgos tales como: Algoiitmos ue anlisis, iboles ataque,
anlisis coste-beneficio, uiagiamas ue flujo, tablas ue piocesos o
tcnicas ue tiabajo. El uso ue la heiiamienta asociaua a esta
metouologia, <-?!@, implementa muchas ue estas soluciones
tcnicas.

Como hemos mencionauo antes, la heiiamienta <-?!@, es una aplicacion
implementaua en java basaua en la teiceia veision ue la metouologia
NAuERIT, uesaiiollaua poi el Centio Ciiptologico Nacional y con un gian
uso en la auministiacion pblica espaola.

La heiiamienta peimite la iealizacion ue anlisis ue iiesgos bajo un enfoque
tanto cualitativo como cuantitativo (empleanuo valoies simbolicos o
economicos iespectivamente) y la iealizacion ue anlisis ue impacto en el
mbito ue la continuiuau ue negocio.


Besaiiollaion uos nuevas veisiones, ya que fue ciiticaua poi la complejiuau
ue su uso, que facilitan la ejecucion uel anlisis ue iiesgos.

- <%$1* \1&%0O enfocauo a su uso en Pymes, simplifica paicialmente la
heiiamienta y iebaja el coste ue licencia

- Y%0*,<%$1*: enfocauo a facilitai y a automatizai el pioceso ue anlisis
ue iiesgos.