Anal Is Is Riesgo Surv

Análisis y categorización de Riesgos
Consultoría de seguridad para la adecuación al

Esquema Nacional de Seguridad
© Altran 2012
Tabla de contenidos
1 Introducción.........................................................................................................3
2 Objetivos..............................................................................................................3
3 Procedimiento de análisis de riesgos.....................................................................3
Anexo I - Metodología y criterios para la extensión del plan............................6
Altran Análisis y categorización de Riesgos 02/08/2011 2/13

2 Introducción
La categorización de los riesgos de forma correcta y estandarizada proporciona una
estructura que garantiza un proceso completo de identificación sistemática de los riesgos
con un nivel de detalle uniforme, y contribuye a la efectividad y calidad de la
identificación de riesgos que se debe realizar en toda organización.
3 Objetivos
El presente documento tiene por objetivo describir el procedimiento de análisis de
riesgos por parte de los responsables técnicos de las aplicaciones informáticas que dan
servicio a aquellos servicios de la Universidad sujetos al Esquema Nacional de
Seguridad.
4 Procedimiento de análisis de riesgos

En este apartado se describe de forma genérica el proceso de análisis de riesgos que se
seguirá en las diferentes reuniones con los responsables técnicos de las aplicaciones
que dan soporte a los servicios afectados por el ENS.
Para este análisis de riesgos debe tener en cuenta las siguientes definiciones para las
dimensiones de seguridad previstas en el ENS:
 Confidencialidad no puesto a disposición, ni revelado a individuos,

entidades o procesos no autorizados o que no necesitan conocer la información
 Integridad no modificado de forma no autorizada
 Disponibilidad las entidades o procesos autorizados tienen acceso

cuando es requerido
 Autenticidad se garantiza la exactitud / integridad de los datos
 Trazabilidad permite identificar el origen de los datos y los procesos que

la tratan / modifican
Sobre estas dimensiones de seguridad hay que analizar individualmente como un
incidente que afectara a la seguridad de la información o de los sistemas podría
repercutir en la capacidad organizativa de la Universidad en:

a) Conseguir sus objetivos.
b) Proteger los activos a su cargo.
c) Cumplir sus obligaciones diarias de servicio.
d) Respetar la legalidad vigente.
e) Respetar los derechos de las personas.
En función de si las consecuencias del incidente suponen un perjuicio sobre las
funciones o los activos de la Universidad o de los individuos afectados se categorizará
para cada una de las dimensiones de seguridad como de nivel:
 Bajo, Si el perjuicio se estima como limitado
 Medio, Si el perjuicio se estima como grave
 Alto, Si el perjuicio se estima como muy grave
Los perjuicios y los criterios para la categorización de cada dimensión de seguridad en
función de si se valora un activo de información o un servicio se expresan en la ENS y se
encuentran detallados en el Anexo I de este documento el cual podrá ser empleado por
la Universidad para extender el análisis sobre aquellos servicios que han quedado fuera
del alcance del presente proceso de adaptación, así como los sucesivos servicios que se
pongan en marcha y estén afectados por la ENS. Sin embargo, a grandes rasgos, los
pasos que se han seguido, teniendo en cuenta lo expresado en el Anexo I, son los
siguientes:
1. Valoración de los activos de información. Valorando las dimensiones de

confidencialidad, integridad, autenticidad y trazabilidad y, en función de si es
relevante, la disponibilidad es una dimensión más relacionada con la prestación
de servicios.
2. Valoración de los servicios que emplean los activos de información.

Valorando disponibilidad, autenticidad y trazabilidad pues la confidencialidad e
integridad hereda del análisis de los activos de información.
A raíz de este análisis, se obtiene el nivel de categorización de cada dimensión en
cuanto a activos de información y servicios que emplean estos activos siendo la
categorización general del activo o del servicio la calificación más alta asignada a
cualquiera de las sus dimensiones.

Finalmente, hay que relacionar cada activo de información con los servicios que la
emplean ya la vez con los sistemas de información que apoyan. A partir de aquí, para
categorizar los sistemas de información, este adquirirá el nivel más alto que tenga
cualquiera de las dimensiones de cualquiera de los activos de información o servicios a
los que dé soporte.
Disponer de la categorización de los sistemas de información a nivel de dimensión es
relevante para la aplicación de las medidas de seguridad pues existen medidas que sólo
son de aplicación si determinadas dimensiones de seguridad han sido calificadas con un
cierto nivel y otros que son de aplicación en función de la categorización general del
sistema.
La categorización de los sistemas de información permitirá obtener la Declaración de
Aplicabilidad de Controles, información que se introducirá y se mantendrá sobre la
herramienta PILAR.

5 Anexo I - Metodología y criterios para la extensión del
plan
El procedimiento a seguir para realizar el análisis de riesgos respecto a un nuevo servicio
contempla la identificación de los activos de información que utiliza y los sistemas de
información que apoyan tal y como se ha visto a lo largo del documento. La Universidad
podrá extender este análisis para nuevos servicios teniendo en cuenta que debe analizar
el nivel de perjuicio que un incidente de seguridad podría causar considerando los
siguientes criterios.
Tabla 1. Nivel de perjuicio que puede causar un incidente de seguridad.
Prejuicio Bajo Medio Alto

La capacidad para atender las Reducción de Reducción Anulación
obligaciones fundamentales, forma significativa
aunque éstas se sigan apreciable
implementando
El sufrimiento de un daño para los Menor Significativo Muy grave /
activos de la organización irreparable
El incumplimiento de alguna ley o Formal, con Material o Formal Grave
regulación carácter sin carácter
reparable reparable
Causar un prejuicio a algún Menor, Significativo de Grave, de
individuo (derechos de los fácilmente reparación difícil reparación difícil
ciudadanos) reparable o imposible
Sobre esta base deberá realizar un análisis primero de los activos de información y luego
sobre los servicios, tal y como se ha dicho en el apartado 3 del informe:
1. Valoración de los activos de información. Valorando las dimensiones de

confidencialidad, integridad, autenticidad y trazabilidad y, en función de si es

relevante, la disponibilidad es una dimensión más relacionada con la prestación
de servicios.
2. Valoración de los servicios que emplean los activos de información.

Valorando disponibilidad, autenticidad y trazabilidad pues la confidencialidad e
integridad hereda del análisis de los activos de información.
A continuación se incluyen una serie de tablas a emplear para la categorización de los
activos de información. Están dispuestas en el mismo orden en el que se debe practicar
el análisis de riesgos.
Hay que tener en cuenta que la disponibilidad sólo se analizará si se estima relevante ya
que se trata de una dimensión que tiene que ver en la prestación de servicios.
CATEGORIZACIÓN DE LOS ACTIVOS DE INFORMACIÓN
Tabla 2. Criterios a tener en cuenta en cuanto a las dimensiones de seguridad

cuando se analizan las dimensiones de seguridad en el ámbito de los activos de
información
Nivel de seguridad Se establecerá en función de las consecuencias que

requerido tenga
Confidencialidad Revelación a personas no autorizadas o que no necesitan

conocer la información
Integridad Modificación por alguien no autorizado a hacerlo
Autenticidad Información no autentica o que no se puede verificar la fuente
Trazabilidad No poder rastrear quien ha accedido o modificado cierta
información
Disponibilidad Que una persona autorizada no pueda acceder al sistema
cuando lo requiere
Tabla 3.Criterios a tener en cuenta para determinar el nivel de confidencialidad de

un activo de información.
Alta Media Baja

Lo tiene que conocer un Sólo quien lo necesita para No lo tienen que conocer
número muy reducido de su trabajo, con autorización personas alienas, todas las de
personas explicita la Organización
Disposición legal o administrativa: ley decreto, orden, reglamento…
La revelación causaría… Daño importante aunque Algún perjuicio
substancial
Un grave daño, de difícil o
imposible reparación
Un incumplimiento grave de Incumplimiento material o Incumplimiento leve de una
una norma formal de una norma norma
Pérdidas económicas elevadas Pérdidas económicas Pérdidas económicas
o alteraciones financieras importantes apreciables
significativas
Un daño sobre la reputación Un daño sobre la reputación Un daño sobre la reputación
grave con los ciudadanos o importante con los apreciable con los ciudadanos
otras organizaciones ciudadanos o otras o otras organizaciones
organizaciones
Podría desembocar en Protestas públicas Múltiples protestas
protestas masivas (alteración (alteración del orden individuales
seria del orden público) público)
Tabla 4.Criterios a tener en cuenta para determinar el nivel de integridad de un

activo de información.
Alta Media Baja

La manipulación o Daño importante aunque Algún perjuicio
modificación no autorizada substancial
causaría…
Un daño grave, de difícil o
significativas
organizaciones

Tabla 5.Criterios a tener en cuenta para determinar el nivel de autenticidad de un

Alta Media Baja

La falsedad en origen o Daño importante aunque Algún perjuicio
destinatario causaría… substancial
significativas
organizaciones
Tabla 6.Criterios a tener en cuenta para determinar el nivel de trazabilidad de un

Alta Media Baja

La incapacidad para rastrear …un error importante …errores
un acceso a la información…
Impediría o dificultaría
notablemente la capacidad de
descubrir un error grave

Impediría o dificultaría Impediría o dificultaría Impediría o dificultaría la
notablemente la capacidad para notablemente la capacidad capacidad para perseguir
perseguir delincuentes para perseguir delincuentes delincuentes
Facilitaría enormemente la Facilitaría la comisión de Dificultaría la capacidad para
comisión de delitos graves delitos graves perseguir delitos
Tabla 7.Criterios a tener en cuenta para determinar el nivel de disponibilidad de un

Alta Media Baja

La indisponibilidad de la Daño importante aunque Algún perjuicio
información causaría… substancial
organizaciones
Tiempo objetivo de 4 < TOR < 24 horas 1 < TOR < 5 días
recuperación – TOR < 4 horas
A continuación se incluyen una serie de tablas a emplear para la categorización de los

servicios. Están dispuestas en el mismo orden en el que se debe practicar el análisis de
riesgos.
Hay que tener en cuenta que la confidencialidad y la integridad hereda del análisis de los
activos de información que intervienen en el servicio ya que son dimensiones que tienen
que ver con la información y no con la prestación de servicios.
CATEGORIZACIÓN DE LOS SERVICIOS

Tabla 8.Criterios a tener en cuenta para determinar el nivel de disponibilidad de un
Alta Media Baja

La indisponibilidad de la Daño importante aunque Algún perjuicio
información causaría… substancial
organizaciones
Tabla 9. Criterios a tener en cuenta en cuanto a las dimensiones de seguridad

cuando se analizan las dimensiones de seguridad en el ámbito de los servicios
Nivel de seguridad Se establecerá en función de las consecuencias que

requerido tenga
Disponibilidad Que una persona autorizada no pueda acceder al sistema cuando lo

requiere
Autenticidad El servicio es usado por personas indebidamente identificadas que
no se pueden garantizar quien son
Trazabilidad No poder rastrear quien ha accedido al servicio
Confidencialidad Se hereda de la valoración de la información que trata el servicio
Integridad Se hereda de la valoración de la información que trata el servicio
Tabla 10.Criterios a tener en cuenta para determinar el nivel de disponibilidad de
un servicio.

Alta Media Baja
La detención del servicio Daño importante aunque Algún perjuicio
causaría… substancial
organizaciones
El TOR mide el tiempo máximo que un servicio puede estar interrumpido sin causar
perjuicio al Organismo. Se tendrá en cuenta la siguiente escala donde "h" se refiere a
horas y "d" en días:
TOR < 4h 4h – 1d 1d – 5d > 5d
Nivel Alto Medio Bajo Sin valorar
Hay que tener en cuenta que los requisitos de disponibilidad pueden variar según el
momento en que se ofrece el servicio. En función del periodo se aplicarán las medidas
de seguridad correspondientes garantizando que siempre se apliquen las medidas
pertinentes o superiores, nunca inferiores.
Tabla 11.Criterios a tener en cuenta para determinar el nivel de autenticidad de un

servicio.
Alta Media Baja

La falsedad de origen o Daño importante aunque Algún perjuicio
destinatario causaría… substancial
significativas
organizaciones
Tabla 12.Criterios a tener en cuenta para determinar el nivel de trazabilidad de un

servicio.
Alta Media Baja

La incapacidad para rastrear …un error importante …errores
un acceso al servicio …
Impediría o dificultaría
notablemente la capacidad de
descubrir un error grave
Impediría o dificultaría Impediría o dificultaría Impediría o dificultaría la
notablemente la capacidad para notablemente la capacidad capacidad para perseguir
perseguir delincuentes para perseguir delincuentes delincuentes
Facilitaría enormemente la Facilitaría la comisión de Dificultaría la capacidad para
comisión de delitos graves delitos graves perseguir delitos

Anal Is Is Riesgo Surv

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Anal Is Is Riesgo Surv

Enviado por

Direitos autorais:

Formatos disponíveis

Análisis y categorización de Riesgos

Consultoría de seguridad para la adecuación al

Altran Análisis y categorización de Riesgos 02/08/2011 2/13

4 Procedimiento de análisis de riesgos

 Confidencialidad no puesto a disposición, ni revelado a individuos,

 Integridad no modificado de forma no autorizada

 Disponibilidad las entidades o procesos autorizados tienen acceso

 Autenticidad se garantiza la exactitud / integridad de los datos

 Trazabilidad permite identificar el origen de los datos y los procesos que

Altran Análisis y categorización de Riesgos 02/08/2011 3/13

1. Valoración de los activos de información. Valorando las dimensiones de

2. Valoración de los servicios que emplean los activos de información.

Altran Análisis y categorización de Riesgos 02/08/2011 4/13

Altran Análisis y categorización de Riesgos 02/08/2011 5/13

Tabla 1. Nivel de perjuicio que puede causar un incidente de seguridad.

Prejuicio Bajo Medio Alto

1. Valoración de los activos de información. Valorando las dimensiones de

Altran Análisis y categorización de Riesgos 02/08/2011 6/13

2. Valoración de los servicios que emplean los activos de información.

CATEGORIZACIÓN DE LOS ACTIVOS DE INFORMACIÓN

Tabla 2. Criterios a tener en cuenta en cuanto a las dimensiones de seguridad

Nivel de seguridad Se establecerá en función de las consecuencias que

Confidencialidad Revelación a personas no autorizadas o que no necesitan

Tabla 3.Criterios a tener en cuenta para determinar el nivel de confidencialidad de

Alta Media Baja

Altran Análisis y categorización de Riesgos 02/08/2011 7/13

Tabla 4.Criterios a tener en cuenta para determinar el nivel de integridad de un

Alta Media Baja

Altran Análisis y categorización de Riesgos 02/08/2011 8/13

Tabla 5.Criterios a tener en cuenta para determinar el nivel de autenticidad de un

Alta Media Baja

Tabla 6.Criterios a tener en cuenta para determinar el nivel de trazabilidad de un

Alta Media Baja

Altran Análisis y categorización de Riesgos 02/08/2011 9/13

Tabla 7.Criterios a tener en cuenta para determinar el nivel de disponibilidad de un

Alta Media Baja

A continuación se incluyen una serie de tablas a emplear para la categorización de los

Altran Análisis y categorización de Riesgos 02/08/2011 10/13

Alta Media Baja

Tabla 9. Criterios a tener en cuenta en cuanto a las dimensiones de seguridad

Nivel de seguridad Se establecerá en función de las consecuencias que

Disponibilidad Que una persona autorizada no pueda acceder al sistema cuando lo

Altran Análisis y categorización de Riesgos 02/08/2011 11/13

TOR < 4h 4h – 1d 1d – 5d > 5d

Nivel Alto Medio Bajo Sin valorar

Tabla 11.Criterios a tener en cuenta para determinar el nivel de autenticidad de un

Alta Media Baja

Altran Análisis y categorización de Riesgos 02/08/2011 12/13

Tabla 12.Criterios a tener en cuenta para determinar el nivel de trazabilidad de un

Alta Media Baja

Altran Análisis y categorización de Riesgos 02/08/2011 13/13

Você também pode gostar