Un activo de Sistemas de Información (SI) es todo aquello

que una entidad considera valioso por contener, procesar o

generar información necesaria para el negocio de la
misma.

Según International Standard Organization (ISO):

Algo que tiene valor para la organización.

ISO/IEC 13335-1:2004

Los Sistemas de Información han de ser eficaces (cumplir con

los objetivos de la organización) y eficientes (el menor uso de
recursos posible para lograr su cometido).
Todo Sistema de Información que usa la organización deberá:
Salvaguardar la propiedad de la información.
La propiedad de los datos son siempre de la organización.
Mantener la integridad de los datos y la información.
Garantizar que la información no ha sido alterada por terceros
Asegurar la confidencialidad de la información.
Sólo es accesible y entendible por quien tiene derechos sobre
ella.
Garantizar la disponibilidad de la información.
Disponer de la información en el momento en que la precisa.
Llevar a cabo los fines de la organización
Utilizar eficientemente los recursos.
Los SI deben ser eficientes y eficaces; por lo
que todo SI se basa en:

Planificación
Controles
Procedimientos
Estándares
Sistemas de seguridad
La ausencia de alguno de los elementos, puede dar lugar
a diversos riesgos, con impacto en la organización.

 Caos
 Desorden
 Fraude
 Datos erróneos
 Discontinuidad de las actividades
 Perdidas de tipo económico, de imagen, etc.
 Altos costes
El plan TIC debe dar respuesta a las necesidades del
negocio expuestas en el plan estratégico de la
organización y ser coherente con este.

Alineamiento del Plan Estratégico y del Plan de Las

TIC.

Por lo que ambos planes han de retroalimentarse y

estar alineados para asegurar el adecuado gobierno
de las TIC.
Debe existir la coordinación entre el
CIO (Chief Information Officer) y el
CEO (Chief Executive Officer)

La tecnología está al servicio del negocio; los avances

tecnológicos han de ser entendidos y digeridos por la
organización a través de su plan TIC, para extraer de
ellos todo su potencial y contribución al negocio.

Sin condicionar el negocio o hacerlo dependiente de la

tecnología.
(Lo que en la mayor parte de los casos acontece).
Gobierno corporativo es el comportamiento empresarial
ético por parte de la dirección y gerencia, para la
creación y entrega de los beneficios para todas las
partes interesadas (stakeholders).

Gobierno de TI es parte integral del gobierno corporativo

y consiste en liderar y definir las estructuras y procesos
organizativos que aseguran que las Tecnologías de la
Información y Comunicaciones de la empresa soportan y
difunden la estrategia y los objetivos de la organización

La responsabilidad es del Comité de Dirección y

Gerencia.
 Comparativa entre Gobierno Corporativo y Gobierno TI
Gobierno Corporativo
Dirección Estratégica
Gestión de Desempeño
Gestión de Riesgos
Políticas y Responsabilidad
Control y Responsabilidad
Planificación Estratégica SI Gobierno de TI
Alineación de inversiones de
Alineamiento estratégico
Sistemas de Información con
objetivos de negocio
Entrega de valor de
Explotación de las SI para negocio mediante TIC,
ventaja competitiva explotar oportunidades y
maximizar beneficios
Gestión de desempeño,
Dirigir de manera eficaz y eficiente
utilización responsable de
los recursos de SI
los recursos de las TIC
Gestión de riesgos,
gestión apropiada de
riesgos de TIC
Desarrollo de arquitecturas y
políticas tecnológicas
ISACA (Information Systems Audit and Control Association) y
el ITGI (IT Gorvernance Institute),
Desarrollaron un Marco de Objetivos de
Control para Información y Tecnologías
Relacionadas

(COBIT, en inglés: Control Objectives for Information and

related Technology)
Que es una guía de mejores prácticas dirigida a
la gestión de Tecnología de la Información (TI).
La auditoría informática es una pieza clave en la
medición de la eficacia de los controles establecidos
por la organización, lo que permite asegurar el
cumplimiento de los objetivos del negocio, porque
permite:

 Recomendar prácticas a la alta dirección, para

mejorar la calidad y efectividad de las iniciativas y
controles de gobierno de TI implantados.

 Asegurar el cumplimiento de las iniciativas de

gobierno de TI.
La auditoría informática necesitará evaluar los aspectos relacionados con
el gobierno de TI.

El alineamiento de la función de TI con la misión, la visión, los

valores, los objetivos y las estrategias de la organización.

El logro por parte de la función de TI de los objetivos de eficiencia y

eficacia establecidos por el negocio.

Los requisitos legales, de seguridad y los propios de la empresa.

El entorno de control diseñado y puesto en marcha por la organización.

Los riesgos intrínsecos dentro de TI, su probabilidad de ocurrencia y su

grado de impacto en el negocio
Para informar a la alta dirección, el auditor informático,
requiere:

 Definir el alcance de la auditoría, incluyendo áreas y aspectos

funcionales a cubrir.

 Establecer el nivel de dirección al que se entregará el informe

de auditoría.

 Garantizar el derecho de acceso a la información al a auditor,

poniendo a su disposición la información necesaria, además
la colaboración de todos los departamentos de la empresa,
así como de los terceros relacionados.
Es una evaluación sistemática de las diversas
operaciones y controles de una organización, para
determinar si se siguen políticas y procedimientos
aceptables, si se siguen las normas
establecidas, si se utilizan los recursos
eficientemente y si se han alcanzado los objetivos de
la organización Lawrence B. Sawyer (1985)

Ajustándose a esto cuando la auditoría evalúa a un

sistema de información tiene la misión de
determinar de forma objetiva, basada en evidencias, el
uso eficiente de los Sistemas de Información, la
conformidad a una norma.
Los resultados de una auditoría han de estar basados en
evidencias

El auditor debe obtener evidencia suficiente y competente,

mediante la aplicación de procedimientos de inspección y
procedimientos analíticos, para fundamentar en las
conclusiones de la auditoría

La suficiencia mide la cantidad de la evidencia, es decir, si

sustenta las conclusiones o hay un margen de
incertidumbre; es la relevancia de la evidencia.

La competencia mide la calidad de la evidencia y el grado en

que está basada en hechos demostrables; Es la
características de neutralidad, autenticidad y verificabilidad
de la evidencia.
El auditor obtiene evidencias mediante
• Inspecciones (documentales o físicas)
• Observación
• Entrevistas
• Procedimientos analíticos

Las evidencias pueden ser:

• Físicas: obtenidas a través de inspección y observación.
• Testimoniales: obtenidas en las entrevistas.
• Documentales: obtenidas en inspecciones y entrevistas.
• Analíticas: obtenida a través de cálculos, comparaciones,
tendencias, etc.
El término Auditoría se aplica a evaluaciones de diferentes temas; en
función de su contenido, objeto y finalidad se establecen Auditorías:

• Auditoría Financiera: Revisa los controles y los registros de

contabilidad de una empresa, cuya conclusión es un dictamen a
cerca de la corrección de los estados financieros de la misma.
• Auditoría Cumplimiento: Verifica e informar sobre el cumplimiento
de las disposiciones, normativas y leyes laborales (civiles,
estatutarias, tributarias, comerciales, de seguridad social e
industrial, medio ambiente, etc.).
• Auditoría de Gestión Evaluar el grado de eficacia en el logro de los
objetivos previstos por la organización y la eficiencia en el uso de
los recursos.
• Auditoría Informática.
• Auditoría Forense.
• Auditoría Electoral.
La auditoria informática
Es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema informático
• Salvaguarda los activos.
• Mantiene la integridad de los datos
• Lleva a cabo los fines de la organización
• Utiliza eficientemente los recursos.
Ron Weber: (1988).

Es importante mencionar que el proceso de auditoría

informática no debe contemplar únicamente los
aspectos técnicos, sino también los aspectos de
gestión, planificación y organizativos.
Una definición general sería:

Auditoría Informática es un examen sistemático,

profesional, ético y objetivo que analiza y evalúa
procesos y controles informáticos a través de un
muestreo y hallazgos, donde se incluye
evidencia para dar una opinión razonable de lo
evaluado en una organización o empresa el
mismo que será presentado en un informe de
auditoría con sus respectivo dictamen y
recomendaciones.
Desde otro enfoque, se clasifican en:

Auditoría Interna
Realizada por personal vinculado laboralmente a la
institución, pero independiente al ámbito auditado.

Auditoría Externa
Realizada por personal no vinculado a la empresa
auditada.

Las de auditorías se basan en los principios de

independencia, sistematicidad y objetividad.
Revisar el funcionamiento, configuración y
desempeño de

• Procesos.
• Sistemas.
• Tecnologías.
• Organizaciones enteras en el uso TI.
• Organizaciones enteras.
• Unidades de negocio.
• Las funciones.
• Los procesos de negocio.
• Los servicios.
• Los sistemas.
• Los componentes de infraestructura o tecnología.
• Los centros de datos y otras instalaciones físicas.
• Infraestructura de red.
• Telecomunicaciones.
• Sistemas operativos.
• Bases de datos.
• Almacenamiento.
• Virtualización de servidores y entornos.
• Servicios y operaciones externas.
• Los servidores web y de aplicaciones.
• Las aplicaciones de paquetes de software.
• Las interfaces de usuario y aplicaciones.
• Dispositivos móviles.
• Conocimientos de TI
• Habilidades y capacidades y la experiencia en
general y específicas de TI
• Principios de auditoría
• Prácticas
• Procesos

Las organizaciones necesitan entrenar o contratar

personal especializado en controles de TI; con la
experiencia en operaciones de TI necesaria, para llevar
a cabo con eficacia las auditorías de TI.
Estos requisitos son necesario para:

Las organizaciones cuyos los programas de auditoría

de TI se centran en la realización de auditorías
internas.

Así como para las empresas de servicios

profesionales que llevan a cabo auditorías externas o
proporcionan a auditores o expertos para apoyar las
actividades de auditoría interna de las
organizaciones.
El objetivo del auditor informático es el de evaluar
y comprobar en determinados momentos del
tiempo los controles y procedimientos
informáticos más complejos, objeto del análisis,
desarrollando y aplicando metodologías de
auditoría

La auditoría informática emplea las mismas

técnicas descritas de:

Inspección, Observación, Entrevistas,

Documentación y los procedimientos analíticos
propios de cualquier tipo de auditoría.
En la auditoría informática, las técnicas de inspección
usan de software de inspección capaz de automatizar
la verificación de los Sistemas de Información.

La auditoría informática no se denomina así por el uso

de medios informáticos; sino porque el objeto auditado
son los Sistemas de Información, las TIC.

No es posible verificar manualmente procedimientos

informatizados, por lo que se debe emplear software
de auditoría CAATS (Computer Assisted Audit
Techniques).

.
Llevar a cabo la auditoría
• Planificar la auditoría.
• Llevar a cabo las distintas
tareas definidas en las fases
de la auditoría.
• Escuchar y observar capacidad
de oír.
• Gestionar las desviaciones y
riesgos que pudieran
producirse durante la
auditoría.
Informar a la Dirección
• El diseño y funcionamiento de
los controles implantados.
• La fiabilidad de la información
suministrada
• La suficiencia de las evidencias
o la medida en la que sustentan
las conclusiones de la auditoría.
• El auditor presentará a la
Dirección de la organización un
informe de auditoría
 FINANZAS Y NEGOCIOS Y
CONTABILIDAD LEYES

A U DITORÍA
GENERAL

AUDITOR
DE TI

CERTIFICACÓN

INGENIERÍA DE SISTEMAS Y
TECNOLOGÍAS DE LA INFORMACIÓN
La auditoría informática debe poseer, un
cuerpo de conocimientos, normas, técnicas y
buenas practicas dedicadas a la evaluación y
revisión independiente de la confidencialidad e
integridad de la información y la disponibilidad
de los servicios afines.
Se debe hace énfasis en la revisión
independiente, debido a que el auditor debe
mantener independencia mental, profesional y
laboral para evitar cualquier tipo de influencia
en los resultados de la misma, por lo que se
establecen equipos multidisciplinarios
formados por:
• Ingenieros Informático
• Abogados especializados en auditoría.

• Auditores.
El control interno informático es el conjunto de
medidas o controles que la organización
implementa para asegurar en el día a día el
adecuado alineamiento de las TIC y el negocio.

Los directivos y empleados deben actuar de

manera PROACTIVA antes de que surjan los
problemas, garantizando que los controles
internos estén diseñados para enfrentar el futuro;
asegurando integridad, confidencialidad y
disponibilidad.

La misión del control interno informático es

asegurarse de que las medidas implantadas por
cada responsable sean correctas y válidas.
• Garantizar diariamente que todas las actividades de
los Sistemas de información sean realizadas
cumpliendo los procedimientos, estándares y normas
fijadas por la Dirección de la organización o Dirección
de Informática, o por ambos, así como los
requerimientos legales.

• Definir, implantar y ejecutar controles que permitan

comprobar la eficiencia y eficacia de los servicios
informáticos.

• Usar eficientemente de los recursos por parte de los

Sistemas de Información.
• Difundir adecuadamente el conocimiento, las
normas y procedimientos.

• Colaborar y apoyar el trabajo de la Auditoría

Informática.

• Controlar las actividades operativas en todos

los entornos informáticos
(redes, computadores, servidores, comunicaciones, Bases de Datos, etc.)
 Control Interno
Auditoría Informática
Informático
• Personal con conocimientos en TI.
SEMEJANZAS

• Verificación del cumplimiento de los controles internos,

normativas y procedimientos para los SI, que estableció la
Dirección Informática o la Dirección General

• Análisis de los controles • Análisis de un momento

en el día a día informático Determinado
• Informa a la Dirección • Informa a la dirección General
DIFERENCIAS

del Departamento de de la Organización

Informática
• Personal interno • Personal interno y/o externo

• El alcance de sus • Tiene cobertura sobre todos

funciones es únicamente los componentes de los
sobre el Departamento Sistemas de Información de la
de Informática Organización
Los controles internos pueden ser:

• Voluntarios. La organización los diseña a fin de mejorar los

procesos.

• Obligatorios. Son impuestos por autoridades externas o

reguladoras.

• Manuales. Son ejecutados por personas.

• Automáticos. Son llevados a cabo a través de sistemas de

información automatizados.

• Generales. Van dirigidos al entorno donde operan otros controles.

• De aplicación. Cuando operan integrados en el software.

Por su naturaleza los controles pueden ser: Preventivos,
Detectivos , Correctivos y Alternativos o Compensatorios.

Preventivos. Actúan sobre la causa de los riesgos con el fin de

disminuir su probabilidad de ocurrencia.

Detectivos. Se diseñan para descubrir un evento,

irregularidad o resultado no previsto, alertan sobre la
presencia de riesgos y permiten tomar medidas inmediatas,
pudiendo ser manuales o automáticos.

• Accionan alarmas
• Bloquean la operación de un sistema, monitorizándolo de
forma exhaustiva,
• Dejándolo en cuarentena
• Alertan a las autoridades.
Correctivos. Permiten el restablecimiento de la actividad
después de actuar un eventos no deseable y la
modificación de las acciones que propiciaron su
ocurrencia.

Son más costosos porque actúan cuando se han

presentado los hechos, lo que implica pérdidas para la
organización.
La mayoría son de tipo administrativo y requieren
políticas o procedimientos para su ejecución.

Alternativos o Compensatorios. Basados en revisión y

comparación de las salidas del computador contra los
documentos originales
Segregación de funciones
(Perfil de entrada de datos y perfil de autorización de
los datos.)

Sistemas de seguridad lógica

(Procedimiento de /monitorización / mantenimiento
de antivirus).

Controles de validación y razonabilidad.

(Controles dentro de los programas/aplicativos).
Listados de excepciones
(Administradores de base de datos con el máximo
privilegio)
Pistas de auditoría
(audit trail, log del sistema operativo, log del sistema de
base de datos, etc.)
Batch totales
(Control de totales en los programas)
Hash totales
(Control de verificación que los programas fuente /
documento ha sido modificado)
Técnicas de copia de respaldo (back-up) y
recuperación.
Reproceso.
Recálculos.
Modificación de sistemas o programas.
Contribuyen a asegurar el correcto
funcionamiento de los sistemas de información,
creando un entorno adecuado para el correcto
funcionamiento de los controles de aplicación.
La eficacia de los controles generales no es
garantía por sí sola de la eficacia de los
controles de aplicación. Sin embargo, la
ineficacia de los controles generales muy
probablemente implicará la ineficacia de los
controles de aplicación.
La efectividad de todos los controles depende de
los controles de organización y operación, es
decir, de cómo la organización ha definido su
estructura y operación.
• Políticas y planes estratégicos y de TI.
• Gestión del presupuesto.
• Definición de las estructuras organizativas para
la adecuada segregación de funciones.
• Marco procedimental.

Son algunos de estos controles de cuya eficacia

depende buena parte de la eficacia del resto de
controles generales y de los controles de
aplicación.
Son los controles de los que se dota una
organización para regular el
• El qué
• El cómo

• El quién

De las actividades de desarrollo y sistemas del

CPD. (Centro de procesamiento de Datos)
Identifican
• Estándares

• Buenas prácticas de referencia.

• Marco de trabajo para llevar a cabo estas
acciones.
• Procedimientos descriptivos de cada acción y
de los responsables de llevarla a cabo.
Los controles de desarrollo
• Permitir alcanzar la eficacia del sistema de
información,
• Eficiencia en el uso de recursos,

• Integridad de los datos,

• Protección de los recursos
• Cumplimiento con las leyes y regulaciones.
Controles de Seguridad lógica y física:
Estos controles deben preservar :

CONFIDENCIALIDAD CONFIDENTIALITY
INTEGRIDAD INTEGRITY
DISPONIBILIDAD AVAILABILITY

La Triada C.I.A.
Confidencialidad:
Asegura que solo quien esté autorizado puede
acceder a la información.
Integridad:
Asegura que la información y sus métodos de
proceso son exactos y completos.
Disponibilidad
Asegura que los usuarios autorizados tienen
acceso a la información y a sus activos asociados
cuando lo requieren.
Otros Controles de Hardware y Software:

• El plan de adquisición de equipos.

• Plan de gestión de la capacidad de los equipos.
• Controles para el uso eficaz de los recursos de
computación:
o Calendario de carga de trabajo.
o Programación de tareas.
Las aplicaciones tendrán controles que garanticen
la entrada, actualización, validez y mantenimiento
completos y exactos de la información.
Entrada de datos: procedimientos de
conversión y de entrada, validación y corrección
de datos.

Proceso de datos: para asegurar que no se

dan de alta, modifican o borran datos no
autorizados para garantizar la integridad de los
mismos mediante procesos no autorizados.

Salida de datos: para la gestión de errores en las

salidas, etc.
Son los controles que cubren las áreas funcionales
ya definidas para un CPD.

Son controles que pudieran ser específicos no de

un sistema o aplicación o generales a la
organización, sino particulares de una de las áreas
funcionales del CPD.
Son controles que debe tener un producto
informático comercial, de forma que cumpla con
la definición de Control Interno Informático de la
organización.
Requieren de ayuda por parte de un auditor legal.
En el sector tecnológico las
• Leyes de Propiedad Intelectual.

• Leyes Protección de Datos.

• Leyes de Servicios de Sociedad de Información

• Leyes de Comercio Electrónico.

Deben existir controles para garantizar su

cumplimiento.
Para diseñar e implantar los controles, Control
Interno Informático de la organización ha de
tener siempre en mente es
EL PRINCIPIO BÁSICO DE PROPORCIONALIDAD,
cuantificando:
• Coste de diseño,
• Coste de implantación,

• Coste monitorización,

• Coste de mantenimiento del control

Coste del impacto que tiene el riesgo sobre la
organización en el caso de que la amenaza
explotará la vulnerabilidad del activo, es decir, en
el supuesto que se materializara el riesgo.

Coste potencial de la no implementación del

control.

Siendo la regla de Oro de Control Interno

Riesgo vs. Control vs. Coste
La seguridad de la información es uno de los
objetivos prioritarios de cualquier organización,
pues es uno de los activos más importantes con los
que cuentan y siempre ha estado amenazada.

En la antigüedad los romanos cifraban sus mensajes

con el procedimiento de Cifrado del Cesar

Actualmente (TIC) ha incrementado el número de

amenazas a las que está expuesta, así como la
probabilidad de dichas amenazas se materialicen
Tradicionalmente se considera que la seguridad de
la información consta de las 5 dimensiones de la
seguridad:

Confidencialidad [C]
Integridad [I]
Disponibilidad [D]
Autenticidad [A]
Trazabilidad [T]

Además es necesario tener en cuenta

La garantía el acceso y la Conservación de la
información
Es la garantía de que la información NO ES
CONOCIDA por personas, organizaciones o
procesos que NO DISPONEN DE LA
AUTORIZACIÓN necesaria.
Es la garantía de que la información no se
ha transformado ni modificado de forma no
autorizada durante su:
 Procesamiento.
 Transporte.

 Almacenamiento.

Permite además detectar las modificaciones

que pudieran haberse producido
Es la garantía de que la información es
accesible en el momento en el que los
usuarios autorizados:
 Personas
 Organizaciones

 Procesos

Tienen necesidad de acceder a ella.

Es la garantía de la identidad del usuario que
origina una información.

Permite conocer con certeza quién envía o

genera una información.
Es la garantía de que en todo momento se
podrá determinar:

 Quién lo hizo?
 Cómo lo hizo?
 Cuándo lo hizo?
 Dónde lo hizo?
Forman parte del ciclo de vida de la Información
Es necesario contemplar todas las fases del ciclo
de vida en cualquier tipo de soporte:

 Papel
 Digital
Deben contrarrestarse todas las amenazas a las que
está expuesta la información, por medio de la
implantación de salvaguardas (controles)

 Minimizando la probabilidad de las amenaza.

 Disminuyendo el impacto en la organización, si
no se evitado la materialización de una amenaza.
 Estableciendo procedimientos que permitan una
recuperación inmediata de los daños sufridos y
volver a la normalidad.
 Usando mecanismos que permitan modificar las
salvaguardas de acuerdo a la experiencia adquirida
en los incidentes anteriores.
Las organizaciones enfrentan factores internos y
externos que hacen incierto el cumplimiento de los
objetivos.
La Gestión de riesgo ayuda la organización a lograr
sus objetivos y tomar decisiones correctas,
contribuyendo a mejorar la gestión
La gestión de riesgo debe tomaren cuenta los
factores internos y externos; así como el
comportamiento humano y aspectos culturales.

ISO 31000:2018 ayuda a GESTIONAR LOS RIESGOS

Los principios dan una
orientación sobre la
gestión de riesgo eficaz
y eficiente.

Son muy importantes y

deben considerarse al
establecer el Marco de
Referencia y Los
Procesos de Gestión de
Riesgo de la
Organización
Integrada
La gestión de riesgo es parte de todas las actividades de
la organización
Estructurada y exhaustiva
Contribuye a tener resultados coherentes y comparables
Adaptada
El contexto interno y externo se relaciona con los
objetivos de la organización
Inclusiva
Colaboración de las partes interesadas permite considerar
su punto de vista, conocimiento y percepciones
Dinámica
Anticipar, detectar, reconocer y responder a los cambios y
eventos de forma apropiada y oportuna
Mejor Información disponible
Debe basarse en la información histórica y actualizada, así
como a las expectativas futuras, la información debe ser clara,
oportuna y disponible a los interesados
Factores humanos y culturales
Este comportamiento influye en todos los aspectos de gestión
de riesgo (Metro Japón)

Mejora continua
La gestión de riesgo debe mejorar permantemente de acuerdo
al aprendizaje y a la experiencia
Ayuda a la organización
a integrar la gestión de
riesgo todas las
funciones y actividades

El Desarrollo de marco
de referencia implica
integrar, diseñar
implementar, valorar y
mejorar la gestión de
riesgo en toda la
organización
Liderazgo y compromiso

La alta dirección deberá asegurar la que gestión

de riesgo esté integrada en todas las actividades
de la organización:
 Definiendo una política que de una línea de acción
para la gestión de riesgo
 Asegurando los recursos para gestionar el riesgo
 Asignando autoridad, responsabilidad y obligación
de rendir cuentas en todos los niveles de la
organización.
Integración

La gestión de riesgo debe ser parte y no estar

separada de:
 El propósito
 La gobernanza
 El liderazgo
 El compromiso
 La estrategia
 Los objetivos y
 Las operaciones de la organización
Diseño

 Compresión de la Organización y de su contexto

 Articulación del compromiso con la gestión de
riesgo
 Asignación de roles, autoridades, responsabilidades
y obligación de rendir cuentas
 Asignación de recursos
 Establecimiento de comunicación y consulta
Implementación

• Desarrollo de un plan incluyendo plazos y recursos

• Identificación de dónde, cuándo, cómo y quién toma

las diferentes decisiones en toda la organización

• Modificación de los procesos aplicables en la toma

de decisiones

• Asegurar que las disposiciones para gestionar el

riesgo son comprendidas y puestas en práctica
Evaluación

Medir periódicamente el desempeño del marco de

referencia de la gestión de riesgo, en relación a
Propósito
 Planes de implementación
 Indicadores
 Comportamiento esperado

Determinar si el marco de referencia de la gestión del

riesgo permanece idónea para lograr los objetivos de
la organización
Mejora

 La organización deberá realizar un seguimiento

continuo y adaptar el marco de referencia en función de
los cambios internos y externos, mejorando su valor.
 Cuando se identifiquen oportunidades de mejora, la
organización deberá desarrollar planes y tareas para
lograr estas mejoras.
 Una vez implementadas las mejoras deberán contribuir
al fortalecimiento de la gestión del riesgo
Implica la aplicación
sistemática de políticas,
procedimientos y
prácticas a las
actividades de:
• Comunicación y
consulta
• Establecimiento del
contexto
• Evaluación
• Tratamiento
• Seguimiento
• Revisión y Monitoreo
• Registro e informes
Comunicación y consulta
Las comunicaciones y las consultas con las partes
interesadas externas e internas se deberían realizar en
todas las etapas del proceso de gestión del riesgo.

Por ello, en una de las primeras etapas se deberían

desarrollar los planes de comunicación y consulta.

Estos planes deberían tratar temas relativos al riesgo

en sí mismo, a sus causas, a sus consecuencias (si se
conocen), y a las medidas a tomar para tratarlo.

https://www.weforum.org/reports/the-global-risks-
report-2017
Alcance , contexto y criterios
Mediante el establecimiento del contexto, la
organización articula sus objetivos, define los
parámetros externos e internos a tener en
cuenta en la gestión del riesgo, y establece el
alcance y los criterios de riesgo para el proceso
restante.

• Contexto externo
• Contexto interno
• Contexto del proceso de gestión del riesgo
Valoración del riesgo

Es el proceso global de:

• Identificación del riesgo

• Análisis del riesgo
• Evaluación del riesgo
Identificación del riesgo

Debería identificar los orígenes de riesgo, las áreas de impactos,

los sucesos (incluyendo los cambios de circunstancias), así como
sus causas y sus consecuencias potenciales.

El objetivo de esta etapa consiste en generar una lista de riesgos

exhaustiva basada en aquellos sucesos que podrían crear, mejorar,
prevenir, degradar, acelerar o retrasar el logro de los objetivos.

Es importante identificar los riesgos asociados al hecho de no

buscar una oportunidad.

Es esencial realizar una identificación exhaustiva, ya que un riesgo

que no se identifica en esta etapa no se incluirá en análisis
posteriores.
Identificación del riesgo

Debe incluir los riesgos, tanto si su origen está o no bajo el control

de la organización.

Debe incluir el examen de los efectos en cadena de consecuencias

particulares, incluyendo los efectos en cascada o acumulativos.

Considerar un amplio rango de consecuencias, incluso aunque el

origen o la causa del riesgo no puedan ser evidentes.

Hay que considerar las posibles causas y escenarios que muestran

las consecuencias que se pueden producir.

Todas las causas y consecuencias significativas se deberían tener

en consideración.
Análisis del riesgo

Se debe comprender:
• Naturaleza, magnitud y sus consecuencias

• Probabilidad de eventos y las consecuencias

• Complejidad e interconexión

• Factores relacionados con tiempo y

volatilidad
• Eficacia de los controles existentes
• Niveles de sensibilidad y confianza
Evaluación del riesgo

El propósito de la evaluación del riesgo es apoyar a

la toma de decisión, implica comparar resultados

 No hacer nada
 Considerar opciones
 Realizar un análisis adicional
 Mantener los controles existentes
 Reconsiderar los objetivos
Tratamiento de riesgos

Implica la selección y la implementación de una o

varias opciones para modificar los riesgos.

Una vez realizada la implementación, los tratamientos

proporcionan o modifican los controles.

El tratamiento del riesgo es un proceso cíclico de:

Evaluar un tratamiento del riesgo;
Decidir si los niveles de riesgo residual son tolerables
Si no son tolerables, generar un nuevo tratamiento del riesgo
Evaluar la eficacia de este tratamiento.
Tratamiento de riesgos

Pueden incluir:
• Evitar el riesgo decidiendo no iniciar o continuar
con la actividad que causa el riesgo
• Aceptar o aumentar el riesgo a fin de perseguir
una oportunidad
• Eliminar la fuente del riesgo
• Modificar la probabilidad
• Modificar las consecuencias
• Compartir el riesgo con otras partes (incluyendo
los contratos y la financiación del riesgo)
• Retener el riesgo en base a una decisión
informada
Monitoreo y revisión

Deberían planificarse en el proceso de

tratamiento del riesgo y someterse a una
verificación o una vigilancia regular.

Esta verificación o vigilancia puede ser

periódica o eventual.

Las responsabilidades del seguimiento y de la

revisión deberían estar claramente definidas.
Grabación e informes

• Las actividades de gestión del riesgo deben

ser documentadas y trazables.
• Comunicar las actividades y su resultado a la
organización
• Proporcionar información para la toma de
decisiones
• Mejorar las actividades de gestión de riesgo
Análisis de Riesgos

1
Análisis de Riesgos

Análisis de Riesgos

"Corresponde al proceso de identificar los riesgos, desde el punto de vista

de la seguridad, determinando su magnitud e identificando las áreas que
requieren medidas de salvaguarda”.
Análisis de Riesgos

Gestión global de Seguridad de un Sistema de Información

Fases:

Análisis y Gestión de Determinar Objetivos y

Riesgos Política de Seguridad

Establecer Planificación
de Seguridad

Implantar Salvaguardas

Monitorización y gestión
de Cambios en la
Seguridad
Análisis de Riesgos

¿Qué es un Análisis de Riesgos?

Documento donde se describe,

para su posterior análisis y
? ayuda a la toma de decisiones...
¿Qué hay en el sistema?
¿Qué amenazas le afectan?
¿Qué hay que hacer para no
verse afectado por ellas?

Plan Director de Seguridad

Análisis de Riesgo (Problemas encontrados) [AR]

Gestión de Riesgos (Propongo soluciones) [GR]

[A.R.] + [G.R.] = Plan Director de Seguridad [PDS]

Análisis de Riesgos

Procedimiento de análisis

Identificación
y valoración de activos
Análisis de Riesgos
Valoración de amenazas
y vulnerabilidades

Gestión
del
riesgo
Análisis de Riesgos

Evaluación de riesgos y gastos

Gestión del riesgo:

Proceso de equilibrar el coste de protección con el coste de exposición.

Riesgos Seguridad

Decisiones:
Coste de Equilibrio
Aceptarlo
Reducirlo
Asignación a terceros Nivel de Seguridad
(Transferir el riesgo)
Evitarlo
Análisis de Riesgos

¿Por qué realizarlo?

• Permite identificar los riesgos de la seguridad de la información que

podrían afectar en el desarrollo de las actividades de negocio

• Facilita la correcta selección de las medidas de seguridad a implantar

• Creación de los plantes de contingencias en previsión de las amenazas

detectadas

• Necesario en el diseño, implantación y certificación de un SGSI (es el

primer paso en la implementación de un SGSI)
Análisis de Riesgos

Tipos de Análisis

Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta:

• Intrínseco es aquel que se realiza sin tener en cuenta aquellas

contramedidas que ya se están aplicando.
• Da como resultado el Riesgo Intrínseco

• Residual es aquel que se realiza teniendo en cuenta las contramedidas ya

aplicadas.
• Da como resultado el Riesgo Residual
Análisis de Riesgos

Elementos del Análisis

Activos: son todos aquellos elementos que forman parte del sistema de
información.

Amenazas: son todas aquellas cosas que se salen de la normalidad que le

pueden suceder a los activos

Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por las

amenazas para dañar a los activos (son los agujeros de seguridad

Impacto: Consecuencia de la materialización de una amenaza

Controles: Son los mecanismos que permiten reducir las vulnerabilidades de

los sistemas
•
Riesgos: Son el resultado del análisis de riesgo.
El riesgo es una ponderación del valor del activo, la probabilidad que suceda
una amenaza y el impacto que tendría sobre el sistema
Análisis de Riesgos

Relaciones

Aprovechan las
Amenazas Vulnerabilidades

Incrementan
Protegen contra Incrementan Exponen

Controles Riesgos Activos

Poseen
Generan Generan Incrementan

Requerimientos Valor de los activos e

de Seguridad impactos potenciales
Análisis de Riesgos

• Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto.

La amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con
esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto
en caso de ocurrencia sea menor
Análisis de Riesgos

Fases de MAGERIT

Toma de datos. Dimensionamiento. Análisis activos Y

Procesos de la Establecimiento de salvaguardas
Información Parámetros

Establecimiento Establecimiento Análisis de

impactos vulnerabilidades amenazas

Análisis Riesgo Influencia de Análisis Riesgos

Intrínseco salvaguardas efectivo

Evaluación de
riesgos
Análisis de Riesgos

Metodologías: NIST ST 800-30

Metodología de origen Americano que se apoya en los siguientes pasos:

Determinación del sistema

Identificación de vulnerabilidades

Identificación de amenazas

Estudio de las salvaguardas

Determinación de la probabilidad

Análisis del impacto

Determinación del Riesgo

Análisis de Riesgos

Toma de datos y procesos de la información

• Objetivos:

• Definir el área de aplicación del estudio (alcance) y el objetivo final

del análisis de riesgos.

• Tener una visión global del proceso de información en la

organización.

• Establecer el grado de análisis en unidades homogéneas en todo el

alcance (granularidad)
Análisis de Riesgos

Detección y Clasificación de activos

• Activos físicos: Hardware

Los activos físicos son aquellas cosas que forman parte de la
empresa como material de ayuda a desempeñar una actividad.
Ejemplo: Computador, Laptop, Impresora, ...

• Activos lógicos: Software

Los activos lógicos son aquellos programas o datos que forman
parte del conocimiento de la empresa para desempeñar la
actividad. Ejemplo: BD, Intranet Corporativa, ...
Análisis de Riesgos

Detección y Clasificación de activos

• Personal: Roles del Sistema

Los roles del personal relacionados con la seguridad, son todas aquellas
responsabilidades que hay que asumir en cuanto a la seguridad del
sistema.

• Forum de seguridad
• Responsable de seguridad
• Operador de Copia de Seguridad
• ...
Análisis de Riesgos

Detección y Clasificación de activos

• Entorno
Aire Acondicionado
Sistema Eléctrico
Instalaciones adicionales

• Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos más
importantes a la hora que los clientes depositen en ella su confianza.
Análisis de Riesgos

Detección y Clasificación de activos

• Se clasifican según su:

Confidencialidad (libre, restringida, protegida, confidencial, etc.)

Integridad (bajo, normal, alto, crítico)

Disponibilidad (menos de una hora, menos de un día, menos de una

semana, más de una semana)

Autenticación (baja, normal, alta, crítica)

Análisis de Riesgos

Valoración de activos

VALORACIÓN: Coste TOTAL que tendría para la empresa su pérdida:

• Valor de reposición
• Valor de configuración, puesta a punto, etc.
• Valor de uso del activo
• Valor de pérdida de oportunidad
Análisis de Riesgos

Tipo de amenazas

Las amenazas normalmente dependen del negocio de la empresa y del tipo de

sistema que se quiere proteger

Listado de amenazas
Accidentes

Empresa de desarrollo
de sistemas Errores
ISP
Colegio Profesional
Universidad
Amenazas Intencionales Presenciales

Amenazas Intencionales Remotas

ramirocid.com ramiro@ramirocid.com Tw itter: @ramirocid

Análisis de Riesgos

Amenazas - Accidentes

• Accidente físico
• Incendio, explosión, inundación por roturas, emisiones radioeléctricas,
etc.

• Avería
• De origen físico o lógico, debida a un defecto de origen o durante el
funcionamiento del sistema.

• Interrupción de Servicios esenciales

• Energía
• Agua
• Telecomunicación

• Accidente mecánico o electromagnético:

• Choque
• Caída
• Radiación
Análisis de Riesgos

Amenazas - Errores

• Errores de utilización del sistema, provocados por un mal uso, ya sea

intencionado o no

• Errores de diseño conceptuales que puedan llevar a un problema de

seguridad

• Errores de desarrollo derivados de la implementación de alguna

aplicación o de la implantación de un sistema en producción
Análisis de Riesgos

Amenazas - Errores

• Errores de actualización o parcheado de sistemas y aplicaciones

• Monitorización inadecuada

• Errores de compatibilidad entre aplicaciones o librerías

• Errores inesperados
• Virus

• Otros ¿?
Análisis de Riesgos

Amenazas Intencionales Presenciales

• Acceso físico no autorizado

• Destrucción o sustracción

• Acceso lógico no autorizado

• Intercepción pasiva de la información

• Sustracción y/o alteración de la información en tránsito
Análisis de Riesgos

Amenazas Intencionales Presenciales

• Indisponibilidad de recursos
• Humanos: motivos de huelga, abandono, enfermedad,
baja temporal, etc
• Técnicos: desvío del uso del sistema, bloqueo, etc

• Filtración de datos a terceros: apropiación indebida de datos,

particularmente importante cuando los datos son de carácter
personal (LOPD)
Análisis de Riesgos

Amenazas Intencionales Remotas

• Acceso lógico no autorizado

Acceso de un tercero no autorizado explotando una vulnerabilidad del

sistema para utilizarlo en su beneficio.

• Suplantación del origen

Intercepción de una comunicación escuchando y/o falseando los datos

intercambiados

Tw iter: @ramirocid
Análisis de Riesgos

Amenazas Intencionales Remotas

• Gusanos
• Virus que utilizan las capacidades de servidores y clientes de internet para
transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las
variantes.

• Denegación de servicio
• Contra el ancho de banda: Consumir todo el ancho de banda de la máquina
que se quiere aislar
• Contra los recursos físicos del sistema: Consumir toda la memoria y los
recursos que la máquina utiliza para ofrecer su servicio
Análisis de Riesgos

Definición de vulnerabilidad

Debilidad o agujero en la organización de la

seguridad
¡Una vulnerabilidad en si misma no
produce daños.
Es un condicionante para que una amenaza
afecte a un activo
Análisis de Riesgos

Vulnerabilidades

El cruce de un activo sobre el que puede materializar una amenaza, da lugar

a una vulnerabilidad

Activo Amenaza Vulnerabilidad

01 - Servidor Fallo del sistema Dependiente de la

eléctrico corriente

Acceso lógico no Accesibilidad al

autorizado sistema
Análisis de Riesgos

Valoración de Impactos

Identificación de impactos:

• Como el resultado de la agresión de una amenaza sobre un activo

• El efecto sobre cada activo para poder agrupar los impactos en cadena según
la relación de activos
• El valor económico representativo de las pérdidas producidas en cada activo
• Las pérdidas pueden ser cuantitativas o cualitativas
Análisis de Riesgos

Acción de las salvaguardas

Se analiza el efecto de las salvaguardas sobre los impactos y/o las

vulnerabilidades

Preventivas:

• Disminuyen la vulnerabilidad
• Nueva vulnerabilidad= (Vulnerabilidad -% disminución vulnerabilidad)

Correctivas:

• Disminuyen el impacto
• Nuevo impacto= (Impacto - disminución impacto)
Análisis de Riesgos

Evaluación de riesgos

Identifica el coste anual que supone la combinación de activo, amenaza,

vulnerabilidad e impacto.
RIESGO = Probabilidad de Amenaza * Magnitud del Daño

Magnitud del Daño es el impacto causado

Análisis de Riesgos

Gestión de Riesgos

Gestionar los riesgos identificados:

• Determinar si el riesgo es aceptable

• SI: Identificar y aceptar el riesgo residual
• NO: Decidir sobre la forma de gestionar el riesgo x

Forma de gestionar el riesgo:

• Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad

• Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc.
• Reducirlo: reducir la amenaza, vulnerabilidad, impacto
• Asumirlo: Detectar y recuperar (Statu quo).
Análisis de Riesgos

Gestión de riesgos

Una vez se tiene decidido que es lo que hay que hacer se elaborar el:
PLAN DE ACCIÓN

• Establecer prioridades
• Plantear un análisis de coste-beneficio
• Hacer la selección definitiva de controles a implantar
• Asignar responsabilidades
• Desarrollar un plan de gestión de riesgos
• Implantar los controles
Análisis de Riesgos

Contramedidas

Según el riesgo

• Recomendaciones a la dirección una serie de contramedidas que pueden

aplicar a su sistema para paliar el riesgo obtenido, ya sea intrínseco o
residual
Análisis de Riesgos

Evaluación de riesgos y gastos

• Es necesario conocer su COSTE (anual) / VALOR

• Es necesario determinar claramente la RESPONSABILIDAD sobre cada

activo

• Es necesario conocer qué AUTORIDAD existe