Presentacin

Bianca Santana Espichicoquez

2011-0210

Anlisis de Riesgos
Seguridad
Rubn Dario Santana
16 de Junio del 2013

Introduccin
Conforme el paso de los aos, los cambios en la humanidad, el advenimiento de la
Internet y sus marcadas influencias en lo que a comunicacin se refiere, as mismo la
tecnologa de la informacin ha generado un crecimiento constante, lo que como bien
genera ciertas oportunidades tambin puede generar ciertas clases de amenazas.
Dichas amenazas son las que deben hacer que organizaciones, encargados de negocios,
entre otras entidades, se formulen la pregunta de que tan segura se encuentra su
informacin, qu controles utilizan para mantener sus activos protegidos, y qu tipo de
herramientas metodolgicas implementan o pueden llegar a implementar en caso de que
sus activos no estn lo suficientemente protegidos. Aunque es bueno resaltar, que ningn
activo est libre de riesgo, por lo que es necesario que constantemente se evalen dichos
activos de manera que puedan analizar la probabilidad de riesgos que estos pueden
sufrir. Lo que permitira mantener un control de los mismos.
De manera tal, en este breve texto estaremos citando los puntos claves y principales
relacionados con los riegos, el anlisis de los mismos qu representa una metodologa
fundamental para la determinacin de medidas de seguridad de un sistema de
informacin. Asimismo, se darn a prever las ciertas metodologas implementadas para
el anlisis y gestin de riesgos de un Sistema de Informacin.

Anlisis de Riesgos:
Riesgo
Objetivos.
Antes de iniciar con el tema del Anlisis de Riesgos, es importante conocer el concepto del
trmino riesgo.
Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una
vulnerabilidad Purificacin Aguilera Lpez.
El anlisis de riesgos constituye un elemento fundamental para determinar las medidas de
seguridad de un sistema de informacin, ya que identifica los riesgos de dicho sistema y estima
el impacto potencial que supone su propia destruccin o prdida de disponibilidad,
confidencialidad e integridad de la informacin que almacena. Cuyo objetivo principal es
proporcionar una medida de las posibles amenazas y vulnerabilidades del sistema de manera
que los medios de seguridad puedan ser seleccionados y distribuidos eficazmente para reducir
al mnimo las posibles prdidas. Dicho anlisis implica:
La evaluacin del impacto de violacin de seguridad sobre la organizacin.
La identificacin de amenazas que podran afectar el sistema informtico.
La determinacin de la vulnerabilidad del sistema de dicha amenaza.

Segn Royal P. Fisher, el anlisis de riesgos tiene como objetivos fundamentales:

1.
2.
3.
4.

Ayudar en la identificacin de exposiciones.

Ayudar en la cuantificacin de los valores de las exposiciones.
Permitir un ranking de exposiciones por prioridades.
Servir como base para el anlisis de coste eficaz.

Administrar el riesgo refiere a gestionar los recursos de la organizacin (empresa, organismo,

institucin, etc., sea pblica, privada, etc.) para lograr un nivel de exposicin determinado. Este
nivel es generalmente establecido por tipo de activo, permitiendo menor exposicin cuanto mas
crtico es ese activo.
El ciclo de administracin de riesgo se cierra (luego de efectuar las tareas referentes al anlisis)
con la determinacin de las acciones a seguir respecto a los riesgos residuales identificados.
Estas acciones pueden ser:
Controlar el riesgo: Se fortalecen los controles existentes o se agregan nuevos.
Eliminar el riesgo: Se elimina el activo relacionado y por ende el riesgo.
Compartir el riesgo: Mediante acuerdos contractuales se traspasa parte del riesgo (o su

totalidad) a un tercero (un ejemplo son los seguros).

3

 Aceptar el riesgo: Determinar que el nivel de exposicin es adecuado.

Importancia
Un anlisis de riesgos proporciona a los responsables de la organizacin la informacin sobre
la cual basar sus decisiones. De igual manera este anlisis es una tarea que se realiza
peridicamente con el fin tener al da los cambios en amenazas, instalaciones, material y dems
cambios organizativos. Como recurso ms importante se requiere de personal altamente
cualificado. Por esta razn el primer anlisis de riesgos para una organizacin ser el ms
costoso.
La importancia de un anlisis de riesgos radica principalmente en que el mismo permite la
identificacin de los riesgos a los que est o puede estar expuesta la organizacin identificando
adems sus tipos. Asimismo permite la estimacin de la probabilidad de ocurrencia de cada
riesgo detectado para lo cual se establecen unos niveles relativos de probabilidad.

Pasos o Etapas del Anlisis de Riesgos

Un anlisis de riesgos est compuesto de tres etapas que a su vez llevan una serie de pasos para
el cumplimiento de las mismas.
Etapa 1
Recopilar informacin: se indaga y se busca informacin acerca de incidentes o accidentes
ocurridos con anterioridad.
Definir el sistema y el entorno: se recogen fichas de seguridad, se describe el proceso del
sistema, esquemas, diagramas de flujo, modos de operacin, etc.
Analizar las caractersticas tcnicas: se realiza un estudio de los esquemas de la organizacin,
de la instalacin de equipos, procedimientos de control y mantenimiento. Nmero de
empleados de la empresa, informacin sobre otras organizaciones cercanas y del mismo
entorno comercial.
Etapa 2
Fijar objetivos: se determinan cules son los objetivos que se desean alcanzar durante el
proceso.
Definir lmites de anlisis: aqu estableceremos el alcance del anlisis de riesgos dentro de la
organizacin, el mismo puede hacerse de manera parcial o total.

 Descomposicin del sistema: en esta parte se descompondr el sistema en pequeos

elementos de manera que pueda ser ms fcil manejarlos.
Determinacin de mtodos a usar: se especifican los mtodos cualitativos que se utilizaran
teniendo presente que se deben investigar todas las causas de fallo que puedan afectar el
estudio.
Establecimiento del modelo de sistema: en esta parte se especificar el modelo de sistema a
utilizar en base a los pasos anteriores, el mismo ser distinto para cada organizacin, o
dependiendo del tipo de actividad que desarrolle la misma.
Etapa 3
En esta ltima etapa se:
Obtienen datos esenciales, que consiste en la recopilacin de los datos necesarios de las
unidades que componen el estudio.
Realiza una evaluacin de parmetros de seguridad, donde se cuantifica la probabilidad de
fallo y la gravedad de dao que se puede producir.
Realizan estudios de sensibilidad
Realiza una Sntesis y obtencin de conclusiones, aqu se sacan a flote los fallos o
combinaciones de fallos que provocan un riesgo dentro del sistema de informacin estudiado,
as como los puntos crticos del mismo.

Mtodos Principales para el Anlisis y la Gestin de Riesgos en los SI

Algunos de los mtodos utilizados son:
MARGERIT(Methodology

for Information Systems Risk Analysis and

Management): es una metodologa de anlisis y gestin de riesgos de los sistemas de
informacin.

PILAR: procedimiento informtico-lgico para el anlisis y gestin de riesgos, que

sigue la metodologa MARGERIT.

MARION(Mthodologie d'Analyse de Risques Informatiques Oriente par Niveaux)

es una metodologa del anlisis de riesgos informticos por niveles, desarrollado por
CLUSIF.

CRAMM. Es un mtodo estructurado y coherente para la identificacin y la

evaluacin de riesgos en redes y sistemas de informacin.
5

 OCTAVE(Operationally Critical Threats Assets and Vulnerability Evaluation). Es un

mtodo de evaluacin y de gestin de los riesgos para garantizar la seguridad del

sistema informativo, desarrollado por el estndar internacional ISO270001.

Conclusiones
De acuerdo a todo lo expuesto en este ensayo, no est de ms recordar que ningn activo
est libre de riesgos, los riesgos siempre estarn latentes, y mientras existan activos
tambin existir la posibilidad de existentes riesgos asociados a estos, aunque an no
hayan sido completamente identificados o ms bien no se hayan tomado las medidas
necesarias para identificarlos.
No obstante a todas las herramientas existentes para el anlisis, administracin y gestin
de riesgos, la mejor manera de gestionar dichos riesgos, es mantener un conocimiento de
lo que significa e implica la existencia de un riesgo asociado a los activos principales de
la organizacin, para esto se debe realizar una jornada de concienciacin de la
importancia de dichos activos y del impacto que puede ocasionar un riesgo para que de
esta manera todos los involucrados en la organizacin, puedan dar valor a los activos y
saber que hacer en caso de que perciban la aparicin de un riesgo.
De tal manera podemos resaltar que el tema tratado es de suma importancia por lo que es
imprescindible la buena gestin y administracin de un riesgo informtico.

Referencias Bibliogrficas
http://www.incendiosyseguridad.com/seccion-2.0.0/AR-2.2.2.0.html (consultado el 13

de Junio del 2013)

Aguilera, P. (2010). Seguridad Informtica. Madrid, Espaa: Editorial Editex.

Desongles, J. (2005). Ayudantes Tcnicos de Informtica. Madrid, Espaa: Editorial

Mad, S.L.

Fisher, R. (1998). Seguridad en los Sistemas Informticos. Madrid, Espaa: Ediciones

Diaz de Santos.