UNIVERSIDAD NACIONAL DE

UCAYALI
FACULTAD DE INGENIERIA DE SISTEMAS Y DE INGENIERIA CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

METODOLOGAS PARA EVALUACIN DE GESTIN DE RIESGO,

CONTROLES Y CONTRAMEDIDAS DE EVALUACIN DE ACTIVOS
Y TIEMPO OBJETIVO DE RECUPERACIN

CURSO:
Auditoria y Seguridad Informtica
ALUMNO:
Obando Balvn, Jos Luis
DOCENTE:
Ing. Mg. Freddy Elar Ferrari Fernndez

PUCALLPA - PER
2015

I.

INTRODUCCIN

La gestin de los riesgos es una piedra angular en las guas de buen gobierno
[ISO 38500], pblico o privado, donde se considera un principio fundamental que
las decisiones de gobierno se fundamenten en el conocimiento de los riesgos que
implican.
Se insiste recurrentemente en el necesario equilibrio entre riesgos y oportunidades
para tomar las mejores decisiones.
En pocas palabras, la gestin de los riesgos es nuclear al gobierno de las
organizaciones. En particular, los riesgos que tienen su origen en el uso de
tecnologas de la informacin deben trasladarse a los rganos de gobierno y
contextualizarse en la misin de la organizacin.
El conocimiento de los riesgos permite calibrar la confianza en que los sistemas
desempearn su funcin como la Direccin espera, habilitando un marco
equilibrado de Gobierno, Gestin de Riesgos y Cumplimiento (GRC), tres reas
que deben estar integradas y alineadas para evitar conflictos, duplicacin de
actividades y zonas de nadie.
.

Tabla de contenido
I.

INTRODUCCIN................................................................................................1

II.

METODOLOGAS PARA EVALUACIN DE GESTION DE RIESGO................3

2.1.

CONCEPTO DE RIESGO:...........................................................................3

2.2.

CLASIFICACIN DE RIESGOS..................................................................3

2.3.

TIPOS DE CAUSAS DE RIESGOS.............................................................5

2.4.

VALORACIN DEL RIESGO.......................................................................6

2.5.

IDENTIFICACIN DEL RIESGO..................................................................7

2.6.

ANLISIS DE RIESGOS..............................................................................7

2.7.

METODOLOGAS DE ANLISIS.................................................................7

2.7.1.

Metodologas de anlisis de riesgos.....................................................8

2.7.2.

Metodologas de auditora informtica................................................12

2.8.

OTRAS METODOLOGAS DE EVALUACIN DE RIESGOS...................12

III. CONTROLES Y CONTRAMEDIDAS DE EVALUACIN DE ACTIVOS...........15

3.1.

IDENTIFICACIN DE LOS ACTIVOS DE INFORMACIN.......................15

3.2.

VALORACIN DE ACTIVOS.....................................................................16

3.3.

EFECTIVIDAD DE LOS CONTROLES......................................................17

IV. TIEMPO OBJETIVO DE RECUPERACIN.....................................................19

4.1.

PUNTO

DE

RECUPERACIN

OBJETIVO

TIEMPO

DE

RECUPERACIN OBJETIVO..............................................................................19
V. CONCLUSIONES.............................................................................................21

II. METODOLOGAS PARA EVALUACIN DE GESTION DE RIESGO

II.1.

CONCEPTO DE RIESGO:
Riesgo se refiere a la incertidumbre o probabilidad de que ocurra o se
realice un evento, el cual puede ser previsto; en este sentido podemos decir
que el riesgo es la contingencia de un dao.
El concepto de riesgo en Tecnologas de Informacin puede definirse como
el efecto de una causa multiplicado por la frecuencia probable de ocurrencia
dentro del entorno de las TI. Surge as, la necesidad del control que acte
sobre la causa del riesgo para minimizar sus efectos. Cuando se dice que
los controles minimizan los riesgos, lo que en verdad hacen es actuar sobre
las causas de los riesgos, para minimizar sus efectos.

II.2.

CLASIFICACIN DE RIESGOS
Con objeto de ubicarnos en los tipos de riesgos de Tecnologas de
Informacin en las organizaciones, enunciaremos algunos de los ms
comunes.
Riesgo de negocio
Es una circunstancia o factor que puede tener un impacto negativo o
positivo sobre el funcionamiento o la rentabilidad de una empresa
determinada. En ocasiones se refiere como el riesgo de la empresa. El
riesgo de negocio puede ser el resultado de las condiciones internas, as
como algunos factores externos que pueden estar presentes en la
comunidad empresarial en general.
Riesgo inherente
Este tipo de riesgo tiene que ver exclusivamente con la actividad econmica
o giro empresarial del negocio, independientemente de los sistemas de
control interno que se estn aplicando.

Riesgo de control
Este tipo de riesgo considera de manera muy importante a los sistemas de
control interno que estn implementados en la empresa, y que en ciertas
circunstancias lleguen a ser insuficientes o inadecuados para la aplicacin y
deteccin oportuna de irregularidades. Es por ello que una administracin
debe tener constante revisin, verificacin y ajustes en los procesos de
control interno.
Riesgo estratgico
El riesgo estratgico es la forma de competir y la relacin con el entorno,
as como las tensiones organizacionales internas, que representan barreras
para poder ejecutar la estrategia seleccionada con xito. Se asocia con la
forma en que se administran las empresas e instituciones. El manejo del
riesgo estratgico se enfoca a asuntos globales relacionados con el
cumplimiento de la misin de la organizacin,
Riesgo operativo
Se puede definir como el riesgo de que se presenten prdidas por fallas en
los sistemas administrativos y procedimientos internos, as como por
errores humanos, intencionales o no.
Riesgo financiero
Se define como la posibilidad de deterioro o perdida derivada de la
realizacin

de

operaciones

financieras

que

pueden

afectar

la

capitalizacin burstil o valor de mercado de la empresa.

Riesgo de cumplimiento
Se asocia con la capacidad de la empresa para cumplir con los requisitos
regulativos, legales, contractuales, de tica pblica, participacin, servicio a
la comunidad, interaccin con el ciudadano, respeto a los derechos, a la
individualidad, la equidad y la igualdad.

Riesgo de tecnologa
Se asocia con la capacidad de la empresa en que la tecnologa disponible
satisfaga las necesidades actuales y futuras de la empresa, soportando el
cumplimiento de la misin.
Riesgo profesional
Se define como una situacin potencial de peligro ligada directa o
indirectamente al trabajo y que puede materializarse con el dao
profesional.
Con esta definicin se puntualiza que no siempre el riesgo profesional
conduce al dao profesional, es decir puede existir riesgo sin producirse
dao.
II.3.

TIPOS DE CAUSAS DE RIESGOS

Las causas de riesgo ms comunes, para efectos dentro de las tecnologas
de informacin, se dividen en: externas e internas.
Las causas de riesgo externas pueden ser de dos clases: naturales y
originadas por el hombre.
Las causas de riesgo naturales son habitualmente las siguientes:

Temblores
Inundaciones
Tornados
Huracanes
Tormentas elctricas
Erupciones volcnicas

Las causas de riesgo originadas por el hombre, son entre otras, las
siguientes:

Incendios
Explosiones
Accidentes laborales
5

Daos mal intencionados

Sabotaje
Robo
Fraude.

Las causas de riesgo internas, se derivan a partir de las mismas empresas.

Son ms frecuentes las causas internas de riesgo que las externas.
Entre las causas de riesgo internas tenemos bsicamente:

Robo de materiales, monetario y de informacin.

Sabotaje.
Suplantacin de identidades.
Falta de recursos econmicos.
Destruccin o alteracin de datos y de recursos.
Personal no capacitado.
Fraude interno y externo.
Ausencia de seguridad fsica, tanto en la empresa como de su

informacin.
Venta de informacin de la empresa a la competencia.

Adicional a los ataques intencionados, se encuentra el uso incorrecto de la

tecnologa, que en muchas ocasiones es la mayor causa de vulnerabilidad y
los riesgos a los que se exponen las organizaciones.
II.4.

VALORACIN DEL RIESGO

La valoracin del riesgo consta de tres etapas: la identificacin, el anlisis y
la determinacin del nivel del riesgo. Para cada una de ellas es necesario
tener en cuenta la mayor cantidad de datos disponibles, como los planes de
mejoramiento, as como contar con la participacin de las personas que
ejecutan los procesos y procedimientos para lograr que las acciones
determinadas alcancen los niveles de efectividad esperados.

II.5.

IDENTIFICACIN DEL RIESGO

El proceso de identificacin del riesgo debe ser permanente, integrado al

proceso de planeacin y responder a las preguntas del: qu?, cmo? y
por qu se pueden originar hechos que influyen en la obtencin de
resultados?.
Una manera de realizar la identificacin del riesgo es a travs de la
elaboracin de un mapa de riesgos, el cual como herramienta metodolgica
permite hacer un inventario de los mismos en forma ordenada y sistemtica,
definiendo en primera instancia los riesgos, posteriormente presentando
una descripcin de cada uno de ellos y sus posibles consecuencias.
II.6.

ANLISIS DE RIESGOS
El objetivo del anlisis de riesgos es establecer una valoracin y
priorizacin de los riesgos con base en la informacin ofrecida por los
mapas elaborados en la etapa de identificacin, con el fin de clasificar los
riesgos y facilitar informacin para establecer el nivel de riesgo, as como
las acciones que se van a implementar.

II.7.

METODOLOGAS DE ANLISIS
Las metodologas usadas por un profesional dicen mucho de su forma de
entender su trabajo y estn directamente relacionadas con su experiencia
profesional, acumulada como parte del comportamiento humano de prueba
y error.
La evaluacin de riesgos en tecnologas de informacin es el proceso de
comparar el nivel de riesgo encontrado durante el anlisis de los mismos,
contra el criterio de riesgo establecido previamente y decidir el tratamiento
que se dar a stos.
El anlisis de riesgos y los criterios contra los cuales stos son comparados
en la valoracin, deben ser considerados sobre la misma base. As,
evaluaciones cualitativas incluyen la comparacin de un nivel cualitativo de
7

riesgo contra criterios cualitativos y evaluaciones cuantitativas involucran la

comparacin de niveles estimados de riesgo contra criterios que pueden ser
expresados con nmeros especficos, tales como fatalidad, frecuencia o
valores monetarios.
II.7.1.

Metodologas de anlisis de riesgos

Todas las metodologas existentes desarrolladas y utilizadas en el
anlisis y evaluacin de riesgos en Tecnologas de Informacin, se
pueden agrupar en dos grandes familias.

Cuantitativas: Basadas en un modelo matemtico que ayuda a la

realizacin del trabajo.

Cualitativas: Basadas en el criterio y raciocinio humano, capaz de
definir un proceso de trabajo para seleccionar, con base en la
experiencia acumulada.

Estas metodologas estn desarrolladas para la identificacin de la

falta de controles y el establecimiento de un plan para minimizar o
eliminar las causas principales del riesgo.
A) Metodologas cuantitativas
Este tipo de metodologas han sido diseadas para producir una lista
de riesgos que son comparables entre s, para facilitar el poder
asignarles valores numricos. Estos valores en el

caso

de

metodologas de anlisis de riesgos son datos de probabilidad de

ocurrencia de una situacin o evento, que se deben extraer de un
registro de incidencias, donde el nmero de incidencias sea
suficientemente grande o tienda al infinito. Esto no se aplica con
precisin en la prctica, ya que lo comn es que se aproxime ese valor
de forma subjetiva restando as rigor cientfico al clculo. Siendo que
el clculo se hace para ayudar a elegir el mtodo entre varias
respuestas al riesgo, esta aproximacin podra ser aceptada.
Hay varios coeficientes que conviene definir para esta metodologa:
8

 Expectativa de prdida por evento (SLE): la expectativa de

prdida por evento, es la prdida esperada como el resultado
de un solo evento.
ALE (Annualized Loss Expectacy): Este coeficiente se obtiene
de multiplicar la expectativa de prdida por evento, por el ndice
anual de ocurrencia (ARO).Para el clculo de este coeficiente,
el ARO es simplemente una prediccin de la frecuencia, con la
que un evento de riesgo en la seguridad puede ocurrir cada
ao.
Valor del costo de prevencin de un riego: Se define como
medida de prevencin a cualquier mecanismo de seguridad
tcnico, administrativo o fsico, que reduzca el riesgo de
seguridad a los activos de la organizacin.
Ventajas de las metodologas cuantitativas:
Objetividad: Una variable de decisin de riesgo de seguridad
determinada

travs

del

anlisis

cuantitativo

pueden

ser

considerada como objetiva, ya que los clculos que determinan los

valores de las variables son basados en frmulas predeterminadas
y no son influenciadas por medidas subjetivas o por el juicio del
equipo.
Expresiones en nmeros reales: La evaluacin de los activos y
la valoracin del costo de proteccin de dichos activos, pueden ser
siempre

expresados

en

trminos

de

costos

especficos

(monetarios).
Sus desventajas son:
Complejidad: Las frmulas usadas en este tipo de anlisis y el
volumen de tablas numricas resultantes pueden ser muy
complejas. Esto lleva entre otros problemas a la necesidad de
personas ms experimentadas dentro del equipo de evaluacin, lo
que conlleva a un incremento en el costo total.
9

Clculos no entendidos: Los clculos y resultados pueden ser una

amenaza para el lector no tcnico, como el staff de direccin; por lo
que puede malinterpretarse el anlisis efectuado y sus resultados.
Resultados no confiables. Las frmulas complejas y la falta de
entendimiento de los clculos pueden llevar a una frustracin
general e inclusive a la desconfianza en los resultados.
B) Metodologas cualitativas
Precisan de la participacin de un profesional experimentado. Estas
metodologas estn basadas en mtodos estadsticos y lgica difusa
(humana, no matemtica); pero requieren menos horas/hombre que
las metodologas cuantitativas.
Los mismos elementos bsicos que son requeridos para determinar la
seguridad del riesgo, tales como los valores del activo, la frecuencia
del riesgo, el impacto y la efectividad de proteccin al activo bajo el
punto de vista cuantitativo, tambin son usados bajo las metodologas
cualitativas, slo que ahora son medidos en trminos subjetivos, tales
como alto o poco probable.
Ventajas de las metodologas cualitativas sobre el punto de vista
cuantitativo:
Simple: Estos mtodos son un alivio a la complejidad de los
modelos cuantitativos. La simplicidad de estos mtodos son la
caracterstica principal y a su vez la raz de casi todas sus
desventajas.
Valores de medida simples: El utilizar mtodos cuantitativos
puede ser extremadamente difcil de proveer nmeros precisos para
cada una de las variables, como son los activos, amenazas,
impactos o valores de proteccin del activo. Usando mtodos
cualitativos, esta tarea es an significativa, pero puede ser realizada
usando un esfuerzo mayor.
10

Fcil de entender y convenir: El anlisis y resultado de los

mtodos cualitativos son fciles de ser aceptados y acordados por
el equipo.
Identificacin adecuada de las reas con problemas: En la
mayora de las situaciones, un punto de vista cualitativo nos dar
suficiente informacin para influenciar una mejor postura de la
organizacin en cuanto a la seguridad.
Desventajas de las metodologas cualitativas:
Resultados subjetivos: Ya que los resultados son basados
principalmente en la experiencia y juicio, ms que en nmeros,
porcentajes o cifras; stos pueden ser argumentados como poco
precisos.
Valor de activos subjetivos: El mismo argumento arriba
mencionado, es usado para la valoracin subjetiva de los activos.
Es difcil defender valores subjetivos asignados a los activos,
cuando se basan nicamente en la experiencia.
Recomendaciones subjetivas: Si el anlisis es basado en valores
y resultados subjetivos, entonces las recomendaciones resultantes
son tambin subjetivas.
Dificultad para rastrear las mejoras: En los programas de
seguridad que buscan dar seguimiento entre evaluaciones, se
vuelve difcil rastrear el avance cuando los resultados de stas son
definidas como riesgo de seguridad alto-medio o medio-bajo.
II.7.2.

Metodologas de auditora informtica

Las nicas metodologas que podemos encontrar en la auditora
informtica son dos familias distintas: las auditoras de controles
generales y las metodologas de los auditores internos.

11

Metodologas de auditoras de controles generales: El objetivo

de las auditoras de controles generales consiste en dar una
opinin sobre la fiabilidad de los resultados para la auditora
financiera. El resultado es un breve informe como parte de la
documentacin

de

la

auditora,

donde

se

destacan

las

vulnerabilidades encontradas. Ests metodologas estn basadas

en pequeos cuestionarios estndares que dan como resultado

informes muy generales.

Metodologas de los auditores internos: Estn formadas por
recomendaciones que integran parte del plan de trabajo y adems
se deben crear metodologas propias necesarias para auditar
reas o aspectos que definan el plan auditor.

Las metodologas de auditora son del tipo cualitativo. Se puede decir

que son subjetivas por excelencia. Por lo tanto, estn sustentadas en
profesionales de gran nivel de experiencia y formacin, capaces de
dar recomendaciones tcnicas, operativas y jurdicas, que exigen una
gran profesionalidad y formacin continua.
II.8.

OTRAS METODOLOGAS DE EVALUACIN DE RIESGOS

Proceso de gestin de riesgos de seguridad de la Administracin
Federal de Aviacin (Federal Aviation Administration ,FAA)
La gestin de procesos de riesgos de seguridad (Security Risk
Management, SRM) fue desarrollada por la FAA para lograr el objetivo de
gestionar los riesgos de seguridad en todo el proceso de administracin de
sus actividades.
Esta gestin de procesos tambin es aplicable a otras organizaciones y
consiste de un mtodo cualitativo que proporciona niveles, descripciones y
frmulas para los clculos respectivos; sin embargo, no ofrece mucho en
cuanto a ejemplos, plantillas, listas de comprobacin o herramientas.
Metodologa OCTAVE
12

Esta metodologa de evaluacin de riesgos de seguridad fue desarrollada

por el Instituto de Ingeniera de la Universidad de Carnegie Mellon Software.
El mtodo de evaluacin de vulnerabilidades, activos y amenazas crticas
operacionales (Operationally Critical Threat, Asset, and Vulnerability
Evaluation, OCTAVE) ofrece un proceso completo con las normas, listas de
control, estimaciones de tiempo y describe el proceso de evaluacin de
riesgos de seguridad en tres fases, las cuales son:

Perfiles de amenazas basados en los activos.

La identificacin de vulnerabilidades en la infraestructura.
El desarrollo del plan de seguridad.

Proceso de evaluacin FRAP

El proceso de evaluacin de riesgos facilitado (Facilitated Risk Assessment
Process, FRAP) fue desarrollado por Tom Peltier en 2001 y diseado como
una metodologa que podra ser utilizada por los propios directivos, con la
gua de un profesional capacitado.
El mtodo FRAP consiste de tres pasos, los cuales estn diseados para
ser completados en 10 das. ste es un mtodo cualitativo, que se auxilia
de plantillas y listas de verificacin (checklist).
Mtodo de gestin y anlisis de riesgos CRAMM
El mtodo de gestin y anlisis de riesgos (Risk Analysis and Management
Method,

CRAMM)

de

la

Agencia

Central

de

Informtica

Telecomunicaciones del Gobierno Britnico (Central Computer and

Telecommunications Agency, CCTA), fue desarrollado por el gobierno
britnico en 1985. Hoy en da este mtodo ha evolucionado y es
comercializado por Insight Consulting.
CRAMM es una herramienta cualitativa que proporciona: una metodologa,
los clculos a realizarse y el formato de reporte para una evaluacin de
riesgos de seguridad.

13

NSA IAM
La

metodologa

de

evaluacin

InfoSec

(InfoSec

Assessment

Methodology,IAM) de la agencia de Seguridad Nacional (National Security

Agencys,

NSA) fue

desarrollada

para

capacitar a

las entidades

comerciales, en la realizacin de las evaluaciones de los estndares de la

NSA. Esta metodologa se basa en el enfoque de la agencia, para la
evaluacin de seguridad de la informacin en entidades gubernamentales.
La evaluacin de esta metodologa consiste en tres fases:

Pre-evaluacin.
La visita en sitio.
Y la post-evaluacin.

La documentacin de la metodologa proporciona plantillas y guas para

cada paso del proceso, incluyendo una lista de 18 actividades base
principales.

III. CONTROLES Y CONTRAMEDIDAS DE EVALUACIN DE ACTIVOS

III.1. IDENTIFICACIN DE LOS ACTIVOS DE INFORMACIN
Se denomina activo a aquello que tiene algn valor para la organizacin y
por tanto debe protegerse. De manera que un activo de informacin es
aquel elemento que contiene o manipula informacin.

14

Activos de informacin son ficheros y bases de datos, contratos y acuerdos,

documentacin del sistema, manuales de los usuarios, material de
formacin, aplicaciones, software del sistema, equipos informticos, equipo
de comunicaciones, servicios informticos y de comunicaciones, utilidades
generales como por ejemplo calefaccin, iluminacin, energa y aire
acondicionado y las personas, que son al fin y al cabo las que en ltima
instancia generan, transmiten y destruyen informacin, es decir dentro de
un organizacin se han de considerar todos los tipos de activos de
informacin.
Para facilitar el manejo y mantenimiento del inventario los activos se
pueden distinguir diferentes categoras de los mismos:

Datos: Todos aquellos datos (en cualquier formato) que se generan,

recogen, gestionan, transmiten y destruyen en la organizacin.

Aplicaciones: El software que se utiliza para la gestin de la

informacin.
Personal: En esta categora se encuentra tanto la plantilla propia de la
organizacin, como el personal subcontratado, los clientes, usuarios y,
en general, todos aquellos que tengan acceso de una manera u otra a

los activos de informacin de la organizacin.

Servicios: Aqu se consideran tanto los servicios internos, aquellos que
una parte de la organizacin suministra a otra (por ejemplo la gestin
administrativa), como los externos, aquellos que la organizacin
suministra a clientes y usuarios (por ejemplo la comercializacin de

productos).
Tecnologa: Los equipos utilizados para gestionar la informacin y las
comunicaciones (servidores, PCs, telfonos, impresoras, routers,

cableado, etc.)
Instalaciones: Lugares en los que se alojan los sistemas de

informacin (oficinas, edificios, vehculos, etc.)

Equipamiento auxiliar: En este tipo entraran a formar parte todos
aquellos activos que dan soporte a los sistemas de informacin y que

15

no se hallan en ninguno de los tipos anteriormente definidos (equipos

de destruccin de datos, equipos de climatizacin, etc.)
III.2. VALORACIN DE ACTIVOS
Una vez identificados los activos, el siguiente paso a realizar es valorarlos.
Es decir, hay que estimar qu valor tienen para la organizacin, cual es su
importancia para la misma. Para calcular este valor, se considera cual
puede ser el dao que puede suponer para la organizacin que un activo
resulte daado en cuanto a su disponibilidad, integridad y confidencialidad.
Esta valoracin se har de acuerdo con una escala que puede ser
cuantitativa o cualitativa. Si es posible valorar econmicamente los activos,
se utiliza la escala cuantitativa. En la mayora de los casos, no es posible o
va a suponer un esfuerzo excesivo, por lo que utilizan escalas cualitativas
como por ejemplo: bajo, medio, alto o bien un rango numrico, por ejemplo
de 0 a 10 Con independencia de la escala utilizada, los aspectos a
considerar pueden ser los daos como resultado de:

Violacin de legislacin aplicable.

Reduccin del rendimiento de la actividad.
Efecto negativo en la reputacin.
Prdidas econmicas.

Trastornos en el negocio.

La valoracin debe ser lo ms objetiva posible, por lo que en el proceso

deben estar involucradas todas las reas de la organizacin, aunque no
participen en otras partes del proyecto y de esta manera obtener una
imagen realista de los activos de la organizacin. Es til definir con
anterioridad unos parmetros para que todos los participantes valoren de
acuerdo a unos criterios comunes, y se obtengan valores coherentes. Un
ejemplo de la definicin de estos parmetros podra ser la siguiente:

16

Disponibilidad: Para valorar este criterio debe responderse a la

pregunta de cul sera la importancia o el trastorno que tendra el

que el activo no estuviera disponible.

Integridad: Para valorar este criterio la pregunta a responder ser
qu importancia tendra que el activo fuera alterado sin autorizacin

ni control.
Confidencialidad: En este caso la pregunta a responder para
ponderar adecuadamente este criterio ser cual es la importancia
que tendra que al activo se accediera de manera no autorizada.

La valoracin de los activos deben realizarla un grupo de personas que

sean lo suficientemente representativas como para aportar entre todos una
visin razonablemente objetiva de la organizacin. Por supuesto deben ser
personas que conozcan bien la organizacin. Si se van a hacer las
valoraciones mediante reuniones de trabajo, el grupo no debera ser
excesivamente numeroso para que las reuniones no se alarguen
demasiado. Si se van a utilizar cuestionarios o entrevistas, se puede
involucrar a ms personas, siempre teniendo en cuenta el coste asociado a
ello.
III.3. EFECTIVIDAD DE LOS CONTROLES
Los controles identificados durante el proceso de entrevistas son
categorizados de la siguiente manera:
Tabla 1: Categora de controles
Tipo

Ejemplo de controles

Explicacin

Acceso por contrasea

Preventivo

Evitan que la amenaza se materialice

Cifrado de mensajes
Autenticacin fuerte

Detectivo

Alertan sobre violaciones o intentos de

violacin de la poltica de seguridad

Planes de auditoria
Sistemas de deteccin de intrusos
Digitos de chequeo

Correctivo

Se utilizan para restaurar recursos de

computacin perdidos o daados

Restauracin de sistemas y datos

Plan de recuperacin de desastres

17

Sistemas automticos
incendios
Automtico

Manual

El control
humana

se

ejecuta

sin

intervencin

de extincin de

Control de acceso biomtrico

Acceso por contraseas

Es requerida la intervencin humana para la

ejecucin del control

Inspeccin fsica de paquetes, bolsos, etc

Entrevistas de seleccin
Procedimientos de aprobacin

Mandatorio

Acceso por contraseas

El control se ejecuta siempre

Verificacin de antecedentes

DIscrecional

La ejecucin del control es potetativa de

una persona o grupo de personas

Aseguramiento
de
paltaformas
(actualizacin de parches, desactivacin
de puertos y servicios)
Revision de logs de acceso

IV.TIEMPO OBJETIVO DE RECUPERACIN

IV.1. PUNTO DE RECUPERACIN OBJETIVO Y TIEMPO DE RECUPERACIN
OBJETIVO
El RPO se determina sobre la base de la prdida de datos aceptable en
caso de una interrupcin de operaciones. Ello indica el punto ms
anticipado en el tiempo al cual es aceptable recuperar los datos. Por
ejemplo, si el proceso puede permitirse perder los datos hasta cuatro horas
antes del desastre, entonces la ltima copia de respaldo debera ser hasta
cuatro horas antes del desastre o de la interrupcin y por tanto, las
18

transacciones durante RPO y la interrupcin debern ser ingresadas

despus de la recuperacin (conocido como catch-up data o puesta al da
de los datos).
RPO cuantifica efectivamente la cantidad permitida de prdida de datos en
el caso de interrupcin. Es casi imposible recuperar la totalidad de los
datos. Incluso despus de ingresar los datos faltantes, algunos todava se
perdern y a ellos se hace referencia como datos hurfanos.
El RTO (tiempo objetivo de recuperacin) se determina sobre la base del
tiempo de inactividad aceptable en caso de una interrupcin de
operaciones. Ello indica el punto ms anticipado en el tiempo en el que las
operaciones de negocio deben retomarse despus del desastre. La
siguiente figura, muestra la relacin entre RTO y RPO.
figura 1: RPO y RTO

Fuente: Recurso de internet - http://www.bscconsultores.cl/

Cuanto ms bajo sea el tiempo de recuperacin requerido, ms elevado

ser el costo de las estrategias de recuperacin, es decir, si el RPO est en
minutos (prdida de datos aceptable ms baja posible), entonces el
MIRROGING o la duplicacin de datos debe implementarse como la
estrategia de recuperacin. Si el RTO es menor, entonces el sitio alternativo
podra preferirse a un contrato de hot site.
Adems de RTO y RPO, existen algunos parmetros que son importantes
para definir las estrategias de recuperacin. Estos incluyen:

19

Ventana de Interrupcin: El tiempo que una organizacin puede

esperar,

desde

el

punto

de

falla,

hasta

la

restauracin

de

servicios/aplicaciones crticas. Despus de ese tiempo, las prdidas

progresivas causadas por la interrupcin no son aceptables.

Objetivo de prestacin de servicios (SDO): El nivel de servicios a
proveer durante el modo de proceso alterno, hasta que se restaure la
situacin

normal.

Esto

est

directamente

relacionado

con

las

necesidades del negocio.

Cortes mximos tolerables: El tiempo mximo que la organizacin
puede soportar procesar en modo alterno

V. CONCLUSIONES

El principal objetivo de una evaluacin de riesgos, como primera ley de la

naturaleza, es garantizar la supervivencia de la organizacin, minimizando
los costos asociados con los riesgos, siendo que muchos de los defectos en

la administracin de riesgos radica en la ausencia de objetivos claros.

La evaluacin de riesgos en tecnologas de informacin es importante ya
que aproxima en forma ordenada el comportamiento de los riesgos,
anticipando posibles prdidas accidentales con el diseo e implementacin
de procedimientos que minimicen la ocurrencia o el impacto financiero de
prdidas que pudiesen ocurrir.
20

La evaluacin de riesgos en tecnologas de informacin, es una herramienta

muy til para el mejor desarrollo de las actividades de todos y cada uno de
los departamentos de las organizaciones; en particular del departamento de

sistemas de informacin.
El anlisis de riesgos en Tecnologas de nformaciIn, ha contribuido a
ampliar an ms los conocimientos sobre los problemas significativos que
pueda tener el rea de sistemas de una empresa y sobre las mltiples ideas

de soluciones que se pudieran aplicar.

La implementacin de controles de seguridad se debe justificar con base a
las conclusiones obtenidas del anlisis, evaluacin y tratamiento de riesgos
a los cuales se someten los activos de la organizacin.

21