Analisis Riesgos

Facultad de Ciencia y Tecnología - Sede: XXX
Universidad Autónoma de Entre Ríos
Tesis de Grado: Licenciatura en Sistemas de Información
Análisis de Riesgo de la Información.

Importancia del Control de Riesgos en Entidades Publicas
Autoras
A.S.S. Carina Isabel Cabrol
A.S. Silvina Lorena Cabrol
Director: Lic. Cristian Fabián Borghello
Diciembre de 2011
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Agradecimientos
“Lo primero es lo primero”… Gracias a nuestra MADRE, por su apoyo

permanente, y su incalculable AMOR.
A nuestros familiares por los estímulos para lograr este objetivo y por tolerar
nuestras ausencias.
A Cristian…simplemente.
Al Municipio de XXX y, en especial a los empleados que desinteresadamente

colaboraron con nosotras.
2
Índice General
AGRADECIMIENTOS ........................................................................................................................ 2
ÍNDICE GENERAL ............................................................................................................................. 3
ÍNDICE DE GRÁFICAS ..................................................................................................................... 5
ÍNDICE DE TABLAS .......................................................................................................................... 6
INTRODUCCIÓN: .............................................................................................................................. 8
DESCRIPCIÓN DE LA PROBLEMÁTICA ...................................................................................... 10
CAPÍTULO I – SEGURIDAD DE LA INFORMACIÓN..................................................................... 12
1. ¿Qué es la seguridad de la Información? ............................................................................ 12
2. Pilares de Seguridad de la información................................................................................ 13
3. Sistema de Gestión de Seguridad de la Información ........................................................... 14
CAPÍTULO II - ANÁLISIS Y GESTIÓN DE RIESGOS .................................................................... 15
1. ¿Qué es el riesgo? ............................................................................................................... 15
2. Elementos principales del riesgo.......................................................................................... 16
3. Consideración del riesgo ...................................................................................................... 21
4. Análisis de riesgos................................................................................................................ 23
5. Métodos de análisis de riesgos ............................................................................................ 27
6. Gestión de riesgos................................................................................................................ 28
7. Evaluación de riesgos y evaluación de costos ..................................................................... 30
CAPÍTULO III - METODOLOGÍAS DE ANÁLISIS Y GESTIÓN DE RIESGOS .............................. 33
1. MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
33
2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) ..................... 35
3. CRAMM - CCTA Risk Analysis and Method Management .................................................. 36
4. NIST SP 800-30 GUIA DE ANÁLISIS Y GESTION DE RIESGOS PARA SISTEMAS DE
TECNOLOGÍAS DE LA INFORMACIÓN ..................................................................................... 38
5. Metodología Microsoft .......................................................................................................... 40
6. ISO/IEC 27005 - 2008: Gestión de riesgos .......................................................................... 41
7. ISO 31000: 2009 Risk management- Principles and guidelines – International Organization
for Standarization ......................................................................................................................... 42
8. Síntesis comparativa entre Metodologías ........................................................................... 44
CAPÍTULO IV – NORMATIVA DE APLICACIÓN NACIONAL Y REGIONAL................................ 46
1. Legislación Nacional............................................................................................................. 46
2. Legislación Regional. ........................................................................................................... 54
CAPITULO V – PROPUESTA METODOLÓGICA Y DESARROLLO PRÁCTICO DE ANÁLISIS
DE RIESGOS ................................................................................................................................... 57
1. Propuesta Metodológica ....................................................................................................... 57
2. Caso de estudio: Desarrollo Práctico de Análisis de Riesgo ............................................... 60
CONCLUSIONES............................................................................................................................. 91
3
BIBLIOGRAFÍA................................................................................................................................ 93
GLOSARIO ...................................................................................................................................... 95
ANEXOS .......................................................................................................................................... 99
ANEXO I: Caso de estudio ......................................................................................................... 100
ANEXO Il – Puntos relevados para el análisis de riesgo ........................................................... 108
ANEXO IIl: Tesis y Normativa de aplicación: Nacional y Regional ............................................ 110
4
Índice de Gráficas
Gráfica Nº 1: Seguridad de la Información según Norma ISO/IEC 27000 .................................12

Gráfica Nº 2: Modelo para la gestión de la seguridad de la información .....................................14
Gráfica Nº 3: Relación entre Análisis de riesgo, certificación, auditoría y acreditación ..............25
Gráfica Nº 4: Relación costo – seguridad - punto de equilibrio ...................................................32
Gráfica Nº 5: Esquema de metodología Magerit..........................................................................34
Gráfica Nº 6: Fases del proceso OCTAVE ..................................................................................36
Gráfica Nº 7: Modelo de análisis y gestión de riesgo de CRAMM ...............................................37
Gráfica Nº 8: Proceso de análisis de riesgos de NIST SP 800- 30 ............................................38
Gráfica Nº 9: Proceso de gestión de riesgos de NIST SP 800 – 30 ............................................39
Gráfica Nº 10: Proceso de administración de riesgos Microsoft .................................................41
Gráfica Nº 11: Gestión del riesgo ISO/IEC 27005/08 .................................................................41
Gráfica Nº 12 “A”: Relación entre principios, estructura de soporte y proceso de gestión de
riesgo ............................................................................................................................................42
Gráfica Nº 12 “B”: Relación entre principios, estructura de soporte y proceso de gestión de
riesgo ............................................................................................................................................43
Gráfica Nº 13: Relación entre Riesgo Máximo y Riesgo actual ...................................................86
5
Índice de Tablas
Tabla Nº 1: Principios y atributos de OCTAVE ............................................................................35

Tabla Nº 2: Comparación entre metodologías .............................................................................44
Tabla Nº 3: Grado de Importancia ...............................................................................................60
Tabla Nº 4 : Grado de Importancia de activos de la entidad .......................................................61
Tabla Nº 5: Valores de degradación ............................................................................................63
Tabla Nº 6: Valores de frecuencia ...............................................................................................63
Tabla Nº 7.1: Base de Datos: degradación y frecuencia según amenaza ..................................64
Tabla Nº 7.2: Hardware General: degradación y frecuencia según amenaza .............................64
Tabla Nº 7.3: Hardware específico: degradación y frecuencia según amenaza .........................64
Tabla Nº 7.4: Software general: degradación y frecuencia según amenaza ...............................64
Tabla Nº 7.5: Software específico: degradación y frecuencia según amenaza ...........................65
Tabla Nº 7.6: Datos: degradación y frecuencia según amenaza .................................................65
Tabla Nº 7.7: Documentación física: degradación y frecuencia según amenaza........................65
Tabla Nº 7.8: Red: degradación y frecuencia según amenaza....................................................65
Tabla Nº 7.9: Copias de seguridad: degradación y frecuencia según amenaza .........................66
Tabla Nº 7.10: Usuarios: degradación y frecuencia según amenaza ..........................................66
Tabla Nº 7.11: Insumos: degradación y frecuencia según amenaza ..........................................66
Tabla Nº 7.12: Datos de usuario: degradación y frecuencia según amenaza .............................66
Tabla Nº 8.1: Bases de datos: estimación del impacto ................................................................67
Tabla Nº 8.2: Hardware General: estimación del impacto ...........................................................67
Tabla Nº 8.3: Hardware específico: estimación del impacto ........................................................68
Tabla Nº 8.4: Software general: estimación del impacto .............................................................68
Tabla Nº 8.5: Software específico: estimación del impacto .........................................................68
Tabla Nº 8.6: Datos: estimación del impacto ...............................................................................69
Tabla Nº 8.7: Documentación física: estimación del impacto ......................................................69
Tabla Nº 8.8: Red: estimación del impacto ..................................................................................69
Tabla Nº 8.9: Copias de seguridad: estimación del impacto .......................................................69

6
Tabla Nº 8.10: Usuarios: estimación del impacto ........................................................................70
Tabla Nº 8.11: Insumos: estimación del impacto .........................................................................70
Tabla Nº 8.12: Datos de usuarios: estimación del impacto .........................................................70
Tabla Nº 9.1: Base de datos: estimación del riesgo ....................................................................71
Tabla Nº 9.2: Hardware General: estimación del riesgo ..............................................................71
Tabla Nº 9.3: Hardware específico: estimación del riesgo ..........................................................72
Tabla Nº 9.4: Software general: estimación del riesgo ................................................................72
Tabla Nº 9.5: Software específico: estimación del riesgo ............................................................72
Tabla Nº 9.6: Datos: estimación del riesgo ..................................................................................72
Tabla Nº 9.7: Documentación física: estimación del riesgo .........................................................73
Tabla Nº 9.8: Red: estimación del riesgo .....................................................................................73
Tabla Nº 9.9: Copias de seguridad: estimación del riesgo ..........................................................73
Tabla Nº 9.10: Usuarios: estimación del riesgo ...........................................................................74
Tabla Nº 9.11: Insumos: estimación del riesgo ............................................................................74
Tabla Nº 9.12: Datos de usuarios: estimación del riesgo ............................................................74
Tabla Nº 10: Resumen de datos obtenidos .................................................................................75
Tabla Nº 11.1: Base de datos: cálculo de impacto y riesgo actual ..............................................76
Tabla Nº 11.2: Hardware general: cálculo de impacto y riesgo actual ........................................77
Tabla Nº 11.3: Hardware específico: cálculo de impacto y riesgo actual ....................................78
Tabla Nº 11.4: Software general: cálculo de impacto y riesgo actual ..........................................78
Tabla Nº 11.5: Software específico: cálculo de impacto y riesgo actual .....................................79
Tabla Nº 11.6: Datos: cálculo de impacto y riesgo actual ............................................................80
Tabla Nº 11.7: Documentación física: cálculo de impacto y riesgo actual ..................................80
Tabla Nº 11.8: Red: cálculo de impacto y riesgo actual ..............................................................81
Tabla Nº 11.9: Copia de seguridad: cálculo de impacto y riesgo actual ......................................82
Tabla Nº 11.10: Usuarios: cálculo de impacto y riesgo actual .....................................................83
Tabla Nº 11.11: Insumos: cálculo de impacto y riesgo actual .....................................................83
Tabla Nº 11.12. Datos de usuario: cálculo de impacto y riesgo actual ........................................84
Tabla Nº 12: Comparativa del riesgo máximo y riesgo actual .....................................................85
7
Introducción:
La sustentabilidad de una entidad, o emprendimiento, tiene numerosas

dimensiones (económica, operativa, institucional, entre otras) y la información que es
utilizada en el ejercicio de la misión de la misma debe cumplir con los pilares de
disponibilidad, integridad y confidencialidad, características que la hacen aplicable en
forma segura a la toma de decisiones basadas en hechos.
Esta sustentabilidad está sometida a riesgos (de mercado, de negocios o

políticos), que al hacer referencia a la información aplicable se trata de riesgos que
atentan contra los pilares mencionados. Estos implican amenazas, las que de
manifestarse colocan en peligro, directa o indirectamente, la sustentabilidad de la entidad,
en su dimensión y magnitud aplicables.
Por lo antes mencionado, es notorio que cabe realizar en forma preventiva la

determinación y análisis de los riesgos presentes en los procesos que generan y
manipulan la información. El mismo permitirá dimensionar y planificar acciones de
contención y protección para los activos que involucran el tratamiento de la información
sometida a riesgos.
Atendiendo a esta realidad, se considera oportuno profundizar en el conocimiento

de herramientas para el análisis y gestión de riesgos de la información en entidades del
ámbito público. En éstas la información, cuya naturaleza es de suma importancia, como
en toda organización, no reviste así la misma relevancia real al momento de sustentar el
avance conforme de un proceso y de asignar recursos a la gestión del mismo.
En la presente tesis se propone un marco teórico aplicable a un marco físico de

referencia (entidad pública). A este marco físico se le desarrolla un relevamiento, estudio
y análisis de riesgos de la información de los activos pertenecientes al mismo.
En consecuencia y como resultado del desarrollo del análisis de riesgo se obtiene

un conjunto de propuestas, las cuales son sugeridas con el objetivo de mitigar el nivel de
riesgo detectado en cada caso.
A estos efectos, se establecen los siguientes objetivos:
Objetivos generales
• Desarrollar un análisis para estimar la magnitud de los riesgos a los que está
expuesta la información en una Organización Gubernamental.
• Elaborar y proponer un plan de acciones para reducir la mayoría de estos riesgos
y para gestionar los riesgos residuales.
8
Objetivos específicos
• Identificar los activos informáticos de la organización asociados a la

información que se desea salvaguardar y determinar sus niveles de
vulnerabilidad;
• Detectar los sucesos no deseados y amenazas, a los que se exponen
potencialmente los activos de la organización y analizar las causas de su
existencia;
• Establecer la probabilidad de ocurrencia de los factores de riesgo
considerados y valorar estimativamente su impacto;
• Analizar los requisitos legales de normativas nacionales y regionales para el
aseguramiento de la información, e interpretar su aplicabilidad en la entidad en
estudio;
• Definir y proponer medidas y procedimientos de prevención y protección para
minimizar los riesgos detectados y evaluados.
9
Descripción de la Problemática
La introducción masiva de las nuevas tecnologías de la información y las

comunicaciones, conocidas por las siglas TICs, está influenciando fuertemente la
estructura y dinámica de los procesos económicos y sociales, redefiniendo las formas de
producir, vender y competir, en prácticamente todos los sectores productivos de bienes y
servicios; y también, en las nuevas formas de educar, de interacción y comunicación
entre la gente y organismos de la sociedad.
El continuo avance de las TICs genera en las organizaciones, tanto públicas como
privadas, que presentan cierto nivel de sistematización numerosas situaciones prácticas
y circunstancias de riesgo en la manipulación y tratamiento de la información.
Estas situaciones involucran, entre otros aspectos, a las diversas oportunidades

de mejora de los procesos que utilizan dichas tecnologías. No obstante, debe tenerse en
cuenta al momento de la inversión en éstas, que para lograr el objeto de las mismas es
necesaria la adecuada implementación de dichas tecnologías y el correspondiente
cambio de cultura organizacional y del factor humano respecto de los riesgos que
suponen como contrapartida de las ventajas logradas.
Esto significa un consecuente desarrollo de información cuyo diseño de datos, y

características de representación, son de mayor complejidad, acompañando a
transacciones comerciales y civiles de diversos tipos e importancia respecto de la
dependencia del estado de esta información para lograr su cometido, dependencia que,
en algunos casos, se torna crítica (ejemplo: operaciones tipo home banking).
Frente a esta realidad se debe poner atención al manejo de la información de las

administraciones públicas, las cuales requieren de mecanismos de seguridad capaces de
proteger los datos de todos los ciudadanos de forma exhaustiva. Es fundamental que
nadie pueda acceder a ellos sin la correspondiente autorización. Las instituciones
públicas deben ser conscientes de todo ello y procurar protegerlos con todas las
herramientas a su alcance.
Si bien esto no es un punto descartado, en algunas ocasiones, el volumen de

tareas y la urgencia de las mismas, no permite que se desarrolle un plan de acción para
resguardar la información que se administra y genera en las distintas áreas.
Para poder tomar medidas de seguridad se debe conocer qué es lo que se tiene
que proteger, por lo cual se debe estar al tanto de los puntos débiles con los que cuenta
la organización y pueden poner en peligro la información que opera. Esto constituye la
piedra angular para el desarrollo de una política de seguridad de la información, mediante
la cual se especifiquen procedimientos, reglas y buenas prácticas que determinen el
modo en que los activos y recursos son gestionados y protegidos.
El enfoque de la seguridad de la información abarca no solo aspectos

tecnológicos sino también legales, organizativos y culturales, es por esto que se necesita
de un análisis global de la situación de la organización, teniendo en cuenta la normativa
en la que se enmarcan las tareas de la misma, y así poder obtener herramientas de
gestión para facilitar a quien le corresponde la toma de decisiones.
10
Una de las principales herramientas de diagnóstico con que se cuenta y la cual se

ha ido consolidando como paso fundamental para la gestión de la seguridad de la
información es el análisis de los riesgos a los que está expuesta la información.
11
Capítulo I – Seguridad de la Información
En la actualidad las actividades que desarrollan día a día en las administraciones

públicas, empresas y muchas otras instituciones y organismos, requieren del correcto
funcionamiento de los sistemas y redes informáticas que las soportan y, en especial, de
su seguridad.
La información representa el activo más valioso de toda organización, por lo cual

es necesario, sino obligatorio, que se cumpla con requisitos de calidad y de seguridad en
los procesos que la utilizan.
Razón suficiente para que se brinde principal importancia a todos los aspectos
relacionados con la seguridad de la información. La propagación de virus, códigos
malignos y su rápida distribución a través de redes (como Internet) así como otros
ataques e incidentes de seguridad que se producen reiteradamente han contribuido a
despertar mayor interés por esta cuestión.
1. ¿Qué es la seguridad de la Información?
Se puede definir a la Seguridad de la Información como cualquier medida que

impida operaciones sobre la información que puedan comprometer su confidencialidad,
disponibilidad o integridad. En forma similar la Norma ISO/IEC 27000 define la Seguridad
de la información como la preservación de su confidencialidad, su integridad y su
disponibilidad (medidas conocidas por el acrónimo “CIA” en inglés: “Confidenciality,
integrity, availability”).
Gráfica Nº 1 - Seguridad de la Información norma ISO/IEC 27000
12
2. Pilares de Seguridad de la información
Las características fundamentales de la seguridad se las conoce como “pilares de

la seguridad de la información” y ellos son:
o Confidencialidad: esta característica se refiere a la privacidad de los elementos de

información almacenados, procesados o transmitidos por un sistema o red
informática. Es decir, que los recursos puedan accederse solo por aquellas personas
autorizadas para hacerlo. En caso de que los mismos caigan en manos de terceras
personas, éstas no deben tener acceso al contenido original.
o Integridad: se refiere a la validez y consistencia de los datos almacenados y

procesados en un sistema informático. Es decir, que los recursos puedan ser
creados y/o modificados solo por aquellos sujetos que están autorizados para
hacerlo. Asegurando también que la información no sea alterada durante su
transmisión.
Basándose en este principio, las herramientas de seguridad informática deben

garantizar que los procesos de actualización estén sincronizados y no se dupliquen,
de forma que todos los elementos del sistema manipulen adecuadamente los
mismos datos.
Este principio es particularmente importante en sistemas descentralizados, es decir,

aquellos en los que diferentes usuarios computadoras y procesos, comparten la
misma información.
o Disponibilidad: se refiere a la continuidad de acceso a los elementos de información

almacenados y procesados en un sistema informático. Es decir, que los recursos
estén disponibles para ser accedidos cuando las personas los necesiten.
Basándose en este principio, las herramientas de seguridad informática deben

reforzar la permanencia del sistema informático, en condiciones de actividad
adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación
que requieran.
“…Seguridad es la capacidad de las redes o de los sistemas de información

para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas
o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los servicios que
dichas redes y sistemas ofrecen o hacen accesibles…”1
La información se mantiene segura en la medida que se pueda garantizar su

confidencialidad, integridad y disponibilidad. Para ello se deberán tener presente aquellas
acciones, eventos o actos no deseados, que pueden atentar contra alguna de estas
características y constituyen amenazas que puedan dañar la información perjudicando la
misión de la organización que la utiliza.
1 : MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Método v10b; pág. 7
13
3. Sistema de Gestión de Seguridad de la Información

“…Se puede definir el Sistema de Gestión de la seguridad de la Información a
aquella parte del sistema general de gestión que comprende la política, la estructura
organizativa, los procedimientos, los procesos y los recursos necesarios para
implementar la gestión de la seguridad de la información en una organización…” 2
Para poner en práctica este proceso se deben tener en cuenta tareas y

procedimientos que permitan garantizar los niveles de seguridad exigibles en una
organización, sabiendo que los riesgos no se pueden eliminar totalmente, pero sí se
pueden gestionar.
Para la implementación de un sistema de gestión de seguridad de la información

en una organización se deben tener en cuenta los siguientes aspectos:
• Formalizar la gestión de la seguridad de la información

• Analizar y gestionar los riesgos
• Establecer procesos de gestión de la seguridad siguiendo la metodología PDCA:
o “Plan”: selección y definición de medidas y procedimientos.
o “Do”: implantación de medidas y procedimientos de mejora.
o “Check”: comprobación y verificación de las medidas implantadas.
o “Act”: actuación para corregir las deficiencias detectadas en el sistema.
• Certificación de la gestión de la seguridad
En este proceso de gestión de la seguridad se debe contemplar un modelo que
tenga presente los aspectos tecnológicos, organizativos, el cumplimiento del marco legal
y la importancia del factor humano, como se presenta en el siguiente esquema.
Personas Tecnología
• Sensibilización y formación
• Obligaciones y responsabilidades del • Selección, instalación, configuración y
personal actualización de soluciones hard y soft.
• Control y supervisión • Estandarización de productos.
• Colectivos a considerar: directivos, • Desarrollo seguro de aplicaciones
administradores, programadores,
usuarios, personal externo
S. G. S. I
Legislación I.S.M.S. Organización

• Cumplimiento y adaptación a la • Políticas normas y procedimientos
legislación vigente. (Information Security • Planes de contingencia y respuesta a
Management System) incidentes.
• Relaciones con terceros
Gráfica Nº 2 - Modelo para la gestión de la seguridad de la información 3
2 GOMEZ VIEITES, Álvaro; “Enciclopedia de la seguridad Informática”; Alfa Omega Ra-Ma; México 2007;
ISBN: 978-970-15-1266-1; págs. 18- 20
3
Op. Cit, pág. 19.
14
Capítulo II - Análisis y gestión de riesgos
Pueden existir miles de eventos que afecten de forma negativa el cumplimiento de

los objetivos establecidos de una organización. Estos eventos pueden tener origen
interno o externo, ser casuales o intencionados y ocasionar ciertos riesgo de seguridad
de la información, operativos, tecnológico, de mercado y legal.
Para poder implementar medidas de protección contra dichos eventos es

necesario aplicar procedimientos y tareas que permitan identificar los mismos,
clasificarlos, determinar la probabilidad de ocurrencia y el impacto sobre lo que se quiere
proteger, para poder planificar las acciones preventivas. En este sentido se debe aclarar
que la seguridad absoluta no existe pero si se puede trabajar para garantizar niveles
aceptables de seguridad.
1. ¿Qué es el riesgo?
Todas las actividades de una organización están sometidas a una serie de

amenazas, lo cual las hace altamente vulnerables, comprometiendo su estabilidad. Una
muestra de esta realidad son los accidentes operacionales, enfermedades, incendios u
otras catástrofes naturales, sin dejar de lado las amenazas propias de su negocio.
Tradicionalmente, las organizaciones han tratado estos riesgos mediante

estrategias de reacción y soluciones puntuales. No obstante, los elementos que
conforman los riesgos y los factores que determinan el impacto de sus consecuencias
sobre un sistema, son los mismos que intervienen para todos los riesgos en una
organización. Por ello, actualmente se utiliza un enfoque integral de manejo de los
mismos con el fin de evaluar, administrar y comunicar estos riesgos de una manera
integral, basados en los objetivos de la organización.
Se puede definir el riesgo como aquella eventualidad que imposibilita el

cumplimiento de un objetivo. Sin embargo, en lo relacionado con la tecnología,
generalmente el riesgo se plantea como amenaza, determinando el grado de exposición
a la ocurrencia de una pérdida, como por ejemplo el riesgo de perder datos al dañarse un
disco rígido.
La Organización Internacional de Normalización (ISO), en las Guías para la

gestión de la seguridad de TI/ TEC TR 13335-1 1996, define riesgo tecnológico como:
“La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades

existentes de un activo o un grupo de activos, generándole pérdidas o daños”.
Asimismo, en la Metodología de Análisis y Gestión del Riesgo elaborada por el

Misterio de Administraciones Públicas de Madrid, mediante el Consejo Superior de
Administración Electrónica: MAGERIT, se define el riesgo como:
15
“…Riesgo: estimación del grado de exposición a que una amenaza se

materialice sobre uno o más activos causando daños o perjuicios a la
Organización…”
En las definiciones presentadas se pueden identificar elementos, como activo,

amenaza y vulnerabilidad. Estos elementos, entre otros, deben comprenderse para, en
consecuencia, interpretar completamente el concepto de riesgo presentado.
2. Elementos principales del riesgo
Activos
Se denominan activos a los recursos del sistema de información o relacionados

con éste, necesarios para que la Organización funcione correctamente y alcance los
objetivos propuestos por su dirección.
“…Activo: Recurso, producto, proceso, dato, todo aquello que tenga un valor para
el objetivo de la organización…”4
La información que maneja un sistema u organización es el activo esencial y en

relación a ella se identifican otros activos relevantes y que tienen una relación directa con
la información:
• Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que
se necesitan para poder gestionar dichos datos.
• Las aplicaciones informáticas (software) que permiten manejar los datos.
• Los equipos informáticos (hardware) que permiten hospedar datos, aplicaciones
y servicios.
• Los soportes de información que son dispositivos de almacenamiento de datos.
• El equipamiento auxiliar que complementa el material informático.
• Las redes de comunicaciones que permiten intercambiar datos.
• Las instalaciones que acogen equipos informáticos y de comunicaciones.
• Las personas que explotan u operan todos los elementos anteriormente citados.
Valoración
Los activos interesan por su valor. Es decir, para poder determinar la protección a
brindar a un activo se debe conocer el valor del mismo en la organización o la relación del
activo con los objetivos de esta organización.
La valoración de los activos se realiza teniendo en cuenta aquella característica, o

dimensión, que se quiere proteger del activo: integridad, disponibilidad y confidencialidad.
Esto significa que para cada activo debe valorarse de forma independiente el costo que
4
Segu-info.com.ar – Introducción a ISO 27000 y Gobernabilidad en IT
16
tendría para la organización una pérdida total de su integridad, disponibilidad o

confidencialidad.
La valoración de los activos puede ser cuantitativa (con una cantidad numérica) o
cualitativa (en alguna escala de niveles). Los criterios más importantes a respetar son:
• la homogeneidad: es importante poder comparar valores aunque sean de

diferentes dimensiones a fin de poder combinar valores propios y valores
acumulados, así como poder determinar si es más grave el daño en una
dimensión o en otra.
• la relatividad: es importante poder relativizar el valor de un activo en
comparación con otros activos.
Valoración cualitativa: Las escalas cualitativas permiten darle un valor a cada

activo en un orden relativo respecto de los demás. Es frecuente plantear estas escalas
como “órdenes de magnitud” y, en consecuencia, derivar estimaciones del orden de
magnitud del riesgo.
La limitación de las valoraciones cualitativas es que no permiten comparar valores

más allá de su orden relativo. No se pueden sumar valores.
Valoración cuantitativa: Las valoraciones numéricas absolutas cuestan mucho

esfuerzo; pero no adolecen de los problemas de las valoraciones cualitativas.
Si la valoración es dineraria, además se pueden hacer estudios económicos

comparando lo que se arriesga con lo que cuesta la solución respondiendo a las
preguntas:
• ¿Vale la pena invertir tanto dinero en esta salvaguarda?

• ¿Qué conjunto de salvaguardas optimizan la inversión?
• ¿En qué plazo de tiempo se recupera la inversión?
• ¿Cuánto es razonable que cueste la prima de un seguro?
Amenazas:
“…Eventos que pueden desencadenar un incidente en la Organización

produciendo daños materiales o pérdidas inmateriales en sus activos…” 5.
Se puede establecer la siguiente clasificación al momento de estudiar las amenazas:
Amenazas naturales: incendios, inundaciones, tormenta, fallo eléctrico,

explosión.
5
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Método v10b; pág.
103
17
Amenazas de agentes externos: virus informático, ataques de una

organización criminal, disturbios y conflictos sociales, intrusos en la red,
robos, estafas.
Amenazas de agentes internos: empleados descuidados, o con formación
inadecuada o descontentos, errores en el uso de las herramientas o
recursos de sistemas.
Otra clasificación sería dependiendo del grado de intencionalidad de la amenaza:
Accidentes: averías del hardware y fallos de software, incendios,

inundación.
Errores: errores de utilización, de explotación, de ejecución de
determinados procedimientos.
Actuaciones mal intencionadas: robos, fraudes, sabotajes, intentos de
intrusión.
Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus

dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que
estimar cuán vulnerable es el activo.
Vulnerabilidad
Estimación de la exposición efectiva de un activo a una amenaza. Se determina

por dos medidas: frecuencia de ocurrencia y degradación causada.
Frecuencia: cada cuánto se materializa la amenaza. La frecuencia pone en

perspectiva aquella degradación, pues una amenaza puede ser de terribles
consecuencias pero de muy improbable materialización; mientras que otra amenaza
puede ser de muy bajas consecuencias, pero tan frecuente como para acabar
acumulando un daño considerable.
La frecuencia se modela como una tasa anual de ocurrencia, siendo valores

típicos:
100 muy frecuente a diario

10 frecuente mensualmente
1 normal una vez al año
1/10 poco frecuente cada varios años
Degradación: cuán perjudicado resultaría el activo. Es decir, la degradación mide

el daño causado por un incidente en el supuesto que ocurriera. La degradación se suele
caracterizar como una fracción del valor del activo y así aparecen expresiones como que
un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”.
Cuando las amenazas no son intencionales, probablemente baste conocer la fracción
18
físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se

pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad
alguna pues el atacante puede causar muchísimo daño de forma selectiva.
Salvaguardas o Contramedidas
Se definen las salvaguardas o contramedidas como aquellos procedimientos o

mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se evitan
simplemente organizándose adecuadamente, otras requieren elementos técnicos
(programas o equipos), otras seguridades físicas y, por último, está la política de
personal.
Al momento de estimar la vulnerabilidad del activo frente a las amenazas no se

consideran las salvaguardas que se aplican o que se podrían aplicar, sino que ese
cálculo se realiza en “bruto” por decirlo de cierta manera. Lo mismo ocurre al momento de
calcular el impacto y el riesgo. Se miden, por tanto, los impactos y riesgos a que estarían
expuestos los activos si no se protegieran en absoluto.
Las salvaguardas entran en el cálculo del riesgo de dos formas:
• Reduciendo la frecuencia de las amenazas. Se llaman salvaguardas

preventivas. Las ideales llegan a impedir completamente que la amenaza
se materialice.
• Limitando el daño causado. Hay salvaguardas que directamente limitan
la posible degradación, mientras que otras permiten detectar
inmediatamente el ataque para frenar que la degradación avance. Incluso
algunas salvaguardas se limitan a permitir la pronta recuperación del
sistema cuando la amenaza lo destruye. En todas de las versiones, la
amenaza se materializa; pero las consecuencias se limitan.
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia

frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, lo que
implica que:
• es teóricamente idónea
• está perfectamente desplegada, configurada y mantenida
• se emplea siempre
• existen procedimientos claros de uso normal y en caso de incidencias
• los usuarios están formados y concienciados
• existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que están de adorno y el 100% para
aquellas que son perfectas, se estimará un grado de eficacia real en cada caso concreto.
19
Con los elementos antes descriptos se puede estimar el impacto y el riesgo,

impacto residual y riesgo residual.
Impacto
Se denomina impacto a la medida del daño sobre el activo derivado de la

materialización de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradación que causan las amenazas, es directo derivar el impacto
que estas tendrían sobre el sistema. A saber:
Impacto = valor del activo X degradación
Con esta información se puede determinar el riesgo ya que:
Riesgo = frecuencia X impacto
Impacto residual
Si se ha realizado todo correctamente, el impacto residual debe ser despreciable.
En caso contrario (normas imprecisas, procedimientos incompletos,

contramedidas inadecuadas o insuficientes, o controles que no controlan) entonces se
dice que el sistema permanece sometido a un impacto residual.
Como no han cambiado los activos, sino solamente la magnitud de la

degradación, se repiten los cálculos de impacto con este nuevo nivel de degradación.
La magnitud de la degradación tomando en cuenta la eficacia de las

contramedidas, es la proporción que resta entre la eficacia perfecta y la eficacia real.
Riesgo residual
El riesgo residual se define como “…el riesgo remanente en el sistema tras la

implantación de las salvaguardas determinadas en el plan de seguridad de la
información…”6
La magnitud de la degradación se toma en consideración en el cálculo del impacto

residual.
La magnitud de la frecuencia tomando en cuenta la eficacia de las salvaguardas,

es la proporción que resta entre el resultado perfecto y el resultado real.
El impacto y riesgo residual son una medida del estado presente, entre la
inseguridad potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen
impacto y riesgo a valores despreciables. Son una métrica de carencias.
Por tanto, el cálculo del riesgo residual puede definirse como:
Riesgo Residual = Riesgo intrínseco – Riesgo mitigado por salvaguardas
6
Op. Cit. Pág. 109.
20
Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen

para nada, típicamente no porque no haya nada hecho, sino porque hay elementos
fundamentales sin hacer.
Si el valor residual es despreciable, se estaría en la situación correcta. Lo cual no

quiere decir que hay que bajar la guardia; pero si afrontar el día con cierta confianza.
Es importante entender que un valor residual es sólo un número. Para su correcta

interpretación debe venir acompañado de la relación de lo que se debería hacer y no se
ha hecho. Los responsables de la toma de decisiones deberán prestar cuidadosa
atención a esta relación de tareas pendientes, que constituye la base para reducir el
riesgo existente.
3. Consideración del riesgo
El riesgo, en la medida en que se lo ve como una exposición potencial a un

impacto negativo para el cumplimiento de los objetivos de una Organización, tiene una
relación negativa.
Sin embargo, el riesgo es una característica propia de cualquier actividad, y por

tanto, no puede considerarse un factor negativo, sino un factor que conviene conocer y
gestionar, pero nunca ignorarse.
El riesgo puede convertirse en una ventaja competitiva para las Organizaciones

que sean capaces de gestionarlo adecuadamente. La capacidad de gestionar
adecuadamente un elevado nivel de riesgo puede ser un factor diferenciador en la
medida en que:
• La Organización puede operar en circunstancias en las que otras organizaciones

no podrían operar con el nivel de inseguridad asumido. Con frecuencia, la
asunción de un mayor nivel de riesgo lleva asociada un mayor retorno de la
inversión, que podría denominarse una “prima de riesgo”.
• El mejor control del riesgo permite a la Organización disponer de información de
mejor calidad para la toma de decisiones. Por ejemplo, la capacidad de valorar el
nivel de riesgo puede permitir determinar si la “prima de riesgo” contratada es
proporcionada y justifica la asunción de un riesgo adicional.
• El mejor control del riesgo también permite detectar de forma anticipadas las
desviaciones, proporcionando un mayor tiempo de reacción para la toma de
medidas correctoras. Por ejemplo, la detección del mal funcionamiento de un
determinado procedimiento de soporte (o de un cambio en el entorno que pueda
afectar a un proceso) puede permitir la introducción de controles adicionales, de
modo que las deficiencias se corrijan antes de que el impacto sea significativo.
• Por último, un mejor control del riesgo, en la medida en que pueda comunicarse a
todos los grupos de interés puede dar ventajas significativas. Existen diversos
mecanismos para la comunicación de este mayor nivel de control a todos los
grupos de interés:
21
o Publicación de memorias de gestión donde conste el compromiso de la

Organización con la gestión del riesgo y el enfoque general empleado en
su gestión.
o Obtención de certificaciones, por las que un tercero independiente y
autorizado para ello da fe de la calidad de algún aspecto determinado de la
gestión.
o Menor desviación en el cumplimiento de los objetivos planteados.
o Menor ocurrencia de defectos de control que puedan reflejarse en los
medios de comunicación, ya sean sectoriales o generales.
Esta doble faceta del riesgo como amenaza y como oportunidad se refleja en la
existencia de dos términos afines utilizados para denominar la cantidad de riesgo que
gestionan las organizaciones:
• Se denomina tolerancia al riesgo a la cantidad de riesgo que una Organización es

capaz de gestionar.
• Se denomina inclinación de riesgo a la cantidad de riesgo que una Organización
está dispuesta a gestionar para lograr los objetivos establecidos.
Tipos de salvaguardas
Un sistema debe considerar prioritariamente las salvaguardas de tipo preventivo

que buscan que la amenaza no ocurra o su daño sea despreciable. Es decir, impedir
incidentes o ataques.
En la práctica, no todo es previsible, ni todo lo previsible es económicamente

razonable atajarlo en sus orígenes. Tanto para enfrentar lo desconocido como para
protegerse de aquello a lo que se permanece expuesto, es necesario disponer de
elementos que detecten el inicio de un incidente y permitan reaccionar con celeridad
impidiendo que se convierta en un desastre.
Tanto las medidas preventivas como las de emergencia admiten una cierta
degradación de los activos por lo que habrá que disponer por último de medidas de
recuperación que devuelvan el valor perdido por los activos.
Es de sentido común intentar actuar de forma preventiva para que las cosas no
puedan ocurrir o no puedan causar mucho daño; pero no siempre es posible y hay que
estar preparados para que ocurran. Lo que de ninguna manera puede pasar es que un
ataque pase inadvertido: hay que detectarlo, registrarlo y reaccionar primero con medidas
de emergencia (que paren y limiten el incidente) y después con medidas de continuidad y
recuperación para regresar a donde se debe estar.
Es importante tener en cuenta que se debe llegar a un equilibrio entre:
salvaguardas técnicas: en aplicaciones, equipos y comunicaciones

salvaguardas físicas: protegiendo el entorno de trabajo de las personas y los
equipos.
medidas de organización: de prevención y gestión de las incidencias
22
política de personal: que, a fin de cuentas, es el eslabón imprescindible y

más delicado: política de contratación, formación permanente, Organización
de reporte de incidencias, plan de reacción y medidas disciplinarias.
4. Análisis de riesgos
El análisis de riesgos es una herramienta que permite identificar, clasificar y

valorar los eventos que pueden amenazar la obtención de los objetivos de la
Organización, establecer la exposición real a los riesgos por parte de una organización y
determinar las medidas oportunas para reducir el impacto esperado hasta un nivel
tolerable.
“…proceso sistemático para estimar la magnitud de los riesgos a que está

expuesta una Organización…”7
Este análisis tiene como objetivo identificar los riesgos, mediante la definición de
sus elementos, y lograr establecer el riesgo total y residual, en términos cuantitativos y/o
cualitativos. Realizar este análisis es indispensable para lograr administrar
adecuadamente los mismos.
¿En qué consiste un análisis de riesgo?
Básicamente los pasos a seguir en un análisis de riesgo serían los que a

continuación se listan. Cabe aclarar que en el Capítulo III, de esta investigación, se
presentan distintas metodologías desarrolladas en materia de análisis de riesgos, las
cuales incluyen estos pasos pero a la vez definen instancias específicas.
• Identificar los elementos a proteger. Es decir identificar los activos.

• Valorar esos elementos a proteger
• Identificar las amenazas que pueden perjudicar a los activos
• Realizar la valoración de los activos en relación a las amenazas.
Vulnerabilidades
• Estimar el impacto en caso de materialización de una amenaza
• Estimar el riesgo
• Establecer contramedidas o salvaguardas
• Estimar el impacto residual
• Estimar el riesgo residual
• Proponer medidas de control
7 MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Método v10b; pág. 8
23
El ejercicio de análisis de riesgos no debe realizarse aislado del resto de

iniciativas que conducen a alcanzar un nivel de seguridad acorde con los requerimientos
de la Organización. En particular, una línea base de seguridad que especifique un
conjunto de medidas que deben cumplirse en todos los entornos de la Organización
permite mitigar un elevado volumen de riesgos cuyo análisis individual sería de otra forma
excesivamente compleja. Si existe esta línea base de seguridad, el análisis de riesgos
puede centrarse en analizar aquellos riesgos que necesitan una atención, y por tanto,
unas medidas de seguridad especiales.
Esta herramienta de diagnostico, como anteriormente se presentó, puede tener

distintos destinatarios dentro de la Organización. Cada uno de los cuales necesita la
información con distintos fines:
Algunos de los principales destinatarios del análisis de riesgos son:
• Responsables de seguridad de la información, les permite obtener y formalizar la

información sobre la situación actual y deseable de seguridad, y así definir el plan
de acción necesario para cumplir los requerimientos de la Organización.
• Dirección de la Organización, debido a la importancia de conocer la necesidad de

establecer medidas contra los riesgos que amenazan los objetivos fijados.
Asimismo, la Dirección precisa interiorizarse del plan de acción propuesto para
alcanzar el nivel de seguridad adecuado y la inversión asociada para tomar las
decisiones oportunas y proporcionar la financiación necesaria.
• Auditores, debido a que necesitan obtener conocimientos de los riesgos

existentes en la Organización, para cumplir su función de evaluar el cumplimiento
de las políticas y procedimientos establecidos para mitigarlos.
El análisis de riesgos es una piedra angular de los procesos de evaluación,

certificación, auditoría y acreditación que formalizan la confianza que merece un sistema
de información. El análisis de riesgos proporciona una visión única de cómo es cada
sistema, qué valor posee, a qué amenazas está expuesto y de qué salvaguardas se ha
dotado. Es, por lo tanto, el análisis de riesgo un paso obligado para poder concretar
todas las tareas mencionadas, que se relacionan según el siguiente esquema:
24
Análisis de Modelo
riesgos de valor
Mapa de Gestión de
Salvaguardas
riesgos riesgos
Auditoría
Evaluación
de seguridad
Resultados
de
evaluación
Certificación Registro
Acreditación
Gráfica Nº 3 - Relación entre análisis de riesgo, certificación, auditoría y acreditación8
Evaluación: Las evaluaciones permiten medir el grado de confianza que merece

o inspira un sistema de información.
Certificación: La evaluación puede llevar a una certificación o registro de la

seguridad del sistema. En la práctica se certifican productos y se certifican sistemas de
gestión de la seguridad. Certificar es asegurar responsablemente y por escrito un
comportamiento.
Antes de proceder a la certificación, debe haberse realizado un análisis de riesgos

a fin de conocer los riesgos y de controlarlos mediante la adopción de los controles
adecuados, además, será un punto de control de la gestión del producto o sistema.
Acreditación: La acreditación es un proceso específico cuyo objetivo es legitimar

al sistema para formar parte de sistemas más amplios. Se puede ver como una
certificación para un propósito específico.
Auditorías: Una auditoría puede servirse de un análisis de riesgos que le permita

saber qué hay en juego, a qué está expuesto el sistema y valorar la eficacia y eficiencia
de las salvaguardas.
Las auditorías pueden ser internas o externas y pueden ser requeridas por la ley,
por la propia dirección o por otras entidades relacionadas a la organización que ven su
propio nivel de riesgo ligado.
8
Op. Cit., pág. 12
25
¿Cuándo corresponde realizar un análisis de riesgo?
Poner en práctica un análisis de riesgo es costoso y complejo, ya que poder

realizar un inventario de activos y valorarlos requiere de todos los partícipes de una
organización, desde los niveles gerenciales hasta los técnicos. La complejidad no es
porque se involucre a muchas personas sino porque se deben aunar criterios para darle
importancia a lo que realmente corresponde y obviar lo que es secundario o incluso
despreciable.
Un análisis de riesgos es recomendable en cualquier Organización para el

cumplimiento de su misión. El análisis de riesgos permite tomar decisiones de inversión
en tecnología, desde la adquisición de equipos de producción hasta el despliegue de un
centro alternativo para asegurar la continuidad de la actividad, pasando por las
decisiones de adquisición de salvaguardas técnicas y de selección y capacitación del
personal.
El análisis de riesgos es una herramienta de diagnostico que brinda a la gestión

información para la toma de decisiones. Estas decisiones pueden llevarse a cabo antes
de desplegar un servicio o con éste funcionando. Lo mejor sería hacerlo antes, de
manera tal que las medidas que haya que tomar se incorporen en el diseño del servicio,
en la elección de componentes, en el desarrollo de las aplicaciones y en los manuales de
usuario. Todo lo que sea corregir riesgos imprevistos es costoso en tiempo propio y
ajeno, lo que puede perjudicar la imagen prestada por la Organización y puede suponer,
en último extremo, la pérdida de confianza en su capacidad.
¿Qué significa administrar los riesgos?
Administrar los riesgos implica gestionar los recursos de la organización para

lograr un nivel de exposición determinado. Ese nivel se establece por tipo de activo,
permitiendo menor exposición cuando más crítico es ese activo.
El ciclo de administración de riesgos se cierra con la determinación de las

acciones a seguir respecto de los riesgos residuales identificados.
Estas acciones pueden ser:
• Controlar el riesgo: Se fortalecen los controles existentes o se agregan nuevos.

• Eliminar el riesgo: Se elimina el activo relacionado y por ende el riesgo.
• Compartir el riesgo: Mediante acuerdos contractuales se traspasa parte del riesgo,
o su totalidad, a un tercero. Un ejemplo son los seguros.
• Aceptar el riesgo: Determinar que el nivel de exposición es el adecuado.
El proceso de administrar los riesgos es un proceso continuo, ya que se hace

necesario evaluar los riesgos periódicamente si los riesgos identificados y la exposición a
los mismos calculada previamente se mantienen vigentes.
26
5. Métodos de análisis de riesgos
El análisis de riesgo es un proceso que forma parte de un plan para hacer frente a
los problemas de seguridad e intentar minimizar los efectos que esos problemas pueden
acarrear. Este proceso hace referencia a tres cuestiones básicas de la seguridad:
• ¿Qué se quiere proteger?

• ¿Contra quién o qué se quiere proteger?
• ¿Cómo se lo quiere proteger?
En la práctica existen distintos métodos para responder estas cuestiones:
cuantitativo, cualitativo y otro mixto.
Análisis de Riesgos cuantitativo:
Este método se basa en dos parámetros fundamentales: la probabilidad de que un

suceso ocurra y una estimación del coste o las pérdidas en caso que así sea; el producto
de ambos términos es lo que se denomina costo anual estimado.
Al usar este método se asignan números reales positivos ($,%) a los elementos
del análisis de riesgo y a las contramedidas.
Aunque teóricamente es posible conocer el riesgo de cualquier evento y tomar

decisiones en función de estos datos, en la práctica la inexactitud en la estimación, la
cantidad de información y lo complejo de sus cálculos hace que este tipo de análisis de
riesgos sea menos usado en la actualidad.
Análisis de Riesgos cualitativo:
Este método es mucho más sencillo e intuitivo que el anterior, ya que ahora no
entran en juego probabilidades exactas sino simplemente una estimación de pérdidas
potenciales. Para ello se interrelacionan los elementos: amenazas, vulnerabilidades,
impacto y las salvaguardas. Con éstos se puede obtener un indicador cualitativo del nivel
de riesgo asociado a un activo determinado dentro de la organización, visto como la
probabilidad de que una amenaza se materialice sobre un activo y produzca determinado
impacto.
En comparación…
Los modelos cualitativos ofrecen resultados útiles en comparación con los

modelos cuantitativos, simplemente porque el relevamiento de datos cualitativo es más
ágil que el cuantitativo.
Los modelos cualitativos son eficaces separando lo más importante de lo que no

es tan importante; pero agrupan las conclusiones en grandes conjuntos. Los modelos
cuantitativos, por el contrario, consiguen una ubicación precisa de cada aspecto.
27
Impacto y riesgo residual pueden ser cualitativos hasta que aparecen grandes
inversiones y hay que determinar su racionalidad económica: ¿qué es lo que interesa
más? En este punto se necesitan números.
Análisis de Riesgos mixtos:
A raíz de las ventajas y desventajas que presentan los métodos cuantitativos y

cualitativos es que existen alternativas para combinar ambos métodos, en los cuales se
puede obtener mayores ventajas de cada uno. Estos métodos se denominan métodos
mixtos.
6. Gestión de riesgos
La gestión de riesgos se basa en los resultados obtenidos en el análisis de los

riesgos.
Gestionar los riesgos consiste en seleccionar e implantar medidas o

‘salvaguardas’ de seguridad adecuadas para conocer, prevenir, impedir, reducir o
controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles
perjuicios.
Selección de salvaguardas
Hay que planificar el conjunto de salvaguardas acertadas para atajar tanto el

impacto como el riesgo, reduciendo tanto la degradación del activo (minimizando el
daño), como reduciendo la frecuencia de la amenaza (minimizando sus oportunidades).
Toda amenaza debe ser enfrentada profesionalmente, lo que quiere decir que hay
que:
1. establecer una política de la Organización al respecto; o sea, unas directrices

generales de quién es responsable de cada cosa
2. establecer una norma; o sea, unos objetivos a satisfacer para poder decir con
propiedad que la amenaza ha sido conjurada
3. establecer unos procedimientos; o sea, instrucciones paso a paso de qué hay que
hacer
4. desplegar salvaguardas técnicas que efectivamente se enfrenten a las amenazas
con capacidad para conjurarlas
5. desplegar controles que permitan saber que todo lo anterior está funcionando
según lo previsto.
No debe interpretarse que hay que llevar a cabo todos y cada uno de los puntos
para cada amenaza, sino que en la práctica lo dicho se traduce en desarrollar una
política, unas normas y unos procedimientos junto con el despliegue de una serie de
28
salvaguardas y controles y luego verificar que todas y cada una de las amenazas tienen
una respuesta adecuada.
La gestión de riesgos ha ganado impulso en los últimos años, especialmente a

partir de la década de los noventa, lo que ha originado la aparición de “Modelos de
Gestión de Riesgos”, algunos de ellos de carácter más específico, como por ejemplo:
COSO, ISO 14000, ISO 22000, OHSAS, y otros de carácter más global como la norma
AS/NZS 4630 o la norma ISO 31000.
La Organización Internacional de Estandarización (ISO), en su objetivo de brindar

herramientas de ayuda a las organizaciones de todo tipo y tamaño, a gestionar los
riesgos con efectividad, desarrolló recientemente la norma denominada ISO 31000: 2009,
Risk management – Principles and guidelines.
Este nuevo estándar ISO provee de los principios, el marco de trabajo y un

proceso destinado a gestionar cualquier tipo de riesgo de manera sistemática y creíble
para cualquier tipo de organización, pública o privada, grande o pequeña.
A continuación se presentan los principios básicos de la gestión de riesgos

definidos en la norma mencionada con anterioridad.
“…Principios básicos de la Gestión de riesgos según ISO 31000:2009
Para una mayor eficacia, la gestión del riesgo en una organización debe tener en
cuenta los siguientes principios:
1. Crea valor. Contribuye a la consecución de objetivos así como la mejora de

aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo,
protección ambienta.
2. Está integrada en los procesos de una organización. No debe ser entendida como
una actividad aislada sino como parte de las actividades y procesos principales de
una organización.
3. Forma parte de la toma de decisiones. La gestión del riesgo ayuda a la toma de
decisiones evaluando la información sobre las distintas alternativas.
4. Trata explícitamente la incertidumbre. La gestión del riesgo trata aquellos
aspectos de la toma de decisiones que son inciertos, la naturaleza de esa
incertidumbre y como puede tratarse.
5. Es sistemática, estructurada y adecuada. Contribuye a la eficiencia y,
consecuentemente, a la obtención de resultados fiables.
6. Está basada en la mejor información disponible. Los inputs del proceso de gestión
del riesgo están basados en fuentes de información como la experiencia, la
observación, las previsiones y la opinión de expertos.
7. Está hecha a medida. La gestión del riesgo está alineada con el contexto externo
e interno de la organización y con su perfil de riesgo.
8. Tiene en cuenta factores humanos y culturales. Reconoce la capacidad,
percepción e intenciones de la gente, tanto externa como interna, que puede
facilitar o dificultar la consecución de los objetivos de la organización.
29
9. Es transparente e inclusiva. La apropiada y oportuna participación de los grupos

de interés (stakeholders) y, en particular, de los responsables a todos los niveles,
asegura que la gestión del riesgo permanece relevante y actualizada.
10. Es dinámica, iterativa y sensible al cambio. La organización debe velar para que la
gestión del riesgo detecte y responda a los cambios de la empresa. Facilita la
mejora continua de la organización. Las organizaciones deberían desarrollar e
implementar estrategias para mejorar continuamente, tanto en la gestión del
riesgo como en cualquier otro aspecto de la organización…”9
7. Evaluación de riesgos y evaluación de costos
“El análisis de riesgos supone más que el hecho de calcular la posibilidad de

que ocurran cosas negativas.
• Se debe poder obtener una evaluación económica del impacto de estos

sucesos. Este valor se podrá utilizar para contrastar el costo de la
protección de la información en análisis, versus el costo de volverla a
producir (reproducir).
• Se debe tener en cuenta la probabilidad que sucedan cada uno de los
problemas posibles. De esta forma se pueden priorizar los problemas y
su coste potencial desarrollando un plan de acción adecuado.
• Se debe conocer qué se quiere proteger, dónde y cómo, asegurando
que con los costos en los que se incurren se obtengan beneficios
efectivos. Para esto se deberá identificar los recursos (hardware,
software, información, personal, accesorio) con que se cuenta y las
amenazas a las que se está expuesto.”10
Establecer el valor de los datos es algo totalmente relativo, ya que la información

constituye un recurso que generalmente no se valora correctamente debido a su
intangibilidad, cosa que no ocurre con aquellos recursos que la soportan como son los
equipos informáticos, aplicaciones software y medios de almacenamiento.
La evaluación de costos consiste en cuantificar los daños que cada posible

vulnerabilidad puede causar. Para poder desarrollar una evaluación certera y lograr
política de seguridad es necesario plantearse las siguientes preguntas:
• ¿Qué recursos se quieren proteger?

• ¿De qué personas necesita proteger los recursos?
• ¿Qué tan reales son las amenazas?
• ¿Qué tan importante es el recurso?
• ¿Qué medidas se pueden implantar para proteger sus bienes de una manera
económica y oportuna?
9
ISO 31000:2009 - Risk management – Principles and guidelines
10
Segu-Info: Seguridad de la Información – Artículo: Evaluación de riesgos
(http://www.segu-info.com.ar/politicas/riesgos.htm)
30
Con ayuda del análisis de riesgos y teniendo en cuenta las respuestas a las
preguntas presentadas anteriormente se puede saber qué recursos vale la pena proteger,
y justifican el costo de la inversión.
Al aplicar medidas preventivas se persigue el objetivo de que el costo del ataque

sea mayor que el valor del bien que se quiere proteger, invirtiendo menos de lo que vale.
Para lo cual se definen tres costos fundamentales:
• CP: Valor de los bienes y recursos protegidos.

• CR: Costo de los medios necesarios para romper las medidas de
seguridad establecidas.
• CS: Costo de las medidas de seguridad.
Para que la relación económica de la política de seguridad sea lógica se debe

cumplir que:
CR > CP: Si atacar el bien es más caro de lo que valen, al atacante le conviene
más obtenerlo de otra forma menos costosa.
CP > CS: El costo de los bienes protegidos debe ser mayor que el costo de la
protección. Se debe tratar de valorar los costos en que se puede incurrir en el peor de los
casos diferenciando el costo de las medidas de seguridad adoptadas. Se debe poner
especial cuidado para no incurrir en el error de no considerar costos, muchas veces,
ocultos (costos derivados).
CR > CP > CS Es decir se busca minimizar el costo de la protección

manteniéndolo por debajo del de los bienes protegidos y maximizar el costo de los
ataques manteniéndolo por encima del de los bienes protegidos.
Al evaluar los bienes y los costos derivadas de sus pérdidas se debe tener en
cuenta los siguientes conceptos:
Valor intrínseco: se puede considerar que es el más fácil de calcular ya que

consiste en darle un valor al bien contestando preguntas como las mencionadas y
examinando minuciosamente todos los componentes a proteger.
Por ejemplo: un servidor de un departamento con varios grupos de investigación:

Valor del hardware, valor del software, valor de los resultados de investigación
almacenados, costo del esfuerzo y del material invertido para obtener los datos, valor de
la información personal que contiene.
Costos derivados de las pérdidas: su cálculo es más engorroso ya que deben

contemplarse todas las posibilidades intentando incluir todos los valores derivados de la
pérdida de algún componente del sistema. Deben considerarse elementos como:
• Información aparentemente inofensiva como datos personales, que pueden

permitir a alguien suplantar identidades.
• Datos confidenciales de acuerdos, convenios y contratos que un atacante podría
usar para su beneficio.
• Tiempos necesarios para obtener ciertos bienes. Un atacante podría acceder a
ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.
31
Punto de Equilibrio: Una vez evaluados los riesgos y los costos en los que se
está dispuesto a incurrir y decidido el nivel de seguridad a adoptar, podrá obtenerse un
punto de equilibrio entres estas magnitudes.
“En la siguiente gráfica se pretende mostrar que los riesgos disminuyen al

aumentar la seguridad (y los costos en los que se incurre) pero como ya se sabe los
costos tenderán al infinito sin lograr el 100% de seguridad y por supuesto nunca se
logrará no correr algún tipo de riesgo. Lo importante es lograr conocer cuan seguro se
estará conociendo los costos y los riesgos que se corren (Punto de Equilibrio).”11
Gráfica Nº 4 -Relación Costo – Seguridad – Punto de equilibrio

(http://www.segu-info.com.ar/politicas/costos.htm)
11
Segu-Info: Seguridad de la Información – Artículo: Evaluación de costos. (http://www.segu-
info.com.ar/politicas/costos.htm)
32
Capítulo III - Metodologías de Análisis y Gestión de Riesgos
En el campo del análisis de riesgo de la información se han desarrollado

numerosas metodologías, las cuales según el área de aplicación especifican aspectos
distintos, pero existen una serie de pasos y principios básicos comunes a todas ellas y los
cuales se han visto en el capítulo anterior.
A continuación se presentan algunas metodologías desarrolladas para análisis de
riesgos, aplicables al ámbito de estudio, y sus principales características, así como
normas y estándares que incluyen dicho proceso como herramienta necesaria para el
aseguramiento de la información.
1. MAGERIT: Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información.
Es una metodología de carácter público elaborada por el Consejo Superior de

Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas
(MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política
informática del Gobierno Español. Actualmente la versión vigente es la 2.0, la cual se
publicó en el año 2006.
Es una metodología de carácter público y es de uso obligatorio en la

Administración Pública Española.
Objetivos de Magerit12:
Directos:
1. concienciar a los responsables de los sistemas de información de la existencia de
riesgos y de la necesidad de detenerlos a tiempo;
2. ofrecer un método sistemático para analizar tales riesgos;
3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.
Indirectos:
1. preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso
La Metodología se compone de tres (3) volúmenes:
• Volumen 1- Método: constituye el documento principal ya que en él se explica

detalladamente la metodología.
12
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Método v10b; página 6.
33
• Volumen 2- Catálogo de elementos: Proporciona diversos inventarios para la

aplicación de la metodología: tipos de activos, Dimensiones y criterios de valoración,
Amenazas y Salvaguardas.
• Volumen 3- Guía de técnicas: introducción de las técnicas a utilizar en las distintas
fases del análisis de riesgos: Técnicas específicas para el análisis de riesgos;
Técnicas generales.
El modelo Magerit incluye los siguientes pasos:
1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en

el sentido de qué perjuicio (coste) supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización

de la amenaza
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o

expectación de materialización) de la amenaza
Están expuestos a Activos
Amenazas Interesan por su
Valor
Causan cierta
Degradación
Impacto
Con una cierta
Frecuencia
Riesgo
Gráfica Nº 5 - Esquema de la Metodología MAGERIT13
13
Op. Cit; pág. 16.
34
2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability

Evaluation)
Octave, fue desarrollado por la Universidad de Carnegie Mellon en el año 2001 y

constituye un modelo para el desarrollo de metodologías de análisis de riesgos. Su
principal característica se basa en el conjunto de criterios (principios, atributos y
resultados) a partir de los cuales se desarrollan otras metodologías basados en gestión y
la planeación estratégica de la organización.
Se han publicado tres (3) metodologías en materia de análisis de riesgos por la

Universidad de Carnegie Mellon:
OCTAVE: metodología original, desarrollada para grandes organizaciones (mayor

a 100 empleados).
OCTAVE-S: definida para pequeñas organizaciones (de hasta 100 empleados).
OCTAVE Allegro: definida para el análisis de riesgos con mayor enfoque en los
activos de información.
Principios y atributos de la Metodología OCTAVE
Principios Atributos
Metodología auto-dirigida Equipo de análisis
Capacidades del equipo de Análisis
Medidas adaptables Catálogo de prácticas
Perfil de amenazas genérico
Catálogo de vulnerabilidades
Proceso definido Actividades de evaluación definidas
Documentación de los resultados de la
evaluación
Alcance de la evaluación
Proceso Continuo Pasos próximos
Catálogos de prácticas
Visión de futuro Enfoque en riesgos
Enfoque en reducido número de riesgos Alcance de las evaluaciones
Actividades enfocadas
Gestión integrada Aspectos organizativos y tecnológicos
Participación de negocio y de áreas
tecnológicas
Participación de la alta dirección
Comunicación abierta Enfoque colaborativo
Perspectiva Global Aspectos organizativos y tecnológicos
Participación de negocios y de áreas
tecnológicas
Equipo de trabajo Equipo de análisis
Capacidades del equipo de análisis
Participación de negocios y de áreas de
tecnológicas
Enfoque colaborativo
Tabla Nº 1: Principios y Atributos de OCTAVE (http://www.cert.org/octave/)
35
El Proceso OCTAVE cuenta con tres fases las cuales pueden resumirse en el
siguiente esquema:
Fase 1: Visión organizativa
Activos
Fase 3: Estrategia y desarrollo
Preparación Amenazas
del plan
Prácticas actuales Componentes clave
Vulnerabilidades técnicas
Fase 2: Visión tecnológica
Componentes clave
Vulnerabilidades técnicas
Gráfica Nº 6 - Fases del proceso OCTAVE (http://www.cert.org/octave/)
Para cada una de las metodologías OCTAVE (OCTAVE, OCTAVE-S y OCTAVE-

Allegro) se define un conjunto de procesos distintos, adaptado a las necesidades de las
organizaciones, siempre respetando los criterios del método base.
3. CRAMM - CCTA Risk Analysis and Method Management
Es una metodología creada en 1987 por la Central Agency of Data Processing and
Telecommunications del Gobierno del Reino Unido.
El modelo de análisis y gestión de riesgos de esta metodología puede resumirse

en el siguiente esquema:
36
VULNERABILIDADES
ANÁLISIS
ACTIVOS RIESGOS AMENAZAS
CONTRAMEDIDAS
IMPLANTACIÓN GESTIÓN
AUDITORÍA
Gráfica Nº 7 -Modelo de Análisis y Gestión de riesgos de CRAMM (http://www.cramm.com/)
Esta metodología comprende tres fases:
Fase 1: Establecimiento de objetivos de seguridad

o Definir el alcance del estudio
o Definir el valor de la información entrevistando a los usuarios respecto de
los impactos potenciales para el negocio.
o Identificar y evaluar los activo físicos que forman parte del sistema
o Identificar y evaluar los activos software que forman parte del sistema
Fase 2: Análisis de riesgos
o Identificar y evaluar el tipo y nivel de las amenazas.
o Valorar las vulnerabilidades de los sistemas ante las amenazas
identificadas.
o Combinar las valoraciones de las amenazas y vulnerabilidades para
estimar los riesgos.
Fase 3: Identificación y selección de salvaguardas.
37
4. NIST SP 800-30 GUIA DE ANÁLISIS Y GESTION DE RIESGOS

PARA SISTEMAS DE TECNOLOGÍAS DE LA INFORMACIÓN
El NIST (National Institute of Standars and Technology), ha desarrollado una serie

especial de publicaciones referidas a la Seguridad de la Información: SP 800, la que
incluye una metodología de análisis y gestión de riesgos de seguridad en la información,
como complemento del resto de la documentación que compone la serie: SP 800- 30.
La propuesta Nist SP 800 – 30, publicada en julio del 2002, ofrece un proceso
para el análisis de riesgo y otro para la gestión de riesgos. En los siguientes esquemas se
presentan cada uno de estos procesos con los pasos que incluye cada uno, sus entradas
y sus salidas:
Entradas Actividades Salidas

Hardware Paso 1:
Límites del sistema
Software Caracterización de sistemas Funciones del sistema
Interface entre sistemas
Criticidad de datos y sistemas
Datos e información personal
Sensibilidad de datos y sistemas
Tarea de los sistemas
Históricos de ataques Paso 2:

Datos de agencias de
inteligencias y medios de
Identificación de amenazas Definición de amenazas
comunicación.
Informes de evaluaciones de Paso 3:

riesgos anteriores
Resultados de auditorías Identificación de vulnerabilidades Listas de vulnerabilidades potenciales
Requerimientos de seguridad
Resultados de pruebas de
seguridad
Controles actuales Paso 4:

Controles planificados Lista de controles actuales y planificados
Análisis de controles
Motivación para los ataques Paso 5:

Capacidad de las amenazas
Naturaleza de las Determinación de probabilidades Valoración de probabilidades
vulnerabilidades
Controles actuales
Análisis de impacto sobre la

tarea
Paso 6: Análisis de Impacto
Valoración de la criticidad de los Pérdida de Integridad
Pérdida de disponibilidad Valoración de impacto
activos
Criticidad de datos Pérdida de confidencialidad
Sensibilidad de datos
Paso 7:
Determinación del riesgo Riesgos y niveles de riesgos
Paso 8:
Recomendación de controles Controles recomendados
Paso 9:
Informes de valoración de riesgos
Documentación de resultados
Gráfica Nº 8 - Proceso de Análisis de riesgos de NIST SP 800- 30 ( www.nist.org)
38
Entradas Actividades Salidas

Nivel de riesgo del Paso 1:
informe de evaluación de Priorización de acciones Ranking de acciones
riesgos
Paso 2:
Evaluación de opciones de controles
Informe de evaluación de recomentados: Lista de posibles
riesgos Viabilidad controles
Eficacia
Paso 3:
Análisis costo beneficio
Impacto de la implantación Análisis costo beneficios
Impacto de la no implantación
Costos asociados
Paso 4:
Controles seleccionados
Selección de controles
Paso 5:
Listado de responsables
Asignación de responsabilidades
Paso 6:
Plan de implantación de
Desarrollo del Plan de Implantación de
salvaguardas
salvaguardas
Paso 7:
Implantación de controles seleccionados
Riesgos y niveles de riesgos
Acciones priorizadas
Controles recomendados
Riesgos residuales
Controles seleccionados
Responsables
Fecha de inicio
Fecha objetivo de finalización
Requerimientos de mantenimiento
Gráfica Nº 9 - Proceso de Gestión de riesgos de NIST SP 800- 30 ( www.nist.org)
39
5. Metodología Microsoft
Microsoft publica en el año 2004 su primera guía normativa centrada por completo
en la administración de riesgos de seguridad. Basada en las experiencias propias de
Microsoft y en las de sus clientes, esta guía ha sido probada y revisada por sus clientes,
socios y revisores técnicos durante su desarrollo.
El objetivo de Microsoft es ofrecer una guía clara y aplicable acerca de la manera

de implementar un proceso de administración de riesgos de seguridad que proporcione
numerosas ventajas, entre las que se incluyen:
• Hacer que los clientes adopten una postura de seguridad proactiva y liberarlos de
un proceso reactivo y frustrante.
• Poder cuantificar la seguridad al mostrar el valor de los proyectos de seguridad.
• Ayudar a los clientes a mitigar de forma eficaz los riesgos de mayor envergadura
en sus entornos en vez de aplicar recursos escasos a todos los riesgos posibles.
Esta guía emplea estándares del sector para ofrecer un modelo híbrido. Es un
proceso de cuatro fases que busca el equilibrio entre el costo y la efectividad.
Se presentan a continuación las cuatro fases del proceso de administración de

riesgos de seguridad de Microsoft.
1. Evaluación del riesgo: identificar y asignar prioridades a los riesgos para la

empresa.
2. Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control
según un proceso definido de análisis de costo-beneficio.
3. Implementación de controles: implementar y poner en funcionamiento las
soluciones con el fin de reducir el riesgo para la empresa.
4. Medición de la efectividad del programa: analizar la efectividad del proceso de
administración de riesgos y comprobar que los controles proporcionan el nivel de
protección previsto.
40
Gráfica Nº 10 - Proceso de administración de riesgos de seguridad de Microsoft

http://www.microsoft.com/spain/technet/recursos/articulos/srsgch03.mspx
6. ISO/IEC 27005 - 2008: Gestión de riesgos
Esta norma proporciona directrices para la gestión de riesgos de seguridad de la

información. Lo cual apoya los conceptos generales especificados en ISO/IEC 27001 y ha
sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión del
riesgo, fase principal del diseño de todo buen Sistema de Gestión de la Seguridad de la
Información (SGSI).
Dicha norma es aplicable a todos los tipos de organizaciones que tengan la

intención de manejar los riesgos que pueden comprometer la seguridad de la información
de las mismas.
Gráfica Nº 11 Gestión del riesgo ISO/IEC 27005/08 (www.iso27000.es)

41
7. ISO 31000: 2009 Risk management- Principles and guidelines –

International Organization for Standarization
Este Estándar Internacional desarrollado por la ISO (International Organization for

Standardization) propone unas pautas genéricas sobre cómo gestionar los riesgos de
forma sistemática y transparente, con el principal objetivo de ayudar a todas las
organizaciones, de todo tipo y tamaño, a gestionar el riesgo con efectividad.
El diseño y la implantación de la gestión de riesgos dependerán de las diversas

necesidades de cada organización, de sus objetivos concretos, contexto, estructura,
operaciones, procesos operativos, proyectos y servicios.
El enfoque está estructurado en tres elementos claves para una efectiva gestión
de riesgos:
1. Los principios para la gestión de riesgos.

2. La estructura de soporte.
3. El proceso de gestión de riesgos.
La relación entre los principios de gestión, la estructura de soporte, así como el

proceso de gestión del riesgo desarrollado en la norma se resume en la siguiente figura:
1. Crea Valor.
2. Está integrada en los
procesos de una Compromiso de
organización. la Dirección
3. Forma parte de la toma
de decisiones.
4. Trata explícitamente la
incertidumbre.
Diseño de la
5. Es sistemática,
estructura de
estructurada, y
soporte
adecuada.
6. Está basada en la mejor
información disponible.
7. Está hecha a medida.
Mejora continua Implantación
8. Tiene en cuenta
de la estructura de la gestión
factores humanos y
del riesgo
culturales.
9. Es transparente e
inclusiva.
te a
en m
10. Es dinámica, iterativa y

u i ue
si g esq
sensible al cambio. Seguimiento y

r
Ve
11. Facilita la mejora revisión de la

continua de la estructura
organización.
Principios de gestión Estructura para la gestión Proceso de gestión

del riesgo del riesgo del riesgo
(Cláusula 4) (Cláusula 5) (Cláusula 6)
Gráfica Nº 12 “A” - Relación entre Principios, estructura de soporte y Proceso de gestión de riegos ISO
31000 - http://www.avantium.es/index.php?option=com_content&view=article&id=88&Itemid=21
42
Establecer el contexto
Evaluación de riesgos
Identificar los riesgos
Comunicación Seguimiento
y consulta Analizar los riesgos
y revisión
Evaluar los riesgos
Tratar los riesgos
Gráfica Nº 12 “B” - Relación entre Principios, estructura de soporte y Proceso de gestión de riegos ISO
31000 - http://www.avantium.es/index.php?option=com_content&view=article&id=88&Itemid=21
El diseño e implantación de un modelo de gestión del riesgo, permitirá a la organización:
• Fomentar la gestión proactiva en lugar de la reactiva.

• Ser consciente de la necesidad de identificar y tratar el riesgo en todos los niveles
de la organización.
• Mejorar la identificación de oportunidades y amenazas.
• Cumplir con los requisitos legales y normativas aplicables así como las normas
internacionales.
• Mejorar la información financiera.
• Mejorar la gestión empresarial.
• Mejorar la confianza de los grupos de interés (stakeholders).
• Establecer una base fiable para la toma de decisiones y planificación.
• Mejorar los controles.
• Repartir y utilizar de forma efectiva los recursos para la gestión de riesgos.
• Mejorar la eficacia y la eficiencia operacional.
43
• Aumentar la seguridad y salud.

• Mejorar la prevención así como la gestión de incidentes.
8. Síntesis comparativa entre Metodologías
A continuación se presenta una tabla comparativa en la que se expone el origen

de las distintas metodologías descriptas en el presente capítulo, así como el alcance que
incluyen las mismas y el tipo de análisis de riesgos que proponen.
Origen Alcance Tipo de análisis de riesgo

Nombre Análisis Gestión
Organización País Año de de Cuantitativo Cualitativo Mixto
riesgo riesgos
Ministerio de
MAGERIT Administracio- España 2006 X X X X
nes Públicas
Universidad de
Estados
OCTAVE Carnegie 2001 X X X X X
Unidos
Mellon
CCTA Central
Computing
Reino
CRAMM and 2003 X X X X
Unido
Comunication
Agency
NIST –
National
Estados
NIST Institute of 2002 X X X X
Unidos
Standards and
Technology
Microsoft Estados
MICROSOFT 2004 X X X X
Corporation Unidos
ISO –
International Interna-
ISO 27005 Organization cional 2008 X X X X X
for (Suiza)
Standarization
ISO –
International Interna-
ISO 31000 Organization cional 2009 X X X X
for (Suiza)
Standarization
Tabla Nº 2: Comparación entre Metodologías
44
Otras Metodologías:
Si bien actualmente es común encontrar numerosas propuestas de metodologías

y estándares para la puesta en marcha de Análisis y Gestión de riesgos de la
información, para esta investigación, se detallaron aquellas relacionadas con las
características propias de la organización en estudio, por tal motivo a continuación solo
se mencionan otras metodologías existentes y las cuales pueden ser consultadas y
analizadas para la ejecución de un análisis de riesgos:
• Calpana CRISAM
• CORA (Cost of Risk Analysis)
• CLUSIF MEHARI (Club de la Sécurité de l’Information Français)
• DRAM (Delphic Risk Assessment Method)
• EBIOS del Gobierno francés
• ENISA Regulation
• FAIR (Factor Analysis of Information Risk)
• FIRM (Fundamental Information Risk Management)
• FRAP (Facilitated Risk Assessment Process)
• OSSTMM RAV (RAV stands for Risk Assessment Values)
• PARA (Practical Application of Risk Analysis)
• SARA (Simple to Apply Risk Analysis)
• SOMAP (Security Officers Management and Analysis Project)
• SPRINT (Simplified Process for Risk Identification)
• Threat and Risk Assessment Working Guide from The Government of Canada
Security Policy.
45
Capítulo IV – Normativa de aplicación nacional y regional
En esta sección se presentan algunas de las reglamentaciones y normativas que

han sido desarrolladas en relación a la seguridad, así como aquellas de ámbito provincial
para el desarrollo de actividades cotidianas relacionadas con la entidad en estudio.
Al igual que en toda organización los procesos que se ejecutan deben estar
basados en normativas y reglamentaciones desarrolladas con el objetivo de evitar riegos
o arbitrariedades.
1. Legislación Nacional
Introducción:
“El delito informático implica actividades criminales que los países han tratado de
encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes,
falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso
de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las
computadoras lo que ha creado la necesidad de regulación por parte del derecho…”14
En el ámbito internacional se ha dado una cierta aprobación en las valoraciones

político-jurídicas de los problemas derivados del mal uso que se hace de las
computadoras y las tecnologías relacionadas con la misma, lo cual ha dado lugar a que,
en algunos casos, se modifiquen los derechos penales nacionales e internacionales.
En tal sentido, nuestro país es parte de tratados internacionales en relación a la

materia, tal como el acuerdo celebrado en el marco de la Ronda Uruguay del Acuerdo
Internacional General de Aranceles Aduaneros y Comercio de 1994, y a la cual nuestro
país se adhiere mediante la Ley Nacional Nº 16.834. En el artículo 10º del mencionado
acuerdo, sobre programas de ordenadores y compilaciones de datos, se establece que:
• este tipo de programas, ya sean fuente u objeto, serán protegidos como

obras literarias de conformidad con el Convenio de Berna, de julio 1971,
para la Protección de Obras Literarias y Artísticas;
• las compilaciones de datos posibles de ser legibles serán protegidos como
creaciones de carácter intelectual y que;
• para los casos de falsificación dolosa de marcas de fábrica o de comercio
o de piratería lesiva del derecho de autor a escala comercial se
establecerán procedimientos y sanciones penales.
14
www.segu-info.com.ar/legislacion/ - Artículo: “Legislación y delitos informáticos- La información y el delito”
46
LEY NACIONAL 26388/08: DELITO INFORMÁTICO
En relación con el Delito Informático, en el año 2008 se promulgó la Ley

26388/08, la cual no constituye una ley especial que regula este tipo de delitos con
figuras propias, sino que modifica, sustituye e incorpora figuras típicas a diversos
artículos del Código Penal en vigencia.
En líneas generales no se crean, o definen, nuevos delitos, sino que se modifican

algunos aspectos de los existentes para contemplar las nuevas tecnologías.
“Delito Informático: Cualquier actividad ilegal que encuadra en figuras

tradicionales ya conocidas como robo, hurto, fraude, falsificación, perjuicio, estafa y
sabotaje, pero siempre que involucre la informática de por medio para cometer la
ilegalidad”.
Es importante mencionar que, mediante el artículo 1º de la ley se incorporan al

artículo 77º del Código Penal nuevas definiciones tales como:
El término "documento" comprende toda representación de actos o hechos, con

independencia del soporte utilizado para su fijación, almacenamiento, archivo o
transmisión.
Los términos "firma" y "suscripción" comprenden la firma digital, la creación de

una firma digital o firmar digitalmente.
Los términos "instrumento privado" y "certificado" comprenden el documento

digital firmado digitalmente.
Igualmente, esta Ley incluye también artículos en relación a:
I. Delitos contra menores.

II. Protección de secretos y de la privacidad;
• Derecho a la privacidad
• Violación de la correspondencia digital
• Acceso ilegítimo a un Sistema Informático
• Publicación abusiva de correspondencia
• Revelación de secretos
III. Delitos contra la propiedad
• Estafa informática
• Daño informático
IV. Delitos contra las comunicaciones
LEY NACIONAL 25.326/00: PROTECCION DE DATOS PERSONALES
Objetivo:
“…la protección integral de los datos personales asentados en archivos, registros,

bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o
privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad
de las personas, así como también el acceso a la información que sobre las mismas se
47
registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la

Constitución Nacional…”
En el artículo 2º de la ley se enumeran distintas definiciones a tener en cuenta y

las cuales se presentan a continuación:
— Datos personales: Información de cualquier tipo referida a personas físicas o

de existencia ideal determinadas o determinables.
— Datos sensibles: Datos personales que revelan origen racial y étnico,

opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual.
— Archivo, registro, base o banco de datos: Indistintamente, designan al

conjunto organizado de datos personales que sean objeto de tratamiento o
procesamiento, electrónico o no, cualquiera fuere la modalidad de su formación,
almacenamiento, organización o acceso.
— Tratamiento de datos: Operaciones y procedimientos sistemáticos,

electrónicos o no, que permitan la recolección, conservación, ordenación,
almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en
general el procesamiento de datos personales, así como también su cesión a terceros a
través de comunicaciones, consultas, interconexiones o transferencias.
— Responsable de archivo, registro, base o banco de datos: Persona física o

de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco
de datos.
— Datos informatizados: Los datos personales sometidos al tratamiento o

procesamiento electrónico o automatizado.
— Titular de los datos: Toda persona física o persona de existencia ideal con
domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del
tratamiento al que se refiere la presente ley.
— Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el

tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través
de conexión con los mismos.
— Disociación de datos: Todo tratamiento de datos personales de manera que

la información obtenida no pueda asociarse a persona determinada o determinable.
En marco general esta ley establece:
• Licitud del archivo de datos.

• Calidad de los datos
• Cuando será necesario el consentimiento del titular y cuando no para el
tratamiento de los datos.
• Qué Información se debe brindar al titular, al momento de la recolección de
datos (Ejemplo: finalidad, derechos de acceso, la obligación o no de
brindar los datos)
• Seguridad de los datos
• Categoría de los datos
• Deber de confidencialidad en el tratamiento de datos
• Derechos de los titulares
48
• Regulación sobre usuarios y responsables de archivo, registros y bancos

de datos.
• Órgano de control
• Sanciones administrativas y penales
• Acción de protección de los datos personales
DISPOSICION DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES Nº 11/2006. "Medidas de Seguridad para el Tratamiento y
Conservación de los Datos Personales Contenidos en Archivos, Registros,
Bancos y Bases de Datos Públicos estatales y Privados"
De acuerdo con lo que establece el artículo 9º de la Ley N° 25.326, “… el

responsable o usuario del archivo de datos debe adoptar las medidas técnicas y
organizativas necesarias para garantizar la seguridad y confidencialidad de los datos
personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y
que permitan detectar desviaciones, intencionales o no, de información, ya sea que los
riesgos provengan de la acción humana o del medio técnico utilizado...”.
Razón por la cual en la Disposición Nº 11/2006, se establecen tres (3) niveles de

seguridad: Nivel básico, medio o crítico.
Medidas de seguridad de nivel básico:
Los archivos, registros, bases y bancos de datos que contengan datos de carácter
personal deberán adoptar las medidas de seguridad calificadas como de Nivel Básico
que a continuación se detallan:
- Disponer del Documento de Seguridad de Datos Personales en el que se

especifiquen, entre otros, los procedimientos y las medidas de seguridad a observar
sobre los archivos, registros, bases y bancos que contengan datos de carácter
personal. Deberá mantenerse en todo momento actualizado y ser revisado cuando
se produzcan cambios en el sistema de información.
- Deberá contener:
Funciones y obligaciones del personal.
1. Descripción de los archivos con datos de carácter personal y los sistemas de

información que los tratan.
2. Descripción de las rutinas de control de datos de los programas de ingreso de

datos y las acciones a seguir ante los errores detectados a efectos de su
corrección. Todos los programas de ingreso de datos, independientemente de su
modo de procesamiento (batch, interactivo), deben incluir en su diseño, rutinas de
control, que minimicen la posibilidad de incorporar al sistema de información,
datos ilógicos, incorrectos o faltantes.
3. Registros de incidentes de seguridad.
4. Notificación, gestión y respuesta ante los incidentes de seguridad.
5. Procedimientos para efectuar las copias de respaldo y de recuperación de datos.
6. Relación actualizada entre Sistemas de Información y usuarios de datos con

autorización para su uso.
49
7. Procedimientos de identificación y autenticación de los usuarios de datos

autorizados para utilizar determinados sistemas de información.
La relación entre el usuario autorizado y el/los sistemas de información a los que

puede acceder debe mantenerse actualizada. En el caso en que el mecanismo de
autenticación utilice contraseña, la misma será asignada por el responsable de
seguridad de acuerdo a un procedimiento que garantice su confidencialidad. Este
procedimiento deberá prever el cambio periódico de la contraseña (lapso máximo de
vigencia) las que deberán estar almacenadas en forma ininteligible.
8. Control de acceso de usuarios a datos y recursos necesarios para la realización

de sus tareas para lo cual deben estar autorizados.
9. Adoptar medidas de prevención a efectos de impedir amenazas de software

malicioso (virus, troyanos, gusanos) que puedan afectar archivos con datos de
carácter personal. Entre otras:
1) Instalar y actualizar, con la periodicidad pertinente, software de detección y

reparación de virus, ejecutándolo rutinariamente; 2) Verificar, antes de su
uso, la inexistencia de virus en archivos recibidos a través de la web, correo
electrónico y otros cuyos orígenes sean inciertos.
10. Procedimiento que garantice una adecuada Gestión de los Soportes que
contengan datos de carácter personal (identificación del tipo de información que
contienen, almacenamiento en lugares de acceso restringidos, inventarios,
autorización para su salida fuera del local en que están ubicados, destrucción de
la información en desuso).
Medidas de seguridad de nivel medio:
Los archivos, registros, bases y bancos de datos de las empresas privadas que
desarrollen actividades de prestación de servicios públicos, así como los archivos,
registros, bases y bancos de datos pertenecientes a entidades que cumplan una función
pública y/o privada que deban guardar secreto de la información personal por expresa
disposición legal, además de las medidas de seguridad de nivel Básico, deberán adoptar
las siguientes:
1. El Instructivo de seguridad deberá identificar al Responsable (u órgano

específico) de Seguridad.
2. Realización de auditorías (internas o externas) que verifiquen el cumplimiento

de los procedimientos e instrucciones vigentes en materia de seguridad para datos
personales.
Los informes de auditoría pertinentes, serán presentados al Responsable del

Archivo a efectos de que se adopten las medidas correctivas que correspondan. La
Dirección Nacional de Protección de Datos Personales, en las inspecciones que realice,
deberá considerar obligatoriamente, con carácter no vinculante, los resultados de las
auditorías referidas precedentemente, siempre que las mismas hayan sido realizadas
dentro de un período máximo de un año.
3. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al

sistema de información.
50
4. Se establecerá un control de acceso físico a los locales donde se encuentren

situados los sistemas de información con datos de carácter personal.
5. Gestión de Soportes e información contenida en ellos, 5.1. Se dispondrá de un

registro de entradas y salidas de los soportes informáticos de manera de identificar, día y
hora de entrada y salida del soporte, receptor, emisor y forma de envío.
5.2. Se adoptarán las medidas necesarias para impedir cualquier recuperación de

la información con posterioridad a que un soporte vaya a ser desechado o reutilizado, o
que la información deba ser destruida, por la causa que correspondiere.
Asimismo se deberán adoptar similares medidas cuando los soportes, o la

información, vaya a salir fuera de los locales en que se encuentren ubicados, 5.3. Deberá
disponerse de un procedimiento de recuperación de la información de respaldo y de
tratamiento de la misma en caso de contingencias que pongan no operativo el/los
equipos de procesamiento habituales.
6. Los registros de incidentes de seguridad, en el caso de tener que recuperar

datos, deberán identificar la persona que recuperó y/o modificó dichos datos. Será
necesaria la autorización en forma fehaciente del responsable del archivo informatizado.
7. Las pruebas de funcionamiento de los sistemas de información, realizadas con

anterioridad a su puesta operativa no se realizarán con datos/archivos reales, a menos
que se aseguren los niveles de seguridad correspondientes al tipo de datos
informatizados tratados.
Medidas de seguridad de nivel estricto
Los archivos, registros, bases y bancos de datos que contengan datos personales,
definidos como “datos sensibles”, con la excepción que se señalará más abajo, además
de las medidas de seguridad de nivel Básico y Medio, deberán adoptar las que a
continuación se detallan:
1. Distribución de soportes: cuando se distribuyan soportes que contengan archivos

con datos de carácter personal —incluidas las copias de respaldo—, se deberán
cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no
puedan ser leídos o manipulados durante su transporte.
2. Registro de accesos: se deberá disponer de un registro de accesos con

información que identifique al usuario que accedió, cuando lo hizo (fecha y hora),
tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya
sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio
al mismo (baja, rectificación). Este registro de accesos deberá ser analizado
periódicamente por el responsable de seguridad y deberá ser conservado como
minino por el término de un TRES (3) años.
3. Copias de respaldo: además de las que se mantengan en la localización donde

residan los datos deberán implementarse copias de resguardo externas, situadas
fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja
de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la
aludida localización. Deberá disponerse de un procedimiento de recuperación de
esa información y de tratamiento de la misma en caso de contingencias que
pongan no operativo el/los equipos de procesamiento habituales.
51
4. Transmisión de datos: los datos de carácter personal que se transmitan a través

de redes de comunicación, deberán serlo cifrados o utilizando cualquier otro
mecanismo que impida su lectura y/o tratamiento por parte de personas no
autorizadas.
DISPOSICIÓN DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES 009/2008:
Esta disposición se basa en la Disposición Nº 11/06, en la cual se estableció que

los archivos, registros, bases y bancos de datos personales debían disponer de un
"Documento de Seguridad de Datos Personales", en el que se especificara la normativa
de seguridad aplicables y con el fin de facilitar la implementación de ese documento y la
efectiva puesta en funcionamiento de medidas técnicas que garanticen la seguridad y la
confidencialidad en el tratamiento de datos personales, por medio de esta disposición,
ofrece un modelo de Documento de Seguridad que contenga los lineamientos mínimos
que sirvan de base para el diseño de instrumentos propios.
En el Anexo II se incluye, junto a la copia de la Disposición, el Anexo único de la

misma y el cual contiene el modelo del documento antes mencionado.
LEY NACIONAL 25.506/01: FIRMA DIGITAL
“…Se entiende por firma digital al resultado de aplicar a un documento digital un

procedimiento matemático que requiere información de exclusivo conocimiento del
firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser
susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente
permita identificar al firmante y detectar cualquier alteración del documento digital
posterior a su firma…”
Requerimiento de firma.
En esta ley se establece que cuando la ley requiera una firma manuscrita, esa
exigencia también quede satisfecha por una firma digital. Este principio es aplicable a los
casos en que la ley establece la obligación de firmar o prescribe consecuencias para su
ausencia.
Exclusiones. ¿Cuándo no es aplicable?
a) A las disposiciones por causa de muerte;

b) A los actos jurídicos del derecho de familia;
c) A los actos personalísimos en general;
d) A los actos que deban ser instrumentados bajo exigencias o formalidades
incompatibles con la utilización de la firma digital, ya sea como consecuencia de
disposiciones legales o acuerdo de partes.
Términos definidos en la ley: a continuación se enumeran algunos de los términos

importantes que se definen en la ley de firma digital, a modo de informar e introducir al
lector sobre la importancia de la misma.
52
Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos

integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por
el signatario como su medio de identificación, que carezca de alguno de los requisitos
legales para ser considerada firma digital. En caso de ser desconocida la firma
electrónica corresponde a quien la invoca acreditar su validez.
Documento digital. Se entiende por documento digital a la representación digital de

actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento
o archivo. Un documento digital también satisface el requerimiento de escritura.
Presunción de autoría. Se presume, salvo prueba en contrario, que toda firma digital
pertenece al titular del certificado digital que permite la verificación de dicha firma.
Presunción de integridad. Si el resultado de un procedimiento de verificación de una

firma digital aplicado a un documento digital es verdadero, se presume, salvo prueba en
contrario, que este documento digital no ha sido modificado desde el momento de su
firma.
Validez. Una firma digital es válida si cumple con los siguientes requisitos:
a) Haber sido creada durante el período de vigencia del certificado digital válido del
firmante;
b) Ser debidamente verificada por la referencia a los datos de verificación de firma digital
indicados en dicho certificado según el procedimiento de verificación correspondiente;
c) Que dicho certificado haya sido emitido o reconocido, según el artículo 16 de la

presente, por un certificador licenciado.
En la presente ley se establecen pautas para la emisión, control y auditoría de

certificación digital, así como la integración de Comisión Asesora para la Infraestructura
de firma digital. La cual se integrará por 7 (siete) profesionales de carreras afines a la
actividad de reconocida trayectoria y experiencia, provenientes de Organismos del
Estado nacional, Universidades Nacionales y Provinciales, Cámaras, Colegios u otros
entes representativos de profesionales.
Funciones de la Comisión Asesora para la Infraestructura de firma digital:
La Comisión debe emitir recomendaciones por iniciativa propia o a solicitud de la

autoridad de aplicación, sobre los siguientes aspectos:
a) Estándares tecnológicos;
b) Sistema de registro de toda la información relativa a la emisión de certificados

digitales;
c) Requisitos mínimos de información que se debe suministrar a los potenciales titulares

de certificados digitales de los términos de las políticas de certificación;
d) Metodología y requerimiento del resguardo físico de la información;
e) Otros que le sean requeridos por la autoridad de aplicación.
53
MODELO DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA

ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (Disposición
ONTI 006/2005)
La Oficina Nacional de Tecnologías de la Información (ONTI) junto con la

Subsecretaría de Gestión Pública, y la Jefatura de Gabinete de Ministros de la
Presidencia de la Nación, emitieron en el año 2005, y se encuentra vigente
actualmente, un Modelo de Política de Seguridad de la Información mediante la
Disposición ONTI Nº 006/2005, la cual tiene como objetivo “…servir como base para la
elaboración de las respectivas políticas a dictarse por cada organismo alcanzado por la
Decisión Administrativa 669/2004, debiendo ser interpretada como un compendio de
mejores prácticas en materia de seguridad de la información para las entidades, públicas
y adaptadas a la realidad y recursos de cada organismo…”
La Decisión Administrativa 669/2004 establece que los organismos del sector

público nacional comprendidos en los incisos a) y c) del artículo 8º de la ley Nro. 24.15615,
y sus modificatorias deberán dictar o adecuar sus políticas de seguridad. Conformación
de comités de seguridad en la información. Funciones de los mismos y responsabilidades
en relación con la seguridad.
El modelo presentado por el ONTI, es el punto de partida para la elaboración de

políticas de seguridad en los organismos públicos que abarca la Disposición 006/05. El
desarrollo de este modelo está basado en la Norma ISO/IRAM 17799, como marco de
referencia para la gestión de la seguridad de la información en una entidad.
Si bien esta iniciativa no involucra a todos los organismos públicos de nivel

nacional, y se desconoce el nivel de implementación de esta normativa en dichos
organismos, es importante incluir este modelo dentro del marco legal del presente trabajo
con el objetivo de dar a conocer la voluntad y la concientización en este país, por parte de
las autoridades estatales, de contar en entidades públicas con mecanismos y políticas
que garanticen la seguridad de la información que se maneja.
2. Legislación Regional.
LEY PROVINCIAL 3001/1934: RÉGIMEN DE LAS MUNICIPALIDADES y LEY

PROVINCIAL 10027/2011: RÉGIMEN MUNICIPAL
En ambas leyes se establece la razón de existencia de los municipios, sus

obligaciones y responsabilidades. En concordancia con la Constitución Provincial, se
establecen las competencias de los mismos en el artículo 11º (Ver Anexo Ill).
15
Nota: Ley 24.156, Artículo 8º, Inciso a) Administración Nacional, conformada por la Administración
Central y los Organismos Descentralizados, comprendiendo en estos últimos a las Instituciones de
Seguridad Social; Inciso c) Entes Públicos excluidos expresamente dela Administración Nacional, que abarca
a cualquier organismo estatal no empresarial, con autarquía financiera, personalidad jurídica y patrimonio
propio, donde el estado nacional tenga control mayoritario del patrimonio o de la formación de las
decisiones, incluyendo aquellas entidades públicas no estatales donde el Estado nacional tenga el control
de las decisiones.
54
Se establecen los recursos y bienes municipales en el Capítulo IV de la misma y

se reglamenta, en el Título II, el proceso electoral.
Se expresa la composición del Gobierno Municipal, las funciones y obligaciones

de las partes y responsabilidades de los funcionarios.
Asimismo, y entre otros puntos a observar sobre esta ley, se determinan pautas
para la ejecución del presupuesto y de contrataciones.
LEY PROVINCIAL 7060/83: PROCEDIMIENTOS PARA TRÁMITES

ADMINISTRATIVOS
“…Artículo 1º - Todo trámite ante la Administración Pública Provincial Central y

Descentralizada deberá ajustarse a las disposiciones de la presente ley, sin perjuicio de
lo dispuesto en leyes especiales…”
Títulos Incluidos en la presente Ley:
Título I: bajo este título se establecen los mecanismos para llevar a cabo todo tipo de
trámite y representaciones, movimiento de expedientes, notificaciones, vistas y traslados,
foliado, resoluciones administrativas, entre otros.
Título II: en los apartados incluidos bajo este título se definen los distintos recursos a
tener en cuenta, por ejemplo: Recurso de revocatoria, recurso de aclaratoria, o Recurso
de apelación jerárquica.
ESTATUTO DE ESTABILIDAD Y ESCALAFON DEL EMPLEADO MUNICIPAL DE

XXX (Ordenanza Municipal Nº 003/99)
Este estatuto regula lo relativo a las relaciones de trabajo entre el Municipio y los
empleados y obreros municipales como así también sus derechos y obligaciones.
Uno de los puntos considerados aplicables en este análisis es el artículo 14º,

mediante el cual se fijan las obligaciones del personal municipal, ya que uno de los
incisos expresados reza: “…c) Mantener en secreto los asuntos del servicio que por su
naturaleza o en virtud de instrucciones especiales lo requieran, aún después de haber
cesado en el cargo y de que el agente tuviese conocimientos en razón de sus funciones o
por su vinculación con dependencias de la Administración Municipal…”.
Asimismo, se presenta el artículo 17º, el cual establece las prohibiciones a las que
está sujeto el personal municipal:
“…ARTÍCULO 17º: queda prohibido al personal Municipal:
a) Los empleados no podrán hacer proselitismo político dentro de las Oficinas

públicas, ni ocuparse de cuestiones ajenas a sus funciones durante el
desempeño de las mismas (concuerda Decreto 711/84 modif. De la Ley
3289 y dec. 327/84) (en su artículo 30).
b) Tramitar asuntos de particulares ante las oficinas Municipales, aunque
fuera por interpósita persona.
55
c) Ejercer actividades o profesar públicamente ideologías contrarias al orden

público o a las instituciones políticas de la Nación, Provincia o Municipio.
d) Tratándose de empleados que manejen fondos o valores, concurrir a los
lugares donde se practiquen juegos de azar.
e) Dar datos e informes de índole Municipal, salvo los que tengan carácter
público…”
56
Capitulo V – Propuesta metodológica y desarrollo práctico de

análisis de riesgos
1. Propuesta Metodológica
Introducción:
De acuerdo al estudio realizado de las distintas metodologías, presentadas en el

capítulo III, y teniendo en cuenta las características de los organismos públicos, se vio la
necesidad de contar con un conjunto de pasos que permitan determinar el nivel de riesgo
al que está expuesta la información mediante un método cualitativo. Por tal motivo se
propone la siguiente metodología para la realización de un análisis de riesgo:
Metodología de análisis de riesgos. Pasos a tener en cuenta:
1. Identificar los elementos a proteger (activos): se deberán analizar los distintos

activos físicos, de software, e información generando un inventario de aquellos que
son considerados como “importantes” para la misión de la institución.
2. Valorar esos elementos a proteger: se deberán asignar prioridades (1 - 10) a los
activos según estudio de la importancia y del impacto a la institución en caso de su
ausencia o daño.
3. Identificar las amenazas que pueden perjudicar a los activos: por cada activo se
deberán listar las distintas amenazas que pueden afectar a los mismos. Este paso se
realizará sin tener en cuenta medidas de seguridad que se implementan en la
institución.
4. Realizar la valoración de los activos en relación a las amenazas.
Vulnerabilidades: En base a las amenazas identificadas para cada activo se deberá
realizar la estimación cualitativa de la degradación que cada amenaza provocaría al
activo en cuestión y la ocurrencia de dicha afectación. Para esta instancia se
deberán asignar valores cualitativos convenientes, a modo de ejemplo se presentan
los siguientes valores:
Degradación: 0- despreciable; 1- baja; 2- media; 3- alta, 4- muy alta.
Ocurrencia: 1/10- poco frecuente; 1- normal; 10- frecuente; 100- muy frecuente.
5. Estimar el impacto en caso de materialización de una amenaza: al contar con la
degradación causada para cada activo, según la amenaza determinada, y el valor de
este activo se podrá calcular el impacto que causaría la materialización de la misma.
(Impacto = valor del activo x degradación).
6. Estimar el riesgo: En igual sentido, se deberá calcular el riesgo contando con los
datos de la frecuencia con la que una amenaza puede materializarse para ese activo
y el impacto que alcanza al manifestarse (riesgo = ocurrencia x impacto)
7. Establecer contramedidas o salvaguardas: los pasos anteriores se deben calcular
sin tener en cuenta las medidas preventivas que se aplican en la entidad. Por lo
tanto, se deberán presentar las salvaguardas, en los casos que correspondan. Es en
57
esta instancia en la que se puede observar lo que la organización realiza para

proteger sus activos.
8. Estimar el riesgo residual: para el cálculo del riesgo residual se deben tener en
cuenta las salvaguardas o contramedidas existentes. (Riesgo Residual = Riesgo
intrínseco – Riesgo mitigado por salvaguardas).
9. Plan de acción: una vez realizados todos los pasos referentes al análisis de riesgo,
propiamente dicho, se está en condiciones de estudiar los resultados obtenidos y
realizar un análisis exhaustivo de aquellas medidas o contramedidas que no se
aplican actualmente y que deberían implementarse para poder mejorar el nivel de
riesgos.
Este plan de acción estará específicamente basado en los resultados obtenidos y es
importante destacar que será útil solo para el organismo que se ha analizado. El
mismo deberá contar con propuestas concretas de cómo enfrentar la situación
observada en relación a las amenazas que perjudican a los activos de la entidad
aumentando su vulnerabilidad.
Además de las propuestas para reducir el nivel de riesgo estimado, es decir al que se
expone la organización al momento del desarrollo del análisis, el plan de acción
deberá:
• Incluir asignación de responsabilidades del personal del área sistemas, en caso
de contar con el mismo, para el desarrollo de las tareas incluidas en el plan de
acción.
En aquellos casos en los que no se cuente con un área de sistemas o con
personal informático en la organización, deberá analizarse y proponerse lo
conveniente al caso, ya sea la reasignación de tareas con el personal existente y
la capacitación adecuada, o la incorporación de un equipo para el cumplimiento
de las tareas definidas.
• Cumplir con normativa vigente y requisitos legales. Se deberá tener en cuenta
aquella normativa aplicable a la organización.
• Incluir capacitación para todos los usuarios. Se deberá dar prioridad

especialmente a los procesos que presentaron falencias en el análisis de riesgo.
• Proponer recomendaciones de documentación con el fin de ser la base para un

nuevo análisis y evaluación del cumplimiento del plan de acción. En dicha
documentación se incluirá, en detalle, los pasos de la implementación de las
contramedidas propuestas en el plan y, en caso de no implementarse alguna, se
debe especificar las razones que llevaron a esa decisión.
Se deberá acordar con los responsables de la organización el plazo de ejecución
del plan de acción, teniendo en cuenta un análisis económico de las propuestas
realizado con especialistas en el tema. El plazo de ejecución es importante fijarlo
para poder contar con una meta de tiempo que sea, a su vez, el punto de partida
de un nuevo análisis para evaluar los resultados arrojados por el plan de acción y
detectar las falencias del mismo.
• Considerar el cumplimiento de requisitos básicos de seguridad física y lógica de
la información.
Es importante que toda organización que incluya un centro de cómputos o que
contenga en sus procesos tecnología de la información cuente además con personal,
y directivos, conscientes de la necesidad de incluir mecanismos de seguridad para el
resguardo de los activos.
58
A continuación se presentan algunas recomendaciones básicas para la reducción de

riesgos de la información aplicables en toda organización.
Recomendaciones de seguridad para la reducción de riesgos de la información:
Acceso restringido al centro de cómputos o a las oficinas donde se
encuentran las terminales.
Control de acceso al sistema mediante usuario y contraseña, así como

la definición de perfiles de acceso a la información.
Instalaciones adecuadas y protegidas de desastres naturales o

climáticas, así como de robos y hurtos (por medio de alarmas, rejas,
cámaras de seguridad o servicio de vigilancia)
Seguridad en redes: físico, en cuanto al cableado. En tal sentido se

deberá asegurar que el mismo no se encuentre visible o expuesto para
prevenir su alteración (voluntaria o involuntaria). Lógico, en relación a
la configuración de la misma y el cifrado de la información que se
transporta.
Antivirus y software en general. Se debería poder contar con

programas antivirus en todos los equipos informáticos, así como las
licencias de los mismos. De esta manera se cumple con la normativa
legal existente evitando multas, desarrollos inutilizables y pérdida de
información.
Resguardo de la información: Es necesario que se cuente con

resguardo de la información organizado periódicamente según las
características de la institución. Asimismo se debe tener en cuenta el
medio en el que se resguarda y dónde se lo ubica, para evitar la
pérdida del mismo.
No obstante, cabe observar que el cumplimiento de estas recomendaciones no

garantiza que los riesgos desaparezcan, ya que como se mencionó en el Capítulo I,
de este trabajo, el riesgo no puede ser eliminado, sino reducido y gestionado. Sin
embargo el hecho de poder aplicar medidas básicas de seguridad garantiza cierta
reducción de la exposición de los activos a las amenazas existentes. Las mismas
pueden ser conocidas al completar un análisis de riesgo en la organización,
instrumento que permite identificar esas amenazas y analizar la manera de evitar la
materialización de las mismas para minimizar los riesgos, siempre teniendo en
cuenta las características de la organización.
59
2. Caso de estudio: Desarrollo Práctico de Análisis de Riesgo
De acuerdo a la metodología propuesta se desarrolla a continuación el proceso de

análisis de riesgo en la entidad en estudio.
El presente desarrollo práctico se basa en relevamientos realizados en la

institución en cuestión mediante observación en el lugar, entrevistas y cuestionarios
completados con el personal a cargo así como las autoridades de dicha institución. (Ver
Anexo I)
1. Elementos a proteger (activos)
Como resultado del relevamiento realizado y teniendo en cuenta, tanto la realidad

de la entidad como los objetivos que persigue, se identificaron los siguientes activos:
• Base de datos de XXX.

• Hardware general: Impresoras, teclado, mouse, monitor, Fotocopiadoras, UPS,
estabilizadores, cableado (red) y switch.
• Hardware específico (tickeadora, lectora de código de barra, cámaras fotográficas,
filmadoras y laminadora.)
• Software general: Aplicaciones de oficina (procesador de texto, hojas de cálculos,
software de Internet, herramientas de Accesorios) y sistemas operativos.
• Software específico: sistema integral, programas fuentes, sistema de emisión de
carnets.
• Datos: en tránsito, datos de configuración, datos en medios externos.
• Documentación: Expedientes, Archivos físicos (ficheros); Documentación de
programas, de procedimientos administrativos y manuales.
• Red (intranet e internet).
• Copias de seguridad (Backups)
• Usuarios (personal administrativo y de gestión de la entidad)
• Insumos: cartuchos, pendrive, cd, dvd, formularios, papel, toner.
• Datos de usuarios (archivos generados o utilizados en las terminales y que no
pertenecen al sistema integral).
2. Valoración de activos
Tabla Nº 3: Grado de Importancia

10 Muy importante
7-9 Importante
4-6 Medianamente importante
1-3 Poco importante
60
Tabla Nº 4: Grado de Importancia de Activos de la Entidad

Valor del
Activos
Activo (VA)
Bases de datos 10
Hardware general: Impresoras, teclado, mouse, monitor,
4
Fotocopiadoras, ups y estabilizadores
Hardware específico (tickeadora, lectora de código de barra, cámaras
6
fotográficas, filmadoras)
Software general: Aplicaciones, sistemas operativos 9
Software específico: sistema integral, programas fuentes 10
Datos: en tránsito, datos de configuración, datos en medios externos 8
Documentación: Expedientes, Archivos físicos (ficheros);
Documentación de programas, de procedimientos administrativos y 8
manuales
Red (intranet e internet) 8
Copias de seguridad (Backups) 9
Usuarios 7
Insumos: cartuchos, pendrive, cd, dvd, formularios, papel, toner 3
Datos de usuarios 6
3. Identificar Amenazas
Las amenazas identificadas para cada uno de los activos determinados, luego del
relevamiento, se muestran en los siguientes listados
1) Base de datos.
a) Copia no autorizada de un medio de datos
b) Errores de software y/ o hardware
c) Falla de base de datos
d) Falta de espacio de almacenamiento
e) Mala configuración del Schedule de backups
f) Perdida de backups
g) Perdida de datos en tránsito
h) Falla o deterioro en el medio de almacenamiento externo
i) Robo
j) Sabotaje
k) Virus
l) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
2) Hardware general
a) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
b) Deterioro o mal uso de un componente
c) Factores ambientales, catástrofes
d) Limite de vida útil
e) Mal mantenimiento
f) Robo
61
3) Hardware especifico
a) Deterioro o mal uso de un componente
b) Factores ambientales, catástrofes
c) Limite de vida útil
d) Mal mantenimiento
e) Robo
f) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
4) Software general
a) Accesos no autorizados (borrado, modificación, robo, etc).
b) Aplicaciones sin licencia
c) Falta de documentación de aplicaciones
d) Error de configuración
e) Falla de compatibilidad
f) Falla del sistema operativo
g) Software desactualizado
h) Virus
i) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
5) Software específico
a) Accesos no autorizados (borrado, modificación, robo, etc).
b) Aplicaciones sin licencia
c) Falta de documentación de aplicaciones
d) Error de configuración
e) Falla del sistema operativo
f) Software desactualizado
g) Virus
h) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
6) Datos: en tránsito, datos de configuración, datos en medios externos

a) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
b) Copia no autorizada
c) Falla en medios externos
d) Perdida de datos en tránsito
e) Sabotaje
f) Virus
7) Documentación: Expedientes, Archivos físicos (ficheros); Documentación

de programas, de procedimientos administrativos y manuales
a) Factores ambientales
b) Acceso no autorizado a datos de documentación
c) Manipulación no autorizada o inadecuada
d) Robo
e) Desvinculación del personal a cargo de dicha documentación.
f) Deterioro involuntario de documentación
8) Red (internet, intranet)

a) Mal uso del servicio de email
b) Mal estado del cableado y dispositivos
c) Falta de control y documentación de configuraciones
d) Falta de servicio de internet
e) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
62
9) Copias de seguridad (Backups)

a) Rotulación inadecuada de backups o inexistente
b) Resguardos inapropiados o soportes en mal estado, o no controlados
c) Incumplimiento de la periodicidad en el resguardo de la información
d) Lugar incorrecto de conservación de soportes de backups.
e) Errores de software.
f) Falta de espacio de almacenamiento.
g) Sabotaje
h) Virus
10) Usuarios
a) Acceso no autorizado
b) Condiciones de trabajo adversas
c) Desvinculación del personal
d) Falta de control de sesión de usuario abierta
e) Restricciones inexistentes en las tareas o procesos que realizan los usuarios
11) Insumos
a) Factores ambientales (humedad, luz y polvo). Catástrofes
b) Límite de vida útil
c) Recursos escasos
d) Uso descontrolado de recursos
e) Robo
f) Documentación inadecuada
12) Datos de usuarios

a) Falta de espacio de almacenamiento
b) Perdida de backup o inexistencia
c) Robo
d) Sabotaje
e) Virus
f) Modificación descontrolada de datos compartidos
g) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
4. Valoración de activos en relación a las amenazas
En esta instancia se presentan las amenazas posibles para cada uno de los
activos listados, la degradación que afectaría al activo en caso de manifestarse y la
frecuencia con la que puede ocurrir. Se utilizan las siguientes escalas de valores para
analizar el grado de incidencia al activo en estudio. A saber:
Tabla Nº 5: Valores de Tabla Nº 6: Valores de

Degradación Frecuencia
4 Muy alta 100 Muy frecuente
3 Alta 10 Frecuente
2 Media 1 Normal
1 Baja 1/10 Poco frecuente
0 Despreciable
63
Base de Datos
Tabla Nº 7.1: Base de datos: degradación y frecuencia según amenaza

Amenaza Degradación Frecuencia
Copia no autorizada de un medio de datos 3 1/10
Errores de software y/ o hardware 3 1
Falla de base de datos 4 1/10
Falta de espacio de almacenamiento 4 1
Mala configuración del Schedule de backups 3 1
Perdida de backups 3 1/10
Perdida de datos en tránsito 3 1
Falla o deterioro en el medio de almacenamiento externo 3 1
Robo 4 1/10
Sabotaje 4 1/10
Virus 3 10
Corte de servicio eléctrico, UPS sin baterías o inestabilidad
4 10
de voltaje
Hardware general
Tabla Nº 7.2: Hardware general: degradación y frecuencia según amenaza

2 10
de voltaje
Deterioro o mal uso de un componente 3 10
Factores ambientales, catástrofes 2 1
Limite de vida útil 2 10
Mal mantenimiento 3 10
Robo 4 1/10
Hardware especifico
Tabla Nº 7.3: Hardware específico: degradación y frecuencia según amenaza

Deterioro o mal uso de un componente 3 1
Factores ambientales, catástrofes 2 1/10
Limite de vida útil 2 10
Mal mantenimiento 3 10
Robo 4 1/10
Corte de servicio eléctrico, UPS sin baterías o
2 10
inestabilidad de voltaje
Software general
Tabla Nº 7.4: Software general: degradación y frecuencia según amenaza

Accesos no autorizados (borrado, modificación, robo, etc). 4 1
Aplicaciones sin licencia 2 100
Falta de documentación de aplicaciones 2 100
Error de configuración 3 10
64
Falla de compatibilidad 2 1
Falla del sistema operativo 4 1/10
Software desactualizado 3 100
Virus 3 100
2 10
Software específico
Tabla Nº 7.5: Software específico: degradación y frecuencia según amenaza

Accesos no autorizados (borrado, modificación, robo, etc). 4 10
Aplicaciones sin licencia 2 1
Falta de documentación de aplicaciones 3 100
Error de configuración 3 10
Falla del sistema operativo 4 1/10
Software desactualizado 3 10
Virus 3 100
Corte de servicio eléctrico, UPS sin baterías o 3 10
Datos: en tránsito, datos de configuración, datos en medios externos
Tabla Nº 7.6: Datos: degradación y frecuencia según amenaza

4 10
Copia no autorizada 3 1/10
Falla en medios externos 4 1/10
Perdida de datos en tránsito 3 1/10
Sabotaje 4 1/10
Virus 3 1
Documentación: Expedientes, Archivos físicos (ficheros); Documentación de

programas, de procedimientos administrativos y manuales
Tabla Nº 7.7: Documentación física: degradación y frecuencia según amenaza

Factores ambientales 4 1/10
Acceso no autorizado a datos de documentación 3 1
Manipulación no autorizada o inadecuada 3 10
Robo 4 1/10
Desvinculación del personal a cargo de dicha 2 1/10
documentación.
Deterioro involuntario de documentación 3 1/10
Red (internet - intranet)
Tabla Nº 7.8: Red: degradación y frecuencia según amenaza

Mal uso del servicio de email 3 1
Mal estado del cableado y dispositivos 4 10
65
Falta de control y documentación de configuraciones 4 10

Falta de servicio de internet 4 100
4 10
de voltaje
Copias de seguridad (Backups)
Tabla Nº 7.9: Copias de Seguridad: degradación y frecuencia según amenaza

Rotulación inadecuada de backups o inexistente 2 1/10
Resguardos inapropiados o soportes en mal estado, o no
4 1
controlados
Incumplimiento de la periodicidad en el resguardo de la
3 10
información
Lugar incorrecto de conservación de soportes de backups. 2 10
Errores de software. 3 1
Falta de espacio de almacenamiento. 3 1/10
Sabotaje 3 1/10
Virus 2 1
Usuarios
Tabla Nº 7.10: Usuarios: degradación y frecuencia según amenaza

Acceso no autorizado 2 10
Condiciones de trabajo adversas 2 1/10
Desvinculación del personal 3 1/10
Falta de control de sesión de usuario abierta 3 1
Restricciones inexistentes en las tareas o procesos que
3 1/10
realizan los usuarios
Insumos
Tabla Nº 7.11: Insumos degradación y frecuencia según amenaza

Factores ambientales (humedad, luz y polvo).
3 1
Catástrofes
Límite de vida útil 4 1
Recursos escasos 2 10
Uso descontrolado de recursos 2 10
Robo 3 1/10
Documentación inadecuada 2 1
Datos de usuarios
Tabla Nº 7.12: Insumos degradación y frecuencia según amenaza

Falta de espacio de almacenamiento 3 1/10
Perdida de backup o inexistencia 3 1
Robo 2 1/10
Sabotaje 3 1/10
66
Virus 2 1
Modificación descontrolada de datos compartidos 4 1
2 10
5. Estimación del Impacto
Para dar continuidad al análisis de riesgo en desarrollo se debe proceder a los

cálculos necesarios para estimar el Impacto que las amenazas causarían al activo en
caso de manifestarse. Es importante mencionar que, este cálculo, se realiza sin tener en
cuenta las contramedidas, o salvaguardas, que la organización aplica hoy por hoy.
Impacto = valor del activo x degradación
Base de Datos
Tabla Nº 8.1: Base de datos: Estimación del Impacto de cada amenaza determinada
(I=VA xD)
Valor del activo (VA) 10
Amenaza Impacto (I)
(D) (F)
Copia no autorizada de un medio de datos 3 1/10 30
Errores de software y/ o hardware 3 1 30
Falla de base de datos 4 1/10 40
Falta de espacio de almacenamiento 4 1 40
Mala configuración del Schedule de
3 1 30
backups
Perdida de backups 3 1/10 30
Perdida de datos en tránsito 3 1 30
Falla o deterioro en el medio de
3 1 30
almacenamiento externo
Robo 4 1/10 40
Sabotaje 4 1/10 40
Virus 3 10 30
Corte de servicio eléctrico, UPS sin
4 10 40
baterías o inestabilidad de voltaje
Impacto total: 410
Hardware general
Tabla Nº 8.2: Hardware general: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
2 10 8
Deterioro o mal uso de un componente 3 10 12
Factores ambientales, catástrofes 2 1 8
Limite de vida útil 2 10 8
Mal mantenimiento 3 10 12
Robo 4 1/10 16
Impacto total: 64
67
Hardware especifico
Tabla Nº 8.3: Hardware específico: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Factores ambientales, catástrofes 2 1/10 12
Corte de servicio eléctrico, UPS sin baterías
2 10 12
o inestabilidad de voltaje
Robo 4 1/10 24
Impacto total: 96
Software general
Tabla Nº 8.4: Software general. Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Accesos no autorizados (borrado,
4 1 36
modificación, robo, etc).
Aplicaciones sin licencia 2 100 18
Falta de documentación de aplicaciones 2 100 18
Error de configuración 3 10 27
Falla de compatibilidad 2 1 18
Falla del sistema operativo 4 1/10 36
Software desactualizado 3 100 27
2 10 18
Virus 3 100 27
Impacto total: 225
Tabla Nº 8.5: Software específico: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Accesos no autorizados (borrado, 4 10
40
Falla del sistema operativo 4 1/10 40
3 10 30
Virus 3 100 30
Impacto total: 250
68
Tabla Nº 8.6: Datos: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Corte de servicio eléctrico, UPS sin baterías 4 10 32
Copia no autorizada 3 1/10 24
Falla en medios externos 4 1/10 32
Perdida de datos en tránsito 3 1/10 24
Sabotaje 4 1/10 32
Virus 3 1 24
Impacto total: 168

Tabla Nº 8.7: Documentación física: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Factores ambientales, catástrofes 4 1/10 32
Acceso no autorizado a datos de 3 1
24
documentación
Manipulación no autorizada o inadecuada 3 10 24
Robo 4 1/10 32
Desvinculación del personal a cargo de dicha 2 1/10
16
documentación.
Deterioro involuntario de documentación 3 1/10 24
Impacto total: 152
Tabla Nº 8.8: Red: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Mal uso del servicio de email 3 1 24
Mal estado del cableado y dispositivos 4 10 32
Falta de control y documentación de
4 10 32
configuraciones
4 10 32
Falta de servicio de internet 4 100 32
Impacto total: 152
Tabla Nº 8.9: Copias de seguridad: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Rotulación inadecuada de backups o 2 1/10 18
69
inexistente
Resguardos inapropiados o soportes en mal
4 1 36
estado, o no controlados
Incumplimiento de la periodicidad en el
3 10 27
resguardo de la información
Lugar incorrecto de conservación de
2 10 18
soportes de backups.
Errores de software. 3 1 27
Falta de espacio de almacenamiento. 3 1/10 27
Sabotaje 3 1/10 27
Virus 2 1 18
Impacto total: 198
Usuarios
Tabla Nº 8.10: Usuarios: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Acceso no autorizado 2 10 14
Condiciones de trabajo adversas 2 1/10 14
Desvinculación del personal 3 1/10 21
Falta de control de sesión de usuario abierta 3 1 21
Restricciones inexistentes en las tareas o
3 1/10 21
procesos que realizan los usuarios
Impacto total: 91
Insumos
Tabla Nº 8.11: Insumos: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Factores ambientales (humedad, luz y
3 1 9
polvo). Catástrofes
Límite de vida útil 4 1 12
Recursos escasos 2 10 6
Uso descontrolado de recursos 2 10 6
Robo 3 1/10 9
Documentación inadecuada 2 1 6
Impacto total: 48
Datos de usuarios
Tabla Nº 8.12: Datos de usuariosEstimación del Impacto de cada amenaza determinada (I=VA xD)
Amenaza Impacto (I)
(D) (F)
Falta de espacio de almacenamiento 3 1/10 18
Perdida de backup o inexistencia 3 1 18
Robo 2 1/10 12
Sabotaje 3 1/10 18
Virus 2 1 12
70

2 10 12
Modificación descontrolada de datos
4 1 24
compartidos
Impacto total: 114
6. Estimación del riesgo
De igual forma que en el paso anterior, en esta instancia se debe estimar el riesgo
de cada activo teniendo en cuenta los valores obtenidos de Impacto, así como el valor
establecido para la frecuencia con la que se estima pueden materializarse las amenazas
previstas.
Para obtener el riesgo al cual están expuestos los activos, de acuerdo a la

amenaza analizada se tiene en cuenta la siguiente fórmula:
Riesgo = Frecuencia x Impacto
Base de Datos
Tabla Nº 9.1: Base de datos: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Copia no autorizada de un medio de datos 1/10 30 3
Errores de software y/ o hardware 1 30 30
Falla de base de datos 1/10 40 4
Falta de espacio de almacenamiento 1 40 40
Mala configuración del Schedule de backups 1 30 30
Perdida de backups 1/10 30 3
Perdida de datos en tránsito 1 30 30
Falla o deterioro en el medio de
1 30 30
almacenamiento externo
Robo 1/10 40 4
Sabotaje 1/10 40 4
Virus 10 30 300
4 40 160
Riesgo total: 638
Hardware general
Tabla Nº 9.2: Hardware general: Estimación del Riesgo por cada amenaza determinada (R=F x I)
10 8 80
Factores ambientales, catástrofes 1 8 8
Robo 1/10 16 1,6
Riesgo total: 409,6
71
Hardware especifico
Tabla Nº 9.3: Hardware específico: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Factores ambientales, catástrofes 1/10 12 1,2
10 12 120
Robo 1/10 24 2,4
Riesgo total: 441,6
Software general
Tabla Nº 9.4: Software general: Estimación del Riesgo por cada amenaza determinada (R=F x I)
1 36 36
Falla de compatibilidad 1 18 18
Falla del sistema operativo 1/10 36 3,6
10 18 180
Virus 100 27 2700
Riesgo total: 9507,6
Tabla Nº 9.5: Software específico: Estimación del Riesgo por cada amenaza determinada (R=F x I)
10 40 400
Falla del sistema operativo 1/10 40 4
10 30 300
Virus 100 30 3000
Riesgo total: 7324
Tabla Nº 9.6: Datos: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Corte de servicio eléctrico, UPS sin baterías o 10 32 320
Copia no autorizada 1/10 24 2,4
72
Falla en medios externos 1/10 32 3,2

Perdida de datos en tránsito 1/10 24 2,4
Sabotaje 1/10 32 3,2
Virus 1 24 24
Riesgo total: 355,2

Tabla Nº 9.7: Documentación física: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Factores ambientales, catástrofes 1/10 32 3,2
Acceso no autorizado a datos de
1 24 24
documentación
Manipulación no autorizada o inadecuada 10 24 240
Robo 1/10 32 3,2
Desvinculación del personal a cargo de dicha
1/10 16 1,6
documentación.
Deterioro involuntario de documentación 1/10 24 2,4
Riesgo total: 274,4
Tabla Nº 9.8: Red: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Mal uso del servicio de email 1 24 24
Mal estado del cableado y dispositivos 10 32 320
Falta de control y documentación de 10
32 320
configuraciones
Corte de servicio eléctrico, UPS sin baterías o 10
32 320
Falta de servicio de internet 100 32 3200
Riesgo total: 4184
Tabla Nº 9.9: Copias de seguridad. Estimación del Riesgo por cada amenaza determinada (R=F x I)
Rotulación inadecuada de backups o
1/10 18 1,8
inexistente
Resguardos inapropiados o soportes en mal
1 36 36
estado, o no controlados
Incumplimiento de la periodicidad en el
10 27 270
resguardo de la información
Lugar incorrecto de conservación de soportes
10 18 180
de backups.
Errores de software. 1 27 27
Falta de espacio de almacenamiento. 1/10 27 2,7
Virus 1 18 18
Riesgo total: 538,2
73
Usuarios
Tabla Nº 9.10: Usuarios: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Acceso no autorizado 10 14 140
Condiciones de trabajo adversas 1/10 14 1,4
Desvinculación del personal 1/10 21 2,1
Falta de control de sesión de usuario abierta 1 21 21
Restricciones inexistentes en las tareas o
1/10 21 2,1
procesos que realizan los usuarios
Riesgo total: 166,6
Insumos
Tabla Nº 9.11: Insumos: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Factores ambientales (humedad, luz y polvo).
1 9 9
Catástrofes
Límite de vida útil 1 12 12
Recursos escasos 10 6 60
Uso descontrolado de recursos 10 6 60
Robo 1/10 9 0,9
Documentación inadecuada 1 6 6
Riesgo total: 147,9
Datos de usuarios
Tabla Nº 9.12: Datos de usuarios. Estimación del Riesgo por cada amenaza determinada (R=F x I)
Falta de espacio de almacenamiento 1/10 18 1,8
Perdida de backup o inexistencia 1 18 18
Robo 1/10 12 1,2
Virus 1 12 12
10 12 120
Modificación descontrolada de datos
1 24 24
compartidos
Riesgo total: 178,8
74
Resumen de datos obtenidos:
La siguiente Tabla Nº muestra los activos, el valor de su importancia, el Impacto y

el Riesgo total que puede afectar al mismo.
Se dice que es el riesgo máximo debido a que los cálculos realizados fueron
pensados ante la posibilidad que cada una de las amenazas se materialice, es decir sin
tener en cuenta ninguna salvaguarda.
Tabla Nº 10: Resumen de datos obtenidos

Activos Valor del Impacto total Riesgo total
activo (VA) (IT) (RT)
Bases de datos 10 410 638
Hardware general: Impresoras, teclado, mouse,
monitor, Fotocopiadoras, ups, estabilizadores
4 64 409,6
Hardware específico (tickeadora, lectora de
código de barra, cámaras fotográficas, 6 96 441,6
filmadoras)
Software general: Aplicaciones, sistemas
operativos
9 225 9507,6
Software específico: sistema integral,
programas fuentes
10 250 7324
Datos: en tránsito, datos de configuración,
datos en medios externos
8 168 355,2
Documentación: Expedientes, Archivos físicos
(ficheros); Documentación de programas, de 8 152 274,4
procedimientos administrativos y manuales
Red (intranet e internet) 8 152 4184
Copias de seguridad (Backups) 9 198 538,2
Usuarios 7 91 166,6
Insumos: cartuchos, pendrive, cd, dvd,
formularios, papel, toner
3 48 147,9
Datos de usuarios 6 114 178,6
Riesgo total máximo (RTM) 24165,7
75
7. Establecer contramedidas o salvaguardas (situación actual)
En este paso se presentan las salvaguardas que actualmente se aplican como medidas de seguridad para preservar los activos, y se
realizan los cálculos para determinar el impacto y el riesgo.
Es oportuno indicar que, así como en los cálculos anteriores, se asignan a degradación (D) y frecuencia (F) valores cualitativos
basados en la clasificación presentada en las Tabla Nºs 3 y 4, para los próximos cálculos también se tiene en cuenta dicha clasificación.
Base de Datos
Tabla Nº 11.1: Base de datos: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 10
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Copia no autorizada de un medio de Acceso restringido al lugar
1 1/10 10 1
datos Control de usuarios mediante contraseñas
Copia de seguridad diaria y semanal
Errores de software y /o hardware Controles mensual de configuraciones y técnico 2 1 20 20
Control de temperatura del servidor
Falla de base de datos Copia de seguridad diaria y semanal
2 1/10 20 2
Controles mensual de configuraciones
Capacidad del medio de almacenamiento de la base
Falta de espacio de almacenamiento de datos muy amplio, de acuerdo al volumen de 2 1 20 20
información que se almacena
Mala configuración del Schedule de
Controles mensuales de configuración 2 1 20 20
backups
Perdida de backups No se tienen contramedidas previstas 3 1/10 30 3
Perdida de datos en tránsito No se tienen contramedidas previstas 4 1 40 40
Alerta prevista en el sistema cuando no se realiza el
Falla o deterioro en el medio de pasaje de datos.
1 1 10 10
almacenamiento externo Control interno por el personal autorizado
Control de funcionamiento técnico mensual
Acceso restringido al lugar
Robo 2 1/10 20 2
Control de usuarios mediante contraseñas
76
Acceso no autorizado a BD por la red

Sabotaje Control de usuarios mediante contraseñas 2 1/10 20 2
Acceso no autorizado a BD por la red
Virus Herramienta de antivirus y firewall 2 10 20 200
Revisión del estado de UPS diario 1 10 10 100
Totales 240 420
Hardware general
Tabla Nº 11.2: Hardware general: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Corte de servicio eléctrico, UPS sin Algunos componentes hardware poseen UPS
2 10 8 80
baterías o inestabilidad de voltaje controlado diariamente.
Manuales de componentes disponibles a todos los
Deterioro o mal uso de un
usuarios 2 10 8 80
componente
Controles técnicos mensual
Ventilación, adecuada en las instalaciones
Factores ambientales, catástrofes Equipamiento asegurado 1 1 4 4
Extintores de incendios
Limite de vida útil Insumos de respaldo 2 10 8 80
Mal mantenimiento Control técnico mensual y según requerimiento 1 10 4 40
Control de acceso restringido
Robo Alarmas de seguridad 2 1/10 8 0,8
Equipamiento asegurado por robo (no por hurto)
Totales 40 284,8
77
Hardware especifico
Tabla Nº 11.3: Hardware específico: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Manuales de componentes disponibles a todos los
Deterioro o mal uso de un componente usuarios 1 1 6 6
Controles técnicos mensual
Ventilación, adecuada en las instalaciones
Factores ambientales, catástrofes Equipamiento asegurado 1 1/10 6 0,6
Limite de vida útil Insumos de respaldo 2 10 12 120
Mal mantenimiento Control técnico mensual y según requerimiento 1 10 6 60
Alarmas de seguridad
Robo 2 1/10 12 1,2
Equipamiento asegurado por robo (no por hurto)
Resguardo en lugar seguro (bajo llave)
Corte de servicio eléctrico, UPS sin Algunos componentes hardware poseen UPS
2 10 12 120
baterías o inestabilidad de voltaje controlado diariamente.
Total: 54 307,8
Software general
Tabla Nº 11.4: Software general: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Controles físicos de accesos a las instalaciones 3 1 27 27
Aplicaciones sin licencia No se aplican contramedidas 2 100 18 1800
Falta de documentación de aplicaciones No se aplican contramedidas 2 100 18 1800
78
Controles mensuales y según requerimiento del

Error de configuración 2 10 18 180
servicio técnico
Configuraciones y controles por servicio técnico
Falla de compatibilidad 1 1 9 9
encargado
Controles mensuales y según requerimiento del
Falla del sistema operativo 3 1/10 27 2,7
servicio técnico
Mantenimiento y evaluación de aplicaciones por
Software desactualizado 1 100 9 900
servicio técnico tercerizado
Corte de servicio eléctrico, UPS sin Algunos equipos poseen UPS controlado
2 10 18 1800
baterías o inestabilidad de voltaje diariamente.
Total 162 8318,7
Tabla Nº 11.5: Software específico: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Controles físicos de accesos a las instalaciones.
Acceso restringido mediante usuarios y 2 10 20 200
contraseñas
Aplicaciones sin licencia Licencia registrada y actualizada mensualmente 1 1 10 10
Acceso a documentación según requerimiento,
Falta de documentación de aplicaciones existencia de manuales de funcionamiento en la 1 100 10 1000
institución
Control mensual y según requerimiento, por el
Error de configuración 1 10 10 100
servicio técnico encargado
Control mensual y según requerimiento, por el
Falla del sistema operativo 2 1/10 20 2
servicio técnico encargado
Software desactualizado El servicio técnico realiza, cuando corresponde, 1 10 10 100
79
actualizaciones necesarias
Corte de servicio eléctrico, UPS sin Algunos equipos poseen UPS controlado
2 10 20 200
baterías o inestabilidad de voltaje diariamente.
Total 120 3612
Tabla Nº 11.6: Datos: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
No se posen contramedidas 4 10 32 320
Acceso restringido a las instalaciones y a las
Copia no autorizada 1 1/10 8 0,8
terminales de trabajo mediante contraseña
Control interno por el personal autorizado
Falla en medios externos 2 1/10 16 1,6
Control de funcionamiento técnico mensual
Perdida de datos en tránsito No se implementan contramedidas 3 1/10 24 2,4
Sabotaje Control de usuarios mediante contraseñas 2 1/10 16 1,6
Acceso no autorizado a datos por la red
Virus Herramientas de antivirus y firewall 2 1 16 16
Total 112 342,4
Documentación: Expedientes, Archivos físicos (ficheros); Documentación de programas, de procedimientos administrativos y

manuales.
Tabla Nº 11.7: Documentación física: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Factores ambientales, catástrofes Mobiliario específico para resguardo de 2 1/10 16 1,6
80
documentación
Acceso no autorizado a datos de documentación Controles de acceso a las instalaciones 2 1 16 16
Solo el personal pertinente puede acceder a
Manipulación no autorizada o inadecuada 1 10 8 80
cierta documentación
Robo Alarmas de seguridad 1 1/10 8 0,8
Resguardo en lugar seguro (bajo llave)
Desvinculación del personal a cargo de dicha Aplicación de las obligaciones del empleado
1 1/10 8 0,8
documentación. (Estatuto Municipal)
Deterioro involuntario de documentación No existen contramedidas previstas 3 1/10 24 2,4
Total 80 101,6
Tabla Nº 11.8: Red: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Capacitación a los usuarios sobre el correcto
Mal uso del servicio de email 1 1 8 8
uso del email
Control y mantenimiento mensual y según
Mal estado del cableado y dispositivos 1 10 8 80
requerimiento, a cargo del servicio técnico
Falta de control y documentación de Control y mantenimiento mensual y según
1 10 8 80
configuraciones requerimiento, a cargo del servicio técnico
Falta de servicio de internet No existen contramedidas previstas 4 100 32 3200
No existen contramedidas previstas 4 10 32 320
Total 88 3688
81
Tabla Nº 11.9: Copias de seguridad: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Rotulación inadecuada de backups o inexistente Verificación de rotulado para diferenciar cada
1 1/10 9 0,9
medio de dato como único
Resguardos inapropiados o soportes en mal Control de lo almacenado luego de haberlo
3 1 27 27
estado, o no controlados realizado
Personal autorizado por el personal técnico
Incumplimiento de la periodicidad en el resguardo
para realizar el backup semanal. 1 10 9 90
de la información
Resguardo automático del sistema integral.
Lugar incorrecto de conservación de soportes de No existe contramedida prevista
2 10 18 180
backups.
Copia de seguridad diaria y semanal
Errores de software y /o hardware Controles mensual de configuraciones y 1 1 9 9
técnico
Disco externo: sobre dimensionado de
acuerdo al volumen de información que se
Falta de espacio de almacenamiento. maneja. 1 1/10 9 0,9
Los backup semanales se realizan en DVD
(mucha capacidad)
Sabotaje Acceso restringido al lugar 2 1/10 18 1,8
Total: 108 318,6
82
Usuarios
Tabla Nº 11.10: Usuarios: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Control de acceso a datos en las aplicaciones
Acceso no autorizado definidos por el perfil del usuario y mediante 2 10 14 140
contraseña
Instalaciones y mobiliario adecuado para el
Condiciones de trabajo adversas 1 1/10 7 0,7
trabajo administrativo
Aplicación de las obligaciones del empleado y
Desvinculación del personal 2 1/10 14 1,4
su desvinculación (Estatuto Municipal)
Falta de control de sesión de usuario abierta Control de acceso a las oficinas 2 1 14 14
Restricciones inexistentes en las tareas o Perfiles de usuarios definidos en el sistema
1 1/10 7 0,7
procesos que realizan los usuarios integral
Total 56 156,8
Insumos
Tabla Nº 11.11: Insumos: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Ubicación en lugares apropiados y aislados
Factores ambientales (humedad, luz y polvo). de humedad y polvo
1 1 3 3
Catástrofes Extintores de incendio ubicados
reglamentariamente
Límite de vida útil Insumos de respaldo 2 1 6 6
Recursos escasos Insumos de respaldo 1 10 3 30
Administración contralada de recursos por el
Uso descontrolado de recursos 1 10 3 30
personal encargado
Administración controlada de recursos por el
Robo 1 1/10 3 0,3
personal encargado
83
Control de acceso al lugar de

almacenamiento
Documentación inadecuada Inventario de insumos actualizado 1 1 3 3
Total: 21 72,3
Datos de usuarios
Tabla Nº 11.12: Datos de usuarios: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
Falta de espacio de almacenamiento Capacidad de Almacenamiento
1 1/10 6 0,6
sobredimensionada en todas los equipos.
Perdida de backup o inexistencia No se tienen contramedidas previstas 3 1 18 18
Robo 1 1/10 6 0,6
Alarmas de seguridad
Sabotaje Acceso restringido al lugar 1 1/10 6 0,6
Modificación descontrolada de datos compartidos Inexistencia de datos compartidos 1 1 6 6
No existen contramedidas previstas 2 10 12 120
Total: 60 151,8
84
8. Estimación del Riesgo Residual
A continuación se muestra un resumen de los valores obtenidos al calcular el

riesgo total, al que los activos de la entidad pueden estar expuestos y el riesgo actual, al
tener en cuenta las contramedidas o salvaguardas que, hoy por hoy, se aplican en la
entidad.
Tabla Nº 12: Comparativa del Riesgo Máximo (RM) y Riesgo Actual (RA)
Riesgo
Valor del Riesgo
Activos Maximo
Activo (VA) Actual (RA)
(RM)
Bases de datos 10 638 420
Hardware general: Impresoras, teclado, mouse,
monitor, Fotocopiadoras, ups, estabilizadores
4 409,6 284,8
Hardware específico (tickeadora, lectora de código
de barra, cámaras fotográficas, filmadoras)
6 441,6 307,8
Software general: Aplicaciones, sistemas operativos 9 9507,6 8318,7
Software específico: sistema integral, programas
fuentes
10 7324 3612
Datos: en tránsito, datos de configuración, datos en
medios externos
8 355,2 342,4
Documentación: Expedientes, Archivos físicos
(ficheros); Documentación de programas, de 8 274,4 101,6
procedimientos administrativos y manuales
Red (intranet e internet) 8 4184 3688
Copias de seguridad (Backups) 9 538,2 318,6
Usuarios 7 166,6 156,8
Insumos: cartuchos, pendrive, cd, dvd, formularios,
papel, toner
3 147,9 72,3
Datos de usuarios 6 178,6 151,8
Totales 24165,7 17774,8
Porcentajes: 100% 73,55%
Porcentaje del Riesgo Cubierto 26,45%
Como se puede observar, según los valores presentados, el riesgo actual, para la
mayoría de los activos, disminuyo considerablemente mientras que en otros el valor no se
alteró significativamente.
Del total de riesgos que se pueden presentar por la materialización de las

amenazas solamente se encuentra cubierto el 26,45%, y en consecuencia se obtiene un
Riesgo Residual del 73,55%.
85
Riesgo Residual - Riesgo Cubierto
26%
Riesgo Residual
Riesgo Cubierto
74%
Gráfica Nº 13 - Relación entre Riesgo Máximo – Riesgo Residual – Riesgo Cubierto
Los porcentajes arrojados, y la gráfica utilizada para presentarlos, ilustran una

clara situación de inseguridad general para el grupo de activos analizado y el Riesgo
Residual con el que se debe enfrentar hoy en día la organización.
9. Plan de acción propuesto
Al haber concretado los pasos definidos en la metodología propuesta, en las

páginas 58 a 60, la cual se abordó para el análisis cualitativo, y contando con los
resultados arrojados por el mismo, se puede decir que se está en conocimiento de la
realidad de la entidad frente a los riesgos de sus activos.
A raíz de esto se está en condiciones de concluir el análisis de riesgo y presentar

las propuestas concretas a tener en cuenta para el caso en estudio.
Propuestas.
Como bien se ha presentado en el desarrollo del análisis de riesgo, así como
también se lo describe en el Informe del relevamiento incluido en el Anexo I, la entidad
cuenta con medidas de seguridad que permiten, en cierta manera reducir los riesgos de
la información.
Sin embargo y teniendo en cuenta los resultados arrojados al concluir la etapa de

estimación de los riesgos, tanto el Riesgo Máximo Total, el Riesgo Actual Total y el
Riesgo Residual, se puede asegurar que el Riesgo Cubierto, no es suficiente para
garantizar que las medidas adoptadas sean eficientes y completas.
86
Cumpliendo con el compromiso inicial, al abordar esta tesis, es que se proponen

las siguientes medidas para la reducción de los riesgos.
En relación a Copias de seguridad o Backups
Si bien en la entidad se cuenta con el resguardo de la información generada por

los sistemas (bases de datos), las mismas no se realizan de manera organizada y
controlada. A continuación se enuncian propuestas para disminuir el riesgo de no contar
con la información contenida en los mismos en caso de necesitarla.
Las copias de seguridad deben incluir los datos de las bases de datos del sistema
integral, así como los datos generados por los usuarios y los software específicos. Estas
copias deberán efectuarse, en medios de almacenamiento portátiles (DVD, u otros),
diariamente, al finalizar la jornada laboral administrativa.
Las mismas deben generarse en dos (2) copias las cuales, en primera instancia,
deberán ser controladas, correctamente etiquetadas de acuerdo a criterios acordados con
el servicio técnico, y resguardadas en distintos lugares. En caso de ser considerado
propicio, se debería contar con una caja fuerte externa al edificio municipal (por ejemplo,
en el Banco), para prevenir pérdidas de backups por incidentes de índole catastróficos
como incendios, derrumbes, inundaciones
Es importante que en toda organización se pueda contar con personal

responsable que realice el resguardo de la información, mediante pautas preestablecidas
y correctamente documentadas. Cabe mencionar que dicha entidad debe ofrecer al
personal capacitación para abordar esta tarea. Actualmente se cuenta solo con una
persona que realiza este proceso, además del servicio técnico externo, pero sin contar
con respaldo de documentación.
En relación a accesos no autorizados: físicos y lógicos
La organización cuenta con sistema de alarma como medida de seguridad de las

instalaciones fuera de la jornada laboral, es decir para evitar el acceso de una persona no
autorizada al edificio municipal.
Durante el horario en que se atiende al público, y se desarrollan las tareas

administrativas, las instalaciones no cuentan con medidas de seguridad específicas, sino
que el mismo personal administrativo, y de maestranza en el lugar, vela por la seguridad
de las oficinas, restringiendo el acceso a las mismas.
En tal sentido, se propone la instalación de cámaras de seguridad en el interior del

edificio, principalmente en accesos y pasillos, de ambas plantas. Las mismas deberán
estar conectadas a un equipo informático mediante el cual se pueda visualizar la captura
de la cámara y también generar copias de seguridad de los archivos de las filmaciones,
procediendo de esta manera como se indicó anteriormente con los backups de
información.
Si bien las cámaras de seguridad no evitan el ingreso de una persona con

intenciones de robo, se lo puede intimidar al intruso por ser descubierto.
87
También es importante destacar que todo aquel equipamiento de dimensiones

menores como lo son: cámaras digitales, cámaras filmadoras, tickeadoras, lectora de
código de barra, es resguardada en armarios seguros y bajo llave, lo imprescindible a
tener en cuenta es que la misma permanezca en lugar inaccesible para las personas
ajenas a la institución. Pero es aún más importante que no solo el responsable del
equipamiento posea acceso a los equipos, sino que se debe contar con una copia de la
llave guardada en lugar seguro en virtud de, en caso de ausencia del empleado
responsable, poder hacer uso del equipamiento o bien resguardarlo en caso de alguna
catástrofe como incendio, derrumbe.
En relación a controles lógicos de accesos a los equipos informáticos, así como al

sistema integral y a los archivos generados en cada equipo, y teniendo en cuenta que
cada empleado administrativo posee su usuario y contraseña se proponen las siguientes
medidas:
• Concientizar al personal de la institución sobre las medidas de seguridad

que debe realizar en función de sus responsabilidades, y obligaciones,
como parte de la entidad y valorizando tanto el trabajo que realiza como la
información que se administra. Es importante aclarar que esta propuesta
incluye a todos los empleados vinculados con las instalaciones
administrativas.
• El sistema integral debería contar con la cancelación de la sesión iniciada
por el usuario, pasado cierto tiempo.
• Los equipos informáticos también deberían contar con usuarios definidos
de acuerdo al perfil de cada uno, así como del administrador de los
recursos.
• Contar diariamente con personal especializado para realizar tareas
relacionadas tanto con la administración de cuentas de usuario, control de
los accesos y tareas que realizan los responsables en la base de datos,
como copias de seguridad, instalación de equipamiento informático. En tal
sentido y teniendo en cuenta la propuesta manifestada sobre cámaras de
seguridad, también podría desarrollar las tareas relacionadas con las
mismas.
En relación a licencias de aplicaciones
Si en la actualidad se puede contar aplicaciones de uso libre, “software libre”, en

cuanto a sistemas operativos como aplicaciones relacionadas con el procesamiento de
textos y de planillas de cálculo (se hace hincapié en éstos ya que son, a nuestro criterio,
las herramientas que más se aplican al tipo de actividades que se realizan en la entidad),
la mayoría de las personas no se familiariza con las mismas.
Por lo tanto, se propone la adquisición de licencias de aquellas herramientas que

se utilizan en la organización para evitar multas y problemas en relación a software legal.
En cuanto a software contra virus, se sugiere se proceda de la misma manera ya

que si bien existen infinidad de antivirus gratuitos los mismos poseen distintas
especificaciones que aquellos pagos, por ejemplo: no se pueden instalar en varias
computadoras, no cuentan con respaldo en caso de infección, no incluyen firewall,
antispam, etc, y si bien se pueden encontrar otros que ofrecen todas estas herramientas,
88
se debe tener en cuenta que no están pensadas para organizaciones o empresas en las
que generalmente existen redes de trabajo internas.
En relación a cortes de servicio eléctrico:
Como ya se explicitó con anterioridad, en la institución se cuenta únicamente con

tres (3) Unidades de energía ininterrumpida (UPS), el resto de las computadoras posee
estabilizadores de tensión. Razón por la cual en caso de falta de servicio eléctrico se
interrumpe el funcionamiento de la gran mayoría de los equipos, así como la red,
solamente tres equipos siguen en actividad pero desvinculados totalmente, ya que los
switch que distribuyen la red no tendría alimentación eléctrica.
En el mismo orden de importancia se debe mencionar que el servidor posee un

UPS, pero con una autonomía de 4hs. este tiempo es poco si la falta de energía eléctrica
se extiende por un período mayor de tiempo lo que puede llegar a comprometer el
resguardo de la base de datos, principalmente.
Se recomienda la instalación de generador de energía eléctrica que permita

continuar con el funcionamiento de las tareas desarrolladas en el municipio.
En tal sentido, se propone se arbitren los medios para generar la documentación

de los controles que se realizan a los UPS, ya que el correcto funcionamiento de los
mismos y el nivel de carga pueden ser controlados por el personal de la entidad en
horario laboral pero no en caso que el servicio eléctrico se corte por la noche por más
tiempo que lo que perdura la carga del equipo de energía.
En relación a mantenimiento de software y hardware. Documentación:
En relación este tema es necesario mencionar que se carece de documentación

relacionada con los programas generales, sistemas operativos y hardware en la
institución, dependiendo totalmente del Servicio Técnico contratado.
Se sugiere contar con documentación relacionada con la configuración tanto de

los programas como del equipamiento y de la red, con el fin de poder hacer frente a un
inconveniente presentado y poder continuar con las actividades. En tal sentido es
conveniente contar en la institución con personal técnico permanente que se encuentre
capacitado para estas eventualidades.
En cuanto al mantenimiento del equipamiento, como de las aplicaciones que

permiten el buen desarrollo de las actividades, se propone contar con procedimientos
debidamente documentados de revisión, mediante el cual se pueda llevar registro de los
inconvenientes presentados y de las medidas tomadas para solucionarlas, así como por
ejemplo actualizaciones de los antivirus, liberación de espacio de discos, copias de
seguridad de los datos de usuarios.
En relación a datos en tránsito, se deberían cifrar los datos transportados por la

red mediante protocolos específicos.
En relación al buen estado y mantenimiento del servidor, el cual cuenta con UPS,
controlador de temperatura y se encuentra resguardado de factores ambientales que
puedan afectar su funcionamiento. Se propone aislarlo totalmente, de manera que por
ninguna circunstancia, ajena a las tareas relacionadas con el mismo, esté expuesto a
89
amenazas no previstas. Pudiendo contar con acceso restringido totalmente para aquellas
personas que no estén a cargo de actividades tales como copia de seguridad y controles
de UPS, temperatura, configuraciones.
En relación con la normativa legal:
Es meritorio mencionar que se han creado normas y leyes para el ámbito nacional
relacionadas con políticas de seguridad, y es importante, orientar los recursos de la
organización en función de la implementación de éstas, ya que ofrecen pautas dirigidas al
aseguramiento de la información que se genera y administra, así como la tecnología que
la soporta.
90
Conclusiones
Al formar parte de una sociedad toda persona interactúa por alguna u otra razón
con una entidad pública, y en algunas ocasiones, sin preguntarse cómo se genera o se
asegura la información que en ella se administra.
Con la realización de este trabajo y en función de los objetivos propuestos, se ha

podido “estar del otro lado del mostrador” al interactuar con el Municipio de XXX y
conocer su realidad.
En el camino y esfuerzo por alcanzar los objetivos del presente trabajo se logró
interiorizar sobre bases legales en materia de seguridad de la información, así como de la
aplicabilidad de otras herramientas y normativas, que en el ámbito internacional y en
nuestro país se han desarrollado en los últimos tiempos, para el control y gestión de
riesgos de la información.
Al estudiar y profundizar en las distintas metodologías que existen hoy en día para
poner en marcha, tanto un análisis de riesgos como la posterior gestión de los mismos,
se logró establecer una metodología apropiada para las características de los organismos
públicos de similares propiedades que la organización en estudio, incorporando en la
misma recomendaciones a tener en cuenta para reducir el riesgo de la información.
Asimismo, al analizar la realidad de la entidad seleccionada en materia de la

importancia que implica conocer y trabajar en función de minimizar los riesgos de los
activos relacionados con la información, la cual constituye a su vez el activo más
importante de toda organización, se pudo determinar el valor de cada elemento de la
institución que actúa en relación a la misma, ya sea como soporte, transporte, o
administrándola simplemente.
De igual manera, junto con los protagonistas directos de las actividades de la

entidad, se lograron identificar aquellas amenazas que pueden afectar directamente a los
activos de la organización y en consecuencia poner en riesgo los objetivos de la misma,
pudiendo de esta manera conocer las medidas de seguridad necesarias y las que
actualmente se implementan.
Al conocer el nivel de exposición a las amenazas y estimando tanto el impacto

como el riesgo total y residual, se pudieron proponer acciones aplicables con el objetivo
de minimizar los riesgos. De esta manera, no solo se cumple con el objetivo propuesto
para esta investigación sino que se obtienen herramientas válidas para poder garantizar
los pilares fundamentales de la seguridad de la información contando con la seguridad
física y lógica de la misma, ya que se resguarda el equipamiento que la soporta y el
personal que la administra y utiliza.
En tal sentido se vislumbra que los riesgos no pueden cubrirse en su totalidad por
medidas de seguridad, pero si se debe contar con herramientas que permitan actuar con
91
rapidez frente a las amenazas, y las vulnerabilidades que provocan, debido al constante
cambio de las mismas.
Se puede afirmar que en todo organismo, ya sea público o privado, el día a día
obliga a contar con recursos destinados a incluir una política de seguridad de la
información, que se adecue a las actividad cotidianas de la organización, logrando de
esta manera instaurar en los protagonistas la importancia que se merece. La clave para
alcanzar la efectividad de dicha política es la comunicación con los usuarios y su vínculo
con ese logro.
Lo anhelado en relación a la presente investigación es que pueda ser tenida en

cuenta en los organismos públicos para analizar la situación existente de acuerdo al nivel
de riesgo que presentan. Asimismo se pretende la ejecución del plan de acción propuesto
a la Organización caso de estudio, para mejorar la situación actual detectada ya que,
como se mencionó en la presente, “el riesgo no debe ignorarse, sino conocerse y
gestionarse”.
92
BIBLIOGRAFÍA
• Libros
• Roberto Sobrinos Sánchez, Planificación y Gestión de Sistemas de

Información. Trabajo de teoría. Escuela Superior de Informática de Ciudad Real
Universidad de Castilla – La Mancha, 1999.
• Humberto Eco, Cómo se hace una tesis: Técnicas y procedimientos de

estudio, investigación y escritura. 4a. reimp Buenos Aires 1986, Gedisa; Celtia
I.S.B.N. : 950-0106-10-8.
• Carlos Sabino: “Como hacer una tesis”, Lumen, Buenos Aires 1994
• Reto r. Gallati: “Risk management and capital adequacy”, McGraw – Hill

2003, Chicago.
• GOMEZ VIEITES, Álvaro; “Enciclopedia de la seguridad Informática”; Alfa

Omega Ra-Ma; México 2007; ISBN: 978-970-15-1266-1;
• ROSALES HERRERA, Humberto David; “Determinación de riesgos en los

centros de cómputo”; Editorial Trillas; México 1996, primera edición; ISBN: 969-
24-5461-1
• Tesis:
o María Dolores Cerini - Pablo Ignacio Prá, “Plan de seguridad informática”.

Universidad Nacional de Córdoba (2002)
o Cristian Borghello “Seguridad Informática – Implicancias e Implementación”;

Universidad Tecnológica Nacional - Regional Paraná, (2001).
o María Inés, García – Ricardo Romeo Rodriguez. “Propuesta metodológica para

la evaluación de los riesgos en un implante óseo heterólogo”, Facultad de
Ingeniería Universidad Nacional de Entre Ríos (2010).
• Internet:
o Seguridad de la Información. www.segu-info.com.ar. (Fecha de visitas: 14/09/10;

03/04/11; 23/05/11; 11/07/11; 13/10/11; 02,09,12/11/11)
93
o Microsoft, Technet: Artículo: “Guía de administración de riesgos de seguridad”.

http://www.microsoft.com/spain/technet/recursos/articulos/srsgch00.mspx
(publicación 15 de octubre de 2004).
o ARTCERT: Coordinación de Emergencias en redes teleinformáticas –

Subsecretaría de tecnologías de la gestión. http://www.arcert.gov.ar (Fecha de
visita: 11/07/11)
o OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation):

www.cert.org/octave/ (Fecha de visita: 15/07/11)
o CRAMM (CCTA Risk Analysis and Method Management): www.cramm.com/

(Fecha de visita: 10/08/11)
o NIST (National Institute of Standars and Technology): www.nist.org (Fecha de

visita 10/08/11)
o MINISTERIO DE ADMINISTRACIONES PÚBLICAS: MAGERIT. Versión 2:

“Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. II
- Catálogo de Elementos”; Madrid, 16 de junio de 2005; NIPO 326-05-047-X.
o INFOLEG. Información Legislativa: http://www.infoleg.gov.ar/ (25/10/11)
94
GLOSARIO
Activo: Cualquier elemento valioso o necesario para que la Organización cumpla sus
objetivos.
Amenaza: Causa potencial de un incidente que puede resultar en un daño a un sistema o

a una organización.
Análisis cualitativo: Análisis basado en el uso de escalas de valoración.
Análisis cuantitativo: Análisis basado en cuantificación numérica de magnitudes,

generalmente en términos económicos.
Análisis de riesgos: Proceso sistemático para estimar la magnitud de los riesgos a que
está expuesta una Organización.
Antivirus: programas cuyo objetivo es detectar y/o eliminar virus informáticos.
Archivo (informático): es un grupo de datos estructurados que son almacenados en

algún medio y pueden ser usados por las aplicaciones.
Archivo: conjunto de documentos utilizados o creados por la entidad.
Ataque: Amenaza de origen intencionado.
Auditoría de seguridad: Estudio y examen independiente del historial y actividades de

un sistema de información, con la finalidad de comprobar la idoneidad de los controles del
sistema, asegurar su conformidad con la estructura de seguridad y procedimientos
operativos establecidos, a fin de detectar brechas en la seguridad y recomendar cambios
en los procedimientos, controles y estructuras de seguridad.
Autenticidad: Propiedad que asegura que la identidad de un elemento o recurso es la

que se le supone. La autenticidad aplica a elementos como usuarios, procesos, sistemas
e información.
Base de Datos: es una colección de información organizada de forma que un programa

de ordenador pueda seleccionar rápidamente los fragmentos de datos que necesite. Una
base de datos es un sistema de archivos electrónico.
Clave, contraseña: palabra o frase que permite acceder a un sistema.
Confidencialidad: Propiedad de que la información no está disponible ni es divulgada a

personas, procesos o dispositivos no autorizados.
Contramedida: ver salvaguarda
Correo electrónico: aplicación que permite enviar mensajes a otros usuarios, también
denominado E-Mail.
95
CRAMM (CCTA Risk Analysis and Method Management): metodología y herramienta

de análisis y gestión de riesgos.
Datos: Unidad mínima de información.
Degradación: Pérdida del valor de un activo como consecuencia de la realización de una

amenaza.
Disponibilidad: Propiedad de que la información y sus activos asociados sea accesible y

utilizable bajo la demanda por una entidad autorizada.
Eficacia: Propiedad de que se cumplen todos los objetivos de la entidad definidos para
un determinado elemento.
Eficiencia: Propiedad de que un requerimiento de negocio se alcanza realizando un

consumo óptimo de los recursos disponibles para ello.
Entidad: es toda colectividad que puede considerarse como una unidad
Estado de riesgo: Caracterización de los activos por su riesgo residual; es decir lo que
puede pasar tomando en consideración las salvaguardas desplegadas.
Estatuto: Reglamento, ordenanza o conjunto de normas legales por las que se regula el
funcionamiento de una entidad.
Estimación de riesgos: Proceso utilizado para asignar valores de probabilidad e impacto

asociados a un riesgo.
Ethernet: Protocolo de comunicación.
Evaluación de riesgos: Comparación del riesgo estimado contra un determinado criterio

para determinar su significatividad.
Evaluación de salvaguardas: Evaluación de la eficacia de las salvaguardas existentes

en relación al riesgo que mitigan.
Firewall: Barrera de protección. Es un procedimiento de seguridad que coloca un sistema

de computación programado especialmente entre una red segura y una red insegura.
Frecuencia: Tasa de ocurrencia de una amenaza.
Gestión de riesgos: Selección e implantación de salvaguardas para conocer, prevenir,

impedir, reducir o controlar los riesgos identificados.
Hardware: Componentes electrónicos, tarjetas, periféricos y equipo que conforman un

sistema de computación.
Impacto: Consecuencia que sobre un activo tiene la materialización de una amenaza.

[MAGE06]
Impacto residual: Consecuencia potencial que sobre un activo tiene la realización de

una amenaza, una vez considerados los efectos mitigantes de las salvaguardas
implementadas.
96
Incidente: Evento inesperado o indeseado que puede causar un compromiso de las

actividades de negocio de la seguridad de la información.
Insumos: es todo aquello disponible para el uso y el desarrollo de la administración de la

entidad.
Integridad: Propiedad de que la información y los métodos de procesamiento sean

exactos y completos.
Internet: Red mundial de comunicación compuesta por miles de redes telefónicas e

informáticas que se encuentran conectadas entre sí para transmitir información.
ISO (International Organization for Standardization): Organización que se encarga de

crear estándares o normas internacionales.
Magerit: es una metodología para el análisis y gestión de riesgos de los Sistemas de

Información.
Municipio: es una entidad administrativa que puede agrupar una sola localidad o varias,
pudiendo hacer referencia a una ciudad, pueblo o aldea.
NIST (National Institute of Standars and Technology): Instituto que se encarga de

desarrollar normas e innovaciones tecnológicas.
Normativa de seguridad: Conjunto de documentos que desarrollan la política de

seguridad.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation): Modelo

de metodología para el análisis de riesgo.
ONTI: Oficina Nacional de Tecnologías de la Información.
Organización: son sistemas sociales diseñados para lograr metas y objetivos por medio
de los recursos humanos.
Plan de seguridad: Conjunto de reglas, directivas y prácticas que gobiernan cómo se

gestionan, protegen los activos y recursos de información.
Riesgo: Grado de exposición a que una amenaza se materialice sobre uno o más activos
causando daños o perjuicios a la Organización.
Riesgo residual: Riesgo remanente en el sistema tras la implantación de las

salvaguardas determinadas en el plan de seguridad de la información.
Salvaguarda (Contramedida): Medida establecida para la reducción del riesgo.
Seguridad: Capacidad de resistir, con un determinado nivel de confianza, los accidentes

o acciones ilícitas o malintencionadas que pueden causar un daño a un sistema o a la
organización.
97
Seguridad de la información: Capacidad de resistir, con un determinado nivel de

confianza, los accidentes o acciones ilícitas o malintencionadas que pueden causar un
daño a los activos de información de una organización.
Seguridad informática: Capacidad de resistir, con un determinado nivel de confianza,

los accidentes o acciones ilícitas o malintencionadas que pueden causar un daño a los
recursos de información tecnológicos de una organización.
Sistema de información: conjunto de elementos orientados al tratamiento y

administración de datos e información
Software: Programas de sistema, utilerías o aplicaciones expresadas en un lenguaje de

máquina. Es decir al equipamiento lógico o soporte lógico de un sistema informático.
Transferencia: Estrategia de gestión de riesgos que consiste en transferir un riesgo a

una entidad externa que deba encargarse de su gestión y que asuma los daños en caso
de ocurrencia de un incidente.
UPS (Uninterruoted Power Suply): Sistema de energía ininterrumpido.
Virus: programa informático que tiene por objeto alterar el normal funcionamiento de la
computadora, sin el permiso o el conocimiento del usuario.
Vulnerabilidad: Debilidad de un recurso de información que puede ser explotada por una
amenaza para causar un daño a un sistema o a la Organización.
98
ANEXOS
99
ANEXO I: Caso de estudio
Los aspectos teóricos desarrollados para comprender la importancia de la gestión

de riesgos en la información en entidades públicas cobran mayor relevancia cuando los
mismos son abordados con un marco de referencia físico que sirva de anclaje de la
aplicación práctica. En este sentido, para esta tesis ha sido seleccionado XXX, como
entidad colaboradora a los efectos de la puesta en práctica de los conceptos de análisis
señalados.
Presentación de la Entidad
Para el desarrollo de este trabajo se eligió, como organización en estudio, el

Municipio de XXX, el cual según la Constitución de XXX, reformada en el año 2008, se
encuentra inmerso dentro de los Municipios de Segunda categoría, dado el número de
habitantes del lugar.
El Municipio de XXX cuenta actualmente con total de cuarenta y nueve (49)

empleados de los cuales, cinco (5) corresponden a contratos y el resto a planta
permanente. Asimismo el total de empleados se organiza de la siguiente forma: dieciséis
(16) pertenecen al escalafón “A”: Empleados Administrativos y el resto al “B”: Empleados
Obreros, según la estructura escalafonaria fijada en el Estatuto de Estabilidad y
Escalafón del Empleado Municipal de XXX, Ordenanza Nº 003/98, Decreto Nº 002/99.
Se presenta a continuación la estructura organizativa con la que cuenta

actualmente la mencionada entidad. Se debe tener en cuenta que el mismo, en su primer
nivel, es dirigido por el Presidente de Junta de Fomento (no por el presidente municipal),
figura otorgada por la Ley Provincial 3001/1943 y su modificatoria Ley Provincial 9728/06.
Es importante observar que el organigrama presentado a continuación está

basado en la forma de gobierno vigente hasta el 10 de diciembre del año 2011, fecha en
la que se modificará la estructura de gobierno según la Ley 10027/11, siendo la autoridad
del Municipio el Presidente Municipal.
100
Organigrama: vigente al 10 de diciembre de 2011
Presidencia Junta
de Fomento
Servicio Técnico Asesoría Legal

Informático
Secretaría General
de Gobierno
Personal Catastro Contaduría Renta Obras y Obras Asistenci Emprendimientos

y Tesorería Servicios Privadas a Social productivos,
Públicos recreativos y
culturales
Mesa
de
Mantenimient Obras
o y Servicios Pública
El municipio de XXX, al igual que el resto de municipios de la Provincia de XXX,

cuenta con una misión específica y expresada en la legislación que norma y reglamenta
su creación, en primer término la Constitución de la Provincia de XXX, sancionada el
XX de XXX de XXX:
“…Artículo 240º.- Los Municipios tienen las siguientes competencias:

1º. Gobernar y administrar los intereses locales orientados al bien común.
2º. Convocar a los comicios para la elección de las autoridades municipales. La validez o
nulidad de la elección, la proclamación de los electos y la expedición de los diplomas
respectivos estará a cargo de los organismos electorales previsto en el artículo 87,
inciso 13º, de esta Constitución.
3º. Juzgar políticamente a sus autoridades en la forma establecida en la respectiva
carta o ley orgánica municipal.
4º. Nombrar y remover a sus funcionarios y agentes.
5º. Concertar convenios colectivos de trabajo y preservar los sistemas locales de
seguridad social existentes.
6º. Proponer las ternas para la designación de los jueces de paz de la circunscripción.
7º. Regular el procedimiento para el juzgamiento de las infracciones que corresponda
aplicar y fijar las sanciones correspondientes.
8º. Establecer los órganos que intervendrán en el juzgamiento y sanción de las
infracciones municipales, organizando un régimen jurisdiccional a cargo de jueces de
faltas, fijando una instancia de apelación. Los funcionarios que ejerzan tales roles
serán designados a través de un procedimiento que garantice la idoneidad de sus
integrantes.
9º. Crear la Defensoría del Pueblo.
10º. Confeccionar y aprobar su presupuesto de gastos y cálculo de recursos.
11º. Establecer, recaudar y administrar sus recursos, rentas y bienes propios.
101
12º. Regular, disponer y administrar, en su ámbito de aplicación, los bienes del

dominio público y privado municipal.
13º. Administrar las tierras fiscales ubicadas dentro del ejido e incorporar a través de
los trámites pertinentes, los bienes que les correspondan.
14º. La atención primaria de la salud, a su expreso requerimiento, y con la
consiguiente transferencia de recursos.
15º. Establecer políticas públicas para la integración de personas con discapacidad.
16º. Contraer empréstitos con objeto determinado…”
Estructura Edilicia:
El Municipio de XXX cuenta con un edificio, de dos plantas, donde se desarrollan
las tareas administrativas y de gestión de gobierno.
A continuación se incluyen dos imágenes con la distribución actual de las oficinas

en el edificio municipal.
102
103
104
I. Informe de Relevamiento (Septiembre - Noviembre 2011)

A continuación se presenta el informe resultante de nuestras visitas a la entidad
con el objeto de recabar información necesaria para iniciar el análisis de riesgo.
Sistema integral de administración
Actualmente se cuenta con un sistema integral que administra la gestión completa

de toda la entidad. Este sistema incluye los procesos relativos a:
• Facturación: se realizan la emisión de boletas de los servicios y rentas municipal,
provincial y automotor.
• Contribuyentes: se obtiene la información de cada contribuyente de la localidad

donde se puede realizar el alta, baja y modificación.
• Obras privadas: se realizan alta, baja y modificación de las obras privadas de la

localidad, con los detalles previstos para tal fin.
• Obras públicas: se realizan alta, baja y modificación de las obras públicas de la

localidad.
• Tesorería: realiza las cobranzas y pagos relacionados con los servicios que
ofrece el municipio, así como aquellos relacionados con la Dirección de Rentas
provincial.
• Sueldos: se realiza el alta, baja y modificación de los empleados, emisión de los

recibos de haberes.
• Secretaria, controles y consultas generales
Este sistema fue desarrollado e implementado por una empresa privada de la

región, la cual actualmente es quien realiza el servicio técnico informático a la entidad.
Todas las oficinas tienen acceso al sistema mediante la red interna existente, los
empleados poseen identificación particular: usuario y contraseña, administrada por el
encargado del sistema (servicio técnico tercerizado). Todos los usuarios tienen acceso de
lectura a la información pero solamente quienes cuenten con el perfil de responsabilidad
posee permisos para realizar modificaciones en la información, dependiendo del modulo
en el que estén identificados, impidiendo que empleados modifiquen información que no
corresponde.
En el área de Tesorería una vez terminado el horario de atención deben extraerse
las cobranzas relacionadas con rentas de la provincia, para su informe a la Dirección
General de Rentas. Esta comunicación es mediante el Nuevo Banco de Entra Ríos S. A.
(sucursal XXX), quien se encarga de informar lo recaudado.
Las computadoras están conectadas mediante una red de topología de conexión
estrella, donde el cableado se encuentra empotrado en paredes, habiéndose previsto tres
fichas de red para cada ambiente de dimensiones mayores y dos para el caso de las de
menor superficie. La distribución de la red se realiza mediante dos (2) switch: uno, de
ocho entradas y otro, de dieciséis. Dicha red distribuye el sistema integral, el servicio de
internet y en algunos casos servicios de impresión.
105
El servicio de Internet que poseen es satelital (mediante antena), brindada por una
empresa de la localidad de Paraná, BM Soluciones.
El resguardo de la información de la base de datos del sistema se realiza
automáticamente, proceso previsto en el sistema integral. El mismo es almacenado en un
disco rígido externo, una vez al día, y mensualmente la información contenida en este
último es transferida a dispositivos de almacenamiento portátiles (DVD), los cuales son
etiquetados y resguardados en la misma institución.
Se considera importante mencionar que el servidor cuenta con un visor que
permite controlar y regularizar la temperatura del mismo.
Hardware disponible:
Cuenta con
19 terminales de trabajo, y un servidor
16 impresoras, 2 tickeadoras, 1 fotocopiadora
1 cámara digital, 1 laminador
3 UPS y 17 estabilizadores de energía
Software: Aplicaciones, sistemas operativos, programas fuentes

Los sistemas operativos y las aplicaciones generales fueron suministrados por los
proveedores del equipamiento informático. En caso de aplicaciones especificas como la
que se utiliza para la emisión de carnet de conductor fue facilitada por Dirección de
Tránsito de la Provincia de XXX.
El antivirus que poseen actualmente es XXX un software de seguridad libre con un
serial de renovación anual, las actualizaciones son automáticas y diarias, una vez
cumplido el tiempo anual deben solicitar la renovación por medio de la página oficial de
Avast que le llegara a la cuenta de mail, cada registro solicitado sirve para una sola
terminal de trabajo.
Documentación: Expedientes, Archivos físicos (ficheros), manuales.

Los expedientes, así como las notas en trámite son archivadas temporariamente
en las oficinas involucradas y una vez finalizado el mismo, y habiendo transcurrido el
tiempo prudencial, generalmente un año, es archivado en un depósito (archivo) con su
respectiva identificación para poder realizar una búsqueda más rápida en caso que lo
necesiten.
El seguimiento de esta documentación se realiza mediante cuadernos de registro.
Aun no se ha implementado digitalización de esta información.
Datos de usuarios
Los datos de los usuarios son almacenados en sus respectivas terminales de
trabajo, ellos mismos deben realizar el resguardo de dicha documentación. Ya que los
backup que se realizan son para sistema integral de administración.
106
Usuarios (empleados)
Los usuarios poseen una tarjeta para marcar el horario de entrada y de salida.
Una vez que se desvincula de la entidad dicha tarjeta es eliminada para dar lugar en caso
de un nuevo puesto de trabajo.
Los usuarios encargados de la administración deben seguir los pasos del estatuto
municipal para realizar los trámites administrativos.
Características edilicias y de seguridad: Luces de emergencia, extintores de fuego,

salidas de emergencia, escalera de emergencia, alarma, carteles indicativos.
Cuenta con un circuito cerrado de alarma, que posee alarma interna, alarma
externa, sensores de movimiento, sensores magnéticos y detectores de rotura de cristal,
la alarma es activada y desactivada atreves de un teclado de seguridad.
Los extintores de fuego son de tipo ABC (A: sólidos comunes, B: líquidos y gases
inflamables y C: eléctricos energizados).
Las salidas y escaleras de emergencia poseen carteles para su correcta
visualización.
107
ANEXO Il – Puntos relevados para el análisis de riesgo
1) Instalaciones:
a) Plantas y tareas desarrolladas en las mismas
b) Ventilación e iluminación de las oficinas
c) Seguridad física de las instalaciones
i) Alarmas de seguridad
ii) Cámaras de seguridad
iii) Personal de seguridad o vigilancia
iv) Salidas de emergencias
v) Controles de accesos físicos
vi) Detección y extinción de incendios
vii) Fuentes de energía eléctrica alternativa
2) Hardware
a) Características del servidor
i) Cantidad de memoria
ii) Capacidad de disco
iii) Placa de red
iv) Switch
v) UPS o estabilizador
vi) Dispositivos varios: fotocopiadoras, cámaras filmadoras y fotográficas,
tickeadoras, lectora de código de barra, laminadora, etc
b) Características de las terminales de trabajo
i) Cantidad
ii) Características del mobiliario que la soporta
c) Impresoras y gestión de impresión
d) Internet
i) Tipo de conexión
ii) Antivirus
e) Backup
i) Disco espejo
ii) Dispositivos de backups
iii) Lugar de almacenamiento
iv) Periodicidad
v) Documentación
3) Software
a) Software del servidor: sistema operativo, aplicaciones, motor de base de datos
b) Características del software integral
i) Backups automáticos
ii) Identificación de usuarios
iii) Registro de acciones sobre la base de datos
iv) Tareas incluidas
c) Gestión de virus
d) Aplicaciones bases en cada oficina
e) Gestión de red
108
f) Licencia de antivirus y aplicaciones en general

4) Personal
a) Cantidad de empleados
b) Organigrama
c) Funciones
d) Perfiles de usuarios
5) Archivos físicos y documentación:
a) Seguridad
b) Documentación de seguimiento de expedientes y notas
c) Capacitación y manipulación
6) Normativa de aplicación
109
ANEXO IIl: Tesis y Normativa de aplicación: Nacional y Regional
Se adjunta CD con el siguiente contenido
• Tesis: “Análisis de riesgo de la Información. Importancia del control de

riesgos en entidades públicas”.
• Ley Nacional 26388/08: Delito informático.
• Ley Nacional 25326/00: Protección de datos personales.
• DISPOSICION DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES Nº 11/2006: Medidas de seguridad para el tratamiento y
conservación de los datos personales contenidos en archivos, registro,
bancos y bases de datos públicos no estatales y privados.
• DISPOSICION DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES Nº 09/2008: Seguridad de datos personales.
• Ley Nacional 25.506/01: Firma digital.
• Disposición ONTI 006/2005: Modelo de política de seguridad de la

información para organismo de la administración pública nacional.
• Decisión administrativa 669/2004.
• Ley Nacional 24.156/1992: Administración Financiera y de los Sistemas de

Control del Sector Público Nacional.
• Ley Provincial 3001/1934: Régimen de las Municipalidades.
• Ley Provincial 10.027/2011: Régimen Municipal.
• Constitución de la provincia de XXX. Sección IX – Régimen Municipal
• Ley Provincial 7060/83: Procedimiento para trámites administrativos.
• Ordenanza Municipal Nº 003/99: Estatuto de estabilidad y escalafón del

empleado Municipal de XXX.
110

Analisis Riesgos

Загружено:

Сведения о документе

Исходное описание:

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Analisis Riesgos

Загружено:

Авторское право:

Доступные форматы

Facultad de Ciencia y Tecnología - Sede: XXX

Universidad Autónoma de Entre Ríos

Tesis de Grado: Licenciatura en Sistemas de Información

Análisis de Riesgo de la Información.

Director: Lic. Cristian Fabián Borghello

“Lo primero es lo primero”… Gracias a nuestra MADRE, por su apoyo

Al Municipio de XXX y, en especial a los empleados que desinteresadamente

Gráfica Nº 1: Seguridad de la Información según Norma ISO/IEC 27000 .................................12

Tabla Nº 1: Principios y atributos de OCTAVE ............................................................................35

Tabla Nº 6: Valores de frecuencia ...............................................................................................63

Tabla Nº 7.1: Base de Datos: degradación y frecuencia según amenaza ..................................64

Tabla Nº 7.2: Hardware General: degradación y frecuencia según amenaza .............................64

Tabla Nº 7.3: Hardware específico: degradación y frecuencia según amenaza .........................64

Tabla Nº 7.4: Software general: degradación y frecuencia según amenaza ...............................64

Tabla Nº 7.5: Software específico: degradación y frecuencia según amenaza ...........................65

Tabla Nº 7.6: Datos: degradación y frecuencia según amenaza .................................................65

Tabla Nº 7.7: Documentación física: degradación y frecuencia según amenaza........................65

Tabla Nº 7.8: Red: degradación y frecuencia según amenaza....................................................65

Tabla Nº 7.9: Copias de seguridad: degradación y frecuencia según amenaza .........................66

Tabla Nº 7.10: Usuarios: degradación y frecuencia según amenaza ..........................................66

Tabla Nº 7.11: Insumos: degradación y frecuencia según amenaza ..........................................66

Tabla Nº 7.12: Datos de usuario: degradación y frecuencia según amenaza .............................66

Tabla Nº 8.1: Bases de datos: estimación del impacto ................................................................67

Tabla Nº 8.2: Hardware General: estimación del impacto ...........................................................67

Tabla Nº 8.3: Hardware específico: estimación del impacto ........................................................68

Tabla Nº 8.4: Software general: estimación del impacto .............................................................68

Tabla Nº 8.5: Software específico: estimación del impacto .........................................................68

Tabla Nº 8.6: Datos: estimación del impacto ...............................................................................69

Tabla Nº 8.7: Documentación física: estimación del impacto ......................................................69

Tabla Nº 8.8: Red: estimación del impacto ..................................................................................69

Tabla Nº 8.9: Copias de seguridad: estimación del impacto .......................................................69

Tabla Nº 8.10: Usuarios: estimación del impacto ........................................................................70

Tabla Nº 8.11: Insumos: estimación del impacto .........................................................................70

Tabla Nº 8.12: Datos de usuarios: estimación del impacto .........................................................70

Tabla Nº 9.1: Base de datos: estimación del riesgo ....................................................................71

Tabla Nº 9.2: Hardware General: estimación del riesgo ..............................................................71

Tabla Nº 9.3: Hardware específico: estimación del riesgo ..........................................................72

Tabla Nº 9.4: Software general: estimación del riesgo ................................................................72

Tabla Nº 9.5: Software específico: estimación del riesgo ............................................................72

Tabla Nº 9.6: Datos: estimación del riesgo ..................................................................................72

Tabla Nº 9.7: Documentación física: estimación del riesgo .........................................................73

Tabla Nº 9.8: Red: estimación del riesgo .....................................................................................73

Tabla Nº 9.9: Copias de seguridad: estimación del riesgo ..........................................................73

Tabla Nº 9.10: Usuarios: estimación del riesgo ...........................................................................74

Tabla Nº 9.11: Insumos: estimación del riesgo ............................................................................74

Tabla Nº 9.12: Datos de usuarios: estimación del riesgo ............................................................74

Tabla Nº 10: Resumen de datos obtenidos .................................................................................75

Tabla Nº 11.1: Base de datos: cálculo de impacto y riesgo actual ..............................................76

Tabla Nº 11.2: Hardware general: cálculo de impacto y riesgo actual ........................................77

Tabla Nº 11.3: Hardware específico: cálculo de impacto y riesgo actual ....................................78

Tabla Nº 11.4: Software general: cálculo de impacto y riesgo actual ..........................................78

Tabla Nº 11.5: Software específico: cálculo de impacto y riesgo actual .....................................79

Tabla Nº 11.6: Datos: cálculo de impacto y riesgo actual ............................................................80

Tabla Nº 11.7: Documentación física: cálculo de impacto y riesgo actual ..................................80

Tabla Nº 11.8: Red: cálculo de impacto y riesgo actual ..............................................................81

Tabla Nº 11.9: Copia de seguridad: cálculo de impacto y riesgo actual ......................................82

Tabla Nº 11.10: Usuarios: cálculo de impacto y riesgo actual .....................................................83

Tabla Nº 11.11: Insumos: cálculo de impacto y riesgo actual .....................................................83

Tabla Nº 11.12. Datos de usuario: cálculo de impacto y riesgo actual ........................................84

Tabla Nº 12: Comparativa del riesgo máximo y riesgo actual .....................................................85

La sustentabilidad de una entidad, o emprendimiento, tiene numerosas

Esta sustentabilidad está sometida a riesgos (de mercado, de negocios o