Universidad Politécnica Salesiana

• American Accounting Asociation define la auditoría

como: un proceso sistemático para obtener y evaluar
de manera objetiva las evidencias relacionadas con
informes sobre actividades económicas y otros
acontecimientos relacionados, cuyo fin consiste en
determinar el grado de correspondencia del
contenido informativo con las evidencias que le dieron
origen, así como establecer si dichos informes se han
elaborado observando los principios establecidos
para el caso.
• Los sistemas de información se pueden
definir como un conjunto de
componentes interrelacionados que
reúne, procesa, almacena y distribuye
información para apoyar la toma de
decisiones y el control de una
organización.
• La auditoría de los sistemas de información se
define como cualquier auditoría que abarca
la revisión y evaluación de todos los aspectos
(o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la
información, incluidos los procedimientos no
automáticos relacionados con ellos y las
interfaces correspondientes.
(ISACA: Information Systems Audit and
Control Association)
• Creciente dependencia de las organizaciones de los Sistemas
de Información.
• SI más complejos, integrados con entornos heterogéneos y
abiertos.
• El éxito de las estrategias de externalización de los SI con
proveedores de servicios.
• La globalización y la gestión de la calidad total.
• Revisión de las estructuras
organizacionales de los Sistemas de
Información
• Revisión de las políticas y
procedimientos de SI
• Revisión de los estándares de SI
• Revisión de los documentos de los SI
• Entrevistas al personal apropiada
• Observación de procesos y del
desempeño de los empleados
• CAAT (Computer assisted audit tools) http://seguridad-informacion.blogspot.com/2009/06/analisis-
forense-como-investigar-un.html
El riesgo es la probabilidad de que una • Amenaza: Es la causa potencial de un
amenaza se convierta en un desastre daño a un activo.
El análisis de riesgo, es el estudio de • Vulnerabilidad: debilidad de un activo
las causas de las posibles amenazas y que puede ser aprovechada por una
probables eventos no deseados y los amenaza.
daños y consecuencias que éstas • Impacto: consecuencias de que la
amenaza ocurra.
puedan producir.
• Riesgo intrínseco: cálculo del daño
Este tipo de análisis es ampliamente
probable a un activo si se encontrara
utilizado como herramienta de gestión desprotegido.
en estudios financieros y de seguridad • Salvaguarda: Medida técnica u
para identificar riesgos (métodos organizativa que ayuda a paliar el
cualitativos) y otras para evaluar riesgo.
riesgos (generalmente de naturaleza • Riesgo residual: Riesgo remanente tras
cuantitativa). la aplicación de salvaguardas.

Fuente: EBIOS: Metodología Francesa de Gestión de Riesgos

ttps://seguridadinformaticaufps.wikispaces.com/EBIOS+-
Metodologia+Francesa+Analisis+y+Gesti%C3%B3n+de+Riesgos
BUEN GOBIERNO CONFIANZA GESTIÓN MAGERIT

• equilibrio entre • El temor a lo • La gestión de • implementa el

riesgos y desconocido es riesgos Proceso de
oportunidades el principal permitirá el Gestión de
para tomar las origen de la mantenimiento Riesgos dentro
mejores desconfianza. de un entorno de un marco de
decisiones. • Se busca controlado, trabajo para
• la gestión de los conocer los minimizando los que los órganos
riesgos es riesgos para riesgos hasta de gobierno
nuclear al poder niveles tomen decisiones
gobierno de las afrontarlos y aceptables teniendo en
organizaciones. controlarlos. cuenta los
riesgos
derivados del
uso de
tecnologías de
la información
• Directos:
• concienciar a los responsables de las organizaciones de información
de la existencia de riesgos y de la necesidad de gestionarlos.
• ofrecer un método sistemático para analizar los riesgos derivados
del uso de tecnologías de la información y comunicaciones (TIC).
• ayudar a descubrir y planificar el tratamiento oportuno para
mantener los riesgos bajo control.

• Indirectos:
• preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso.
 Las aplicaciones Los equipos informáticos
DATOS: que
informáticas (SOFTWARE) (HARDWARE) que permiten
materializan la
que permiten manejar los hospedar datos, aplicaciones
información.
datos. y servicios.

SOPORTE DE
LAS REDES DE
INFORMACIÓN que son INFORMACIÓN COMUNICACIONES que
dispositivos de QUE MANEJA Y permiten intercambiar
almacenamiento de datos
SERVICIOS QUE datos.
LAS INSTALACIONES que PRESTA
acogen equipos informáticos EQUIPAMIENTO AUXILIAR
y de comunicaciones. que complementa el
material informático.

SERVICIOS AUXILIARES
Servicios auxiliares que se PERSONAS que explotan u
necesitan para poder operan todos los elementos
organizar el sistema. anteriormente citados.

Fuente: Magerit
Los activos esenciales son la
información y los servicios
prestados
DEPENDEN
Otros activos como pueden ser
los equipos, las comunicaciones,
las instalaciones, etc. SE FORMAN

ÁRBOLES O GRAFOS de
dependencia donde la seguridad
de los activos que se encuentran
más arriba en la estructura o
‘superiores’

DEPENDEN

de los activos que se encuentran

más abajo o ‘inferiores
 El valor nuclear suele estar en la información que el sistema
maneja y los servicios que se prestan (activos denominados
esenciales), quedando los demás activos subordinados a las
necesidades de explotación y protección de lo esencial.
necesarios para prestar un servicio.

¿Por qué interesa un activo? Por lo que vale. No se está hablando de lo

que cuestan las cosas, sino de lo que valen. Si algo no vale para nada,
prescíndase de ello. Si no se puede prescindir impunemente de un activo,
es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay
que proteger. La valoración se puede ver desde la perspectiva de la
‘necesidad de proteger’ pues cuanto más valioso es un activo, mayor nivel
de protección requeriremos en la dimensión (o dimensiones) de seguridad
que sean pertinentes. El valor puede ser propio, o puede ser acumulado.
Confidencialidad: ¿qué daño causaría que lo
conociera quien no debe?

Integridad: ¿qué perjuicio causaría que DATOS

estuviera dañado o corrupto?

Disponibilidad: ¿qué perjuicio causaría no

tenerlo o no poder utilizarlo?

Autenticidad: ¿qué perjuicio causaría no saber

exactamente quien hace o ha hecho cada cosa?
SERVICIOS

Trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se
le presta tal servicio? O sea, ¿quién hace qué y cuándo? ¿qué daño
causaría no saber quién accede a qué datos y qué hace con ellos?
 VALORACIÓN
CUALITATIVA
Las escalas cualitativas permiten
avanzar con rapidez, posicionando el
valor de cada activo en un orden
relativo respecto de los demás.
La limitación de las valoraciones
cualitativas es que no permiten
comparar valores más allá de su orden
relativo. No se pueden sumar valores.
VALORACIÓN
CUANTITATIVA
Las valoraciones numéricas absolutas
cuestan mucho esfuerzo; pero permiten
sumar valores numéricos .
Si la valoración es en dinero, además
se pueden hacer estudios económicos :
¿Vale la pena invertir tanto dinero en
esta salvaguarda?
¿Qué conjunto de salvaguardas
optimizan la inversión?
¿En qué plazo de tiempo se recupera la
inversión?
¿Cuánto es razonable que cueste la
prima de un seguro?
El valor de la interrupción del servicio:

Casi todas las dimensiones mencionadas anteriormente

permiten una valoración simple, cualitativa o cuantitativa.

Pero hay una excepción, la disponibilidad.

No es lo mismo interrumpir un servicio una hora o un día o un

mes. Puede que una hora de detención sea irrelevante,
mientras que un día sin servicio causa un daño moderado;
pero un mes detenido suponga la terminación de la actividad.
 Causa potencial de un incidente que puede causar daños a un sistema
de información o a una organización.

Del entorno (de Defectos de las Causadas por las Causadas por las
De origen natural origen industrial) aplicaciones personas de forma personas de forma
accidental deliberada
• Hay accidentes • Hay desastres • Hay problemas • Las personas con • Las personas con
naturales industriales que nacen acceso al sistema acceso al sistema
(terremotos, (contaminación, directamente en de información de información
inundaciones, ...). fallos eléctricos, el equipamiento pueden ser causa pueden ser causa
Ante esos ...) ante los cuales propio por de problemas no de problemas
avatares el el sistema de defectos en su intencionados, intencionados:
sistema de información es diseño o en su típicamente por ataques
información es víctima pasiva; implementación, error o por deliberados; bien
víctima pasiva, pero no por ser con consecuencias omisión. con ánimo de
pero de todas pasivos hay que potencialmente beneficiarse
formas tendremos permanecer negativas sobre indebidamente,
en cuenta lo que indefensos. el sistema. bien con ánimo
puede suceder. Frecuentemente se de causar daños
denominan y perjuicios a los
vulnerabilidades legítimos
técnicas o, propietarios.
simplemente,
‘vulnerabilidades’.

No todas las amenazas afectan a todos los activos, sino que hay una cierta
relación entre el tipo de activo y lo que le podría ocurrir.
 Una vez determinado que una amenaza puede perjudicar a
un activo, hay que valorar su influencia en el valor del activo,
en dos sentidos:

DEGRADACIÓN: PROBABILIDAD:
cuán perjudicado resultaría el cuán probable o improbable es
[valor del] activo que se materialice la amenaza

La degradación se suele caracterizar La probabilidad de ocurrencia es

como una fracción del valor del
activo y así aparecen expresiones
como que un activo se ha visto
“totalmente degradado”,
“degradado en una pequeña
fracción”
más compleja de determinar y de
expresar. A veces se modela
cualitativamente por medio de
o alguna escala nominal o a veces se
modela numéricamente como una
frecuencia de ocurrencia. Es habitual
usar 1 año como referencia.
CUALITATIVO

CUANTITATIVO
Se denomina impacto a la medida del daño sobre el activo derivado de la
materialización de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradación que causan las amenazas, es directo derivar el
impacto que estas tendrían sobre el sistema.

Impacto acumulado
Impacto repercutido
Es el calculado sobre un activo
Es el calculado sobre un activo
teniendo en cuenta:
teniendo en cuenta:
• su valor acumulado (el propio
• su valor propio
mas el acumulado de los activos
• las amenazas a que están
que dependen de él)
expuestos los activos de los que
• las amenazas a que está
depende
expuesto.

El impacto acumulado y el impacto repercutido se calcula para cada activo,

por cada amenaza y en cada dimensión de valoración.
• Se denomina riesgo a la medida del daño probable sobre un sistema.
Conociendo el impacto de las amenazas sobre los activos, es directo derivar
el riesgo sin más que tener en cuenta la probabilidad de ocurrencia.
• El riesgo crece con el impacto y con la probabilidad.

zona 1 – riesgos muy probables y de muy alto impacto

zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de
impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo.
zona 3 – riesgos improbables y de bajo impacto
zona 4 – riesgos improbables pero de muy alto impacto
Riesgo acumulado Es el calculado sobre un activo teniendo en
cuenta:
• el impacto acumulado sobre un activo debido a una
amenaza y
• la probabilidad de la amenaza

Riesgo repercutido Es el calculado sobre un activo teniendo en

cuenta:
• el impacto repercutido sobre un activo debido a una
amenaza y
• la probabilidad de la amenaza.

El riesgo acumulado y el riesgo repercutido se calcula para cada

activo, por cada amenaza y en cada dimensión de valoración.
Se definen las salvaguardas o contra medidas como aquellos
procedimientos o mecanismos tecnológicos que reducen el riesgo.

SELECCIÓN
1. tipo de activos a proteger, pues
cada tipo se protege de una forma
específica
2. dimensión o dimensiones de
seguridad que requieren protección
3. amenazas de las que necesitamos
protegernos
4. si existen salvaguardas
alternativas
 NO APLICA
“DECLARACIÓN DE
APLICABILIDAD”
NO SE JUSTIFICA

Reducir la
probabilidad de las
“EFECTOS DE LAS amenazas.
SALVAGUARDAS”
Limitar el daño
causado.
 TIPOS DE PROTECCIÓN

[PR] prevención [DR] disuasión [EL] eliminación

[IM] minimización
del impacto / [CR] corrección [RC] recuperación
limitación del
impacto

[MN] [DC] detección [AW]

monitorización concienciación

[AD]
administración
 EFICACIA DE LA PROTECCIÓN:

OPERACIÓN DE LA
TÉCNICO SALVARGUARDA
• es técnicamente idónea para • está perfectamente
enfrentarse al riesgo que desplegada, configurada y
protege mantenida
• se emplea siempre • existen procedimientos claros
de uso normal
• en caso de incidencias los
usuarios están formados y
concienciados
• existen controles que avisan
de posibles fallos
• MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro I – Método.
• MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro II - Catálogo de
Elementos.
• MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro III - Guía de
Técnicas.