METODOLOGIAS DE GESTION DE RIESGOS

AIDA MILENA ROJAS SEPULVEDA

Cd. 906547

CARLOS HERNAN GMEZ

Auditoria de Sistemas II

ADMINISTRACIN DE SISTEMAS INFORMTICOS

UNIVERSIDAD NACIONAL DE COLOMBIA
SEDE MANIZALES
MARZO, 2010

Contenido
INTRODUCCION.............................................................................................. 3
HISTORIA Y EVOLUCIN.................................................................................. 4
- Primera Generacin G1 (Casustica)...............................................................4
-Tercera Generacin G3 (Causal).....................................................................5
DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE RIESGOS...........6

MAGERIT............................................................................................... 6
OBJETIVOS DE MAGERIT...........................................................................6

MODELO DE BOEHM.............................................................................. 7
TCNICAS DE BOEHM (medidas, salvaguardas)............................................7

MODELO McFARLAN (Riesgos en proyectos).............................................8

MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER..............8

CRAMM.................................................................................................. 9

OCTAVE................................................................................................. 9
ACTIVOS DE INFORMACIN......................................................................9
PERFILES DE AMENAZAS..........................................................................9

EBIOS.................................................................................................. 10
UN MTODO RPIDO.............................................................................. 10
UNA HERRAMIENTA REUTILIZABLE..........................................................10

COMPARATIVO CON COBIT............................................................................11

BIBLIOGRAFIA............................................................................................... 16

INTRODUCCION

La mayora de las organizaciones reconocen la funcin fundamental que la

tecnologa de la informacin desempea en sus objetivos de negocio; con
frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas
de seguridad antes de que afecten su negocio. La administracin de la
seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha
convertido en una preocupacin primordial para los departamentos de TI, y es
por esto que se ha implementado la Gestin de riesgos, que realizada de una
manera eficiente puede garantizar efectos econmicos muy importantes para
cualquier organizacin, convirtindose en una herramienta par la toma de
decisiones.
El presente documento describe las metodologas que se utilizan para la
gestin de riesgos que conducen de una forma til al anlisis de los mismos y
ofrecen

las

organizaciones

una

gua

implementacin y el desarrollo de dicho anlisis.

de

procedimientos

para

la

HISTORIA Y EVOLUCIN
La gestin de riesgos pasa por tres generaciones de modelos de riesgos en
proyectos informticos:
- Primera Generacin G1 (Casustica)
Esta generacin data de principios de los aos 80 y est basada en listas
casusticas de riesgos especiales para proyectos, se identifican casos de
riesgo y se extrapolan a otros proyectos. No hay una planificacin especfica.
En esta generacin se definen los Riesgos tecnolgicos y las Listas de
comprobacin de riesgos.
En los aos 40 se presento la teora de la fiabilidad, arranque de la Teora del
Riesgo en Sistemas Complejos con el Teorema de Lusser: la probabilidad de
xito de una cadena de componentes es el producto de las probabilidades de
xito de sus elementos (la fiabilidad del conjunto es inferior a la de cada
elemento separado; la cadena se rompe siempre por su eslabn ms dbil).
Para los aos 60 se present el Anlisis de riesgos cuantitativo (procesos
markovianos) para describir el comportamiento de sistemas complejos con
fallos ensayables y sin intervencin manual, o cualitativo como los rboles de
fallos para sistemas hbridos con la incertidumbre de la intervencin humana y
la imposibilidad de probar los impactos salvo por simulacin. Se define el
riesgo

como

una

entidad

con

dos

dimensiones:

probabilidad

consecuencia(s) o sea vulnerabilidad e impacto.

En los 70s se hablo del Mtodo general de Rasmussen. que inclua 6 etapas:
Definicin del proyecto de seguridad y su sistema objetivo; Anlisis funcional de
ste; Identificacin de riesgos; Modelizacin delsistema; Evaluacin de
consecuencias; Sntesis y decisiones finales.

-Segunda Generacin G2 (Taxonmica)

Se dio a principios de los aos 90 y esta basada en modelos de procesos y
eventos.
Dentro de esta generacin se pueden incluir:
Modelo de Boehm
Modelo de Hall y su relacin con el de madurez de SEI-CMM
Modelo de Riesgos del SEI
Modelo SPR de mejora de capacidad en la gestin del riesgo

-Tercera Generacin G3 (Causal)

Esta es la generacin actualmente emergente. Arranca con Euromtodo 96,
MAGERIT 97, ISPL 98, etc.
Est influenciada

por otros modelos causales (proyectuales, ecolgicos,

etc.).
Los principales modelos de gestin de riesgos propuestos son:
Modelo MAGERIT de Gestin de Riesgos en Sistemas adaptado a Proyectos
(transicin)
Modelo de eventos de MAGERIT-Proyectos (Transicin)
Modelo McFarlan (Transicin)
Modelo RiskMan e iniciativa RiskDriver
Modelo DriveSPI
Modelo Euromtodo
Modelo ISPL
Modelo PRisk

DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE

RIESGOS
Los principales mtodos de gestin que se presentan son los siguientes:
MAGERIT
Es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo
Superior de Administracin Electrnica, como respuesta a la percepcin de que
la Administracin, y, en general, toda la sociedad, dependen de forma creciente
de las tecnologas de la informacin para el cumplimiento de su misin.
La razn de ser de MAGERIT est directamente relacionada con la
generalizacin del uso de las tecnologas de la informacin, que supone unos
beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que generen
confianza.
MAGERIT interesa a todos aquellos que trabajan con informacin digital y
sistemas informticos para tratarla. Si dicha informacin, o los servicios que se
prestan gracias a ella, son valiosos, MAGERIT les permitir saber cunto valor
est en juego y les ayudar a protegerlo. Conocer el riesgo al que estn
sometidos los elementos de trabajo es, simplemente, imprescindible para poder
gestionarlos. Con MAGERIT se persigue una aproximacin metdica que no
deje lugar a la improvisacin, ni dependa de la arbitrariedad del analista.
El anlisis y gestin de los riesgos es un aspecto clave del Real Decreto
3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el mbito de la Administracin Electrnica que tiene la finalidad de poder dar
satisfaccin al principio de proporcionalidad en el cumplimiento de los principios
bsicos y requisitos mnimos para la proteccin adecuada de la informacin.
MAGERIT es un instrumento para facilitar la implantacin y aplicacin del
Esquema Nacional de Seguridad.
OBJETIVOS DE MAGERIT
MAGERIT persigue los siguientes objetivos:
Concienciar a los responsables de los sistemas de informacin de la existencia
de riesgos y de la necesidad de atajarlos a tiempo.

Ofrecer un mtodo sistemtico para analizar tales riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control.
Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin
o acreditacin, segn corresponda en cada caso.
MODELO DE BOEHM
Esta estructurado en 7 factores. La seguridad esta mnimamente mencionada.
Se resalta la definicin del factor de facilidad de pruebas (Testeability) ya que
esta caracterstica es recomendable como una buena prctica del desarrollo de
software seguro.
Plantea 10 factores de riesgo crticos en los proyectos:
Riesgos en los recursos: Insuficiencias de personal, plazos y presupuestos
irreales.
Riesgos de los requerimientos. Desarrollo de funciones equivocadas, desarrollo
de interfaz de usuario equivocada, especificaciones excesivas, continuos
cambios de requerimientos.
Riesgos en la externalizacin: Insuficiencias en suministros externos de
componentes, insuficiencias en realizaciones externas de tareas.
Otros riesgos: Insuficiencias de rendimiento del sistema al funcionar en tiempo
real, optimismo sobre las capacidades de las tecnologas informticas.
TCNICAS DE BOEHM (medidas, salvaguardas)
A) Contratar las personas clave proactivamente
B) Construir equipos proactivamente (desarrollar valores compartidos)
C) Estimar los plazos y presupuestos reactivamente (con fondo para riesgos)
D) Disear forfait proactivamente: usar el presupuesto/plazo fijo para priorizar
los requerimientos; disear con arquitectura que permita retrasar lo no
obligatorio;

modular

la

funcionalidad

presupuesto/plazo disponible.

entregada

para

adecuarla

al

E)

Desarrollar

incrementalmente

las

funcionalidades

(requerimientos

prioritarios...)
F) Desarrollar por prototipos (o sea, subconjuntos para comprar informacin)
G) Reducir requerimientos usando las priorizaciones desarrolladas para D, E),
F).
H) Analizar la misin: anlisis organizacional, coste-beneficio, ingeniera del
usuario
I) Encapsular la informacin para reducir requisitos voltiles y reutilizar software
J) Comprobar los referentes y auditar por expertos externos antes de decidir
K) Ingenierizar rendimientos con tcnicas para simular, modelar, prototipar,
afinar.
L) Analizar las capacidades de las tecnologas informticas para resolver FCE.
MODELO McFARLAN (Riesgos en proyectos)
Plantea los siguientes factores de riesgo:
Experiencia de la tecnologa aplicable (factor subjetivo interno). Pero la
familiarizacin del equipo con el hardware, sistema operativo, gestores (DB,
DC) y lenguajes tambin pasa por encontrar/absorber la experiencia externa
como por ejemplo la formacin.
Estructuracin del proyecto (factor subjetivo externo): Los objetivos iniciales
del proyecto y sus resultados dependen de la claridad de los procedimientos
trasladados por la organizacin cliente al equipo de desarrollo.
Tamao del proyecto (factor objetivo, no reducible). Importa sobre todo el
tamao (en coste aos- hombre) o relativo al tamao de proyecto que el equipo
desarrolla normalmente.
MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER
Tras las etapas de identificacin y evaluacin de los riesgos, se simulan varios
planes para organizar la mejor generacin inicial de medidas y el control de los
riesgos durante el desarrollo del proyecto.

 CRAMM
CCTA Risk Analysis and Method Management (CRAMM), es una metodologa
creada

en

1987

por

la

Central

Agency

of

Data

Processing

and

Telecommunications del Gobierno del Reino Unido.

Esta metodologa comprende tres fases:
Fase 1: Establecimiento de objetivos de seguridad
Fase 2: Anlisis de riesgos
Fase 3: Identificacin y seleccin de salvaguardas
CRAMM es actualmente la metodologa de Anlisis de Riesgos utilizada por la
OTAN, el Ejrcito de Holanda, y numerosas empresas de todo el mundo.
OCTAVE
Las actividades que realiza Octave son :
-Inventario de activos
-Criterio de evaluacin de impacto
-Criterio de evaluacin de probabilidad
-Evaluacin de prcticas de seguridad
-Seleccin de activos crticos
-Requisitos de activos crticos
-Perfiles de amenazas
-Pruebas de intrusin
ACTIVOS DE INFORMACIN
-Sistemas: Hardware, Software e informacin
- Personas
PERFILES DE AMENAZAS
-Acceso humano (fsico)
-Acceso humano (Por red)

-Problemas de sistemas
-Otros problemas
EBIOS
El mtodo EBIOS permite apreciar y tratar los riesgos relativos a la seguridad
de los sistemas de informacin (SSI).
Posibilita tambin la comunicacin dentro del organismo y tambin con los
asociados para contribuir al proceso de la gestin de los riesgos SSI. Brinda las
justificaciones necesarias para la toma de decisiones; puede utilizarse para
numerosas finalidades y procedimientos de seguridad, tales como la
elaboracin de esquemas directivos, de polticas, de polticas de proteccin o
de objetivos de seguridad, de los planes de accin o de cualquier otra forma de
pliego de condiciones de SSI.
EBIOS puede ser utilizado para estudiar tanto sistemas por disear como
sistemas ya existentes. En el primer caso, permite determinar progresivamente
las especificaciones de seguridad integrndose a la gestin de proyectos. En el
segundo caso, considera las medidas de seguridad existentes e integra la
seguridad a los sistemas en funcionamiento.
UN MTODO RPIDO
El tiempo necesario para la ejecucin de un estudio EBIOS es ptimo, ya que
permite obtener los elementos necesarios y suficientes para el resultado
esperado
UNA HERRAMIENTA REUTILIZABLE
EBIOS

favorece la actualizacin permanente de los anlisis de riesgos

efectuados y la coherencia global de la SSI.

Efectivamente, el estudio especfico de un sistema puede basarse en el estudio
global del organismo; un estudio puede actualizarse regularmente con el fin de
administrar los riesgos en forma continua; tambin se puede utilizar como
referencia el estudio de un sistema comparable.

COMPARATIVO CON COBIT

Las metodologas de gestin de riesgos se utilizan para determinar los riesgos

existentes en un sistema y resultan del anlisis de riesgos y las actividades que
se realizan para su tratamiento y minimizacin; existen diferentes modelos para
la gestin de riesgos de las cuales surge un objetivo en comn y es el de
evaluar el desempeo y la utilizacin de todos los recursos pertenecientes al
sistema.
En el caso de COBIT este esta desarrollado para evaluar todo el proceso de
diseo e implementacin de un sistema a travs de los objetivos de control que
plantea para 4 dominios diferentes: planear y organizar, adquirir e implementar,
entrega y soporte, Supervisin y evaluacin. Hace nfasis en el cumplimiento
normativo y ayuda a las organizaciones a incrementar el valor de TI.

RESUMEN METODOLOGAS DE GESTIN DE RIESGOS

La mayora de las organizaciones reconocen la funcin fundamental que la

tecnologa de la informacin desempea en sus objetivos de negocio; con
frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas
de seguridad antes de que afecten su negocio. La administracin de la
seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha
convertido en una preocupacin primordial para los departamentos de TI, y es
por esto que se ha implementado la Gestin de riesgos, que realizada de una
manera eficiente puede garantizar efectos econmicos muy importantes para
cualquier organizacin, convirtindose en una herramienta par la toma de
decisiones.
Para esto se han diseado algunas metodologas que conducen de una forma
til al anlisis de riesgos, ofreciendo a las organizaciones una gua de
procedimientos para la implementacin y desarrollo de dicho anlisis y la
minimizacin de los riesgos.
Existe

una

gran

variedad

de

metodologas,

muchas

de

ellas

con

reconocimiento internacional, pero todas son distintas. Cada una tiene sus
particularidades, sus puntos fuertes.
Las principales metodologas son :
MAGERIT, metodologa espaola de anlisis y gestin de riesgos para los
sistemas de informacin, promovida por el MAP y diferente a la UNE 71504. Es
la metodologa de anlisis y gestin de riesgos elaborada por el Consejo
Superior de Administracin Electrnica, como respuesta a la percepcin de que
la Administracin, y, en general, toda la sociedad, dependen de forma creciente
de las tecnologas de la informacin para el cumplimiento de su misin.
La razn de ser de MAGERIT est directamente relacionada con la
generalizacin del uso de las tecnologas de la informacin, que supone unos
beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que generen
confianza. MAGERIT interesa a todos aquellos que trabajan con informacin

digital y sistemas informticos para tratarla. Si dicha informacin, o los servicios

que se prestan gracias a ella, son valiosos, MAGERIT les permitir saber
cunto valor est en juego y les ayudar a protegerlo. Conocer el riesgo al que
estn sometidos los elementos de trabajo es, simplemente, imprescindible para
poder gestionarlos. Con MAGERIT se persigue una aproximacin metdica que
no deje lugar a la improvisacin, ni dependa de la arbitrariedad del analista.
MODELO DE BOEHM: Esta estructurado en 7 factores. La seguridad esta
mnimamente mencionada. Se resalta la definicin del factor de facilidad de
pruebas (Testeability) ya que esta caracterstica es recomendable como una
buena prctica del desarrollo de software seguro.
Plantea 10 factores de riesgo crticos en los proyectos:
Riesgos en los recursos: Insuficiencias de personal, plazos y presupuestos
irreales.
Riesgos de los requerimientos. Desarrollo de funciones equivocadas, desarrollo
de interfaz de usuario equivocada, especificaciones excesivas, continuos
cambios de requerimientos.
Riesgos en la externalizacin: Insuficiencias en suministros externos de
componentes, insuficiencias en realizaciones externas de tareas.
Otros riesgos: Insuficiencias de rendimiento del sistema al funcionar en tiempo
real, optimismo sobre las capacidades de las tecnologas informticas.
MODELO McFARLAN (Riesgos en proyectos): Plantea los siguientes factores
de riesgo:
Experiencia de la tecnologa aplicable (factor subjetivo interno). Pero la
familiarizacin del equipo con el hardware, sistema operativo, gestores (DB,
DC) y lenguajes tambin pasa por encontrar/absorber la experiencia externa
como por ejemplo la formacin.
Estructuracin del proyecto (factor subjetivo externo): Los objetivos iniciales
del proyecto y sus resultados dependen de la claridad de los procedimientos
trasladados por la organizacin cliente al equipo de desarrollo.

Tamao del proyecto (factor objetivo, no reducible). Importa sobre todo el

tamao (en coste aos- hombre) o relativo al tamao de proyecto que el equipo
desarrolla normalmente.
MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER , Tras las
etapas de identificacin y evaluacin de los riesgos, se simulan varios planes
para organizar la mejor generacin inicial de medidas y el

control de los

riesgos durante el desarrollo del proyecto.

EBIOS, metodologa francesa de anlisis y gestin de riesgos de seguridad de
sistemas de informacin. El mtodo EBIOS permite apreciar y tratar los riesgos
relativos a la seguridad de los sistemas de informacin (SSI). Posibilita tambin
la comunicacin dentro del organismo y tambin con los asociados para
contribuir al proceso de la gestin de los riesgos SSI. Brinda las justificaciones
necesarias para la toma de decisiones; puede utilizarse para numerosas
finalidades y procedimientos de seguridad, tales como la elaboracin de
esquemas directivos, de polticas, de polticas de proteccin o de objetivos de
seguridad, de los planes de accin o de cualquier otra forma de pliego de
condiciones de SSI. EBIOS puede ser utilizado para estudiar tanto sistemas
por disear como sistemas ya existentes. En el primer caso, permite determinar
progresivamente las especificaciones de seguridad integrndose a la gestin
de proyectos. En el segundo caso, considera las medidas de seguridad
existentes e integra la seguridad a los sistemas en funcionamiento.
CRAMM, metodologa de anlisis y gestin de riesgos desarrollada por el
CCTA ingls.
CCTA Risk Analysis and Method Management (CRAMM), es una metodologa
creada

en

1987

por

la

Central

Agency

of

Telecommunications del Gobierno del Reino Unido.

Esta metodologa comprende tres fases:
Fase 1: Establecimiento de objetivos de seguridad
Fase 2: Anlisis de riesgos
Fase 3: Identificacin y seleccin de salvaguardas

Data

Processing

and

CRAMM es actualmente la metodologa de Anlisis de Riesgos utilizada por la

OTAN, el Ejrcito de Holanda, y numerosas empresas de todo el mundo.
OCTAVE, metodologa de evaluacin de riesgos desarrollada por el SEI
(Software Engineering Institute) de la Carnegie Mellon University.
Las actividades que realiza Octave son :
Inventario de activos
Criterio de evaluacin de impacto
Criterio de evaluacin de probabilidad
Evaluacin de prcticas de seguridad
Seleccin de activos crticos
Requisitos de activos crticos
Perfiles de amenazas
Pruebas de intrusin

CONCLUSIONES

Las metodologas de gestin de riesgos son una herramienta primordial para

detectar falencias en las organizaciones y establecer estrategias para su
correccin a travs de la optimizacin de todos los recursos.

Tienen caractersticas en comn con COBIT ya que se enfocan en evaluar los

procesos de las organizaciones y el manejo de la TI para minimizar los riesgos
existentes.

BIBLIOGRAFIA

http://technet.microsoft.com/es-ar/library/dd574340.aspx

http://www.di.uniovi.es/~aquilino/Asignaturas/ProyectosInformatica/Docu
mentos/07-GestionRiesgos.pdf

http://www.ati.es/gt/seguridad/PtoEncuentroAreas/JMCrsg_2000-1107.pdf

http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/ebiosv2methode-plaquette-2003-09-01_es.pdf