c






La Seguridad Informática tiene como objetivo el mantenimiento de la Confidencialidad,
Integridad y Disponibilidad de los Sistemas de Información. Por lo tanto, es necesario
identificar y controlar cualquier evento que pueda afectar negativamente a cualquiera de
estos tres aspectos, así como definir e implantar las defensas necesarias para eliminar o
reducir sus posibles consecuencias.

El propósito de esta etapa es identificar, analizar y valorar los riesgos 

 que podrían
presentarse en el Sistema de Información analizado en la auditoría. Para así poder detectar
los riesgos 
 sobre los cuales se enfatizará el trabajo de ?

 
? ?
?
¦ y además, definir el mapa de riesgos que podrían producir mayor impacto sobre el
sistema de información en estudio.

Se debe tener en consideración que dentro del proceso de Análisis de riesgos se pueden
diferenciar dos conceptos:
1.Y La Evaluación de Riesgos, orientada a determinar los Sistemas de Información
que, en su conjunto o en cualquiera de sus partes, puedan verse afectados directa o
indirectamente por amenazas, valorándose todos los riesgos y estableciendo sus
distintos niveles a partir de las posibles amenazas, las vulnerabilidades existentes
y el impacto que puedan causar a la empresa.
2.Y La Gestión de Riesgos, que implica la identificación, selección, aprobación y
manejo de las defensas o controles para eliminar, o reducir a niveles aceptables,
los riesgos evaluados, con actuaciones tendentes a:
jY Reducir la posibilidad de que una amenaza ocurra
jY Limitar el impacto de una amenaza, si ésta se manifiesta
jY Reducir o eliminar una vulnerabilidad existente
jY Permitir la recuperación del impacto

Una vez aclarado lo anterior, se cita el proceso a seguir en la etapa ³Análisis de riesgos y
diseño de controles´, el cual, se menciona a continuación:
a)Y Identificar los riesgos potenciales que podrían presentarse en el Sistema de
Información.
b)Y Valorar cuantitativa y cualitativamente la exposición del sistema a los riesgos
potenciales.
c)Y Realizar la Matriz de clasificación o Ranking de vulnerabilidad del Sistema de
Información, a cada una de las categorías de riesgo evaluadas, de mayor a menor
vulnerabilidad. En esta matriz se identifican los dos o tres 
 
 que
corresponden a los de mayor puntaje obtenido
d)Y Elaborar una lista de los Escenarios de Riesgo del Sistema de Información, en los
cuales se examinarán los riesgos críticos y los controles establecidos para mitigarlos.
e)Y Elaborar una lista de las Dependencias que intervienen en los Escenarios de Riesgo del
Sistema de Información y la definición del rol o papel de éstas en cada escenario de
riesgo.
f)Y Realizar la Matriz de Escenarios Vs. Riesgos Críticos, esta matriz contiene el Impacto
potencial de los Riesgos Potenciales Críticos en los Escenarios de Riesgo del Sistema
de Información.
g)Y Realizar la Matriz de Dependencias Vs. Riesgos Críticos, ésta matriz muestra el
Impacto de los Riesgos Críticos en las Dependencias de la empresa o de terceros que
intervienen en el manejo de la información.
h)Y Definir y analizar las causas de los riesgos críticos y su localización en los escenarios
de riesgo y las dependencias del sistema de información.

Teniendo claro cual es el proceso dentro del cual se enmarca el Análisis de riesgos y
diseño de controles, se describen en detalle cada uno de los procedimientos que lo
conforman:

@
@@@
@
 
@

Y


Para establecer cuales riesgos pueden presentarse en el Sistema de Información, es
necesario utilizar como base un modelo de riesgos típicos. Para este propósito, se utilizará
el siguiente modelo que consta de nueve categorías de riesgos típicos definidas por el
equipo auditor de este proyecto, el cual, se basa en el modelo diseñado y utilizado por la
empresa Audisis de Colombia llamado metodología AUDICONTROL APL y el modelo
propuesto por el señor Carlos Serrano Cinca en el sitio web
http://ciberconta.unizar.es/LECCION/SEGURO/099.HTM, en el documento llamado
Comercio Electrónico Riesgos y seguridad en los sistemas de información.

Además de estos modelos existen muchos otros, los cuales son difundidos y utilizados por
importantes firmas de consultoría en seguridad, firmas de auditores y analistas de riesgos.
Algunos ejemplos de estos modelos son los siguientes:
jY El modelo Basilea, utilizado por la industria bancaria.
jY El modelo de Jerry Fitz Gerald.
jY El estándar de Nueva Zelanda.

Las categorías de riesgo que se utilizarán durante el desarrollo de la auditoría, son las que
siguen:

D
 

  
 Errores humanos Esta categoría hace referencia a las
equivocaciones que voluntaria o
involuntariamente cometen las personas
relacionadas con el sistema de información en
cualquiera de sus condiciones como usuario
(administrador, propietario o final), lo cual afecta
el buen funcionamiento del sistema.
 Fallos de los equipos Se refiere al estado de los equipos o situaciones
inesperadas que puedan presentarse que impidan
el funcionamiento del sistema, lo que conlleva a
la pérdida de la información.
 Robo de la Se refiere a la pérdida tanto de la información del
 información o equipos negocio como de los activos informáticos que
soportan el desarrollo de las operaciones del
sistema. Hay dos activos informáticos que por su
importancia se categorizan como  

la base de datos y el software aplicativo.
Sin estos no es posible dar continuidad a las
operaciones de negocio. Estos activos pueden ser
dañados o destruidos por causas accidentales o
intencionales.
 Virus Son pequeños programas escritos
intencionalmente para instalarse en la
computadora de un usuario sin el conocimiento
o el permiso de este. Con la única intención de
causar daño. Estos virus se pueden instalar en un
equipo tanto accidental como intencionalmente,
pero las consecuencias pueden ser fatales.
 Sabotaje Es el daño que se le hace a un sistema o a una
empresa por personas al servicio de ésta, de forma
disimulada para favorecer los intereses de otra.
Este riesgo puede ser generado únicamente por
causas intencionales y puede afectar a la
información o destruir los equipos.
 Fraude Se refiere a los actos malintencionados de los
empleados o de terceros que dan como resultado
pérdidas de dinero o de activos. Incluye las
diferentes modalidades de fraude relacionado con
la computadora. Este riesgo puede ser generado
únicamente por causas intencionales.
 Desastres naturales Son eventualidades de tipo meramente
accidental, pues se presentan sin previo aviso¦
pueden dañar los equipos o producir pérdidas en
la información.
Dentro de esta categoría se encuentran los
huracanes, inundaciones, terremotos, rayos, etc.
! Pérdidas por Sanciones Se refiere a las pérdidas de dinero por multas,
Legales indemnizaciones o cláusulas penales que deba
pagar la empresa por errores, omisiones e
incumplimiento de sus compromisos con los
clientes, con contratistas o con las entidades
reguladoras del gobierno. Este riesgo puede ser
generado por causas accidentales o intencionales.
" Pérdidas por De la calidad de la información depende la
Decisiones Erróneas de calidad de las decisiones. Se refiere a las pérdidas
la Gerencia que sufre una empresa cuando se toman
decisiones equivocadas por falta de información o
por la baja confiabilidad de la misma. Este riesgo
puede ser generado por causas accidentales o
intencionales.
 -#

Y
Y

Ñ
@


@
@
 
@



Para llevar a cabo este procedimiento se podría utilizar alguno de los siguientes métodos:
el Método Delphy o el Método de Cuestionarios de Riesgo.

Para el desarrollo de este proyecto se usará el Método de calificación del riesgo potencial
del Grupo Delphy.
Y
Y

YY
Y
 Y

Es un método utilizado para asignar prioridades o categorizar los elementos de un

grupo, comparando cada elemento contra todos los demás utilizando uno o más criterios
de comparación de acuerdo con el objetivo que se pretenda. La decisión sobre cual de
los dos elementos que se comparan cada vez es el de mayor peso, se mide por la
cantidad de votos a favor que obtenga cada uno, en la votación de los expertos que
participan en el ejercicio de categorización.

Este método es aplicable como un  $

%& 

para clasificar de mayor a menor
importancia, las categorías de riesgos potenciales aplicables al sistema.

El método consiste en reunir un grupo de expertos conformado por un número impar de

personas (para evitar que se presenten empates en el momento de realizar la votación
para cada uno de los riesgos), para que mediante votación definan la importancia de un
riesgo con respecto a todos los demás y los clasifiquen según la cantidad de votos
obtenidos en orden de importancia o criticidad. Los riesgos que obtengan más del 80%
del total de votos posibles a su favor, se clasifican como de 
 ó de vulnerabilidad
 Los que obtengan a su favor entre el 60 y el 80% de los votos, serán de
vulnerabilidad ' y también podrían considerarse dentro de los que requieren
la mayor atención por parte del auditor.

El grupo Delphy se integra con personas conocedoras o expertas en el proceso de

negocio y en la tecnología de información que soporta las operaciones del negocio en la
empresa. Por supuesto, en ese grupo deberán estar representadas las dependencias que
manejan las operaciones, el departamento de sistemas y los auditores. Este grupo de
personas se denominará ³expertos´.

Es necesario tener disponible un modelo de riesgos establecido previamente, con la

descripción corta y la definición de cada uno, cuya vulnerabilidad será valorada por el
grupo de expertos.
 Para establecer cuales de las categorías de riesgo podrían presentarse en el sistema de
información, el diseñador y los expertos deberán dar respuesta a la siguiente pregunta:

categoría de riesgo Ri podría presentarse en el sistema objeto de

ño de controles?.

Las respuestas SI o NO, se registran en un formulario como el que si indica a

continuación.

D
 
 c(
1 Errores humanos
2 Fallos de los equipos
3 Robo de la información o equipos
4 Virus
5 Sabotaje
6 Fraude
7 Desastres naturales
8 Pérdidas por Sanciones Legales
9 Pérdidas por Decisiones Erróneas de la Gerencia
-##

 )*

Para asegurar el éxito de la sesión de trabajo de c


, es necesario que
los expertos tengan suficiente ilustración y bases conceptuales comunes sobre el
significado de los elementos del modelo de riesgos y de los criterios de comparación
que serán utilizados.




' 

+&


Los criterios que ayudan a establecer cual de los riesgos comparados es el más
importante, incluyen el significado de cada uno de los componentes del riesgo, como se
definen a continuación:

D
 
  
,
'
 

-
1 . ProbabilidadSe refiere a la posibilidad de ocurrencia del riesgo.
de ocurrencia Esta variable se puede valorar cualitativamente así
(Frecuencia de A: Alta.
Ocurrencia) M: Media.
B: Baja.
2  Impacto de Se refiere a la severidad del impacto económico
cada (costo de las pérdidas) de las consecuencias que
 Ocurrencia puede ocasionar a la organización la materialización
del riesgo. Esta variable se puede valorar
cualitativamente así
A: Alta.
M: Media.
B: Baja.
3  Riesgo es el /.0 
valor de las Existe una relación inversa entre la frecuencia de
pérdidas que ocurrencia y el impacto. Los más remotos, tales
ocasiona cada como los desastres naturales, son los de mayor
vez que ocurre impacto porque ocasionan las mayores pérdidas.
Esta variable se puede valorar cualitativamente así
A: Alta.
M: Media.
B: Baja.
-# 


'
 



Es recomendable utilizar el tercer criterio de comparación, mediante el uso de la

siguiente pregunta clave:

¿Entre el Ri y Rj, cual de los dos ocasionaría mayores pérdidas a la

organización en caso de presentarse?.

Se compara cada uno de los riesgos que conforman el modelo contra los demás,
mediante votación entre los expertos.

&
1
 

Los resultados de la votación por cada riesgo se registran en una gráfica como la
siguiente:
 Y
[     23  45
Y
Y

Y l Y i Y Y Y 
Y Y l Y
i  Y li
 Y Y lY  i
Y 
Y
 
Y Y lY
i
tiiY t Y
 
 Y Y i
Yt
tY 
Y lY 
tY i i
Y Y Y ilY lY 
iY
 Y 
Y lY 
tY 
i
Y Y Y l
Y
Y l Y il Y Y Y t

Y iY Y

 

YY
ti
YlY
i Yi
tiiY
YlY
 
Y YY
YlYi
YY
Yi
li
Y

Y 
i
Yi

 
iYlY
i Y
 
Y
YY
iY i Y
Y
Y
CY
YlYlY
iY Y

t
Yi iiY
Y Y i
 YYYYY
Y
lY i
YY YY
i t

YlYti
Y
YlY
 
Y i
YlY
i Ylli Y

Y lY ilY
 tiY Y 
Y lY i
Y Y Y 
tY lY ti
Y Y 
Y lY
i Y
i
tiiY
YlY
 
YY
YlYl
Y
Y

[    5

Y
Y
 
iYYt Yl Y
tii
t Yi
Y YtY
Yl
Y Yl Y
i  YY
Y t
Y 

Y
Y Yt
Y t
i
 Y
iYt Y
Yl
Y
Y tY

YlY
 YYl Yt YYl Y Y i
 YY
Y i YlY i 
YY 
YilYlYttlY
Y
t YYi
t

YlY
Y l!Y
"
Y Yt
i
Y lY ti
Y Yttli
Y l Y
 lt Y 
Y lY ilYi
tiiY 
Y lY
lt
YRYR lt YYlY ii
tY 

:Y
Y
Y
ClYR:YY
 [ & 


jY En la sección ³a´ de la celda ³R´ se anota la sumatoria de los puntajes registrados en las
secciones superiores (³a´) de todos los cuadros pertenecientes a esa columna.
jY En la sección ³b´ de la celda ³R´ se anota la sumatoria de los puntajes registrados en las
secciones inferiores (³b´) de todos los cuadros pertenecientes a la fila identificada con
el número que encabeza la respectiva columna.
jY En el subcuadro ³c´ que se encuentra en la parte inferior derecha de cada uno de los
cuadros de la fila de resultados, se contabiliza la sumatoria de las dos secciones que lo
conforman (³a´+´b´).
jY En la parte inferior del gráfico se asigna un número a cada uno de los riesgos, en orden
ascendente. El número 1 corresponderá al riesgo que obtuvo el mayor puntaje, el 2 al
siguiente puntaje y así sucesivamente. Esta es la categorización de los riesgos.


El puntaje máximo posible ,. .- que puede obtener un riesgo, se calcula con la
siguiente fórmula:


. . = NP x (RE ± 1)

En donde:

PMP : Puntaje máximo posible que puede obtener un riesgo.

NP : Número de participantes
RE : Cantidad de riesgos evaluados.

El puntaje máximo posible (PMP) se utiliza como base para calcular la longitud de cada
uno de los cinco (5) intervalos de valoración que resultan de aplicar el principio de
Pareto o regla 80/20, en los que se ubicarán los puntajes obtenidos por cada uno de los
riesgos evaluados.


* 
1
. 
.



Para establecer cuales son los 
 
 se utiliza el . 
  .

  
!676 Este principio estudió la relación ³Causa ± Efecto´ y estableció que ³El 20% de las
causas originan el 80% de los efectos´. El 20% de tales causas se denominan CRÍTICAS y
corresponden a las categorías de riesgos cuyo puntaje obtenido esta ubicado en el estrato 5,
es decir, que obtengan un puntaje igual o superior al 80% del puntaje máximo posible
(PMP). Por consiguiente, al identificar las categorías de riesgos que correspondan al 20%
de las causas críticas y concentrarse en ellos, el diseño de controles estará cubriendo el
80% de los posibles efectos adversos que podrían presentarse en el proceso de negocio o
sistema objeto de auditoría.
Y
La longitud del intervalo para aplicar el principio de Pareto se establece dividiendo el PMP
entre 5. Obsérvese que 1/5 del PMP es lo mismo que el 20% del PMP. Esta es la razón de
la división por 5.
Longitud del intervalo = PMP *1/5 = 7.

+
  
  .
 8  1& #
.
 1
  . .
 c
5 PMP 80% - 100% Alta
4 60% - 80% Media alta
3 40% - 60% Media
2 20% - 40% Media baja
1 0 0% - 20% Baja
-# $ 

+&
 9 '

 

Los puntajes obtenidos se resumen en un cuadro denominado Matriz de Vulnerabilidad

a Riesgos Potenciales Típicos, como sigue:



+&
 . . .& 8 ; :# 
 1& #  <
,0- :# 
 
 ,- ,-
. .

.
'
   .

     

)':#8





-#  $ 


 

 

,0- ;  . .. Porcentaje del Puntaje Máximo Posible que obtiene cada riesgo
evaluado
,- D  +=
  ,1& #-  
 .
  (Alta, Media Alta,
Media, Media Baja, Baja)
,- $ , < ). Se asignará una prioridad de acuerdo al puntaje obtenido.
Si se utilizó el método Delphy, la prioridad 1 corresponderá al mayor puntaje¦ la
prioridad 2 al siguiente mayor puntaje y así sucesivamente.

La lista de los riesgos ordenada según su criticidad o impacto potencial se detalla en un

cuadro como el siguiente:
 


 . . .& 8 ;:# 
 1& #
:# 
 
  ,  
. . =
 -

.
'
   .


    
)' :#8
  
 



-#! >1& #
-
'

Se identifican los dos o tres riesgos de mayor criticidad (vulnerabilidad c) pues son
estos sobre los que se aplicará el enfoque de diseño de controles.

En caso de que no existiera un riesgo con vulnerabilidad cse tomarían los riesgos
con el siguiente nivel de vulnerabilidad.

El nivel de exposición obtenido por cada riesgo evaluado se interpreta de la siguiente

manera:
D  
1
  ) $


+=
 

 ) &
Alto Puntajes iguales o superiores al Los riesgos con esta clasificación
80% del PMP son 
. A estos se asignara
el 80% de los recursos disponibles.
Medio Alto Puntajes mayores o iguales que Los riesgos ubicados en esta
el 60% del PMP y menores que clasificación pueden incluirse
el 80% del PMP dentro de los críticos, a criterio del
diseñador
Medio Puntajes mayores o iguales que Requieren poco o ningún énfasis
el 40% del PMP y menores que del diseñador de controles.
el 60% del PMP
Medio Bajo Puntajes mayores o iguales que No se justifica asignar recursos de
el 20% del PMP y menores que diseño de controles
el 40% del PMP
Bajo Puntajes menores que el 20% No se justifica asignar recursos de
del PMP diseño de controles.
-#") $

D+=
 
.
 

Para el desarrollo de la auditoría, es recomendable considerar como


 a los
riesgos con vulnerabilidades Alta y Media Alta. Enfatizando en estos dos, se cubrirán
también la mayoría de las causas de los riesgos calificados como de impacto medio y
medio bajo.


Una vez definidos y clasificados los riesgos críticos, se pasa a definir los escenarios de
riesgo aplicables al proceso de negocio o sistema sujeto a auditoría.
Los Escenarios de riesgo se refieren a las partes en las que se descompone el sistema
auditado, para fines de análisis y evaluación.

Para este fin se presentan tres alternativas de escenarios de riesgo: a) 15 componentes

del ciclo de vida del control de los datos en los sistemas de información (procesos
AUDISIS) b) 34 procesos de tecnología de información (TI) del estándar COBIT y c)
subprocesos particulares del sistema de información sujeto a auditoría.

De estas tres alternativas utilizaremos los 34 procesos de tecnología de información del

estándar COBIT.

@
@@@ 



@
@
 

@
 @ 


?? ??@
?
 ??


? ? ??


@
@@@




@
@
Ñ@








@@ 

Generalmente, la empresa tiene una organización jerárquica en forma piramidal, cuyo

vértice está ocupado por la más alta dirección. Entre el vértice y la base suele haber
varios niveles intermedios, que variarán en número dependiendo del tamaño de la
empresa.

El término    se utiliza para referirse a los departamentos de la empresa o a

las terceras partes (outsourcing, por ejemplo) que intervienen en el manejo de la
información y que cuentan con un director funcional al frente de cada una..

La definición del rol que desempeñan cada una de las dependencias es importante para
completar el entendimiento del sistema y será fundamental para las actividades de
localización de los riesgos críticos en el mapa de riesgos del sistema auditado.

*+D-*[* c *:D + ?c) +.+D+D *c) @A+ cD+BcD ?c

*D[: c *CD

.

)*[
D
 D
'#   .%&' 

&8

&


-#6* $   %&    ' 8


 $
' 
 Para precisar en cuales escenarios de riesgo interviene cada dependencia, se elabora
una matriz de ³Escenarios de Riesgo Vs dependencias´, ³Rol de las dependencias en los
escenarios de riesgo´. Con una ³x´ se indican los escenarios en los que interviene cada
dependencia. El rol o papel de la depende ncia en cada escenario, se describe en
formularios como el que se indica a continuación:


:?+?c)+.+D+D *c)+D?:)+) +Dc*:)+*+)D:

.

)'

D
 + 

    

-#$  

   
+ 



c



 



En el enfoque de la auditoría orientada al riesgo es necesario analizar y documentar el
impacto financiero y operacional que podría tener la ocurrencia de los riesgos críticos
potenciales, en cada escenario de riesgo y dependencia que interviene en el manejo de la
información.

El impacto de los riesgos potenciales críticos del sistema se analiza y documenta en

forma narrativa, para explicar las intersecciones de filas y columnas de dos matrices:
a)Y Matriz de Escenarios - Riesgos Críticos, para describir el impacto en los escenarios de
riesgo que se seleccionan para el desarrollo de la auditoría.
b)Y Matriz de Dependencias - Riesgos Críticos, para describir el impacto en las
dependencias que intervienen en el manejo de la información.

?: c?*Ec *:D+*+)D:) F-* :)+D?:)+) +Dc*:)+*+)D:


.

)'
Y
D
 + 

 
 
 
 


-#?
> 
 
 
+ 



En la Matriz de Escenarios de Riesgo - Riesgos Críticos, con una ³x´ se indican los
escenarios en los que puede presentarse cada riesgo crítico. La forma como podrán
presentarse en cada escenario, así como la probabilidad de ocurrencia y el impacto
financiero (valor de las pérdidas) que podría generar, se describe en hojas separadas.

El impacto del riesgo X en los escenarios de riesgo probables se describe en un

formulario como el que se muestra a continuación:

+) *. *CD .:)*G?+ : A+D *c + ?:) *+)D:) F-* :)
+D?:)+) +Dc*:)+*+)D:

.

)'


 


+ 

 *'

Descripción:
Probabilidad de Ocurrencia:
Impacto:
-# *'

 
 
+ 



En la matriz de ³Impacto de los Riegos Críticos en las Dependencias´, con una ³x´ se
indican las dependencias en las que puede presentarse cada riesgo crítico. La forma
como podrán presentarse en cada dependencia, así como la probabilidad de ocurrencia y
el impacto (valor de las pérdidas) que podría generar, se describe en hojas separadas.

?: c?*Ec *:D + *+)D:) F-* :) +D ?c) +.+D+D *c)
@A+ cD+BcD?c*D[: c *:D

.

)'

D
    [& +=
  ) 
 . 
+ 
   #

-# >*'


 
   

El impacto probable del riesgo X en las dependencias se describe en un formulario

como el que se muestra a continuación:
+) *. *CD .:)*G?+ : A+D *c + ?:) *+)D:) F-* :) +D
?c)+.+D+D *c)

.

)':

 


   *'


Descripción:
Probabilidad de Ocurrencia:
Impacto Financiero:
-# *'

 
   


?
>   
 
   >  + 
  
 1
  .

Utilizando códigos de identificación para los riesgos potenciales críticos (R1, R2...),
dentro de esta matriz se identifican los riesgos que podrían materializarse en cada
pareja ³escenario ± dependencia´.


?: c?*Ec *:D + *+)D:) F-* :) +D c-*E +
+) +Dc*:)+*+)D:H+.+D+D *c)

.

)'

D
 + 

        
1 Xx R1, R2
-# 
.
  



@
@@@  
@@
 
 @
   
  
@@ 


@
 @ 


La lógica y las sanas prácticas administrativas permiten deducir que la manera más
apropiada de solucionar los problemas es atacar las causas que los generan.

Aplicando este mismo raciocinio para el plan de prevención y mitigación de riesgos, se

concluye que los riesgos potenciales deberían atacarse por sus causas.


Por lo anterior, dentro del enfoque de la auditoria orientado al riesgo es necesario

elaborar un inventario de las causas de riesgo, por cada uno de los riesgos potenciales
críticos del identificados dentro del Sistema. El propósito es el de identificar los
³blancos´ a los que deberían apuntar los controles y medidas de seguridad.


 +' 
D 

&  &



No todas las causas de riesgo que se identifiquen tendrán la misma importancia desde el
punto de vista del riesgo que generan. Las más importantes serán aquellas que generen
las consecuencias más severas ó mayores perdidas a la organización. Para estimar el
riesgo que se deriva de una causa de riesgo es necesario analizar el impacto y la
probabilidad del riesgo como se ilustra a continuación:


&

c' > 
,
& -
.
##  1
     %&
:& 
  
& 
Alta Alto Alto
Alta Medio
Alta Bajo
Media Alta
Media Media
Media Baja
Baja (Remota) Alto Alto
Baja Medio
Baja Bajo
-# &
' >



 &


Cualquier causa de riesgo que se identifique cabe dentro de una de las siguientes cuatro
categorías:
a)Y Errores y omisiones.
b)Y Fallas o Mal funcionamiento de equipos y la tecnología.
c)Y Actos Malintencionados.
d)Y Desastres Naturales.
En el análisis de las amenazas o causas de riesgo es importante tener presente que existe
una relación inversamente proporcional entre la frecuencia de ocurrencia y el impacto
de estas categorías de causas de riesgo, así:

D
 
 [&  *'

1 Errores y omisiones Alta (Muy frecuentes) Bajo
2 Mal funcionamiento y fallas de Media Alta Medio Bajo
equipos y de la tecnología
3 Actos Malintencionados Media Baja Medio Alto
4 Desastres Naturales Baja (Remota) Alto
-#! 
 &

 Para identificar y evaluar las causas de riesgo, para cada riesgo potencial crítico, se
utiliza un formulario como el que se indica en la figura ³Identificación y Evaluación de
Causas de Riesgos Críticos´. En el cual cada causa de riesgo tiene asignado un número
y que estos números son identificadores únicos y ordenados secuencialmente (CR 001,
CR 002, ...).

*+D-*[* c *:D  +1c?Ac *:D + cA)c) + *+)D:

*-* :)

.

)'


.
  


Id. Causa de Descripción de la Causa de Riesgo P(1) C(2) Riesgo (3)

Riesgo o Amenaza

Convenciones.
(1): Probabilidad de ocurrencia (A: Alta¦ M: Media¦ B: Baja).
(2): Costo de las pérdidas que ocasionaría cada ocurrencia (A: Alta¦ M: Media¦
B: Baja).
(3): R = P * C (puede ser A: Alto¦ M: Medio¦ B: Bajo)

-#" &
I 

'


?
> &
#  


Consiste en distribuir las causas de riesgo identificadas para cada riesgo crítico
aplicable, en los escenarios de riesgo que intervienen en el manejo de la información.

De acuerdo con la ³Localización de Riesgos Críticos en Escenarios de Riesgo´, las

causas del riesgo X se distribuyen en los escenarios de riesgo como se indica a
continuación:

+ 

 &  

c#
Y CR001, CR002,

-#6?
>  &
I 
 


'
El resumen de la distribución de las causas de riesgos críticos en los escenarios de
riesgo se muestra en la figura ³Localización de Causas de Riesgos Críticos en
Escenarios de Riesgo´.

?: c?*Ec *:D + cA)c) + *+)D:) F-* :) +D

+) +Dc*:)+*+)D:

Proceso del Sistema :
+ 

    
A CR001, CR002 CR008
B CR001, CR003
CR003, CR004, X CR005, CR006, X
C
CR005 CR008, CR009
D X
E CR008 X
F CR005, CR008 X
Tabla 21.Localización de Causas de Riesgos Críticos en los Escenarios de Riesgo