Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos.

ANÁLISIS DE RIESGOS: PROCESO, REGULACIONES Y

METODOLOGÍAS
Numpaque Pineda, Edwin Orlando
[email protected]
Universidad Piloto de Colombia

Resumen – Hoy en día importantes organizaciones tanto que el negocio avance, apoyándose en innovaciones
públicas como privadas han sufrido ataques en sus sistemas de estratégicas en materia de seguridad. Esto no implica
información, debido principalmente, a que cualquier persona solamente hardware y software sino también planes de
puede apoderarse de los datos empresariales o de los datos concientización en materia de seguridad [3].
personales de la compañía con fines malintencionados. Lo cual Ahora bien, para las amenazas que son detectadas en los
puede acarrear nefastas consecuencias que pueden implicar análisis de riesgos que se realizan y diseñan planes de acción
sanciones legales, normativas, pérdidas financieras, materiales para su mitigación parcial o completa. Una amenaza que se
o reputaciónales entre otros. En este artículo se presenta una materializa constituye, en la mayoría de los casos, un riesgo
descripción minuciosa, paso a paso que nos permitirá realizar operacional, dado que dicha materialización supone una
un buen análisis de riesgos contemplando sus principales pérdida económica para la organización. Entre estos escenarios
características, regulaciones, metodologías y algunas pueden presentarse tanto amenazas, como vulnerabilidades,
herramientas sugeridas más relevantes para su realización. Esta que son brechas que quedan como puertas abiertas esperando a
información aplicada en el ámbito de la seguridad informática ser explotadas en forma programada o fortuita. Para mitigar los
nos permitirá contextualizar y concientizar a las organizaciones riesgos operacionales y evitar posibles pérdidas financieras e
en la necesidad de realizar un buen análisis para la incumplimientos legales se requiere establecer un entorno
implementación de mecanismos de seguridad de acuerdo con metodológico en nuestra operación, mediante la gestión
los riesgos y amenazas identificados, y a su vez esto permitirá relacionada con la seguridad física y lógica, normatividad
integrar estos hallazgos dentro de los Sistemas de Gestión de interna para alinear las TI con el cumplimiento, proyectos de
Seguridad Informática SGSI con base en las normas y TI y usuarios comprometidos con la seguridad de la
estándares existentes. información.
En la búsqueda de cómo resolver nuestra problemática sobre
Palabras Clave – SGSI, metodologías, análisis de riesgos, los riesgos operativos, observamos que existe una relación
gestión de riesgos, seguridad, vulnerabilidad. lógica entre la definición del alcance del riesgo operacional y
los factores de producción determinados para el gobierno de la
Abstract – Nowadays important organizations both public and información (procesos–tecnologías–personas), lo cual afirma la
private have suffered attacks on their information systems, necesidad de establecer procesos adecuados para el
owed principally to that any person can get hold of the cumplimiento de los objetivos de negocio, operados por
managerial information or of the personal information of the personal con las capacidades y conocimientos necesarios y
company for malicious purposes. Which can lead to disastrous acorde a sus funciones dentro de los servicios, y el soporte de
consequences that may involve legal sanctions, regulations, recursos tecnológicos e infraestructura de servicios a la medida
and financial, material or reputational losses, among others. de las necesidades del negocio. Por ello, es natural el empleo
This article presents a step-by-step detailed description that de estándares relacionados con el gobierno de TI y gobierno
will allow us to make a good analysis of risks watching its corporativo (como ISO 20000 y 27001, ITIL, COBIT5,
main characteristics, regulations, methodologies And some Normas NIST, etc. Fig. 1.) para normalizar nuestros procesos y
more relevant suggested tools for his accomplishment, ayudar a ordenar todas las actividades asociadas a la
although this information applied in the area of the IT security, continuidad operativa, así como a la seguridad de la
will allow us to contextualize and make organizations aware of información.
the need to carry out a good analysis for the implementation of Pensar que los procesos internos y los servicios de TI están
security mechanisms in accordance with the identified risks disociados entre sí o que no hay nada más allá de la
and threats and, in turn, integrate this stage into the ISMS organización que nos pueda afectar, es acotarse a una sola
information security management system based on existing dimensión de riesgos y perder la visión global y
standards and regulations. multidisciplinaria que se requiere para la subsistencia de la
operación de nuestro negocio. Las necesidades de gobierno
Keywords – ISMS, methodologies, risk analysis, risk deben surgir a nivel corporativo, desde todas las áreas de la
management, security, vulnerability. organización, y apoyarse piramidalmente teniendo en cuenta
que no se pueden establecer directrices que no se sustenten
I. INTRODUCCIÓN inicialmente en procesos y procedimientos que vayan
En la actualidad las empresas sin importar el tamaño y dada la enmarcándola hacia un camino de madurez, que le permita
alta tecnificación en la que se desenvuelven en mayor o menor establecer un gobierno adecuado a su entorno, a su industria y
medida, están sujetas a riesgos de TI. El desafío es que en principalmente a su cultura. Este entendimiento nos brindará la
lugar de intentar evitar los riesgos relativos a la tecnología, las objetividad necesaria para la adopción de los estándares
empresas más aventajadas están aprendiendo a manejarlos para adecuados.
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 2

mitigación adecuado a la operación real, estando así seguros y

óptimos respecto de las necesidades operativas de la compañía.
Hay cuatro dominios en los cuales deben agruparse las
principales actividades de mitigación de estos riesgos de TI:
 El gobierno de la tecnología, que debe ser compartido con
nuestro proveedor de servicios.
 La gestión de riesgos sobre los servicios, tanto internos
como externos, y en el caso de terceros, reclamando y
auditando a nuestro proveedor en su gestión
implementada.
 La educación y actualización para la mejora del
conocimiento y capacidades, no solo relacionadas con la
infraestructura técnica sino también en los procesos de
servicio de TI, tanto de los contratados como de los
internos, sobre los cuales el proveedor también debe
capacitarse.
Fig. 1. Estándares relacionados a la seguridad de la información. Fuente:
Magazcitum [3]  El cumplimiento, sobre la base de ser conscientes de que
puede delegarse la operación a un tercero, pero no es
¿Cómo determino objetivamente cuál es el marco recomendable delegar la responsabilidad en el
metodológico adecuado? Inicialmente debe conocerse “el cumplimiento, por lo que deben establecerse los controles
negocio” mediante las definiciones de sus procesos y de su y auditorías necesarias para verificar este cumplimiento
marco legal y regulatorio. Esto aporta conocer cuáles son los por parte de nuestro proveedor.
límites del entorno de la industria y define los primeros Esto determina que tanto los riesgos asociados al proceso de
parámetros de alto nivel o necesidades primarias de negocios y a los servicios de TI, como las necesidades de
cumplimiento. Como sabemos, las leyes o regulaciones nos continuidad operativa de los mismos, debe reflexionarse desde
señalan lo que se debe cumplir, pero no como implementar el su diseño. Conocer el modelo de negocio y diseñar los
cumplimiento, por lo que es muy importante basarnos en el servicios de TI entorno a sus necesidades, basados en una
conocimiento inicial para verificar internamente en la gestión implementada como resultado de la adopción de
organización cuál es su “adherencia” al cumplimiento y cómo estándares metodológicos, va a brindar la oportunidad de
incide la cultura de las personas en su participación en los construir servicios de TI que estén alineados a los procesos de
procesos. Esto ayudará en la elección del estándar adecuado negocio, y por ende a los objetivos de la organización dando
para la organización y determinará cuál es la forma más una respuesta efectiva al plan de negocio.
correcta de abordar su implementación.
Una vez seleccionado el estándar e identificados los puntos de II. ANÁLISIS DE RIESGO INFORMÁTICO
necesidad de cumplimiento, podremos definir los planes de
implementación o remediación necesarios, que deben alcanzar
tanto a procesos, como a personas y tecnología. El resultado
final nos debe aportar lo que llamamos “línea base de
cumplimiento”, con definiciones funcionales y técnicas que se
verán representadas en nuestro marco normativo. Como se citó
anteriormente, debemos tener una visión global y
multidisciplinaria, por lo que cada área de la organización
deberá participar en forma completa y desde sus funciones,
tanto en actividades consultivas como operativas, según
corresponda, y de acuerdo a sus alcances funcionales
relacionados con el gobierno, riesgo y cumplimiento. Uno de
los mejores ejemplos para visualizar esta interacción es la de
reconocer en un proyecto de negocio cuáles son los diferentes
hitos relacionados con la necesidad que tiene la organización Fig. 2. Mapa mental análisis de riesgos. Fuente: Coggle [2]
en el inter-relacionamiento de sus áreas para la obtención de
sus objetivos. Las necesidades de protección del sistema informático se
La gestión y aplicación de la tecnología y las crisis externas a establecen mediante la realización de un análisis de riesgos,
la organización son los principales focos de amenazas que que es el proceso dirigido a determinar la probabilidad de
conforman los riesgos de TI que encabezan la lista, que que las amenazas se materialicen sobre los bienes
asociados ponen en grave peligro la operación si no los informáticos e implica la identificación de los bienes a
evaluamos en forma correcta identificando su mapeo relacional proteger, las amenazas que actúan sobre ellos, su probabilidad
con los procesos de negocio y su entorno operativo. Basados de ocurrencia y el impacto que puedan causar.
en este análisis, se podrá obtener para cada uno el plan de
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 3

En la Fig. 2 Mapa mental análisis de riesgo podemos ver un La necesidad de la actualización permanente del análisis de
resumen de forma más sencilla y de manera gráfica, los riesgos estará determinada por las circunstancias siguientes:
aspectos más relevantes a tener en cuenta en la realización de a) Los elementos que componen un sistema informático en una
dicho análisis. entidad están sometidos a constantes variaciones: cambios
La realización del análisis de riesgos debe proporcionar: de personal, nuevos locales, nuevas tecnologías, nuevas
a) Una detallada caracterización del sistema informático aplicaciones, reestructuración de entidades, nuevos
objeto de protección. servicios, etc.
b) La creación de un inventario de bienes informáticos a b) La aparición de nuevas amenazas o la variación de la
proteger. probabilidad de ocurrencia de alguna de las existentes.
c) La evaluación de los bienes informáticos a proteger en orden c) Pueden aparecer nuevas vulnerabilidades o variar o incluso
de su importancia para la organización. desaparecer alguna de las existentes, originando,
d) La identificación y evaluación de amenazas y modificando o eliminando posibles amenazas.
vulnerabilidades.
e) La estimación de la relación importancia-riesgo asociada a III. PROCESO DE ANÁLISIS DE RIESGOS
cada bien informático (peso de riesgo). INFORMÁTICOS
En el proceso de análisis de riesgos se pueden diferenciar dos Sin duda alguna, si queremos empezar por el principio en
aspectos: materia de seguridad se los sistemas de información en nuestra
1. La Evaluación de Riesgos orientada a determinar los empresa, el análisis de riesgos es uno de los trabajos más
sistemas que, en su conjunto o en cualquiera de sus partes, importantes a la hora de definir proyectos e iniciativas para la
pueden verse afectados directa o indirectamente por amenazas, mejora de la seguridad de la información. Si consideramos que
valorando los riesgos y estableciendo sus niveles a partir de las las herramientas tecnológicas y la información que manejamos
posibles amenazas, las vulnerabilidades existentes y el impacto son de gran valor para nuestra organización debemos empezar
que puedan causar a la entidad. Consiste en el proceso de a pensar en poner en práctica un Plan Director de Seguridad
comparación del riesgo estimado con los criterios de riesgo, [1].
para así determinar su importancia. El Plan Director de Seguridad (PDS) se puede simplificar
2. La Gestión de Riesgos que implica la identificación, como la definición y priorización de un conjunto de proyectos
selección, aprobación y manejo de los controles a establecer en materia de seguridad de la información, dirigido a reducir
para eliminar o reducir los riesgos evaluados a niveles los riesgos a los que está expuesta la organización hasta unos
aceptables, con acciones destinadas a: niveles aceptables a partir de un análisis de la situación inicial.
a) Reducir la probabilidad de que una amenaza ocurra. Llevar a cabo un buen análisis nos permitirá centrar nuestro
b) Limitar el impacto de una amenaza, si esta se manifiesta. foco de atención en los riesgos asociados a los sistemas,
c) Reducir o eliminar una vulnerabilidad existente. procesos y elementos dentro del alcance del PDS. De esta
d) Permitir la recuperación del impacto o su transferencia a forma mitigaremos la posibilidad de tener algún tipo de
terceros. incidente de que comprometa nuestros sistemas de
La gestión de riesgos implica la clasificación de las alternativas información. Por otra parte, también podemos obtener
para manejar los riesgos a que puede estar sometido un bien beneficios si realizamos un análisis de riesgos de forma aislada
informático dentro de los procesos en una entidad. Implica una en lugar de llevarlo a cabo dentro de un contexto mayor como
estructura bien definida, con controles adecuados y su es el del desarrollo de un PDS.
conducción mediante acciones factibles y efectivas. Para ello A continuación, veremos de forma sencilla las principales
se cuenta con las técnicas de manejo del riesgo siguientes: tareas del análisis de riesgos, aportando recomendaciones
1. Evitar: Impedir el riesgo con cambios significativos por prácticas sobre cómo llevarlo a cabo, y considerando algunas
mejoramiento, rediseño o eliminación, en los procesos, particularidades a tener en cuenta para que aporte el máximo
siendo el resultado de adecuados controles y acciones valor al PDS. Cabe señalar que las fases o etapas que
realizadas. componen un análisis de riesgos dependen de la metodología
2. Reducir: Cuando el riesgo no puede evitarse por dificultades escogida. En el caso que nos ocupa, hemos seleccionado un
de tipo operacional, la alternativa puede ser su reducción conjunto de fases que son comunes en la mayor parte de las
hasta el nivel más bajo posible. Esta opción es la más metodologías para el análisis de riesgos.
económica y sencilla y se consigue optimizando los
procedimientos y con la implementación de controles.
A. Definir el alcance
3. Retener: Cuando se reduce el impacto de los riesgos pueden
El primer paso a la hora de llevar a cabo el análisis de riesgos,
aparecer riesgos residuales. Dentro de las estrategias de
es establecer el alcance del estudio. Vamos a considerar que
gestión de riesgos de la entidad se debe plantear como
este análisis de riesgos forma parte del Plan Director de
manejarlos para mantenerlos en un nivel mínimo.
Seguridad. Por lo tanto, recomendamos que el análisis de
4. Transferir: Es buscar un respaldo contractual para compartir
riesgos cubra la totalidad del alcance del PDS, dónde se han
el riesgo con otras entidades, por ejemplo, alojamiento,
seleccionado las áreas estratégicas sobre las que mejorar la
hospedaje, externalización de servicios, entre otros. Esta
seguridad. Por otra parte, también es posible definir un alcance
técnica se usa ya sea para eliminar un riesgo de un lugar y
más limitado atendiendo a departamentos, procesos o sistemas.
transferirlo a otro, o para minimizar el mismo.
Por ejemplo, análisis de riesgos sobre los procesos del
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 4

departamento Administración, análisis de riesgos sobre los (Sistema de Alimentación Ininterrumpida) o un grupo
procesos de producción y gestión de almacén o análisis de electrógeno para abastecer de electricidad a los equipos del
riesgos sobre los sistemas TIC relacionados con la página web CPD. Ambas medidas de seguridad (también conocidas como
de la empresa, etc. En este caso práctico consideramos que el salvaguardas) contribuyen a reducir el riesgo de las amenazas
alcance escogido para el análisis de riesgos es “Los servicios y relacionadas con el corte de suministro eléctrico.
sistemas del Departamento Informática”. Estas consideraciones (vulnerabilidades y salvaguardas)
debemos tenerlas en cuenta cuando vayamos a estimar la
B. Identificar los activos probabilidad y el impacto como veremos en la siguiente fase.
Una vez definido el alcance, debemos identificar los activos
más importantes que guardan relación con el departamento, E. Evaluar el riesgo
proceso, o sistema objeto del estudio. Para mantener un Llegado a este punto disponemos de los siguientes elementos:
inventario de activos sencillo puede ser suficiente con hacer  Inventario de activos.
uso de una hoja de cálculo o tabla como la que se muestra a  Conjunto de amenazas a las que está expuesta cada activo.
continuación a modo de ejemplo:  Conjunto de vulnerabilidades asociadas a cada activo (si
corresponde).
TABLA I
MODELO PARA IDENTIFICACIÓN DE ACTIVOS.
 Conjunto de medidas de seguridad implantadas.

TABLA II
CÁLCULO DE LA PROBABILIDAD.

Fuente. INCIBE (2017)

Fuente. INCIBE (2017)

C. Identificar / seleccionar las amenazas
Habiendo identificado los principales activos, el siguiente paso Con esta información, nos encontramos en condiciones de
consiste en identificar las amenazas a las que estos están calcular el riesgo. Para cada par activo-amenaza, estimaremos
expuestos. Tal y como imaginamos, el conjunto de amenazas la probabilidad de que la amenaza se materialice y el impacto
es amplio y diverso por lo que debemos hacer un esfuerzo en sobre el negocio que esto produciría. El cálculo de riesgo se
mantener un enfoque práctico y aplicado. Por ejemplo, si puede realizar usando tanto criterios cuantitativos como
nuestra intención es evaluar el riesgo que corremos frente a la cualitativos. Pero para entenderlo mejor, veremos a modo de
destrucción de nuestro servidor de ficheros, es conveniente, ejemplo las tablas para estimar los factores probabilidad e
considerar las averías del servidor, la posibilidad de daños por impacto.
agua (rotura de una cañería) o los daños por fuego, en lugar de
plantearnos el riesgo de que el CPD (centro de procesamiento TABLA III
CÁLCULO DEL IMPACTO.
de datos) sea destruido por un meteorito.
A la hora de identificar las amenazas, puede ser útil tomar
como punto de partida el catálogo de amenazas que incluye la
metodología MAGERIT v3.

D. Identificar vulnerabilidades y salvaguardas

La siguiente fase consiste en estudiar las características de
nuestros activos para identificar puntos débiles o
vulnerabilidades. Por ejemplo, una posible vulnerabilidad
puede ser identificar un conjunto de ordenadores o servidores Fuente. INCIBE (2017)
cuyos sistemas antivirus no están actualizados o una serie de
activos para los que no existe soporte ni mantenimiento por Cálculo del riesgo
parte del fabricante. Posteriormente, a la hora de evaluar el A la hora de calcular el riesgo, si hemos optado por hacer el
riesgo aplicaremos penalizaciones para reflejar las análisis cuantitativo, calcularemos multiplicando los factores
vulnerabilidades identificadas. probabilidad e impacto:
Por otra parte, también analizaremos y documentaremos las
medidas de seguridad implantadas en nuestra organización. Por RIESGO = PROBABILIDAD X IMPACTO.
ejemplo, es posible que hayamos instalado un sistema SAI
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 5

Si por el contrario hemos optado por el análisis cualitativo, tanto, deberemos clasificarlas y priorizarlas considerando el
haremos uso de una matriz de riesgo como la que se muestra a resto de proyectos que forman parte del PDS. Asimismo, tal y
continuación: como indicábamos en la introducción, llevar a cabo un análisis
TABLA IV de riesgos nos proporciona información de gran valor y
CÁLCULO DEL RIESGO.
contribuye en gran medida a mejorar la seguridad de nuestra
organización [1].

IV. ELEMENTOS RELACIONADOS

A los efectos del presente artículo en análisis de riesgos se
entienden por:
1. Amenaza: Es una situación o acontecimiento que pueda
causar daño a los bienes informáticos; puede ser una
persona, un programa malicioso o un suceso natural o de
Fuente. INCIBE (2017)
otra índole y representan los posibles atacantes o factores
que inciden negativamente sobre las debilidades del
Tal y como indicábamos en el apartado anterior, cuando
sistema.
vayamos a estimar la probabilidad y el impacto debemos tener
2. Análisis de riesgo: el proceso dirigido a determinar la
en cuenta las vulnerabilidades y salvaguardas existentes. Por
probabilidad de que las amenazas se materialicen sobre los
ejemplo, la caída del servidor principal podría tener un
bienes informáticos e implica la identificación de los
impacto alto para el negocio. Sin embargo, si existe una
bienes a proteger, las amenazas que actúan sobre ellos, su
solución de alta disponibilidad (Ej. Servidores redundados),
probabilidad de ocurrencia y el impacto que puedan
podemos considerar que el impacto será medio ya que estas
causar.
medidas de seguridad harán que los procesos de negocio no se
3. Bienes informáticos: Los elementos componentes
vean gravemente afectados por la caída del servidor. Si por el
del sistema informático que deben ser protegidos en
contrario hemos identificado vulnerabilidades asociadas al
evitación de que como resultado de la materialización de
activo, aplicaremos una penalización a la hora de estimar el
una amenaza sufran algún tipo de daño.
impacto. Por ejemplo, si los equipos de climatización del CPD
no han recibido el mantenimiento recomendado por el 4. Control: Es un mecanismo de seguridad de prevención y
fabricante, incrementaremos el impacto de amenazas como corrección empleado para disminuir las vulnerabilidades
“condiciones ambientales inadecuadas” o “malfuncionamiento 5. Impacto: Es el daño producido por la materialización de
de los equipos debido a altas temperaturas”. una amenaza.
6. Riesgo: Es la probabilidad de que una amenaza se
materialice sobre una vulnerabilidad del sistema
F. Tratar el riesgo
informático, causando un impacto negativo en la
Una vez calculado el riesgo, debemos tratar aquellos riesgos
organización.
que superen un límite que nosotros mismos hayamos
7. Riesgo residual: Es el riesgo remanente después de
establecido. Por ejemplo, trataremos aquellos riesgos cuyo
aplicados controles de seguridad para minimizarlo
valor sea superior a “4” o superior a “Medio” en caso de que
8. Seguridad: Es usado en el sentido de minimizar los riesgos
hayamos hecho el cálculo en términos cualitativos. A la hora
a que están sometidos los bienes informáticos hasta
de tratar el riesgo, existen cuatro estrategias principales:
llevarlos a niveles adecuados.
 Transferir el riesgo a un tercero. Por ejemplo, contratando 9. Sistema informático: Es el conjunto de bienes informáticos
un seguro que cubra los daños a terceros ocasionados por de que dispone una entidad para su correcto
fugas de información. funcionamiento y la consecución de los objetivos.
 Eliminar el riesgo. Por ejemplo, eliminando un proceso o 10. Vulnerabilidad: En un sistema informático es un
sistema que está sujeto a un riesgo elevado. En el caso punto o aspecto susceptible de ser atacado o de dañar su
práctico que hemos expuesto, podríamos eliminar la wifi seguridad; representan las debilidades o aspectos falibles o
de cortesía para dar servicio a los clientes si no es atacables en el sistema informático y califican el nivel de
estrictamente necesario. riesgo del mismo.
 Asumir el riesgo, siempre justificadamente. Por ejemplo, el
coste de instalar un grupo electrógeno puede ser V. REGULACIONES Y NORMAS QUE TRATAN EL
demasiado alto y, por tanto, la organización puede optar RIESGO
por asumir.
A. ISO/IEC 27001:2013
 Implantar medidas para mitigarlo. Por ejemplo, contratando
ISO 27001 es una norma internacional emitida por la
un acceso a internet de respaldo para poder acceder a los
Organización Internacional de Normalización (ISO) y describe
servicios en la nube en caso de que la línea principal haya
cómo gestionar la seguridad de la información en una empresa.
caído.
La revisión más reciente de esta norma fue publicada en 2013
Por último, cabe señalar que como realizamos este análisis de
y ahora su nombre completo es ISO/IEC 27001:2013. La
riesgos en el contexto de un PDS, las acciones e iniciativas
primera revisión se publicó en 2005 y fue desarrollada en base
para tratar los riesgos pasarán a formar parte del mismo. Por lo
a la norma británica BS 7799-2 [4].
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 6

ISO 27001 puede ser implementada en cualquier tipo de International, WorldCom y Peregrine Systems. Es un conjunto
organización, con o sin fines de lucro, privada o pública, de medidas tendientes a asegurar la efectividad de los controles
pequeña o grande. Está redactada por los mejores especialistas internos sobre reportes financieros. Sin embargo, La Ley
del mundo en el tema y proporciona una metodología para Sarbanes - Oxley (SOX) es una ley estadounidense que entró
implementar la gestión de la seguridad de la información en en vigor el 30 de junio de 2002, después de su aprobación por
una organización. También permite que una empresa sea el Congreso de los Estados Unidos, con la cual se le dio fuerza
certificada; esto significa que una entidad de certificación de ley al denominado “Act de 2002”.
independiente confirma que la seguridad de la información ha La citada ley aplica para todas las empresas que cotizan en la
sido implementada en esa organización en cumplimiento con la Bolsa Nueva York y señala los requisitos que las mismas
norma ISO 27001. ISO 27001 se ha convertido en la principal deben cumplir para poder operar en territorio y mercado
norma a nivel mundial para la seguridad de la información y estadounidense. Por lo tanto, al tratarse de una reglamentación
muchas empresas han certificado su cumplimiento. extranjera que no forma parte del ordenamiento jurídico
Esta norma específica los requisitos necesarios para establecer, colombiano no resulta de obligatoria observancia en el país,
implantar, mantener y mejorar un Sistema de Gestión de la frente al mercado colombiano. Cosa distinta si la entidad
Seguridad de la Información (SGSI). colombiana pretende negociar títulos en el mercado
estadounidense, caso en el cual seguramente deberá acreditar
B. ISO/IEC 27005:2018 el cumplimiento de la misma de cara a ese mercado y a sus
En fecha 10 de julio del 2018, se encuentra publicada la nueva autoridades.
versión de ISO/IEC 27005 Information technology -- Security
techniques -- Information security risk management, en lo que E. PCI DSS
es ahora su tercera edición. La ISO 27005 proporciona el “por El Estándar de Seguridad de Datos para la Industria de Tarjeta
qué”, “qué” y “cómo” para que las organizaciones puedan de Pago (Payment Card Industry Data Security Standard) o
gestionar sus riesgos de seguridad de la información de manera PCI DSS fue desarrollado por un comité conformado por las
efectiva en conformidad con la norma ISO/IEC 27001. "La compañías de tarjetas (débito y crédito) más importantes,
versión anterior de ISO 27005 fue lanzada en 2011 y se había comité denominado PCI SSC (Payment Card Industry Security
desalineado algo con la ISO 27001: 2013. Este documento es Standards Council) como una guía que ayude a las
aplicable a todo tipo de organizaciones (por ejemplo, empresas organizaciones que procesan, almacenan y/o transmiten datos
comerciales, agencias gubernamentales, organizaciones sin de tarjetahabientes (o titulares de tarjeta), a asegurar dichos
fines de lucro) que pretenden gestionar los riesgos que pueden datos, con el fin de evitar los fraudes que involucran tarjetas de
comprometer la seguridad de la información de la organización pago débito y crédito [6].
[5]. Se trata de un estándar que cuenta con una parte principal Las compañías que procesan, guardan o trasmiten datos de
concentrada en 24 páginas, también cuenta con anexos en los tarjetas deben cumplir con el estándar o arriesgan la pérdida de
que se incluye ejemplos y más información de interés para los sus permisos para procesar las tarjetas de crédito y débito
usuarios. En estos anexos podemos encontrar tabulados (Perdida de franquicias), enfrentar auditorías rigurosas o pagos
amenazas, vulnerabilidades e impactos, lo que puede resultar de multas1 Los Comerciantes y proveedores de servicios de
útil para abordar los riesgos relacionados con los activos de la tarjetas de crédito y débito, deben validar su cumplimiento al
información en evaluación. estándar en forma periódica.
Esta validación es realizada por auditores autorizados
C. Basilea III Qualified Security Assessor (QSAs). Sólo a las compañías que
Estándar internacional que sirva de referencia a los reguladores procesan menos de 80,000 transacciones por año se les permite
bancarios, con objeto de establecer los requerimientos de realizar una autoevaluación utilizando un cuestionario provisto
capital necesarios, para asegurar la protección de las entidades por el Consorcio del PCI (PCI SSC).
frente a los riesgos financieros y operativos. Basilea III es un
conjunto de medidas acordadas internacionalmente que el VI. METODOLOGÍAS DE ANÁLISIS DE RIESGOS
Comité de Supervisión Bancaria de Basilea ha desarrollado en A. ITIL (Information Technology Infraestructure
respuesta a la crisis financiera de 2007-09. El objetivo de Library)
dichas medidas es reforzar la regulación, la supervisión y la ITIL es un marco de mejores prácticas para la entrega de
gestión del riesgo de los bancos. servicios de TI. El enfoque sistemático de ITIL para la gestión
Al igual que el resto de normas del Comité de Basilea, los de servicios de TI puede ayudar a las empresas a gestionar el
requerimientos de Basilea III constituyen mínimos aplicables a riesgo, fortalecer las relaciones con los clientes, establecer
bancos con actividad internacional. Los miembros se prácticas rentables y crear un entorno de TI estable que
comprometen a implementar y aplicar las normas en sus permitan el crecimiento, la escalabilidad y el cambio [7].
jurisdicciones nacionales o regionales dentro de los plazos El desarrollo continuo de ITIL se ha conferido a Axelos, una
establecidos por el Comité. empresa conjunta creada por Cabinet Office del Reino Unido y
Capita PLC. La última versión de ITIL se lanzó en julio de
D. Ley Sarbanes Oxley (SOX) 2011 y a menudo se llama ITIL 2011. Aclara y amplía muchos
Impulsada por el gobierno norteamericano como respuesta a de los procesos de la edición anterior de 2007, a menudo
los megos fraudes corporativos que impulsaron Enron, Tyco llamada versión 3 o ITIL v3.
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 7

Las certificaciones ITIL se encuentran entre las más buscadas se busca alinear los requisitos con las versiones 2015 de las
en la industria de TI y varias de las certificaciones de ITIL normas ISO 9001 e ISO 14001, y con la reciente aprobada ISO
normalmente llegan a la lista de las certificaciones técnicas 45001, que será publicada próximamente.
mejores pagas. En Risk Management, el modelo de las tres capas (EPA) se
Axelos admite cinco niveles de certificación ITIL: basa en entender, planificar y actuar. ISO 31000 permite la
fundamentos, practicante, ciclo de vida nivel intermedio, nivel identificación de riesgos con mapa o catálogo de riesgos,
de experto y la calificación de máster. Las certificaciones ITIL clasificación de tipos de riesgos. La evaluación se realiza con
son otorgadas por Axelos a través de Institutos de examen estimados de la probabilidad de ocurrencia y evaluación del
acreditados ubicados en todo el mundo. Los candidatos de impacto. Se aporta el reporte mensual de riesgos, indicadores
certificación acumulan créditos dentro de este sistema de de alerta temprana y riesgos en gestión de valores.
calificación de ITIL que desbloquean opciones de certificación En la planificación, se contemplan los riesgos en planificación
de alto nivel como ITIL Expert. operativa, en planificación estratégica, en evaluación de
inversiones y el retorno en gestión de portafolio. En la
B. COBIT 5 actuación, se da respuesta al riesgo estratégico, financiero y
Objetivos de control para la información y tecnología operacional. En gestión de crisis, se toman medidas de
relacionada también conocida como (COBIT 5), es un marco contingencia, continuidad del negocio y comunicación.
mundialmente aceptado para la gestión de TI. Alinea las metas
de negocio con los procesos y metas de TI proporcionando D. CRAMM
herramientas, recursos y orientación para lograr, identificar y El método CRAMM (CCTA Risk Analysis and Management
asociar las responsabilidades de los procesos empresariales y Method) es una metodología diseñada para su uso en Gestión
de TI. COBIT 5 estimula la innovación en TI, superando la de riesgos. CRAMM, que hoy pertenece a las metodologías
brecha entre los requisitos de control, las cuestiones técnicas y con la aplicación más amplia en el análisis y gestión de riesgos,
los riesgos empresariales [8]. se desarrolló en base a las necesidades de la agencia
El proyecto COBIT se emprendió por primera vez en el año gubernamental británica CCTA en 1985 pero ahora es
1995 desarrollado por la empresa ISACA. Así como sobre los propiedad de Siemens [10].
controles de los sistemas de información implantados. Fue La metodología CRAMM abarca de forma compleja todas las
publicada en 1996 y fue vendida en 98 países de todo el fases de la gestión de riesgos, desde el análisis real de los
mundo. Con el fin de crear un mayor producto global que riesgos hasta la propuesta de contramedidas , incluida la
pudiese tener un impacto duradero sobre el campo de visión de generación de resultados para la documentación de seguridad
los negocios. A lo largo del tiempo COBIT ha recibido varias (planificación de emergencia y aseguramiento de la
mejoras desde una mejor implementación hasta proporcionar continuidad). CRAMM es apoyado simultáneamente por
una visión empresarial del Gobierno de TI que tiene a la la aplicación del mismo nombre que ayuda en la recopilación
tecnología y a la información como protagonistas en la de datos, así como en el cálculo y procesamiento del informe
creación de valor para las empresas. de gestión de riesgos.
Hoy en día la versión más actual es COBIT 5 y esta se lanzó el CRAMM también ayuda a demostrar la eficiencia del costo
10 de abril del 2012 esta se basa en COBIT 4, pero ahora esta invertido en la administración de riesgos, la seguridad y la
se puede integrar con otros importantes marcos y normas como planificación de emergencias. Contiene una amplia biblioteca
Information Technology Infrastructure Library (ITIL ®) o las única de contramedidas de seguridad. La aplicación de la
normas ISO. metodología CRAMM permite a las organizaciones prepararse
COBIT 5® sirve a optimizar el costo de los servicios de TI y para su certificación de acuerdo con ISO 27001. También está
la tecnología, a través de la integración de un sistema operativo de acuerdo con otras normas ISO ( ISO 9001 e ISO 14001).
mejorado de TI. Proporcionando una visión clara de los roles y
responsabilidades internas dando así a una organización una E. MAGERIT
ventaja competitiva. MAGERIT es la metodología de análisis y gestión de riesgos
elaborada por el Consejo Superior de Administración
C. ISO 31000:2018 Electrónica Española que estima que la gestión de los riesgos
El comité técnico ISO ha publicado la nueva versión de ISO es una piedra angular en las guías de buen gobierno.
31000:2018. Esta norma para la Gestión de Riesgos ha sido Actualizada en 2012 en su versión 3, dicho método cubre la
simplificada. Permitirá a las empresas y organizaciones fase AGR (Análisis y Gestión de Riesgos). Si hablamos de
revaluar sus metodologías de gestión sobre cualquier tipo de Gestión global de la Seguridad de un Sistema de Seguridad de
riesgo [9]. la Información basado en ISO 27001, MAGERIT, es el núcleo
La norma se centra de forma exhaustiva en la atención de la de toda actuación organizada en dicha materia, ya que influye
gestión del riesgo, como una herramienta para minimizar de en todas las fases que sean de tipo estratégico y se condiciona
forma anticipada las posibles inseguridades que pudieran la profundidad de las fases de tipo logístico.
producirse. Por tanto, ISO 31000 se actualiza para dar Objetivos:
respuesta con eficacia y seguridad a los riesgos y peligros 1. Concienciar a los responsables de las organizaciones de
actuales a los que se enfrentan las organizaciones y empresas información de la existencia de riesgos y de la necesidad
en su día a día. Con esta nueva versión de la norma ISO 31000, de gestionarlos.
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 8

2. Ofrecer un método sistemático para analizar los riesgos este proceso ayuda a identificar controles apropiados para
derivados del uso de tecnologías de la información y reducir o eliminar el riesgo durante el proceso de mitigación de
comunicaciones (TIC). riesgos, el segundo paso de la gestión de riesgos, que implica
3. Ayudar a descubrir y planificar el tratamiento oportuno para priorizar, evaluar e implementar los controles de reducción de
mantener los riesgos bajo control Indirectos. riesgos recomendados en el proceso de evaluación de riesgos.
4. Preparar a la Organización para procesos de evaluación, Esta guía proporciona una base para el desarrollo de un
auditoría, certificación o acreditación, según corresponda programa eficaz de gestión de riesgos, que contiene tanto las
en cada caso. definiciones como la orientación práctica necesaria para
evaluar y mitigar los riesgos identificados en los sistemas de TI
F. OCTAVE a lo largo de su ciclo de vida de desarrollo del sistema
“Operationally Critical Threat, Asset, and Vulnerability (SDLC). El objetivo final es ayudar a las organizaciones a
Evaluation” Metodología de Análisis y Gestión de Riesgos gestionar mejor los riesgos de misión relacionados con TI. Las
desarrollada por el CERT; es un marco para identificar y organizaciones pueden optar por ampliar o abreviar los
gestionar riesgos de seguridad de la información. Define un procesos integrales y los pasos sugeridos en esta guía y
método de evaluación integral que permite a una organización adaptarlos al entorno de su sitio para gestionar riesgos de
identificar los activos de información que son importantes para misión relacionados con TI. Además, esta guía brinda
la misión de la organización, las amenazas a esos activos y las información sobre la selección de controles de seguridad
vulnerabilidades que pueden exponer esos activos a las rentables. Estos controles se pueden usar para mitigar el riesgo
amenazas. Al reunir los activos de información, las amenazas y para una mejor protección de la información de misión crítica
las vulnerabilidades, la organización puede comenzar a y los sistemas de TI que procesan, almacenan y transportan
comprender qué información está en riesgo. Con este esta información. El tercer paso en el proceso es la evaluación
entendimiento, la organización puede diseñar e implementar y evaluación continua. En la mayoría de las organizaciones,
una estrategia de protección para reducir la exposición al Los sistemas de TI se expandirán y actualizarán
riesgo general de sus activos de información [11]. continuamente, sus componentes cambiarán y sus aplicaciones
Funciona alrededor de tres fases diferentes: de software serán reemplazadas o actualizadas con versiones
 Creación de un perfil de amenazas basado en activos más nuevas. Además, se producirán cambios de personal y es
Esto implica la identificación y selección de diferentes probable que las políticas de seguridad cambien con el tiempo.
activos críticos y los requisitos de seguridad para cada uno Estos cambios significan que aparecerán nuevos riesgos y que
de ellos. Se crea un perfil de amenaza para todos los los riesgos previamente mitigados pueden volver a ser una
activos identificados. preocupación. Por lo tanto, el proceso de gestión de riesgos
 Identificación de las vulnerabilidades de la está en curso y evolucionando.
infraestructura  SP 800-53: Para Análisis de Riesgos y control de la
Esta fase implica la identificación de las rutas de acceso a seguridad.
la red, la clasificación de los componentes de tecnología Controles de seguridad recomendados para sistemas de
relacionados con los activos críticos y la medida en que información en organizaciones [14]. Su revisión 5 eliminará la
esos componentes son seguros contra las vulnerabilidades palabra "federal" y "sistemas de información" para indicar que
y ataques de la red. estas regulaciones se pueden aplicar a todas las organizaciones,
 Desarrollar una estrategia de seguridad y un plan no solo a las federales, y a todos los sistemas, no solo a los
En base a los datos recopilados en las fases anteriores, sistemas de información. El primer borrador público se publicó
se crea un plan formal para abordar los riesgos el 15 de agosto de 2017. Actualmente está previsto publicar un
asociados con cada activo crítico. borrador final en octubre de 2018, con la fecha de publicación
final ahora programada para diciembre de 2018. Según el
G. NIST Centro de recursos de seguridad informática NIST (CSRC),
El NIST (National Institute of Standards and Technology de cambios importantes a la publicación incluyen:
EEUU), ha publicado varios documentos interesantes Hacer que los controles de seguridad y privacidad se basen
relacionados con el Análisis de Riesgos de los cuales se han más en los resultados al cambiar la estructura de los controles;
seleccionado las publicaciones más importantes como lo son Integración completa de los controles de privacidad en el
[12] [13]: catálogo de control de seguridad, creando un conjunto
consolidado y unificado de controles para sistemas y
organizaciones;
 SP 800-30: Guía de Gestión de Riesgos de los Sistemas de
Separar el proceso de selección de control de los controles
Tecnología de la Información.
reales, permitiendo así que los controles sean utilizados por
La gestión de riesgos es el proceso de identificación de riesgos,
diferentes comunidades de interés, incluidos ingenieros de
evaluación de riesgos y adopción de medidas para reducir los
sistemas, desarrolladores de software, arquitectos
riesgos a un nivel aceptable. Las organizaciones utilizan la
empresariales; y dueños de misiones / negocios;
evaluación de riesgos, el primer paso en la metodología de
Eliminar el sistema de información de términos y reemplazarlo
gestión de riesgos, para determinar el alcance de la amenaza
con el sistema de términos para que los controles se puedan
potencial, las vulnerabilidades y el riesgo asociado con un
aplicar a cualquier tipo de sistema, incluidos, por ejemplo,
sistema de tecnología de la información (TI). El resultado de
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 9

sistemas de propósito general, sistemas ciberfísicos, sistemas necesarios para la certificación de un Sistema de Gestión de
de control industrial / de procesos y dispositivos de IoT; Seguridad de la Información, bajo las normas ISO 27001 e
Desestimar el enfoque federal de la publicación para fomentar ISO 27002. [15]
un mayor uso por parte de las organizaciones no federales; La aplicación GxSGSI le ayudará a:
Promover la integración con diferentes enfoques y léxicos de  Establecer un método sistemático y repetible para analizar
gestión de riesgos y ciberseguridad, incluido el Marco de los riesgos que afectan a los activos de su empresa.
seguridad cibernética;  Identificar y planificar las medidas necesarias para la gestión
Aclaración de la relación entre seguridad y privacidad para de riesgos.
mejorar la selección de los controles necesarios para abordar  Preparar a la organización para los procesos de evaluación,
todo el alcance de los riesgos de seguridad y privacidad; y auditoría, certificación o acreditación, según cada caso.
Incorporación de nuevos controles del estado de la práctica Sus principales características son:
basados en inteligencia de amenazas y datos de ataques  Ha sido diseñado para automatizar, agilizar y realizar por
empíricos, incluidos los controles para fortalecer la completo el análisis de riesgos de seguridad de una
ciberseguridad y la gobernanza y la responsabilidad de la organización.
privacidad.  Su versatilidad de configuración le permite trabajar con
 SP 800-39: Gestión de Riesgos de los Sistemas de multitud de revisiones.
Información desde la perspectiva de una organización.  Es multiempresa.
El propósito de la Publicación especial 800-39 es brindar  Reduce el tiempo y de captura de datos hasta en un 80%
orientación para un programa integrado a nivel de toda la  Genera todos los informes requeridos en una auditoría de
organización para administrar el riesgo de seguridad de la certificación ISO 27001 en cuestión de minutos.
información para las operaciones de la organización (es decir,  Las empresas desarrolladoras han recibido la certificación
misión, funciones, imagen y reputación), activos en Seguridad de la Información bajo la UNE 71502:2004
organizacionales, individuos, otras organizaciones y la Nación e ISO 27001 (SI-0016/06 y SI-0019-06).
resultante de la operación y uso de los sistemas de información
 No es necesario un alto nivel de cualificación en seguridad
federales. La Publicación especial 800-39 proporciona un
para poder gestionar el programa.
enfoque estructurado pero flexible para administrar riesgos de
 Proporciona una base sólida para diseñar cualquier plan de
seguridad de la información intencionalmente de amplia base,
continuidad ante desastres.
con los detalles específicos de evaluar, responder y monitorear
el riesgo de forma continua proporcionados por otros
estándares y pautas de seguridad de NIST. La orientación B. R- BOX
proporcionada en esta publicación no pretende reemplazar o R-Box es una herramienta desarrollada por Khutech orientada
subsumir otras actividades, programas, procesos relacionados a la Gestión de la Seguridad de la Información. R-Box permite
con el riesgo, o enfoques que las organizaciones han alinear la seguridad de la información con el negocio, por
implementado o tienen la intención de implementar abordando medio del análisis y gestión de riesgos, el análisis de
áreas de gestión de riesgos cubiertas por otra legislación, cumplimiento de diferentes normativas, la gestión de la
directivas, políticas, iniciativas programáticas o requisitos de continuidad de negocios, etc. [16]
misión / negocio. La funcionalidad de R-Box se construye mediante la
composición de una serie de módulos, que aportan diferentes
VII. HERRAMIENTAS COMERCIALES prestaciones según las necesidades de cada organización o
Existen varias herramientas en el mercado con las que se puede proyecto. La solución incluye metodologías internacionales
apoyar a la hora de evaluar los riesgos, principalmente en el tales como MAGERIT, ISO 27005, NIST 800-53, etc.
proceso de evaluación de los mismos. Una vez terminado este
proceso se debe documentar toda la información recabada para C. SECITOR
su análisis posterior. La herramienta que debemos seleccionar Es una aplicación destinada a la gestión integral de la
debe contener al menos un módulo de recolección de datos, de Seguridad de la Información. Admite varios marcos de control
análisis de los mismos y otro de reportes. La importancia de un simultáneos y le permite mantener una perfecta vinculación
buen análisis y una buena presentación de los datos analizados entre todos los demás elementos. Gestione a la vez la familia
nos llevarán a una efectiva interpretación de la situación actual ISO 27000, el Esquema Nacional de Seguridad, la LOPD, la
de los riesgos y, por ende, la selección de los controles que norma SP800, por ejemplo, y cualquier otro marco sea o no de
debemos implementar será la más acertada en el proceso de su invención [17].
selección, ahorrando costos en productos y costos de operación Está hecha por expertos y responsables de seguridad, y
además del ahorro de tiempo. orientada a sus necesidades: la gestión sencilla, pero completa,
de un SGSI. La aplicación le permite establecer, entre otras
A. GxSGSI cosas:
Es una solución completa de gestión del análisis de riesgos,  Un modelo de objetivos de control, controles, salvaguardas
que permite la identificación y valoración de las amenazas, e indicadores completamente monitorizable;
vulnerabilidades, e impactos; el cálculo del riesgo intrínseco y personalizado, o basado en algunas de las normas más
residual; la adopción de las contramedidas y los controles, reconocidas y utilizadas.
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 10

 Un sistema de gestión de activos relacionados en forma de TI; y muchos otros. La solución de gestión de riesgos de
CMDB, con especial atención a sus vulnerabilidades y SoftExpert soporta la gestión de riesgos desde el inicio al fin
características más importantes según su tipo. Y si éstos con una herramienta robusta y completamente integrada con
son datos, permita a SECITOR gestionar por usted los otras funciones de GRC (Gobernanza, Riesgos y
requerimientos de LOPD y presentar los correspondientes Conformidad), incluyendo a la conformidad reglamentaria y a
ficheros ante la Agencia Española de Protección de Datos la auditoría interna, garantizando que las organizaciones
 La gestión de las amenazas y salvaguardas que les afectan, puedan establecer el proceso de gestión de riesgos de forma
tanto lógicas como físicas en base a su geo amplia, con bajo costo y óptima eficiencia.
posicionamiento. El SoftExpert Riesgo contempla los recursos clave para la
 La realización de análisis de riesgo en base a ISO 27005 e gestión de riesgos, como representaciones visuales de los
impacto en negocio. Los métodos de cálculo y los riesgos, métodos de evaluación personalizables, proceso de
escenarios de ataque son completamente parametrizables. evaluación basado en workflow, gestión de tests y controles,
 La gestión de proyectos de mejora del sistema, su evolución garantizando una gestión con visibilidad por toda la
y la gestión de las auditorías y hallazgos. organización. Es importante decir que los requisitos, conceptos
SECITOR incorpora un motor de reporting, importación y y métodos aplicados en el sistema atienden a todas las
exportación inteligente que permite, desde emitir informes demandas exigidas por los principales estándares de mercado y
personalizables en PDF, hasta importar tablas contenidas en metodologías internacionales, como ISO 31000 y framework
mensajes de correo; pasando por la exportación e importación COSO.
de datos de otros sistemas o formatos de forma inteligente.
F. Citicus ONE
D. ROSI Citicus ONE brinda un enfoque probado y galardonado para
Calculador del Retorno sobre la Inversión en Seguridad administrar el riesgo de la información, el riesgo del proveedor
(ROSI). ¿Alguna vez le ha sucedido que le dijeran que sus y otras áreas clave de riesgo operacional en toda su empresa
medidas de seguridad son demasiado costosas? ¿O le resulta [19]. Este poderoso software de administración de riesgos y
muy difícil explicarle a la dirección cuáles serían las cumplimiento de normas basado en la web de Citicus ONE
consecuencias si ocurriera un incidente? Probar que merece la brinda la gama completa de funcionalidades que necesita para:
pena invertir en seguridad es una tarea ardua, pero nuestro  Medir el nivel de riesgo que representan los activos, las
calculador del Retorno sobre la Inversión en Seguridad (ROSI) entidades, los procesos y / o las actividades de las que
le puede ayudar [18]. Es completamente gratuito. depende su empresa, incluidos los sistemas / datos de
La definición de Retorno sobre la Inversión en Seguridad es la información en papel o TI, sitios, proveedores y otras
siguiente: partes externas; Citicus ONE le permite medir y
ROSI = mitigación del riesgo monetario – costo del control. administrar todas las áreas clave de riesgo operacional
Por lo tanto, se determina que una inversión en seguridad es  Gestionar el riesgo que plantean hasta el nivel que su alta
rentable si el efecto de mitigación del riesgo es mayor que los dirección o comité de riesgos determine que es aceptable
costos estimados. A partir de esa definición, detallamos a (es decir, que refleje su apetito por el riesgo);
continuación cómo nuestro calculador realiza el análisis del  Lograr el cumplimiento de la gama completa de políticas,
Retorno sobre la Inversión en Seguridad: normas y reglamentos que se aplican.
 Primero calcula el costo de un incidente tomando en cuenta El sistema es neutral con respecto a los estándares que emplea
todos los costos involucrados en el caso que se produjera (siempre que cubran todas las áreas de control que se sabe que
un incidente y la probabilidad de ocurrencia del mismo. son críticas). Por lo tanto, puede admitir cualquier estándar
 Luego calcula el costo de la(s) medida(s) o control(es) de empleado por su organización. Para facilitar el despliegue,
seguridad y el nivel al que disminuiría el riesgo de este Citicus ONE viene precargado con una serie de estándares de
incidente gracias a esas acciones. práctica ampliamente reconocidos que incluyen:
 El resultado final es el cálculo de si la ganancia (la  ISO 27001/2
disminución del riesgo) es mayor que la inversión  Estándar de Buenas Prácticas ISF
necesaria (medidas o controles de seguridad).  OWASP Top 10 y ASVS
 Cloud Security Alliance CAIQ
E. SoftExpert Riesgo  Regulaciones de privacidad GDPR
El SoftExpert Riesgo contempla todos los aspectos del proceso  Estándar de seguridad de datos de la industria de tarjetas de
de gestión de riesgos, desde la identificación inicial del riesgo, pago (PCI / DSS)
pasando por la evaluación y análisis, hasta la mitigación y el  Cyber Essentials
monitoreo, administrando los incidentes y garantizando la
ejecución de las acciones y la debida comunicación. El G. ISOTools
software se adecúa en varios departamentos de la organización, Es una herramienta que permite a las organizaciones la
lo que significa que la gestión de riesgo automáticamente implantación, mantenimiento y mejora continua de sus
estará presente en los proyectos, procesos y estrategias de la Sistemas de Gestión. Esta aplicación puede ser utilizada
empresa; en el desarrollo de productos; medio ambiente, salud indistintamente por organismos de la administración pública,
y seguridad; en las prácticas de gobernanza; en la gestión de
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 11

universidades (públicas y privadas), centros de enseñanza, De esta forma cada una de las metodologías anteriormente
fundaciones, grandes corporaciones y empresas de todos los expuestas ofrece un método sistematizado para identificar y
sectores [20]. analizar los riesgos, además de planificar las medidas
ISOTools es un proyecto global orientado a ofrecer soluciones necesarias para reducirlos y brindan también herramientas que
integrales en las áreas de gestión de personas, procesos y facilitan su análisis, previniendo vulnerabilidades que puedan
estrategia, que generen valor para nuestros clientes, en el afectar la información y los recursos que se gestionan.
marco de la excelencia y la mejora continua. Damos soporte a
los procesos de diseño, despliegue, implementación, revisión y REFERENCIAS
mejora de los sistemas y modelos de gestión en las [1] Instituto Nacional De Ciberseguridad De España.
organizaciones, proporcionando herramientas sencillas, ágiles “Análisis del riesgo en 6 pasos”,
e innovadoras orientadas a mejorar la eficiencia y eficacia y a https://www.incibe.es/protege-tu-empresa/blog/analisis-
aumentar la satisfacción de las partes interesadas. riesgos-pasos-sencillo, 2017.
ISOTools ISO 27001: La gestión de la Seguridad de la [2] Coggle. “Mapa Mental Análisis De Riesgos”,
Información, más ágil que nunca. Identifique las https://coggle.it/diagram/We1HNniayQABc6Em/t/an%C3
vulnerabilidades y amenazas de los procesos y activos de su %A1lisis-de-riesgo-inform%C3%A1tico, 2017.
organización mediante una matriz de uso intuitivo. Establezca [3] M. Gallegos. “Integrando riesgo de TI con riesgo
metodologías para la evaluación del riesgo según el modelo operacional”,
que más convenga. Automatice el proceso de Gestión de http://www.magazcitum.com.mx/?p=3171#.W3GjXHmZ
Incidentes de Seguridad de la Información, de forma que pueda KM8, 2015.
gestionar todo el ciclo de vida desde el registro, la [4] Advisera. “Qué es norma ISO 27001”,
clasificación, la comunicación a partes interesadas, el análisis https://advisera.com/27001academy/es/que-es-iso-27001/,
causal, la definición de planes de acción, hasta la verificación y 2018.
evaluación de eficacia de las acciones tomadas. El Anexo A de [5] International Organization for Standardization. “ISO/EIC
ISO 27001 establece una serie de controles de seguridad que se 2018”,
listan en la Declaración de Aplicabilidad (SoA). Gestione de https://www.sis.se/api/document/preview/80005503, 2018.
forma ágil todos los controles necesarios y la justificación de [6] PCI Security Standards Council LLC “Industria de
inclusiones / exclusiones. Tarjetas de Pago (PCI)”,
http://es.pcisecuritystandards.org/_onelink_/pcisecurity/en
VIII. CONCLUSIÓN 2es/minisite/en/docs/pci_dss_v2-0.pdf, 2010.
El escenario en el que hoy desarrollan sus actividades las [7] K. White, L Greiner “What is ITIL? Your guide to the IT
organizaciones presentan múltiples amenazas de características Infrastructure Library”,
cambiantes, por lo que si estas organizaciones quieren ser https://www.cio.com/article/2439501/itil/infrastructure-it-
competitivas debe contar con sistemas, recursos y plataformas infrastructure-library-itil-definition-and-solutions.html,
TIC ágiles y con un alto nivel de disponibilidad, esta exigencia 2017.
hace que se deba en algunos casos migrar a sistemas [8] Grupo Empresarial CCTI. “¿Sabías qué?(COBIT)”,
tecnológicos más complejos, o mejor optimizados por lo que https://www.ccti.com.co/index.php/blog/191-sabias-que-
brindar soluciones que aporten mayor velocidad de respuesta a cobit, 2018.
la organización tiene sus costos asociado pero también sus [9] ICONTEC, “Norma Técnica Colombiana NTC-ISO
riesgos. 31000, Gestión del Riesgo, Principios y Directrices”,
Lo cierto es que el riesgo en las organizaciones aparece desde Instituto Colombiano de Normas Técnicas y Certificación,
el momento en que inician sus actividades. A lo largo de su Bogotá, febrero 2016.
existencia podrán identificarse y reducirse, pero nunca se [10] ManagementMania. “CRAMM (CCTA Risk Analysis and
eliminarán en su totalidad. Es por ello que puede afirmarse que Management Method)”,
las organizaciones se encuentran siempre en riesgo, en mayor o https://managementmania.com/en/cramm-ccta-risk-
menor medida, cuando aprovechan los beneficios de las analysis-and-management-method, 2016.
tecnologías de la información. [11] Techopedia Inc. “Operationally Critical Threat, Asset and
Es en este punto que los modelos de análisis de riesgos en los Vulnerability Evaluation (OCTAVE)”,
sistemas de información brindan a las organizaciones una serie https://www.techopedia.com/definition/21133/operationall
de actividades definidas y organizadas metodológicamente, y-critical-threat-asset-and-vulnerability-evaluation-octave,
para ayudar a estas a reconocer no sólo los niveles de riesgo 2018.
que pudiesen tener, sino también las implicaciones sobre los [12] National Institute of Standards and Technology (NIST).
activos organizacionales que su ocurrencia pudiese ocasionar. “Risk Management Guide for Information Technology
Las metodologías ITIL, COBIT 5, ISO3100:2018, CRAMM, Systems”, https://csrc.nist.gov/publications/detail/sp/800-
MAGERIT, OCTAVE poseen sus propias características y se 30/archive/2002-07-01, 2012.
complementan entre sí, lo que les permite, a su vez, combinar [13] Generalitat Valenciana. “Manuales y Metodologías de
otros enfoques que hacen los procesos de análisis y gestión de Seguridad”,
los riesgos más robustos y eficientes. https://www.csirtcv.gva.es/es/paginas/informaci%C3%B3
n-t%C3%A9cnica.html, 2018.
Universidad Piloto de Colombia. Numpaque, Edwin. Análisis De Riesgos Informáticos. 12

[14] Wikimedia Foundation, Inc. “NIST Special Publication

800-53”,
https://en.wikipedia.org/wiki/NIST_Special_Publication_8
00-53, 2018.
[15] SIGEA, Sistemas de Protección de la Información,
“GxSGSI para Análisis y Evaluación de Riesgos”,
https://www.sigea.es/gxsgsi-analisis-de-riesgos7, 2012.
[16] Khutech. “Software de Gestión de la información ”,
https://www.khutech.com.ar/productos.html, 2016.
[17] SECITOR. “Bienvenidos a la gestión fácil del riesgo”,
http://www.secitor.com/sec01.htm, 2018.
[18] Advisera. “Calculador del Retorno sobre la Inversión en
Seguridad (ROSI)”,
https://advisera.com/27001academy/es/herramientas/rosi/,
2018.
[19] Citicus. “Introducing Citicus ONE”,
https://www.citicus.com/Our-Software, 2018.
[20] ISOTools Org. “Software ISO 27001”,
https://www.isotools.org/software/riesgos-y-seguridad/iso-
27001, 2018.

Autor
Edwin Orlando Numpaque Pineda. Ingeniero de
Telecomunicaciones egresado de la Universidad Piloto de
Colombia. Actualmente estudiante de la Especialización en
Seguridad Informática de la Universidad Piloto de Colombia
en la ciudad de Bogotá D.C.