Metodologías y herramientas de gestión y

análisis de riesgos
[2.1] Metodologías de gestión y análisis de riesgos

[2.2] Técnicas y procedimientos

[2.3] Herramientas de gestión y análisis de riesgos

 CIBERSEGURIDAD

2.1. Metodologías de gestión y análisis de riesgos

A la hora de abordar un proceso de gestión y análisis de riesgos es necesario elegir una

metodología y una herramienta que la soporte.

La metodología que se escoja debe ser objetiva, fiable, medible y replicable, además
debe permitir la medición continua y estar soportada por una herramienta de gestión.

Sus resultados deben ser entendibles por la dirección y permitir dar respuesta a
cuestiones como las siguientes:

¿Cuál es el nivel de riesgo al que va a estar expuesta una organización al poner en

producción una nueva aplicación que da soporte a una función de negocio vital para
la organización?
¿Cómo aumenta el nivel de riesgo en el momento que cae una de las aplicaciones, tal
y como reflejan las alarmas de los sistemas de monitorización?
¿El nivel de riesgo al que está expuesto una organización es el adecuado de acuerdo al
sector de mercado al que pertenece la organización?
¿Cómo se recalcula el riesgo cuando es descubierta una nueva amenaza?

A continuación, se describen algunas de las metodologías de gestión de riesgos

existentes en el mercado.

Edem Terraza Huaman

 CIBERSEGURIDAD

Gestión de riesgos en COBIT

«Control Objectives for Information and Related Technologies», es una guía de

mejores prácticas que proporciona un marco integral que ayuda a las Organizaciones
a lograr su metas y entregar valor mediante un gobierno y una administración efectiva
de la TI de la Organización. COBIT (desarrollado por ISACA - Information Systems Audit
and Control Association) actualmente en su versión 5, es el sucesor del modelo de
procesos de COBIT 4.1 e integra también los modelos de procesos de Risk IT y Val IT.
En esta versión de COBIT, se distingue entre gobierno y gestión en el contexto de la
empresa, la diferencia entre los tipos de procesos se encuentra en los objetivos:

Procesos de Gobierno—Los procesos de gobierno tratan de los objetivos de

gobierno de las partes interesadas – entrega de valor, optimización del riesgo y de
recursos – e incluye prácticas y actividades orientadas a evaluar opciones estratégicas,
proporcionando la dirección de TI y supervisando la salida (Evaluar, orientar y
supervisar [EDM]). Existen 5 procesos de gobierno:
o 01 Asegurar el establecimiento y mantenimiento del marco de referencia de
gobierno.
o 02 Asegurar la entrega de beneficios.
o 03 Asegurar la optimización del riesgo.
o 04 Asegurar la optimización de recursos.
o 05 Asegurar la transparencia hacia las partes interesadas.

El proceso de gobierno de TI que trata el riesgo es el 03, a través del cual se asegura
que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y
comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las
TI es identificado y gestionado. Esto permite que los riesgos relacionados con TI de
la empresa no excedan ni el apetito ni la toleración de riesgo, que el impacto de los
riesgos de TI en el valor de la empresa se identifica y se gestiona y que el potencial
fallo en el cumplimiento se reduce al mínimo.

Los objetivos de gestión establecidos en el proceso EDM03 son los siguientes:

o EDM03.01 Evaluar la gestión de riesgos. Examinar y evaluar continuamente

el efecto del riesgo sobre el uso actual y futuro de las TI en la empresa. Considerar
si el apetito de riesgo de la empresa es apropiado y el riesgo sobre el valor de la
empresa relacionado con el uso de TI es identificado y

Edem Terraza Huaman

 CIBERSEGURIDAD

gestionado.

o EDM03.02 Orientar la gestión de riesgos. Orientar el establecimiento de

prácticas de gestión de riesgos para proporcionar una seguridad razonable de que
son apropiadas para asegurar que riesgo TI actual no excede el apetito de riesgo del
Consejo.

o EDM03.03 Supervisar la gestión de riesgos. Supervisar los objetivos y las

métricas clave de los procesos de gestión de riesgo y establecer cómo las
desviaciones o los problemas serán identificados, seguidos e informados para su
resolución.

Procesos de Gestión—En línea con la definición de gestión, las prácticas y

actividades de los procesos de gestión cubren las áreas de responsabilidad de TI de
la empresa y tienen que proporcionar cobertura de TI extremo a extremo. Los
procesos de gestión se organizan alrededor de procesos que se agrupan en cuatro
áreas:
o Alinear, Planificar y Organizar (APO)
o Construir, Adquirir e Implementar (BAI)
o Entregar y dar Servicio y Soporte (DSS)
o Supervisar, Evaluar y valorar (MEA)

La gestión de riesgos en COBIT queda enmarcada en el proceso APO (dentro de Alinear,

Planificar y Organizar), que corresponde a «Gestionar el riesgo». En este proceso se
establecen los principios para identificar, evaluar y reducir los riesgos relacionados con
TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección
ejecutiva de la empresa. El propósito de este proceso es integrar la gestión de riesgos
empresariales relacionados con TI con la gestión de riesgos empresarial general (ERM)
y equilibrar los costes y beneficios de gestionar riesgos empresariales relacionados con
TI.

Los objetivos de gestión establecidos en el proceso APO12 son los siguientes:

APO12.01. Recopilar datos. Identificar y recopilar datos relevantes para realizar

una identificación, análisis y notificación efectiva de riesgos relacionados con TI.

APO12.02. Analizar el riesgo. Desarrollar información útil para soportar las

decisiones relacionadas con el riesgo que tomen en cuenta la relevancia para el

Edem Terraza Huaman

 CIBERSEGURIDAD

negocio de los factores de riesgo.

APO12.03 Mantener un perfil de riesgo. Mantener un inventario del riesgo

conocido y atributos de riesgo (incluyendo frecuencia esperada, impacto potencial y
respuestas) y de otros recursos, capacidades y actividades de control actuales
relacionados.

APO12.04 Expresar el riesgo. Proporcionar información sobre el estado actual de

exposiciones y oportunidades relacionadas con TI de una forma oportuna a todas las
partes interesadas necesarias para una respuesta apropiada.

APO12.05 Definir un portafolio de acciones para la gestión de riesgos.

Gestionar las oportunidades para reducir el riesgo a un nivel aceptable como un
portafolio.

APO12.06 Responder al riesgo. Responder de una forma oportuna con medidas

efectivas que limiten la magnitud de pérdida por eventos relacionados con TI.

Gestión de riesgos en CMMI

CMMI (Capability Maturity Model Integration v.1.3) es un modelo de procesos que

contiene las mejores prácticas de la industria para el desarrollo, mantenimiento,
adquisición y operación de productos y servicios.

En el área de gestión integrada del proyecto de CMM anteriormente se contemplaba la

Gestión de Riesgos, que ahora es considerada como un área de proceso independiente,
el Área Gestión del Riesgo (RSKM). Esta área es una evolución de las prácticas
básicas de manejo de riesgo incluidas en Planificación del Proyecto (PP) y Monitoreo y
Control del Proyecto (PMC) pertenecientes al nivel 2. Aquí se plantea un enfoque
sistemático para planear, anticipar y mitigar riesgos para proactivamente minimizar su
impacto en el proyecto. Sus objetivos y prácticas específicas son las siguientes:

Objetivos Específicos
o Preparar la gestión del riesgo
- Se establece y mantiene una estrategia para identificar, analizar y mitigar riesgos.
o Identificar y Analizar Riesgos
- Los riesgos son identificados y analizados para determinar su importancia relativa.
o Mitigar Riesgos
- Los riesgos son manejados y mitigados para reducir su impacto negativo en los

Edem Terraza Huaman

 CIBERSEGURIDAD

objetivos.

Prácticas Específicas
o Determinar Fuentes y Categorías de Riesgo
- Definir Parámetros de Riesgo, y establecer una Estrategia para la Gestión del
Riesgo
o Identificar y Analizar Riesgos
- Evaluar, Categorizar y Priorizar Riesgos
o Desarrollar Planes de Mitigación de Riesgo
- Implementar Planes de Mitigación de Riesgo

Los objetivos de esta área se satisfacen mediante la puesta en marcha de mecanismos

formales para manejar los riesgos. En este nivel no basta simplemente con
identificarlos y administrarlos en la medida que ocurran, aquí será necesario establecer
un proceso para definir y ejecutar una estrategia para gestionarlos.

Por ejemplo, podría establecerse un esquema de clasificación de riesgos y

posibles respuestas basado en experiencias anteriores. También podrían identificarse
probabilidades de ocurrencia y magnitudes de impacto en función deaspectos técnicos y
de gestión, basados en lo ocurrido en proyectos previos.

En resumen, una organización de nivel 3 debe proponerse tener un enfoque mucho más
formal para identificar riesgos y clasificarlos, y para planear posibles acciones de
mitigación y contingencia.

Gestión de riesgos en SPICE

SPICE (Software Process Improvement and Capability Determination) es un conjunto de

estándares que se utilizan para evaluar y mejorar (mejora continua) de los procesos
de desarrollo software mediante una serie de prácticas base y prácticas genéricas. SPICE
se corresponde con el estándar ISO 15504 y la norma ISO/IEC 12207.

SPICE queda organizado en una serie de etapas: preparación, recolección o recogida

de datos, recopilación y análisis de documentos relevantes, y análisis de datos. Se
establecen un conjunto de niveles de capacidad, que varían desde el Nivel 0 para
Proceso Incompleto hasta el Nivel 5 para Proceso Optimizado.

Edem Terraza Huaman

 CIBERSEGURIDAD

Una parte fundamental reside en la dimensión de los datos, que contiene los procesos
que se han de evaluar, se corresponden con los procesos del ciclo de vida del
software, y se agrupan en categorías, en función del tipo de actividad al cual se aplican:

CUS: Cliente-Proveedor ENG: Ingeniería

SUP: Soporte
MAN: Gestión
ORG: Organización

SPICE establece que la gestión de riesgos consiste en identificar nuevos riesgos, trabajar
para mitigarlos de forma efectiva y evaluar el éxito de los esfuerzos de mitigación.

Las prácticas relacionadas con este proceso se encuentran dentro de la categoría de

gestión — MAN, y quedan subdivididas como sigue:

MAN.5.1 Establecer el alcance de la gestión de riesgos MAN.5.2 Definir estrategias

de gestión de riesgos
MAN.5.3 Identificar riesgos
MAN.5.4 Analizar riesgos
MAN.5.5 Definir y realizar acciones de tratamiento de riesgos
MAN.5.6 Monitorizar los riesgos
MAN.5.7 Tomar acciones preventivas o correctivas

Metodología OCTAVE: Aspectos más importantes

El método OCTAVE (Operationally Critical Thereat, Asset and Vulnerability

Evaluation) es un modelo para el desarrollo de metodologías de análisis de riesgos
creado inicialmente por la universidad Carnegie-Mellon, que consiste en un conjunto de
criterios a partir de los cuales desarrollar las consiguientes metodologías.

Los 3 argumentos básicos del método son los principios, los atributos y los
resultados, lo que permite que cualquier metodología que aplique estos principios se
considere compatible con el método OCTAVE. El Software Engineering Institute ha
publicado tres metodologías basadas en OCTAVE, que son las siguientes:

OCTAVE se trata de la metodología original y está destinada a grandes

organizaciones.

Edem Terraza Huaman

 CIBERSEGURIDAD

OCTAVE-S basada en la anterior pero destinada a pequeñas organizaciones.

OCTAVE Allegro para realizar un análisis de riesgos basado en los activos de
información.

OCTAVE permite la identificación y evaluación de los riesgos que afectan la seguridad

dentro de una organización así como la comprensión del manejo de los recursos.
En otras palabras, es una técnica de planificación y consultoría estratégica en seguridad
basada en el riesgo como punto clave.

Metodología Magerit

MAGERIT es una metodología de carácter público, desarrollada por el Ministerio de

Administraciones Públicas (MAP) http://administracionelectronica.gob.es Para su
utilización no se requiere la autorización previa del MAP. Magerit interesa a todos
aquellos que trabajan con información y los sistemas informáticos que la tratan.

MAGERIT implementa el proceso de gestión de riesgos dentro de un marco de

trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos
derivados del uso de tecnologías de la información.

A su vez, en al ámbito de MAGERIT se define la seguridad como la capacidad de las redes

o de los sistemas de información para resistir, con un determinado nivel de confianza,
los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de
los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
A la hora de llevar a cabo un proyecto de análisis y gestión de riesgos de acuerdo con
MAGERIT se debe proceder con las siguientes 3 fases:

Planificación del proyecto.

Análisis de riesgos.
Gestión de riesgos.

A continuación, vamos a introducir la segunda y tercera de estas fases, que son las que
tratan directamente con los riesgos asociados a proyectos.

La metodología MAGERIT define «riesgo» como la estimación del grado de exposición

a una amenaza para que se materialice sobre uno o más activos causando daños o
perjuicios a la organización. Es decir, el riesgo indica lo que le podría

Edem Terraza Huaman

 CIBERSEGURIDAD

pasar a los activos si no se protegieran adecuadamente. Es importante saber qué

características son de interés en cada activo, así como saber en qué medida estas
características están en peligro, es decir, analizar el sistema, o en otras palabras, el
análisis de riesgos.

El análisis de riesgos es el proceso sistemático para estimar la magnitud de los riesgos

a que está expuesta una organización. Mediante este análisis se trata de saber lo que
podría pasar, para que esta información ayude a las personas adecuadas en la toma de
decisiones.

Además del análisis de riesgos, encontramos el tratamiento de los riesgos, que sería
el proceso destinado a modificar el riesgo. Entre las formas de tratar un riesgo
encontramos por ejemplo evitar las circunstancias que lo provocan, reducir las
posibilidades de que ocurra, acotar sus consecuencias, compartirlo con otra
organización (típicamente contratando un servicio o un seguro de cobertura).

Ambas actividades, análisis y tratamiento se combinan en el proceso denominado

gestión de riesgos de la metodología MAGERIT.

ISO/IEC 27005:2011

ISO/IEC 27005:2011 Information technology —Security techniques— Information security

risk management publicada en 2011, se apoya en los conceptos generales especificados en
la ISO/IEC 27001 del ciclo PDCA y está diseñada para proporcionar las directrices en la
ardua tarea del enfoque basado en riesgos, describe detalladamente la evaluación y
tratamiento de riesgos. Esta norma no es una metodología de análisis de riesgos, sino que
describe las fases recomendadas de análisis incluyendo el establecimiento, evaluación,
tratamiento, aceptación, comunicación, monitorización y revisión del riesgo.
No es una norma certificable y se engloba dentro de las normas que ayudan a la puesta en
marcha del SGSI.

Edem Terraza Huaman

 CIBERSEGURIDAD

Dependiendo del alcance y los objetivos de la gestión del riesgo, se pueden aplicar
diferentes enfoques. El enfoque también puede ser diferente para cada iteración.

Debe seleccionarse o desarrollarse un enfoque de gestión del riesgo adecuado que

aborde criterios básicos tales como:

Criterios de evaluación de riesgos.

Criterios de impacto.
Criterios de aceptación de riesgos.

Además, la organización debe evaluar si dispone de los recursos necesarios para:

Realizar la evaluación de riesgos y establecer un plan de tratamiento de riesgos.

Definir e implementar políticas y procedimientos, incluyendo la implementación de
los controles seleccionados.
Monitorizar los controles.
Supervisar el proceso de gestión del riesgo de seguridad de la información.

Edem Terraza Huaman

 CIBERSEGURIDAD

ISO-27005, plantea dos aproximaciones a la apreciación de riesgos de seguridad de la

información, de alto nivel o detallada.

Aproximación de alto nivel

La apreciación de alto nivel permite definir las prioridades y la cronología de las acciones.
Por diversas razones, como puede ser la presupuestaria, puede que no sea posible
implementar simultáneamente todos los controles necesarios y en el proceso de
tratamiento del riesgo sólo se puedan contemplar los riesgos más críticos que pueden ser
abordados a través del proceso de tratamiento de riesgo.

Además, puede ser prematuro iniciar una apreciación detallada de los riesgos si seprevé
que su tratamiento no va a ser inmediato y se realizará dentro de uno o dos años.

Edem Terraza Huaman

 CIBERSEGURIDAD

Para este caso, la apreciación de riesgos puede iniciarse con una apreciación de alto nivel
de las consecuencias, en lugar de comenzar con un análisis sistemático de los activos, de
las amenazas, de las vulnerabilidades y de las consecuencias.

Otra razón para utilizar una aproximación de alto nivel es facilitar la sincronización de la
apreciación de riesgos con otros planes relacionados con la gestión del cambio y la
continuidad del negocio

Características del proceso iterativo de apreciación de riesgos de alto nivel:

Proporciona una visión más global de la organización y sus sistemas de información,

considerando los aspectos tecnológicos como independientes de las cuestiones
empresariales. De esta forma, el análisis del contexto se centra más en el entorno
empresarial y operacional que en los elementos tecnológicos.
Permite contemplar una lista más limitada de amenazas y vulnerabilidades agrupadas
en dominios definidos o, para agilizar el proceso, puede centrarse en escenarios de
riesgo o ataque en lugar de sus elementos.
Los riesgos contemplados en una apreciación de riesgo de alto nivel son con
frecuencia riesgos más generales que los riesgos específicos identificados.
No suele contemplar de los detalles tecnológicos.
Es más apropiada para proporcionar controles organizativos y no técnicos, así como
aspectos de gestión de los controles técnicos o salvaguardas técnicas clave y comunes,
como son las copias de seguridad y antivirus.

Las ventajas de una apreciación de riesgos con un enfoque de alto nivel son:

Es probable que utilización de un enfoque inicial sencillo facilite la aceptación del

programa de apreciación de riesgos.
Facilita la elaboración de una visión estratégica del programa de seguridad de la
información de la organización.
Ayuda a que los recursos, tanto económicos, como de otro tipo, se utilicen donde
sean más útiles, y a priorizar la protección de los sistemas más críticos.

Un análisis de riesgos inicial de alto nivel es menos preciso, y su única desventaja esque
algunos procesos o sistemas pueden no ser identificados lo que requerirá una segunda
apreciación de riesgo detallada.

Edem Terraza Huaman

 CIBERSEGURIDAD

Esto puede evitarse si hay información adecuada sobre todos los aspectos de la
organización, su información y sus sistemas, incluida la información que se haya
obtenido de la evaluación de incidentes de seguridad de la información.

La apreciación del riesgo de alto nivel considera el valor de los activos de información
de la organización y los riesgos a los que están expuestos desde un punto de vista de
negocio.

Varios factores ayudan a determinar si la apreciación de alto nivel es adecuada para tratar
los riesgos, estos factores pueden incluir lo siguiente:

Los objetivos de negocio que necesitan varios activos de información para ser
alcanzados.
El grado de dependencia de los negocios de la organización de los activos de
información.
El nivel de inversión en cada activo de información, en términos de desarrollo,
mantenimiento o sustitución del activo.
Los activos de información, para los cuales la organización asigna directamente un
valor.

Cuando se evalúan estos factores se facilita la decisión. Si los objetivos que dependen de
un activo son extremadamente importantes para el desarrollo del negocio de una
organización o si los activos están expuesto a un alto riesgo, debe realizarse una segunda
iteración, con una apreciación detallada del riesgo para el activo de información en
concreto (o parte del mismo).

Una regla general de aplicación es que si la falta de seguridad de la información puede

causar consecuencias adversas significativas para la organización, sus procesos de
negocios o sus activos, entonces es necesaria una segunda iteración de la apreciación del
riesgo de iteración, a un nivel más detallado, para identificar riesgos potenciales.

Apreciación detallada del riesgo de seguridad de la información

El proceso detallado de apreciación del riesgo de seguridad de la información contempla

la identificación y valoración en profundidad de los activos, la evaluación de las
amenazas a la que están expuestas dichos activos y la evaluación de sus

Edem Terraza Huaman

 CIBERSEGURIDAD

vulnerabilidades. Los resultados de estas actividades se utilizan para evaluar los riesgos
y posteriormente identificar el tratamiento de riesgo adecuado.

La apreciación detallada del riesgo suele requerir mucho tiempo, esfuerzo y experiencia,
por lo que puede ser más adecuado para sistemas de información de alto riesgo.

La última etapa de la apreciación detallada de los riesgos de seguridad de la información

consiste en evaluar los riesgos generales.

Las consecuencias pueden evaluarse de varias maneras, incluyendo el uso de métodos de

valoración cuantitativos, cuantitativos o de una combinación de ambos.

Para evaluar la probabilidad de materialización de una amenaza, debe establecerse el

marco temporal sobre el cual el activo tiene valor o es necesario proteger. La probabilidad
de que se materialice una amenaza específica depende de:

El atractivo del bien o el posible impacto.

La facilidad de obtención de beneficio por parte del atacante de la explotación de la
vulnerabilidad.
Las capacidades técnicas del atacante.
La facilidad de explotación de la vulnerabilidad.

Muchos métodos hacen uso de tablas y combinan medidas subjetivas y empíricas. Es

importante que la organización utilice un método con el que se sienta cómoda, en él
que tenga confianza y que produzca resultados repetibles.

2.2. Técnicas y procedimientos

Modelado de amenazas

El modelado de amenazas es una técnica de ingeniería cuyo objetivo es ayudar a

identificar y planificar de forma correcta la mejor manera de disminuir los riesgos a los
que está expuesta una organización.

Edem Terraza Huaman

 CIBERSEGURIDAD

El análisis y modelado de amenazas trata, por lo tanto, de un proceso que nos va a

facilitar la comprensión de las diferentes amenazas a las que está expuesta una
organización o una instalación y cuya finalidad es preparar las medidas de
protección adecuadas. Se trata de identificar las amenazas y definir un plan de acción
adecuado que nos permita mitigar el riesgo a unos niveles aceptables, de una forma
efectiva y en base a unos costes razonables.

La realización de un modelado de amenazas contribuye a identificar y cumplir con

los objetivos de seguridad específicos de cada entorno y facilita la priorización de tareas
de protección en base al nivel de riesgo resultante.

Hay que tener presente que un solo ataque que explote con éxito una única
vulnerabilidad de nuestro sistema de protección puede llegar a comprometer la
seguridad de toda la organización. Por ello, y para conseguir que el modelado de
amenazas resulte efectivo, es importante tener en cuenta que se debe realizar como un
proceso sistemático, en continua actualización. De este modo se conseguirá
identificar y mitigar el mayor número posible de amenazas y vulnerabilidades.

Un adecuado modelado de amenazas debería ser capaz de:

» Identificar amenazas potenciales, así como las condiciones necesarias para que un
ataque se logre llevar a cabo con éxito.
» Facilitar la identificación de las condiciones o aquellas vulnerabilidades que, una vez
eliminadas o contrarrestadas, afectan a la probabilidad de materialización de
múltiples amenazas.
» Proporcionar información relevante sobre cuáles serían las salvaguardas más eficaces
para contrarrestar un posible ataque y/o mitigar los efectos de la presencia de una
vulnerabilidad en nuestra organización.
» Proveer información sobre cómo las medidas actuales previenen la materialización de
las amenazas.
» Transmitir a la dirección la importancia de los riesgos a los que está expuesta en
términos de impacto de negocio.
» Proporcionar una estrategia sólida para evitar posibles brechas de seguridad.
» Facilitar la comunicación y promover una mejor concienciación sobre la importancia
de la seguridad.

Edem Terraza Huaman

 CIBERSEGURIDAD

Las tareas a realizar para una adecuada modelización de las amenazas son las
siguientes:

» Recopilación de información
o Localizar la documentación escrita.
o Realizar entrevistas a las partes implicadas.
o Realizar una inspección general del sistema.

» Análisis y brainstorming
o Identificación de los activos críticos: Asegurar una inversión correcta en tiempo y
recursos es el objetivo último de nuestro modelado. Por lo que resulta vital
determinar cuáles son los activos que no pueden ser comprometidos sin acarrear
consecuencias negativas para el negocio. Utilizando anotaciones, dibujos y un
listado de componentes, el grupo de trabajo describe el sistema y se crea una lista
de los activos, identificando los más críticos.

» Creación de un borrador del modelado

o Descomponer el sistema de seguridad.
o Identificación de interdependencias con otros sistemas.
o Identificación de posibles puntos de ataque y amenazas.
o Clasificación y priorización de las amenazas.
o Definición de las contramedidas.

» Revisión y actualización
o Corrección y mejora del modelado a medida que el sistema de seguridad
evoluciona y se toman decisiones sobre la tecnología utilizada.
o Revisión de las amenazas, las vulnerabilidades y las salvaguardas antes de su
implementación.
o Ajuste del modelado en función de los resultados obtenidos tras una revisión del
sistema de seguridad.

» Implementación de las medidas correctivas

o En función de la magnitud del riesgo y el coste asociado a su mitigación, se
implementan las diferentes salvaguardas.

Con la elaboración de un modelado de amenazas conseguiremos, no sólo obtener un

marco de referencia que nos permitirá focalizar mejor la inversión en seguridad, sino

Edem Terraza Huaman

 CIBERSEGURIDAD

que al mismo tiempo lograremos disminuir de manera más efectiva la probabilidad de

materialización de posibles amenazas y mitigar el impacto en caso de un ataque tenga
éxito y se materialicen dichas amenazas.

Una de las técnicas de modelado de amenazas son los árboles de ataque.

Arboles de ataque

Los árboles de ataque son una herramienta gráfica para analizar y presentar qué
puede pasar y cómo lo prevenimos. Capturan de alguna forma el razonamiento del
atacante y permiten anticiparse a lo que pudiera ocurrir.

Aunque es difícil construir árboles exhaustivos en el primer intento, sí son un buen

soporte para ir incorporando la experiencia acumulada y recopilar en cada momento el
mejor conocimiento del que se dispone.

De esta forma es posible realizar simulaciones:

» ¿Qué pasaría si introducimos nuevos activos?

» ¿Qué pasaría si cambiamos las salvaguardas?
» ¿Cómo lo enfocaría un atacante de perfil x?
» ……

Los árboles de ataque constituyen una documentación extremadamente valiosa

para un atacante, especialmente cuando incorporan el estado actual de salvaguardas,
pues facilitan en extremo su trabajo. Por ello son un documento clasificado y deben
tomarse todas las medidas de seguridad necesarias para garantizar su confidencialidad.

La construcción del árbol es compleja y laboriosa. Además, requiere de un gran

conocimiento del objeto de protección, de sus vulnerabilidades, de las amenazas a las que
está expuesto, de las capacidades de los atacantes potenciales, así como de las
características y efectividad de las medidas de seguridad o salvaguardas aplicables.

Marcar el objetivo final requiere un gran conocimiento de dónde está el valor en la

Organización y cuál puede ser el objetivo del atacante respecto del mismo.

Edem Terraza Huaman

 CIBERSEGURIDAD

El enriquecimiento del árbol de ataque en forma de ramas debería ser exhaustivo; pero
está limitado por la imaginación del analista; si el atacante es “más listo” tiene una
oportunidad para utilizar una vía imprevista.

La experiencia permite ir enriqueciendo el árbol con nuevos ataques realmente

perpetrados o simplemente detectados en el perímetro con un buen sistema de
monitorización.

Para construir el árbol hay que utilizar, sin olvidar otras posibles fuentes:

» La experiencia propia o ajena en situaciones similares.

» Grupos de reflexión (brain storming meetings) en los que de forma informal se van
exponiendo cosas que posiblemente pensarían los atacantes; estas sesiones suelen
generar mucho material en bruto que hay que organizar y estructurar para ser
utilizado como herramienta de análisis.
» Herramientas de simulación que sugieran ataques en base a la naturaleza de los activos
presentes en el objeto de protección.
» Información de inteligencia.
» …

Si se dispone de un modelo de valor, es posible utilizar éste para determinar la naturaleza

de los activos y las dependencias entre ellos, de forma que podemos elaborar el árbol de
ataques en base al conocimiento de los activos inferiores que constituyen la vía de ataque
para alcanzar los activos superiores en los que suele residir el valor parala Organización.

2.3. Herramientas de gestión y análisis de riesgos

El proceso de análisis y gestión del riesgo, cuyo planteamiento en principio es robusto,

se vuelve lento e ineficaz cuando no permite dar respuesta a las necesidades de la
organización.

Las herramientas deben aportar la rapidez y eficacia necesaria para dar respuesta a las
necesidades de información para la toma de decisiones.

Edem Terraza Huaman

 CIBERSEGURIDAD

La forma más sencilla de dar respuestas a las necesidades de información para la toma
de decisiones en relación a la gestión del riesgo es desarrollando o adquiriendo una
herramienta capaz de facilitar y realizar de forma repetitiva (automatizada) algunas de
las tareas del proceso de análisis y gestión de riesgos, especialmente aquellas que
manualmente son más costosas.

La herramienta de gestión y análisis de riesgos que se escoja debe dar respuesta a las
necesidades específicas de la organización, y si es el caso del proyecto. Y se debe tener
entre otras las siguientes capacidades:

» Debe ser fácilmente parametrizable.

» Debe ser integrable con:
o Actuarios de seguridad
o Sistemas de inventarios de activos
o Sistemas de monitorización
o Cuadros de mando
o …

» Debe estar alineada con el mercado.

» Debe permitir el benchmarking con el mercado.
» Debe permitir la utilización de líneas base.
» Debe ayudar a la certificación en base a los estándares internacionales.
» …..

Acuity STREAM

Acuity STREAM es un paquete software completo, configurable, sencillo de utilizar que

automatiza los complejos procesos necesarios para gestionar el cumplimiento
normativo y realizar una gestión de riesgos eficaz.

Acuity STREAM es una herramienta multiusuario, basada en roles, con un

repositorio central, que puede ser utilizada en tiempo real por los gestores de riesgo, los
analistas de riesgo, los responsables del negocio y los auditores internos. También está
disponible una versión monousuario para su utilización por parte de pequeñas
organizaciones y consultores.

Edem Terraza Huaman

 CIBERSEGURIDAD

Callio

Callio Secura 17799 es un producto de Callio technologies. Es una herramienta software

basada en web con soporte de base de datos que permite al usuario realizarlas tareas
necesarias para implementar, gestionar y certificar un sistema de gestión de
seguridad de información. Gestiona el cuerpo documental del SGSI, y permite la
personalización tanto de la base de datos como de los formatos de los documentos.

Casis

CASIS es un producto de Aprico consultores. Es una herramienta de Análisis Avanzado de

Pistas de Auditoría de Seguridad, lo que significa que su finalidad es la recopilación de
datos de archivos de registro a través de múltiples sistemas, la correlación de estos
datos y producción de alertas de seguridad basadas en las reglas definidas por el usuario.
Permite al usuario definir nuevas fuentes de datos, así como especificar las alertas.

Cobra

Cobra es una herramienta software que permite que las organizaciones realicen por sí
mismas el análisis de riesgos. Evalúa la importancia relativa de todas las amenazas
y vulnerabilidades, generando las recomendaciones y soluciones adecuadas. Vincula
automáticamente los riesgos identificados con las posibles consecuencias para cada
unidad de negocio. También permite que ciertos aspectos o unidades de negocio puedan
ser evaluados de forma independiente, sin realizar ninguna asociación de impacto. Cobra
dispone de cuatro bases de datos de conocimientos que pueden personalizarse según las
necesidades de la organización.

CounterMeasures

La herramienta CounterMeasures ha sido desarrollada por Allion, para llevar a cabo

tareas de análisis y gestión del riesgo de acuerdo a las normas de la serie NIST-800 y de
la MB Circular A-130.

Esta herramienta permite normalizar los criterios de evaluación, utilizando una lista
de comprobación de evaluación que puede ser parametrizada por el usuario,
proporcionando criterios de evaluación objetiva para determinar el grado de

Edem Terraza Huaman

 CIBERSEGURIDAD

seguridad y el cumplimiento de las normas.

Cramm

La herramienta Cramm proporciona una manera fácil de implementar el método

Cramm, desarrollado por Insight Consulting. Soporta completamente las tres etapas
del método por medio de una aproximación ordenada y etapa a etapa. La
herramienta está disponible en tres versiones: CRAMM experto, CRAMM express y BS
7799 revisión.

EAR/PILAR

La herramienta EAR/PILAR da soporte al análisis y la gestión de riesgos de un sistema

de información siguiendo la metodología Magerit.

Está diseñada para apoyar el proceso de gestión de riesgo a lo largo de períodos

prolongados.
ESR/PILAR dispone de una biblioteca estándar de propósito general, y es capaz de
realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:

ISO/IEC 27002:2005—Código de buenas prácticas para la Gestión de la Seguridad

de la Información.
SP800-53:2006—Recommended Security Controls for Federal Information Systems.
Criterios de Seguridad, Normalización y Conservación del Consejo Superior de
Informática y para el Impulso de la Administración Electrónica.

EBIOS

EBIOS es una herramienta de software desarrollada por L’Agence Nationale de la

Sécurité des Systèmes d’information (ANSSI) del gobierno francés con el objeto de dar
soporte a la metodología de análisis de riesgos EBIOS. La herramienta ayuda al usuario
a realizar todas las tareas del análisis y gestión de riesgos de acuerdo a las cinco fases
de la metodología EBIOS es una herramienta de código abierto y libre.

ECIJA | SGSI

ECIJA| SGSI es una herramienta web, desarrollada por ECIJA Holdings &
Investments, S.L. que permite la gestión integral de la seguridad de la información

Edem Terraza Huaman

 CIBERSEGURIDAD

basado en un ciclo de mejora continua (PDCA) y el seguimiento centralizado de las

obligaciones que establecen los estándares internacionales, como la ISO 27001 e ISO
27002 en la gestión de la misma. ECIJA | SGSI ayuda a medir el grado de eficacia de los
sistemas de gestión de la seguridad de la información, valorando la seguridad de la
información mediante los impactos producidos en base a los términos de
confidencialidad, integridad y disponibilidad de la misma.

La herramienta ECIJA | SGSI integra las siguientes funcionalidades:

Inventario de procesos y activos.

Análisis y gestión de riesgos.
Gestión de los controles de seguridad.
Gestión de proyectos y acciones de un SGSI.
Gestión de auditorías.
Gestión de incidencias de seguridad.
Gestión de la mejora continua y métricas de seguridad.
Gestión documental del marco normativo.
Cuadro de mandos integral.

GlobalSGSI

GlobalSGSI es una herramienta de gestión integral de la norma ISO 27001,

desarrollada por Audisec Seguridad de la Información S.L., que cumple con el ciclo
completo de la misma, desde las fases de inicio y planificación del proyecto hasta el
mantenimiento, pasando por el análisis de riesgos y el cuadro de mandos.

GlobalSGSI es una herramienta que permite gestionar de forma global el ciclo completo
de la norma ISO 27001. Ayuda a acompañar el proyecto de realización de un SGSI desde
su nacimiento. Apoyándolo y asistiéndolo durante todo el proyecto. Permite gestionar el
SGSI de forma muy intuitiva, con ayudas a la implantación, propuesta de controles
automática, etc. Gracias a su módulo documental permite tener centralizada y controlada
toda la documentación del sistema de gestión. Sus principales funcionalidades son:

Definición de alcance.
Análisis diferencial.
Inventario de activos.
Análisis de riesgos (con ayudas a la hora de definir amenazas y vulnerabilidades).
Gestión de riesgos (con ayudas a la hora de identificar controles de seguridad).

Edem Terraza Huaman

 CIBERSEGURIDAD

Declaración de aplicabilidad.
Cuadro de mandos.
Auditorías, incidencias, soportes, usuarios, etc.
Documentación centralizada
Gráficos, informes y plantillas para una mejor visualización.

GStool

GStool ha sido desarrollado por Bundesamt für Sicherheit in der Informationstechnik

(BSI) del gobierno alemán para dar soporte a los usuarios del Manual Básico de
Protección de las TI (IT Baseline Protection Manual). Después de recabar la
información necesaria, los usuarios tienen a su disposición un sistema de generación de
informes, que les permiten analizar la información y generar informes tanto en formato
papel como en formato electrónico.

Krio

KRiO, desarrollada por SIGEA, es una herramienta GRC, que permite evaluar, analizar,
tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales,
medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles
de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización.

Destinada a gestionar por completo un proceso de identificación, evaluación y

tratamiento del riesgo según la metodología establecida en la norma internacional ISO
31000, permite además realizar el seguimiento de objetivos y niveles de compliance de
los diversos sistemas de gestión implantados en una entidad.

ISAMM

La herramienta ISAMM (Information Security Assessment and Monitoring Method) está

alineada con el conjunto de controles de las mejores prácticas en seguridad de la
información de la ISO/IEC 27002. Un análisis y gestión de riesgo según ISAMM está
compuesto por tres partes principales:

Determinación del alcance

Análisis de riesgo

Edem Terraza Huaman

 CIBERSEGURIDAD

Informes

MIGRA Tool

MIGRA Tool es una herramienta web basada en la metodología MIGRA (GmbH

Metodología per la Gestione del Rischio Aziendale). Está diseñada para apoyar al
responsable de seguridad durante todo el proceso de diseñar y mantener un sistema de
protección eficaz y eficiente, que contemple tanto la seguridad de los activos de
información como la de los bienes materiales. De hecho, si se adopta, se convierte en el
núcleo del sistema de gestión de la seguridad de la organización, que proporciona la
información necesaria para la toma de decisiones, así como para poder justificar dichas
decisiones y comprender sus consecuencias.

Módulo Risk Manager

La herramienta Módulo Risk Manager permite a las organizaciones optimizar y

automatizar los procesos que son necesarios en los proyectos internos de análisis de
riesgos y cumplimiento normativo, al recopilar y centralizar los datos relativos a todos
los activos de una organización, tanto de los activos tecnológicos, como de software y
hardware, como de los activos no tecnológicos, como son las personas, procesos y
las infraestructuras físicas, para evaluar el riesgo y asegurar el cumplimiento.

La herramienta permite la generación rápida y completa de informes. Módulo

Risk Manager cuenta con bases de conocimiento parar ayudar a las organizaciones a
evaluar y lograr el cumplimiento delaciones como: SOX, PCI, ISO 27001, HIPAA, COBIT,
ITIL, FISAP, FISMA, 800-53a NIST, 199 FIPS, un 130 y DOD 8500.2 y se
puede personalizar para que permita evaluar el cumplimiento de normas adicionales.

Octave Automated Tool

La herramienta Octave Automated Tool ha sido desarrollada por Advanced Technology

Institute (ATI) con el fin de ayudar a los usuarios a la hora de utilizar las metodologías
Octave y Octave-S. La herramienta proporciona ayuda al usuario durante la fase de
recopilación de datos, organiza la información recopilada y finalmente produce los
informes de resultado del estudio.

Edem Terraza Huaman

 CIBERSEGURIDAD

Proteus

La herramienta Proteus Enterprise desarrollada por Information Governance Ltd., es

una herramienta de Gobierno Corporativo basada en web, que da soporte completo a
los procesos de cumplimiento normativo, seguridad de la información y
gestión de riesgos. La herramienta Proteus Enterprise permite a las organizaciones
implementar los controles de cualquier norma o reglamento, por ejemplo: BS ISO/IEC
17799 y BS ISO/IEC 27001, BS 25999, SOX, CobiT, PCI DSS etc.

Risicare

Risicare da soporte a las tareas de análisis y gestión de riesgos de información

contempladas en la metodología MEHARI, las opciones y las fórmulas que utiliza han
sido desarrolladas por CLUSIF. Las funciones de Risicare simulan condiciones
reales y permiten evaluar múltiples escenarios o situaciones de amenaza. Como
resultado la herramienta Risicare permite tanto el modelado de escenarios de riesgo,
como la gestión de un SGSI, utilizando un conjunto de controles que incluye los de la
norma ISO 27002.

RiskWatch

La herramienta RiskWatch para Sistemas de Información e ISO 27002 es la solución que

ha desarrollado la empresa RiskWatch para dar soporte a la gestión de riesgos de
seguridad de la información. Esta herramienta realiza evaluaciones de
vulnerabilidad y análisis de riesgo de los sistemas de información de forma automática.
Las bases de datos de conocimientos que se proporcionan junto con el producto son
completamente personalizables por el usuario, lo que permite crear nuevas categorías de
activos, de amenazas, de vulnerabilidad, de salvaguardas. La herramienta incluye
controles tanto de la ISO 27002 como de NIST 800-26.

Risk Management Studio

La herramienta Risk Management Studio está diseñada para dar soporte a empresas,
instituciones y órganos de gobierno local que deban garantizar la seguridad de la
información. La herramienta se basa en las normas ISO/IEC 27002:2005 y
ISO/IEC 27001:2005.

Edem Terraza Huaman

 CIBERSEGURIDAD

La herramienta Risk Management:

Ayuda a identificar los activos.

Ayuda a evaluar los activos.
Proporcionas una lista predefinida de categorías de activos y amenazas.
Sugiere posibles amenazas a los activos seleccionados.
Incluye las cláusulas del estándar ISO/IEC 27001.
Sugiere controles adecuados para protegerse contra los riesgos de seguridad.

Ayuda a obtener el nivel de seguridad de la información deseado de conformidad

con la norma ISO/IEC 27001:
o Proporciona diversos informes.
o Acelera los procesos de análisis de riesgos.
o Facilita el proceso de certificación.
o Facilita la gestión del riesgo.

S2GSI

La herramienta S2GSI ha sido diseñada por el Grupo SIA para dar soporte a la gestión
eficiente de las principales actividades derivadas de la implantación de un SGSI.
S2GSI facilita el proceso de implantación y el mantenimiento del SGSI, con
independencia del ámbito de la organización. Entre las principales funciones y
características de S2GSI se encuentran:

Soporte a la gestión del estado de cumplimiento de controles, pudiendo controlar en

todo momento el estado actual de conformidad.
Posibilidad de gestionar diferentes marcos normativos de forma simultánea:
ISO/IEC 27001, ISO/IEC 27002, RD 1720/2007, PCI DSS, ENS (RD 3/2010), etc.
Definición de procedimientos de verificación personalizados.
Mantenimiento de información histórica, con posibilidad de ver la mejora en el
tiempo del estado de la seguridad.
Definición y seguimiento de proyectos, agrupando controles y comprobando en cado
momento el nivel de implantación.
Gestión de indicadores de eficacia del SGSI.
Registro de auditorías y seguimiento de las no conformidades y acciones correctivas.
Apoyo a la gestión documental.
Importación automática de datos.

Edem Terraza Huaman

 CIBERSEGURIDAD

Presentación de informes textuales y gráficos.

Securia SGSI

Securia SGSI es una herramienta integral, desarrollada bajo licencia GNU por el Centro
Europeo de Empresas e Innovación de Albacete, que cubre el proceso automático de
implantación, puesta en funcionamiento, mantenimiento y mejora continua
de un Sistema de Gestión de Seguridad de la Información (SGSI) según la
norma internacional ISO 27001.
Securia SGSI dispone de los siguientes módulos funcionales:

Módulo de gestión de incidencias y no conformidades: mediante la gestión

de las incidencias, la entidad se asegura de que los eventos y los puntos débiles de la
seguridad de la información, asociados con los sistemas de información, se comunican
de forma que sea posible emprender su resolución mediante la aplicación de acciones
correctivas.

Módulo de mejora continua: gestión de acciones preventivas y de mejora que se

aplican al sistema de seguridad para adaptarlo a nuevas situaciones y en previsión
de posibles fallos, situaciones de riesgo, etc.

Módulo de gestión documental: los documentos exigidos por el SGSI deben

estar protegidos y controlados (4.3.2. ISO 27001).

Módulo de análisis y gestión de riesgos:

o Inventario de procesos y activos
o Valoración del impacto de activos
o Identificación de amenazas y vulnerabilidades
o Cálculo del riesgo
o Decisión de criterios de aceptación
o Toma de decisiones de actuación
o Generación y seguimiento de las contramedidas
o Evaluación del nivel de seguridad