Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)

Cuadernos de ISACA Madrid.
Nuevos Modelos de Análisis de Riesgo en Ciberseguridad
© 2018. ISACA, Capítulo de Madrid (183) Página 1
NUEVOS MODELOS DE ANÁLISIS DE
RIESGO EN CIBERSEGURIDAD

Reconocimientos
El Capítulo de Madrid de ISACA (183) desea reconocer la labor de:
Coordinación
Erik de Pablo Martínez, CISA, CRISC
Editor
Carlos Luque de la Torre, CISA
Coautores
Dr. José Ramón Coz Fernández CISA, CISM, CGEIT, CRISC, COBIT
Alberto P. Urosa Herrero, CISA
Ana González Monzón, CISA
Erik de Pablo Martínez, CISA, CRISC
Eduardo Ballesteros Martínez, ITIL Expert v3, CISA, CRISC, CGEIT
Revisores expertos
Juan José Rabaneda Bueno
José Antonio López García
Fernando Carvajal
Junta Directiva del Capítulo de Madrid de ISACA (183)
Ricardo Barrasa García, CISA, CISM, Presidente
Antonio Ramos, CISM, CISA, CRISC, Vicepresidente
José Miguel Cardona, CISA, CISM, CRISC, Secretario
Joaquín Castillón, CGEIT, CISA, Tesorero
Óscar Martín, CGEIT, CISM, CISA, CRISC, Vocal
Israel Hernández Ortiz, CGEIT, CISM, CISA, CRISC, Secretario
Enrique Turillo Mateos, CISM, CISA, CRISC, Vocal
José Antonio Rubio Blanco, CISA, CRISC, Vocal
Pablo Blanco Iñigo, CISA, CISM, Vocal
Erik de Pablo Martínez, CISA, CRISC, Vocal

Índice de Contenidos
1 Introducción ....................................................................................................................... 5
2 Importancia del análisis de riesgos en la función de auditoría ........................ 6
2.1 Catálogo de Amenazas............................................................................................................................................................. 6
2.1.1 Amenazas Relacionadas con el Software........................................................................................................................7
2.1.2 Amenazas Relacionadas con el Ser Humano................................................................................................................7
2.1.3 Amenazas Relacionadas con el Buen Gobierno de la Empresa.........................................................................8
2.1.4 Amenazas relacionadas con la Internet de las Cosas (IoT) ..................................................................................8
2.2 Riesgos .............................................................................................................................................................................................. 9
2.3 Riesgos de la Función de Auditoría.................................................................................................................................... 9
3 Necesidad de relacionar Riesgo y Negocio ............................................................ 9
4 Necesidad de relacionar Riesgo, Negocio y Auditoria ...................................... 10
5 Análisis de metodologías de riesgo en entornos de amenazas variables ... 10
5.1 IRAM2...............................................................................................................................................................................................10
5.2 NIST...................................................................................................................................................................................................11
5.3 MAGERIT........................................................................................................................................................................................12
5.4 ISO 31000.......................................................................................................................................................................................13
5.5 ISO 27000.......................................................................................................................................................................................14
5.6 OCTAVE Allegro.........................................................................................................................................................................16
6 Comparativa de fases entre las distintas metodologías expuestas. ............. 17
7 La Ciberseguridad como amenaza creciente y sus problemas de
modelización ................................................................................................................... 20
8 Modelización del impacto............................................................................................ 20
9 Modelización de la probabilidad ............................................................................... 21
10 Modelización de los controles ................................................................................... 21
11 Modelos dinámicos como respuesta........................................................................ 22
12 Qué debe recoger un modelo de riesgos de Ciberseguridad .......................... 22
12.1 Carencias del proceso tradicional de Gestión de Riesgos...................................................................................22
12.1.1 Carencias en la Actualización del Modelo. ...................................................................................................................23
12.1.2 Dificultades para Modelizar Riesgos de Activos Tecnológicos.........................................................................23
12.1.3 Dificultades para Estimar el Impacto Económico en Riesgos Tecnológicos. ...........................................24
12.2 El nuevo concepto de Análisis Dinámico de Riesgos (ADR)..............................................................................25
12.3 La Gestión Dinámica de Riesgos (GDR).......................................................................................................................26
12.4 Modelo de Análisis Dinámico de Riesgos .....................................................................................................................27
12.5 Inclusión de Activos no físicos.............................................................................................................................................30
12.6 Principales retos para la implementación de una GDR.........................................................................................30
13 Modelo propuesto de Análisis Dinámico de Riesgos ......................................... 31
13.1 Fase 1: De riesgos contextualizados...............................................................................................................................31
13.2 Fase 2: Estimación económica de los pre-riesgos y riesgos..............................................................................33
13.3 Fase 3: Cálculo final del riesgo...........................................................................................................................................34
13.4 Fase 4: Tratamiento del riesgo ...........................................................................................................................................35
14 Referencias ..................................................................................................................... 36

Índice de Tablas
Tabla 1: Dominios ISO 27001 ...............................................................................................15
Índice de Ilustraciones
Ilustración 1: Triángulo del Fraude ..........................................................................................8
Ilustración 2: Fases IRAM 2 ..................................................................................................11
Ilustración 3: Gestión del Riesgo...........................................................................................15
Ilustración 4: Pasos de la metodología OCTAVE ..................................................................16
Ilustración 5: Comparativa de metodologías de análisis de riesgos.......................................19
Ilustración 6: Gestión tradicional del riesgo (INCIBE) ............................................................23
Ilustración 7: Distribución de probabilidades del riesgo. Fuente: Wikipedia...........................24
Ilustración 8: Probabilidad de riesgos residuales. Fuente: Elaboración propia. .....................25
Ilustración 9: Funciones de un análisis dinámico de riesgos..................................................26
Ilustración 10: Fuente propia “Modelo de gestión dinámica de riesgos (GDR)” .....................29
Ilustración 11: Fragmento de la ilustración 10 .......................................................................32
Ilustración 12: Fragmento de la ilustración 10 .......................................................................32
Ilustración 13: Fuente propia “Simulación Riesgos Estáticos” ...............................................33
Ilustración 13: Fuente propia “Simulación Riesgos Dinámicos” .............................................34

1 Introduccion
Este documento pretende analizar la situación a la que se enfrentan las organizaciones cuando tienen
que gestionar riesgos asociados a la Ciberseguridad. Como resultado del análisis se propone un modelo de
análisis de riesgos dinámico específico para la Ciberseguridad.
Las amenazas relacionadas con las tecnologías de la información evolucionan del mismo modo que la
propia tecnología, es decir, de forma rápida y constante. La comparación entre aquellas amenazas que
preocupaban en el año 2007, y las actuales muestra que se ha producido un cambio notable. En la
actualidad las amenazas son más sofisticadas y sus objetivos más concretos. El cibercrimen se va
perfilando como un “negocio empresarial” que genera beneficios, y que está organizado. Combatirlo
implica tener, al menos, una formación y capacitación similar. El objetivo es evitar las pérdidas
económicas que se pueden llegar a ocasionar en las organizaciones.
Hace 10 años se hablaba de usuarios confiados, de virus, de ataques a las redes inalámbricas, de las
redes zombi y del phishing. Ahora además de eso, nos encontramos con otros frentes añadidos: el
ransomware, el robo de datos, ataques de denegación de servicios (DoS), nuevas amenazas sobre el
internet de las cosas (IoT), el malware de las infraestructuras críticas y la ingeniería social a través de
móviles, etc.
Teniendo presente que las amenazas clásicas siguen proporcionando buenos resultados a los
atacantes, nos encontramos con la necesidad de realizar un análisis de riesgos tecnológicos que se
diferencie del tradicional análisis de riesgos, dado que debe tener en cuenta nuevos factores:
 El análisis debe adaptarse en base a la naturaleza dinámica de la tecnología, para estar vivo.
 Los usuarios, empresas u organismos deben tener una visión del entorno cambiante.
 Los riesgos ocultos estadísticamente por ser poco probables, evolucionan en el tiempo y
acaban suponiendo costes elevados.
Los activos actuales ya no son estáticos. La conectividad de banda ancha permite a que amenazas se
materialicen desde cualquier parte y en cualquier momento. Las metodologías de análisis de riesgos
tradicionales que no contemplen la interconectividad de los activos y la velocidad de los cambios
tecnológicos, tendrán dificultades para cumplir con su labor, si bien siguen siendo necesarias para los
entornos IT, porque ayudan a priorizar activos y a estimar recursos necesarios en la gestión de la
seguridad de la información.
El objetivo del presente trabajo es la reflexión sobre modelos de análisis de riesgo tradicionales y el
modo de sortear las dificultades que se presentan cuando se intentan aplicar en los nuevos entornos de
los sistemas de información. En este nuevo escenario se debe incluir el riesgo de Ciberseguridad; el cual
se manifiesta como un nuevo riesgo difícil de calcular debido a su impredecible naturaleza, y a la
complejidad de conocer con antelación el alcance y el impacto. Pensemos que un incidente de seguridad,
o un ciberataque localizado en un punto concreto puede tener un efecto global y causar daños a personas
y sistemas que operan al otro lado del mundo.
El estudio comienza por centrar la importancia de estimar correctamente los riesgos en la función de
auditoría, para pasar después a describir las metodologías de análisis y tratamiento de riesgos más
relevantes que se usan actualmente, y hacer una comparativa entre ellas. El propósito es identificar las
carencias que tienen los modelos tradicionales, y las dificultades para predecir los riesgos de
Ciberseguridad y el impacto económico asociado.
El trabajo continúa con un análisis de los factores que hacen de la Ciberseguridad un entorno
diferente a la hora de aplicar modelos de análisis de riesgo. Y en base a esa información, se intenta
concluir cuales son los contenidos que debe tener un modelo de análisis y tratamiento de riesgos de
Ciberseguridad. Llegados a este punto, se analiza y se propone el modelo del análisis dinámico de riesgos,
como una posible alternativa a los modelos tradicionales para abordar de una forma más eficiente el
riesgo de Ciberseguridad.

2 Importancia del analisis de riesgos en la funcion de auditoría
Antes de entender la causa por la cual un análisis de riesgos tradicional es importante en la función de
auditoría, deberíamos unificar los conceptos relacionados: análisis, amenaza, riesgo y auditoría.
 Un “análisis” es aquella acción realizada por los seres humanos que tiende a revisar un hecho que
causa un especial interés. Esta revisión se hace desde todos los puntos de vista posibles y de una
forma más o menos exhaustiva.
 Una “amenaza” es todo aquello que aprovecha una vulnerabilidad para provocar un efecto
negativo.
 El concepto de “riesgo” descrito de forma simplista sería la posibilidad de que algo (positivo o
negativo) tenga lugar, si bien su definición según la norma ISO/IEC 73:2009 Risk Management
Vocabulary sería: “La combinación de la probabilidad de un evento y sus consecuencias”. Lo que
en términos matemáticos se puede traducir en: Riesgo = Probabilidad * Impacto.
 El concepto de “auditoría”, sin entrar en detalles, lo podemos resumir como aquel examen
realizado sobre un ámbito y un alcance determinados, por una o varias personas independientes
y cuyo objetivo es emitir una opinión competente. Esa opinión suele estar relacionada con el
grado de cumplimiento de aquello que se audita en base a unas normas o principios establecidos.
Dado que los conceptos de “análisis”, “riesgo” y “auditoría” están expuestos, pueden enlazarse
razonadamente para dar respuesta a la pregunta de ¿por qué es importante un análisis de riesgos en
auditoría?
La forma de anticiparse a las amenazas, detectar ataques y estimar los daños provocados en sistemas
de información, ha sido tradicionalmente a través de metodologías, que se basan en una valoración
subjetiva del riesgo y que está espaciada en el tiempo. Si las metodologías nos guían por el proceso de
catalogar bien todas las amenazas, valorar el riesgo asociado correctamente y relacionarlo con el negocio
de nuestra organización, lograremos tener una idea cercana de nuestros puntos débiles y por tanto una
idea de hacia dónde deben enfocarse las auditorías.
En Ciberseguridad debe tenerse en cuenta que el riesgo es mucho más dinámico, puede variar en
cuestión de horas, siendo esa la causa por la que algunos ataques se detectan a través de una
monitorización constante de la actividad de la red (ej. Internet). Cuando existe una monitorización
constante, se detectan cambios en las tendencias, patrones de comportamiento del tráfico de la red, de
modo que un ataque puede ser detectado en cuestión de minutos o de horas.
Por otro lado, el impacto de un ataque (daños de imagen, económicos, materiales o humanos)
también varía con el tiempo. Algunos impactos del pasado que fueron valorados como de nivel medio
pueden evolucionar y ser mayores en base a cambios tecnológicos o a descubrimientos de nuevas formas
de ataque que hasta el momento no se empleaban.
Una circunstancia que no debe ignorarse en Ciberseguridad es la de minusvalorar algunos riesgos con
muy poca probabilidad de ocurrencia, pero con un alto impacto. Si nuestros sistemas de información no
se modifican en cuanto a seguridad con el paso del tiempo, esos riesgos poco probables pueden
aumentar considerablemente su probabilidad y desencadenar impactos difíciles de asumir en cuestión de
pocos meses o años.
2.1 Catalogo de Amenazas
En cualquier caso, hay que empezar por tener presentes las amenazas e intentar clasificarlas, dado
que son ellas las que pueden acabar materializándose en un riesgo.

2.1.1 Amenazas Relacionadas con el Software
Deficiente control de acceso a las aplicaciones: Centrando el foco en cómo fue diseñado un sistema
informático, es posible encontrar deficiencias de la propia aplicación debido a que permita una política de
contraseñas débil que facilite los ataques por fuerza bruta. Es poco recomendable para sistemas sensibles
utilizar un único factor de autenticación (algo que se sabe: contraseña) en vez de utilizar un doble factor
(algo que se sabe y algo que se tiene: contraseña y tarjetas de coordenadas o tokens) o incluso si el
sistema lo merece un triple factor de autenticación (algo que se sabe, algo que se tiene y algo que se es:
añadiendo a lo anterior la huella digital o un escáner de retina).
Deficiente control de acceso a la red: El control incorrecto de los accesos a la red puede suponer una
de las mayores amenazas/riesgos actualmente. Un intruso (humano o de tipo software) que logra acceder
a la red sin ser descubierto puede acumular información robada y escalar privilegios de acceso durante
meses, provocando graves daños de imagen y económicos. Conviene contar con sistemas de detección y
protección de intrusos (IPS, IDS, Firewalls), además de una política de revisión de la información que estos
sistemas aportan diariamente. La cantidad y complejidad de esta información puede ser tal, que sería
necesario contar con sistemas SIEM para ayudar a los administradores a detectar correlaciones de datos y
patrones de comportamientos de acceso que resulten extraños y sospechosos.
Vulnerabilidades en los desarrollos: Motivado habitualmente por la utilización de componentes
obsoletos sobre nuestros desarrollos software o por utilizar componentes que no tienen aplicados los
últimos parches de seguridad y son candidatos a recibir un ataque desde internet. Además de lo anterior,
si nuestra organización realiza desarrollos para clientes, ha de establecer una metodología de desarrollo
seguro de software que tenga en cuenta la seguridad desde su fase inicial hasta su fase final de pruebas e
implantación.
2.1.2 Amenazas Relacionadas con el Ser Humano
Falta de formación y concienciación: Siempre se ha dicho, el factor humano es el eslabón más débil
en la cadena de la seguridad (sirva como ejemplo la ingeniería social). Siempre es un riesgo que las
compañías no mantengan a sus empleados (sean técnicos o no) con la suficiente concienciación en temas
de seguridad, puesto que eso los convierte en víctimas fáciles de engaños haciendo inútiles las costosas
medidas y sistemas de seguridad implantados.
Fugas de información: Los empleados o visitantes externos de las sedes de las organizaciones
pueden, voluntariamente o no, extraer información de la empresa que acaba en manos externas:
documentos, informes, fotografías, etc. Hay que valorar que, a través de sistemas como Dropbox,
Instagram, Google Drive, pendrives, discos externos, teléfonos móviles, tablets y muchos otros
dispositivos o sistemas es posible que se produzcan fugas de información1
.
Amenazas asociadas al fraude: El fraude existe desde el principio de los tiempos, pero se ha agravado
con la digitalización de las empresas. El uso de sistemas informáticos es un arma de doble filo: por un
lado, puede ayudar a detectar el fraude y por otro lado la mala utilización de la tecnología puede ocultarlo
y hacer que pase desapercibido durante un tiempo prolongado. Las amenazas que habitualmente facilitan
la aparición del fraude están reunidas en el llamado triángulo de Cressey:
 Motivación o Presión: La persona que comete fraude lo hace motivada o presionada por
problemas económicos familiares o domésticos, adicción al juego, las apuestas, presiones y
chantajes externos que le obligan a hacer algo que no haría en circunstancias normales.
 Oportunidad: Es decir, que exista la posibilidad de cometer el fraude sin temor a ser descu-
bierto, que el fraude de algún modo sea viable sin demasiadas complicaciones. Por ejemplo,
que no exista una segregación de funciones básica.
1
En caso de que esta amenaza se materialice en un riesgo, es posible aplicar como control algún sistema de prevención de
fuga de datos (DLP).

 Racionalidad o Auto justificación: El individuo cree que lo que hace no es tan malo. El em-
pleado defrauda porque la empresa lo ha tratado mal o porque él cree que se lo merece y
nadie le ha valorado adecuadamente, porque le pagan poco a su juicio, porque desde hace
tiempo otros lo hacen y por tanto él también puede hacerlo, etc.
Ilustración 1: Triángulo del Fraude
En resumen, el fraude eleva su probabilidad de ocurrencia cuando no se tiene información sobre la
satisfacción de los empleados a nivel profesional o incluso a nivel personal, además de no tener los
suficientes controles internos, externos y una correcta segregación de funciones.
2.1.3 Amenazas Relacionadas con el Buen Gobierno de la Empresa
Ausencia de gestión de incidentes de seguridad: Carecer de un protocolo o procedimiento claro y
completo sobre cómo hay que reaccionar ante un ciberataque, es otra de las amenazas a considerar
seriamente. La diferencia entre reaccionar en cuestión de minutos o reaccionar en un rango de horas,
puede ser la diferencia entre tener que aplicar por completo un plan de continuidad del negocio (BCP) o
no tener que aplicarlo.
Desconocimiento de los cambios legislativos: No reaccionar de forma eficiente ante los cambios
legislativos a nivel internacional o nacional suponen el riesgo de sufrir sanciones económicas importantes
y un desprestigio y daño de imagen corporativa importantes. Por ejemplo, la “General Data Protection
Regulation” GDPR que desde el 25 de mayo de 2018 puede imponer sanciones y que aún no ha sido
valorada adecuadamente por muchas empresas.
Desastres naturales, eventos dañinos o sabotajes: Los desastres naturales o intencionados en el
núcleo de una organización no ocurren con frecuencia, pero son extremadamente dañinos. Por tanto, la
ausencia de un plan de continuidad del negocio BCP en casos como estos, conlleva en numerosas
ocasiones la desaparición de la organización o la necesidad de su reconstrucción completa, incluyendo
clientes y personal.
2.1.4 Amenazas relacionadas con la Internet de las Cosas (IoT)
Internet de las cosas (IoT) es un concepto que describe la interconexión con todo tipo de dispositivos
a través de internet: sensores domésticos o industriales, dispositivos de control de flotas, relojes, pulseras
deportivas, electrodomésticos de cocina, televisores, cámaras de hoteles y centros comerciales, coches,
drones, sensores de viento y de temperatura, etc.
La tendencia actual pasa por conectarlo todo a internet, incluidos dispositivos que hasta ahora
permanecían aislados. Esto multiplica de forma exponencial la diversidad y la multiplicidad de los
dispositivos que deben controlarse y las amenazas que aparecen. La conexión de estos dispositivos, en el
caso de que no se hayan diseñado considerando los requisitos de seguridad, puede provocar el
incumplimiento de los fundamentos de la seguridad de la información que contienen (disponibilidad,
integridad, confidencialidad, autenticidad y trazabilidad).

Hardware poco robusto: El hardware de estos dispositivos suele carecer de medidas que le protejan
de los robos físicos o de la modificación de su diseño físico de circuitos, chips y conexiones. Además, suele
ser habitual que salgan al mercado con claves por defecto que están divulgadas públicamente.
Software Legacy: Algunos dispositivos conectados a internet no son de reciente creación (sensores de
temperatura y humedad de viejas centrales térmicas, por ejemplo). Se crearon hace muchos años y con la
nueva tendencia de conectar todo a internet, se han incluido como elementos controlables en remoto. El
software de muchos de estos dispositivos se diseñó hace tiempo sin tener en cuenta el factor de la
interconectividad. Por lo tanto, la seguridad no estuvo presente durante su desarrollo o SDLC (Software
Development Life Cycle). Es además un software propenso a la ingeniería inversa.
2.2 Riesgos
Como ya se ha mencionado antes: Riesgo = f(Probabilidad, Impacto). El riesgo es el resultado de
combinar la probabilidad de materialización de una amenaza (como las descritas en el apartado anterior)
con las pérdidas o daños a que ésta dé lugar. No hay certeza absoluta sobre si una amenaza acabará
inculcando un riesgo o no. Un riesgo puede ser positivo (siendo entonces una oportunidad) o algo
negativo y que hay que evitar, puesto que ninguna organización quiere que algo negativo le afecte.
Las formas en que se gestiona un riesgo se pueden resumir en un conjunto de 4 estrategias que son:
evitarlos (eliminando la causa raíz), minimizarlos (mediante controles y salvaguardas), transferirlos a
terceros (los ciberseguros o proveedores cloud) o en último lugar asumirlos si no queda otro remedio. En
el caso de querer profundizar aún más sobre cómo calcular ambos términos “Probabilidad” e “Impacto” la
cuestión se puede complicar enormemente por varias razones, algunas de las cuales serían:
 Frecuencia de actualización: Cuando se habla de tecnologías de la información, es necesario
actualizar los análisis de riesgos con mayor frecuencia. Si los riesgos no se actualizan en años,
es muy probable que podamos haber ignorado riesgos que tenían una baja probabilidad y
que ahora la tienen más alta o haber obviado riesgos surgidos con posterioridad al análisis a
causa de una nueva tecnología o simplemente tener valorados riesgos que a día de hoy ya no
representan un peligro.
 Subjetividad de cuantificación: Existe una contrastada dificultad en evitar que la subjetividad
entre a formar parte de la valoración que hacemos de la probabilidad y sobre todo del
impacto. Los seres humanos son subjetivos por naturaleza.
2.3 Riesgos de la Funcion de Auditoría
La propia actividad de auditoría tiene unos riesgos asociados:
Riesgo de control: Cuando el control aplicado por la organización no opera adecuadamente o
simplemente no se está aplicando y por tanto no se detecta correctamente la anomalía para la que fue
diseñado.
Riesgo de detección: La posibilidad de que el procedimiento del auditor no detecte algunos aspectos
y por ello pasen desapercibidas situaciones de riesgo.
Riesgo inherente: Aquel asociado a la propia naturaleza de la actividad u objeto que provoca el riesgo
y sobre el cual no se puede actuar.
3 Necesidad de relacionar Riesgo y Negocio
Parece razonable pensar que las organizaciones puedan estar afectadas por el riesgo. Después de
todo cada organización tiene planes estratégicos, tácticos y operativos con una serie de objetivos que

deben cumplirse en un plazo de tiempo determinado. Parte de estos objetivos son el fundamento de su
propia supervivencia y crecimiento.
Muchas veces los objetivos no se alcanzan debido a un riesgo que no se tuvo en cuenta o que no fue
valorado adecuadamente. Por ese motivo una organización tiene que analizar “sus riesgos”. Gracias a
estos análisis es posible comprobar que no se necesita tener en cuenta algunos riesgos típicos. Pongamos
como ejemplo una empresa que no vende productos a través de internet. Esa empresa no necesita
valorar los riesgos asociados al comercio electrónico a través de su página web.
El análisis de riesgos tradicional resultará filtrado y personalizado para esa entidad y se prestará
atención solamente a aquellos riesgos cuyo umbral sea más elevado del establecido por la propia
organización. Lo que tradicionalmente se conoce como “apetito de riesgo”.
En función de todo lo anterior, los riesgos deben estudiarse de manera conjunta para ver cómo
pueden influir unos en otros y en el negocio de la organización. Alinear el análisis de riesgos tradicional
con los objetivos del negocio empresarial, sirve de base para las auditorías que se realizan en las
organizaciones.
4 Necesidad de relacionar Riesgo, Negocio y Auditoria
La función de auditoria ayuda en la verificación de una correcta gestión de los riesgos y entre éstos
están incluidos los de gobierno de la organización. Por regla general la unidad de auditoría no puede
abarcar todas las actuaciones que serían necesarias, puesto que tiene unos recursos limitados: humanos y
materiales.
Por este motivo las unidades de auditoría utilizan el análisis de riesgos tradicional, como un medio
para enfocar el esfuerzo prioritariamente sobre aquellos riesgos que han sido cuantificados con una
mayor criticidad.
En otras palabras, la función de auditoría necesita un mapa de riesgos adecuado que debe incluir los
riesgos de las líneas de negocio de la organización. A través es este mapa se verifican los controles
establecidos para mitigar los riesgos y se comprueba la correcta implantación y efectividad de los mismos.
De todo ello la unidad de auditoría saca conclusiones, que comunica a la alta dirección.
5 Analisis de metodologías de riesgo en entornos de amenazas
variables
A continuación, vamos a efectuar un repaso de algunas de las metodologías de análisis de riesgos que
actualmente se están aplicando en el ámbito de la Ciberseguridad, donde las amenazas varían
rápidamente en el tiempo (factor dinámico).
5.1 IRAM2
IRAM2 es la última versión de la metodología para la evaluación de riesgo desarrollada por la
organización ISF (Information Security Forum), uno de los líderes mundiales en investigación y creación de
buenas prácticas de seguridad. Esta metodología se ha desarrollado a partir de la consulta a un gran
número de expertos en riesgos de la información y se basa en las últimas investigaciones de la
organización, acerca de la seguridad y del riesgo de la información.
IRAM 2 se desarrolla a través de seis fases, en cada una de las cuales se definen actividades clave para
alcanzar objetivos, y se identifican factores críticos de riesgo.

Ilustración 2: Fases IRAM 2
A. Identificación del alcance
El punto de partida de la metodología IRAM 2 es el análisis de las características de los procesos de
negocio y de la tecnología que los sustentan, que permite un perfilado del entorno, y que facilita la
identificación del alcance de la evaluación de riesgos en términos, tanto de procesos de negocio, como de
los servicios tecnológicos. El alcance de la evaluación se debe acordar por todas las partes interesadas
B. Evaluación de impacto en el negocio
En la segunda fase se acomete la identificación de la información que tiene valor para la organización,
se analiza su ciclo de vida, se determinan los activos de TI que soportan los procesos de negocio, y se
calcula el impacto de la pérdida o degradación de alguno de los atributos de la seguridad de la
información (integridad, confidencialidad, y disponibilidad). En la evaluación de impacto se tienen en
cuenta dos escenarios, (i) el realista y (ii) el caso peor.
C. Perfilado de amenazas
Esta fase se centra en el reconocimiento y clasificación de las amenazas clave dentro de un escenario
concreto. Para ello se tienen en cuenta distintos atributos de la amenaza (origen, motivación, intención,
cultura, etc.) y diversos eventos de amenaza (robo de sesión, phishing, error accidental, inundación, etc.).
D. Evaluación de vulnerabilidades
En la evaluación de vulnerabilidades se estudian las debilidades que contribuyen a la probabilidad de
que los eventos de amenaza identificados en la fase anterior tengan éxito. Los auditores determinan la
eficiencia operacional de los controles y su fortaleza.
E. Evaluación del riesgo
En esta fase se asigna la probabilidad de éxito de los eventos de amenaza dentro de un escenario
concreto de la organización; y se evalúan otros factores de riesgo como son la probabilidad residual, la
calificación de impacto residual, y la calificación de riesgo residual.
F. Tratamiento del riesgo
Finalmente, los implantadores de esta metodología exploran y estudian diferentes enfoques para
tratar los riesgos identificados en las fases anteriores; es decir, la mitigación, la transferencia, la evitación
y la aceptación. Este estudio se completa con la ejecución y validación del plan de tratamiento del riesgo.
5.2 NIST
El NIST (National Institute of Standards and Technology), es una agencia federal fundada en 1901
(llamada inicialmente NBS, National Bureau of Standards) para la Administración de Tecnología del
Departamento de Comercio de los Estados Unidos. El NIST ha dedicado una serie de publicaciones
especiales, la serie SP 800, a la seguridad de la información, y entre dichas publicaciones se encuentra la
metodología NIST SP 800-30i
, “Risk Management Guide for Information Technology Systems”, publicada
inicialmente en 2002 que provee una base para el desarrollo de la gestión del riesgo e información acerca
de los controles de seguridad, en función de la rentabilidad del negocio. Se dispone además de las
siguientes guías de la serie especial SP 800 como apoyo al análisis de riesgos:
 NIST SP 800-39, “Managing Information Security Risk: Organization, Mission, and Information
System View”.

 NIST SP 800-37 Rev. 1, “Guide for Applying the Risk Management Framework to Federal
Information Systems: A Security Life Cycle Approach”.
 NIST SP 800-53 Rev. 4, “Security and Privacy Controls for Federal Information Systems and
Organization”.
 NIST SP 800-53A Rev. 4, “Assessing Security and Privacy Controls in Federal Information
Systems and Organizations: Building Effective Assessment Plans”.
Hasta la fecha, la última revisión de la NIST 800-30 es la NIST 800-30 Rev. 1, “Guide for Conducting
Risk Assessments”, que fue publicada en el año 2012. Los conceptos y principios de la NIST SP 800-30 son
consistentes con los procesos y enfoques descritos en la ISO (International Organization for
Standardization) y la IEC (International Electrotechnical Commission).
La metodología NIST es un proceso iterativo que comprende varias etapas ejecutadas de forma
secuencial:
 Etapa 1: Preparación para la evaluación.
 Etapa 2: Llevar a cabo la evaluación.
 Etapa 3: Comunicar los resultados.
 Etapa 4: Mantenimiento de la evaluación.
Dentro de cada etapa se realizan una serie de tareas con un propósito definido, pero además se
dispone de fuentes de información que permiten desarrollar dichas tareas y que están descritas en los
apéndices siguientes:
 Apéndice D: Fuentes de amenazas.
 Apéndice E: Ocurrencia de una amenaza.
 Apéndice F: Vulnerabilidades y condiciones de predisposición.
 Apéndice G: Probabilidad de ocurrencia.
 Apéndice H: Impacto.
 Apéndice I: Determinación del riesgo.
 Apéndice J: Informar de la respuesta al riesgo.
 Apéndice K: Informes de evaluación del riesgo.
 Apéndice L: Sumario de tareas.
Todo ello conforma un compendio de elementos que permiten implementar la metodología de forma
precisa y claramente guiada.
5.3 MAGERIT
Es la metodología de Análisis de Riesgos de TI de referencia para toda la Administración Pública
Española es MAGERIT cuya versión actual es la V.3.
Esta metodología se basa en el análisis de los riesgos sobre los Activos de Información, que se
organizan en dependencias de mayor a menor importancia. Los activos más relevantes son los servicios al
ciudadano y tras ellos se encuentran aquellos activos que proporcionan elementos a dichos servicios
(aplicaciones de software, servidores, elementos de comunicaciones, personal desarrollador, de sistemas,
etc., así como ubicaciones físicas CPDs, salas técnicas, etc.).
El Análisis de Riesgos se hace en dos fases. En la primera, de Análisis propiamente dicho, se expone el
mapa de activos con sus dependencias y se determinan las amenazas que son típicas de dichos activos. A
continuación, en la fase de Gestión de Riesgos, se determinan las salvaguardas existentes y se mide el
Riesgo Actual. En base al apetito de riesgo que tenga fijado una organización se determinarán los

umbrales aceptables de riesgo. Se establece un Plan de Seguridad con una serie de niveles de madurez de
las salvaguardas que se alcanzarán a corto, medio y largo plazo.
La Metodología MAGERIT se suele implementar con la herramienta PILAR, cuya licencia es gratuita
para los organismos públicos y de pago para las empresas que deseen usarla para sus análisis de riesgos
tradicionales.
El análisis de riesgo tradicional se hace típicamente de forma cualitativa (por aproximación), pero se
puede hacer también de forma cuantitativa si se conoce el impacto económico que supondría la
materialización de una amenaza. La herramienta PILAR permite también realizar el Análisis de Impacto en
el Negocio (BIA) y, de este modo, reaprovechar el mapa de Activos y de salvaguardas (algunas específicas)
para elaborar un Plan de Continuidad de Negocio (BCP) o al menos un Plan de Recuperación de Desastres
(DRP).
5.4 ISO 31000
Es una norma elaborada por la International Organization for Standardization cuyo propósito es el de
proporcionar principios y directrices genéricas para la gestión de riesgos e implementar el sistema de
gestión a nivel estratégico y operativo. A su vez, la familia de normas ISO 31000 se ha realizado para que
se pueda aplicar y adaptar al público, a cualquier empresa pública o privada, comunidad, asociación,
grupo o individuo. Es importante aclarar que esta norma no tiene un propósito de certificación, ya que
más bien aporta ciertas directrices para la implementación de una cultura organizacional. Puede ser
aplicada a cualquier tipo de riesgo y naturaleza, a la vez que sirve de apoyo a otros estándares más
específicos de riesgos y sectores adherentes a una empresa en particular. El estándar es base en tres
grandes pilares: Principios, Marco (framework) y Procesos.
Principios
Con el fin de que la gestión del riesgo sea lo más efectiva posible, la organización debería considerar
los siguientes aspectos dentro de este pilar:
 La gestión del riesgo crea valor, y lo protege
 Debe ser parte integral de todos los procesos de la empresa
 Debe formar parte del proceso interno de toma de decisiones
 Aborda áreas de incertidumbre
 Debe ser estructurado y sistemático
 Debe basarse en la mejor información y en un momento temporal concreto
 Debe ser hecho a medida para un contexto en concreto de la empresa, tanto interno, como
externo
 Debe considerar factores humanos y culturales de los individuos
 Debe ser transparente
 Debe ser dinámico, interactivo y que se adapte al cambio
 Debe evolucionar y debe formar parte de un proceso de mejora continua dentro de la
filosofía de la empresa
Marco
El éxito de la gestión del riesgo depende del marco establecido dentro de la empresa, su base y cómo
éste cubre todas las áreas y niveles de la empresa, sin excepción.
La intención del marco no es reemplazar ningún sistema de gestión, sino asistir a la organización en la
gestión del riesgo dentro de un proceso de gestión. Por eso el marco se debe adaptar a la empresa y sus
necesidades. Dicho marco debe tener en cuenta los siguientes aspectos:
 Fuerte apoyo de la alta dirección, e involucración de todas las partes

 Establecer un marco para la gestión del riesgo, en donde se pueda:
 Entender el contexto de la organización, tanto interno como externo
 Establecer una política para la gestión del riesgo
 Identificar responsabilidades
 Integrarse con otras partes y procesos de la empresa
 Contar con los recursos adecuados. Y con el presupuesto adecuado
 Identificar mecanismos de comunicación, tanto internos como externos
 Implementar de un sistema del riesgo, basado en:
 El establecimiento de un marco para la gestión del riesgo
 El establecimiento de un proceso para la gestión del riesgo
 Monitorizar y revisar del marco
 Mejora continua
Procesos
El proceso de la gestión del riesgo debe ser parte integral de la empresa, contar con la cultura y las
prácticas de la empresa, y estar adaptada a los procesos de negocio de la misma
Por lo tanto, es importante la consideración de las siguientes áreas:
 Consultar y comunicar con todas las partes afectadas, y a todos los niveles
 Establecer el contexto de dónde se lleva a cabo la gestión del riesgo. Tanto el interno como el
externo.
 Establecer un contexto dentro del proceso de la gestión del riesgo
 Definir un criterio de riesgo
 Evaluar el riesgo, en base a su:
 Identificación
 Análisis
 Evaluación
 Tratar el riesgo
 Establecer opciones de mitigación del riesgo
 Establecer un plan de mitigación, e implementarlo
 Revisión continua
 Llevar a cabo un proceso de trazabilidad continua de la gestión del riesgo.
5.5 ISO 27000
La norma ISO/IEC 27001:2013 (en adelante ISO 27001) es la vigente en el momento de publicar este
trabajo y permite a las organizaciones disponer de un sistema de gestión de seguridad de la información
(SGSI o ISMS en inglés). La estructura de esta norma se ajusta al “Anexo SL” de alto nivel que viene a
poner orden sobre las normas ISO que se someten a él en sus nuevas versiones. Este anexo facilita la
integración de varios sistemas de gestión en una sola empresa y por tanto facilita el trabajo diario de las
organizaciones y de los auditores.
La norma ISO 27001 se compone de 11 apartados numerados de 0 a 10 (siendo de obligado
cumplimiento los que van del 4 al 10). Contiene un Anexo A con 114 controles agrupados bajo 14
dominios que cubren la mayoría de los aspectos relativos a la seguridad de la información en una
organización:

Tabla 1: Dominios ISO 27001
Cada empresa elabora una declaración de aplicabilidad (SOA, Statement of Applicability) en función
de sus riesgos y su contexto (y los intereses de los Stakeholders), estableciendo cuáles son los controles
que le afectan sobre el catálogo propuesto de los 114 posibles controles. La norma permite que puedan
aplicarse otros controles adicionales. El SOA en definitiva define cuáles son los controles que se aplicarán,
implantarán y deberán ser auditados periódicamente.
El objetivo de la norma ISO 27001 es proteger las dimensiones de seguridad “DIC” (disponibilidad,
integridad y confidencialidad) de la información en una empresa, basándose en un análisis y evaluación
de riesgos. Es decir, gestionar los riesgos y tratarlos. La gestión de la seguridad de la información de esta
norma abarca mucho más que la seguridad TI propiamente dicha, puesto que también trata los temas
relativos a gestión de procesos, de recursos humanos, protección jurídica, proveedores, la protección
física, etc.
Como se aprecia en este diagrama, la seguridad de la información es tan sólo una parte dentro de la
gestión del riesgo.
Ilustración 3: Gestión del Riesgo
Fuente: https://advisera.com
Dominio Descripción del dominio según ISO/IEC 27001:2013
A5 Políticas de seguridad de la información.
A6 Organización de la seguridad de la información.
A7 Seguridad relativa a los recursos humanos.
A8 Gestión de activos.
A9 Control de acceso.
A10 Criptografía.
A11 Seguridad física y del entorno.
A12 Seguridad de las operaciones.
A13 Seguridad de las comunicaciones.
A14 Adquisición, desarrollo y mantenimiento de los sistemas de información.
A15 Relación con proveedores.
A16 Gestión de incidentes de la seguridad de la información.
A17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio.
A18 Cumplimiento.

5.6 OCTAVE Allegro
OCTAVE Allegro (Operationally Critical Threat, Asset, and Vulnerability Evaluation) es un enfoque
desarrollado por el CERT®2 en el año 2007 para permitir una evaluación del entorno de riesgo operacional
de una organización en sentido amplio, con el objetivo de producir resultados sólidos sin necesidad de
contar con un conocimiento intensivo de la evaluación de riesgos3.
Se caracteriza por centrarse principalmente en los activos de información en el contexto de cómo se
usan, de qué forma se almacenan, transportan y procesan, y cómo están expuestos consecuentemente a
amenazas, vulnerabilidades y disrupciones.
Ilustración 4: Pasos de la metodología OCTAVE
OCTAVE Allegro consta de los ocho pasos, agrupados en cuatro fases, que recoge la ¡Error! No se e
ncuentra el origen de la referencia.. Éstos se encuentran descritos en el documento “Introducing OCTAVE
Allegro: Improving the Information Security Risk Assessment Process”. Para el presente estudio resultan
de especial interés los pasos 6 y 7 en los que se desarrolla el análisis de riesgo propiamente hablando.
Tradicionalmente, las metodologías de la familia OCTAVE han estado orientadas al análisis cualitativo
de riesgos, lo que conlleva las naturales limitaciones para la priorización de riesgos y la posterior
secuenciación del tratamiento de los mismos. Sin embargo, OCTAVE Allegro proporciona un sencillo
análisis cuantitativo del riesgo mediante la introducción del concepto de “evaluación relativa de riesgo”.
Ésta se deriva de considerar una descripción cualitativa de la probabilidad de riesgo junto con una
priorización del impacto organizacional del riesgo establecida en términos de los criterios de medición de
2
El CERT® es un Instituto Federal de Investigación y Desarrollo integrado en el Software Engineering Institute de
la Universidad Carnegie Mellon de EEUU que en la actualidad tiene por misión anticipar y resolver los retos naciona-
les de Ciberseguridad.
3
Debe distinguirse OCTAVE Allegro de OCTAVE v2.0 y OCTAVE-S v1.0 que son enfoques de gestión de riesgos
desarrollados por la misma entidad para organizaciones de tamaño, respectivamente, medio/grande y pequeño.

riesgos de la organización. Es precisamente esta supeditación a los criterios organizacionales de medición
del riesgo, lo que permite que las evaluaciones relativas pueden compararse entre diversas instancias de
OCTAVE Allegro, así como a lo largo del tiempo, a medida que cambia el entorno operativo de la
organización.
La metodología OCTAVE Allegro establece que la identificación de riesgos (paso 6) debe realizarse
tipificando los impactos que pueden conllevar la realización de cada una de las amenazas para la
organización que se hayan reconocido. A continuación, el análisis de riesgos tradicional (paso 7)
proporciona las evaluaciones relativas de riesgo alineadas con los criterios organizacionales de medición
de riesgos, y quizás también con las probabilidades estimadas de los mismos. Para facilitar el
establecimiento de los criterios de medida de riesgos organizacionales, la metodología OCTAVE Allegro
propone el uso de formularios específicos en los ámbitos de reputación y confianza de clientes, financiera,
productividad, seguridad y salud, así como multas y sanciones legales.
Para finalizar este apartado, es interesante reseñar que la evaluación de riesgos de la metodología
OCTAVE Allegro está sensiblemente orientada a los activos de información. Una vez éstos se han
identificado, el resto de activos TI adquieren la consideración de “contenedores” en los que la
información se almacena, se transporta o se procesa. La caracterización de las amenazas se realiza en la
práctica fundamentalmente mediante el análisis de escenarios, al haber encontrado muchas
organizaciones que el análisis de vulnerabilidades es un proceso laborioso que no aporta información
significativamente adicional.
6 Comparativa de fases entre las distintas metodologías
expuestas.
Después de conocer más detalladamente el conjunto de metodologías orientadas a los análisis de
riesgos tradicionales, parece conveniente centrar la atención en un cuadro comparativo de todas ellas. En
este cuadro, que se muestra al final de este epígrafe, quedan identificadas las fases de cada metodología,
respetando el orden cronológico que tienen de izquierda (las iniciales) a derecha (las posteriores) y
poniendo un mismo color a todas las fases que cumplen funciones equiparables o similares.
Tras analizar las metodologías junto a sus diferentes fases, se concluye que todas ellas conllevan de
un modo u otro la misma filosofía, comparten patrones comunes y muchas cubren una buena parte de
estos puntos de evolución:
 “A” Identificar el contexto, ámbito, alcance o criterios de los que partir.
 “B” Analizar el impacto de forma temprana y antes de del resto de fases es algo que
solamente se da en la metodología IRAM2, mientras que en el resto se llega a evaluar el
impacto con posterioridad.
 “C” Identificar las vulnerabilidades o los riesgos según sea el caso. Estas identificaciones
deberán poder gestionarse dinámicamente si estamos en un entorno relacionado con la
Ciberseguridad.
 “D” Estimar y analizar los riesgos. Estimar los riesgos de forma dinámica no será un problema
si las dos fases anteriores han tenido en cuenta este factor cambiante en el tiempo.
 “E” Determinar y evaluar los riesgos. Es un cálculo que solo se puede automatizar de forma
relativa. Las decisiones importantes deben estar siempre autorizadas por un responsable.
 “F” Tratamientos, recomendaciones para los riesgos que sean superiores a lo admisible. De
nuevo es una fase en la que deben intervenir activos humanos a pesar de que se puedan
automatizar los riesgos más conocidos.
La secuencia y tiempos que cada metodología se toma para completar sus fases, puede variar, así
como el nivel de profundidad en los detalles que se pueden obtener. Es importante que las estimaciones

de riesgo se hagan bajo el enfoque de la Ciberseguridad, es decir, teniendo presente el factor de
dinamicidad y agilidad de cambios con respecto al paso del tiempo. El cuadro siguiente muestra
claramente que, con independencia de la metodología, hay bastante coincidencia en algunas de las fases.

COMPARATIVA DE FASES ENTRE LAS DISTINTAS METODOLOGÍAS EXPUESTAS
Ilustración 5: Comparativa de metodologías de análisis de riesgos

7 La Ciberseguridad como amenaza creciente y sus problemas de
modelizacion
Las metodologías de análisis de riesgos de seguridad de la información son la evolución natural de
otras metodologías específicas de análisis de riesgos de seguridad física (Mosler, Cuantitativa Mixta) de
las que han heredado su fundamento básico:
 Riesgo Inherente = f(Probabilidad, Impacto)
 Riesgo Residual = f(Riesgo Inherente, Contramedidas)
El hecho de utilizar estas metodologías como punto de partida, ha influido a la hora de modelizar sus
elementos, pensando que podíamos usar las mismas reglas, quedando evidenciado que en muchos casos
las modelizaciones de probabilidad, impacto y contramedidas no han sido efectivas. No han tenido en
cuenta los elementos propios de la seguridad de la información y del entorno CIBER. A continuación,
identificamos cuales son estos defectos o inexactitudes a la hora de modelizar la probabilidad, el impacto
y las contramedidas, elementos éstos que conforman el análisis de riesgos tradicional.
8 Modelizacion del impacto
En el ámbito de los riesgos físicos, cuando hablamos de impacto sobre un activo (físico), estamos
cuantificando, sobre una escala predefinida, el efecto de una la indisponibilidad prolongada en el tiempo
de dicho activo. En este caso, algunos de los parámetros que pueden ayudar a afinar la valoración son:
 El tiempo tolerable de indisponibilidad: Un activo con tiempo bajo de tolerancia incrementa
el impacto que se producirá.
 Valorar si la función del activo puede ser llevada a cabo de manera alternativa: Lo cual
reduce el impacto.
 Valorar si el activo puede ser repuesto en un corto periodo de tiempo: Lo cual reduce el
impacto.
En cambio, cuando hablamos de impacto sobre un activo de información debemos tener en cuenta
otras dimensiones (disponibilidad, integridad, confidencialidad, trazabilidad, etc.). Es cierto que el
impacto varía en función del tiempo que transcurre desde la materialización del riesgo, pero además
debemos tener en cuenta que se está despreciando un riesgo residual (riesgos con muy poca probabilidad
e impacto alto) que en el campo de la Ciberseguridad tiende a crecer exponencialmente con el tiempo. Es
decir, que su probabilidad aumenta rápidamente, convirtiéndose al transcurrir el tiempo en un riesgo que
debería tenerse en cuenta.
Se puede por tanto deducir que en Ciberseguridad los riesgos residuales tienden a crecer con el
tiempo y que se deben considerar además el resto de dimensiones básicas de la seguridad de la
información: disponibilidad, integridad y confidencialidad.
Supongamos una pérdida de disponibilidad de un activo de información, ¿podría causar
incumplimiento de contratos con clientes o proveedores? Veamos también el impacto causado por una
pérdida de integridad, errores o manipulación intencionada de datos. ¿Afectan o impiden esos datos en la
toma de decisiones? ¿Tiene impacto en elementos físicos controlados por esos activos de información?
Finalmente valoremos una pérdida de confidencialidad de una publicación no controlada de datos
confidenciales ¿Se trata de datos de carácter personal sujetos a regulación? ¿Son datos de carácter
estratégico?
Todas estas preguntas deberán tener una respuesta que nos conducirá a valorar si el impacto puede
ser asumido por la organización. La pérdida de disponibilidad o de integridad son dos situaciones que
pueden ser revertidas pero la pérdida de confidencialidad no. Una vez que los datos han sido liberados, se
pierde el control sobre su uso no autorizado por parte de terceros.

En resumen, todos estos factores evidencian que los análisis de riesgos de seguridad de la
información entrañan mucha complejidad a la hora de evaluar el impacto, sobre todo económico.
9 Modelizacion de la probabilidad
Las actuales metodologías de Análisis de Riesgos, utilizan una valoración de la probabilidad
cuantificada sobre una escala predefinida. La probabilidad nos indica en qué medida es posible que una
amenaza comprometa un activo. Para ello, se utilizan listados tabulados o catálogos de amenazas con una
valoración basada en datos históricos de eventos. Esta valoración basada en datos históricos puede ser
válida cuando se trata de fenómenos medioambientales o de delincuencia común (hurtos o robos), pero
en las amenazas Ciber este criterio no obedece a la realidad.
Las amenazas Ciber evolucionan de forma imprevisible, a medida que el desarrollo tecnológico va
evolucionando. Por lo que es posible que una pérdida de confidencialidad, integridad o disponibilidad de
un activo de información, se materialice por causa de amenazas que no fueron contempladas inicialmente
en el análisis de riesgos tradicional. Es probable que estos riesgos no existieran en aquel momento o que
fueran valorados como residuales. La probabilidad está ligada a la facilidad de explotación de un riesgo.
Por otro lado, existe otra variable que añade más incertidumbre aún a la valoración de la probabilidad
de materialización de una amenaza y que tiene que ver con la motivación y el coste de oportunidad. Dado
que es habitual la interconexión de datos de manera continua entre clientes y proveedores, no es
descabellado pensar que nuestros recursos pueden verse comprometidos porque pueden ser un punto de
salto a los activos de otra organización. Dicho de otro modo, podría ser necesario valorar el impacto
derivado de las amenazas asociadas a nuestros propios clientes o proveedores. No es lo mismo tener
como cliente a un importante organismo gubernamental que a un fabricante de muebles, por poner un
ejemplo. En el primer caso podemos ser atacados simplemente por ser un puente virtual hacia ese
importante cliente o proveedor nuestro.
Los Análisis de Riesgos de Seguridad de la Información entrañan una mayor complejidad a la hora de
evaluar la probabilidad de que una amenaza se materialice sobre un activo de información ya que:
 La probabilidad no puede basarse sólo en valores históricos. Las peores amenazas recientes
no estaban catalogadas ni habían ocurrido previamente (Ej: Wannacry).
 La probabilidad puede cambiar en función de las motivaciones que tengan los atacantes o la
facilidad de explotación de la amenaza.
10 Modelizacion de los controles
Los controles (o contramedidas) se aplican una vez que se ha calculado el “Riesgo Inherente”, puesto
que mitigan los riesgos dejando un riesgo residual. De nuevo hay que insistir que en Ciberseguridad el
riesgo residual tiende a aumentar con el paso del tiempo. Los controles tienen dos variables que son el
alcance y la efectividad del control. El alcance nos ayuda a dilucidar sin el control es capaz de mitigar la
probabilidad, el impacto o ambos.
De estas dos variables (alcance y efectividad) la que presenta una mayor aleatoriedad en contextos
Ciber es, la efectividad. En controles de carácter detectivo o preventivo, la efectividad se puede valorar en
función de la cantidad de falsos negativos o falsos positivos frente al total de eventos. Pero ante
Amenazas Persistentes Avanzadas (APT) o nuevos vectores de ataques, ha quedado demostrado que
efectividades pasadas no garantizan efectividades futuras.
Existe un factor que no se considera en ningún análisis de riesgos: la obsolescencia del propio control.
Muchos de los controles aplicados en Ciberseguridad consisten en la implantación de sistemas
informáticos. Estos a su vez son susceptibles de sufrir vulnerabilidades están sujetos a ciclos de vida como
cualquier otro software. Si no se aplican las actualizaciones conforme a las recomendaciones de los
fabricantes, o éstos descontinúa el soporte, el control aplicado sobre el riesgo puede quedar
comprometido y ser neutralizado por usuarios malintencionados.

Estos factores, evidencian que los análisis de riesgos de seguridad de la información entrañan una
mayor complejidad a la hora de evaluar las contramedidas que mitigan riesgos ya que:
 Midiendo la efectividad de una contramedida, el valor obtenido en el pasado no garantiza la
efectividad en el futuro.
 La obsolescencia del sistema responsable de la contramedida influye en la efectividad y el
alcance.
11 Modelos dinamicos como respuesta
Tal y como ya se ha expuesto anteriormente el principal hándicap de las actuales metodologías de
análisis de riesgos tradicionales, para entornos de Ciberseguridad, es la elevada volatilidad que con el
paso del tiempo tienen las valoraciones de probabilidad, impacto y eficacia de sus controles asociado.
Estas valoraciones cambian a mayor velocidad que las actualizaciones de los mapas de riesgos. La
consecuencia de esto es una falsa sensación de seguridad porque no se están utilizando valores correctos
de todas estas variables. De hecho, muchos de los incidentes de seguridad en los últimos años, han sido
considerados cisnes negros4
dentro de sus propios análisis de riesgos tradicionales.
Para solventar estas cuestiones, se plantean como novedad los modelos dinámicos de riesgos que
permiten controlar en tiempo real los cambios que se producen en los aspectos relacionados con la eva-
luación de riesgos. En el próximo epígrafe se analizan los aspectos más críticos que debe contemplar un
análisis de riesgos dinámicos, incidiendo en aquellas carencias de los modelos actuales de riesgos e intro-
duciendo el nuevo concepto de análisis dinámico de riesgos.
12 Que debe recoger un modelo de riesgos de Ciberseguridad
El ciudadano medio no es experto en tecnología y tiene la sensación de que los ataques de
ciberdelincuentes acaban teniendo éxito con demasiada facilidad. Los altos directivos de las
organizaciones tienen igualmente la sensación de que la gestión de riesgos tecnológicos queda
sobrepasada, desbordada por la velocidad con la que se suceden los cambios y los avances en este sector.
Un sector, por otro lado, del cual dependen fuertemente las organizaciones hoy día.
En este escenario parece razonable pensar que los modelos de gestión de riesgos tradicionales
requieren ajustes. Conviene profundizar en un nuevo modelo de gestión de riesgos que recoja conceptos
como la “Gestión Dinámica de Riesgos” (en adelante GDR), que haría referencia a un nuevo modo de
analizar y gestionar aquellos riesgos que cambian a mayor velocidad de lo habitual.
Profundizaremos sobre el concepto de “Análisis Dinámico de Riesgos” aplicable a la Ciberseguridad y
daremos un paso hacia delante abordando una propuesta de un nuevo modelo de riesgos de
Ciberseguridad, incorporando los activos no físicos. Finalizaremos con los principales retos a los que se
enfrenta una implementación eficaz y eficiente de GDR.
12.1Carencias del proceso tradicional de Gestion de Riesgos
Se toma como modelo el publicado por el Instituto Nacional de Ciberseguridad INCIBE5
, puesto que
resume correctamente la mayoría de fases de las metodologías comparadas anteriormente en el punto 6
(IRAM2, NIST-SP800-30, MAGERIT V.3, ISO 31000, ISO 27001 y OCTAVE Allegro). Este modelo trata la
gestión de riesgos en 6 fases y desde el punto de vista de los riesgos tecnológicos adolece de algunos
puntos débiles descritos a continuación:
4
Un “Cisne Negro”, en estadística, se refiere a los sucesos inesperados y atípicos de gran magnitud y cuya probabilidad ha-
bía sido considerada como baja o muy baja.
5
Publicación del 16-1-2017: https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo

Ilustración 6: Gestión tradicional del riesgo (INCIBE)
12.1.1 Carencias en la Actualización del Modelo.
Este modelo evalúa los riesgos al inicio de la implantación de un nuevo sistema de información, pero
este proceso nunca se repite o lo hace a intervalos muy largos. Es decir, no se actualiza y es posible que
una de las causas sea la “motivación”, es decir, el por qué se ha hecho la gestión de riesgos.
A menudo la “motivación” para realizar un proceso de gestión de riesgos es cumplir con un requisito
de un proceso de acreditación o de una auditoria de sistemas. Dicho de otro modo, es necesario
acreditarse o pasar la auditoría, lo cual es importante, pero la motivación debería incluir el tener una
razonable seguridad de que tenemos los riesgos bajo control.
Aplicar un modelo de gestión de riesgos nos permite presentar la evidencia de cumplimiento con
normas (ISO 27001, ISO 20000), auditorias, etc. Pero no es extraño encontrar empresas que habiendo ya
obtenido certificación oficial, pierden la motivación por mejorar su modelo y este error tiene
consecuencias negativas.
Otra de las causas de no actualizar el modelo puede ser la puramente económica. Las evaluaciones
tradicionales de riesgo suelen requerir de un esfuerzo bastante significativo, siendo necesario calibrar el
número de recursos y el esfuerzo inversor focalizado a este proceso. No actualizar el modelo hasta
pasados varios años puede ser adecuado para aquellos entornos en los que los riesgos sufren cambios
poco frecuentes y el ambiente es relativamente estable. En estos casos no tiene sentido incrementar el
coste económico, pero desde luego éste no es el caso de la Ciberseguridad.
Los riesgos tecnológicos, evolucionan con cambios muy frecuentes y un cambio menor en los sistemas
y las comunicaciones implica una cantidad importante de trabajo reevaluando de nuevo el riesgo y por
tanto se descarta proceder con ello. En algunas ocasiones se requiere tanto trabajo como el necesario
para empezar desde cero. Las organizaciones ante este escenario, pueden decidir dejar pasar el tiempo,
propiciando que la evaluación inicial del riesgo sea cada vez menos precisa.
Al final tenemos una actualización insuficiente del modelo de riesgos, por una o varias de las causas
expuestas y el problema se agrava en los entornos de Ciberseguridad.
12.1.2 Dificultades para Modelizar Riesgos de Activos Tecnológicos.
Además de las carencias expuestas en el apartado 7 (sobre la modelización del impacto, la
probabilidad y los controles de riesgos tecnológicos), en necesario tener presente que los activos
tecnológicos no son siempre físicos. Centrarse únicamente en activos físicos (Fase 2 del modelo) supone
dejar a un lado amenazas que no están basadas en ellos.

Este enfoque de ver solo los activos físicos es un poco limitado puesto que algunas de las amenazas
que surgen en Ciberseguridad afectan a activos intangibles6
. Lo habitual es que los activos intangibles
tengan un alto grado de dinamismo, volatilidad y con vulnerabilidades aparecen y desaparecen casi a
diario. Es decir que cambian casi constantemente y esto no les ocurre a los activos físicos como los
medioambientales.
12.1.3 Dificultades para Estimar el Impacto Económico en Riesgos Tecnológicos.
Otro aspecto que se echa en falta en las actuales metodologías de análisis de riesgos, es la
identificación cuantitativa de la pérdida económica esperada en el caso de la materialización de las
amenazas. En este sentido, el auditor de Ciberseguridad debería ser capaz de obtener datos orientativos
sobre las pérdidas económicas que supondrían para la organización el incumplimiento de las
contramedidas que se proponen en el informe de auditoría. Pueden servir de orientación los informes
anuales de empresas líderes en el sector (Kaspersky o Ponemon Institute). La dificultad actual estriba en
que la dirección estratégica de la organización tiene muchas dificultades para facilitar datos económicos
del impacto que supone la falta de disponibilidad, de integridad y de confidencialidad de los activos
críticos de la organización.
Es muy frecuente que las organizaciones desprecien los riesgos residuales, asumiendo que en
Ciberseguridad estos riesgos permanecerán inmutables a lo largo del tiempo.
Ilustración 7: Distribución de probabilidades del riesgo. Fuente: Wikipedia
Según la distribución de probabilidades que se suele emplear (campana de Gauss), los riesgos que
están por encima de 2, o que están por debajo de -2, se desprecian por su poca probabilidad, incluso
aunque pudieran tener un impacto descomunal en términos económicos. Por ejemplo, un ataque
terrorista (o ciberterrorista) que deje a todos los sistemas de la empresa inutilizados y sin fluido eléctrico.
En Ciberseguridad los riesgos residuales tienden a aumentar su probabilidad con el paso del tiempo,
debido a que los sistemas que se consideraban seguros, dejan de serlo con la evolución tecnológica. Ésta
a su vez conlleva la implantación de nuevos sistemas que suman riesgos nuevos no existentes en el
pasado reciente.
Es resultado es que los riesgos residuales acaban colocándose en la franja (-1, 1), por lo que, si no
se aplican salvaguardas, con el paso de los meses o años la pérdida económica real pasará a ser muy
superior a la estimada y ese es un hecho que no siempre es conocido por la cúpula estratégica de la
empresa. La siguiente figura muestra el desplazamiento temporal de un riesgo residual en entornos Ciber.
6
Aquellos que carecen de soporte físico o lógico: Los avances tecnológicos en sí mismos, los conocimientos tec-
nológicos de los empleados, etc.

Ilustración 8: Probabilidad de riesgos residuales. Fuente: Elaboración propia.
Es poco frecuente ver cómo los comités de seguridad definen o actualizan los escenarios de riesgo.
Dada la posible dificultad en la exactitud del cálculo de la pérdida esperada, sería interesante tener en
cuenta un factor de corrección que ayude a tener bien valorados a todos los riesgos relevantes y
representativos. Todo ello con el objetivo de facilitar a la dirección costes reales de los riesgos a lo largo
del tiempo para la toma de decisiones en la implantación de las contramedidas recomendadas en el
informe de auditoría.
12.2El nuevo concepto de Analisis Dinamico de Riesgos (ADR)
Llegados a este punto, podemos hacer una breve recapitulación de lo visto en los apartados anterio-
res, para centrar el concepto del análisis dinámico de riesgos (ADR):
 Disponer de un análisis de riesgos actualizado es fundamental para una organización.
 Existen muchas metodologías de análisis de riesgos tecnológicos.
 Todas coinciden en una serie de fases comunes.
 Todas adolecen de ciertas dificultades.
 Un modelo que contemple una “Gestión Dinámica de Riesgos” (GDR) puede ser la solución.
En este escenario aparece el concepto de ADR, es decir, la reevaluación y análisis de los riesgos de
forma dinámica, sin esperar a que se queden obsoletos. El hecho de que una organización sea capaz de
implantar un ADR y pueda evaluar continuamente el riesgo de seguridad TIC permite que los responsables
de la organización pueden decidir más oportunamente las acciones que deben tomar para mantener el
riesgo en un nivel aceptable. Además, les facilita la detección de la posible transición de un “riesgo
residual” a un “riesgo probable”. El ADR elimina el problema de la actualización tardía de riesgos que
puede darse en el modelo tradicional y mejora mucho la modelización de la probabilidad, el impacto y las
contramedidas asociadas a un riesgo tecnológico.
Además, el ADR contribuirá a mejorar la conciencia global de la situación de la Ciberseguridad e,
indirectamente, podrá mejorar el estado general de la seguridad TIC puesto que se toman acciones de
respuesta oportunas en tiempo y forma, incluso para activos que no sean físicos. Por último, también
agiliza la consecución de los objetivos de negocio, dado que los empleados son informados a tiempo de
un nivel de riesgo inaceptable.
Existe una necesidad de desarrollar una recolección automatizada de los insumos para la función de
evaluación de riesgos, el modelado del contexto, la función de evaluación del riesgo y la presentación del

riesgo. El alcance del ADR es la monitorización continua del contexto y la generación de una evaluación de
riesgo oportuna, expresada conceptualmente como una firma de riesgo.
En la mayor parte de las implementaciones de ADR se aboga por la puesta en funcionamiento de tres
grandes áreas funciones, tal y como se muestran en la figura:
Ilustración 9: Funciones de un análisis dinámico de riesgos
Generalmente las funciones proporcionadas por ADR no tienen que reemplazar a las metodologías
tradicionales de evaluación de riesgos, ni la forma en que se realizan actualmente las auditorias y
acreditaciones en muchas organizaciones. Inicialmente, los únicos cambios significativos del ADR son la
implementación en los sistemas TIC de un despliegue del propio ADR (que se verá más adelante) y
proporcionar orientación para este tipo de implementación.
Es importante destacar que no todas las organizaciones comparten una compresión común del
término "evaluación dinámica de riesgos TIC". Para desplegar un ADR se requiere previamente una
explicación clara y acordada del propósito, enfoque y los componentes de este sistema.
Una idea errónea bastante común es la evaluación dinámica de riesgos TIC va a reemplazar a la
evaluación de riesgos tradicional, cuando en realidad la evaluación dinámica tiene un alcance claramente
definido y se realiza continuamente, de manera más automatizada apreciando el riesgo en su momento
justo tal y como exige un entorno dinámico.
12.3La Gestion Dinamica de Riesgos (GDR)
Vamos a dar por sentado que la GDR persigue la evaluación continua del riesgo de seguridad TIC y que
por esa razón los responsables de seguridad pueden actuar más ágilmente, a pesar de no haber recreado
completamente todo el proceso de gestión de riesgos.
El último análisis de riesgos puede seguir siendo válido siempre que se actualicen adecuadamente los
componentes de la fórmula clásica: Riesgo = Probabilidad * Impacto. El hecho de poder automatizar, en la
medida de lo posible, la recogida de datos que permiten evaluar riesgos y recalcularlos casi en tiempo
real, puede alargar el periodo de validez de un análisis de riesgos tradicional que se quiera seguir
utilizando para Ciberseguridad.
Con un GDR es posible hacer partícipes en primera línea a los responsables del negocio y usuarios.
Puesto que serían ellos quienes verificarían las decisiones de valoración con menor esfuerzo y sin tener
que perder tiempo y esfuerzos adicionales de cara a una futura auditoría.
FUNCIONALIDADES
DE UN SISTEMA DE
EVALUACION
DINAMICA DE
RIESGOS
El modelado del
contexto TIC, que
incluye los
objetivos, los TIC y
las amenazas.
La función
dinámica de
evaluación
del riesgo.
La firma del
riesgo como
principal
salida.

Como ayuda para lograr que esta dinamización sea posible se podría utilizar una cuantificación
económica del riesgo, algo más evolucionada que la típica cualificación: alto, medio, bajo. El nivel
estratégico de la empresa entiende mucho mejor los términos monetarios a la hora de valorar si un riesgo
es alto o no. Las pérdidas económicas bien argumentadas, permiten a una dirección estratégica tomar
decisiones con mayor facilidad7
.
12.4 Modelo de Analisis Dinamico de Riesgos
El objetivo final para nuestro modelo de riesgos dinámicos, es tener un sistema semiautomático que
vaya recalculando las valoraciones de los riesgos (incluyendo el impacto económico) de modo que no se
queden obsoletos demasiado pronto. Al final de este apartado se muestra un esquema explicativo de un
posible modelo de análisis de riesgos dinámico.
El modelo toma como base la información que puede aportar la red pública internet en base a dos
grandes conjuntos de información que se podrían absorber de forma automática.
El primero requiere tomar la información procedente de los foros de noticias tecnológicas y bases de
datos NO-SQL que emiten de forma continua información relativa a la seguridad de los sistemas de
información y las comunicaciones (www.segu-info.com.ar , www.securelist.com). Conseguir que esta
información que no está en formato estándar, pueda ser de confianza e incorporada de forma
semiautomática, requiere algo de trabajo extra. La organización debe desarrollar al menos al principio,
algunos scripts o servicios web. Estos desarrollos tienen que ocuparse de convertir los diferentes
formatos texto de entrada en textos ya formateados y uniformes que expresen la aparición de nuevas
vulnerabilidades o riesgos. Se pueden utilizar para ello herramientas como “awk”, “grep”, “sed” y en
general pequeñas utilidades existentes en el mundo Linux. Recogida esta información y uniformizada,
podría ser supervisada por personas expertas en seguridad que, en función del alcance deseado,
incorporaran definitivamente las nuevas amenazas a la base de datos corporativa de riesgos dinámicos.
El segundo conjunto está más estandarizado puesto que consta de ficheros de tipo xml, csv, etc.
emitidos regularmente por los CERT (Computer Emergency Response Team) y los CSIRT (Computer
Security Incident Response Team). Igualmente se deberán programar unos sencillos scripts que recojan y
procesen esa información, que podrá ser valorada por personas especializadas para identificar activos
afectados. Al igual que antes, estas personas pueden alimentar una base de datos corporativa de activos
físicos y lógicos, que tienen asociadas amenazas y vulnerabilidades que se van actualizando
dinámicamente. A través de estos sistemas y de forma indirecta, se puede refrescar el alcance y nuestro
inventario de activos, identificar nuevas amenazas o descartar otras obsoletas, valorar las
vulnerabilidades, salvaguardas a aplicar y finalmente el riesgo de forma dinámica. Este proceso se puede
repetir con la frecuencia deseada y traducirlo a términos económicos.
Cualquier modelo de riesgos que se considere emplear tendrá una considerable ventaja si consigue
incorporar de forma ágil estas informaciones en un formato más o menos estándar. Un paso más para
lograr esta capacidad semiautomatizada puede requerir la capacidad de reconfigurar la infraestructura de
redes LAN, en caso de que fuera necesario (Conciencia situacional o Situational Awareness, SA8
).
Con el fin de mantener un nivel aceptable de seguridad en una Infraestructura de Información en Red,
es necesario tener plena SA, lo que implica el conocimiento, entre otros atributos, de las vulnerabilidades,
las amenazas y el impacto que podrían tener en la infraestructura TIC y posteriormente en los procesos de
negocio.
La SA está ligada a la situación actual de los activos críticos de una organización en términos de su
ubicación en la red, su grado de vulnerabilidad, las dependencias lógicas entre ellos y las magnitudes de
riesgo.
7
Ver ISACA JOURNAL Vol4 / 2017: “Rethinking Cybervalue at Risk: A Practical Case for Risk Quantification”.
8
Ver Sikos, Leslie et Al. “Representing Conceptualized Dynamic Network Knowledge for Cyber-Situational Awareness”, Proc.
of the Eighth Int. Conference on Concept Mapping, Medellín, Colombia 2018.

Ilustración 10: Fuente propia “Modelo de gestión dinámica de riesgos (GDR)”

12.5Inclusion de Activos no físicos
A la hora de aplicar un modelo de gestión de riesgos de Ciberseguridad deberían tenerse en cuenta
junto a los activos que tradicionalmente se contemplan, otros sucesos y circunstancias que pueden
igualmente generar amenazas y vulnerabilidades y que deberían de ser tratados como un activo más:
 “Aparición de nuevas Tecnologías”: La incorporación de una nueva tecnología en la
organización introduce probablemente nuevas amenazas, vulnerabilidades y puede incluso
hacer innecesarias salvaguardas que quedan obsoletas a partir de esta incorporación. Una
gestión de riesgos seguramente necesita ser actualizada tras incorporar nuevas tecnologías.
 “Eliminación de sistemas descontinuados”: La desaparición de sistemas informáticos que
fueron contemplados en anteriores análisis de riesgos también debe ser tenido en cuenta
como “activo no físico”.
 “Revisión de foros tecnológicos": Foros, boletines y redes sociales enfocadas a temas de
seguridad, donde se publiquen las nuevas vulnerabilidades descubiertas pueden hacer que el
análisis de riesgos que se haga próximamente sea más preciso. Después de todo esta
documentación es tan válida como la que se tenga dentro de la organización.
 “La formación de empleados críticos y su ciclo laboral en la empresa”: Un modelo de riesgos
de Ciberseguridad debe tener en cuenta tanto a los empleados que han abandonado la
organización como a los de nueva incorporación. Sobre todo, si estos empleados ocupan
puestos críticos. No se trata de una formación tradicional, sino de todo un ciclo de vida de un
puesto crítico, que implica asegurarse de que está capacitado desde su incorporación y que
deja toda la documentación necesaria cuando causa baja.
12.6Principales retos para la implementacion de una GDR
Son muchos los retos que deben afrontarse en la implementación de una GDR. Por un lado, será
necesario integrar a la GDR en el proceso de acreditación y auditoria actual de las organizaciones. Por
otro lado, será necesario contar con una base de datos de vulnerabilidades, la evaluación de esas
vulnerabilidades y una topología y entorno automatizado de gestión de activos TIC. Además, es esencial
que la organización cuente con entornos para gestionar los ataques y mitigar los riesgos de forma
dinámica.
Las bases de datos de vulnerabilidades pueden proporcionar agregación automatizada de información
de vulnerabilidades de fuentes autorizadas (bases de datos oficiales como la NVD (National Vulnerability
Database, https://nvd.nist.gov/) de los Estados Unidos o los servicios de información públicos de los
Centros de Respuesta a Incidentes de Seguridad. Estas bases de datos se pueden complementar con
capacidades funcionales de flujo de trabajo que permitan notificar la información necesaria a los roles
indicados de modo que puedan iniciar una evaluación de las nuevas vulnerabilidades o actualizar las ya
existentes. Después de la evaluación de la vulnerabilidad, esta base de datos servirá como fuente
principal de datos para el resto de componentes.
Por otro lado, el entorno de evaluación de la vulnerabilidad deberá proporcionar una gestión fácil de
vulnerabilidades, teniendo en consideración los equipos disponibles, propiedades y relaciones
establecidas entre los activos desplegados en la organización. Dicho de otro modo, las vulnerabilidades se
gestionarán de forma sencilla en función de las “piezas” de que se disponga para hacer ese trabajo.
La generación y visualización de las trayectorias de los posibles ataques (rutas de ataque) debería
también facilitar la detección de activos vulnerables en la red, considerando su nivel de impacto en la
organización y su ubicación en la topología. De esta manera, los especialistas en seguridad podrán
generar escenarios de ataques e inspeccionar las rutas de ataque generadas en función de estos
escenarios (ver ilustración 10).

En lo que respecta al entorno de análisis de mitigación de riesgos, debería ser apoyado por un Interfaz
para especialistas en seguridad, de manera que puedan probar ciertos casos en la topología y / o rutas de
ataque y analizar la nueva situación después de la regeneración de rutas de ataque basándose en estos
escenarios.
Además, la plataforma que recopila eventos, realiza la evaluación dinámica de riesgos y la
visualización debería de incluir los datos de eventos inmediatos de sensores, firewalls, sistemas IDS / IPS,
dispositivos de red, agentes de vulnerabilidades, computación forense online, etc. Después de la
recolección de estos datos se debería realizar una fusión y generación de notificaciones resumidas (de
alto nivel). De modo que con esos resultados se pueda alimentar un evaluador dinámico de riesgos que
acabe notificando a los administradores de seguridad (notificaciones que pasan por técnicas de filtrado y
visualización adecuadas).
Otro de los retos a los que se enfrenta la puesta en funcionamiento de un sistema dinámico de
riesgos es el disponer de una imagen de la Ciberseguridad de la organización integrada, que sirva como
punto central para el acceso a los datos y pueda alcanzar un alto nivel de conocimiento de la situación.
Para lograr este objetivo es fundamental contar con potentes interfaces con otros sistemas de soporte a
la gestión de servicios tecnológicos como la gestión de activos, la gestión de configuración y cambios o la
evaluación de rutas de ataque.
El impacto en el establecimiento de políticas, guías y directrices TIC, integrando el proceso de
continuo de evaluación y gestión del riesgo requiere ser considerado. Será necesario para ello actualizar
las directivas y, en menor grado, las políticas, para apoyar el enfoque de sistema propuesto, así como
establecer las nuevas funciones y responsabilidades de la gestión dinámica de riesgos y analizar los
interfaces con las funciones existentes de auditoría y acreditación de las organizaciones. Este nuevo
proceso, además, debe integrarse en todo el ciclo de vida de los sistemas, desde su inicio hasta su
operación y mantenimiento.
Por último, se mencionará como reto relevante la proliferación de entornos CIS (Communication and
Information System) en los que el número de activos bajo consideración ha aumentado
considerablemente por el fenómeno de IoT (Internet of Things) y por el requerimiento de conexiones
rápidas de red (plug and operate) para permitir el intercambio de información en apoyo de una amplia
gama de escenarios de negocio.
13 Modelo propuesto de Analisis Dinamico de Riesgos
Como resumen de todo lo anterior, el modelo propuesto en la figura 10 para para analizar
dinámicamente los riesgos de Ciberseguridad, es una aproximación y debe ser desarrollado con más
detalle en función de las necesidades particulares de cada organización.
Los riesgos de este modelo tienen que retroalimentarse para que las estimaciones dinámicas tengan
una mínima precisión y cercanía a la realidad. De ahí que el modelo propuesto sea cíclico, comenzando
cada ciclo en la fase de “GESTION DE RIESGOS DINÁMICOS”, una vez que haya transcurrido un tiempo
razonable (trimestral, semestral, etc). El modelo requiere que algunos de los pasos estén tan
automatizados como sea posible.
13.1Fase 1: De riesgos contextualizados
Se trata de partir de cero o de la situación dejada en el anterior ciclo de aplicación. En caso de partir de
cero se incorpora el universo de riesgos (todos los conocidos antiguos junto con los nuevos) y sobre él se
seleccionan los que afectan a nuestra organización. Hay que incluir también los poco probables y excluir
solamente aquellos que con mucha seguridad no puedan darse en base a la naturaleza de nuestra
organización. La figura 10 presentada anteriormente representa esto con la BBDD corporativa de riesgos
dinámicos:

Las amenazas que previamente estemos valorando para seleccionar los riesgos, deben estar
constantemente actualizadas por personal especializado. El personal puede pertenecer a uno o varios
departamentos de una o varias personas cada uno, en función de los recursos disponibles. De algún modo
estos componentes se comportarían como una redacción de noticias periodísticas.
Ilustración 11: Fragmento de la ilustración 10
El personal especializado recibe puntualmente las últimas noticias y novedades sobre Ciberseguridad,
que son almacenadas en las bases de datos corporativas.
Las bases de datos a su vez se alimentan de servicios web corporativos, scripts y pequeños desarrollos
hechos por la propia organización. Estos servicios y scripts analizan textos procedentes de internet
emitidos por organismos especializados y los uniformizan para poder almacenarlos en las bases de datos
corporativas.
Ilustración 12: Fragmento de la ilustración 10
Los especialistas en revisar la información recién incorporada la procesan teniendo en cuenta la
actualidad política, económica y tecnológica. El objetivo es tener conciencia sobre lo que está pasando en
el mundo y que pueda afectar a la seguridad de los sistemas informáticos o a los intereses de nuestro
negocio concreto.

13.2Fase 2: Estimacion economica de los pre-riesgos y riesgos
A pesar de que una estimación siempre es compleja, hay que estimar con realismo el coste económico,
incluso en aquellos riesgos que aparentemente tienen poca importancia. Se incluyen los “cisnes negros”,
puesto que se está teniendo en cuenta su carácter dinámico que hará que la importancia del riesgo crezca
exponencialmente con el tiempo. A todo este conjunto de riesgos lo denominaremos “pre-riesgos”
puesto que algunos se van a descartar finalmente, quedando los riesgos que verdaderamente vamos a
gestionar.
Para lograr esta meta hay que dar una serie de pasos que se proponen a continuación. En primer lugar,
calcular una estimación de probabilidades de ocurrencia de los pre-riesgos. La estimación se irá
actualizando dinámicamente en cada ciclo del modelo, basándose en datos históricos o en predicciones
de futuro a partir de estos mismos datos históricos. Posteriormente es necesario hacer una estimación del
impacto económico, sobre los anteriores pre-riesgos. Aquí se valoran todos los riesgos, a diferencia de
otros sistemas tradicionales. De este modo evitamos dejar de lado amenazas poco probables que tengan
un impacto muy grande (cisnes negros). Sólo deben descartarse las poco probables y con impacto
económico bajo. Este sería un primer descarte de los pre-riesgos.
Aquí acabarían otros modelos, pero en este modelo hay que prever la evolución temporal de estas
estimaciones (probabilidad e impacto). Es decir, estimar cuales serían los valores de las probabilidades y
los impactos si transcurriesen 1 o 2 años sin cambiar los controles actuales, haciendolo también en el
supuesto de haber aplicado ADR (riesgos dinámicos). En la siguiente figura se aprecia una simulación de
2.000 iteraciones (método de Montecarlo) en el que se ve una relación cuantitativa de impactos
económicos (eje de abscisas) junto con la cantidad de incidentes ocurridos en la simulación para ese
impacto (eje de ordenadas):
Ilustración 13: Fuente propia “Simulación Riesgos Estáticos”
Se puede apreciar como en el segundo año el número de impactos de nivel medio (franja central)
empiezan a ser preocupantes y como en el tercer año la mayoría de los impactos son de nivel alto (franja
derecha) o medio. Efectuando esta misma simulación con la filosofía de riesgos dinámicos los resultados
varían significativamente.

Ilustración 13: Fuente propia “Simulación Riesgos Dinámicos”
En efecto, en este caso solamente se alcanzan impactos de nivel medio en el tercer año y muy
residualmente algunos casos de impactos altos.
Para finalizar esta parte de la estimación, es necesario descartar aquellos riesgos que, por los cálculos
anteriores, no puedan ser tratados por alto coste económico. Este sería el segundo descarte de los pre-
riesgos. Todo debe quedar documentado, pero si a pesar de nuestras estimaciones, algunos riesgos no
pueden ser tenidos en cuenta por su alto coste, deben de ser descartados para que sean asumidos o
amparados por algún ciberseguro. Tras los riesgos descartados tendríamos el conjunto real de riesgos
sobre el inicial de pre-riesgos.
13.3Fase 3: Calculo final del riesgo
Sobre los riesgos calculados correspondientes al año en curso y los estimados a futuro, es necesario
aplicar un modelo matemático que combine todos valores de riesgo. Aquí cada organización debería darle
el peso deseado a cada componente: la estimación para el año actual y para los años futuros.
Normalmente tendrá más peso el riesgo actual, pero el modelo debería estar abierto a la asignación
variable de pesos.
Las técnicas de estimación de tendencias pueden servir de base, junto con otras técnicas estadísticas.
Cada organización deberá seleccionar un modelo que se ajuste mejor a su entorno y circunstancias:
 Métodos Delphi, series temporales, análisis estadísticos.
 Estimaciones por medio del método Cuadrático, Crecimiento exponencial, Curva S, etc.
 Métodos de Ponderaciones.

13.4Fase 4: Tratamiento del riesgo
Esta fase del modelo no tiene por qué tener un tratamiento del riesgo distinto de otros modelos. En
este sentido, el riesgo se trataría con los controles que habitualmente se utilizan para mitigar riesgos.
Existen listados bastante completos en metodologías tradicionales como MAGERIT o la propia ISO 27001.

14 Referencias
(1) 10 Riesgos evitables de Ciberseguridad” (Andrés Macario, noviembre de 2015)
https://andresmacario.com/10-riesgos-evitables-de-Ciberseguridad-en-la-empresa-infografia/
(2) La importancia de la evaluación de riesgo en auditorías” (Carolina Moncayo, Abril de 2016)
http://www.incp.org.co/la-importancia-de-la-evaluacion-de-riesgo-en-el-proceso-de-planeacion-de-
auditoria/
(3) Richard A. Caralli et Al., “Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment
Process”, SEI CERT Program Technical Report CMU/SEI-2007-TR-012, May 2007
http://resources.sei.cmu.edu/library/asset-view.cfm?assetID=8419
(4) Steve Durbin. “IRAM2 Managing information risk is a business essential”. Information Security Forum.
2014
(5) NIST Guide for Mapping Types of Information and Information Systems to Security Categories
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-60v1r1.pdf
(6) IRAM 2 Managing information risk is a business essential
https://www.securityforum.org/uploads/2015/03/ISF-IRAM2-ES.pdf
(7) Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process
https://resources.sei.cmu.edu/asset_files/TechnicalReport/2007_005_001_14885.pdf
(8) Publicación de INCIBE del 16-1-2017 sobre análisis de riesgos
https://www.incibe.es/protegetuempresa/blog/analisisriesgospasossencillo
(9) NVD (National Vulnerability Database) de los Estados Unidos.
https://nvd.nist.gov/
(10) Base de datos de la corporación Symantec
http://www.securityfocus.com
(11) ENISA National-level Risk Assessments: An Analysis Report
https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-
management-inventory/comparison/comparison.html?menu1=&menu2=&Button=+Go+

Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)

Semelhante a Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid) (20)

Último

Último (12)

Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)