You are on page 1of 80

1 DESCRIPCIN DE LA APLICACIN:

La presente aplicacin ha sido diseada como herramienta para facilitar el anlisis de riesgos solicitado en
A continuacin se proceder a describir el contenido de cada hoja de la aplicacin:

w Hoja Ejemplo de anlisis: contiene un ejemplo de anlisis de riesgos que podrs utilizar como referenci

w Hoja Tablas AR: incluye unas tablas orientativas para realizar las valoraciones de la probabilidad y el imp

w Hoja Catlogo amenazas: refleja las principales amenazas a considerar en el mbito de un anlisis de r

w Hoja Activos: contiene un listado con los activos definidos para cada uno de los modelos de empresa pr

w Hoja Cruces Activo-Amenaza: se utilizar para especificar las amenazas que afectan a los activos del m

w Hoja Anlisis de Riesgos: se utilizar para realizar el anlisis de riesgos. Se debe indicar la probabilida
2 FUNCIONAMIENTO DE LA APLICACIN:

w Paso 1: en la hoja Activos existe una columna llamada aplicacin. Esta columna contiene una lista de
(el resto se dejarn en blanco o se rellenarn con NO).

w Paso 2: en la hoja Cruces Activo-Amenaza se muestra en la primera columna todas las amenazas y en
incluir un SI (igual que en el paso 1) en los cruces entre activo y amenaza para que despus se muestre

w Paso 3: en la hoja Anlisis de Riesgos se debe pulsar el botn Mostrar activos (en la esquina superi
dichos activos.

w Paso 4: en la hoja Anlisis de Riesgos se debe elegir la probabilidad y el impacto de cada amenaza so
seleccionados se mostrara en la columna riesgos un nmero que representa el riesgo acorde a la tabla de

ANLISIS DE RIESGOS
INSTRUCCIONES PARA REALIZAR LA ACTIVIDAD FINAL

el anlisis de riesgos solicitado en la actividad final del curso.

aplicacin:

s que podrs utilizar como referencia para realizar la actividad.

oraciones de la probabilidad y el impacto segn una escala de tres valores.

erar en el mbito de un anlisis de riesgos.

uno de los modelos de empresa propuestos en las instrucciones de la actividad final.

azas que afectan a los activos del modelo elegido.

gos. Se debe indicar la probabilidad y el impacto de cada amenaza sobre cada uno de los activos.

Esta columna contiene una lista de dos opciones (SI/NO). Hay que rellenar con SI los activos que se apliquen dependie

a columna todas las amenazas y en la primera fila los indicadores de activos (que se corresponden con los de la hoja Acti
naza para que despus se muestren automticamente en la hoja Anlisis de Riesgos.

strar activos (en la esquina superior izquierda). Este botn mostrar automticamente todos los activos elegidos, con cada

d y el impacto de cada amenaza sobre cada activo (se trata otra vez de una lista, pero con tres posibilidades (Bajo(1), Med
enta el riesgo acorde a la tabla de la hoja Tablas AR y el fondo de la casilla del color correspondiente.

ESGOS

R LA ACTIVIDAD FINAL

e los activos.

los activos que se apliquen dependiendo del modelo de empresa elegido

corresponden con los de la hoja Activos). El objetivo de esta hoja es


s.

e todos los activos elegidos, con cada una de las amenazas asociadas a

con tres posibilidades (Bajo(1), Medio(2), Alto (3)). Una vez


or correspondiente.

Esta informacin es facilitada por INCIBE de forma absolutamente gratuita y deb

ACTIVO
Servidor 01 (Contabilidad)
Servidor 01 (Contabilidad)
Router Wifi (Clientes)
Router Wifi (Clientes)
Servidor 02 (Web)
Servidor 02 (Web)

Este documento permite realizar un anlisis de riesgos sencillo en base a una escala de probababilidad
1. Determinar el riesgo aceptable por la organizacin, e indicarlo en la pestaa "Tablas AR".
2. Identificar los activos crticos de la organizacin.
3. Identificar las amenazas que aplican a cada uno de los activos crticos, segn la pestaa "Cat
4. Establecer la probabilidad y el impacto de que dicha amenaza se materialice, segn los valore
5. Establecer medidas para aquellos riesgos que superen el riesgo aceptable indicado.
Campos de la tabla:
Activo: Nombre del activo sobre el que se evala el riesgo.
Amenaza: Descripcin de la amenaza a la que est expuesta el activo.
Probabilidad. Probabilidad de materializacin de la amenaza.
Impacto. Impacto derivado de la materializacin de la amenaza.
Riesgo. Valor de riesgo resultante.

En las pestaas de la hoja Excel se incluye informacin relevante sobre los niveles orientativos de prob

da por INCIBE de forma absolutamente gratuita y debe considerarse como una primera aproximac
misma.

ANLISIS DE RIESGOS
AMENAZA
Fuga de informacin
Degradacin de los soportes de almacenamiento de la informacin
Cada del sistema por sobrecarga
Denegacin de servicio
Denegacin de servicio
Corte del suministro elctrico

(Aadir a la tabla tantas filas como sea necesario)

ad e impacto de tres niveles. Instrucciones:

logo Amenazas".
res de la pestaa "Tablas AR".

obabilidad y riesgo, as como un catlogo de amenazas bsico.

acin. INCIBE no se responsabiliza del uso que pueda hacerse de la

PROBABILIDAD

IMPACTO

RIESGO

Esta informacin es facilitada por INCIBE de forma absolutamente gratuita y de

TABLA P
VALOR
Bajo (1)
Medio (2)
Alto (3)

TABL
VALOR
Bajo (1)
Medio (2)
Alto (3)

CRITERI
RANGO
Riesgo <= 4
Riesgo > 4
SI
NO

Debajo se recogen tablas orientativas para realizar las valoraciones de impa


aumentarse el nmero de intervalos de la escala.

Asimismo, se incluye una tabla para la definicin del riesgo aceptable, que d

rmacin es facilitada por INCIBE de forma absolutamente gratuita y debe considerarse como una
de la misma.

TABLA PARA ESTIMAR LA PROBA

DESCRIPC
La amenaza se materializa a lo sumo una vez cada ao.
La amenaza se materializa a lo sumo una vez cada mes.
La amenaza se materializa a lo sumo una vez cada semana.

TABLA PARA ESTIMAR EL IMP

DESCRIPC
El dao derivado de la materializacin de la amenaza no tiene consecuencias relevantes para la organizacin.
El dao derivado de la materializacin de la amenaza tiene consecuencias reseables para la organizacin.

El dao derivado de la materializacin de la amenaza tiene consecuencias graves reseables para la organizac

CRITERIOS DE ACEPTACIN DEL

DESCRIPC
La organizacin considera el riesgo poco reseable.
La organizacin considera el riesgo reseable y debe proceder a su tratamiento.

uede

gia corporativa.

hacerse

El siguiente listado recoge las


catlogo de amenazas de MAG
Para informacin ms detallad
http://administracionelectron

Esta informacin es facilitada por INCIBE de fo

Amenazas
Fuego
Daos por agua
Desastres naturales

Amenazas
Fuga de informacin
Introduccin de falsa informacin
Alteracin de la informacin
Corrupcin de la informacin
Destruccin de informacin
Interceptacin de informacin (escucha)

istado recoge las principales amenazas a considerar en el mbito de un anlisis de riesgos. Se t


amenazas de MAGERIT.
acin ms detallada, pueden consultarse los catlogos de MAGERIT V3 en su pgina web:
nistracionelectronica.gob.es/ctt/verPestanaDescargas.htm?idIniciativa=184#.U48C7Pl_tO4

a por INCIBE de forma absolutamente gratuita. INCIBE no se responsabiliza del uso que pueda h

Amenazas
Corte del suministro elctrico
Condiciones inadecuadas de temperatura o humedad
Fallo de servicios de comunicaciones
Interrupcin de otros servicios y suministros esenciales
Desastres industriales

Amenazas
Degradacin de los soportes de almacenamiento de la informacin
Difusin de software daino
Errores de mantenimiento / actualizacin de programas (software)
Errores de mantenimiento / actualizacin de equipos (hardware)
Cada del sistema por sobrecarga
Prdida de equipos
Indisponibilidad del personal
Abuso de privilegios de acceso
Acceso no autorizado

is de riesgos. Se trata de un extracto ligeramente modificado del

pgina web:
4#.U48C7Pl_tO4

el uso que pueda hacerse de la misma.

Amenazas
Errores de los usuarios
Errores del administrador
Errores de configuracin

Amenazas
Denegacin de servicio
Robo
Indisponibilidad del personal
Extorsin
Ingeniera social

Identificador
Modelo A

Modelo B

Modelo C

A1
A2
A3
B1
B2

B3
B4
C1
C2
C3
C4
C5
C6
C7

Activo
ordenador(es)
mvil(es) principalmente para telefona
conexin a Internet e incluso wifi
ordenadores y conexin a Internet (con wifi)
dispositivos mviles para telefona y datos
soluciones tecnolgicas gratuitas para la gestin empresarial como correo electrnico, CRM e incluso
herramientas colaborativas o de almacenamiento cloud
una pgina web sencilla alojada y gestionada por un proveedor externo
ordenadores e incluso algn servidor (web, correo electrnico,)
conexin a Internet con wifi
dispositivos mviles con datos y apps para su trabajo
herramienta(s) comercial(es) de gestin de negocio (CRM y ERP)
pgina web / tienda online y redes sociales que gestionan desde la empresa
herramientas para empresas en la nube
e-administracin para su relacin con las AAPP

Aplicacin

Amenaza/Activo
Fuego
Daos por agua
Desastres naturales
Fuga de informacin
Introduccin de falsa informacin
Alteracin de la informacin
Corrupcin de la informacin
Destruccin de informacin
Interceptacin de informacin (escucha)
Corte del suministro elctrico
Condiciones inadecuadas de temperatura o humedad
Fallo de servicios de comunicaciones
Interrupcin de otros servicios y suministros esenciales
Desastres industriales
Degradacin de los soportes de almacenamiento de la informacin
Difusin de software daino
Errores de mantenimiento / actualizacin de programas (software)
Errores de mantenimiento / actualizacin de equipos (hardware)
Cada del sistema por sobrecarga
Prdida de equipos
Indisponibilidad del personal
Abuso de privilegios de acceso
Acceso no autorizado
Errores de los usuarios
Errores del administrador
Errores de configuracin
Denegacin de servicio
Robo
Indisponibilidad del personal
Extorsin
Ingeniera social

A1

A2

A3

B1

B2

B3

B4

C1

C2

C3

C4

C5

C6

C7

Mostrar Activos

ANL
Activo

ANLISIS DE RIESGOS
Amenaza

Probabilidad

Impacto

Riesgo