You are on page 1of 225

ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

MODELO DE EVALUACIN DE RIESGOS EN ACTIVOS DE TICS


PARA PEQUEAS Y MEDIANAS EMPRESAS DEL SECTOR
AUTOMOTRIZ.

TESIS PREVIA A LA OBTENCIN DEL GRADO DE MAGISTER EN


GESTIN DE LAS COMUNICACIONES Y TECNOLOGAS DE LA
INFORMACIN

ING. MONCAYO RACINES DIANA ELIZABETH


dianilla_e@hotmail.com

DIRECTOR: ING. MONTENEGRO ARMAS CARLOS ESTALESMIT


carlos.montenegro@epn.edu.ec

Quito, Agosto 2014


1

DECLARACIN
Yo, Diana Elizabeth Moncayo Racines, con cedula de identidad 1716594799 declaro
que el presente trabajo de investigacin, titulado MODELO DE EVALUACIN DE
RIESGOS EN ACTIVOS DE TICS PARA PEQUEAS Y MEDIANAS EMPRESAS
DEL SECTOR AUTOMOTRIZ, es de mi autora y de ninguna manera es copia total
o parcial de otro trabajo, tesis, o investigacin publicada. Todas las fuentes
bibliogrficas y digitales han sido citadas con la informacin respectiva. Asumo mi
total responsabilidad en caso de existir inconvenientes relacionados a plagio o copia
textual.

Diana Elizabeth Moncayo Racines


CI: 1716594799

CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Diana Elizabeth Moncayo
Racines, bajo mi supervisin.

Ing. Carlos Montenegro.


DIRECTOR DE TESIS

ii

AGRADECIMIENTO
A la Escuela Politcnica Nacional, que me permiti adquirir nuevos
conocimientos y me hizo madurar profesionalmente.

A las empresas Provemovil S.A y Provealquileres S.A, por haberme


facilitado el acceso a la informacin necesaria para llevar a cabo el
modelo de evaluacin de riesgos y por la apertura en la fase del trabajo
de campo.

Al apoyo de mi familia, ya que han contribuido con su ejemplo,


experiencia y me han guiado siempre en la labor de crecer en
conocimiento valores y tica profesional.

iii

DEDICATORIA

El presente trabajo lo dedico principalmente a Dios, as como tambin a mis padres y


hermanas, ya que gracias a su apoyo, cario y dedicacin me han dado fuerzas para
culminar esta etapa de formacin personal.

iv

CONTENIDO

CAPTULO I
ANLISIS E INTEGRACIN DE LOS MODELOS APLICADOS A RIESGOS TECNOLGICOS.

1.1

Caractersticas, funcionamiento y proceso de la herramienta Magerit en activos tecnolgicos.

1.1.1

Generalidades de la Metodologa Magerit

1.1.2

Componentes de la Metodologa Magerit

1.1.2.1 Mtodo

1.1.2.2 Catlogo de Elementos

1.1.2.3 Gua de Tcnicas

Anlisis de riesgos en Activos Magerit

1.1.3.1 Paso 1. Determinar activos de la organizacin.

1.1.3

1.1.3.2 Paso 2, Determinar amenazas a las que estn expuestos


los activos.

12

1.1.3.3 Paso 3 Determinar salvaguardas frente al riesgo de activos.

16

1.1.3.4 Paso 4, Estimar el impacto del activo derivado de la


materializacin de la amenaza.

18

1.1.3.5 Paso 5, Estimar el riesgo que refiere a la materializacin de


la amenaza.

1.2

18

Caractersticas, funcionamiento y proceso de la herramienta Octave en activos tecnolgicos.

1.2.1

Generalidades de la Metodologa Octave

20

1.2.2

Componentes de la Metodologa

21

1.2.2.1 Paso1. Establecer los criterios de medicin de riesgos.

21

1.2.2.2 Paso 2. Desarrollar un perfil de Activos de Informacin.

22

1.2.2.3 Paso 3. Identificar los contenedores de informacin de activos. 22


1.2.2.4 Paso 4. Identificar reas de preocupacin

22

1.2.2.5 Paso 5. Identificar los escenarios de amenaza

23

1.2.2.6 Paso 6. Identificar los riesgos

24

1.2.2.7 Paso 7. Analizar los riesgos

24

1.2.3
1.3

1.2.2.8 Paso 8. Seleccin enfoque de mitigacin.

24

Anlisis de riesgos en Activos Octave

25

Caractersticas, funcionamiento y proceso de la norma NIIF en activos


tecnolgicos
1.3.1

Generalidades de la Metodologa NIIF

28

1.3.2

Componentes de la Metodologa

28

1.3.3

Anlisis de riesgos en Activos.

31

1.4

Fundamentos para el desarrollo del modelo de evaluacin de riesgos.

35

1.5

Integracin de las herramientas metodolgicas del estudio.

43

CAPTULO II
DESARROLLO DEL MODELO DE EVALUACION DE RIESGOS

2.1. Consideraciones Especiales

50

2.2. Diseo del modelo de evaluacin de riesgos en base a los procesos efectivos
de las herramientas: Magerit, Octave y NIIF para pequeas y medianas
empresas del sector automotriz.

51

2.2.1

Identificacin de los Activos TICs

51

2.2.2

Dimensiones de Valoracin de los Activos TICs

59

2.2.3

Criterios de medicin del riesgo

60

2.2.4

Identificacin de amenazas

68

2.2.5

Identificacin de riesgos.

74

2.2.6.

Identificacin de salvaguardas y procedimientos

78

2.2.6.1 Plan de Recuperacin.

86

2.3 Proceso de implementacin del modelo de evaluacin de riesgos..


2.3.1

Anlisis situacional de las empresas

88

2.3.2

Seleccin de los participantes.

89

2.3.3

Recopilacin de Informacin.

92

2.3.4

Entrega de Resultados.

94

CAPTULO III
APLICACIN DEL MODELO

3.1 EMPRESA PROVEMOVIL S.A

vi

3.1.1. Anlisis Situacional.


3.1.2.

95

Seleccin de los participantes que intervienen en la evaluacin


del modelo.

100

3.1.3

Recopilacin de Informacin del caso de estudio.

100

3.1.4

Entrega de Resultados.

102

3.2 EMPRESA PROVEALQUILERES S.A


3.2.1

Anlisis situacional.

127

3.2.2

Seleccin de los participantes que intervienen en la evaluacin


del modelo.

130

3.2.3

Recopilacin de Informacin del caso de estudio.

130

3.2.4

Entrega de Resultados.

132

3.3 DISCUSIN DE RESULTADOS

159

CAPTULO IV
CONCLUSIONES Y RECOMENDACIONES

4.1.

Conclusiones

192

4.2.

Recomendaciones

195

REFERENCIAS BIBLIOGRFICAS

196

ANEXOS

ANEXO 1:

ANEXO 2:

Cartas de autorizacin de empresas del sector automotriz, para


investigacin del modelo de evaluacin de riesgos.

201

Tablas de Identificacin y seleccin de activos TICs en empresas

202

del sector automotriz


ANEXO 3:

Catlogo de amenazas

203

ANEXO 4:

Resultados aplicacin Empresa-PROVEMOVIL S.A

204

ANEXO 5:

Resultados aplicacin Empresa-PROVEALQUILERES S.A

205

ANEXO 6:

Carta de entrega del informe de valoracin de activos.

206

ANEXO 7:

Referencias Bibliogrficas

207

vii

INDICE DE FIGURAS

Figura 1:

Fases del anlisis de la Metodologa Magertit

Figura 2:

Fases del mtodo OCTAVE

26

Figura 3:

Valor razonable tomando en cuenta NIIF

33

Figura 4:

Medicin de un activo NIIF

33

Figura 5:

Ejemplo depreciacin de un activo segn Tabla 17.

37

Figura 6:

Ejemplo depreciacin de un activo con deterioro Tabla 17.

39

Figura 7:

Modelo evaluacin de riesgos

43

Figura 8:

Etapas anlisis evaluacin de riesgos

44

Figura 9:

Valoracin de riesgos de los activos TICS

60

Figura 10:

Criterio de medicin de riesgos

61

Figura 11:

Medicin de un activo NIIF

63

Figura 12:

Porcentajes de depreciacin segn ejemplo

Figura 13:

Impacto riesgos y amenazas

75

Figura 14:

Actividades de los participantes

90

Figura 15:

Formato de encuesta preliminar

92

Figura 16:

Organigrama estructural de la empresa PROVEMOVIL S.A

100

Figura 17:

Seleccin de encuesta sistema GRATICS

103

Figura 18:

Encuesta desde (Sistema GRATICS PROVEMOVIL S.A)

104

Figura 19:

Vista de Men Inventario Activos TICS

109

Figura 20:

Organigrama estructural de la empresa PROVEALQUILERES S.A

129

Figura 21:

Encuesta realizada PROVEALQUILERES S.A

133

viii

Tabla 29

66

INDICE DE TABLAS
Tabla 1:

Clasificacin Activos /Servicios

Tabla 2:

Clasificacin Activos /Datos

Tabla 3:

Clasificacin Activos /Software

Tabla 4:

Clasificacin Activos /Hardware

Tabla 5:

Clasificacin Activos /Redes Comunicaciones.

10

Tabla 6:

Clasificacin Activos/ Soportes de informacin.

10

Tabla 7:

Clasificacin Activos /Equipamiento Auxiliar.

11

Tabla 8:

Clasificacin Activos /Instalaciones.

11

Tabla 9:

Clasificacin Activos /Personas

12

Tabla 10:

Criterios de valoracin Magerit

13

Tabla 11:

Amenazas por activos/Servicios

15

Tabla 12:

Salvaguardas por activos/Servicios

17

Tabla 13:

Descripcin de los rboles de amenazas Octave

23

Tabla 14:

Modelo del Costo NIIF

32

Tabla 15:

Modelo de Reevaluacin NIIF

32

Tabla 16:

Polticas Contables Provemovil S.A y Provealquileres S.A

36

Tabla 17:

Ejemplo depreciacin de un activo

37

Tabla 18:

Formato resultante activos NIIF

51

Tabla 19:

Activos TICs Magerit Y Octave

54

Tabla 20:

Clasificacin Activo Servicios

55

Tabla 21:

Clasificacin Activo Hardware

55

Tabla 22:

Clasificacin Activo Software

56

ix

Tabla 23:

Clasificacin Activo Soportes de Informacin

56

Tabla 24:

Clasificacin Activo Personas.

57

Tabla 25:

Campos de la tabla de activos.

59

Tabla 26:

Criterios de evaluacin activos tangibles segn valores NIIF.

64

Tabla 27:

Criterios de evaluacin activos intangibles segn valores NIIF

64

Tabla 28:

Dimensiones y causas de afectacin

65

Tabla 29:

Ejemplo de medicin de activo NIIF.

66

Tabla 30:

Criterio de afectacin del ejemplo tabla 29

Tabla 31:

Identificacin de Amenazas

72

Tabla 32:

Ejemplo seleccin de Amenazas por Activos

73

Tabla 33:

Ejemplo relacin encuesta y Amenazas

76

Tabla 34:

Ejemplo medicin riesgo encuesta y Amenazas

76

Tabla 35:

Matriz Impacto riesgos y amenazas

77

Tabla 36

Ejemplo relacin encuesta y Salvaguardas

87

Tabla 37:

Formato mitigacin de riesgos. Basado [11]

87

Tabla 38:

Formato Anlisis Situacional de la empresa.

88

Tabla 39:

Responsabilidades del Participante

90

Tabla 40:

Actividades de los Participantes

91

Tabla 41:

Matriz resultante de la encuesta

93

Tabla 42:

Documentos entregables de la Evaluacin de riesgos

94

Tabla 43:

Anlisis situacional empresa PROVEMOVIL S.A

100

Tabla 44:

Seleccin de Participantes PROVEMOVIL S.A

100

Tabla 45:

Valoracin de resultados de la encuesta (Sistema GRATICS)

105

Tabla 46:

Afectaciones encontrada por encuesta

106

68

Tabla 47:

Resultados Financieros Contabilidad activos

107

Tabla 48:

Activos TICs clasificados Provemovil S.A

108

Tabla 49a:

Inventario Activos TICS (Riesgos Iniciales) PROVEMOVIL S.A

109

Tabla 49b:

Inventario Activos TICS (Riesgos Iniciales) PROVEMOVIL S.A

110

Tabla 49c:

Inventario Activos TICS (Riesgos Iniciales) PROVEMOVIL S.A

111

Tabla 50:

Detalle de Activos TICS PROVEMOVIL S.A

112

Tabla 51:

Riesgos de Activos-Servicios PROVEMOVIL S.A

112

Tabla 52:

Riesgos de Activos-Hardware PROVEMOVIL S.A

113

Tabla 53:

Riesgos de Activos-Software PROVEMOVIL S.A

113

Tabla 54:

Riesgos de Activos S. Informacin PROVEMOVIL S.A

114

Tabla 55:

Matriz de riesgos Activos Hardware PROVEMOVIL S.A

115

Tabla 56:

Matriz de riesgos otros activos PROVEMOVIL S.A

116

Tabla 57:

Detalle Amenazas por Encuesta PROVEMOVIL S.A

117

Tabla 58:

Dimensiones Amenazas por Encuestas PROVEMOVIL S.A

119

Tabla 59:

Matriz Salvaguardas por amenazas PROVEMOVIL S.A

120

Tabla 60:

Matriz Salvaguardas por encuesta PROVEMOVIL S.A

121

Tabla 61a:

Salvaguardas Activo-Servicios PROVEMOVIL S.A

121

Tabla 61b:

Salvaguardas Activo-Hardware PROVEMOVIL S.A

122

Tabla 61c:

Salvaguardas Activo-Software PROVEMOVIL S.A

123

Tabla 61d:

Salvaguardas Activo S. Informacin

123

Tabla 62:

Procedimiento (1). Protecciones generales u horizontales


PROVEMOVIL S.A

124

Tabla 63:

Procedimiento (2). Proteccin de los datos/informacin


PROVEMOVIL S.A

124

Tabla 64:

Procedimiento (4). Proteccin de los servicios.

125

xi

PROVEMOVIL S.A

PROVEMOVIL S.A
Tabla 65:

Procedimiento (7). Proteccin de las comunicaciones.


PROVEMOVIL S.A

Tabla 66:

Procedimiento (8). Proteccin en los puntos de interconexin con


otros sistemas PROVEMOVIL S.A

125

126

Tabla 67:

Procedimiento (11). Seguridad fsica, proteccin de las instalaciones


PROVEMOVIL S.A

126

Tabla 68:

Procedimiento (12). Salvaguardas relativas al personal.


PROVEMOVIL S.A

126

Tabla 69:

127

Tabla 70:

Procedimiento (13). Salvaguardas de tipo organizativo.


PROVEMOVIL S.A
Anlisis situacional PROVEALQUILERES S.A

Tabla 71:

Seleccin de Participantes PROVEALQUILERES S.A

130

Tabla 72:

Criterios de valoracin PROVEALQUILERES S.A

134

Tabla 73:

Afectaciones encontradas PROVEALQUILERES S.A

135

Tabla 74:

Inventario de activos segn contabilidad


PROVEALQUILERES S.A

136

Tabla 75:

Activos TICs clasificados PROVEALQUILERES S.A

137

Tabla 76:

Inventario Activos TICS PROVEALQUILERES S.A

139

Tabla 77:

Riesgos de Activos-Servicios PROVEALQUILERES S.A

140

Tabla 78:

Riesgos de Activos-Hardware PROVEALQUILERES S.A

141

Tabla 79:

Riesgos de Activos-Software PROVEALQUILERES S.A

141

Tabla 80:

Riesgos de Activos-S. Informacin. PROVEALQUILERES S.A

142

Tabla 81:

Relacin Amenazas/Salvaguardas. PROVEALQUILERES S.A

143

Tabla 82a:

Matriz de riesgos Activos Hardware PROVEALQUILERES S.A

144

Tabla 82b:

Matriz de riesgos Activos Hardware PROVEALQUILERES S.A

144

Tabla 83:

Matriz de riesgos Activos Software PROVEALQUILERES S.A

145

Tabla 84:

Matriz de riesgos Activos-S. Informacin PROVEALQUILERES S.A

145

xii

130

Tabla 85:

Amenazas de mayor criticidad por Encuesta


PROVEALQUILERES S.A

146

Tabla 86:

Dimensiones Amenazas por Encuesta PROVEALQUILERES S.A

147

Tabla 87a:

Matriz Salvaguardas por amenazas PROVEALQUILERES S.A

148

Tabla 87b:

Matriz Salvaguardas por amenazas PROVEALQUILERES S.A

148

Tabla 88:

Matriz Salvaguardas por encuesta PROVEALQUILERES S.A

149

Tabla 89:

Detalle Salvaguardas por encuesta PROVEALQUILERES S.A

150

Tabla 90a:

Salvaguardas Activos-Servicios PROVEALQUILERES S.A

151

Tabla 90b:

Salvaguardas Activos-Hardware PROVEALQUILERES S.A

152

Tabla 90c:

Salvaguardas Activos-SW, SI, Personas PROVEALQUILERES S.A

153

Tabla 91:

Procedimiento (1). Protecciones generales u horizontales


PROVEALQUILERES S.A

154

Procedimiento (2). Proteccin de los datos/informacin


PROVEALQUILERES S.A

154

Procedimiento (4). Proteccin de los servicios.


PROVEALQUILERES S.A

155

Procedimiento (6). Proteccin de los equipos Hardware.


PROVEALQUILERES S.A

155

Procedimiento (7). Proteccin de las comunicaciones.


PROVEALQUILERES S.A

156

Procedimiento (8). Proteccin en los puntos de interconexin con


otros sistemas PROVEALQUILERES S.A

156

Procedimiento (10). Proteccin de los elementos auxiliares


PROVEALQUILERES S.A

157

Procedimiento (12). Salvaguardas relativas al personal.


PROVEALQUILERES S.A

157

Procedimiento (13). Salvaguardas de tipo organizativo.


PROVEALQUILERES S.A

158

Tabla 92:

Tabla 93:

Tabla 94:

Tabla 95:

Tabla 96:

Tabla 97:

Tabla 98:

Tabla 99:

xiii

Tabla 100:

Tabla 101:

Tabla 102:

Tabla 103:

Procedimiento (14). Continuidad de operaciones.


PROVEALQUILERES S.A

158

Procedimiento (15). Externalizacin.


PROVEALQUILERES S.A

159

Procedimiento (15). Adquisicin y desarrollo


PROVEALQUILERES S.A

159

Relacin afectaciones PROVEMOVIL S.A

163

xiv

Tabla 104:

Activos TICS con mayor criticidad PROVEMOVIL S.A

164

Tabla 105:

Activo Servidor Secundario riesgo (5) PROVEMOVIL S.A)

165

Tabla 106:

Activo Equipo Pentium riesgo (5) PROVEMOVIL S.A

165

Tabla 107:

Activo UPS 1500 riesgo (5) PROVEMOVIL S.A

166

Tabla 108:

Activo Impresora Samsung riesgo (5) PROVEMOVIL S.A

167

Tabla 109:

Activo Impresora Principal riesgo (5) PROVEMOVIL S.A

167

Tabla 110:

Activo Impresora Epson LX_300 riesgo (4) PROVEMOVIL S.A

168

Tabla 111:

Activo Computador Respaldo riesgo (4) PROVEMOVIL S.A

168

Tabla 112:

Activo Computador Dual Core. Riesgo (4) PROVEMOVIL S.A

169

Tabla 113:

Amenazas con mayor probabilidad de materializarse.


PROVEMOVIL S.A

170

Tabla 114:

Relacin afectaciones PROVEALQUILERES S.A

179

Tabla 115:

Activos TICS con mayor criticidad PROVEALQUILERES S.A

180

Tabla 116:

Activo Mac 1.6 PROVEALQUILERES S.A

181

Tabla 117:

Activo Licencias Office riesgo (3) PROVEAQLUILERES S.A

181

Tabla 118:

Amenazas con mayor probabilidad de materializarse.


PROVEALQUILERES S.A

183

xv

RESUMEN
Actualmente, las pequeas y medianas empresas no conocen de forma clara
los riesgos a la que est sometida su organizacin, parte de ellas aplican
planes de contingencia a nivel empresarial, pero no cuantifican sus activos y el
riesgo por cada uno de ellos.
Por tal motivo, a partir de este estudio se propone la creacin de un modelo de
evaluacin de riesgos, basado en las metodologas Magerit, Octave y normas
NIIF (Normas Internacionales de Informacin Financiera), el mismo que
aportar a las empresas a obtener informacin sobre los riesgos, amenazas, y
protecciones que deben considerar para evitar y tomar medidas de prevencin
oportunas y adecuadas.
El nuevo modelo, va a completar un ciclo de identificacin de activos
proponiendo su clasificacin a servicios, hardware, software, soportes de
informacin y personas, de los cuales se pueda determinar los puntos ms
dbiles o vulnerables, de cada activo TICs,

La metodologa utilizada para la aplicacin del modelo, fue de tipo cuantitativo


y cualitativo, ya que se aplic una encuesta a los participantes de las dos
empresas de estudio, y por otra parte se accedi a documentacin que
permiti conocer la situacin actual referente a infraestructura, equipamiento y
activos TICs.

El modelo es de fcil aplicacin y ayudar a las organizaciones a dirigir y


gestionar las evaluaciones de riesgos por s mismos, tomando las mejores
decisiones para controlar y mitigar sus riesgos.

xvi

PRESENTACIN
El presente estudio, plantea la creacin de un modelo de evaluacin de riesgos que
va a ir enfocado en el anlisis por activo tecnolgico, donde se identificar las
posibles amenazas o riesgos a los que estn expuestos los elementos de trabajo de
la organizacin.
De este modo, esta investigacin cuenta con cuatro captulos estructurados de la
siguiente forma:

En el Captulo I, se aborda los conceptos y caractersticas de las metodologas de


gestin de riesgos Magerit y Ocatve, y de las normas NIIF (Normas Internacionales
de Informacin Financiera). Adems se explica cmo se integran dichas
metodologas y polticas.

En el Captulo II, se desarrolla el modelo propuesto de evaluacin de riesgos, y se


explica el procedimiento de aplicacin del mismo: Identificacin de activos, criterios
de valoracin, identificacin de riesgos y amenazas, salvaguardas, entre otros.

En el Captulo III, se recopila informacin sobre el inventario de los activos humanos


y tecnolgicos, as como informacin sobre la

situacin actual que tienen las

empresas Provemovil S.A y Provealquileres S.A, posteriormente se aplica el modelo


propuesto en dichas empresas y se obtiene resultados de la evaluacin de riesgos,
adems se propone salvaguardas y procedimientos, que puedan mitigar los riesgos
que afectan el normal funcionamiento de la entidad.

Finalmente, en el Captulo IV recoge las conclusiones y recomendaciones del


trabajo.

xvii

.................

185

ANEX

CAPTULO I

ANLISIS E INTEGRACIN DE LOS MODELOS APLICADOS A


RIESGOS TECNOLGICOS.
1.1 Caractersticas,

funcionamiento

proceso

de

la

herramienta Magerit en activos tecnolgicos.

1.1.1 Generalidades de la Metodologa Magerit


MAGERIT(Metodologa de Anlisis y Gestin de riesgos de los sistemas de
informacin): Es una metodologa de carcter pblico, perteneciente al
Ministerio de Administraciones Pblicas y fue elaborado por el Consejo
superior de administracin Electrnica. Ofrece una clasificacin amplia de
activos y describe mtodos prcticos para la realizacin de anlisis de los
riesgos. [1].1
Los activos que propone Magerit para su implementacin son: servicios, datos,
hardware, software, soportes de informacin, redes comunicaciones, equipos
auxiliares, instalaciones y personas.
La razn de ser de Magerit est directamente relacionada con la
generalizacin del uso de las tecnologas de la informacin, que supone

1Ministerio de Administraciones Pblicas de Espaa, MAGERIT-Versin 2, Metodologa de Anlisis y Gestin de Riesgos

de

los

sistemas

de

informacin,

(2005),

Mtodo

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=184,
ltimo acceso: 17-12- 2012.

En:

beneficios evidentes para la empresa, pero que dan lugar a ciertos riesgos que
deben minimizarse con medidas de seguridad que generen confianza.
Magerit persigue los siguientes objetivos:
Directos: 1) Concienciar a los responsables de los sistemas de informacin de
la existencia de riesgos y de la necesidad de atajarlos a tiempo. 2) Ofrecer un
mtodo sistemtico para analizar tales riesgos. 3) Ayudar a descubrir y
planificar las medidas oportunas para mantener los riesgos bajo control.
Indirectos: 1) Preparar a la Organizacin para procesos de evaluacin,
auditora, certificacin o acreditacin, segn corresponda en cada caso. [1]
1.1.2 Componentes de la Metodologa Magerit
La metodologa Magerit, para llevar a cabo la implementacin de una gestin
de riesgos, se compone de tres libros:

I Mtodo

II Catlogo de Elementos

III Gua de Tcnicas

1.1.2.1 Mtodo

El primer libro de Magerit I: Mtodo, es una gua detallada para el


anlisis de gestin de riesgos y la estructuracin del proyecto de
implementacin de la metodologa.
En sus contenidos se describe las tareas bsicas para realizar un
proyecto de anlisis y gestin de riesgos, entendiendo que no basta con
tener los conceptos claros, sino que es conveniente pautar roles,
actividades, hitos y documentacin para que la realizacin del proyecto
de anlisis y gestin de riesgos est bajo control en todo momento [1]

1.1.2.2 Catlogo de Elementos


Propone un catlogo referente a:

Tipo de Activos

Dimensiones de valoracin de los activos

Criterios de valoracin de los activos

Amenazas tpicas sobre los sistemas de informacin.

Salvaguardas a considerar para proteger sistemas de


informacin. [1]

Estos elementos del catlogo son especficos y pretenden ser una gua
para el personal de la empresa que va a implementar la metodologa.
1.1.2.3 Gua de Tcnicas
La gua de tcnicas se refiere a cmo llevar a cabo proyectos de
anlisis y gestin de riesgos as como:
Tcnicas especficas para el anlisis de riesgos
Anlisis mediante tablas
Anlisis algortmico
rboles de ataque
Tcnicas generales
Anlisis costo-beneficio
Diagramas de flujo de datos
Diagramas de procesos
Tcnicas grficas
Planificacin de proyectos
Sesiones de trabajo: entrevistas, reuniones y presentaciones
Valoracin Delphi [1]

1.1.3 Anlisis de riesgos en Activos Magerit


Segn esta metodologa, el anlisis de riesgos es una aproximacin metdica
para determinar el riesgo, que se ha convertido en una herramienta para lograr
estrategias, lineamientos de deteccin y proteccin de los activos de la
organizacin.
Magerit en su gestin de riegos propone realizar los siguientes pasos, los
mismos que se muestran en la figura 1:
Paso 1: Determinar activos de la Organizacin
Paso 2: Determinar amenazas a las que estn expuestos los activos.
Paso 3: Determinar salvaguardas frente al riesgo de activos
Paso 4: Estimar el impacto del activo derivado de la materializacin de
la amenaza.
Paso 5: Estimar el riesgo que refiere a la materializacin de la
amenaza. [2]2

Inicialmente Magerit exige tratar los pasos 1, 2, 4 y 5, y posteriormente el paso


3, ya que inicialmente no puede existir salvaguardas en la organizacin, y en
general suelen determinarse despus del riesgo e impacto de activos.
La figura 1 muestra los pasos que se deben seguir en un anlisis de riesgo:

2Ministerio

de

los

de Administraciones Pblicas de Espaa, MAGERIT-Versin 2, Metodologa de Anlisis y Gestin de Riesgos


sistemas

de

informacin,

(2005),

Catalogo

de

Elementos

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=184,
ltimo acceso: 17-12- 2012.

En:

Figura 1: Fases anlisis Metodologa Magertit [2]

1.1.3.1

Paso 1. Determinar activos de la organizacin.

Los activos son bienes tangibles e intangibles necesarios que posee la empresa para
su buen desempeo laboral.
Los activos de Magerit se clasifican en:
1.- [S] Servicios
2.- [D] Datos/Informacin
3.- [SW] Aplicaciones (Software)
4.- [HW] Equipos Informticos (Hardware)
5.- [COM] Redes de comunicaciones
6.- [SI] Soportes de informacin
5

7.- [AUX] Equipamiento auxiliar


8.- [L] Instalaciones
9.- [P] Personal. [2]

1.- [S] Servicios


Los servicios de Magerit, presentan la siguiente clasificacin:

Nomenclatura

Tipo de Servicios

[anon]

annimo (sin requerir identificacin del usuario)

[pub]

al pblico en general (sin relacin contractual)

[ext]

a usuarios externos (bajo una relacin contractual)

[int]

interno (usuarios y medios de la propia organizacin)

[cont]

contratado a terceros (se presta con medios ajenos)

[www]

world wide web

[telnet]

acceso remoto a cuenta local

[email]

correo electrnico

[file]

almacenamiento de ficheros

[ftp]

transferencia de ficheros

[edi]

intercambio electrnico de datos

[dir]

servicio de directorio (1)

[idm]

gestin de identidades (2)

[ipm]

gestin de privilegios

[pki]

PKI - infraestructura de clave pblica (3)


Tabla 1: Clasificacin Activos /Servicios [2]

Los servicios se pueden determinar tanto interna como externamente y pueden ser
adaptados en las 15 opciones que presenta su clasificacin.
2.- [D] Datos/Informacin
Los datos/informacin de Magerit, presentan la siguiente clasificacin:

Nomenclatura

[vr]
[com]
[adm]
[int]
[voice]
[multimedia]
[source]
[exe]
[conf]
[log]
[test]
[per]
[A]
[M]
[B]
[label]
[S]
[R]
[C]
[DL]
[SC]

Tipo de Datos

datos vitales (vital records) (1)


datos de inters comercial (2)
datos de inters para la administracin pblica
datos de gestin interna
Voz
Multimedia
cdigo fuente
cdigo ejecutable
datos de configuracin
registro de actividad (log)
datos de prueba
datos de carcter personal (3)
de nivel alto
de nivel medio
de nivel bsico
datos clasificados (4)
Secreto
Reservado
Confidencial
difusin limitada
sin clasificar
Tabla 2: Clasificacin Activos /Datos [2]

Los datos son considerados como soportes de informacin que los usuarios los
deben valorar. Su clasificacin debe determinar los niveles de confidencialidad, y el
valor que los califica, ya sea alto medio o bajo.
Los datos representan una supervivencia para la organizacin, es decir que la
prdida o la falta de definicin de los mismos, afectara directamente en la existencia
de la organizacin.
3.- [SW] Aplicaciones (Software)
Las aplicaciones de Magerit, presentan la siguiente clasificacin:

Nomenclatura

Tipo de Software

[prp]
[sub]
[std]
[browser]
[www]
[app]
[email_client]
[file]
[dbms]
[tm]
[office]
[av]
[os]
[ts}
[backup}

desarrollo propio (in house)


desarrollo a medida (subcontratado)
estndar (off the shelf)
navegador web
servidor de presentacin
servidor de aplicaciones
cliente de correo electrnico
servidor de ficheros
sistema de gestin de bases de datos
monitor transaccional
ofimtica
anti virus
sistema operativo
servidor de terminales
sistema de backup

Tabla 3: Clasificacin Activos /Software [2]

Las aplicaciones de Magerit se refieren a programas, aplicativos, desarrollos, etc. La


recopilacin de estos tiene que ver con la automatizacin de la organizacin, que se
convierte en la prestacin de servicios interno y externo.

4.- [HW] Equipos Informticos (Hardware).


El hardware de Magerit, presenta la siguiente clasificacin:

Nomenclatura

[host]
[mid]
[pc]
[mobile]
[pda]
[easy]
[data]
[peripheral]
[print]
[scan]
[crypto]
[network]
[modem]
[hub]
[switch]
[router]
[bridge]
[firewall]
[wap]
[pabx]

Tipo de Hardware

grandes equipos (1)


equipos medios (2)
informtica personal (3)
informtica mvil (4)
agendas electrnicas
fcilmente reemplazable (5)
que almacena datos (6)
perifricos
medios de impresin (7)
escneres
dispositivos criptogrficos
soporte de la red (8)
mdems
concentradores
conmutadores
encaminadores
pasarelas
cortafuegos
punto de acceso wireless
centralita telefnica

Tabla 4: Clasificacin Activos /Hardware [2]

El hardware, se refiere a los bienes materiales o fsicos que son de utilidad para la
organizacin y que pueden ser remplazados si existe alguna afectacin.

5.- [COM] Redes de comunicaciones


Las redes de comunicaciones presentan la siguiente clasificacin:

Nomenclatura

[PSTN]
[ISDN]
[X25]
[ADSL]
[pp]
[radio]
[sat]
[LAN]
[MAN]
[Internet]
[vpn]

Tipo de Redes de
redes

red telefnica
rdsi (red digital)
X25 (red de datos)
ADSL
punto a punto
red inalmbrica
por satlite
red local
red metropolitana
Internet
red privada virtual

Tabla 5: Clasificacin Activos /Redes Comunicaciones. [2]

Estos activos hacen referencia a la contratacin de servicios por terceros.


6.- [SI] Soportes de informacin
Soportes de informacin, presentan la siguiente clasificacin:

Nomenclatura

[electronic]
[disk]
[san]
[disquette]
[cd]
[usb]
[dvd]
[tape]
[mc]
[ic]
[non_electronic]
[printed]
[tape]
[film]
[cards]

Tipo de Redes de comunicaciones

electrnicos
discos
almacenamiento en red
disquetes
cederrn (CD-ROM)
dispositivos USB
DVD
cinta magntica
tarjetas de memoria
tarjetas inteligentes
no electrnicos
material impreso
cinta de papel
microfilm
tarjetas perforadas

Tabla 6: Clasificacin Activos/ Soportes de informacin. [2]

10

Los soportes de informacin son medios fsicos de almacenamientos, que


resguardan la informacin de la organizacin.
7.- [AUX] Equipamiento auxiliar
Equipamiento auxiliar, presentan la siguiente clasificacin:
Nomenclatura

[power]
[ups]
[gen]
[ac]
[cabling]
[robot]
[tape]
[disk]
[supply]
[destroy]
[furniture]
[safe]

Tipo de Equipo Auxiliar

fuentes de alimentacin
sistemas de alimentacin ininterrumpida
generadores elctricos
equipos de climatizacin
cableado
robots
... de cintas
... de discos
suministros esenciales
equipos de destruccin de soportes de informacin
mobiliario: armarios, etc
cajas fuertes

Tabla 7: Clasificacin Activos /Equipamiento Auxiliar. [2]

El equipamiento auxiliar son los medios fsicos que apoyan a la infraestructura de la


organizacin.
8.- [L] Instalaciones
Las instalaciones presentan la siguiente clasificacin:
Nomenclatura

[site]
[building]
[local]
[mobile]
[car]
[plane]
[ship]
[shelter]
[channel]

Tipo de Instalaciones

emplazamiento
edificio
local
plataformas mviles
vehculo terrestre: coche, camin, etc.
vehculo areo: avin, etc.
vehculo martimo: buque, lancha, etc.
contenedores
canalizacin

Tabla 8: Clasificacin Activos /Instalaciones. [2]

11

Las instalaciones, son los lugares donde se encuentra la infraestructura tecnolgica,


e equipamiento de oficina, tambin se refiere a los automotores que posee la
organizacin.
9.- [P] Personal
El personal presenta la siguiente clasificacin:
Nomenclatura

[ue]
[ui]
[op]
[adm]
[com]
[dba]
[des]
[sub]
[prov]

Tipo de Instalaciones

usuarios externos
usuarios internos
operadores
administradores de sistemas
administradores de comunicaciones
administradores de BBDD
desarrolladores
subcontratas
proveedores

Tabla 9: Clasificacin Activos /Personas [2]

El personal, se refiere a las personas involucradas con los procesos y sistemas de


informacin dentro de la organizacin.

1.1.3.2

Paso 2, Determinar amenazas a las que estn expuestos los activos.

Este paso corresponde a la determinacin de las amenazas a los que estn


sometidos los activos.
Los activos estn expuestos a amenazas naturales como terremotos, deslaves,
inundaciones, etc. Tambin pueden existir amenazas causadas por el personal de la
organizacin.

12

Criterios de valoracin
Magerit, presenta una escala de valoracin logartmica, cuyo objetivo es hacer una
valoracin cualitativa respondiendo a valoraciones subjetivas por parte del personal
de la organizacin.

Tabla 10: Criterios de valoracin Magerit [2]

En la tabla 10, los activos pueden tener una valoracin ms detallada a escala de 0 10 segn criterios de valoracin.
Existen dimensiones de valoracin, que son caractersticas o atributos sobre cada
activo. De cada uno de ellos se determina cuan relevante es ese activo y cmo
afectara a la organizacin si el dao se llegara a materializar.
Sobre la relacin de dimensiones tenemos:

[D] Disponibilidad. Aseguramiento de que los usuarios autorizados tienen


acceso cuando lo requieran a la informacin y sus activos asociados. Se
refiere a la importancia que tendra el activo al no estar disponible y las
consecuencias de su afectacin seran graves.

[I] Integridad de los datos.


Es la importancia de que los datos sean modificados fuera de control, la
alteracin intencionada o involuntaria de los mismos, causara daos graves a
la organizacin.
13

[C] Confidencialidad de los datos.


Hace referencia a la confidencialidad y al dao grave que causara el hecho de
que los datos fueran conocidos por personas no autorizadas.

[A_S] Autenticidad de los usuarios del servicio.


Se refiere al acceso inesperado o no autorizado de un servicio por parte de un
usuario.

[A_D] Autenticidad del origen de los datos.


Tiene que ver con la relevancia de que los datos no sean entregados o
confiados a la persona equivocada.

[T_S] Trazabilidad del servicio


La importancia de conocer el momento y el responsable del uso del servicio.

[T_D] Trazabilidad de los datos


Expresa la importancia de conocer el momento y el responsable del uso de los
datos, su afectacin podra llegar a problemas de fraude en la organizacin.

Catlogo de amenazas
Magerit presenta un catlogo de amenazas, a los que pueden verse afectados los
activos de la organizacin.

[N] Desastres naturales


Sucesos que pueden ocurrir sin intervencin de los seres humanos como
causa directa o indirecta. [2].
[I] De origen industrial

14

Sucesos que pueden ocurrir de forma accidental, derivados de la actividad


humana de tipo industrial. Estas amenazas puede darse de forma accidental o
deliberada. [2].

[E] Errores y fallos no intencionados


Fallos no intencionales causados por las personas. La numeracin no es
consecutiva, sino que est alineada con los ataques deliberados, muchas
veces de naturaleza similar a los errores no intencionados, difiriendo
nicamente en el propsito del sujeto. [2].

[A] Ataques intencionados


Fallos deliberados causados por las personas. La numeracin no es
consecutiva para coordinarla con los errores no intencionados, muchas veces
de naturaleza similar a los ataques deliberados, difiriendo nicamente en el
propsito del sujeto. [2].
El catlogo de amenazas, tiene una clasificacin detallada para valoracin de
amenazas. Ver ANEXO 3.

Los tipos de amenazas, van relacionados con los activos.

Tabla 11: Amenazas por activos/Servicios [2]

15

Por ejemplo, en la figura 12 se muestra una tabla de activos/servicios donde las


amenazas estn representadas por su nomenclatura:

E1

Errores de los usuarios

E2

Errores del administrador

E3

Errores de monitorizacin (log)

E4

Errores de configuracin

E9 Errores de [re-]encaminamiento
E10 Errores de secuencia
E24 Cada del sistema por agotamiento de recursos
A4

Manipulacin de la configuracin

A5

Suplantacin de la identidad del usuario

A6

Abuso de privilegios de acceso

A7

Uso no previsto

A9 [Re-]encaminamiento de mensajes
A10 Alteracin de secuencia
A11 Acceso no autorizado
A13 Repudio
A24 Denegacin de servicio

Cada amenaza va determinando la afectacin que el activo servicios puede sufrir al


estar expuesto a amenazas de Errores y Ataques intencionados.

1.1.3.3

Paso 3 Determinar salvaguardas frente al riesgo de activos.

Las salvaguardas, son medidas de proteccin frente a las amenazas y pueden


convertirse en procedimientos para ayudar a prevenir riesgos e impactos.
16

La implantacin de salvaguardas en la organizacin va ayudar a prevenir, impedir,


reducir o controlarlos riesgos identificados.

Tabla 12: Salvaguardas por activos/Servicios [2]

En la Tabla 12, se muestra una clasificacin de salvaguarda que propone Magerit


para activos de servicios. El ciclo de vida tiene que ver con el funcionamiento
continuo del servicio, y la proteccin del valor se refiere a las acciones a tomar en la
organizacin, tomando en cuenta las dimensiones de valoracin del servicio.
El control de acceso es un servicio de salvaguarda recurrente que se aplica en
mltiples tipos de activos: acceso a los servicios, acceso a las aplicaciones, acceso
al sistema operativo, acceso a los soportes de informacin, acceso fsico a las
instalaciones, etc. Sobre la autentificacin del servicio se requiere un administrador
responsable de establecer privilegios.
Los mecanismos de identificacin y autenticacin son mltiples y pueden
combinarse de diferentes formas. Teniendo:
Contraseas: til para sistemas que soportan poco riesgo, o como
complemento a otros mecanismos.
Certificados digitales: til en sistemas expuestos a amenazas de repudio
Dispositivos (tokens o tarjetas): til en sistemas que soportan riesgo elevado
o requisitos de urgente disponibilidad

17

Caractersticas biomtricas: til para identificar personas, que no roles. [2]


Las salvaguardas presentan respuesta al riesgo, basados en procedimientos,
polticas empresariales, soluciones tcnicas (hardware, software, comunicaciones y
seguridad fsica).

1.1.3.4

Paso 4, Estimar el impacto del activo derivado de la materializacin de


la amenaza.

Se denomina impacto a la medida del dao sobre el activo derivado de la


materializacin de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradacin que causan las amenazas, es directo derivar el
impacto que estas tendran sobre el sistema. [2].

El impacto acumulado es el impacto evaluado en los activos inferiores. El impacto


acumulado se calcula, tomando en cuenta el valor acumulado y

la degradacin

causada por la amenaza. El impacto acumulado permite determinar las salvaguardas


protecciones sobre activos.

El Impacto repercutido mide el dao de los activos superiores. Es calculado sobre


un activo teniendo en cuenta su valor propio y

las amenazas a las que estn

expuestos los activos. El impacto repercutido se calcula para cada activo, por cada
amenaza y en cada dimensin de valoracin, siendo una funcin del valor propio y
de la degradacin causada.

1.1.3.5

Paso 5, Estimar el riesgo que refiere a la materializacin de la


amenaza.

18

Se denomina riesgo a la medida del dao probable sobre un sistema. Conociendo el


impacto delas amenazas sobre los activos, es directo derivar el riesgo sin ms que
tener en cuenta la frecuencia de ocurrencia. El riesgo crece con el impacto y con la
frecuencia. [2]

El riesgo acumulado se calcula tomando en consideracin el valor acumulado y el


efecto directo de las amenazas sobre el activo. Este riesgo se calcula para cada
activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del
valor acumulado la degradacin causada y la frecuencia de la amenaza.
El riesgo repercutido es calculado tomando en consideracin el valor propio del
activo.
El riesgo repercutido estima el dao a la organizacin, calculando el dao en los
activos explcitamente valorados.

19

1.2

Caractersticas, funcionamiento y proceso de la herramienta


Octave en activos tecnolgicos.

1.2.1 Generalidades de la Metodologa Octave


OCTAVE (Operationally Critical Threats Assets and Vulnerability Evaluation.).- Es
una metodologa de anlisis de riesgos que se desarroll en el ao 2001 por la
Universidad Carnegie Mellon; se encarga de estudiar los riesgos en base a tres
principios Confidencialidad, Integridad y disponibilidad. Esta metodologa evala
amenazas y vulnerabilidades de los recursos tecnolgicos y operacionales
importantes de una organizacin.

El objetivo de Octave es identificar los requisitos de seguridad de la informacin,


cuantificando el riesgo sobre el negocio para establecer planes de accin con la
mejor relacin costo/beneficio [3]3.
La metodologa pretende identificar y evaluar los riesgos de seguridad de informacin
en la organizacin tomando aspectos fundamentales como:

Desarrollo de criterios para evaluacin de riesgos cualitativos que


describen el riesgo operacin de la organizacin.

Identificar los activos relevantes para la misin de la


organizacin.

Identificar las vulnerabilidades y las amenazas de los activos.

Determinar y evaluar las posibles consecuencias para la


organizacin si las amenazas se materializan

3 Pyka Marek, Januszkiewicz Paulina, Academy of Business in Dbrowa Grnicza, Poland, (2006), The OCTAVE

methodology as a risk analysis tool for business resources,En: http://www.proceedings2006.imcsit.org/pliks/160.pdf , ultimo


acceso: 10/01/2013.

20

Existen 3 versiones de la metodologa OCTAVE:

La versin original de OCTAVE

La versin para pequeas empresa OCTAVE-S

La versin simplificada de la herramienta OCTAVE-ALLEGRO

1.2.2

Componentes de la Metodologa

Octave Allegro proporciona instrucciones detalladas para la realizacin de los ocho


pasos de la metodologa de evaluacin de riesgos:
Paso 1.- Establecer los criterios de medicin de riesgos.
Paso 2.- Desarrollar un perfil de Activos de Informacin.
Paso 3 - Identificar los contenedores de informacin de activos
Paso 4 - Identificar reas de preocupacin
Paso 5 - Identificar los escenarios de amenaza
Paso 6 - Identificar los riesgos
Paso 7 - Analizar los riesgos
Paso 8 - Seleccin enfoque de mitigacin. [4].4

1.2.2.1

Paso1. Establecer los criterios de medicin de riesgos.

El primer paso en el proceso de Octave es establecer las guas y


objetivos para evaluar los efectos del riesgo en la organizacin. En esta
parte inicial, es donde se establecen los criterios de medicin del riesgo
y medidas cualitativas para establecer una precisin en la evaluacin de
riesgos de los activos de informacin. Se considera tambin el grado de
4

Richard A. Caralli,James F. Stevens,Lisa R. Young,William R. Wilson, (2007),"Introducing OCTAVE Allegro", "Improving

the Information Security Risk Assessment Process", En: www.cert.org/archive/pdf/07tr012.pdf,ultimo acceso: 03/06/2013

21

impacto en las reas de la organizacin y el fiel cumplimiento de las


guas o normativas establecidas.

1.2.2.2

Paso 2. Desarrollar un perfil de Activos de Informacin.

El segundo paso se centra en los activos de informacin de la


organizacin, el proceso inicia en la creacin de un perfil para
representacin de activos, que

describa las caractersticas nicas,

cualidades y valor. Adicionalmente se debe identificar con claridad los


requisitos de seguridad, identificacin de amenazas, siendo la
descripcin clave para el inicio de los siguientes pasos.

1.2.2.3

Paso 3. Identificar los contenedores de informacin de activos.

Este paso describe las reas, departamentos o lugares donde se


encuentran los activos de informacin, ciertos activos residen en
contenedores donde la organizacin no tiene control directo sobre ellos
por ejemplo los proveedores de servicios.

Para un mejor control de los activos, se debe describir el lugar y si son


transportados de un lugar a otro, todo esto con la finalidad de obtener
un perfil de riesgo adecuado de los activos de la organizacin.

1.2.2.4

Paso 4. Identificar reas de preocupacin

El paso cuatro tiene que ver con la identificacin de riesgos sobre los
activos de informacin, sobre una lluvia de ideas, se analiza las
posibles situaciones y condiciones por las que pueden estar expuestos
los activos de la organizacin.

22

Este paso describe las reas de preocupacin que pueden caracterizar


a una amenaza, su propsito es captar rpidamente las situaciones
propuestas y condiciones que han sido identificadas por el equipo de
anlisis de la organizacin.

1.2.2.5

Paso 5. Identificar los escenarios de amenaza

En este paso se encuentran los escenarios de amenazas a los que


estn expuestos los activos de informacin.

Amenaza
Actores humanos

Las amenazas en esta categora representan amenazas a la informacin de

Descripcin

utilizndolos medios

activos a travs de la infraestructura tcnica de la organizacin por el

tcnicos

acceso

directo

un

contenedor

(tcnico

activos)que aloja un activo de informacin

Actores humanos

Las amenazas en esta categora representan amenazas a la informacin de

usando el acceso fsico

activos que resultan del acceso fsico al activo o un contenedor que aloja un
activo de informacin

Los problemas tcnicos

Las amenazas de esta categora son los problemas con la tecnologa de


informacin de una organizacin y sistemas. Los ejemplos incluyen
defectos de hardware, defectos de software, cdigo malicioso (por ejemplo,
virus) y otros problemas relacionados con el sistema.

Otros problemas

Las amenazas de esta categora son los problemas o situaciones que estn
fuera del control de una organizacin. Esta categora incluye las amenazas
de desastres naturales (inundaciones, terremotos) y los riesgos de
interdependencia.

Riesgos

de

interdependencia

son

la

infraestructuras crticas (por ejemplo, el suministro de energa).

Tabla 13: Descripcin de los rboles de amenazas Octave [4]

23

falta

de

La tabla 13, muestra las amenazas a las que puede estar sometida la organizacin,
que pueden ser causados por daos humanos, tcnicos u otros. Se pretende buscar
los escenarios de amenazas de cada activo para poder mitigarlos.

1.2.2.6

Paso 6. Identificar los riesgos

En el paso 5 se identifican las amenazas, y en el paso 6, las consecuencias para la


organizacin cuando la amenaza se materializa. Una amenaza puede tener varios
impactos potenciales en una organizacin. Por ejemplo, la interrupcin del sistema
de comercio electrnico de una organizacin puede afectar a la reputacin de la
organizacin con sus clientes, as como su posicin financiera. Las actividades
involucradas en esta etapa aseguran que las diversas consecuencias de riesgo son
capturadas. [4]

1.2.2.7

Paso 7. Analizar los riesgos

En el paso 7 de la presente evaluacin se aplica una medida cuantitativa del grado


en que se ve afectada la organizacin. Esta puntuacin de riesgo relativo se obtiene
teniendo en cuenta el grado en que la consecuencia de un riesgo afecta a la
organizacin contra la importancia relativa de las reas de impacto diferentes. Si la
reputacin es ms importante para una organizacin, los riesgos que tienen un
impacto en la reputacin de la organizacin van a generar una mayor puntuacin que
los riesgos con impactos y probabilidades equivalentes en otra rea. [4]

1.2.2.8

Paso 8. Seleccin enfoque de mitigacin.

En el ltimo paso del proceso OCTAVE, la organizacin debe determinar cules de


los riesgos identificados requieren mitigacin, para desarrollar una estrategia que
pueda mitigar esos riesgos. Esto se logra priorizando los riesgos en funcin de su
puntuacin de riesgo relativo. [4]
24

1.2.3 Anlisis de riesgos en Activos Octave

Para un anlisis de riesgos, se utiliza el modelo Octave-S, que es una


metodologa desarrollada para las pequeas empresas con un nmero menor
a 100 personas. El mtodo cumple con todas las normativas de Octave, pero
con ms limitacin y simplificacin en diferentes fases del proceso.

Octave-S requiere un pequeo grupo de participantes que va de 3 a 5


personas, las cuales debern llevar a cabo talleres para recopilar la
informacin de la organizacin, as como los bienes que posee la organizacin
, las posibles amenazas y riesgos que afectan el buen desempeo laboral.

Octave-S es un proceso que va dirigido a la evaluacin de activos mediante


un equipo de trabajo cuyo objetivo es examinar los riesgos de seguridad a los
que estn sometidos los activos de la organizacin.
La metodologa se divide en tres fases:
Fase 1: Construir perfiles de activos basados en la amenaza.
Basados en la evaluacin de la estrategia de seguridad de la empresa, esta
fase inicia con la recopilacin de informacin, entrevistas con el personal de la
empresa y posteriormente se realiza la identificacin de los activos y recursos
de la empresa, fase donde los empleados

deben determinar qu bienes

tienen mayor relevancia y requieren de mayor proteccin de seguridad.

Fase 2: Identificar las vulnerabilidades de la infraestructura.


Esta fase recopila la informacin de los empleados solicitados en la fase1, as
como vulnerabilidades y proteccin de los activos, para luego buscar
soluciones comunes que no afecten al modelo del negocio.

Fase 3: Desarrollo de la Estrategia de Seguridad y Planes

25

Esta fase recopila informacin de la fase 1 y fase 2. Se utiliza para evaluar el


riesgo asociado a la actividad de la empresa. En esta fase se va a poder
determinar los tipos de ataque a los que est sometida la empresa y crear
procedimientos que puedan mitigar el riesgo. [5]

A continuacin en la Figura 2, se muestra la fases del mtodo Octave.

Figura 2: Fases del mtodo OCTAVE [5]

Para un mejor control de activos Octave-ALLEGRO es una metodologa, que centra


su desarrollo en activos de la informacin, el mtodo de trabajo est basado en los
talleres de participacin.

El mtodo se basa en contenedores de informacin y

pueden ser personas, ya que acceden a la informacin y adquieren conocimientos,


5 Christopher Alberts, Audrey Dorofee, James Stevens, Carol Woody, 2005 OCTAVE-S Implementation Guide, Version

1.0, volumen 5,www.cert.org, , ultimo acceso: 16/10/2013

26

objetos, tecnologa, base de datos. Por lo tanto, las amenazas a los activos de
informacin se analizan teniendo en cuenta su lugar de residencia y se limita los
tipos de activos que han entrado en el proceso.

Consta de ocho pasos organizados en cuatro fases:

Fase 1 - Evaluacin de los participantes desarrollando criterios de medicin


del riesgo con las directrices de la organizacin: la misin de la organizacin,
los objetivos y los factores crticos de xito.
Fase 2 Cada uno de los participantes crea un perfil de los activos crticos de
informacin, que establece lmites claros para el activo, identifica sus
necesidades de seguridad, e identifica todos sus contenedores.

Fase 3 - Los participantes identifican las amenazas a la informacin de cada


activo en el contexto de sus contenedores.

Fase 4 - Los participantes identifican y analizan los riesgos para los activos de
informacin y empiezan a desarrollar planes de mitigacin.
Finalmente Octave propone dividir los activos en dos grupos:
1-

Sistemas, (Hardware. Software y Datos)

2-

Personas

27

1.3

Caractersticas, funcionamiento y proceso de la norma NIIF en


activos tecnolgicos.

1.3.1 Generalidades de la Metodologa NIIF

El Consejo de Normas Internacionales de Contabilidad (IASB), se estableci en el


ao 2001, como parte de la Fundacin del Comit de Normas Internacionales de
Contabilidad (Fundacin IASC).
El IASB desarrolla y publica las NIIF, con el propsito controlar los estados
financieros de las empresa, y de ayudar a que la alta gerencia a tomar de decisiones
econmicas eficientes, evaluando el rendimiento y flujos efectivos de la empresa.

El IASB, separa la norma para pequeas y medianas empresas (PYMES),


pretendiendo de igual forma que se aplique a los estados financieros con propsito
de informacin general. Esta norma llamada "Norma Internacional de Informacin
Financiera para pequeas y Medianas Entidades", se conoce como NIIF para
PYMES, y va dirigida a muchas empresas de varios pases que no tienen obligacin
pblica de rendir cuentas. El trmino PYMES se usa para indicar o incluir entidades
muy pequeas, pero no es un requerimiento obligatorio publicar los estados
financieros a usuarios externos.[6]6

1.3.2 Componentes de la Metodologa

La aplicacin de normas contables buscan ser compresibles a nivel mundial y los


resultados de su aplicabilidad deben ser transparentes y de alta calidad de manera
que los estados financieros puedan ayudar a tomar las mejores decisiones
econmicas.
6 Corporacin de estudios y publicaciones, NIIF para las PYMES, 2009.

28

Actualmente en el pas, rige la norma de NIIF, como un requerimiento de la


Superintendencia de Compaas, para PYMES, donde establece en mayor detalle la
clasificacin de activos tangibles e intangibles de la organizacin.
Es importante que el rea de sistemas de la organizacin, tome ventaja de esta
informacin y pueda tomar la informacin de activos TICs como iniciativa para crear
una evaluacin de riesgos.

Los inventarios en NIIF se aplican a activos como:

a) Mantenidos para la venta en el curso normal de las operaciones


b) En proceso de produccin con vistas a esa venta
c) En forma de materiales o suministros, para ser consumidos en el proceso
de produccin, o en la prestacin de servicios.

Se aplica a todos los inventarios, excepto a:

a) Las obras en progreso, que surgen de contratos de construccin,


incluyendo los contratos de servicios directamente relacionados.
b) Instrumentos financieros
c) Los activos biolgicos relacionados con la actividad agrcola y productos
agrcolas en punto de cosecha o recoleccin.

No se aplica a la medicin de los inventarios mantenidos por:

a) Productores de productos agrcolas y forestales; de productos agrcolas tras


la cosecha o recoleccin; y de minerales y productos minerales. En la medida

29

en que se midan por su valor razonable menos el costo de venta con cambio
en resultados.

b) Intermediarios que comercian con materias primas cotizadas, que midan


sus inventarios al valor razonable menos los costos de ventas con cambio en
resultados. [6].

Activos Propiedades, Planta y Equipo.


Los activos que constituyen una inversin pueden aplicar un valor razonable
que puede ser medido con fiabilidad sin necesidad de aplicar esfuerzos
desmedidos en la organizacin.

1.3.2.1 Tipos De Activos NIIF


Activos Tangibles
En activos tangibles NIIF, se considera a propiedades, planta y equipo como activos
que se mantienen para su uso en la produccin, con propsitos administrativos, que
deben ser usados durante su vida activa.
Las propiedades, planta y equipo no incluyen:
(a) Los activos biolgicos relacionados con la actividad agrcola (vase la
Seccin 34 Actividades Especiales), o
(b) Los derechos mineros y reservas minerales tales como petrleo, gas
natural y recursos no renovables similares. [6]

Activos Intangibles
En activos intangibles NIIF, se considera a los activos no fsicos de carcter no
monetario

que

surgen

de

un

contrato

de

otros

derechos

independientemente de s mismos, no incluyen activos financieros.


30

legales,

Los activos

intangibles

pueden

ser

vendidos,

transferidos,

explotados,

arrendados

intercambiados.
1.3.3 Anlisis de riesgos en Activos.
La empresa debe medir sus inversiones de activos, con un precio de cotizacin
publicado al costo menos las prdidas por deterioro del valor acumulado reconocido
de acuerdo con la Seccin 27, Deterioro valor de activos. [7].7
De la nueva cotizacin realizada, el inversor deber contabilizar cualquier diferencia
positiva o negativa entre el costo de adquisicin y valores razonables. El inversor
ajustar su participacin en las prdidas y ganancias para contabilizar la
depreciacin o amortizacin de los activos teniendo en cuenta la base del exceso de
sus valores razonables con respecto a sus importes en libros. [7].
Si existiese una indicacin de que se ha deteriorado el valor de una inversin, se
deber comprobar el importe en libros individual por activos.
En los balances de resultados el inversor deber medir sus inversiones relacionadas
con el valor razonable y podr utilizar el modelo del costo para medir la fiabilidad del
valor razonable.
Las empresas realizan evaluaciones de los balances financieros, teniendo como
objetivo evaluar los activos de acuerdo a los resultados NIIF, se puede optar por
polticas contables siguiendo como modelo:

C.P:C. Jose Luis Garcia Quispe, Caso de Deterioro del Valor en un bien del Activo Fijo, Incidencia en la determinacin del
Impuesto a la Renta, Actualidad Empresarial, N 212- Primera Quincena de Agosto 2010.

31

a) Modelo del Costo

Tabla 14: Modelo del Costo NIIF [7].

b) Modelo de Revaluacin.

Tabla 15: Modelo de Revaluacin NIIF [7].

Para poder entender la evaluacin que realizan las empresas, es importante tener en
claro los valores:

El valor de compra del activo, es el importe de efectivo del valor pagado en el


momento de adquisicin del activo.
Depreciacin, es la distribucin sistemtica del importe depreciable de un
activo a lo largo de su vida til. [7].
Perdida por deterioro del valor, cantidad en que excede el importe en libros
de un activo o unidad generadora de efectivo a su importe recuperable. [7].

En un marco legal la NIC 36 Deterioro del valor del Activo, se implica en la


valoracin del activo, cuya finalidad es de asegurar que el valor del activo no sea
32

superior a su importe recuperable, es decir, si el activo se encuentra por debajo del


valor contabilizado, se confirma que el activo se encuentra deteriorado, y es donde la
empresa debe de tomar una accin de medicin.
La empresa puede aplicar el procedimiento de validar el valor del activo tomando en
consideracin un valor recuperable que viene a ser el valor un valor mayor razonable
menor al de compra y que mucho depende del valor del uso del activo.

Figura 3: Valor razonable tomando en cuenta NIIF [7].

El valor razonable menos los costos de ventas es el importe que se puede obtener
por la venta de un activo.

Figura 4: medicin de un activo NIIF [7].

De acuerdo a la figura 4, se puede obtener ya una medicin sobre el activo, es decir


para el primer caso si el valor contable o valor en libros es mayor que el nuevo valor
razonable,

aplicando la formula se tendr un valor deterioro negativo, para el

segundo caso si el valor razonable es mayor que el valor en libros no se realizara


ningn ajuste al activo.
33

Es importante considerar que el nuevo valor recuperable que se aplica a los activos
va a determinar en gran medida, cul de ellos constituye un riesgo para la empresa,
pues su devaluacin o deterioro ya los representa en los balances financieros.

La afectacin de un activo, contribuye a la toma de decisiones del bien, puede ser un


activo vendido o tener acciones correctivas como cambios significativos sobre los
mismos que tengan un cambio sobre el valor contable y vida til.

34

1.4 Fundamentos para el desarrollo del modelo de evaluacin de


riesgos.
Actualmente, las empresas del sector automotriz no consideran modelos formales
para realizar una evaluacin de riesgos; esto se debe a que son consideradas como
metodologas muy rigurosas y de alto costo. Sin embargo, la norma NIIF para las
PYMES establece en mayor detalle la clasificacin de activos tangibles e intangibles
de la organizacin.

La identificacin de una pequea y mediana empresa se establece en base a su


estado de situacin financiera cortado al 31 de diciembre del ejercicio econmico
anterior, teniendo como condiciones importantes:

Activos totales, inferiores a US $ 4,000,000.

Valor Bruto de ventas anuales hasta US $ 5,000,000.

Nmero de trabajadores inferior a 200.

El rea de sistemas de la organizacin, puede tomar ventaja de los resultados


financieros en activos tangibles como valor depreciado, tiempo de vida til, fecha de
compra, valor de compra y valor razonable, donde posteriormente se pueda analizar
el nivel de riesgo de un activo.

Con la iniciativa de crear un modelo de evaluacin de riesgos, apoyado en Magerit,


Octave y NIIF, se va a completar un ciclo de identificacin de activos proponiendo su
clasificacin a servicios, hardware, software, soportes de informacin y personas, de
los cuales se podr determinar los puntos ms dbiles o vulnerables de cada activo
TICs. El modelo propuesto va a ayudar a las empresas del sector automotriz, a dirigir
y gestionar las evaluaciones de riesgos por s mismos,

tomando las mejores

decisiones para controlar y mitigar sus riesgos.

Para el desarrollo del modelo se cont con el apoyo e investigacin de tres empresas
del sector automotriz: Provemovil S.A, Provealquileres S.A y Reponer S.A, donde se
35

pudo notar que dos de ellas subcontratan los servicios profesionales de tecnologa
informtica de forma eventual y adicional ninguna de ellas ha implementado una
metodologa de evaluacin de riesgos, debido a sus costos elevados, rutinas de
aplicabilidad complejas y tiempos de capacitacin altos, por tal razn requieren
evaluar

sus riesgos a travs de la informacin existente y relevante que es

proporcionada por el departamento contable.

A continuacin se realiza un anlisis de los tres antecedentes que conllevaron a


tener la iniciativa de la creacin de un modelo de evaluacin de riesgos, tomando
como partida inicial la identificacin de activos NIIF.
1)

Polticas Contables:
PROVEMOVIL S.A

PROVEALQUILERES S.A

Para efectos de la depreciacin de los elementos de


propiedad, planta y equipo comprados a partir de
enero de 2012, se utilizar los valores residuales para
cada clase, en los siguientes porcentajes sobre el
costo de activacin:
Los valores residuales debern ser revisados por lo
menos al final de cada ao y sern modificados en
funcin de las probabilidades de venta que exista para
cada clase de activos, los cambios en el valor residual
sern tratados en forma prospectiva conforme lo
establece la NIC8 ( Normas Internacionales de
Contabilidad).

Los valores residuales debern ser revisados por lo


menos al final de cada ao y sern modificados en
funcin de las probabilidades de venta que exista para
cada clase de activos, los cambios en el valor residual
sern tratados en forma prospectiva conforme lo
establece la NIC8 ( Normas Internacionales de
Contabilidad).

POLTICAS *
VIDAS TILES

Detalle
activo

del

Equipos
de
Computacin

ACTIVOS
INTANGIBLES

Vida
til

%
de
depreciacin

Valor residual

Equipos de computacin

5%

del

Equipos
de
Computacin

20%

Detalle del activo

Detalle
activo

Los activos tangibles de la empresa, se establecern


cuando su costo supere los 1000 dlares.
Los activos son relevantes cuando exista una relacin
directa con las actividades de la empresa.

Vida
til

%
de
depreciacin

33.33%

Detalle del activo

Valor residual

Equipos de computacin

5,00%

Por poltica interna de la empresa, se activara un activo


intangible siempre y cuando tengan una relacin
directamente proporcional con la actividad de la
empresa o a su vez, ayude a mejorar los procesos y
operacin de la empresa.
Se activaran cuando:
Superen un costo de $ 1.200,00 dlares; o
Sin importar su importe cuando sean mejoras a los
sistemas y programas ya existentes.

Tabla 16: Polticas Contables Provemovil S.A y Provealquileres S.A


*Tabla informativa, elaborada en base a datos proporcionados por el Contador de la empresa Provemovil S.A y Provealquileres S.A.

36

La poltica interna de las empresas del sector automotriz, establecen que los valores
residuales de cada activo sean analizados al final de cada ao. Para que los activos
tangibles sean depreciados, se establece un porcentaje de valor residual el cual debe
ser descontado del valor de compra para as generar un valor inicial con el cual inicia
la depreciacin anual al tiempo de vida til.

En la Tabla 17, se ilustra un ejemplo de la depreciacin de un activo (Servidor) a


cinco aos, donde el valor residual que se establece es de 5%, al cumplirse el tiempo
de vida til el activo estara teniendo un costo de $229.09.

V.COMPRA

(VC)

$ 4,441.78

V.RESIDUAL. (VR)

$ 222.09

V.INICIAL DEP

(VC-VR )/VU

Activo tangible

Vida til (VU)

$ 4,441.78
$ 3,597.84
$ 2,753.90
$ 1,909.97
$ 1,066.03
$ 222.09

Depreciacin Anual

1
2
3
4
5

V.FIN AO

Valor Razonable

$ 843.94
$ 843.94 $ 2,753.90
$ 843.94
$ 843.94
$ 843.94

$ 3,500.00

Tabla 17: Ejemplo depreciacin de un activo.

Ttulo del eje

$ 5,000.00
$ 4,000.00
$ 3,000.00
$ 2,000.00
$ 1,000.00
$ 0.00
Valor Activo Anual
Valor Depreciado Anual

$ 4,441.78 $ 3,597.84 $ 2,753.90 $ 1,909.97 $ 1,066.03


$ 843.94

$ 843.94

$ 843.94

$ 843.94

$ 222.09

$ 843.94

Figura 5: Ejemplo depreciacin de un activo segn Tabla 17.

37

Deterioro

$ 746.10

Desde el punto de vista contable, los valores residuales van cumpliendo un ciclo de
depreciacin, teniendo como resultado un valor monetario final del costo del activo.
En juntas directivas se analizan los resultados en tiempo y valor, para poder tomar
decisiones en venta de activos.

Con la intervencin de NIIF, los activos pueden ser revalorados cada ao, esto de
acuerdo a las polticas contables definidas por la empresa.

En la Tabla 17, podemos observar un valor razonable al primer ao de $3500; ese


valor puede ser determinado por una empresa conocedora del activo o peritos
especializados en el avalo tcnico del equipo.

En reuniones de juntas ya se puede tener resultados ms reales del costo de cada


activo. Es importante aprovechar el avalo tcnico del activo para poder hacer una
evaluacin ms extensa del mismo. Segn el ejemplo dado, el activo se ha
depreciado pero an no presenta un deterioro.

Como resolucin sobre este activo, se puede entender que comercialmente mantiene
una cifra razonable y no existe una obsolescencia

del activo, el mismo que

inicialmente no puede ser considerado como un riesgo para la empresa, pero sera
importante realizar un anlisis ms a detalle, donde se pueda identificar si en
realidad el activo constituye un riesgo significativo para la empresa.

Para el otro caso, donde exista un deterioro del activo, se tendra que analizar si hay
un crecimiento tecnolgico y el activo viene a ser una obsolescencia
empresa.

38

para la

Ttulo del eje

$ 5,000.00
$ 4,500.00
$ 4,000.00
$ 3,500.00
$ 3,000.00
$ 2,500.00
$ 2,000.00
$ 1,500.00
$ 1,000.00
$ 500.00
$ 0.00
Valor Activo Anual
Valor Depreciado Anual
Valor Razonable

VALOR RAZONABLE
(DETERIORO)

Obsolescencia
tecnolgica

$ 4,441.78

$ 3,597.84

$ 2,753.90

$ 1,909.97

$ 1,066.03

$ 843.94

$ 843.94

$ 843.94

$ 843.94

$ 843.94

$ 222.09

$ 1,500.00

Figura 6: Ejemplo depreciacin de un activo con deterioro Tabla 17.

En la Figura 6, del ejemplo se puede observar que el activo ya posee un deterioro en


el primer ao, teniendo como valor razonable ($1500), lo que representa un valor
menor que el valor depreciado al primer ao, es decir que ha existido una
obsolescencia tecnolgica del activo sin haberse cumplido su tiempo de vida til.
Cuando existen deterioros, el activo puede ser vulnerable a su operacin, ya que el
crecimiento tecnolgico puede tener efectos negativos que pueden afectar su modo
de operacin normal.

De acuerdo a los ejemplos dados, es importante que la empresa pueda entender los
riesgos que los equipos estn teniendo, no solo desde el punto de vista monetario
sino tambin en su modo de operacin.

Si un activo ya tiene un deterioro significativo por obsolescencia informtica, es


probable que est entrando a otros riesgos que la gerencia lo ignora, tal es el caso
de versiones en los sistemas operativos, puede alterar los programas e impedir el
funcionamiento de aplicaciones que opera la empresa.

En otros casos el activo puede tener un valor razonable en el mercado donde la


obsolescencia informtica no viene siendo una vulnerabilidad, sin embargo, es
39

importante analizar otras vulnerabilidades. As por ejemplo: riegos elctricos,


ambiente temperatura, seguridades, etc.

Las problemticas que pueden generar los activos, pueden ser analizadas partiendo
desde un anlisis inicial que es la identificacin de activos a travs de la norma NIIF.

El presente modelo, est pensado en la evaluacin de riesgos de los activos


tangibles e intangibles de la empresa, tratando de llevar a cabo un anlisis ms
detallado sobre el manejo de sus activos, a fin de evaluar los posibles riesgos para
poder tomar medidas de accin sobre ellos.
2)

Factores de medicin de activos

De acuerdo a la norma NIIF, que establece la revaloracin de activos, se realiz un


anlisis de la importancia de la intervencin de estas empresas externas que se
encargan de valorar los activos de la empresa.

Para llegar a determinar si influye un anlisis de activos por peritos externos en las
empresas del sector automotriz, se analiz los informes de resultados de valoracin
de activos. En Provemovil S.A,

se encontr que la empresa Solucvaluac se

encarg de realizar la revaloracin de activos fijos en el periodo del ao 2011.

En resumen al informe presentado, se toma como puntos importantes:

Alcance del servicio: Realizar un inventario fsico, con el fin de obtener el reporte de
las existencias de los activos fijos.

Coordinacin: Visita preliminar en las instalaciones donde se encuentran los activos


para verificar el estado actual del mismo.

Inspeccin: Levantamiento fsico de los activos y bienes de control que se encuentran


en oficinas.

40

Codificacin y Etiquetaje: Generacin individual de cdigo para cada activo


determinado por la empresa Solucvaluac Cia. Ltda y aprobado por la administracin
de la empresa.

Valoracin: Identificacin de las caractersticas fsicas de cada uno de los activos fijos
ms el registro de los detalles en hoja electrnica.

Mtodo de Valoracin: Para la valoracin de activos se aplica la frmula:

VA=VR*FD*FO
Dnde:
VA= Valor actual de mercado del activo
VR= Valor de reposicin a nuevo
FD= Factor de depreciacin
FO= Factor de Obsolescencia tecnolgica

El valor de reposicin a nuevo, es el valor de mercado de los activos a nuevos a la


fecha en la cual se realiza la valoracin sin considerar deduccin alguna por
depreciacin, uso o desgaste.
El factor de depreciacin FD relaciona la antigedad del bien con la vida til.
El factor de Obsolescencia tecnolgica mide si los activos pueden seguir en
funcionamiento, aun cuando su vida til haya culminado. Para su valoracin se
considera:
MaU: Mayor aos de uso
MeU: Menor aos de uso
AU: Aos de uso del bien

41

De acuerdo a la intervencin de la empresa de valoracin de activos, se establece


que la expectativa de vida de los activos puede aumentar de tres a cinco aos en su
vida til.
El costo que ha sido empleado para la valoracin de activos se aproxima a los
$1000,00. Desde el punto de vista del rea tecnolgica el trabajo no ha sido ptimo
en su totalidad, ya que no se ha contado con la participacin de sistemas para su
identificacin de activos y permisos de acceso e informacin esencial de cada uno de
ellos, dando como resultado que la informacin solamente conste en libros contables.

Con la debida importancia que se pueda dar a la valoracin de activos tangibles


basado en la norma NIIF, se podr tener una identificacin de activos ms detallada,
de forma que los avalos tcnicos por parte de los peritos sean lo ms exactos y a su
vez se pueda dar un seguimiento continuo durante la participacin de los expertos en
valoracin de activos, para de esta forma ya tener indicadores de medicin de
riesgos de cada uno de ellos.
3)

Identificacin de activos.

En la identificacin de activos fijos de la empresa, se pudo notar en resultados


contables de las empresas del sector automotriz, que gran parte de los activos
tangibles ya no se encuentran en libros contables y son considerados como activos
pasivos, esto puede deberse a que su tiempo de vida til ha concluido, sin embargo
los activos an pueden seguir estando operativos en la empresa. Por tal razn para
tener un inventario completo de activos en funcionamiento se tomar parte de la
informacin del rea de sistemas o en caso contrario ser levantada por los
participantes que se formen para la evaluacin del modelo de riesgos.

De igual forma se pudo evidenciar que los activos intangibles de la empresa, no son
considerados en su totalidad, esto se debe a que segn las polticas descritas en la
Tabla 16, deben ser tomados en cuenta cuando su valor en compra tenga un valor
significativo para la empresa o tenga una relacin importante.
42

Con la aplicacin del modelo de evaluacin de riesgos, las empresas del sector
automotriz debern prestar mayor atencin en la participacin de los peritos
evaluadores de activos. De igual forma, el departamento de sistemas deber
proporcionar informacin ms detallada de los activos de tecnologa, de manera que
el avalo tcnico por activo, sea un factor de medicin importante en la evaluacin de
riesgos.

1.5 Integracin de las herramientas metodolgicas del estudio.


En la Figura 7 se muestra grficamente el proceso de integracin, a travs de las
fases que intervienen en el modelo de evaluacin de riesgos. A manera de resumen,
las amenazas deducen vulnerabilidades a los que se exponen los activos TICs, los
mismos que generan impactos y ocasionan

riesgos, pero con las debidas

salvaguardas y toma de decisiones correctas se puede reducir el riesgo y las


vulnerabilidades a los que se exponen los activos de la empresa.

Figura 7: Modelo evaluacin de riesgos [2]


Creado por: DIANA MONCAYO

43

A continuacin se describe a detalle la integracin, mediante la especificacin de las


siguientes etapas, las mismas que se muestran en la Figura 8.

1) Identificar los participantes en el proceso.


2) Identificar activos TICS
3) Establecer las dimensiones de valoracin
4) Establecer los criterios de medicin de riesgo
5) Identificar riesgos y amenazas
6) Identificar las salvaguardas y procedimientos.

Figura 8: Etapas anlisis evaluacin de riesgos


Desarrollado por: Diana Moncayo

44

Etapa 1 (Identificacin de participantes): El modelo de evaluacin de riesgos


basado la

norma OCTAVE-S, buscar definir los roles, responsabilidades y

habilidades de los participantes del equipo de trabajo, as como altos directivos de


reas operativas y del personal en general para seleccionar al equipo de trabajo que
colaborar en la evaluacin.

Con la seleccin de los miembros de trabajo se aplica las fases de la norma


OCTAVE-S.
Fase 1: Se busca identificar activos de la empresa, seleccionar activos
crticos y buscar amenazas relacionadas a activos.
Fase 2: Se busca identificar vulnerabilidades de la infraestructura
tecnolgica en relacin a los activos de la empresa.
Fase 3: Se busca identificar y analizar los riesgos, proponer planes
contingentes para mitigar los riesgos.

Con la determinacin de los participantes, basado en Octave, se considerar la


aplicacin de encuestas del estado situacional de la organizacin y la conformacin
del grupo de participantes que van a gestionar el modelo de riesgos.

Las encuestas que se realizan, nos dan los primeros criterios de medicin del riesgo,
lo que permitir establecer niveles de valoracin del riesgo en la productividad del
negocio.

Durante todo el proceso de evaluacin de riesgos, Octave propone integrar a los


participantes de la empresa para que sean los gestores del modelo y puedan
consolidar la informacin recopilada durante los procesos de seleccin de cinco
activos crticos para definirlos requisitos de seguridad y las amenazas a esos bienes.
En la Etapa 2 (Identificacin de activos TICs), se realiza la identificacin de
activos tangibles e intangibles de la empresa, como referencia del modelo Octave se
toma en cuenta los activos: software, hardware, informacin y personas. Del modelo
45

Magerit se acoge los activos de: Hardware, Software, datos, servicios, soportes de
informacin y personas.

En la identificacin de activos tangibles, las NIIF pueden establecer una evaluacin


de riesgos, considerando los resultados financieros, y evaluando los valores en
libros, vida til, valor razonable y fechas de compra, los mismos que pueden ser
considerados como campos esenciales en la identificacin de riesgos y mitigacin.

La obtencin de esta informacin, va a ser la partida inicial de la identificacin y


clasificacin de los activos Tics que suman mayor importancia en el negocio. Es
importante entender que la primera valoracin del riesgo de un activo corresponde al
valor contable del mismo y ya se podr relacionar su valor a un nivel de riesgos.

Otro aspecto que es importante considerar es el tiempo de vida til de un activo,


pues se consideran activos pasivos o dados de baja a cuyos activos ya han cumplido
su tiempo de vida til, y es ah donde los activos pasivos que an estn siendo
utilizados por la empresa constituyen aun un riesgo ms alto para la empresa.
El nuevo valor recuperable o razonable que es asignado a un activo, lo debe realizar
un perito evaluador o una empresa con conocimientos del tiempo de vida del activo y
su detalle, con esta revaloracin de los activos ya se pueden considerar impactos
financieros y riesgos sobre los activos.

Es importante entender que las NIIF para las PYMEs

derivan varios aspectos

importantes para la valoracin de los activos, sin embargo para el modelo de


evaluacin de riesgos, el enfoque radica en activos tangibles, ya que el costo de los
mismos no vas a poder arrojar valores monetarios que sean comprensibles para la
alta gerencia.
En la Etapa 3 (Dimensin de Valoracin) : La dimensin de activos toma como
referencia la tabla de escala de valoracin del modelo de Magerit, que se aplica para
46

estimar el riesgo que pueden tener los activos, dando como resultado afectaciones
relevantes para la organizacin.

En la Etapa 4 (Criterios de medicin del riesgo): Las valoraciones de los activos


estn en funcin del criterio de valoracin a escala de valores de 1 a 10, los riesgos
de los activos se determinan de acuerdo al monto total del valor de adquisicin de un
activo, ms su depreciacin al tiempo de vida til.

En la Etapa 5 (Identificar riesgos y amenzas): Se relacionan activos y amenazas


basados en el modelo de Magerit, y simplifica en gran medida la manera de
interpretar de mejor manera cuales son los activos crticos de la organizacin y
cules son las amenazas a los que pueden estar sometidos.
En la evaluacin de riesgos de seguridad de informacin Octave se centra en la
identificacin de la informacin que es importante para el cumplimiento de la misin
de la organizacin.

Octave Allegro aplica tambin la evaluacin de riesgos que plantea llevar a cabo un
anlisis de forma estructurada de las actividades que mantiene la organizacin,
teniendo como finalidad clarificar los riesgos para que puedan ser comprensibles por
los participantes en juego del modelo.

Durante la evaluacin de riesgos en la organizacin, Octave expone un enfoque de


mitigacin para la alta Gerencia y es en esta fase donde se decide qu hacer con el
riesgo, si aceptarlo, mitigarlo o aplazarlo.

Entre las actividades del mtodo de Octave se encuentra, clasificar cada uno de los
riesgos que se ha identificado por su puntuacin para categorizarlos de una manera
ordenada y que de igual forma pueda ayudar a los mandos altos a tomar decisiones
sobre su estado de mitigacin.

47

El nuevo modelo propuesto, plantea aplicar una evaluacin de riesgos por los
participantes de la empresa en un menor tiempo y con poca aplicabilidad por parte
de ellos, esto se debe a que el modelo debe ser capaz de arrojar resultados sin que
el usuario los note, y de esta forma evitar procesos de clculo y evaluacin de
riesgos por activos. Todo esto se debe a que la programacin est establecida
mediante un sistema de apoyo que ser utilizado durante los procesos de
implementacin, en donde la funcin de los participantes es ir monitoreando la
aplicacin del modelo desde sus inicios hasta su finalizacin.

El nuevo modelo, apoyado en los modelos de Magerit, Octave y NIIF, manifiesta su


anlisis de riesgos y las causas que intervienen en cada fase de su desarrollo. Es
decir, los activos TICs, provenientes en gran apoyo de la metodologa NIIF, estn
expuestos a vulnerabilidades que generan impactos y ocasionan riesgos a la
organizacin una vez que estos se materializan.

El modelo da como resultado a la alta gerencia los activos ms crticos con mayor
riesgo y propone evaluarlos de acuerdo a su tiempo de vida til, la depreciacin de
los mismos va afectando los procesos de la organizacin y si los participantes
entienden este riesgo, en especial si ya son detectados desde el departamento
contable, ya se tendra una discusin ms frecuente de los bienes que afectan el
buen desempeo de la empresa.

La evaluacin de riegos va a proporcionar una alternativa de marco estratgico,


para llevar a cabo una valoracin de los bienes de su organizacin. Y en cada
evaluacin de resultados financieros, tambin puedan ser tomados a consejo la
evaluacin de riesgos de sus activos.

La informacin que poseen las organizaciones pueden referirse a almacenes de


datos, bases de datos y metadatos, donde la responsabilidad de asegurar sus
intereses, va enfocado al trmino de seguridad de informacin. La organizacin debe
48

ser capaz de medir la disponibilidad, confidencialidad e integridad a la que est


sometida la informacin, todos estos resultados deben ser recopilados del nuevo
modelo de evaluacin de riesgos y programar estas evaluaciones cada vez que
sean revalorados los activos TICs de la empresa.

En la Etapa 6 (Identificar salvaguardas y procedimientos): Las salvaguardas,


como medidas de mitigacin van a ayudar a reducir las vulnerabilidades, impactos y
riesgos que pueden ocasionar daos en los activos. Es importante tomar en cuenta
que las salvaguardas son implementadas dependiendo una toma de decisiones de
los participantes que intervienen en la aplicabilidad del modelo y es en esa junta
quien puede establecer cmo tratar los riesgos teniendo como opciones: aceptar,
mitigar o aplazar.

49

CAPTULO II
DESARROLLO DEL MODELO DE EVALUACION DE RIESGOS
2.1. Consideraciones Especiales
El desarrollo de un nuevo modelo de evaluacin de riesgos, va a ir enfocado
en el anlisis por activo tecnolgico, donde se identificar las posibles
amenazas o riesgos a los que estn expuestos los elementos de trabajo de la
organizacin. Basado en modelos formales se trabaja sobre inventario de los
activos humanos y tecnolgicos que desarrollan estas metodologas, as
como: (servicios, hardware, software, soportes de informacin, personas); se
desarrolla una encuesta para obtener el estado situacional de la organizacin
y sus puntos negativos que apoyen a la evaluacin del riesgo.

El modelo propuesto va a identificar los activos con obsolescencia tecnolgica


y llevarlos a cumplir un siclo de evaluacin de riesgos, apoyado en los
modelos formales que ayudarn a identificar las amenazas de Activos TICs, y
a determinar los riesgos frente a las amenazas.
Finalmente el modelo propone una forma estructurada para llevar a cabo una
evaluacin de riesgos y a su vez debe ser capaz de crear protecciones y
salvaguardas que apoyan al desarrollo del modelo.

50

2.2. Diseo del modelo de evaluacin de riesgos en base a los


procesos efectivos de las herramientas: Magerit, Octave y NIIF para
pequeas y medianas empresas del sector automotriz.

2.2.1 Identificacin de los Activos TICs


El segundo paso, para la inicializacin del modelo, es la identificacin del tipo
de activos tecnolgicos que posee la organizacin.
Para muchas de las organizaciones la identificacin de activos tecnolgicos se
convierte en un problema, y en muchos casos la informacin es duplicada con
registros de activos en contabilidad.
La integracin de las NIIF en las pequeas y medianas empresas es una
norma a la que ahora las empresas del sector privado deben regirse, y el
nuevo modelo ayudar a tomar una ventaja de los resultados financieros.

Los resultados sobre los activos tecnolgicos, va a ser la partida inicial para
poder realizar una evaluacin de riesgos, considerando los valores en libros,
vida til, valor razonable, fechas de compra y depreciacin, de tal forma que
se puedan considerar como campos esenciales en la identificacin de riesgos
y mitigacin. En la tabla 18, se muestra el formato de resultados de valores
resultantes en NIIF.

Fecha

Tipo Activo Descripcin

Custodio

Vida
til

Valor
Compra

Depreciacin
NIIF

Valor
Razonable

Deterioro

dd/mm/yyyy

dd/mm/yyyy

dd/mm/yyyy

Tabla 18: Formato resultante activos NIIF


Creado por : Diana Moncayo

Para el modelo de evaluacin de riesgos los activos intangibles en NIIF, no


sern tomados en cuenta, ya que el concepto vara con la identificacin de
51

activos intangibles que posee la empresa basado en TICs , como son los
servicios que mantiene la empresa bajo contrato y que son usados para
cumplir con las necesidades de la organizacin.
Los activos intangibles por polticas contables son considerados a partir de un
valor monetario significativo para la empresa, es por tal razn que se debe
hacer un levantamiento de los mismos.
Los reportes de activos NIIF, que son proporcionados por el rea contable van
a ser una gua elemental para iniciar con una clasificacin ms apropiada que
ofrece el modelo.

Cada activo NIIF, debe ser ajustado a la clasificacin de activos que


proporciona el modelo, de ah ese proceso conllevar a la identificacin de
amenazas, riesgos y salvaguardas. Los participantes debern evaluar la
continuidad del modelo en todas las fases de la evaluacin de riesgos, cabe
destacar que el trabajo ms minucioso que se realiza y que llevar ms tiempo
es en esta fase.
La metodologa de NIIF, por una parte resuelve la clasificacin de activos
hardware, pero es importante destacar que la metodologa Magerit interviene
en gran medida en la clasificacin de activos, y por otro lado Octave aplica la
coordinacin de los participantes y el momento oportuno de actuar.

Es importante tomar en cuenta que Octave-S, siendo una metodologa para


empresas pequeas en su determinacin de fases, aplica la clasificacin de
activos con una descripcin detallada de cada uno de ellos y la relacin que
existe entre ellos.

Octave-S clasifica los activos tomando en cuenta:

Paso 1: Inicie un activo crtico en una hoja de informacin para


cada activo crtico.
52

Paso 2: Grabe su justificacin para la seleccin de cada activo.

Paso 3: Anote una descripcin para cada activo crtico y su


responsable.

Paso 4: Activos de registro que estn relacionados con cada


activo crtico.

Paso 5: Requisitos de seguridad para cada activo crtico

Paso 6: Para cada activo crtico, registrar los requisitos de


seguridad ms importante de crticos de activos hoja de
informacin de dicho activo. [8]8

Acogiendo las necesidades de Octave y Magerit al momento de clasificar los


activos, nos encontramos que los

resultados financieros en NIIF, ya nos

determina una clasificacin de activos donde se identifica la descripcin del


activo y el custodio a cargo del mismo.

Por otro lado, es importante tambin acogerse a la clasificacin de activos


propuestos por Magerit, para poder diferenciar los activos tangibles que van a
ser apoyados por NIIF y los activos intangibles que van a ser apoyados por el
trabajo e identificacin de los participantes.
A continuacin en la Tabla 19, se detallan cinco activos TICs, que derivan de
la metodologa de Magerit y Octave.

Christopher Alberts, Audrey Dorofee, James Stevens, Carol Woody, 2005 OCTAVE-S Implementation Guide, Version
1.0, volumen 5,www.cert.org, , ultimo acceso: 16/10/2013

53

Servicios (S)

Hardware (HW)

Software (SW)

Soportes de informacin (SI)

Personas (P)

El activo de servicios tiene por objetivo satisfacer las


necesidades de los usuarios en la organizacin, los
servicios pueden ser proporcionados por terceros.
El activo Hardware, se refiere a bienes materiales que
aportan el beneficio del soporte informtico.
Informacin inicial que puede ser proporcionada por las
tablas NIIF
Este tipo de activo trata de programas, aplicativos,
desarrollos internos en la organizacin.
Informacin inicial que puede ser proporcionada por las
tablas NIIF
Este tipo de activo, se refiere a los medios fsicos o lgicos
que resguarda la informacin relevante de la organizacin.
Este tipo de activos es representado por los administradores
del sistema y/o operadores que estn implicados en las
operaciones de los sistemas de la empresa.

TABLA 19: Activos Tics Magerit Y Octave


Creado por: Diana Moncayo

Los activos TICS, que son identificados dentro la organizacin, pueden tener una
clasificacin e identificacin de forma ms detallada, de tal forma que los
participantes sepan diferenciar los derivados de tipos de activos.

A continuacin en la Tabla 20, se detalla la clasificacin para Activos-Servicios:

54

1.-Servicios (S)
INTERNOS (Servicios de forma local que brindan un servicio a los usuarios de la organizacin).
Correos Electrnicos
Intranet
Sistema pgina Web
FTP Transferencia de Informacin
Usuario Dominio.

EXTERNOS (Servicios externos que aportan un valor agregado a los usuarios de la organizacin.,)
Correos Electrnicos
Sistema pgina Web
FTP Transferencia de Informacin
Usuario Dominio.
Almacenamiento de Informacin

Tabla 20: Clasificacin Activo Servicios


Creado por: Diana Moncayo

A continuacin en la Tabla 21, se detalla la clasificacin para Activos-Hardware:


2. Hardware (HW) Relacionado con NIIF
INTERNOS (Activos tangibles Organizacin).
Servidores
Equipos de Trabajo
Equipos Porttiles
Equipos Impresin
Escner
Ups
Aire Acondicionado
Equipos de respaldo
Equipos de soporte de Red (Modem, Switch, Firewall, Access Point etc)
Equipos centrales (Central telefnica, video, audio.)

Tabla 21: Clasificacin Activo Hardware


Creado por: Diana Moncayo

55

A continuacin en la Tabla 22, se detalla la clasificacin para Activos-Software:


3.-Software (SW).
Se asocia con aplicaciones de desarrollo interno, o licencias de programas que son utilizados en
beneficios de la organizacin.
Aplicaciones de desarrollo Interno
Aplicaciones de desarrollo Externo
Aplicaciones de Base de Datos
Sistemas Operativos utilizados.
Aplicaciones Ofimtica
Antivirus

Tabla 22: Clasificacin Activo Software


Creado por: Diana Moncayo

A continuacin en la Tabla 23, se detalla la clasificacin para Activos-Soportes de


Informacin:

4.- Soportes de Informacin (SI).


Se asocia con los medios fsicos que resguardan la informacin de la organizacin.
Discos Duros
Memorias de almacenamiento
Cintas de Respaldos
Cd/Dvd.

Tabla 23: Clasificacin Activo Soportes de Informacin


Creado por: Diana Moncayo

A continuacin en la Tabla 24, se detalla la clasificacin para Activos-Personas:

56

5.-Personas (P).
Se refiere al personal interno y externo que aporta con conocimientos en beneficio de las
actividades que se realiza en la organizacin.
Usuarios Internos
Usuarios Externos
Administrador de Sistemas
Administrador de Base de Datos
Programadores / Desarrolladores
Proveedores Externos

Tabla 24: Clasificacin Activo Personas.


Creado por: Diana Moncayo

Cada activo TICs, indica a los participantes cmo ordenar y asociar la informacin
obtenida de las tablas de activos NIIF.
En activos NIIF (Hardware), la determinacin de activos consiste en que la empresa
distribuir el importe depreciable de un activo de forma sistemtica a lo largo de su
vida til.

Al cambio del uso del activo, un desgaste significativo, avances tecnolgicos y


cambios de precios en el mercado podran indicar cambios en el valor residual o la
vida til de un activo.

La depreciacin de un activo inicia cuando se lo est usando y est operando, en


caso contrario un activo no podr ser depreciado.

La vida til de un activo se determina:


El uso que se le da a un activo, su uso, su funcionamiento.
1) El desgaste fsico del activo, como pueden ser mantenimientos,
reparaciones
57

2) Obsolescencia tcnica o comercial procedente de los cambios o


mejoras en la produccin.
3) Lmites legales o restricciones similares sobre el uso del activo,
como fechas de caducidad de contratos de arrendamiento
relacionados.

Una ventaja que se obtiene de los resultados de las Tablas NIIF, es que se ver
reflejado en cada activo los valores agregados que ha tenido posterior a su fecha de
adquisicin, por ejemplo un servidor que se adquiri para cinco aos de vida til y en
ese tiempo se expandi memoria disco duro y procesador, su tiempo de vida til
habr incrementado y sus riesgos en cuanto a calidad de funcionalidad y
operatividad habrn disminuido, cumpliendo con una mitigacin ya efectuada.

Para la clasificacin de activos, se ha creado una herramienta de apoyo que va


ayudar a organizar de mejor manera la informacin.
En la Tabla 25, se muestran los campos que pueden ser completados de forma no
obligatoria, pero a mayor informacin, los resultados podrn ser visualizados con
mayor precisin.
IAC_CODIGO

Cdigo de la tabla

EMP_CODIGO

Cdigo de empresa

IAC_CODIGOACTIVO

Cdigo interno que identifica al activo

IAC_CUENTACONTABLE

Nombre que identifica a la clasificacin de activo contablemente

IAC_NOMBRE

Nombre del activo

IAC_DETALLE

Detalle del activo

IAC_SERIE

Serie que identifica al activo

IAC_PROVEEDOR

Nombre de la empresa a la que se adquiri el activo.

IAC_NFACTURA

Nmero de factura que corresponde al activo

IAC_FECHAFACTURA

Fecha que corresponde a la compra del activo

INC_ANIOCOMPRA

Ao que corresponde a la fecha de factura

IAC_CIUDAD

Ciudad donde se encuentra localizado el activo.

IAC_CUSTODIO

Nombre de la persona que usa el activo

TAC_CODIGO

Cdigo que asocia al tipo de activo sea S,HW, SW, SI,P

IAC_VIDA_UTIL

Aos de vida til que tiene el activo contablemente

IAC_VALOR_COMPRA

Corresponde al valor de compra registrado de una factura

58

IAC_ANIOACTUAL

Ao actual para obtener la valoracin de cada activo.

IAC_TIEMPO_TRANSCURRIDO

Tiempo en das o meses del tiempo de vida del activo

IAC_DEPRECIACION

Valor depreciado del activo al tiempo transcurrido

IAC_VALOR_COMERCIAL

Avalu razonable que se le da al activo en la actualidad

IAC_VALOR_RAZONABLE

Avalu en el mercado, depreciado al tiempo de vida til.

IAC_VALOR_LIBROS

Valor contable que da del valor depreciado.

IAC_VALOR_RESIDUAL

Valor que se obtiene de un porcentaje establecido a los activos

IAC_DETERIORO

Valor calculado que se obtiene de los activos devaluados.

Tabla 25: Campos de la tabla de activos.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

2.2.2 Dimensiones de Valoracin de los Activos TICs

Las dimensiones de valoracin describen las cualidades importantes de un


activo, y deben ser identificados para cada activo crtico:

[C] Confidencialidad - La necesidad de mantener la propiedad,


sensible o personal

informacin privada e inaccesible a cualquier

persona que no sea autorizada para verla

[I] Integridad - La autenticidad, la exactitud, caracterstica que se le da


a un activo

de informacin para que no sea alterado de forma no

autorizada.

[D] Disponibilidad - Cundo y con qu frecuencia debe estar presente


un activo o listo para su uso e importancia [8] [4].

La disponibilidad en el modelo de gestin de riesgos se basa en:

Identificar activos y servicios Tecnologas de Informacin


(TI) claves de la organizacin a travs de aplicacin NIIF

Determinar los requisitos de disponibilidad para estos


sistemas y servicios.
59

Asegurar la disponibilidad de documentos relevantes que


apoyan al funcionamiento de la organizacin,

Realizar informes sobre la Disponibilidad TI

2.2.3 Criterios de medicin del riesgo


El objetivo es determinar los criterios de medicin para definir el modelo
cualitativo, medir el riesgo y evaluar las causas de afectacin hacia la
organizacin.

El impacto causado por la materializacin de las amenazas se valoran en


trminos subjetivos (Impacto Muy Alto, Alto, Medio, Bajo o Muy Bajo).

Si la afectacin de la materializacin de amenazas se enfoca en el costo


econmico, el tipo de valoracin debe ser cuantitativo, donde el nivel de
impacto se asocia con el valor econmico asociado a los activos TICs.

En la figura 9, se muestra los criterios de medicin de riesgo que se aplican al


modelo de evaluacin de riesgos.

Valor del
Impacto A, M,B

CUALITATIVO

AMENAZAS
ACTIVOS
TICS

Costo
Econmico

CUANTITATIVO

FIGURA 9 Valoracin de riesgos de los activos TICS


Creado por: Diana Moncayo

Es importante considerar los conceptos que son fundamentales para llevar a cabo
una medicin de riesgo.

60

Impacto- El efecto de una amenaza a la misin de la organizacin y los


objetivos de negocio.
Valor de impacto -una medida cualitativa del impacto de un riesgo
especfico

para

la

organizacin

(alta,media

baja).

Los criterios de medicin de riesgo -una serie de medidas cualitativas


contra los que se evala el efecto de cada riesgo en la misin de la
organizacin y los objetivos de negocio. La medicin del riesgo criterios define
los rangos de alto, medio y bajo impacto para la organizacin. [4]

Se debe crear claramente los criterios de medicin, ya que su utilizacin reflejar de


forma ms precisa los riesgos a los que est sometida la organizacin y se podr
tomar decisiones con los participantes y la alta gerencia, para concientizar los
posibles daos y la manera de tomar decisiones para mitigarlos.

La medicin de los activos tecnolgicos debe hacerse a una escala de valores


comn, que permita identificar de forma clara los riesgos. La valoracin debe ser
cualitativa respondiendo a criterios subjetivos de los participantes basados en la
encuesta inicial, las dimensiones para el modelo van a llegar a cinco niveles en
escala, el valor de 0 sera un valor depreciable a efectos del riesgo (irrelevante a
efectos prcticos). En la figura 10, se demuestra grficamente los niveles de criterios
de medicin de riesgos.
Alto
5
Medio
3-4
Bajo
1-2
FIGURA 10. Criterio de medicin de riesgos
Creado por: Diana Moncayo

61

Los criterios de valoracin, van a ser establecidos a las tablas de identificacin de


activos. Cada uno de los activos va a ser adaptado a la tabla de resultados NIIF.
Los criterios de medicin NIIF
La adopcin de las NIIF y los resultados de activos NIIF, va a contribuir en gran
medida a determinar los activos ms crticos que posee la organizacin. De dicha
informacin se analizar tambin los que estn cerca de una obsolescencia
tecnolgica, para as llevarlos a un siclo de anlisis de evaluacin de riesgos.
Se identificara los activos crticos, en base al valor de vida til y valor razonable en
NIIF, con esos resultados se puede llevar a cabo la aplicabilidad de los criterios de
valoracin que puede tener ese activo.

Cada entidad debe tener polticas internas, donde se determina el tiempo en que los
activos deben ser avaluados. Mientras ms corto sea el tiempo ms fiable va a ser la
evaluacin de riesgos aplicada.

Es esta fase se aplica la contabilidad a los activos llamados equipos, donde se


considera un valor razonable, o valor en el mercado, que permite medir con mayor
fiabilidad el costo de los mismos. De acuerdo a esta valoracin la empresa puede
obtener beneficios econmicos futuros y podr medir los riesgos considerando el
valor razonable como un parmetro de medicin. [9]. 9

En esta fase se aplica un anlisis de riesgos cuantitativo, se busca saber qu y


cunto hay, cuantificando todos los aspectos posibles y relevantes sobre activos.

En NIIF, los criterios de valoracin asignan un valor monetario a cada uno de los
elementos integrantes de las cuentas anuales. Para el anlisis de evaluacin de
riesgos, hay que conseguir los balances de resultados que se obtiene del

JIMENES
CANA
JOSE
JAVIER,
http://www.globalcontable.com/attachments/supuestos_practicos.pdf

62

NIC/NIFF

supuestos

Prcticos

departamento contable, y poner mayor nfasis en el tiempo de vida til del activo,
tiempo transcurrido, valor en libros, valor razonable NIIF, y el valor residual.

En Pymes NIIF, se aplica una medicin de activos a la fecha de presentacin de


informacin financiera, En lo que respecta a las polticas de medicin se va a optar
por aplicar el Modelo del Costo como se muestra en la figura 11.

VALOR EN
LIBROS

VALOR
RAZONABLE

DETERIORO=VALOR EN LIBROS VALOR RAZONABLE

VALOR EN
LIBROS

VALOR
RAZONABLE

NO SE REALIZA NINGN AJUSTE

Figura 11: Medicin de un activo NIIF [7]

De la comparacin, si el Valor en libros es mayor que el valor razonable, la diferencia


entre ambas generara una prdida o deterioro del valor cuya contabilizacin ser a
una cuenta de resultados (perdida).

63

En la Tabla 26, se detallan, los criterios considerados para la valoracin de activos


hardware:

(> 100) %

Si el valor razonable es menor que el valor en libros, el

(< 0 ) %

riesgo es alto

(>0 & <=10)%

Si el valor razonable es igual o similar al valor en libros

C= ( VR < VL )

C=(VR = VL)

actual, el riesgo podra considerarse medio alto.

(>10 & <= 20)%

Si el valor razonable es igual o similar al valor en libros, el

C=(VR = VL)

riesgo podra considerarse medio.


2

(>20 & <=80)%

Si el valor razonable es mayor que el valor en libros, podra

C= (VR > VL)

existir un riesgo bajo.


1

(>80 & <=100) %

Si el valor razonable es mayor que el valor en libros, podra

C= (VR > VL)

no existir un riesgo.
Tabla 26: Criterios de evaluacin activos tangibles segn valores NIIF.
Creado por: Diana Moncayo

En la Tabla 27 se detallan los criterios considerados para la valoracin de activos


Software, Servicios, Soportes de informacin y personas:
0

(>=0 & <=70)

Si el valor razonable excede al valor en libros, podra no


existir un riesgo

(>70 & <=90)

Si el valor razonable es mayor al valor en libros, podra no


existir un riesgo

(>90 & <=100)

Si el valor razonable es igual o similar al valor en libros, el


riesgo podra considerarse medio.

(> 100) %

Si el valor razonable es menor que el valor en libros, el

(< 0 ) %

riesgo es alto

Tabla 27: Criterios de evaluacin activos intangibles segn valores NIIF.


Creado por: Diana Moncayo

64

De acuerdo a las NEC (Normas Ecuatorianas de Contabilidad), el valor en libros es


calculado tomando en cuenta el valor de compra menos el valor depreciado al tiempo
de vida til. El valor resultante de dicho clculo es relacionado con el 100% del valor
razonable, dando como resultado un valor porcentual que se aplica a los criterios de
valoracin de los activos.

Es importante que las entidades tengan conocimiento de las causas de afectacin


que pueden ocasionar al no tomar las medidas correctivas sobre los riesgos
detectados.

En la tabla 28 se muestra una clasificacin de causas de afectacin asociadas al


nivel de riesgos.
Dimensin
5
5
5
5
4
4
4
4
3
3
2
2
1
1

Causas de afectacin.
Puede causar un dao serio a la organizacin
Puede afectar las relaciones Comerciales
Puede tener un impacto en las relaciones Internacionales
Puede causar un dao que afecte a la seguridad de la empresa.
Puede afectar la confianza de la empresa
Puede afectar los inters comerciales y econmicos de la empresa
Puede ocasionar problemas legales.
Puede afectar al tiempo de recuperacin.
Puede afectar en un grado medio a la empresa.
Puede causar molestias y alterar el orden con el personal de la empresa.
Puede causar una interrupcin que no afecte a los procesos de la empresa.
Puede causar un menor impacto que puede ser solucionando sin tomar en cuenta el
tiempo.
Puede causar un impacto menor que no afecta el desempeo de la empresa.
Puede no causar un impacto con el personal de la empresa.
Tabla 28: Dimensiones y causas de afectacin
Desarrollado por: Diana Moncayo, basado en Criterios de Magerit [2]

65

Por Ejemplo:

Si la empresa dispone en sus activos, un servidor cuyos valores del resultado


financiero son:
Vida til

5 aos

Valor

Tiempo

Adquisicin

Transcurrido TT:

$10000

3 aos

Depreciacin

$6000

Valor en

Valor

Libros

Razonable

$4000

$5000

Tabla 29: Ejemplo de medicin de activo NIIF.


Creado por: Diana Moncayo

Sobre los valores expuestos en la Tabla 29, se puede determinar:

1) El activo no cumple su tiempo de vida til


2) El activo se ha depreciado en $6000 al tiempo de uso
3) El activo nos da un valor en libros actual de $4000.
4) El activo tiene un nuevo valor razonable de $5000.
5) No hay un deterioro en el Activo.

Figura 12: Porcentajes de depreciacin segn ejemplo Tabla 29


Creado por: Diana Moncayo

66

Deterioro

-1000

El valor en libros actual frente al valor depreciado a tres aos ya podra dar un
indicativo del 83.36% (Riesgo Bajo) de devaluacin del activo, es por eso que con
valoracin NIIF, ya interviene un valor razonable, que es un avalu que se realiza al
activo por peritos especializados y es una cifra real que est en el mercado.

Con el valor razonable frente al valor en libros, se puede determinar un incremento


de $1000 en incremento al valor en libros, indicando como resultado que el activo no
podra tener un riesgo monetario ni fsico.

Los activos intangibles como servicios, software, soportes de informacin y personas,


la valoracin; deben medirse con valores razonables de acuerdo a su costo de uso,
compra o depreciacin.

Las valoraciones ya se establecen con la encuesta preliminar, de ah los


participantes pueden o no alterar las valoraciones sobre los activos.

Si un activo Servicios/ Internet, no est disponible, ya existe un tiempo de


interrupcin y ese impacto ya tiene una valoracin inicial tomando en cuenta el valor
de la encuesta preliminar, donde puede o no, existir un Internet de respaldo.

Para el caso que no exista un servicio de respaldo el impacto es alto y estara en la


escala 4 sometido a:

- Afectar la confianza de la empresa


- Puede afectar los intereses comerciales y econmicos de la empresa
- Puede ocasionar problemas legales.
- Puede afectar al tiempo de recuperacin.

Este criterio, lo deben analizar los participantes involucrados en la valoracin, dado el


ejemplo, el activo servicio Internet est en una valoracin de escala 4,
67

considerndose en un impacto para la empresa y expresando que el sistema que


maneja la empresa debe tener una disponibilidad alta en su uso.

En el ejemplo de la tabla 30, tenemos como resultado de la evaluacin del activo el


siguiente criterio de afectacin:
Vida til

Valor en

Valor Razonable

Dimensin

Criterio de afectacin

$5000

Puede causar un impacto menor que no


afecta el desempeo de la empresa.
Puede no causar un impacto con el personal
de la empresa.

Libros

5 aos

$4000

Tabla 30: Criterio de afectacin del ejemplo tabla 29


Desarrollado por: Diana Moncayo

Cada resultado de activos NIIF nos va a dar como resultado una dimensin con su
respectivo criterio de valoracin. Estos criterios de afectacin ya nos da un indicativo
de riesgos fsicos y monetarios a los que pueden estar expuestos los activos
hardware, no obstante se debe tomar en cuenta que estos activos pueden sufrir otro
tipo de riesgos o vulnerabilidades que sern enlazados ms adelante con la
identificacin de riesgos por activos.

2.2.4 Identificacin de amenazas

El identificar las amenazas potenciales, a las que puede estar expuesta la


organizacin, va a facilitar en la identificacin de las vulnerabilidades que afectan a
cada activo TICs, lo que permitir tomar contramedidas eficaces para mitigar o
contrarrestar los riegos.

Una vez hecha esta identificacin, los participantes ya pueden comunicar a la alta
Gerencia los riegos detectados en activos TICs y que representan un impacto para
el

negocio,

es

importante

que

los

68

participantes,

puedan

promover

una

concientizacin sobre la importancia de seguridad y riesgos que atraviesa la


empresa.

Magerit, describe, una clasificacin de amenazas, identificadas en grupos, tales


como: desastres naturales, ingeniera industrial, errores y fallos no intencionados, y
ataques intencionados, cada uno de los cuales est asociado con cada activo. [2]

Octave, hace nfasis en detallar los agentes de amenaza que a su vez intervienen en
la clasificacin de amenazas:
Los empleados no maliciosos - las personas dentro de la organizacin que
por accidente, hacen abuso o mal uso de sistemas informticos y de
informacin.
Los empleados descontentos - las personas dentro de la organizacin que
deliberadamente, hacen abuso o mal uso de sistemas informticos y la
informacin.
Atacantes - personas que atacan los sistemas informticos para el desafo, el
estado, o la emocin
Espas - personas que atacan los sistemas informticos con fines polticos
Terroristas - la gente que ataca los sistemas informticos para causar miedo
con fines polticos.
Competidores - las personas que atacan a los sistemas informticos para
obtener beneficios econmicos.
Delincuentes - personas que atacan los sistemas informticos con fines de
lucro personal
Vndalos - personas que atacan los sistemas informticos para causar dao.
[5]

Dado que el modelo se caracteriza por presentar a los activos, se propone una
clasificacin que ayuda a tener identificados de forma ms gil a las
69

amenazas a las que puede estar expuesta o sometida la organizacin. A su


vez ya se podr identificar las dimensiones de valoracin que cada amenaza
conlleva.
En la Tabla 31, se presenta una clasificacin de amenazas por activos TICs.

Nomenclatura Activos:
S: Servicios; SW: Software; HW: Hardware; SI: Soportes de Informacin; P:
Personas

Nomenclatura dimensiones de valoracin


D: Disponibilidad; I: Integridad; C: Confidencialidad

70

GRUPO

NOM

AMENAZAS

Dimensiones

[I] De origen industrial

[N] Desastres
naturales

SW HW

SI

Daos por agua

X
X

X
X

X
X

N.*

Desastres Naturales

I1

Fuego

I2

Daos por agua

I.*

Desastres Naturales

I3

Contaminacin mecnica

I4

Contaminacin electromagntica

I5

Avera de origen fsico o lgico

I6

Corte del suministro elctrico


Condiciones inadecuadas de temperatura y/o
humedad

X
X
X
X
X
X
X

X
X
X
X
X
X
X

X
X
X
X
X
X
X

N1

Fuego

N2

I7
I8

[E] Errores y fallos no intencionados

Tipo de Activos

X
X

I9

Fallo de servicios de comunicaciones


Interrupcin de otros servicios y suministros
esenciales

I10

Degradacin de los soportes de almacenamiento de


la informacin

I11

Emanaciones electromagnticas

E1

Errores de los usuarios

E2

Errores del administrador

E3

Errores de monitorizacin (log)

E4

Errores de configuracin

E7

Deficiencias en la organizacin

E8

Difusin de software daino

E9

Errores de [re-]encaminamiento

E10

Errores de secuencia

E14

Escapes de informacin

E15

Alteracin de la informacin

E16

Introduccin de informacin incorrecta

E17

Degradacin de la informacin

E18

Destruccin de informacin

E19

Divulgacin de informacin

E20

Vulnerabilidades de los programas (software)

E21

Errores de mantenimiento / actualizacin de


programas (software)

E23

Errores de mantenimiento / actualizacin de


equipos (hardware)

E24

Cada del sistema por agotamiento de recursos

X
X

X
X

X
X
X
X
X
X

X
X
X
X

X
X
X

X
X
X
X
X

X
X
X
X

X
X
X

X
X
X

X
X
X

X
X
X
X

X
X

X
X

X
X
X
X

71

X
X

X
X

[A] Ataques intencionados

E28

Indisponibilidad del personal

A1

Deterioro fsico en el equipo

A2

Deterioro de componentes del equipo

A3

Desactualizacin de Programas

A4

Manipulacin de la configuracin

X
x
X
X

A5

Suplantacin de la identidad del usuario

A6

Abuso de privilegios de acceso

A7

Uso no previsto

A8

Difusin de software daino

A9

[Re-]encaminamiento de mensajes

A10

Alteracin de secuencia

A11

Acceso no autorizado

A12

Anlisis de trfico

A13

Repudio

A14

Interceptacin de informacin (escucha)

A15

Modificacin de la informacin

A16

Introduccin de falsa informacin

A17

Corrupcin de la informacin

A18

Destruccin la informacin

A19

Divulgacin de informacin

A22

Manipulacin de programas

A24

Denegacin de servicio

A25

Robo

A26

Ataque destructivo

A27

Ocupacin enemiga

A28

Indisponibilidad del personal

A29

Extorsin

A30

Ingeniera social

X
X

X
X
X
X
X
X
X
X

X
X
X
X
X
X
X

X
X
X
X
X
X
X

X
X
X
X
X
X
X
X

X
X
X
X
X
X

X
X

X
X

X
X
X
X
X
X
X
X
X
X

X
X
X
X
X

X
X
X
X

X
X
X

X
X

X
X
X

Tabla 31: Identificacin de Amenazas


Creado por: Diana Moncayo, basado en Magerit [2]

Las amenazas, descritas en la tabla son seleccionadas del modelo de Magerit y van
identificadas con cada tipo de activos. Esta identificacin va a facilitar a los
participantes, a no buscar las posibles amenazas que podra tener la empresa.
Por ejemplo si se requiere filtrar qu amenazas tiene el tipo de activos software
tendramos las amenazas como se muestra en la Tabla 32:
72

NOM

AMENAZAS

Dimensiones
D

I5

Avera de origen fsico o lgico

E1

Errores de los usuarios

E2

Errores del administrador

E3

Errores de monitorizacin (log)

E4

Errores de configuracin

E8

Difusin de software daino

E9

Errores de [re]encaminamiento

E10

Errores de secuencia

E14

Escapes de informacin

E20
E21

A4
A5

Vulnerabilidades de los
programas (software)
Errores de mantenimiento /
actualizacin de programas
(software)
Manipulacin de la
configuracin
Suplantacin de la identidad
del usuario

X
X

X
X

A6

Abuso de privilegios de acceso

A7

Uso no previsto

A8

Difusin de software daino

A9

[Re-]encaminamiento de
mensajes

A10

Alteracin de secuencia

A11

Acceso no autorizado

A14

Interceptacin de informacin
(escucha)

A22

Manipulacin de programas

X
X

Tabla 32: Ejemplo seleccin de Amenazas por Activos


Creado por: Diana Moncayo, basado en Magerit [2]

Una vez que los participantes conocen las amenazas que puede tener cada activo, el
modelo debe ser capaz de identificar cul de ellas puede incurrir en un riesgo para la
empresa. Cada amenaza debe tener una ponderacin en escala de valores, que va a
permitir clasificar las amenazas ms probables de incurrir en la organizacin.

73

2.2.5 Identificacin de riesgos.


La identificacin de los riesgos nos va ayudar a determinar cmo se ve afectada la
organizacin, teniendo en cuenta la ecuacin del riesgo.

Amenaza (condicin) + Impacto (consecuencia vulnerabilidad) = Riesgo.

El anlisis de riesgos es el resultado de que un evento con cierta magnitud tenga


aplicabilidad.
Los resultados obtenidos de una evaluacin de riesgos, constituyen una gua para
que la empresa pueda tomar decisiones sobre s misma, siendo necesario implantar
nuevos mecanismos y procedimientos de seguridad adecuados.

Objetivos.

Identificar las amenazas, vulnerabilidades y probabilidades de ocurrencia de


eventos y los riesgos existentes a los que la organizacin est expuesta.

Generar recomendaciones para mitigar los riesgos

Identificar controles y protecciones existentes y su efectividad.

Identificar eventos que puedan ocasionar interrupciones en los procesos de


negocios.

Analizar los procesos de negocio y no limitar el anlisis hacia la seguridad de


informacin.

Entender los riesgos, vulnerabilidades y probabilidad de ocurrencia en los


procesos crticos del negocio.

Entender las potenciales prdidas.

74

El anlisis de riesgos tiene como propsito, determinar los componentes de un


sistema que requieren proteccin, sus vulnerabilidades que los debilitan y las
amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.
En el anlisis de riesgos se analiza el impacto que puede ser ocasionado a
consecuencia de que ocurran amenazas.

El impacto en las organizaciones puede causar:

- Interrupcin de actividades
- Sanciones por incumplimiento de normas.
- Destruccin y prdida de activos TICs.
- Desventaja competitiva
- Prdida de Imagen.
Los activos TICs estn sometidos a una serie de vulnerabilidades, donde los
participantes de trabajo, deben involucrarse en su gestin para obtener una imagen
ms completa y ms detallada sobre la situacin interna y el entorno de la
organizacin.

Figura 13: Impacto riesgos y amenazas


Creado por: Diana Moncayo

En el modelo de desarrollo, los resultados obtenidos de las tablas de activos NIIF, da


el primer indicativo de valoracin, mostrando si el activo sufre un deterioro monetario
y fsico. Por consiguiente, dicho activo debe ser asociado al tipo de activo al que
pertenece, para que sea relacionado con las amenazas a las que adicionalmente
puede estar expuesto.
75

Los resultados de la encuesta preliminar realizada, son riesgos que deben ser
asociados con cada una de las amenazas, y de esta forma analizar cules de ellas
son las que pueden materializarse sobre los activos y considerarse como un impacto
serio para la organizacin.

Para iniciar la evaluacin de las respuestas de la encuesta preliminar, se asocia


cada pregunta en negativo y se va enlazando con las amenazas que pueden ocurrir
sobre ese riesgo. Ver ejemplo de la Tabla 33:

No existe un sistema de alimentacin elctrica de


respaldo
VALOR

I6

corte del suministro elctrico

I8

Fallo de servicios de comunicaciones

I9

Interrupcin de otros servicios y suministros


esenciales

I11

Emanaciones electromagnticas

SW HW

SI

Tabla 33: Ejemplo relacin encuesta y Amenazas


Creado por: Diana Moncayo

La pregunta de la encuesta preliminar es: Existe un sistema de alimentacin


elctrica de respaldo?. La respuesta puede ser positiva o negativa de acuerdo a la
realidad de la organizacin, pero el valor resultante puede ser (5) en riesgo alto y (1)
en riesgo bajo.

0-30%

31-50%
5

51-70%
4

71-90%
3

91-100%
2

PREGUNTA 4 X

Tabla 34: Ejemplo medicin riesgo encuesta y Amenazas


Creado por: Diana Moncayo

76

De acuerdo al ejemplo de la Tabla 34; existe un riesgo alto en nivel cinco (5). Las
posibles amenazas que se pueden dar ante el riesgo de que no exista un sistema
de alimentacin de tierra seran:

I6

Corte del suministro elctrico

I8

Fallo de servicios de comunicaciones

I9

Interrupcin de otros servicios y suministros esenciales

I11

Emanaciones electromagnticas

Es decir si la organizacin mantiene un buen sistema de conexin a tierra no estara


sometida al riesgo de que esas amenazas se materialicen. Por otro lado si la
empresa no cumple con este sistema, tendra un riesgo alto y tendra a las amenazas
como vulnerabilidades posibles de materializarse.
De los riesgos NIIF obtenidos de los activos, ms los resultados de la valoracin de
la encuesta se forma un matriz de riesgos de impactos sobre amenazas.
El promedio de ambos riesgos, nos dar como resultado un nivel de valoracin del
riesgo del activo.

Tabla 35: Matriz Impacto riesgos y amenazas


Creado por: Diana Moncayo

77

2.2.6. Identificacin de salvaguardas y procedimientos


Las salvaguardas son controles, polticas o procedimientos que contribuyen a
reducir las vulnerabilidades a los que estn expuestos los activos.

Magerit destaca que las tcnicas en salvaguardas varan con el avance


tecnolgico debido a que:

- Aparecen tecnologas nuevas.


- Cambian los tipos de activos a considerar.
- Evolucionan las posibilidades de los atacantes.
- Evoluciona el catlogo de salvaguardas disponibles. [10]10

En consecuencia, el catlogo de salvaguardas va a variar

y sus

procedimientos deben ser ajustados por los participantes de la organizacin, a


fin de que puedan ser resultados que sean de apoyo y que cumplan la funcin
de mitigacin y prevencin del riesgo.

El modelo de evaluacin de riesgos va a implantar controles o salvaguardas con el


objetivo de reducir el riesgo.

Las salvaguardas pueden tener vulnerabilidades por lo que es necesario realizar


pruebas y seguimiento de las mismas. La seguridad absoluta no existe, por lo que
hay que aceptar riesgos.

Ministerio de Hacienda y Administraciones Pblicas, 2012,MAGERIT versin 3.0 Metodologa de Anlisis


y Gestin de Riesgos de los Sistemas de Informacin Libro II - Catlogo de Elementos.https://www.ccncert.cni.es/publico/herramientas/pilar5/magerit/Libro_II_catalogo.pdf ultimo acceso: 07-06-2013
10

78

El modelo de evaluacin de riesgos propone iniciar con la creacin de un plan de


recuperacin del resultado de riesgos obtenidos de las posibles amenazas que
pueden ser la consecuencia del riesgo.

Las salvaguardas de aplican a nivel global para todo el sistema de activos TICs ,
proporcionando procedimientos que puedan ir gestionando y mitigando el riesgo.

Es importante considerar que las salvaguardas son medidas de mitigacin que se da


a conocer a la alta gerencia para que tome medidas de prevencin, sin embargo no
son obligatorias y se puede optar por tener un enfoque de mitigacin de acuerdo a
los resultados dados.

El enfoque de mitigacin es expuesto por el mtodo de Octave Allegro, donde la


organizacin debe tomar la decisin de cmo actuar frente a un riesgo y puede tener
las

siguientes

opciones:

aceptar,

mitigar

retrasar.

Aceptar - No tomar medidas para hacer frente a los riesgos y aceptar las
consecuencias indicadas. Los riesgos que son aceptados deben tener un
bajo impacto en la organizacin.

Mitigar Implica hacer frente a un riesgo mediante el desarrollo y la


implementacin de controles para contrarrestar la amenaza subyacente o
para reducir al mnimo el impacto resultante, o ambos. Los riesgos que se
mitigan son los que suelen tener un medio de alto impacto en una
organizacin.

Aplazar - Una situacin en la que el riesgo ha sido aceptado y su


mitigacin puede depender de una mayor confirmacin o investigacin de
los riesgos encontrados. Riesgos diferidos son monitoreados y re79

evaluados en algn momento a futuro. Los riesgos que se difieren por lo


general no son una amenaza inminente para la organizacin. [11]11

Las salvaguardas que se aplicaran a los resultados de valoraciones son:


Protecciones generales u horizontales
1. Proteccin de los datos / informacin
2. Proteccin de los servicios
3. Proteccin de las aplicaciones (software)
4. Proteccin de los equipos (hardware)
5. Proteccin de las comunicaciones
6. Proteccin en los puntos de interconexin con otros sistemas
7. Proteccin de los soportes de informacin
8. Proteccin de los elementos auxiliares
9. Seguridad fsica Proteccin de las instalaciones
10. Salvaguardas relativas al personal
11. Salvaguardas de tipo organizativo
12. Continuidad de operaciones
13. Externalizacin
14. Adquisicin y desarrollo
15. Seguridad proteccin de bienes

Cada una de las salvaguardas detalladas contiene una serie de procedimientos que
pueden ser aplicados dependiendo las valoraciones o impactos sobre las amenazas
que sufren los activos.

11 Richard A. Caralli,James F. Stevens,Lisa R. Young,William R. Wilson, (2007),"The OCTAVE Allegro Guidebook, v1.0 ",

En: http://www.cert.org/octave/allegro.htmlhttp://www.cert.org/octave/allegro.htmlultimo acceso: 03/06/2013.

80

En la siguiente tabla se muestran los procedimientos que conllevan cada una de las
salvaguardas.

1. Protecciones generales u horizontales

Identificacin y autenticacin

Control de acceso lgico

Segregacin de tareas

Gestin de incidencias

Establecer herramientas de seguridad

Establecer herramienta contra cdigo daino

Establecer herramienta de deteccin / prevencin de intrusin

Establecer herramienta de chequeo de configuracin

Establecer herramienta de anlisis de vulnerabilidades

Establecer herramienta de monitorizacin de trfico

Establecer herramienta de monitorizacin de contenidos

Establecer herramienta para anlisis de logs

Gestin de vulnerabilidades, registro y auditora

2. Proteccin de los datos / informacin

Proteccin de la Informacin fsica y lgica

Copias de seguridad de los datos (backup)

Aseguramiento de la integridad de acceso a informacin

Cifrado de la informacin, claves de acceso

Uso de discos duros o dispositivos fsicos para almacenamiento de


informacin

Mecanismos de control para respaldo automtico de informacin


81

Plan de alquiler de un casillero de seguridad para alojamiento de respaldos


de informacin

Plan de adquisicin o programacin de reglas o normas para proteccin de


activos

4. Proteccin de los servicios

Proteccin de los servicios

Aseguramiento de la disponibilidad

Aceptacin y puesta en operacin

Aplicar perfiles de seguridad

Gestin de cambios (mejoras y sustituciones)

Proteccin de servicios y aplicaciones web

Proteccin del correo electrnico

Proteccin del directorio

Proteccin del servidor de nombres de dominio (DNS)

5. Proteccin de las aplicaciones (software)

Proteccin de las Aplicaciones Informticas

Copias de seguridad (backup)

Procedimientos para correr aplicaciones

Aplicar perfiles de seguridad sobre los datos

Cambios (actualizaciones y mantenimiento)

Plan instalacin consola de antivirus para proteccin de ataques

Cotizacin y regularizacin de licencias de software

Plan de adquisicin de equipos con su respectiva licencia y garanta

82

6. Proteccin de los equipos (hardware)

Proteccin de los equipos informticos por medio de ups

Realizar un plan de apagado de equipos cuando no exista electricidad

Entrenar a los usuarios el apagado inmediato de equipos

Realizar un plan de operacin manual de procesos

Gestin de cambios (mejoras y sustituciones)

Evaluaciones tecnolgicas de los equipos

Programacin de mantenimientos peridicos fsico y lgico de los equipos

7. Proteccin de las comunicaciones

Proteccin de las comunicaciones a travs de un plan de internet de


respaldo

Aseguramiento de la disponibilidad

Plan de transparencia para el cambio de plan de datos

Proteccin, seguridades para plan B de respaldo

Registro de incidencias por prdidas de plan de datos

Acuerdos con proveedores para mantener servicios de calidad

8. Proteccin en los puntos de interconexin con otros sistemas

Revisin puntos de interconexin: conexiones entre zonas de confianza

Instalar un Sistema de proteccin perimetral

Revisar tableros de control asociados a tierra

Realizar mediciones peridicas de voltaje para zonas que se requiere


mayor proteccin

Instalar o mejorar protecciones actuales de UPS

83

9. Proteccin de los soportes de informacin

Proteccin de los Soportes de Informacin

Aseguramiento de la disponibilidad

Proteccin criptogrfica del contenido

Limpieza de contenidos

Destruccin de soportes

10. Proteccin de los elementos auxiliares

Mantener proteccin para Elementos Auxiliares

Plan de apagado de equipos auxiliares

Soportes de informacin para posibles desastres

11. Seguridad fsica Proteccin de las instalaciones

Revisar proteccin de las Instalaciones

Tener planos del diseo de instalaciones y conexiones

Tener control a mantenimientos de conexiones a tierra

Mantener seguridad en protecciones externas

Instalar sistemas de control de acceso a reas restringidas

12. Salvaguardas relativas al personal

Formacin y concienciacin al personal

Aseguramiento de la disponibilidad

13. Salvaguardas de tipo organizativo

Reunin alta gerencia de la Organizacin

Implementar Gestin de riesgos


84

Planificacin de la seguridad

Inspecciones de seguridad

14. Continuidad de operaciones

Elaborar un plan de prevencin y reaccin frente a desastres.

Mantener Continuidad del negocio

Anlisis de impacto (BIA)

Plan de Recuperacin de Desastres (DRP)

15. Externalizacin

Identificacin y calificacin de proveedores

Procedimientos de escalado y resolucin de incidencias

Procedimiento de terminacin (duracin en el tiempo de las


responsabilidades asumidas)

Asuncin de responsabilidades y penalizaciones por incumplimiento

16. Adquisicin y desarrollo

Establecer buenas prcticas en instalaciones , calidad de servicios

Establecer normativas y controles que rige la ley

Buscar plan de capacitacin sobre el manejo de nuevas normas a


implementar

Establecer planes de mantenimiento de activos

Establecer acuerdos formales sobre la adquisicin de servicios o equipos

17. Seguridad, proteccin de bienes

Plan de cotizaciones de seguros de equipos

85

Posibilidad de aplicar garantas de compras en equipos

Concientizar a la alta gerencia la importancia de mantener asegurados


los activos

Instalar cmaras de vigilancia para proteger a los equipos

Los procedimientos /salvaguardas

son medidas de proteccin desplegadas para

aquellas amenazas cuyo valor es de riesgo alto. [10].

2.2.6.1

Plan de Recuperacin.

Se entiende por plan de recuperacin, a los nuevos procedimientos, normas o reglas


que la empresa debe implantar, para tener un mejor control de los riesgos y
seguridad organizacional.

Objetivo:

Aplicar planes que deben ser probados peridicamente para garantizar la seguridad
empresarial a travs del control continuo de los participantes de evaluacin de
riesgos.

El modelo propuesto plantea tomar a las salvaguardas de Magerit como apoyo en el


modelo de evaluacin de riesgos.
Cada resultado de la evaluacin de riesgos debe ser evaluado y expuesto a las
posibles salvaguardas que debe cumplir, as por ejemplo si tomamos en cuenta la
respuesta de la encuesta preliminar: No existe un sistema de alimentacin elctrica
de respaldo, los participantes pueden encontrar en el modelo las salvaguardas
asociadas a dicho riesgo.

86

No existe un sistema de alimentacin elctrica de


respaldo
VALOR

SW HW

I6

corte del suministro elctrico

I8

Fallo de servicios de comunicaciones

I9

Interrupcin de otros servicios y suministros esenciales

I11

Emanaciones electromagnticas

SI

Tabla 36: Ejemplo relacin encuesta y Salvaguardas


Desarrollado por: Diana Moncayo

Dadas las salvaguardas, los participantes deben determinar qu procedimientos se


deben empezar a implementar para proteger los equipos cuando la empresa no
cuenta con un sistema de alimentacin elctrico de respaldo, tal es el caso del
ejemplo de la Tabla 36.

Las acciones, normas o procedimientos a seguir, sera la fase final del cumplimiento
del modelo de gestin de riesgos, y debe ser implementado conforme se van
actualizando los valores razonables contables sobre los activos fijos de la empresa.

Las acciones a tomar sobre cada riesgo relevante encontrado pueden ser detalladas
en el formato de la tabla de mitigacin de riesgos.

Mitigacin de Riesgos
Sobre la base de la puntuacin total de este riesgo, qu medidas va a tomar?
Aceptar

Aplazar

Mitigar

Para los riesgos que usted decida mitigar, realice lo siguiente:

Tabla 37: Formato mitigacin de riesgos. Basado [11]


Creado por: Diana Moncayo

87

2.3 Proceso de implementacin del modelo de evaluacin de


riesgos.

2.3.1 Anlisis situacional de las empresas


Para el desarrollo de un modelo de evaluacin de riesgos, es importante entender la
situacin actual del negocio, donde a travs de su estado situacional se puede
conocer cmo est estructurada la empresa, qu infraestructura posee y los sistemas
administrativos que son operados para finalidades de control de la entidad.

A continuacin se propone un formato que debe ser llenado por las empresas que
van a realizar una evaluacin de riegos.

NOMBRE EMPRESA:

MISIN
DE
EMPRESA:

LA

La misin de la empresa, describe el propsito general de su negocio, as como


sus metas a cumplir.
Es un resumen claro que implica una resea de los hechos importantes que han

RESEA HISTRICA:

ORGANIGRAMA
ESTRUCTURAL:

ocurrido a lo largo del crecimiento de la organizacin.

Es una grfica que representa e identifica de forma estructurada los mandos que
gobiernan o actan dentro de una organizacin.

SISTEMAS
ADMINISTRATIVOS:

Son los sistemas de control en funcionamiento que se utilizan para llevar a cabo
un mejor control de sus actividades de trabajo.
Un detalle de la infraestructura tecnolgica que mantiene la empresa para llevar

INFRAESTRUCTURA:
ACTIVOS TICs:

a cabo el buen desempeo del negocio.


Una descripcin del uso del modelo NIIF y la aplicabilidad en la empresa
Tabla 38: Formato Anlisis Situacional de la empresa.
Desarrollado por: Diana Moncayo

88

2.3.2 Seleccin de los participantes.

En esta fase se identifican los participantes que van a intervenir en el plan de


evaluacin de riesgos. El equipo de anlisis coordinar la actividad de
cumplimiento del proceso de evaluacin de riesgos, identificar los activos
importantes de informacin, las amenazas a los activos, los requisitos de
seguridad de los activos, la estrategia actual de la proteccin y las
vulnerabilidades de la organizacin.

Se necesitan por lo menos tres altos

directivos que tengan conocimiento de los recursos de informacin utilizados


en su organizacin.

En el taller de aplicacin de gestin de riesgos, los participantes deben ser


identificados de la siguiente manera:

P1. Participante Sistemas: persona que posea el mayor conocimiento en


activos TICs y que pueda evaluar las amenazas y riesgos con mayor
precisin.
P2.

Participante

Contabilidad:

persona

que

deber

colaborar

con

informacin del sistema contable respecto a activos tangibles regularizados


con la norma NIIF.
P3. Participante RR.HH: persona que ayudar a identificar los riegos de
informacin y las vulnerabilidades a los que pueden estar expuestos. [12]12

Christopher J. Alberts , Audrey J. Dorofee, 2001, OCTAVES Method Implementation Guide Version 2.0 Volume 2:
Preliminary Activities, ultimo acceso: 03/06/2013
12

89

Figura 14:Actividades de los participantes


Creado por: Diana Moncayo

AREA

RESPONSABILIDADES

SISTEMAS

a) Coordinar y determinar el equipo apropiado para trabajar


en el modelo de evaluacin de riesgos.
b) Planificar el cronograma para trabajar en el modelo de
evaluacin de riesgos
c) Aplicar el modelo de evaluacin de riesgos
d) Colaborar como participante para llevar a cabo la
implementacin del modelo
e) Interactuar en cada ciclo del proceso de implementacin
del modelo
f) Evaluar el desarrollo del modelo aplicado
g) Determinar resultados del modelo aplicado

CONTABILIDAD

a) Colaborar como participante en las fases del proceso para


llevar a cabo la implementacin del modelo
b) Interactuar en cada ciclo del proceso de implementacin
del modelo

RR.HH

c) Colaborar como participante en las fases del proceso para


llevar a cabo la implementacin del modelo
d) Interactuar en cada ciclo del proceso de implementacin
del modelo

Tabla 39: Responsabilidades del Participante


Creado por: Diana Moncayo.

90

2.3.2.1 Determinar cronogramas de participacin.

El cronograma de participacin, se determina por fase de acuerdo a las


actividades que realiza el participante, la mayor responsabilidad est enfocada
en una persona representante del rea de sistemas, y debe llevar a cabo la
mayor parte de implementacin del sistema en colaboracin con los
participantes del rea de Contabilidad y RRHH.

Tabla 40: Actividades de los Participantes


Creado por : Diana Moncayo.

91

El proyecto puede ser implementado en 54 das laborables o menos, todo est en


seguir cada formato establecido para que conlleve a los resultados finales
esperados.

2.3.3 Recopilacin de Informacin.


Desarrollo de Encuesta Preliminar.
Esta fase inicia con una encuesta de pocas preguntas, cuyo objetivo es obtener
datos relevantes sobre la seguridad lgica y fsica de la empresa. Las preguntas
deben ser contestadas por un participante del rea de sistemas de manera que su
conocimiento pueda completar cada una de las respuestas de la encuesta.

FIGURA 15: Formato de encuesta preliminar


Creado por: Diana Moncayo

92

Cada pregunta de la encuesta, tiene una valoracin a escala de valores del 1


al 5 alto, medio y bajo, y porcentajes de valoracin del 0 al 100%.Estos
resultados forman una matriz de valores, los mismos que tomarn lugar en la
matriz de riesgos frente a amenazas.

Tabla 41:.Matriz resultante de la encuesta.


Elaborado por: Diana Moncayo

Con los resultados obtenidos de la encuesta, ya se puede identificar las posibles


vulnerabilidades que mantiene la organizacin y el nivel de riesgos que cada
respuesta o amenaza da como resultado de la encuesta. Dichos resultados deben
ser tomados en cuenta en la valoracin de activos TICs.

93

2.3.4 Entrega de Resultados.


Mediante la entrega de resultados, la empresa puede interpretar de mejor
forma la situacin a la que est sometida la organizacin y las protecciones
adecuadas que puede tomar para mitigar los riesgos.
Durante todo el proceso que conlleva la evaluacin de riesgos en la empresa,
se van generando varios documentos que deben ser recopilados, para que
puedan ser entregados a la alta Gerencia.
A continuacin se detallan los documentos entregables para una toma de
decisiones en la evaluacin de riesgos:
#
ENTREGABLES
Estado Situacional de la Empresa
Lista de participantes que intervienen en el proceso de evaluacin de riesgos
A

Encuesta formulada.

Criterios de valoracin de la encuesta formulada

Cuadro de afectaciones encontradas segn encuesta

Tabla de Levantamiento de activos TICs de la empresa

Tabla de riesgos en inventario activos por NIIF

Tabla de riesgos asociados por tipos de Activos

Matriz de riesgos por tipos de activos

Dimensiones de Amenazas por Encuestas

Matriz Salvaguardas por amenazas y resultados de encuesta

Salvaguardas encontrados

Procedimientos de salvaguardas encontradas.


Tabla 42: Documentos entregables de la evaluacin de riesgos
Desarrollado por: Diana Moncayo.

94

CAPTULO III
APLICACIN DEL MODELO
Para llevar a cabo la implementacin del modelo de evaluacin de riesgos se ha
creado una aplicacin web llamada GRATICS (GESTION RIESGOS ACTIVOS
TICS),
Esta aplicacin nos va ayudar a gestionar de mejor manera la informacin y de igual
forma a tener una mejor presentacin de resultados para que sea comprensible para
los participantes y la alta gerencia.

La implementacin del modelo de evaluacin de riesgos, debe empezar

por la

colaboracin del participante de contabilidad, para que formule el resumen de activos


de computacin que mantiene la empresa y que son resultados financieros
actualizados.

El anlisis de evaluacin de riesgos debe realizarse despus de que el departamento


contable tenga en sus resultados financieros la revalorizacin de activos, este
proceso se realiza de acuerdo a las polticas empresariales y puede ser de 1 a 2
aos, pero a menor tiempo de revalorizacin mayor importancia se da al tema de
evaluacin de riesgos.

3.1 Empresa Provemovil S.A

3.1.1. Anlisis Situacional.

95

NOMBRE EMPRESA:

Provemovil S.A
"Proporcionar un servicio gil y eficaz en subastas,

OBJETIVO
EMPRESA:

DE

LA

demostrando resultados a nuestros clientes para mantener


el liderazgo en el mercado, con el propsito de crecer como
empresa."
Provemovil S.A, se inici en el ao de 1992, en el mercado
de venta de repuestos automotrices como intermediarios
locales a compaas de seguros con ventaja competitiva
hacia las otras empresas por su agilidad de entrega, precios
ms bajos y pagos anticipados. Aos ms adelante las
importaciones eran muy ineficientes, debido al tiempo de
entrega de los repuestos y la empresa tuvo que cambiar la
lnea del negocio a una estrategia de innovacin de subastas
de vehculos que no exista en el pas.

RESEA HISTRICA:

En el ao de 1996 se consolida la empresa Provemovil S.A,


y fue creada por un grupo de visionarios, dedicados a
incursionar el proceso de subasta de vehculos en Ecuador.
Esta compaa se dedica bsicamente a brindar los servicios
de intermediacin entre los clientes y las empresas
aseguradoras para la venta de vehculos y salvamentos en
subasta privada
Provemovil, cuenta con localidades en las principales
ciudades que cubren

la Costa y Sierra del Pas, y que

adems existe mayor afluencia en el mercado automotriz.

96

La empresa Provemovil, se encarga de ofrecer el servicio de


venta y liquidacin con el mtodo de subasta al mejor postor.
Teniendo un proceso gil y efectivo que beneficia a clientes
y proveedores convirtindose en un negocio transparente
para todos.
La subasta est enfocada en vehculos siniestrados,
recuperos de robo, usados, maquinaria y bienes inmuebles
de

compaas

de

seguros,

instituciones

financieras,

compaa privadas y pblicas.


La empresa est en continua innovacin y mejora para
mantener el liderazgo en el mercado nacional. Se operara
con procesos claros y definidos con el apoyo de la
tecnologa actual con el propsito de brindar un ptimo
servicio y buena atencin al cliente y al visitante.
Nuestros Proveedores son las compaas de seguros,
instituciones financieras, compaas privadas y pblicas e
individuos que deseen vender sus productos de una forma
gil y transparente al mejor postor y as recuperar el mayor
precio posible en el menor tiempo posible.
Nuestros clientes son todas las personas que buscan
productos de oportunidad o liquidacin entendiendo y
sometindose con apoyo al mtodo de compra, formando
parte de una comunidad activa en la industria de los
remates.
Provemovil S.A como empresa pionera en el mercado de
subasta de vehculos y salvamentos al martillo en subasta
privada, est comprometida con brindar el mejor servicio a
las empresas Aseguradoras,

innovando nuevos servicios

para garantizar la transparencia del negocio.

97

PROVEMOVIL S.A. es una empresa considerada como una


casa de subastas de vehculos chocados que estn bajo la
custodia de Aseguradoras Nacionales. Tiene un tiempo en el
mercado de diecisiete aos, cuenta con instalaciones
propias en las ciudades donde ms afluencia tiene el
mercado de vehculos, Quito, Guayaquil, Ambato y Cuenca,
las cuales cubren las distancias de las ciudades cercanas, la
empresa

cuenta

con

una

Infraestructura

amplia

principalmente en la ciudad de Quito. 23 empleados que


siguen un proceso organizacional lo que permite brindar un
mejor servicio a las empresas Aseguradoras, adems la
empresa cuenta con un sistema propio de control, y base de
datos que es el un medio de control para las Aseguradoras,
finalmente la empresa es conocida por su honestidad, pagos
puntuales, transparencia en ventas, y especialistas en este
campo.
Provemovil ha logrado crear la cultura del remate al martillo
en el ramo de vehculos y salvamentos.

La estructura organizacional dela empresa Provemovil S.A


esta definida como se muestra en la grfica. Se puede
apreciar adems una forma estructurada con los dems
departamentos que manejan los procesos de la empresa y
ORGANIGRAMA
ESTRUCTURAL:

principalmente la existencia de una persona responsable del


rea de sistemas.

98

FIGURA 16. Organigrama estructural PROVEMOVIL S.A


Creado por: Diana Moncayo

La empresa Provemovil actualmente dispone de un sistema


principal de control de inventarios de vehculos, que se
maneja a nivel nacional en las sucursales de la entidad y
SISTEMAS
ADMINISTRATIVOS:

que adems brinda un servicio de control a varias empresas


de seguros de vehculos.
El sistema de control de vehculos se relaciona con el
sistema contable, sistema que se encarga de realizar las
actividades de control financiero y legal de la empresa.

En infraestructura la empresa cuenta con unas oficinas


modernas, teniendo como deficiencia las conexiones de voz
y datos, debido a que no existi la correcta arquitectura de
diseo en cableado y que adems no se cuenta con normas
INFRAESTRUCTURA:

ISO aplicadas.
El rea de cuarto fro de servidores es un espacio pequeo
asignado, donde llegan varias conexiones elctricas que
estn relacionados en el tablero de energa que alimenta a
los equipos susceptibles de la organizacin.
Los equipos cuentan con una temperatura adecuada, sin
99

embargo no existen conexiones apropiadas para su


alimentacin elctrica.
Actualmente en las instalaciones hay un buen sistema de
conexin a tierra, pero no cuenta con una correcta
distribucin de los tableros de control por donde fluye la
energa elctrica.

Tabla 43: Anlisis situacional empresa Provemovil S.A


Fuente: Desarrollado por Diana Moncayo.

3.1.2. Seleccin de los participantes que intervienen en la evaluacin del


modelo.
AREA

RESPONSABILIDADES

GERENCIA

h) Francisco Judge

SISTEMAS

i)

CONTABILIDAD

e) Josefina Erazo

RR.HH

f)

Diana Moncayo

Mnica Mora

TABLA 44: Seleccin de Participantes Provemovil S.A


Desarrollado por: Diana Moncayo

3.1.3 Recopilacin de Informacin del caso de estudio.


Provemovil como empresa de servicios, cuenta con un sistema de control de
inventarios de vehculos en lnea, que est dirigido al uso de las compaas de
seguros con una disponibilidad de 24x7.
Provemovil , desea medir cules son los riesgos que podra tener a nivel de
activos para controlarlos o mitigarlos y mantener una recuperacin aceptable
100

ante una cada del servicio que Provemovil entrega a otras entidades
externas.

La empresa, para proporcionar un servicio transparente a empresas


aseguradoras, debe interpretar la clasificacin de los activos TICs que estn
involucrados para dar funcionamiento al sistema de control.
Las empresas del sector automotriz, Provemovil S.A no cuenta con una
metodologa, modelos formales o buenas prcticas que conlleven al buen
manejo de activos tecnolgicos y ms an prevenciones de cada uno de ellos
en caso de posibles contingencias.

La empresa esta consiente de los riesgos a la que puede estar sometida la


organizacin, sin embargo espera que exista un mtodo de aplicabilidad que
pueda cubrir los miembros de la misma.

La empresa tratando de actuar ante posibles contingencias ha buscado


asesora externa para gestionar el riesgo a la que se encuentra sometida su
tecnologa, pero ha encontrado como resultado costos elevados, rutinas de
aplicabilidad complejas y tiempos de capacitacin altos, por tal razn se ven
obligados a gestionar sus activos como ellos lo creen conveniente.
Los activos TICs benefician a toda la organizacin y recopilarlos va a ayudar
a dotarlos de las medidas suficientes para mantener su disponibilidad,
confidencialidad e integridad y de esta forma garantizar la continuidad de los
servicios.

Sobre cada activo es importante conocer todos los riesgos y enemigos


potenciales, para obtener una mayor aproximacin y ms acertada de conocer
los riegos y amenazas que se quiere mitigar.

101

La identificacin de los riesgos va a conllevar a una evaluacin para tomar


controles o medidas que puedan mitigarlos. Para ello, debern identificarse los
activos de la empresa, as como las debilidades que puedan padecer,
estimando probabilidades de ocurrencia y asignndoles una importancia para
la misin de la empresa.

La obtencin de activos de la empresa debe proporcionar el departamento


contable, y debe ser entregado al rea de sistemas para que cuadre con su
inventario y se pueda hacer un anlisis de importancia y relevancia para cada
activo TIC`s

Se ha propuesto a esta pequea empresa gestionar los activos tecnolgicos a


travs del inventario de resultados financieros que se obtiene del sistema
contable, esto es a travs de las normas a escala internacional a las que por
ley deben regirse todas las empresas. NIIF (Normas Internacionales de
Informacin Financiera).

Para dar inicio a la implementacin se ha desarrollado una encuesta bsica de


21 preguntas que pretende indagar de principio como estn funcionando los
bienes tecnolgicos de la empresa, con esto se pretende conseguir los
primeros riesgos que hay que analizarlos y posterior mitigarlos.

3.1.4 Entrega de Resultados.

a) Encuesta Formulada.

El primer paso para la inicializacin de la evaluacin de riesgos es la valoracin de


las vulnerabilidades de la empresa a travs de la encuesta preliminar.
En esta fase intervienen los participantes de acuerdo a las actividades de la Tabla
40.
102

La operacin de la encuesta, se la puede realizar desde el sistema de apoyo


GraTICs.

Figura 17: Seleccin de encuesta sistema GraTICs.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los participantes involucrados en la evaluacin de riesgos, deben reunirse para


completar la encuesta inicial, la misma que va a generar resultados sobre las
vulnerabilidades a las que esta sometida la organizacin.

A continuacin se presenta en la imagen las valoraciones que los participantes


asignaron a cada pregunta de la encuesta:

103

Figura 18: Encuesta desde (Sistema GraTICs PROVEMOVIL S.A)


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

b) Criterios de valoracin de la encuesta formulada


Como resultados obtenidos de la encuesta tenemos, informacin de la tabla 45:

104

Tabla 45: Valoracin de resultados de la encuesta (Sistema GRATICS)


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los resultados de la encuesta estn enfocados en un nivel de 3 a 5, donde se


consideran riesgos medios altos para la organizacin.
Cada uno de estos riesgos son asociados a todas las amenazas, y posteriormente
son asociadas a cada activo para poder identificar con mayor precisin qu
amenazas pueden materializarse sobre esos riesgos.

105

c) Cuadro de afectaciones encontradas segn encuesta

Del resultado de la encuesta, tenemos como grados de afectacin:

Tabla 46: Afectaciones encontrada por encuesta (Sistema GRATICS)


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Estos indicadores iniciales, ya informan a la empresa sobre las afectaciones actuales


que mantiene y las causas que pueden ocasionar el no tomar medidas preventivas.

106

Los riesgos a partir del grado medio a alto se reflejan en la Tabla 46 del cuadro de
afectaciones, lo que implica conocer las causas que pueden afectar a la empresa si
no se toman medidas oportunas.

d) Tabla de levantamiento de activos TICs de la empresa

Para la preparacin del archivo, el participante debe considerar los activos que
sumen un valor de importancia en la empresa y que pueda causar un riesgo la
ausencia del mismo.
El participante debe interpretar los datos y clasificar solo informacin que va a
generar un riesgo, ya sea monetario o fsico. Tal es el caso de que un activo
registrado como teclado o mouse, no representa un riesgo material y su puede
ser reemplazado de forma inmediata.
iv

Tabla 47:Resultados Financieros Contabilidad activos


Fuente: Departamento Contable Provemovil S.A

En la seleccin de activos se considera informacin resultante de valores


razonables o avalos tcnicos realizados por la empresa Solucvaluac
(Empresa evaluadora activos) del ao 2011.
107

En la fase de recopilacin de resultados financieros interviene el participante


de contabilidad. Los activos TICs clasificados de los resultados financieros
ms el incremento otros activos nos da como resultado los datos de la Tabla
48.

Tabla 48 :Activos TICs clasificados Provemovil S.A (ANEXO 2)


Creado por: Participantes en el modelo

Los datos deben ser ingresados en el sistema GraTICs, con un formato de texto
plano delimitado por comas con extensin csv, una vez que los datos son
ingresados al sistema, ya se puede visualizar un detalle de todos los tipos de activos
y los valores asignados a cada uno de ellos.

e) Tabla de riesgos en Inventario Activos por NIIF


En la tabla de inventarios de activos TICS, se aplican las medidas de valoracin de
NIIF, a continuacin el detalle de activos resaltando la criticidad de los activos por
niveles a escala de valores.

108

Figura 19: Vista de Men Inventario Activos TICS


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

El sistema de apoyo GRATICs, nos muestra resaltados los activos de mayor riesgo
en valoracin cuantitativa.

Tabla 49a:Inventario Activos TICS PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

109

Tabla 49b: Inventario Activos TICS (Riesgos Iniciales) PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

110

Tabla 49c: Inventario Activos TICS (Riesgos Iniciales) PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

El anlisis cuantitativo se aplica a los activos del inventario, donde se puede apreciar
que siete activos se encuentran en un nivel de riesgo alto, el tener como resultado
debilidad de costo implica en su gran mayora que los activos se encuentran
depreciados de forma monetaria y fsica, por tal razn podran ser ms vulnerables a
cualquier amenaza que pueda ocasionarse sobre los mismos.
Dentro del sistema, se puede obtener un detalle ms general de cada activo, por
ejemplo, en la Tabla 50, podemos visualizar un activo de mayor riesgo y analizar sus
costos relativos.

111

Tabla 50: Detalle de Activos TICS PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

f) Tabla de riesgos asociados por tipos de activos

Los riesgos encontrados por activo Servicios se muestran en la Tabla 51.

Tabla 51: Riesgos Activos-Servicios PROVEMOVIL S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por: Diana Moncayo

112

Los riesgos encontrados por activo Hardware se muestran en la Tabla 52.

Tabla 52:Riesgos Activos-Hardware PROVEMOVIL S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por: Diana Moncayo

Los riesgos encontrados por activo Software se muestran en la Tabla 53.

Tabla 53: Riesgos de Activos-Software PROVEMOVIL S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por: Diana Moncayo

113

Los riesgos encontrados por activo Soportes de Informacin se muestran en la


Tabla 54.

Tabla 54: Riesgos Activos S. Informacin PROVEMOVIL S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por Diana Moncayo

g) Matriz de riesgos por tipos de activos

Para poder interpretar los resultados, se establece una matriz de riegos por
amenazas, cuya finalidad es determinar cules seran las que podran materializarse
sobre cada activo.

Es importante que los participantes involucrados, puedan interpretar la matriz


resultante y fijar atencin en los valores altos mayores al nivel 3, riesgo medio. De
esta forma ya se puede entender que ciertas amenazas son las que pueden tener
mayor impacto en cada riesgo.

La matriz de riesgos para los activos de hardware, se muestra en la siguiente figura.

114

115
Tabla 55: Matriz de riesgos Activos Hardware PROVEMOVIL S.A
Creado por: Diana Moncayo

La matriz de riesgos para los activos de servicios, software, soportes de informacin

Tabla 56: Matriz de riesgos otros Activos PROVEMOVIL S.A


Desarrollado por: Diana Moncayo

y personas se muestra en la siguiente figura.

116

h) Dimensiones de Amenazas por Encuestas


Los principales riesgos de la empresa fueron identificados a travs de la
encuesta preliminar.Cada riesgo tiene varias amenazas, y son expuestos en la

Tabla 57: Detalle Amenazas por encuesta PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

siguiente imagen del sistema:

117

Los resultados de la encuesta, nos simplifica las amenazas que afectaran a la empresa y su
dimensin por cada una de ellas.

118

Tabla 58: Dimensiones Amenazas por Encuestas PROVEMOVIL S.A


Creado por: Diana Moncayo

119

i) Matriz Salvaguardas por amenazas y resultados de encuesta


Las salvaguardas de las amenazas con mayor grado de afectacin se
muestran en el siguiente cuadro de la Tabla 59.

Tabla 59: Matriz Salvaguardas por amenazas PROVEMOVIL S.A


Desarrollado por: Diana Moncayo

Las salvaguardas en relacin a los resultados de la encuesta, con mayor grado de


afectacin se muestran en la siguiente figura.

120

Tabla 60: Matriz Salvaguardas por encuesta PROVEMOVIL S.A


Desarrollado por: Diana Moncayo

j) Salvaguardas encontradas.

A continuacin se detallan las amenazas ms su correspondiente


salvaguarda.

Salvaguardas por tipo de activo servicios

Tabla 61a: Salvaguardas Activo-Servicios PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

121

Salvaguardas por Tipo de activo hardware:

Tabla 61b: Salvaguardas Activo-hardware PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

122

Salvaguardas por tipo de activo software:

Tabla 61c: Salvaguardas Activo-Software PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Salvaguardas por tipo de activo soportes de informacin:

Tabla 61d: Salvaguardas Activo S. Informacin PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

k) Procedimientos de Salvaguardas encontradas.


A continuacin se detallan los procedimientos que forman parte de las salvaguardas
encontradas.

123

Los procedimientos a seguir para la salvaguarda Protecciones generales u


horizontales son:

Tabla 62: Procedimiento (1). Protecciones generales u horizontales


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Proteccin de los datos/informacin


son:

Tabla 63: Procedimiento (2). Proteccin de los datos/informacin


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

124

Los procedimientos a seguir para la salvaguarda Proteccin de los servicios son:

Tabla 64: Procedimiento (4). Protecciones de los servicios.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Proteccin de las comunicaciones


son:

Tabla 65: Procedimiento (7). Proteccin de las comunicaciones.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Proteccin en los puntos de


interconexin con otros sistemas son:

125

Tabla 66: Procedimiento (8). Proteccin en los puntos de interconexin con


otros sistemas
Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Seguridad Fsica/Proteccin de las


instalaciones son:

Tabla 67: Procedimiento (11). Seguridad fsica, proteccin de las instalaciones.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Relativas al personal son:

Tabla 68: Procedimiento (12). Salvaguardas relativas al personal.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

126

Los procedimientos a seguir para la salvaguarda tipo organizativo son:

Tabla 69: Procedimiento (13). Salvaguardas de tipo organizativo.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

3.2 Empresa Provealquileres S.A


3.2.1 Anlisis situacional.
NOMBRE EMPRESA:

Provealquileres S.A
Entregar soluciones de movilizacin a personas naturales y
jurdicas garantizando disponibilidad estacional y control en

OBJETIVO
EMPRESA:

DE

LA

la calidad del servicio.


Brindar garanta de satisfaccin y confianza a usuarios que
aplican el servicio de auto sustitucin.

Provealquileres S.A se constituy el 26 de marzo 2012,


como empresa de sustitucin de vehculos, cuya finalidad es
brindar un servicio de asignacin de vehculos a usuarios
RESEA HISTRICA:

que han sufrido una prdida parcial o total en sus vehculos.


Este beneficio es otorgado como parte del servicio de
asegurar un vehculo en agencias de seguros o de
reemplazar los automviles de empresas grandes como
127

Instituciones financieras.

Auto sustitucin se encuentra bridando el servicio en las


principales ciudades de Ecuador, como son Quito, Guayaquil
Cuenca y Ambato, brindando el beneficio de cobertura para
usuarios que se encuentran fuera de la capital.

La Empresa, en su corto tiempo de creacin, se ha logrado


posesionar en el mercado y ha conseguido sus metas
iniciales, lo que le ha ayudado a conseguir inversiones
tecnolgicas con una infraestructura tecnolgica pequea
que mantiene activos TICs elementales que apoyan en los
procesos de empresa.

La estructura organizacional de la empresa Provealquileres


S.A esta definida como se muestra en la grfica. Se puede
apreciar adems una forma estructurada con los dems
departamentos que manejan los procesos de la empresa.
ORGANIGRAMA
ESTRUCTURAL:

Cabe notar que no existe una persona responsable del rea


de sistemas que conforma la empresa, pero tiene un asesor
de la otra empresa que coordina parte de los procesos
tecnolgicos que se manejan en la empresa.

128

FIGURA 20. Organigrama estructural de la empresa Provealquileres


S.A
Creado por: Diana Moncayo

La empresa Provealquileres actualmente dispone de un


sistema CRM de control de inventarios de vehculos, alojado
en la nube, donde mantiene un contrato de mantenimiento
por la operatividad del sistema.
SISTEMAS
ADMINISTRATIVOS:

Adicionalmente posee un sistema contable en FENIX, y que


est adaptado a otro sistema de facturacin electrnica que
permite la generacin masiva de facturas.
Mantiene licencias de Windows y Office en los equipos de
hardware que posee la empresa.

La empresa tiene oficinas propias, pero se apoya en la


infraestructura tecnolgica de la empresa Provemovil S.A, es
decir, el equipo servidor que poseen se encuentra bajo las
INFRAESTRUCTURA:

protecciones del cuarto fro que mantiene la otra empresa,


adicional acogen los servicios de Internet y telefona.
La empresa cuenta en activos de hardware con 4 equipos de
escritorio

con

caractersticas

funcionamiento.
129

aceptables

para

su

La empresa tambin se ve afectada por una mala


distribucin de energa, datos y telefona,

inconvenientes

que afectan a las actividades de la empresa.


Tabla 70: Anlisis situacional Provealquileres S.A
Creado por: Diana Moncayo.

3.2.2 Seleccin de los participantes que intervienen en la evaluacin del


modelo.
AREA

RESPONSABILIDADES

GERENCIA

j)

Michelle Ugazzi

APOYO SISTEMAS

k) Diana Moncayo

CONTABILIDAD

g) Fernando Carvajal

RR.HH

h) Carlos Villacis
Tabla 71: Seleccin de Participantes Provealquileres S.A
Creado por: Diana Moncayo

3.2.3 Recopilacin de Informacin del caso de estudio.


Provealquileres S.A Ecuador es una empresa especializada en entregar soluciones
de movilizacin a personas naturales y jurdicas. Es actualmente la nica empresa de
vehculos en sustitucin que opera con flota 100% propia para garantizar
disponibilidad estacional y controlar directamente la calidad del servicio.

La empresa tiene por objetivo brindar garanta de satisfaccin y confianza a


usuarios que aplican el servicio de auto sustitucin.

El principal inventario de activos que mantiene la empresa es la flota de vehculos,


teniendo por activos TICs una pequea cantidad debido al corto tiempo de
130

expansin de la empresa en el mercado. Sin embargo la funcionalidad de activos


tecnolgicos tiene un desempeo importante para gestionar los procesos que
involucran el servicio de alquiler de vehculos.

La empresa, no posee un inventario de activos tecnolgicos y revisando


contablemente solo se tiene un valor total por la suma de equipos de computacin,
aqu la aplicacin de NIIF sobre activos est en proceso y por parte de la empresa el
departamento contable se vio obligado a registrar con mayor detalle sus activos. La
revalorizacin de los mismos se la hizo a travs de una empresa de apoyo de
tecnologa Jano Security. Los activos TICs ahora cuentan con un nuevo valor del
cual ya se puede realizar una evaluacin de riesgos para poder entregar resultados a
gerencia de las prevenciones que debe tomar en su organizacin.

Los activos benefician a toda la organizacin y recopilarlos va a ayudar a dotarlos de


las medidas suficientes para mantener su disponibilidad, confidencialidad e
integridad y de esta forma garantizar la continuidad de los servicios.

Sobre cada activo, es importante conocer todos los riesgos y enemigos potenciales
para obtener una mayor aproximacin y ms acertada de conocer los riegos y
amenazas que se quiere mitigar.

La identificacin de los riesgos va a conllevar a una evaluacin para tomar controles


o medidas que puedan mitigarlos. Para ello, debern identificarse los activos de la
empresa, as como las debilidades que puedan padecer, estimando probabilidades
de ocurrencia y asignndoles una importancia para la misin de la empresa.

Para iniciar una evaluacin de riesgos el departamento contable debe proporcionar


un detalle de los activos tecnolgicos, y debe ser entregado al rea de sistemas para
que cuadre con su inventario y se pueda hacer un anlisis de importancia y
relevancia para cada activo TIC`s
131

3.2.4 Entrega de Resultados.


a) Encuesta formulada

El primer paso para la inicializacin de la evaluacin de riesgos es la valoracin de


las vulnerabilidades de la empresa a travs de la encuesta preliminar.

En esta fase intervienen los participantes de acuerdo a las actividades de la tabla 4.


La operacin de la encuesta, se la puede realizar desde el sistema de apoyo
GraTICs.

Figura 17: Seleccin de encuesta sistema GRATICS


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los participantes involucrados en la gestion de riesgos, deben reunirse para


completar la encuesta inicial, la misma que va a generar resultados sobre las
vulnerabilidades a las que esta sometida la organizacin.
A continuacin se presenta en la imagen las valoraciones que los participantes
asignaron a cada pregunta de la encuesta:

132

Figura 21: Encuesta realizada PROVEALQUILERES S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

b) Criterios de valoracin de la encuesta formulada


Como resultados obtenidos de la encuesta tenemos los resultados en la Tabla
72:

133

Tabla 72: Criterios de valoracin PROVEALQUILERES S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los resultados de la encuesta estn enfocados en un nivel de 3 a 5, donde se


consideran riesgos medios altos para la organizacin.
Cada uno de estos riesgos son asociados a todas las amenazas y posteriormente
son asociadas a cada activo para poder identificar con mayor precisin, qu
amenazas pueden materializarse sobre esos riesgos.
De la tabla de criterios de valoracin, se puede observar que tres preguntas de la
encuesta estn en riesgo alto, as como:

134

La empresa no cuenta con respaldos de informacin, ni con normas ISO y no hay


Acuerdo de Nivel de Servicios (SLA) con ninguna organizacin.
Estos riesgos ms adelante sern expuestos a varias amenazas a fin de poder
comprender si son un riesgo y causan un impacto alto a la empresa.

c) Cuadro de afectaciones encontradas segn encuesta

Tabla 73: Afectaciones encontrada PROVEALQUILERES S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

135

Los riesgos a partir del grado medio a alto se reflejan en la figura del cuadro de
afectaciones, lo que implica conocer las causas que pueden afectar a la empresa si
no se toman medidas oportunas.

d) Tabla de levantamiento de activos TICs de la empresa


La informacin resultante sobre los inventarios NIIF debe ser proporcionada por el
participante de contabilidad y expuestos en una hoja electrnica para que el
participante de sistemas pueda subir los campos necesarios requeridos por el
sistema, en un archivo plano de extensin csv.

Tabla 74: Inventario de activos segn contabilidad PROVEALQUILERES S.A


Fuente: Proporcionado por participante de Contabilidad

En la fase de recopilacin de resultados financieros interviene el participante de


contabilidad. Los activos TICs clasificados de los resultados financieros ms el
incremento de otros activos, nos da como resultado los datos de la Tabla 75.

En la seleccin de activos se considera informacin resultante de valores razonables


o avalos tcnicos realizados por la empresa Janosecurity (Empresa evaluadora
activos) del ao 2013.

136

Tabla 75:Activos TICs clasificados PROVEALQUILERES S.A (ANEXO 2)


Fuente: Participante de Sistemas

Para la preparacin del archivo, el participante debe considerar los activos que
sumen un valor de importancia en la empresa y que pueda causar un riesgo, la
ausencia del mismo.

El participante debe interpretar los datos y clasificar solo informacin que va a


generar un riesgo, ya sea monetario o fsico. Tal es el caso de que un activo
registrado como teclado o mouse, no representa un riesgo material y su
disponibilidad puede ser remplazada de forma inmediata.
Los datos deben ser ingresados en el sistema GraTICs, con un formato de texto
plano de extensin csv delimitado por comas, una vez que los datos son ingresados
al sistema, ya que se puede visualizar un detalle de todos los tipos de activos y los
valores asignados a cada uno de ellos.

e) Tabla de riesgos en Inventario Activos por NIIF


En la tabla de inventarios de activos TICs, se aplican las medidas de valoracin de
NIIF, a continuacin el detalle de activos resaltando la criticidad de los activos por
niveles a escala de valores.

137

Figura 19: Vista de Men Inventario Activos TICS


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

El sistema de apoyo GraTICs , nos muestra resaltado, los activos de mayor riesgo
en valoracin cuantitativa.

138

Tabla 76: Inventario Activos TICS PROVEALQUILERES S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por Diana Moncayo

El anlisis cuantitativo se aplica en la grfica que representa la lista de activos en


hardware y su costo monetario, donde se puede notar que los activos TICs de la
empresa AutoSuplente S.A, no sufren un riesgo al costo, y esto se debe a que la
empresa tiene dos aos de funcionamiento, aqu cada activo tiene ya una primera

139

valoracin, pero es importante analizar cada activo y ver a qu otros riesgos pueden
estar expuestos cada uno de ellos.
De la tabla de activos tenemos riesgos bajos sobre cada activo, sin embargo, los
activos TICs deben ser analizados en otros riesgos y amenazas ya que su costo
monetario no implica ningn riesgo para cada uno de ellos.

f) Tabla de riesgos asociados por tipos de activos


Los riesgos encontrados asociados por tipo de activo servicios son:

Tabla 77: Riesgos de Activos-Servicios PROVEALQUILERES S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por Diana Moncayo

Los riesgos encontrados asociados por tipo de activo hardware son:

140

Tabla 78:Riesgos de Activos-Hardware PROVEALQUILERES S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por Diana Moncayo

Los riesgos encontrados asociados por tipo de activo software son:

Tabla 79: Riesgos de Activos-Software PROVEALQUILERES S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por Diana Moncayo

141

Los riesgos encontrados asociados por tipo de activo soportes de Informacin son:

Tabla 80: Riesgos de Activos-Soportes de Informacin. PROVEALQUILERES S.A


Fuente: Sistema de Apoyo GraTICs desarrollado por Diana Moncayo

g) Matriz de Riesgos por tipos de Activos

Para poder interpretar los resultados de los riesgos y amenazas, se establece una
matriz de riegos por amenazas cuya finalidad es determinar que amenazas pueden
materializarse sobre cada activo.

Se resumen tres riesgos para equipos de hardware, no hay un rea adecuada para
equipos principales, no existe respaldo de programas informacin y no hay acuerdos
de mantenimientos con los equipos, el sistema nos va ayudar a determinar por cada
activo que amenazas pueden causar un efecto negativo en cada uno de ellos, para

142

eso se aplica una matriz de riesgos donde se multiplica los resultados de riesgos
NIIF por la valoracin que tiene cada amenaza dependiendo del riesgo.

Es importante que los participantes involucrados, puedan interpretar la matriz


resultante y fijar atencin en los valores altos mayores al nivel 3 riesgo medio. De
esta forma ya se puede entender que ciertas amenazas son las que pueden tener
mayor impacto en cada riesgo.

A continuacin se detalla la relacin entre amenazas y salvaguardas del resultado de


riesgos de la encuesta preliminar, los mismos que ayudan a determinar el mayor
impacto sobre los activos TICs.

Tabla 81: Relacin Amenazas/Salvaguardas PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

La matriz de riesgos para los activos de hardware, se muestra en la Tabla 82a y 82b.

143

Tabla 82a: Matriz de riesgos Activos Hardware PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

Tabla 82b: Matriz de riesgos Activos Hardware PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

144

Tabla 83: Matriz de riesgos Activos Software PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

Tabla 84: Matriz de riesgos Activos Soportes de Informacin PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

h) Dimensiones Amenazas por Encuestas


Los principales riesgos de la empresa fueron identificados a travs de la
encuesta preliminar. Cada riesgo tiene varias amenazas, y son expuestos en
la siguiente imagen del sistema:

145

Tabla 85: Amenazas de mayor criticidad por Encuesta Provealquileres


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

146

Tabla 86: Dimensiones Amenazas por Encuesta PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

147

i) Matriz Salvaguardas por amenazas y resultados de encuesta


Las salvaguardas de las amenazas con mayor grado de afectacin se muestran en la
Tabla 87a y 87b.

Tabla 87a: Matriz Salvaguardas por amenazas PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

TABLA 87b:Matriz Salvaguardas por amenazas PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

148

Las salvaguardas en relacin a los resultados de la encuesta, con mayor grado de


afectacin se muestran en la Tabla 88.

Tabla 88: Matriz Salvaguardas por encuesta PROVEALQUILERES S.A


Fuente: Desarrollado por Diana Moncayo

j) Salvaguardas encontradas.
La obtencin de las salvaguardas es el resultado de las amenazas con mayor
probabilidad de materializarse.
A continuacin

se detallan las salvaguardas del resultado de las amenazas por

activos y por resultado de encuesta.

149

Tabla 89: Detalle Salvaguardas por encuesta PROVEALQUILERES S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

Las salvaguardas encontradas por tipo de activos servicios son:

150

Tabla 90a: Salvaguardas Activos-Servicios


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

Las salvaguardas encontradas por tipo de activos hardware son:

151

Tabla 90b: Salvaguardas Activos-Hardware PROVEALQUILERES S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Las salvaguardas encontradas por tipo de activos software, soportes de informacin


y personas son:

152

Tabla 90c: Salvaguardas Activos-Software, SI, Personas PROVEALQUILERES S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

k) Procedimientos de salvaguardas encontradas.


Como detalle de las salvaguardas tenemos los siguientes procedimientos.

153

Los procedimientos a seguir para la salvaguarda Protecciones generales u


horizontales son:

Tabla 91: Procedimiento (1). Protecciones generales u horizontales


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Proteccin de los datos/informacin


son:

Tabla 92: Procedimiento (2). Protecciones de los datos/Informacin.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

154

Los procedimientos a seguir para la salvaguarda Proteccin de los servicios son:

Tabla 93: Procedimiento (2). Protecciones de los servicios.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Proteccin de los equipos son:

Tabla 94: Procedimiento (6). Protecciones de los equipos hardware


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

155

Los procedimientos a seguir para la salvaguarda Proteccin de las comunicaciones


son:

Tabla 95: Procedimiento (7). Protecciones de las Comunicaciones


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Proteccin en los puntos de


interconexin con otros sistemas son:

Tabla 96: Procedimiento (8). Protecciones de puntos de interconexin con otros


sistemas.
Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

156

Los procedimientos a seguir para la salvaguarda Proteccin de elementos auxiliares


son:

Tabla 97: Procedimiento (10). Protecciones de los elementos auxiliares


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Relativas al personal son:

Tabla 98: Procedimiento (12). Salvaguardas relativas al personal.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Tipo Organizativo son:

157

Tabla 99: Procedimiento (13). Salvaguardas de tipo organizativo


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Continuidad de operaciones son:

Tabla 100: Procedimiento (14). Continuidad de operaciones.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Externalizacin son:

158

Tabla 101: Procedimiento (15). Externalizacin.


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

Los procedimientos a seguir para la salvaguarda Adquisicin y desarrollo son:

Tabla 102: Procedimiento (16). Adquisicin y desarrollo


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo.

3.3 Discusin de resultados

De acuerdo a la aplicacin del modelo de evaluacin de riesgos en dos empresas del


sector automotriz, se ha podido evidenciar varios aspectos que van a ser analizados
y comparados a fin de llevar a cabo una discusin de resultados que identifique las
problemticas encontradas durante la implementacin del nuevo modelo.

159

Como resultados de la aplicacin del modelo en la empresa automotriz Provemovil


S.A tenemos:

a) Encuesta Formulada.
En la evaluacin de resultados de la encuesta predominan los puntos no
favorables que afectan o indisponen el desempeo de la empresa. Las negativas
a los resultados de la encuesta son:

No existe una adecuada rea de sistemas para equipos principales

La importancia que se asigna a mantener un sistema de alimentacin


elctrica es del 80%.

La empresa no cuenta con normas ISO de seguridad.

La empresa da un 90% de importancia a la disponibilidad de un internet de


respaldo.

La empresa solo mantiene un 40% de acuerdos de servicios con otras


empresas.

La empresa requiere de un 90% de servicio de internet de respaldo.

La empresa mantiene un 40% de acuerdos de servicios con

De la encuesta realizada siete puntos son considerados como debilidades


medio altas que posee la empresa, los mismos que sern analizados a travs
de amenazas a fin de determinar cules se pueden considerar como riesgo
probable de afectar los bienes de la empresa.
b) Criterios de valoracin de la encuesta formulada
Los criterios de valoracin han sido aplicados a la encuesta en una escala de
valores de 1-5, teniendo como valor crticos:

(3) No existe un buen sistema de conexin a tierra.


160

De acuerdo al estado situacional de la empresa, no existe una correcta


distribucin del sistema de alimentacin elctrica, existe tambin una
deficiencia del cableado estructurado, lo que produce una inestabilidad
en los procesos o actividades recurrentes que maneja la empresa.

(4) La importancia que se asigna a mantener un sistema de alimentacin elctrica es


del 40%.
Normalmente los sistemas de alimentacin elctrica, son colocados en lugares
donde principalmente pueden poner en riesgo la vida o seguridad humana, tal
es el caso de procesos industriales que generen un riesgo incluso en su
evacuacin debido a su iluminacin.
Las pequeas y medianas empresas del sector automotriz, buscan tener un
sistema de alimentacin continua como son los UPS, cuya carga se extienda
en un tiempo considerable y razonable hasta la solucin del problema
elctrico.
En el caso de que no exista ningn equipo de proteccin, se debera
considerar la posibilidad de instalar un UPS general cuyas cargas alimenten
energa a equipos principales en un tiempo en donde se pueda dar una
solucin al problema.
(3) No existe un rea adecuada de sistemas para equipos principales
El rea de cmputo, donde se encuentran los equipos principales de la
empresa requieren una proteccin ambiental a temperaturas bajas cuya
finalidad es evitar que los equipos electrnicos tengan efectos donde recaigan
sus componentes electrnicos, lo que ocasiona la degradacin y fallas
recurrentes que van a reducir la vida til de los equipos.
(3) La empresa tiene cubierto un 70% de licenciamiento en la empresa.
No poseer licenciamiento en la organizacin va a causar una serie de
problemas legales, adicional a ello la empresa se expone a tener problemas
de actualizacin en el software, implicando la generacin riesgos y amenazas
en los equipos. Para ello la empresa debe hacer un anlisis de equipos
crticos y protegerlos a travs de software legal.
161

(5) La empresa no cuenta con normas ISO de seguridad.


Las normas ISO (Organizacin Internacional de Normalizacin), ayudan a
demostrar una gestin competente y efectiva de la seguridad de recursos y
datos que gestionan. Dicho de otra forma el no poseerlas es no tener una
garanta de las funcionalidades que la empresa mantiene activas.
No existen normas ISO, inicialmente este no puede ser un riesgo alto, pero es
probable que al no tenerlo, la empresa tenga consecuencias fuertes, en el
detalle situacional podemos notar que la empresa no cuenta con la conexiones
adecuadas de red y datos,

y que en varias ocasiones se han suscitado

problemas que afectan la operatividad normal de los usuarios.


(4) La empresa da un 90% de importancia a la disponibilidad de un internet de
respaldo.
El internet es un servicio que mantiene activo varios sistemas que opera la
empresa, el no contar con un servicio de respaldo, va a retrasar las
actividades de los empleados y en muchas ocasiones denegar el servicio de
programas con los que cuenta la empresa.
(5) La empresa solo mantiene un 40% de acuerdos de servicios con otras empresas.
Los acuerdos de servicios, estn relacionados directamente con los
proveedores de la empresa, cuya finalidad es la de obtener un documento que
especifique la calidad del servicio contratado.
No tener estos documentos, no garantiza que el servicio proporcionado
ofrezca un nivel operativo de calidad en el servicio y que no existan procesos
ni acuerdos que beneficien a ambas partes.
De igual forma,

este no puede ser un riesgo alto de momento para la

organizacin, pero s es importante que la empresa entienda que establecer


este tipo de compromisos o acuerdos va a ayudar evitar tener riesgos o
deterioros de bienes que posee la empresa.

c) Cuadro de afectaciones encontradas segn encuesta


Las afectaciones de primera instancia que la empresa debe considerar son:
162

N
5

RIESGOS

AFECTACIONES

La empresa no cuenta con normas

ISO de seguridad.

Puede causar un dao serio a la


organizacin

Puede afectar las relaciones


Comerciales

Puede tener un impacto en las


relaciones Internacionales

Puede causar un dao que afecte a la


seguridad de la empresa.

La importancia que se asigna a


mantener un sistema de alimentacin

empresa

elctrica es del 40%.

Puede afectar la confianza de la

La empresa da un 90% de

Puede afectar el inters comercial y


econmico de la empresa

importancia a la disponibilidad de un

Puede ocasionar problemas legales.

internet de respaldo.

Puede afectar al tiempo de

La empresa solo mantiene un 40%

recuperacin.

de acuerdos de servicios con otras


empresas
3

No existe un buen sistema de

conexin a tierra.

empresa.

No existe un rea adecuada de

sistemas para equipos principales

Puede afectar en un grado medio a la

Puede causar molestias y alterar el


orden con el personal de la empresa.

La empresa tiene cubierto un 70% de


licenciamiento en la empresa.

No existe un correcto respaldo del

100% en equipos principales

Puede causar una interrupcin que no


afecte a los procesos de la empresa.

Puede Causar un menor impacto que


puede ser solucionando sin tomar en
cuenta el tiempo.

Tabla 103: Relacin afectaciones PROVEMOVIL S.A


Creado por: Diana Moncayo

d) Tabla de Levantamiento de Activos TICS de la empresa


De los activos recaudados por parte del departamento contable y sistemas, se
llev a cabo una identificacin ms a detalle a fin de cuadrar informacin y tener

163

un inventario con detalles ms apropiados de los activos, a esto se sum los


activos de servicios, software, soportes de informacin y personas.
Es importante que este tipo de coordinaciones en departamentos ya se regule
para en futuras evaluaciones, para de esta forma obtener un reporte detallado de
contabilidad y que sea aplicado directamente al sistema de evaluacin de riesgos.
e) Tabla de riesgos en Inventario Activos por NIIF

Tabla 104: Activos TICS con mayor criticidad PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

Como resultado de un anlisis cuantitativo sobre los activos TICs, encontramos que
los activos tipo hardware son los que poseen un riesgo significativo para la empresa.

164

Tabla 105: Activo Servidor Secundario riesgo (5) PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

Este equipo contablemente ya es un bien pasivo, pero que sigue prestando servicios
a usuarios y que adems es el servidor que maneja la informacin sensitiva de la
empresa, y que mantiene activa una consola de antivirus que acoge todos los
usuarios de la empresa.
Este equipo tomando en cuenta las valoraciones de las NIIF, esta degradado, lo que
implica que la empresa debe analizar bien el funcionamiento del activo y tomar
medidas urgentes de correccin para evitar altos impactos

Tabla 106: Activo Equipo Pentium riesgo (5) PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

165

Sobre este activo existe una degradacin y contablemente ya forma parte de un


activo pasivo, ya que su valor razonable no pudo poner nuevamente activar
contablemente al activo.
Sobre este activo se deben tomar medidas preventivas, ya que el equipo tiene un
tiempo de vida til de 5 aos y existe una devaluacin tecnolgica que puede dar
problemas con los procesos actuales que maneja la empresa.

Tabla 107: Activo UPS 1500 riesgo (5) PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

El activo UPS, que mantiene la empresa contablemente, ya tiene un deterioro frente


al nuevo valor razonable, esto implica que al cumplir su tiempo de vida til el activo
no podr reactivarse. El que los costos bajen en el mercado, puede depender mucho
de una innovacin tecnolgica, lo que ocasionara no tener el mismo soporte que el
inicial en su compra.

166

Tabla 108: Activo Impresora Samsung riesgo (5) PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

El activo impresora que maneja el departamento de sistemas, tiene un valor en libros


en negativo, contablemente no se mantiene activo pero si operativo, esto implicara
agilizar su reemplazo, pero en las observaciones del activo se puede destacar que
este equipo no tiene un mayor uso y esto puede deberse a que en operatividad no
constituye un riesgo, sin embargo es importante que la empresa tenga en cuenta los
activos que pueden presentar problemas futuros.

Tabla 109: Activo Impresora Principal riesgo (5) PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

El activo copiadora, tiene un riesgo alto ya que su tiempo de vida til ya se ha


cumplido , pero sus constantes mantenimientos han hecho que aun siga constando
en registros contables, no obstante por tecnologa y tiempo de vida til estos equipos
167

pueden seguir presentando deficiencias a lo largo de su uso, sera bueno que la


empresa analizara la degradacin del activo al 6.52% , para que se tomen medidas
preventivas e incluso ese equipo pueda ser una opcin de pago para la adquisicin
de uno nuevo.

Tabla 110: Activo Impresora Epson LX_300 riesgo (4) PROVEMOVIL S.A
Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

El activo Impresora Epson LX_300, se considera un activo de uso frecuente y que


mantiene al da las operaciones cotidianas del departamento contable, ya est
cumpliendo su tiempo de vida til que son 5 aos de operatividad, por lo que la
empresa debe verse obligado a reemplazar ese equipo y mantenerlo como respaldo
en caso de que el nuevo activo ocasione algn problema.

Tabla 111: Activo Computador Respaldo riesgo (4) PROVEMOVIL S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

168

En la sucursal de la Guayaquil, existe un equipo de respaldo de informacin que


contablemente ya posee un riesgo medio alto grado (4) y cuenta con un riesgo de
avalu del 3.94%.
Este es un aspecto que la empresa debe considerar, ya que hay informacin
sensitiva en ese equipo y su afectacin debido al tiempo transcurrido, puede llevarse
a riesgos lamentables si no se toman las medidas oportunas.

Tabla 112: Activo Computador Dual Core. Riesgo (4) PROVEMOVIL S.A
Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

Sobre este activo existe una degradacin y contablemente ya forma parte de un


activo pasivo, ya que su valor razonable no pudo poner nuevamente en
funcionamiento al activo.
Sobre este activo se deben tomar medidas preventivas, ya que el equipo tiene un
tiempo de vida til de 5 aos y existe una devaluacin tecnolgica que puede dar
problemas con los procesos actuales que maneja la empresa.
f) Matriz de Riesgos por tipos de Activos
Para obtener la matriz de riesgos se consider tomar en cuenta las valoraciones
iniciales de la cuantificacin de activos de NIIF, ms las valoraciones obtenidas
en la encuesta. En resumen existen amenazas clasificadas que tienen mayor
probabilidad de incurrir un riesgo en la empresa:

169

Tabla 113: Amenazas con mayor probabilidad de materializarse.


PROVEMOVIL S.A
Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

Una de las amenazas que tiene un impacto alto como Deficiencias en la


organizacin, Nos indica que:
Cuando no est claro quin tiene que hacer exactamente qu y cundo, incluyendo
tomar medidas sobre los activos o informar a la jerarqua de gestin. Acciones
descoordinadas, errores por omisin, etc.
Los riesgos de la matriz con criterio alto de valoracin pueden ocasionar:

Posibilidad de que el fuego acabe con recursos del sistema.

Interferencias de radio, campos magnticos, luz ultravioleta

170

Fallos en los equipos y/o fallos en los programas. Puede ser debida a un
defecto de origen o

Deficiencias en la aclimatacin de los locales, excediendo los mrgenes de


trabajo de los equipos: excesivo calor, excesivo fro, exceso de humedad

Desconocimiento de cmo actuar, incluyendo tomar medidas

Acciones descoordinadas, errores por omisin, etc."

Defectos en los procedimientos o controles de actualizacin de los equipos


que permiten que sigan utilizndose ms all del tiempo nominal de uso."

La carencia de recursos suficientes provoca la cada del sistema cuando la


carga de trabajo es desmesurada.

La carencia de recursos suficientes provoca la cada del sistema cuando la


carga de trabajo es desmesurada.

La sustraccin de equipamiento provoca directamente la carencia de un medio


para prestar los servicios, es decir una indisponibilidad.

El robo puede afectar a todo tipo de equipamiento, siendo el robo de equipos


y el robo de soportes de informacin los ms habituales. El robo puede
realizarlo personal interno, personas ajenas a la Organizacin o personas
contratadas de forma temporal, lo que establece diferentes grados de facilidad
para acceder al objeto sustrado y diferentes consecuencias.

g) Salvaguardas y procedimientos
Cabe destacar que las salvaguardas analizadas en el modelo, relaciona los
resultados de la encuesta preliminar ms los valores de activos, donde se determina
unos indicadores de cmo est operando la empresa y cules son sus riesgos a nivel
empresarial.

171

En cada fase de aplicacin del modelo se va obteniendo causas negativas que han
sido encontrados en los activos o encuesta, que no son ms que puntos dbiles que
la empresa posee y que a ms de ello debe conocer que procedimientos puede optar
por acoger para empezar a tomar medidas de control o prevencin de sus bienes.
A todos los riesgos asociados por amenazas en la organizacin, se propone tomar
como medidas preventivas las salvaguardas detalladas:
1. Protecciones generales u horizontales

Identificacin y autenticacin

Control de acceso lgico

Segregacin de tareas

Gestin de incidencias

Establecer herramientas de seguridad

Establecer herramienta contra cdigo daino

Establecer herramienta de deteccin / prevencin de intrusin

Establecer herramienta de chequeo de configuracin

Establecer herramienta de anlisis de vulnerabilidades

Establecer herramienta de monitorizacin de trfico

Establecer herramienta de monitorizacin de contenidos

Establecer herramienta para anlisis de logs

Gestin de vulnerabilidades Registro y auditora

2. Proteccin de los datos / informacin

Proteccin de la Informacin fsica y lgica

Copias de seguridad de los datos (backup)

Aseguramiento de la integridad de acceso a informacin

Cifrado de la informacin, claves de acceso

172

Uso de discos duros o dispositivos fsicos para almacenamiento de


informacin

Mecanismos de control para respaldo automtico de informacin

Plan de alquiler de un casillero de seguridad para alojamiento de respaldos


de informacin

Plan de adquisicin o programacin de reglas o normas para proteccin de


activos

4 Proteccin de los servicios

Proteccin de los servicios

Aseguramiento de la disponibilidad

Aceptacin y puesta en operacin

Aplicar perfiles de seguridad

Gestin de cambios (mejoras y sustituciones)

Proteccin de servicios y aplicaciones web

Proteccin del correo electrnico

Proteccin del directorio

Proteccin del servidor de nombres de dominio (DNS)

7. Proteccin de las comunicaciones

Proteccin de las comunicaciones a travs de un plan de internet de


respaldo

Aseguramiento de la disponibilidad

Plan de transparencia para el cambio de plan de datos

Proteccin, seguridades para plan B de respaldo

Registro de incidencias por prdidas de plan de datos

Acuerdos con proveedores para mantener servicios de calidad

8. Proteccin en los puntos de interconexin con otros sistemas


173

Revisin de puntos de interconexin: conexiones entre zonas de confianza

Instalar un sistema de proteccin perimetral

Revisar tableros de control asociados a tierra

Realizar mediciones peridicas de voltaje para zonas que se requiere


mayor proteccin

Instalar o mejorar protecciones actuales de UPS

11. Seguridad fsica Proteccin de las instalaciones

Revisar proteccin de las Instalaciones

Tener planos del diseo de instalaciones y conexiones

Tener control a mantenimientos de conexiones a tierra

Mantener seguridad en protecciones externas

Instalar sistemas de control de acceso a reas restringidas

12. Salvaguardas relativas al personal

Formacin y concienciacin al personal

Aseguramiento de la disponibilidad

13. Salvaguardas de tipo organizativo

Reunin alta gerencia de la Organizacin

Implementar Gestin de riesgos

Planificacin de la seguridad

Inspecciones de seguridad

Revisin de anlisis de impacto (BIA)

Revisin de valoracin de activos, programar nuevas adquisiciones

Revisin plan de contingencia de continuidad de operaciones

Como resultado de la aplicacin del modelo en la empresa automotriz


Provealquileres S.A tenemos:
174

h) Encuesta Formulada.

En la evaluacin de resultados de la encuesta predominan los puntos no favorables


que afectan o indisponen el desempeo de la empresa. Las negativas a los
resultados de la encuesta son:

No existe el personal dedicado en el rea de sistemas.

No existe una adecuada rea de sistemas para equipos principales

La importancia que se asigna a mantener un sistema de alimentacin


elctrica es del 40%.

Solo el 50% de equipos mantiene un respaldo de informacin.

La empresa no cuenta con dispositivos externos alojados fuera de la


empresa.

La empresa no cuenta con normas ISO de seguridad.

La empresa da un 30% de importancia a la disponibilidad de un internet de


respaldo.

La empresa solo mantiene un 10% de acuerdos de servicios con otras


empresas.

De la encuesta realizada, ocho puntos son considerados como debilidades que


posee la empresa, los mismos que sern analizados a travs de amenazas a fin de
determinar cuales se pueden consideran como riesgo probable de afectar los bienes
de la empresa.

i) Criterios de valoracin de la encuesta formulada


Los criterios de valoracin han sido aplicados a la encuesta en una escala de valores
de 1-5, teniendo como valor crtico y de importancia los siguientes:
175

(5) No existe el personal dedicado en el rea de sistemas.


El que no exista un personal de sistemas dedicado no garantiza una seguridad en
las operaciones que demandan las TICs, por tal razn la empresa debe dar
importancia y relevancia a formalizar una rea de sistemas, donde exista un
responsable que se encargue de dar cumplimento a los objetivos de la empresa
y a la supervisin de proyectos, servicios, tecnologa, etc.
(3) No existe una adecuada rea de sistemas para equipos principales
El rea de cmputo, donde se encuentran los equipos principales de la
empresa requieren una proteccin ambiental a temperaturas bajas cuya
finalidad es evitar que los equipos electrnicos tengan efectos donde recaigan
sus componentes electrnicos, lo que ocasiona la degradacin y fallas
recurrentes que van a reducir la vida til de los equipos.
(2) La importancia que se asigna a mantener un sistema de alimentacin
elctrica es del 40%.
Normalmente los sistemas de alimentacin elctrica, son colocados en lugares
donde principalmente pueden poner en riesgo la vida o seguridad humana, tal
es el caso de procesos industriales que generen un riesgo incluso en su
evacuacin debido a su iluminacin.
Las pequeas y medianas empresas del sector automotriz, buscan tener un
sistema de alimentacin continua como son los Ups, cuya carga se extienda
en un tiempo considerable y razonable hasta la solucin del problema
elctrico.
En el caso de que no exista ningn equipo de proteccin, se debera
considerar la posibilidad de instalar un UPS general cuyas cargas alimenten
energa a equipos principales en un tiempo en donde se pueda dar una
solucin al problema.
(4) Solo el 50% de equipos mantiene un respaldo de informacin.
La informacin relevante de la empresa, debe estar sometida a una frecuencia
diaria del resguardo de la informacin, no tener esta disposicin har ms
176

vulnerable los procesos del sistema y la informacin, es decir si una amenaza


se materializa, existira una prdida irremediable de informacin.
(5) La empresa no cuenta con dispositivos externos alojados fuera de la empresa.
Los respaldos de informacin son una copia de seguridad de la informacin
ms importante o relevante de los usuarios y de la empresa.
No realizar respaldos de informacin, puede ocasionar prdidas cuantificables,
ya que los costos para recuperar los datos perdidos es muy alto, an para los
pequeos negocios esto puede representar una prdida significa.
Por tal razn, deben existir mecanismos de control y tareas programadas que
aseguren una accin confiable de un proceso ordenado de respaldos. Dicha
informacin debe ser almacenada en cintas o discos duros, a fin de poder
movilizar los dispositivos fuera de la empresa.
(5) La empresa no cuenta con normas ISO de seguridad.
Las normas ISO (Organizacin Internacional de Normalizacin), ayudan a
demostrar una gestin competente y efectiva de la seguridad de recursos y
datos que gestionan. Dicho de otra forma, el no poseerlas es no tener una
garanta de las funcionalidades que la empresa mantiene activas.
No existen normas ISO, inicialmente este no puede ser un riesgo alto, pero es
probable que al no tenerlo, la empresa se exponga a consecuencias fuertes,
en el detalle situacional podemos notar que la empresa no cuenta con la
conexiones adecuadas de red y datos y que en varias ocasiones se han
suscitado problemas que afectan la operatividad normal de los usuarios.
(1) La empresa da un 30% de importancia a la disponibilidad de un internet de
respaldo.
El internet es un servicio que mantiene activo varios sistemas que opera la
empresa, el no contar con un servicio de respaldo, va a retrasar las
actividades de los empleados y en muchas ocasiones denegar el servicio de
programas o la empresa brinda a otras entidades.
(5) La empresa solo mantiene un 10% de acuerdos de servicios con otras empresas.

177

Los acuerdos de servicios, estn relacionados directamente con los


proveedores de la empresa, cuya finalidad es la de obtener un documento que
especifique la calidad del servicio contratado.
No tener estos documentos, no garantiza que el servicio proporcionado
ofrezca un nivel operativo de calidad en el servicio y que no existan procesos
ni acuerdos que beneficien a ambas partes.
De igual forma este no puede ser un riesgo alto de momento para la
organizacin, pero s es importante que la empresa entienda que establecer
este tipo de compromisos o acuerdos va a evitar los riesgos o deterioros de
bienes que posee la empresa.
(3) No existe un buen sistema de conexin a tierra.
De acuerdo al estado situacional de la empresa, no existe una correcta
distribucin del sistema de alimentacin elctrica, existe tambin una
deficiencia del cableado estructurado, lo que produce una inestabilidad en los
procesos o actividades recurrentes que maneja la empresa.
(5) No existe un mecanismo de programacin de respaldos de informacin en
dispositivos externos
La empresa no mantiene mecanismos para llevar a cabo una programacin
secuencial de ejecucin de los respaldos de informacin que maneja la
empresa, este es un riesgo alto, ya que ante cualquier amenaza que afecte la
infraestructura de la empresa, solo la informacin almacenada en dispositivos
externos podr ser una salvaguarda ante un alto impacto.

j) Cuadro de afectaciones encontradas segn encuesta


Las afectaciones de primera instancia que la empresa debe considerar son:

178

N
5

RIESGOS

AFECTACIONES

No existe el personal dedicado en el

rea de sistemas.

La

empresa

organizacin
no

cuenta

con

dispositivos externos alojados fuera

La empresa no cuenta con normas

Puede tener un impacto en las


relaciones Internacionales

ISO de seguridad.

Puede afectar las relaciones


Comerciales

de la empresa.

Puede causar un dao serio a la

La empresa solo mantiene un 10%

Puede causar un dao que afecte a la


seguridad de la empresa

de acuerdos de servicios con otras


empresas.
4

Solo el 50% de equipos mantiene un

respaldo de informacin.

Puede afectar la confianza de la


empresa

No existe un mecanismo de
programacin de respaldos de

Puede afectar el inters comercial y


econmico de la empresa

informacin en dispositivos externos

Puede ocasionar problemas legales.

Puede afectar al tiempo de


recuperacin.

No existe una adecuada rea de

sistemas para equipos principales

empresa.

No existe un buen sistema de

conexin a tierra.
2

Puede afectar en un grado medio a la

Puede causar molestias y alterar el


orden con el personal de la empresa.

La importancia que se asigna a

mantener un sistema de alimentacin

afecte a los procesos de la empresa.

elctrica es del 40%.

Puede causar una interrupcin que no

Puede Causar un menor impacto que


puede ser solucionando sin tomar en
cuenta el tiempo.

La

empresa

da

un

30%

de

Puede causar un impacto menor que

importancia a la disponibilidad de un

no

internet de respaldo.

empresa.

afecta

el

desempeo

la

Puede no causar un impacto con el


personal de la empresa.

Tabla 114: Relacin de afectaciones PROVEALQUILERES S.A.


Fuente: Sistema de Apoyo GraTICs Desarrollado por Diana Moncayo.

179

de

k) Tabla de Levantamiento de Activos TICS de la empresa

En la empresa Provealquileres S.A, se realiz un inventario, con la intervencin de


los participantes de contabilidad y sistemas, logrando recaudar los activos TICs
ms elementales que maneja la empresa.
Los activos tangibles de la empresa, fueron regularizados en el sistema contable,
a fin de obtener valores reales del estado de vida de los mismos, considerando el
avalu tcnico por parte de la empresa tecnolgica Jano-Security S.A.
Es importante llevar a cabo una planificacin entre departamentos, para

regular

futuras evaluaciones de activos tangibles y proyectar resultados de evaluaciones de


riegos para que sean revisados por la alta gerencia.
l) Tabla de riesgos en Inventario Activos por NIIF

Tabla 115: Activos TICS con mayor criticidad PROVEALQUILERES S.A


Desarrollado por: Diana Moncayo basado en el Sistema de Apoyo Gratics

Como resultado de un anlisis cuantitativo sobre los activos TICs, se detallan a


continuacin, los que poseen un riesgo significativo para la empresa.

180

Tabla 116: Activo Mac 1.6 PROVEALQUILERES S.A


Fuente: Sistema de Apoyo GraTICs, desarrollado por Diana Moncayo.

El activo Mac 1.6, utilizado para establecer relaciones comerciales,

da como

resultado que el valor en libros sea mayor que el valor razonable, lo que atribuye un
riesgo alto para la empresa.
El valor en libros contables de la empresa registra una depreciacin de $508.89 en
13 meses de uso, mientras que el valor en el mercado es de $463.23, cuya prdida
afecta la inversin realizada en el activo, y produce una devaluacin tecnolgica del
mismo.

Tabla 117: Activo Licencias Office riesgo (3) PROVEAQLUILERES S.A


Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

El activo Licencias Office, licencias de trabajo para usuarios, da como resultado


un riesgo medio que se ha depreciado en $954,14 siendo su costo razonable
$976.48, lo que constituye un posible riesgo debido a que el tipo de activo
181

software debe tener un costo significativo en el mercado que debe representar


una diferencia en relacin al valor razonable.

m) Matriz de Riesgos por tipos de Activos

Para obtener la matriz de riesgos se consider tomar en cuenta las valoraciones


iniciales de la cuantificacin de activos de NIIF, ms las valoraciones obtenidas
en la encuesta. En resumen existen amenazas clasificadas que tienen mayor
probabilidad de incurrir un riesgo en la empresa:
Las amenazas que generan mayor riesgo en la empresa son:

182

Tabla 118: Amenazas con mayor probabilidad de materializarse


PROVEALQUILERES S.A
Fuente: Sistema de Apoyo Gratics Desarrollado por Diana Moncayo

Una de las amenazas que tiene un impacto alto como E7 Deficiencias en la


organizacin, Nos indica que:
Cuando no est claro quin tiene que hacer exactamente qu y cundo, incluyendo
tomar medidas sobre los activos o informar a la jerarqua de gestin. Acciones
descoordinadas, errores por omisin, etc.

183

En la matriz de resultados por tipos de activos, se determin un valor promedio de


las amenazas con mayor probabilidad de materializarse ms los niveles de riesgo de
activos.
La empresa Provealquileres S.A, tiene un periodo corto en el mercado, y como
resultado de las tablas NIIF, se pudo notar que no existen mayores riesgos
cuantificables que le representen un riesgo mayor a la empresa. Sin embargo la
matriz pudo destacar a un activo Mac, utilizada para relaciones comerciales, que se
encuentra con riesgo alto se devaluado tecnolgicamente.
Como resultado de los activos tipo Software encontramos un riesgo medio acogiendo
las valoraciones de las NIIF, esto se debe a que el activo LICENCIA OFFICE STD
SNGL. Presenta una innovacin tecnolgica en el activo, su valor razonable es
mucho mayor al costo actual.
Normalmente este sera un riesgo medio para la empresa, pero si el software no
dispone de actualizaciones adecuadas sera muy vulnerable a la amenaza de
ocupacin enemiga, por tal razn la empresa adems de las valoraciones iniciales
debe conocer sus posibles riesgos y causas sobre las cuales se veran afectados.
Como resultado de los activos soportes de informacin, se cuenta con documentos
legales de licencias de software, teniendo amenazas como escapes de informacin,
divulgacin de informacin, degradacin de informacin, las mismas que pueden
representar un riesgo alto, ya que de acuerdo a la encuesta no existen resguardos
de informacin de forma externa.

Los riesgos de la matriz con criterio alto de valoracin pueden ocasionar:

Equivocaciones de las personas cuando usan los servicios, datos, etc.

Acciones descoordinadas, errores por omisin, etc.

Alteracin accidental del orden de los mensajes transmitidos.

Alteracin accidental de la informacin.


184

Insercin accidental de informacin incorrecta.

Degradacin accidental de la informacin.

Revelacin por indiscrecin. Incontinencia verbal, medios electrnicos,


soporte papel, etc.

Prdida accidental de informacin.

Abuso de la buena fe de las personas para que realicen actividades que


interesan a un tercero.

n) Salvaguardas y procedimientos
Cabe destacar que las salvaguardas analizadas en el modelo, relaciona los
resultados de la encuesta preliminar ms los valores de activos, donde se determina
unos indicadores de cmo est operando la empresa y cules son sus riesgos a nivel
empresarial.
En cada fase de aplicacin del modelo se va obteniendo causas negativas que han
sido encontrados en los activos o encuesta, que no son ms que puntos dbiles que
la empresa posee y que a ms de ello debe conocer qu procedimientos puede
acoger para empezar a tomar medidas de control o prevencin de sus bienes.
Las salvaguardas nmero 2, 6, 10, 8, 11, 12 , 13, 15 y 16 van relacionadas
directamente a las recomendaciones de empresa y deben ser consideradas como las
primeras acciones a tomar frente a dichos riesgos.
A todos los riesgos asociados por amenazas en la organizacin, se propone tomar
como medidas preventivas las salvaguardas detalladas:
1. Protecciones generales u horizontales

Identificacin y autenticacin

Control de acceso lgico

Segregacin de tareas

Gestin de incidencias

Establecer herramientas de seguridad

Establecer herramienta contra cdigo daino


185

Establecer herramienta de deteccin / prevencin de intrusin

Establecer herramienta de chequeo de configuracin

Establecer herramienta de anlisis de vulnerabilidades

Establecer herramienta de monitorizacin de trfico

Establecer herramienta de monitorizacin de contenidos

Establecer herramienta para anlisis de logs

Gestin de vulnerabilidades registro y auditora

2. Proteccin de los datos / informacin

Proteccin de la Informacin fsica y lgica

Copias de seguridad de los datos (backup)

Aseguramiento de la integridad de acceso a informacin

Cifrado de la informacin, claves de acceso

Uso de discos duros o dispositivos fsicos para almacenamiento de


informacin

Mecanismos de control para respaldo automtico de informacin

Plan de alquiler de un casillero de seguridad para alojamiento de respaldos


de informacin

Plan de adquisicin o programacin de reglas o normas para proteccin de


activos

4 Proteccin de los servicios

Proteccin de los servicios

Aseguramiento de la disponibilidad

Aceptacin y puesta en operacin

Aplicar perfiles de seguridad

Gestin de cambios (mejoras y sustituciones)

Proteccin de servicios y aplicaciones web


186

Proteccin del correo electrnico

Proteccin del directorio

Proteccin del servidor de nombres de dominio (DNS)

6. Proteccin de los equipos (hardware)

Proteccin de los equipos informticos por medio de UPS

Realizar un plan de apagado de equipos cuando no exista electricidad

Entrenar a los usuarios el apagado inmediato de equipos

Realizar un plan de operacin manual de procesos

Gestin de cambios (mejoras y sustituciones)

Evaluaciones tecnolgicas de los equipos

Programacin de mantenimientos peridicos fsico y lgico de los equipos

7. Proteccin de las comunicaciones

Proteccin de las comunicaciones a travs de un plan de internet de


respaldo

Aseguramiento de la disponibilidad

Plan de transparencia para el cambio de plan de datos

Proteccin, seguridades para plan B de respaldo

Registro de incidencias por prdidas de plan de datos

Acuerdos con proveedores para mantener servicios de calidad

8. Proteccin en los puntos de interconexin con otros sistemas

Revisin puntos de interconexin: conexiones entre zonas de confianza

Instalar un Sistema de proteccin perimetral

Revisar tableros de control asociados a tierra

Realizar mediciones peridicas de voltaje para zonas que se requiere


mayor proteccin

Instalar o mejorar protecciones actuales de UPS

10. Proteccin de los elementos auxiliares


187

Mantener proteccin para Elementos Auxiliares

Plan de apagado de equipos auxiliares

Soportes de informacin para posibles desastres

11. Seguridad fsica Proteccin de las instalaciones

Revisar proteccin de las Instalaciones

Tener planos del diseo de instalaciones y conexiones

Tener control a mantenimientos de conexiones a tierra

Mantener seguridad en protecciones externas

Instalar sistemas de control de acceso a reas restringidas

12. Salvaguardas relativas al personal

Formacin y concienciacin al personal

Aseguramiento de la disponibilidad

13. Salvaguardas de tipo organizativo

Reunin alta gerencia de la Organizacin

Implementar Gestin de riesgos

Planificacin de la seguridad

Inspecciones de seguridad

14. Continuidad de operaciones

Elaborar un plan de prevencin y reaccin frente a desastres.

Mantener Continuidad del negocio

Anlisis de impacto (BIA)

Plan de Recuperacin de Desastres (DRP)

15. Externalizacin

Identificacin y calificacin de proveedores

Procedimientos de escalado y resolucin de incidencias

Procedimiento de terminacin (duracin en el tiempo de las


responsabilidades asumidas)

Asuncin de responsabilidades y penalizaciones por incumplimiento


188

16. Adquisicin y desarrollo

Establecer buenas prcticas en instalaciones , calidad de servicios

Establecer normativas y controles que rige la ley

Buscar plan de capacitacin sobre el manejo de nuevas normas a


implementar

Establecer planes de mantenimientos de activos

Establecer acuerdos formales sobre la adquisicin de servicios o equipos

En un primer aspecto se pudo notar que las NIIF como norma internacional no tienen
una aplicabilidad del 100% en lo que refiere al manejo de activos tangibles. En la
empresa Provemovil S.A, se pudo detectar que el balance de activos mantiene una
distribucin de activos de tecnologa siguiendo las normas NIIF. Uno de los mayores
problemas encontrados fue el detalle o descripcin de cada activo, generando un
problema de identificacin en los participantes en juego en el modelo de aplicacin;
este problema puede deberse a que el contador

no puede identificar las

caractersticas relevantes de los activos que sistemas asigna mayor valor en esos
detalles.
En la empresa Provealquileres S.A, no se encontr un balance a detalle de los
activos de tecnologa, solo un monto total por todos, donde acogiendo las normas
NIIF y entendiendo el objetivo de la evaluacin de riesgos, se entreg por parte de
sistemas un inventario detallado de los activos TICs , a fin de que sean ingresados
con las caractersticas relevantes de los mismos y sean comprensibles para su
identificacin.

Los activos tecnolgicos de cada empresa han sido revalorizados por entidades
externas, de cual se ha proporcionado un nuevo valor razonable que ha sido
considerado como el precio exacto del activo, donde se considera una depreciacin
existente que toma en cuenta el tiempo de vida til por activo y el valor depreciado al
tiempo de uso.
189

Las revaloracin de los activos tangibles para la empresa Provemovil S.A, lo realiz
la empresa Solucvaluac, y para la empresa Provealquileres S,A, los valor la
empresa Janosecurity,

Las soluciones de inversin entregadas a la empresa automotriz Provemovil S.A,


ayudaron a identificar que ciertos activos no posean una valoracin acertada, esto
pudo deberse a que la descripcin de los activos no fue la apropiada para la entidad
externa y como solucin el valor considerado fue el valor mnimo para los activos.
La solucin de inversin para la empresa Provealquileres S.A, tuvo resultados
mayores acertados en la valoracin de activos, esto pudo deberse a la oportuna
coordinacin de la parte de sistemas y contabilidad.

En los inventarios de identificacin de activos tangibles se consider incluir los


activos no tangibles como son servicios, software, soportes de informacin y
personas donde se asign precios de facturacin mensual o precios de acuerdos
establecidos segn contratos.
En la evaluacin de riesgos sobre los activos, se aplic la misma frmula de
depreciacin tecnolgica, para ambas empresas, donde Provemovil S.A presento
mayor riesgo en equipos tangibles y esto puede deberse a que la empresa tiene 17
aos en el mercado y sus bienes an son ocupados por los usuarios, la empresa
Provealquileres S.A, tributariamente an tiene estabilidad de costo para sus activos
tangibles, los cuales no constituyen riesgo alguno en la empresa.
Ambas empresas tienen varios activos que estn a un ao de acabar su vida til y es
ah donde, se deber requerir de un perito especializado para la evaluacin de
activos y se determine nuevo costo y valor razonable. Con estas variables el activo
puede contablemente ser reactivado y se evita que el activo quede pasivo aun
cuando el mismo tiene un costo aceptable en el mercado.

190

De acuerdo a la evaluacin de encuesta, las empresas coinciden en sus


deficiencias de conexiones elctricas, debido a que ambas edificaciones se
encuentran en la misma situacin geogrfica.
Las empresas difieren en la forma de administracin, por un lado la empresa
Provemovil S.A tiene polticas de sistemas que son expuestas a los usuarios y se
apoya de soporte tcnico de una entidad externa, cuya labor es apoyar en la
prevencin de contingencias en el rea. Mientras que la empresa Provealquileres
S.A es una empresa joven, que an no alinea de forma clara los procesos
informticos y no han visto como prioridad contratar una persona a tiempo
completo, esto genera riesgos de robo, perdida de informacin, destruccin por
desconocimiento, ect.

De los resultados de la matriz de amenazas y riesgos, se pudo determinar cules


son las salvaguardas que cada empresa debe tomar en cuenta para prevenir
contingencias irreparables.
En varias ocasiones, las respuestas de las encuestas no pueden ser las correctas
y ms si se aplican en empresas que no tienen una persona de sistemas en el
grupo, para la empresa Provealquileres S.A, se vio la necesidad de incorporar al
personal de sistemas de la empresa del grupo, para de esta forma obtener
resultados ms exactos.
Cada ao que se realiza una evaluacin de riesgos sobre la empresa, se va a
disminuir las deficiencias tecnolgicas, ya que aumentan las soluciones,
protecciones que se determinan de los resultados de la primera evaluacin.
Finalmente ambas empresas en su promedio de evaluacin de riesgos tienen un
valor de riesgos medio (3), que es donde ya se deben empezar a tomar medidas
preventivas.
El xito de que un modelo de evaluacin de riesgos funcione a largo plazo es su
aplicacin

en

la

empresa,

la

decisin

de

mitigar

los

procedimientos

recomendados le va a dar una idea a la empresa, de cmo establecer mejores


controles que no van afectar los procesos diarios del negocio.
191

CAPTULO IV
Conclusiones y Recomendaciones
4.1. Conclusiones

Para los autores Marco D. Aime y Fabio Guasconi, los modelos


tradicionales tienen deficiencias en los controles adecuados de
identificacin de amenazas. Indican que Magerit, no logra formalizar la
dependencia

de

activos

hacer

frente

las

amenazas

vulnerabilidades. [13].13

Segn la revista GMV SOLUCIONES GLOBALES INTERNET S.A, en


su artculo Risk Management PilotforSMEs and Micro Enterprises in
Spain, manifiesta que no existe ninguna herramienta disponible de
gestin de riesgos, para las pequeas y medianas empresas.[14]14
En el documento MGSM-PYME: Metodologa para la gestin de la
seguridad y su madurez en las PYMES, se expone que los modelos de
sistemas de seguridad de informacin, son muy rgidos y su aplicacin
en pequeas y medianas empresas requiere de mucho tiempo,

Marco D. Aime y Fabio Guasconi, (2010), Enhanced Vulnerability Ontology for Information Risk Assessment and
Dependability Management, En: http://ieeexplore.ieee.org/xpl/articleDetails.jsp?reload=true&arnumber=5562843, ultimo
acceso: 10/11/2012
13

14

GMV SolucionesGlobales Internet, (2009), Risk Management Pilot forSMEs and Micro Enterprises inSpain, En:
http://www.enisa.europa.eu/act/rm/cr/infosec-smes/files/cs_GMV.pdf, ultimo acceso: 10/11/2012.

192

teniendo los costos altos, razn por la cual se muestra resistencia a la


implantacin de tcnicas de gestin de seguridad adecuadas. [15]15
Bajo las consideraciones anteriores, este trabajo adapta los contenidos
de Magerit, Octave, NIIF, para completar un ciclo de identificacin de
activos proponiendo su clasificacin a servicios, hardware, software,
soportes de informacin y personas, de los cuales se pueda determinar
los puntos ms dbiles o vulnerables, de cada activo TICs,

Con la aplicacin de la encuesta realizada en ambas empresas, se


pudo tener un acercamiento a los riesgos que afectan el desempeo
de las actividades laborales, as como los procedimientos que ayudan a
mitigar los riesgos.

Con una adecuada coordinacin y participacin de los miembros del


equipo de trabajo, la empresa optimiza recursos frente a otras
entidades de control de riesgos externos, implicando aplicar el modelo
de evaluacin en periodos de revaloracin de activos.

El estudio permiti identificar que las empresas no llevan un adecuado


control en el manejo de informacin, debido a que no hay una correcta
descripcin de sus activos tangibles, ocasionando problemas en la
identificacin de activos y retrasos en la aplicacin del modelo.

Los criterios de evaluacin aplicados al modelo, son los ms prcticos,


que los de las metodologas formales, ya que su valoracin depende
del tiempo de vida til

y valor razonable en el mercado y es una

informacin cuantificable que deben tener en cuenta las empresas para


tomar decisiones oportunas sobre su bienes.

Lus Enrique Snchez, Daniel Villafranca1, Eduardo Fernndez-Medina y Mario Piattini, MGSM-PYME: Metodologa
para la gestin de la seguridad y su madurez en las PYMES,
En:http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia2-Sesion3(3).pdf, ltimo acceso: 15/12/2012
15

193

La importancia de que las empresas cuenten con un modelo de


evaluacin de riesgos, radica en evitar que caigan en afectaciones
legales que impidan el desarrollo comercial de la empresa.

Las matrices que se proponen para el modelo, las mismas que se


aplicaron a las empresas de caso de estudio, ayudan a determinar los
altos impactos sobre las amenazas que tienen mayor probabilidad de
materializarse.

Las salvaguardas y procedimientos que se proponen en el modelo,


permitirn que la alta gerencia tome decisiones con respecto a mitigar,
aceptar o aplazar segn los riesgos detectados.

La aplicacin del modelo de

evaluacin de riesgos en la empresa

Provemovil S.A y Proveaqluileres S.A fue favorable, ya que permito


encontrar debilidades y amenazas con respecto a la vida til y valores
contables de activos tangibles.

Finalmente, como se plante en la hiptesis de este estudio, la


propuesta del modelo de evaluacin de riesgos al ser aplicado, permite
ejecutar salvaguardas y procedimientos que van a minimizar en los
posibles riesgos que pueden existir en activos tecnolgicos.

194

4.2. Recomendaciones

Se recomienda a las empresas realizar una evaluacin de riesgos mediante


un modelo simplificado, como el que se ha diseado para este estudio, que
permite conseguir resultados prcticos a costos y tiempos menores referidos a
procesos estndares.

Se recomienda a las empresas emplear medidas de seguridad y planes de


contingencia,

a fin de proporcionar instrucciones especficas sobre cmo

actuar frente a las amenazas que pudieran ocasionar dao sobre los activos
TICs.

Se recomienda a las empresas, contratar servicios profesionales externos,


para que realicen un hacking tico, a fin de determinar vulnerabilidades ms a
detalle sobre los activos de software que maneja la empresa.

Se recomienda ahora a las empresas del sector automotriz, el considerar un


punto ms a tratar en las reuniones de anlisis de balances financieros,
siendo la clarificacin de sus activos y la programacin en lo que refiere a
avalos de activos tangibles en no ms de 1 ao, ya que en tecnologa el
tiempo es un riesgo eminente.,

El departamento de sistemas debe llevar a cabo una coordinacin ms directa


con el departamento contable, para tener una actividad compartida en el
ingreso de activos tangibles en el sistema contable, es importante crear
formatos que puedan contener las caractersticas relevantes de cada activo y
que sean una gua para el contador, de tal forma que la informacin enviada
para ser valorizada sea lo ms exacta posible.

Se recomienda a las empresas del sector automotriz, poner nfasis en el


trabajo de valoracin de activos, en coordinacin con sistemas y contabilidad
cuya finalidad sea la obtencin de resultados ms exactos en la evaluacin de
riesgos.
195

BIBLIOGRAFIA
[1] Ministerio de Administraciones Pblicas de Espaa, MAGERIT-Versin 2, Metodologa
de Anlisis y Gestin de Riesgos de los sistemas de informacin, (2005), Mtodo I En:
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&la
ngPae=es&iniciativa=184, ltimo acceso: 17-12- 2012.
[2] Ministerio de Administraciones Pblicas de Espaa, MAGERIT-Versin 2, Metodologa
de Anlisis y Gestin de Riesgos de los sistemas de informacin, (2005), Catalogo de
Elementos En:
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&la
ngPae=es&iniciativa=184, ltimo acceso: 17-12- 2012.
[3] Pyka Marek, Januszkiewicz Paulina, Academy of Business in Dbrowa Grnicza, Poland,
(2006), The OCTAVE methodology as a risk analysis tool for business resources,En:
http://www.proceedings2006.imcsit.org/pliks/160.pdf , ultimo acceso: 10/01/2013

[4] Richard A. Caralli,James F. Stevens,Lisa R. Young,William R. Wilson, (2007),"Introducing


OCTAVE Allegro", "Improving the Information Security Risk Assessment Process", En:
www.cert.org/archive/pdf/07tr012.pdf,ultimo acceso: 03/06/2013

[5] Christopher Alberts, Audrey Dorofee, James Stevens, Carol Woody, 2005 OCTAVE-S
Implementation Guide, Version 1.0, volumen 5,www.cert.org, , ultimo acceso: 16/10/2013

[6] Corporacin de estudios y publicaciones, NIIF para las PYMES, 2009.


[7] C.P:C. Jose Luis Garcia Quispe, Caso de Deterioro del Valor en un bien del Activo Fijo,
Incidencia en la determinacin del Impuesto a la Renta, Actualidad Empresarial, N 212Primera Quincena de Agosto 2010.

196

[8] Christopher J. Alberts, Audrey J. Dorofee, 2001, OCTAVE SM Criteria, Version 2.0 En :
www.cert.org,ultimo acceso: 03/06/2013
[9]
JIMENES
CANA
JOSE JAVIER,
NIC/NIFF
supuestos
http://www.globalcontable.com/attachments/supuestos_practicos.pdf

Prcticos

[10] Ministerio de Hacienda y Administraciones Pblicas, 2012,MAGERIT versin 3.0


Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin Libro II Catlogo
de
Elementos.https://www.ccncert.cni.es/publico/herramientas/pilar5/magerit/Libro_II_catalogo.pdf ultimo acceso: 07-062013
[11] Richard A. Caralli,James F. Stevens,Lisa R. Young,William R. Wilson, (2007),"The
OCTAVE

Allegro

Guidebook,

v1.0

",

http://www.cert.org/octave/allegro.htmlhttp://www.cert.org/octave/allegro.htmlultimo

En:
acceso:

03/06/2013.
[12] Christopher J. Alberts , Audrey J. Dorofee, 2001, OCTAVES Method Implementation
Guide Version 2.0 Volume 2: Preliminary Activities, ultimo acceso: 03/06/2013
[13] Marco D. Aime y Fabio Guasconi, (2010), Enhanced Vulnerability Ontology for
Information
Risk
Assessment
and
Dependability
Management,
En:
http://ieeexplore.ieee.org/xpl/articleDetails.jsp?reload=true&arnumber=5562843,
ultimo
acceso: 10/11/2012

[14] GMV SolucionesGlobales Internet, (2009), Risk Management Pilot forSMEs and Micro
Enterprises

inSpain,

En:

http://www.enisa.europa.eu/act/rm/cr/infosec-

smes/files/cs_GMV.pdf, ultimo acceso: 10/11/2012.

[15] Lus Enrique Snchez, Daniel Villafranca1, Eduardo Fernndez-Medina y Mario Piattini,
MGSM-PYME: Metodologa para la gestin de la seguridad y su madurez en las PYMES,
En:http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia2-Sesion3(3).pdf,
ltimo acceso: 15/12/2012

197

REFERENCIAS DE APOYO
[16]

Richard

A.

Caralli,James

F.

Stevens,Lisa

R.

Young,William

R.

Wilson,

(2007),"Introducing OCTAVE Allegro", "Improving the Information Security Risk Assessment


Process", En: http://www.cert.org/octave/octavemethod.html, ultimo acceso: 03/01/2013.

[17] Richard A. Caralli,James F. Stevens,Lisa R. Young,William R. Wilson, (2007),"The


OCTAVE

Allegro

Guidebook,

v1.0

",

En:

http://www.cert.org/octave/allegro.htmlhttp://www.cert.org/octave/allegro.htmlultimo

acceso:

03/06/2013.

[18] C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE
Approach,Addison Wesley, 2003. http://www.cert.org/octave/ultimo acceso: 03/06/2013.

[19] Christopher Alberts, Audrey Dorofee, James Stevens, Carol Woody, 2005 OCTAVE-S
Implementation Guide, Version 1.0, volumen 5,www.cert.org, , ultimo acceso: 16/10/2013

[20] The Official Introduction to the ITIL Service Lifecycle,2007, www.tsoshop.co.uk, ultimo
acceso: 17-12- 2012
[21] Crespo, Antonio, (2008), ITIL V3, la versin ms estratgica de este cdigo de buenas
prcticas.

En:

Revista

virtual

Techweek.es,

http://www.techweek.es/estandares/informes/1003446002901/itil-v3-version-masestrategica.1.html, (ltimo acceso:24/05/2012).


[22] Rben Filipe de Sousa Pereira, Portugal , (2010) ,A Maturity Model for Implementing
ITILv3.

En:

http://www.mendeley.com/research/maturity-model-implementing-itil-v3-

practice/#page-1, ltimo acceso:04/01/2013.


[23] Ministerio de Administraciones Pblicas de Espaa, MAGERIT-Versin 2, Metodologa
de Anlisis y Gestin de Riesgos de los sistemas de informacin, (2005), Gua de Tcnicas
En:

198

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&la
ngPae=es&iniciativa=184, ltimo acceso: 17-12- 2012.
[24] The Service Strategy,2007, www.tsoshop.co.uk, ultimo acceso: 17-02- 2013

199

ANEXOS

200

ANEXO 1:

Las cartas de autorizacin de las empresas del sector automotriz, para la realizacin
de investigacin y obtencin de informacin; se encuentran de forma digital con el
nombre de archivo:

CARTAS AUTORIZACION EMPRESAS.pdf

201

ANEXO 2: CATALOGO DE AMENAZAS


Las tablas de identificacin de activos TICs de las empresas del sector automotriz,
se encuentran de forma digital con el nombre de archivo:
Identificacion _activos _TICS.xlsx

202

ANEXO 3: CATALOGO DE AMENAZAS


Cdigo
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

Tipo

Nomenclatura

Amenaza

[N] Desastres naturales


[N] Desastres naturales
[N] Desastres naturales
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[I] De origen industrial
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[E] Errores y fallos no intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados
[A] Ataques intencionados

N1
N2
N.*
I1
I2
I.*
I3
I4
I5
I6
I7
I8
I9
I10
I11
E1
E2
E3
E4
E7
E8
E9
E10
E14
E15
E16
E17
E19
E18
E20
E21
E23
E24
E28
A4
A6
A7
A8
A22
A23
A24
A25
A26
A27
A28
A29
A30

Fuego
Daos por agua
Desastres Naturales
Fuego
Daos por agua
Desastres Industriales
Contaminacin mecnica
Contaminacin electromagntica
Avera de origen fsico o lgico
corte del suministro elctrico
Condiciones inadecuadas de temperatura y/o humedad
Fallo de servicios de comunicaciones
Interrupcin de otros servicios y suministros ese...
Degradacin de los soportes de almacenamiento de ...
Emanaciones electromagnticas
Errores de los usuarios
Errores del administrador
Errores de monitorizacin (log)
Errores de configuracin
Deficiencias en la organizacin
Difusin de software daino
Errores de [re-]encaminamiento
Errores de secuencia
Escapes de informacin
Alteracin de la informacin
Introduccin de informacin incorrecta
Degradacin de la informacin
Divulgacin de informacin
Destruccin de informacin
Vulnerabilidades de los programas (software)
Errores de mantenimiento / actualizacin de progr...
Errores de mantenimiento / actualizacin de equip...
Cada del sistema por agotamiento de recursos
Indisponibilidad del personal
Manipulacin de la configuracin
Abuso de privilegios de acceso
Uso no previsto
Difusin de software daino
Manipulacin de programas
Manipulacin de los equipos
Denegacin de servicio
Robo
Ataque destructivo
Ocupacin enemiga
Indisponibilidad del personal
Extorsin
Ingeniera social

203

ANEXO 4: RESULTADOS APLICACIN EMPRESA-PROVEMOVIL S.A

Los resultados de la aplicacin del modelo de evaluacin de riesgos, se encuentran


de forma digital con el nombre de archivo:

matriz_amenazas_riesgos_provemovil.xlsx

204

ANEXO
5:
RESULTADOS
PROVEALQUILERES S.A

APLICACIN

EMPRESA-

Los resultados de la aplicacin del modelo de evaluacin de riesgos, se encuentran


de forma digital con el nombre de archivo:

matriz_amenazas_riesgos_provealquileres.xlsx

205

ANEXO 6: CARTA DE ENTREGA DEL INFORME DE VALORACION


DE ACTIVOS.

La carta de informe para la empresa PROVEMOVIL S,A, se encuentran de forma


digital con el nombre de archivo:

carta_informe_valoracion_activos_provemovil.jpg

Carta de informe empresa PROVEALQUILERES S,A, se encuentran de forma digital


con el nombre de archivo:

carta_informe_valoracion_activos_provealquileres.pdf

206

ANEXO 7: REFERENCIAS BIBLIOGRAFICAS.

La bibliografa de apoyo para el desarrollo del modelo de evaluacin de riesgos, se


encuentra archivada de forma digital en la carpeta con nombre: BIBLIOGRAFIA

207