Módulo

III.
Ciberseguridad táctica
 TEMARIO
§ Gobernanza y Administración
de Riesgos
• Definición de gobernanza
• COBIT 5. Gobernanza y gestión

§ Gestión de riesgos: modelos

generales
• La importancia de la medición del
riesgo.
• Enfoques de gestión de riesgos que
crean riesgos.
• El enfoque de las normas ISO 15408
e ISO 18045
• El ciclo clásico de gestión Planear -
Hacer – Verificar - Actuar
 PRESENTACIÓN
§ Charla con tu vecino y conócelo:

• Nombre.
• Organización.
• Posición.
• Información relevante.
• ¿Qué expectativas tiene del
módulo? ¿Por qué estás aquí?
• Prepárate para presentarlo.
Gobernanza

y
Administración de

riesgos
 DEFINICIÓN DE GOBERNANZA
§ Gobernanza corporativa de TI

• De gobernanza corporativa a gobernanza corporativa

de TI (o “gobierno corporativo de TI”)
 CORPORACIÓN, EMPRESA Y
ORGANIZACIÓN
§ ¿Cómo se traduce “Enterprise”?

Esta foto de Autor desconocido está bajo licencia CC BY

 “Enterprise”
§ “Es el término usado para describir una variedad de
diferentes organizaciones:

• Un negocio comercial (frecuentemente llamado una corporación) que puede

o no, cotizar en la bolsa.
• Una organización pública, como un departamento o agencia del gobierno
nacional o local.
• Una organización sin fines de lucro, como una organización no gubernamental
(ONG) o de caridad.”

Adaptado de: Hammer, Geoff. Governance of Enterprise IT based

on COBIT ® 5, IT Governance Publishing, 2014
 “Enterprise”
§ “Enterprise” es más genérico que “negocio”, puesto que “negocio”
frecuentemente implica que hay un interés comercial.
§ El término “Enterprise” se ha traducido al español como “corporación”, “empresa”
o “sociedad”. Para el caso de la gobernabilidad suelen usarse los términos
“gobernabilidad corporativa” o “gobernabilidad de la sociedad”.
Empresa
§ Según la Real Academia Española, la
palabra “empresa” se define como:

• 1. f. Acción o tarea que entraña dificultad y

cuya ejecución requiere decisión y esfuerzo.
• 2. f. Unidad de organización dedicada a
actividades industriales, mercantiles o de
prestación de servicios con fines lucrativos.
• 3. f. Lugar en que una “empresa” realiza sus
actividades.
• 4. f. Intento o designio de hacer algo.
Gobernanza corporativa de TI (cont.)
§ Organización

• Según la Real Academia Española, la palabra

“organización” es:
• 1. f. Acción y efecto de organizar u
organizarse.
• 2. f. Disposición de los órganos de la
vida, o manera de estar organizado el
cuerpo animal o vegetal.
• 3. f. Asociación de personas regulada por
un conjunto de normas en función de
determinados fines.
• 4. f. Disposición, arreglo, orden.
 Gobernanza corporativa de TI (cont.)

§ RECONOCIMIENTO ACTIVO DEL DNS

• ¿Qué significa gobernabilidad y

gobernanza?
• Es la acción, forma o hecho de gobernar,
controlando o regulando la influencia o el
buen orden.
• Real Academia Española :
• Cualidad de gobernable.
• Gobernanza (arte o manera de
gobernar).

En la actualidad, se puede decir que los

términos “gobernabilidad” y “ gobernanza”
se usan indistintamente.
 Gobernanza corporativa de TI
(cont.)
§ Orígenes de la gobernabilidad

• Caso de estudio: emperador Taizong (Li

Shimin)
• Caso de estudio: historia del BCCI, Centro de
Fraude
 Gobernanza corporativa de TI (cont.)

§ Caso de estudio
• El gobierno del emperador Taizong (Li Shimin) de la dinastía Tang (gobernó
de 626 a 649).
• https://en.wikipedia.org/wiki/Emperor_Taizong_of_Tang
• Discuta los siguientes puntos:
• ¿Cuáles son las características de su gobierno?
• ¿Cuáles fueron los resultados de su gobierno?

Notas.
1. Li Shimin (李世民) significa, literalmente “rescatando al mundo y
pacificando a la gente”
 Gobernanza corporativa de TI (cont.)

§ ¿Cómo surge la gobernanza corporativa?

• Reino Unido:
• 1990. Maxwell Communication
Corporation y Mirror Group
Newspapers
• 1991. Polly Peck.
• 1991. Bank of Credit and
Commerce International
 Gobernanza corporativa de TI (cont.)

§ Caso de estudio 1.3-2

• La extraña historia del BCCI, Centro de Fraude:
• El Banco de Crédito y Comercio Internacional SA (BCCI), fue fundado
por un banquero paquistaní de alto vuelo. Es controlado por un
mandatario árabe del Golfo Pérsico, quien lavó narcodólares por
encargo del encarcelado ex hombre fuerte, el panameño Manuel
Antonio Noriega y es el centro de una resonante investigación bancaria
en Estados Unidos. La historia del BCCI, muchas veces pareció ser aún
más extraña que cualquier ficción por más exagerada que fuera.
•http://www.eltiempo.com/archivo/documento/MAM-116419
Gobernanza corporativa de TI (cont.)

§ El “Informe Cadbury”

• Como consecuencia de estos fraudes, la Bolsa de Valores de Londres y

la Asociación de Contadores encargaron a Sir Adrian Cadbury, que
encabezara un comité para recomendar un “Código de mejores
prácticas para el gobierno corporativo” (de sociedades).
• El resultado fue el “Informe Cadbury”: “Aspectos Financieros del
Gobierno Corporativo” (1992).
 Gobernanza corporativa de TI (cont.)

§ ¿Qué concluye el informe Cadbury?

• El Informe Cadbury identifica las

responsabilidades clave de los consejos de
directores para:
• Establecer la estrategia
• Proporcionar liderazgo
• Supervisar la gestión
• Reportar a los accionistas
• Sobre la custodia del consejo:
• Operar apropiadamente la corporación.
• De una forma fidedigna y confiable,
como la requieren y esperan los
accionistas.
Gobernanza corporativa de TI (cont.)

§ Gobernabilidad corporativa según la OCDE

• Según la OCDE, “implica un conjunto de relaciones entre la

administración de la sociedad, su Consejo de Administración, sus
accionistas y los terceros interesados (cualquier persona física o moral
distinta a los accionistas o administradores o funcionarios, interesada
en la estabilidad o permanencia de la sociedad).”
 Esfuerzos para desarrollar la
gobernabilidad

Internacionales México
• OCDE • Ley General de Sociedades
• Banco Mundial Mercantiles.
• FMI • Códigos de Mejores Prácticas
• Estados Unidos Corporativas
• Blue Ribbon Committee • Regulación sobre Instituciones
Financieras
• Ley Sarbanes-Oxley
• Nueva Ley del Mercado de
• Reino Unido
Valores
• Cadbury Code
• Green Report
• Code of Good Practice
 Modelo de gobernabilidad de Teresa Barger
§ La gobernabilidad se compone de tres
partes:
• Propiedad.
• Gobernabilidad.
• Gestión / Administración.
 Gobernanza corporativa de TI (cont.)

§ Rendimiento y Conformidad
• Se consideraba que la gobernabilidad
incluía dos partes:
• Gobernabilidad del negocio
(rendimiento).
• Creación de valor.
• Utilización de recursos.
• Gestión de riesgos.
• Gobernabilidad Corporativa
(conformidad).
• Responsabilidad.
• Aseguramiento.
• Sin embargo, ahora se acepta y
establece que:

Gobernabilidad Corporativa
es: rendimiento y conformidad
Evolución de la Gobernabilidad
Corporativa de TI (Tecnologías de la
Información).

§ No es claro cuándo surge, pero ocurre a lo largo de varios años.

§ En 1988 y 1989, Weill y Michael Vitale dirigieron un estudio exploratorio
de Gobernabilidad de TI.
§ Los trabajos sobre alineación de TI con el negocio (BITA: Business and IT
Alignment), en 1990, contribuyen al gobierno de TI.
Gobernabilidad Corporativa de TI: COBIT.

§ COBIT pasa de ser un marco de auditoría de TI, a uno de gobernabilidad

de TI, con la versión de COBIT 3.0.
§ COBIT como marco de trabajo “de facto”, para cumplir con los
requerimientos de gobernabilidad de TI de la sección 404 de la Ley
Sabarnes-Oxley.
 COBIT, rendimiento y conformidad

§ COBIT reconoce que la gobernabilidad de TI

i n v o l u c r a e l a s e g u r a mi e n t o , t a n t o d e l
rendimiento como de la conformidad.

Entrega
Cumplimiento de Negocio
valor
 COBIT 5. Gobernanza y gestión

§ Se puede decir que COBIT 5 es una guía, o un conjunto de guías (publicaciones),

para facilitar la creación de valor para las partes interesadas de la corporación.
 COBIT 5. Gobernanza y gestión (cont.)

§ Los beneficios que las corporaciones (organizaciones) esperan

de la información y TI, incluyen:
• Mantener información de calidad, para apoyar las decisiones del negocio.
• Generar un valor de negocio de las inversiones habilitadas por la
Tecnología de la Información (TI). Es decir, lograr metas estratégicas y
realizar los beneficios al negocio mediante el uso eficaz e innovador de
la TI.
• Lograr una excelencia operativa mediante la aplicación eficiente y
confiable de la tecnología.
• Mantener el riesgo relacionado con la TI a niveles aceptables.
• Optimizar el costo de la tecnología y los servicios de la TI.
 COBIT 5. Gobernanza y gestión (cont.)

§ Valor para las partes interesadas

• Para lograr valor para las partes interesadas de la Organización, se
requiere un buen gobierno y una buena administración de los activos
de la TI y de la información.
• Los directivos, gerentes y ejecutivos de las Organizaciones, deben
acoger la TI como cualquier otra parte importante del negocio.
• Cada día aumentan y se complican más los requisitos externos,
tanto legales como de cumplimiento regulatorio y contractual,
relacionados con el uso de la información y la tecnología en la
Organización, amenazando el patrimonio si no se cumplen.
• COBIT5 proporciona un marco integral que ayuda a las
Organizaciones a lograr su metas y entregar valor mediante un
gobierno y una administración efectivos de la TI de la Organización.
 COBIT 5. Gobernanza y gestión

§ El Marco de COBIT 5
• Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a
crear un valor óptimo a partir de la TI, al mantener un equilibrio
entre la realización de beneficios y la optimización de los niveles de
riesgo y utilización de los recursos.
• COBIT 5 permite que las tecnologías de la información y las
relacionadas se gobiernen y administren de una manera holística, a
nivel de toda la Organización, incluyendo el alcance completo de
todas las áreas de responsabilidad funcional y de negocios,
considerando los intereses relacionados con la TI de las partes
interesadas internas y externas.
• Los principios y habilitadores de COBIT 5 son genéricos y útiles para
las Organizaciones de cualquier tamaño, bien sean comerciales, sin
fines de lucro o en el sector público.
COBIT 5. Gobernanza y gestión

Fuente:  COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados. Los Principios de COBIT 5
COBIT 5. Gobernanza y gestión Habilitadores de
COBIT 5

Fuente:  COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados
 Gobernabilidad (gobierno) y gestión

§ El Gobierno asegura el logro de los objetivos de la

Organización:
• Evaluando las necesidades, condiciones y opciones de las partes
interesadas.
• Fijando dirección al establecer prioridades y tomar decisiones.
• Monitoreando el desempeño, cumplimiento y progreso, comparándolos
contra las directivas y objetivos acordados (EDM).
§ La Gestión planifica, construye, ejecuta y monitorea las
actividades conforme a las directivas fijadas por el ente de
Gobierno para lograr los objetivos de la Organización (PBRM Plan
Build Run Monitor por su siglas en inglés – PCEM)
 COBIT 5. Un único marco empresarial
completo.

Gobierno Corporativo de TI
Alcance
Evolución del

Gobierno de TI
Val IT 2.0
(2008)
Administración

Risk IT
Control (2009)

Auditorí
a COBIT3 COBIT4.0/ COBIT
COBIT1 COBIT2 5
4.1
199 199 200 2005/ 201
6 8 0 7 2
Un Marco Empresarial de ISACA, en www.isaca.org/cobit © 2012 ISACA® Todos los derechos
reservados.
 Marco de COBIT 5

§ COBIT 5:
• El Marco COBIT 5 es de amplia cobertura
• El Marco contiene un resumen ejecutivo y la descripción completa de
todos los componentes del marco de COBIT 5:
• Los 5 Principios de COBIT 5
• Los 7 Habilitadores de COBIT 5, más:
• Una introducción a la Guía de implementación, proporcionada por
ISACA (Implementación de COBIT 5)
• Una introducción al Programa de Evaluación de COBIT (que no se
refiere específicamente al COBIT 5) y el enfoque de la capacidad de
los procesos que ISACA adopta para COBIT.
La Familia de Productos de COBIT 5

Fuente  COBIT® 5, Figura 11. © 2012 ISACA® Todos los Derechos Reservados.
 Los 5 Principios de COBIT

§ Los 5 Principios de COBIT 5:

1. Satisfacer las necesidades de las partes interesadas.
2. Cubrir la organización de forma integral.
3. Aplicar un solo marco integrado.
4. Habilitar un enfoque holístico.
5. Separar el Gobierno de la Gestión.
 1. Satisfacer las Necesidades de las Partes
Interesadas

§ Principio 1: Satisfacer las Necesidades de las Partes Interesadas

• Las Organizaciones existen para crear valor para sus partes

interesadas.

Fuente:  COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.

 1. Satisfacer las Necesidades de las Partes
Interesadas(cont.)
Principio 1: Satisfacer las necesidades de las partes interesadas

§ Las Organizaciones tienen muchas partes interesadas. “Crear valor”

significa cosas diferentes –a veces conflictivas– para cada una de ellas.
§ En el Gobierno (Gobernabilidad) se trata de negociar y decidir entre los
diversos intereses de beneficio de las diferentes partes interesadas.
§ El sistema de Gobierno deberá considerar a todas las partes interesadas, al
tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el
manejo de recursos.
§ Para cada decisión se puede, y se debe, hacer las siguientes preguntas:
§
• ¿Quién recibe los beneficios?
• ¿Quién asume el riesgo?
• ¿Qué recursos se necesitan?
 1. Satisfacer las Necesidades de las Partes
Interesadas(cont.)

§ Principio 1: Satisfacer las

necesidades de las partes
interesadas

§ Las necesidades de las partes interesadas

deben ser transformadas en una estrategia
accionable para la Organización.
§ Las metas en cascada de COBIT 5 traducen
las necesidades de las partes interesadas
en metas específicas, accionables y
personalizadas dentro del contexto de la
Organización, de las metas relacionadas con
la TI y de las metas habilitadoras.

Fuente:  COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados

 1. Satisfacer las Necesidades de las Partes
Interesadas(cont.)

§ Principio 1: Satisfacer las necesidades de las partes interesadas

Los beneficios de las metas en cascada de COBIT 5 son:
§ Definir las prioridades para implementar, mejorar y asegurar el gobierno
corporativo de la TI, en base de los objetivos (estratégicos) de la
Organización y los riesgos relacionados:
§ En la práctica, las metas en cascada:
• Definen los objetivos y las metas tangibles y relevantes, en diferentes
niveles de responsabilidad.
• Filtran la base de conocimiento de COBIT 5, en base de las metas
corporativas, para extraer una orientación relevante para la inclusión en
los proyectos específicos de implementación, mejora o aseguramiento.
• Claramente identifican y comunican qué importancia tienen los
habilitadores (algunas veces muy operacionales) para lograr las metas
corporativas.
 2. Cubrir la Compañía de Forma Integral

§ Principio 2: Cubrir la Compañía de Forma Integral:

• COBIT 5 se concentra en el Gobierno y la Gestión de la Tecnología de la
Información y relacionadas desde una perspectiva integral, a nivel de toda la
Organización.
• Esto significa que COBIT 5:
• Integra el Gobierno Corporativo de TI corporativa en el Gobierno
Corporativo. Es decir, el sistema de Gobierno Corporativo para TI
propuesto por COBIT 5 se integra, de una manera fluida, en cualquier
sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos
desarrollos en Gobierno Corporativo.
• Cubre todas las funciones y los procesos dentro de la Organización;
COBIT 5 no solamente se concentra en la “Función de la TI”,
sino trata la tecnología de la información y relacionadas, como activos
que necesitan ser manejados como cualquier otro activo, por todos en la
Organización.
 2. Cubrir la Compañía de Forma Integral (cont.)

§ Principio 2: Cubrir la Compañía de Forma Integral

Los Componentes Claves

de un Sistema de
Gobierno

Fuente:  COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados

 2. Cubrir la Compañía de Forma Integral (cont.)

§ Principio 2: Cubrir la Compañía de Forma Integral

Los Componentes Claves

de un Sistema de
Gobierno

Fuente:  COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados

 3. Aplicar un único Marco Integrado

§ Principio 3. Aplicar un único Marco Integrado :

•COBIT 5 está alineado con los últimos marcos y normas relevantes usados
por las organizaciones:
• Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
• Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI
• Etcétera.
• Así se permite a la Organización utilizar COBIT 5, como integrador macro en
el marco de Gobierno y Gestión
• ISACA está desarrollando el modelo de capacidad de los procesos, para
facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los
marcos y normas de terceros.
 4. Habilitar un Enfoque Holístico

§ Principio 4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son:
• Factores que, individual y colectivamente, influyen sobre si algo
funcionará –en el caso de COBIT, Gobierno y Gestión sobre la TI
corporativa.
• Impulsados por las metas en cascada. Es decir, las metas de alto
nivel relacionadas con la TI definen qué deberían lograr los
diferentes habilitadores.
• Descritos por el Marco de COBIT 5 en siete categorías.
 4. Habilitar un Enfoque Holístico

§ Principio 4. Habilitar un Enfoque Holístico

Fuente:  COBIT® 5, Figura 12. © 2012 ISACA® Todos los derechos reservados
 4. Habilitar un Enfoque Holístico

§ Principio 4. Habilitar un Enfoque Holístico

1. Procesos. Describen una serie organizada de prácticas y actividades, para
lograr determinados objetivos y producir una serie de resultados, como apoyo
al logro de las metas globales relacionadas con la TI.
2. Estructuras Organizacionales. Constituyen las entidades claves para la
toma de decisiones en una organización.
3. Cultura, Ética y Comportamiento. De los individuos así como de la
organización, se subestima frecuentemente como factor de éxito en las
actividades de gobierno y administración.
4. Principios, Políticas y Marcos. Son los vehículos para traducir el
comportamiento deseado en una orientación práctica, para la administración
diaria.
 4. Habilitar un Enfoque Holístico (cont.)

§ Principio 4. Habilitar un Enfoque Holístico

5. Información. Se encuentra presente en todo el ambiente de cualquier
organización. Es decir, se trata de toda la información producida y usada
por la Organización. La información es requerida para mantener la
organización andando y bien gobernada, pero a nivel operativo, la
información frecuentemente es el producto clave de la organización en si.
6. Servicios, Infraestructura y Aplicaciones . Incluyen la infraestructura,
la tecnología y las aplicaciones que proporcionan servicios y procesamiento
de tecnología de la información a la organización.
7. Personas, Habilidades y Competencias. Están vinculadas con las
personas y son requeridas para completar exitosamente todas las actividades
y para tomar las decisiones correctas, así como para llevar a cabo las
acciones correctivas.
 4. Habilitar un Enfoque Holístico (cont).

§ Principio 4. Habilitar un Enfoque Holístico:

• G obi e r n o y ge s t i ón s i s t é m i c os m e di a n t e h a b i l i t a d o r e s
interconectados. Para lograr los objetivos principales de la Organización,
siempre debe considerarse una serie interconectada de habilitadores. Es
decir, cada habilitador:
• Necesita una entrada de otros habilitadores para ser completamente
efectivo, o sea, los procesos necesitan información, las estructuras
organizacionales necesitan habilidades y comportamiento.
• Entrega un producto de salida a beneficio de otros habilitadores, es
decir, los procesos entregan información, las habilidades y el
comportamiento hacen que los procesos sean eficientes.
• Esto constituye un principio CLAVE que surge del trabajo de desarrollo de
ISACA en el Modelo de Negocios para la Seguridad de la Información (BMIS
por su sigla en inglés).
 4. Habilitar un Enfoque Holístico (cont).

§ Principio 4. Habilitar un Enfoque

Holístico

Las Dimensiones Habilitadores de COBIT 5:

• Todos los habilitadores tienen una serie de
dimensiones comu n e s . D i c h a s e r i e d e
dimensiones comunes:
• Pro p o rc i o n a u n a m a n e r a c o m ú n ,
sencilla y estructurada para tratar los
habilitadores.
• Permite a una entidad manejar sus
interacciones complejas.
• Facilita resultados exitosos de los
habilitadores.
 4. Habilitar un Enfoque Holístico (cont).

§ Principio 4. Habilitar un Enfoque Holístico

Las Dimensiones Habilitadores de COBIT 5:

Fuente:  COBIT® 5, Figura 13. © 2012 ISACA® Todos los derechos reservados
 5. Separar el Gobierno de la Gestión

§ Principio 5. Separar el Gobierno de la Gestión:

• El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la

Gestión.
• Dichas disciplinas:
• Comprenden diferentes tipos de actividades.
• Requieren diferentes estructuras organizacionales.
• Cumplen diferentes propósitos.
• G obi e r n o. E n l a m a y o r í a d e l a s o rg a n i z a c i o n e s , e l G o b i e rn o e s
responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente.
• Gestión. En la mayoría de las organizaciones, la Administración es
responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente
General (CEO).
 5. Separar el Gobierno de la Gestión

§ Principio 5. Separar el Gobierno de la Gestión:

• El Gobierno asegura que se evalúen las necesidades, condiciones y

opciones de las partes interesadas,, para determinar los objetivos
corporativos balanceados acordados a lograr, dando dirección al establecer
prioridades y tomar decisiones; así como monitorear el desempeño,
cumplimiento y progreso comparándolos contra las directivas y objetivos
fijados (EDM).

• La Gestión planifica, construye, ejecuta y monitorea las

actividades conforme a las directivas fijadas por el ente de Gobierno para
lograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).
 5. Separar el Gobierno de la Gestión(cont.)

§ Principio 5. Separar el Gobierno de la Gestión:

COBIT 5 no es obligatorio, pero propone que las organizaciones

implementen los procesos de gobierno y administración de tal manera
que las áreas claves queden cubiertas, tal como se muestra a
continuación. (Siguiente diapositiva):
 5. Separar el Gobierno de la Gestión (cont.)

§ Principio 5. Separar el Gobierno de la Gestión:

Fuente:  COBIT® 5, Figura 15. © 2012 ISACA® Todos los derechos reservados
 5. Separar el Gobierno de la Gestión

§ Principio 5. Separar el Gobierno de la Gestión:

• El Marco de COBIT 5 describe siete categorías de habilitadores (Principio 4).

Los procesos constituyen una categoría.
• Una compañía puede organizar sus procesos como estime conveniente,
siempre y cuando queden cubiertos todos los objetivos necesarios de
gobierno y gestión. Las compañías más pequeñas podrán tener menos
procesos, las compañías más grandes y más complejas podrán tener muchos
procesos, todos para cubrir los mismos objetivos.
• COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su
sigla en inglés), que define y describe en detalle un número de procesos de
administración y de gobierno. Los detalles de dicho modelo habilitador
específico pueden encontrarse en el Volumen de COBIT 5: Procesos
Habilitadores.
 COBIT 5: Procesos Habilitadores

§ La publicación COBIT 5: Procesos Habilitadores complementa COBIT 5, contiene

una guía detallada de referencias a los procesos definidos en el Modelo de
Referencia de Procesos de COBIT 5:

• En el Capítulo 2 se recapitulan las metas en cascada de COBIT 5 y se

complementa con una serie de métricas ejemplo, para las metas
corporativas y las metas relacionadas con la TI.
• En el Capítulo 3 se explica el Modelo de Procesos de COBIT 5 y se
definen sus componentes.
• En el Capítulo 4 se muestra el diagrama de dicho Modelo de Referencias
de Procesos.
• El Capítulo 5 contiene la información detallada de procesos para todos
los 37 procesos de COBIT 5 en el Modelo de Referencias de Procesos.
COBIT 5: Procesos Habilitadores (cont.)

Prácticas del Proceso,

Actividades,
Actividades
detalladas

Productos de Trabajo
(Entradas/Salidas)

Prácticas
genéricas para
los procesos

Fuente:  COBIT® 5, Figura 29. © 2012 ISACA® Todos los derechos reservados
COBIT 5: Procesos Habilitadores (cont.)

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

Modelo de Referencia
de Proceso, ampliado
EDM01 Asegurar
que se fija el Marco EDM04 Asegurar EDM05 Asegurar
EDM02 Asegurar EDM03 Asegurar
de Gobierno y su la Optimización de la Transparencia a las
la Entrega de Valor la Optimización de
en Anexo
Mantenimiento los Recursos partes interesadas
los Riesgos

Alinear, Planear y Organizar Monitorear,

Evaluar
APO01 Administrar
el Marco de la
APO02 Administrar
APO03 Administrar
la Arquitectura
APO04 Administrar APO05 Administrar APO06 Administrar APO07 Administrar y Valorar
la Estrategia la Innovación el Portafolio el Presupuesto y los el Recurso Humano
Administración de TI Corporativa
Costos

MEA01 Monitorear,
Evaluar y Valorar el
Desempeño y
APO09 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar Cumplimiento
APO08 Administrar
los Contratos de los Proveedores la Calidad los Riesgos la Seguridad
las Relaciones
Servicios

Construir, Adquirir e
Implementar
BAI01 Administrar BAI03 Administrar BAI05 Administrar BAI07 Administrar
BAI02 Administrar BAI04 Administrar
la Identificación y la Habilitación del BAI06 Administrar la Aceptación de
Programas y la Definición de la Disponibilidad y
Construcción de Cambio Cambios Cambios y
Proyectos Requerimientos Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar BAI09 Administrar BAI10 Administrar

el Conocimiento los Activos la Configuración

Entregar, Servir y Dar

Soporte
DSS02 Administrar MEA03 Monitorear,
DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas la Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos

Procesos para la Administración de TI Corporativa

 COBIT 5: Procesos Habilitadores (Cont.)

§ COBIT 5: Procesos Habilitadores:

• El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y

prácticas de la Organización relacionadas con la TI en dos áreas principales
–Gobierno y Administración– con la Administración, a su vez dividida en
dominios de procesos:
• El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro
de cada proceso se definen las prácticas para Evaluar, Dirigir y
Monitorear (EDM).
• Los cuatro dominios de la ADMINISTRACIÓN están alineados con las
áreas de responsabilidad de Planificar, Construir, Operar y Monitorear
(PBRM por su sigla en inglés).
 Modelo de negocios para la Seguridad de la
Información

§ Presenta un enfoque integral y orientado al negocio para la gestión de la seguridad

de la información.
§ Establece un lenguaje común para referirse a la protección de la información.
§ Desafía la visión convencional de la inversión en seguridad de la información.
§ Explica en forma detallada el modelo de negocio para gestionar la seguridad de la
información, invitando a utilizar una perspectiva sistémica.
§ Propone una visión del gobierno y la gestión de la seguridad de la información
mediante una guía detallada para establecerla, implementarla y mantenerla, como
parte de las políticas, procesos y estructuras de la organización.
COBIT para Seguridad de la Información
Habilidades
Matriz RACI de Seguridad de la Información
Gestión de riesgos: modelos generales

§ La importancia de la medición del riesgo

§ Enfoques de gestión de riesgos que crean riesgos
§ El enfoque de las normas ISO 15408 e ISO 18045
§ El ciclo clásico de gestión Planear-Hacer-Verificar-Actuar
 La importancia de la medición del riesgo

§ Dos conceptos introductorios

• Superficie de ataque (attack surface):

• La suma de todos los vectores de ataque (attack vectors) en
los que un hacker puede intentar entrar o extraer información
de un sistema de control de construcción (building control
system: BCS).
• Vectores de ataque (attack vectors):
• Es un camino o la forma en que un hacker o cracker puede
suministrar un resultado malicioso o una carga maligna
(payload):
• Acceso a internet, red inalámbrica, amenaza interna,
ataque de acceso directo, dispositivos/medios removibles,
e-mail, otras redes, cadena de suministros, instalación o
uso inapropiado, robo de equipamiento, ciber-dron, etc.
 La importancia de la medición del riesgo

§ Caso Sony
• Busque el caso de la brecha en Sony y discuta las siguientes
preguntas:
• ¿Su organización está mejor preparada que Sony?
• Mi organización, mi red casera o mi persona, ¿seremos atacados?
• ¿Invertimos lo necesario en los riesgos apropiados?
• ¿Mi organización tiene personal especializado en seguridad? ¿Tiene
un CISO (Chief Information Security Officer)?

Fuente: https://www.forbes.com/sites/josephsteinberg/2014/12/11/massive-
security-breach-at-sony-heres-what-you-need-to-know/#3ec60c444d85
 La importancia de la medición del riesgo

§ El enfoque de resolución de problemas midiendo el riesgo de ciberseguridad

• Un enfoque moderno de la gestión de programas de ciberseguridad

radica en la efectividad de medir cualquier riesgo en ciberseguridad
para resolver los problemas asociados.
 La importancia de la medición del riesgo

§ El enfoque de resolución de problemas midiendo el riesgo de ciberseguridad.

Principios
• Douglas Hubbard, Richard Seiersen, Daniel Geer Jr y Stuart McClure,
establecen los siguientes principios para la un nuevo enfoque
cuantitativo para la ciberseguridad:
• Es posible mejorar considerablemente los métodos existentes.
• La ciberseguridad puede usar el mismo idioma cuantitativo de
análisis de riesgos usado en otros problemas.
• Existen métodos que ya se han medido como una mejora
contra la intuición de experto.
• Estos métodos mejorados son completamente realizables.
• Se pueden mejorar más estos métodos con datos empíricos.
 La importancia de la medición del riesgo

Medición, todo se puede medir, incluyendo la ciberseguridad

• Las razones por las que se piensa que no todo en ciberseguridad se

puede medir son:
• Concepto de medición. Entender su significado real, significa
que muchas más cosas se vuelven medibles.
• Objeto de la medición. Lo que se va a medir no está bien
definido. La ambigüedad y descuido son comunes en el idioma
de la medición.
• Métodos de medición. Muchos procedimientos de observación
empírica no son bien conocidos.
 La importancia de la medición del riesgo

§ Medición, concepto

• Sin consultar alguna fuente, ¿cuál es su concepto de medición?

• ¿Cuáles son los elementos comunes en sus definiciones?

Para eliminar la creencia de que no todo es medible, la concepción

errónea de lo que es medición es el principal obstáculo que resolver.
La importancia de la medición del riesgo
(cont.)
§ Medición, concepto (Cont.)

• Para la toma de decisiones, se requiere tratar a la medición como

observaciones que reducen cuantitativamente la incertidumbre.
• Por lo que una definición de medición puede ser:

Medición. Una reducción de la incertidumbre expresada

cuantitativamente, basada sobre una o más observaciones
(*)

(*)Hubbard, Douglas W; Seiersensen, Richard; Otros. How to measure anything in

Cibersecurity Risk, Ed. John Wiley & Sons, 2016
 La importancia de la medición del riesgo
(Cont.)

§ Escalas de medición

•El psicólogo Stanley Smith Stevens (*),

describe cuatro tipos escalas de medición:
• Nominal: Género o ubicación.
• Ordinal: Denota orden, pero no
cuanto más: alguien con privilegios
de SA/root tiene más privilegios de
un usuario común.
• I n t e r v a l o : Po r e j e mp l o , g r a d o s
Celsius.
• Radio: Por ejemplo, pesos
mexicanos o dólares.

(*) S. S. Stevens, “On the Theory of Scales and Measurement,” Science 103 (1946): 677–80
 La importancia de la medición del riesgo
(cont.)

§ La medición Bayesiana: pragmatismo para la toma de decisiones

• Al afirmar que una medición es una “reducción de la incertidumbre”, se da
por hecho que hay un estado previo de incertidumbre que tiene que ser
reducido.
• Y como la incertidumbre puede cambiar como resultado de las observaciones,
la incertidumbre se puede tratar como una característica del observador, no
de lo que se observa.
• Se cuantifica, por lo tanto, la incertidumbre inicial y el cambio provocado por
las observaciones usando probabilidades.
• Si está casi seguro que de un sistema será vulnerado, podría decir que
hay un 99% de probabilidad de que así es, si no lo está puede decir que
hay “un 50% de probabilidad” de que sea vulnerado.
 La importancia de la medición del riesgo
(cont.)

§ La medición Bayesiana: pragmatismo para la toma de decisiones

(cont.)
• Esta visión de las probabilidades se llama la interpretación “subjetivista” o
“Bayesiana” .
• Está inspirada en la el matemático británico Thomas Bayes, que describe en
u n a f ó rmu l a s i mp l e , c ó mo l a n u e v a i n f o rm a c i ó n p u e d e a c t u a l i z a r
probabilidades previas: en último caso, la probabilidad previa frecuentemente
necesita ser subjetiva.
• Esto representa, para la toma de decisiones, que la probabilidad no es algo
que solamente deba ser basada en cómputo de otros datos, sino el
establecimiento personal de una probabilidad.
Enfoques de gestión de riesgos que crean
riesgos

§ El enfoque basado en riesgos se trata de un enfoque metódico para tener en

cuenta los riesgos, en vez de intentar preverlos como un elemento independiente.
§ Los riesgos están vigentes en todos los procesos, sistemas o funciones.
 Enfoques de gestión de riesgos que crean
riesgos

§ No es una novedad.
§ Está ya vigente en las empresas de éxito.
§ Es algo duradero.
§ Nos proporciona un mayor conocimiento del riesgo.
§ Nos ayuda a la hora de lograr nuestros objetivos.
§ Ayuda a reducir la probabilidad de que tengamos resultados negativos.
§ Hace que nos tomemos la prevención como un hábito.
 Enfoques de gestión de riesgos que crean
riesgos

• En Latinoamérica, casi la mitad de las empresas no identifica, analiza o evalúa los

riesgos emergentes y dentro de los diferentes sectores de la industria, hay una
importante disparidad en la valoración de los riesgos.
• De acuerdo con el Tercer Benchmark de Riesgos de Latinoamérica, elaborado por
Marsh y la Asociación Global de Gerentes de Riesgos (RIMS por sus siglas en inglés)
este año, en México, menos del 6% de las compañías considera que la gestión de
sus riesgos está en un nivel de desarrollo óptimo, lo cual es un reflejo del bajo
porcentaje de corporaciones que cuentan con algún plan de Administración de
Riesgos Empresariales (ERM)
 Enfoques de gestión de riesgos que crean
riesgos

§ Normas, leyes y estándares sobre Gestión de Riesgos Empresarial

(ERM)
Hay muchas normas, leyes y regulaciones que hablan sobre Gestión de Riesgos.
Entre ellas podemos encontrar las siguientes:
• PRL
• 22301, de continuidad de negocio
• 27001, sobre seguridad de la información
• 20000
• PIC
• COSO, SOX
• 14971
• PCI-DSS, sobre seguridad en transacciones de tarjetas de crédito
• 9001, sobre calidad
• 14001, sobre medioambiente
• PMP, PMBOK, 21500
• MAAGTIC, AS/NZS 4360
• NTC 5254, MECI, GOB. LÍNEA
Enfoques de gestión de riesgos que crean
riesgos
El enfoque de las normas ISO 15408 e ISO
18045
• ISO/IEC 15408: Common Criteria. Conjunto de estándares sobre seguridad de
productos TIC (Tecnologías de Información y Comunicaciones), genera un resultado
de evaluación que establece un nivel de confianza en el grado en el que el producto
TIC satisface la funcionalidad de seguridad y ha superado las medidas de
evaluación aplicadas.

• El estándar de Common Criteria, según Symantec “representa el estándar de

seguridad universal” y es obligatorio por parte del Departamento de Defensa de los
EE. UU para sus productos.

SYMANTEC. Descripción general de la tecnología.

http://www.symantec.com/es/es/about/profile/technology.jsp
 El enfoque de las normas ISO 15408 e ISO
18045

§ ISO / IEC 18045: 2005 es un documento complementario de ISO / IEC

15408, Tecnología de la Información -Técnicas de seguridad- Criterios de evaluación
para la seguridad de TI . ISO / IEC 18045 especifica las acciones mínimas que debe
realizar un evaluador para realizar una evaluación ISO / IEC 15408, utilizando los
criterios y la evidencia de evaluación definidos en ISO / IEC 15408
 El enfoque de las normas ISO 15408 e ISO
18045

§ Regula la evaluación objetiva, repetible y comparable de las propiedades de

seguridad de productos y sistemas de información. Generando una declaración de
seguridad del producto o sistema evaluado verdadera, la cual procede de una
evaluación rigurosa y satisfactoria, generando un alto grado de confianza.
§ Nace de la necesidad de estandarizar internacionalmente los criterios de seguridad.
La ISO comienza a trabajar a principios de los años 90, dando como resultado la
certificación Common Criteria (o ISO-IEC 15408)

SYMANTEC. Descripción general de la tecnología.

http://www.symantec.com/es/es/about/profile/technology.jsp
 El enfoque de las normas ISO 15408 e ISO
18045

§ Los criterios presentados en la norma han sido diseñados para apoyar las necesidades
de estos tres grupos:
§ Usuarios: Para asegurar que la evaluación satisface las necesidades del objetivo
fundamental y la justificación del proceso de evaluación.
§ Fabricantes: La norma pensada para apoyar los procesos de evaluación de sus
productos o sistemas y en la identificación de requisitos de seguridad que deben ser
satisfechos por cada unos de dichos productos o sistemas.
§ Evaluadores: La norma contiene criterios para que los evaluadores emitan veredictos
sobre la conformidad del objeto evaluador (TOE) con sus requisitos de seguridad,
aunque los CC no especifican procedimientos a seguir para realizar estas acciones.

§ Otros: Oficiales de seguridad, auditores, diseñadores de arquitecturas de seguridad,

autoridades de acreditación, patrocinadores de evaluación y autoridades de evaluación.
El enfoque de las normas ISO 15408 e ISO
18045

§ TOE
• Objetivo de evaluación. Componente TIC
seleccionado para evaluar su seguridad
bajo la norma ISO/IEC 15408 Common
Criteria ST, dividido en límites físicos,
lógicos, entorno de seguridad del TOE,
objetivos de seguridad y requerimientos
de seguridad.
 El enfoque de las normas ISO 15408 e ISO
18045

§ TSP: Políticas de seguridad del TOE (TOE Security Policy).

§ SFPs: Función de las políticas de seguridad (Security Function Policies).
§ SF: La función de seguridad (Security Function SF) implementa la SFP.
§ TSF: Funciones de seguridad del TOE (TSF), consiste en todo el hardware, software y
firmware del TOE que está directamente o indirectamente relacionado con las TSP.
§ TSC: Alcance de control del TOE (Scope of Control TSC).
§ TSFI: Interfaces de las funciones de seguridad del TOE. Las interfaces por las cuales
interactúan los usuarios o aplicaciones.
 El enfoque de las normas ISO 15408 e ISO
18045

§ TSFI: Interfaces de las funciones de seguridad del TOE. Las interfaces por las cuales
interactúan los usuarios o aplicaciones.
§ Declaración de seguridad (ST): Una declaración de seguridad contiene un
conjunto de requisitos de seguridad que pueden establecerse por referencia a un perfil
de protección, directamente por referencia a componentes de la norma funcionales o
de garantía, o declarada explícitamente.
 El enfoque de las normas ISO 15408 e ISO
18045

Por ejemplo, el nombre del requisito, FDP_IFF.4.2 se lee como sigue:

q F = requisito funcional
q DP = clase “protección de datos usuario”
q _IIF = familia “funciones de control del flujo de información”
q .4 = cuarto componente llamado eliminación parcial de flujos de información ilícitos
q .2 = segundo elemento del componente.
 El ciclo clásico de gestión Planear-Hacer-Verificar-
Actuar

§ Ciclo de Deming o círculo PDCA es una herramienta básica y esencial para

la correcta ejecución de la mejora continua. Desde su creación por Edward
Deming se ha utilizado en multitud de empresas y se ha convertido en un
símbolo de la mejora continua.
§ La teoría se representa de forma habitual por un círculo que representa la evolución
continua del ciclo de Deming. El círculo, o la rueda, siempre debe estar en movimiento
y cada uno de los pasos alimenta el siguiente, de forma que cada vez sea más sencillo
avanzar y más natural.
 El ciclo clásico de gestión Planear-Hacer-Verificar-Actuar
(cont.)

Las fases o acciones son las siguientes:

• Planificar (Plan): En esta etapa se planifican los cambios y lo que se pretende
alcanzar. Es el momento de establecer una estrategia en el papel, de valorar los pasos
a seguir y de planificar lo que se debe utilizar, para conseguir los fines que se estipulan
en este punto.
• Hacer (Do): Aquí se lleva a cabo lo planeado. Siguiendo lo estipulado en el punto
anterior, se procede a seguir los pasos indicados en el mismo orden y proporción en el
que se encuentran indicados en la fase de planificación.
 El ciclo clásico de gestión Planear-Hacer-Verificar-Actuar
(cont.)

Las fases o acciones son las siguientes:

§ Verificar (Check): En este paso se debe verificar que se ha actuado de acuerdo a lo
planeado, así como que los efectos del plan son los esperados.
§ Actuar (Act): A partir de los resultados conseguidos en la fase anterior, se procede a
re c o p i l a r l o a p re n d i d o y a p o n e r l o e n m a rc h a . Ta m b i é n s u e l e n a p a re c e r
recomendaciones y observaciones que suelen servir para volver al paso inicial de
Planificar, y así el círculo nunca dejará de fluir.
El ciclo clásico de gestión Planear-Hacer-Verificar-Actuar
(cont.)
 Ejercicios

§ En equipo realicen el proceso de identificación de riesgos por etapas, de los “activos”

que tengan dentro del quipo de trabajo, tomando como referencia las áreas funcionales
de:
 Fase 1. Definir el alcance

§ Definición del alcance en equipo

 Fase 2. Identificar los activos

§ Ejemplo
 Fase 3. Identificar / seleccionar las
amenazas

§ Ejemplos de Amenazas en PYMES

• Ataques desde adentro
• Falta de contingencia
• Una mala configuración que
compromete la seguridad
• Uso temerario de redes de hoteles
y quioscos
• Uso imprudente de hotspots
inalámbricos
• Datos perdidos en un dispositivo
portátil
• Servidores Web comprometidos
• Navegación imprudente por parte
de los empleados
• Correo electrónico HTML malicioso
• Explotación automática de una
vulnerabilidad conocida
 Fase 4. Identificar vulnerabilidades

§ Las vulnerabilidades pueden clasificarse en 4 tipos:

Calificación Definición

Este tipo de vulnerabilidad permite la propagación de amenazas sin que sea necesaria la
Crítica participación del usuario.

Este tipo de vulnerabilidad es capaz de poner en riesgo la confidencialidad, integridad o

Importante disponibilidad de los datos de los usuarios, como así también, la integridad o disponibilidad de
los recursos de procesamiento que este disponga.

Este es uno de los tipos de vulnerabilidades más sencillas de combatir, ya que el riesgo que
presenta se puede disminuir con medidas tales como configuraciones predeterminadas,
Moderada auditorías y demás. Aparte, las vulnerabilidades moderadas no son aprovechables en todo su
potencial ya que no afecta a una gran masa de usuarios.

Este tipo de vulnerabilidad es realmente muy difícil de aprovechar por un atacante, y su

Baja impacto es mínimo, ya que no afecta a una gran masa de usuarios.
Vulnerabilidades generales

• Vulnerabilidades de
desbordamiento de buffer
• Vulnerabilidades de condición
de carrera (race condition)
• Vulnerabilidades de error de
formato de cadena (format
string bugs)
• Vulnerabilidades de Cross Site
Scripting (XSS)
• Vulnerabilidades de denegación
del servicio
• Vulnerabilidades de Inyección
SQL
• Vulnerabilidades de ventanas
engañosas
Tipos de ataques que se aprovechan de las
vulnerabilidades más conocidas.

Tipo de ataque Daño que produce

El daño que produce un ataque de interrupción es básicamente conseguir que un recurso de la red deje de
Interrupción estar disponible para sus usuarios.

Básicamente un ataque de intercepción permite que el intruso atacante acceda a la información que tenemos
Intercepción almacenada en nuestro sistema o que estemos transmitiendo por la red a otros usuarios de la misma.

El propósito de un ataque de modificación es básicamente es interceptar y manipular la información sin estar

Modificación autorizado para ello, lo que produce enormes daños debido a que la empresa o el usuario está trabajando con
datos que son falsos debido a la mencionada manipulación.

Este tipo de ataque es uno de los más peligrosos, ya que ha sido diseñado para engañar al usuario cuando
accede a un sitio web que cree legítimo. En este caso se crea una página web idéntica a una original, por
Fabricación ejemplo el sitio de un banco, por lo cual el usuario ingresa datos personales y confidenciales que luego le son
sustraídos con fines delictivos
 Fase 5. Evaluar el riesgo

§ En este momento hemos recopilado de los siguientes elementos:

§ Inventario de activos
§ Conjunto de amenazas a las que está expuesto cada activo
§ Conjunto de vulnerabilidades asociadas a cada activo (si corresponde)
Con esta información, podemos calcular el riesgo. Para cada par activo-amenaza,
estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el
negocio que esto produciría.
El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como
cualitativos.
 Pero para entenderlo mejor, veremos a modo
de ejemplo las tablas para estimar los factores
probabilidad e impacto.

§ Tabla para el cálculo de la probabilidad

§ Tabla para el cálculo del impacto
 Cálculo del riesgo (Cuantitativo)

§ A la hora de calcular el riesgo, calcularemos multiplicando los factores

probabilidad e impacto:

RIESGO = PROBABILIDAD x IMPACTO

Activo Vulnerabilid Amenaza Probabilidad Impacto Riesgo

ad (de la (sobre el
amenza) negocio)
Aplicaciones Malware 3 1 R=(3*1)
instaladas sin R=3
Laptop permiso
Empleado Parches Conexión no 1 3 R=(1*3)
desactualizados autorizada R=3

Aplicaciones Malware 3 3 R=(3*3)

instaladas sin R=9
permiso
Servidor
Parches Conexión no 2 3 R=(3*2)
desactualizados autorizada R=6
 Cálculo del riesgo (Cualitativo)

§ Utilizaremos una matriz de riesgo como la que se muestra a

continuación:

Impacto

Bajo Medio Alto

Baja Muy bajo Bajo Medio

Probabilidad

Medi Bajo Medio Alto

a
Alta Medio Alto Urgente
Cuando se va a estimar la probabilidad y el impacto,
debemos tener en cuenta las vulnerabilidades y
salvaguardas existentes.
Ejemplo: La caída del servidor principal podría tener
un impacto alto para el negocio. Sin embargo, si
existe una solución de alta disponibilidad (Ej.
Servidores redundados), podemos considerar que el
impacto será medio, ya que estas medidas de
seguridad harán que los procesos de negocio no se
vean gravemente af ectados por l a c a í d a d e l
servidor.
 Fase 6. Tratar el riesgo

§ Una vez que se han identificado los riesgos, es necesario que en equipo discutan qué
solución darán a cada uno, con base a las siguientes estrategias:
§ Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que
cubra los daños a terceros, ocasionados por fugas de información.
§ Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está
sujeto a un riesgo elevado.
§ Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar
un enlace dedicado puede ser demasiado alto y por tanto, la organización
puede optar por asumir.
§ Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a
internet de respaldo para poder acceder a los servicios en la nube en caso de
que la línea principal haya caído.