1.

Título del Proyecto

Propuesta de la Gestión de Riesgos de los Sistemas de Información para una Entidad
Financiera

2. Planteamiento del Problema

2.1 Descripción del Problema
Todas las organizaciones tanto públicas como privadas atraviesan distintos
escenarios a lo largo de su existencia debido a las nuevas tecnologías de
información que hacen un uso cada vez mayor de la misma. Es por ello que es
imprescindible considerar los riesgos a los que las organizaciones se exponen,
dado que estos están presentes en todo ámbito laboral y pueden causar muchas
pérdidas si no son controladas a tiempo adecuadamente.
Las organizaciones, en general, no le prestan la atención debida a la gestión de
riesgos, comprometiendo así la seguridad de los activos de la organización. Por
consiguiente, creemos que es necesario presentar una propuesta que presta una
atención mayor a la gestión de riesgos de los sistemas de información, lo que
facilitaría el análisis, la identificación y el tratamiento de los riesgos inherentes en
diversos activos de una organización, para minimizar el impacto negativo.
Para ello, existen criterios que las organizaciones consideran como la
confidencialidad, la integridad, la disponibilidad, la autenticidad y el no repudio.
Estas medidas preventivas y reactivas permiten resguardar y proteger la
información de una organización, en este caso, de una entidad financiera.

2.2 Formulación del Problema

2.2.1 Problema General
¿De qué manera la gestión de riesgos de los sistemas de información aporta a
dicha gestión en una entidad financiera?

2.2.2 Problemas Específicos

 ¿De qué manera la propuesta de la aplicación de la metodología MAGERIT
V1 mejora la gestión de riesgos de los sistemas de información en una
entidad financiera?
 ¿De qué manera la propuesta de la aplicación de la metodología MAGERIT
V3 mejora la gestión de riesgos de los sistemas de información en una
entidad financiera?
 ¿De qué manera la propuesta de políticas de seguridad mejora la gestión
de los sistemas de información en una entidad financiera?

3 Justificación e Importancia
Como hemos mencionado anteriormente, las organizaciones –y por ende, las entidades
financieras– se enfrentan a riesgos ambientales, riesgos inherentes a los procesos y
riesgos relacionados a las malas decisiones que se dan dentro de los procesos. Una
comprensión adecuada de los niveles de riesgo asociados con los sistemas de información
ayudará a las organizaciones a reconocer las implicaciones de la ocurrencia de un
determinado espacio de riesgo dentro de su entorno complejo, logrando con esto
apropiarse de las políticas de seguridad y su respectivo alineamiento con los procesos
financieros.
 A menudo las decisiones de protección de la información se realizan basadas en la
experiencia previa con respecto a las vulnerabilidades y amenazas que se conozcan. Sin
embargo, esto ocasiona que los riesgos tiendan a no ser gestionados de forma sistemática
y que tampoco sean administrados por las personas adecuadas. Es ahí en donde el
MAGERIT (la Metodología de Análisis y Gestión de Riesgos) da un paso hacia adelante
para estudiar los riesgos que soporta un sistema de información y el entorno asociado a
este. El MAGERIT propone la realización de un análisis de los riesgos, lo que implica una
evaluación del impacto que una violación de la seguridad tiene en la organización;
asimismo, señala los riesgos existentes, identificando las amenazas que acechan al
sistema de información, y determina la vulnerabilidad del sistema de prevención de
dichas amenazas, obteniendo resultados.
Los resultados del análisis de riesgos permiten a la gestión de riesgo recomendar las
medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o
controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles
perjuicios.

4 Objetivos
4.2 Objetivo General
Proponer la gestión de riesgos de los sistemas de información para una entidad
financiera.

4.3 Objetivos Específicos

 Proponer la aplicación del MAGERIT V1 para mejorar la gestión de riesgos
de los sistemas de información en una entidad financiera.
 Proponer la aplicación del MAGERIT V3 para mejorar la gestión de riesgos
de los sistemas de información en una entidad financiera.
 Proponer la aplicación de las políticas de seguridad para mejorar la gestión
de riesgos de los sistemas de información para una entidad financiera.

5 Fundamentación del Proyecto

5.2 Antecedentes Nacionales
Según Ñañez en su “MODELO DE GESTIÓN DE RIESGOS DE TI BASADOS EN LA
NORMA ISO/IEC 27005 Y METODOLOGÍA MAGERIT PARA MEJORAR LA GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN EN LA UNIVERSIDAD NACIONAL TORIBIO
RODRÍGUEZ DE MENDOZA – CHACHAPOYAS PERÚ”, se logró elaborar un
procedimiento adecuando la metodología MAGERIT para desarrollar las actividades
y tareas de las dos fases principales de un sistema de gestión de riesgos de TI, como
son la evaluación de los riesgos y el tratamiento de los mismos; para cada uno de
los activos TI que tenían que protegerse, con la finalidad de asegurar una gestión
adecuada de la seguridad de la información en los procesos académicos y
administrativos identificados como críticos. Asimismo, el modelo propuesto permite
identificar con claridad cada activo de TI, valorar su criticidad, identificar las
amenazas y vulnerabilidades que conforman los escenarios de riesgos a los que
estén expuestos cada activo y finalmente a valorar los niveles de exposición al
riesgo, basado en el análisis de los impactos y frecuencias de ocurrencia de cada
escenario de riesgo identificado. Igualmente dicho modelo de gestión de riesgos
también permite elaborar estrategias de tratamiento de los escenarios de riesgos
de TI con suficiencia, y estas contemplan las formas de implantación de los
 controles necesarios. Por lo tanto, el modelo fue calificado como favorable para la
gestión de riesgos de TI en la universidad. [ CITATION Ñañ19 \l 10250 ]

En el “MODELO DE GESTIÓN DE RIESGOS DE TI QUE CONTRIBUYE A LA OPERACIÓN

DE LOS PROCESOS DE GESTIÓN COMERCIAL DE LAS EMPRESAS DEL SECTOR DEL
SANEAMIENTO DEL NORTE DEL PERÚ” se habló de contribuir a la operación de
procesos de gestión comercial a través del desarrollo de un modelo de gestión de
riesgos de TI adecuado a la Empresa Prestadora de Servicios de Saneamiento de
Lambayeque como caso de estudio. Se plantearon estrategias de tratamiento con
16 proyectos aplicados a monitorear y revisar que la gestión de riesgos lograse
contribuir a la operación de los procesos de gestión comercial. Finalmente, se
demostró que con características de procesos simplificados era posible mapear los
165 riesgos identificados en un esquema de priorización, con una lectura
semaforizada que permite al encargado de la gestión de las TICs proponer
proyectos para el tratamiento de los mismos de manera proactiva, definiendo los
recursos requeridos y las actividades de mejora continua.[ CITATION Mos18 \l
10250 ]

La APLICACIÓN DE LA METODOLOGÍA MAGERIT PARA LA ELABORACIÓN DE UN

PLAN DE MEJORA DE LA SEGURIDAD DE LOS ACTIVOS DE INFORMACIÓN DE LA
ZONA ESPECIAL DE DESARROLLO – ZED PAITA nos cuenta cómo la metodología
MAGERIT aportó una gran ayuda para todo el proceso de análisis de los riesgos,
desde la identificación de los activos, la valorización de estos, la identificación de las
amenazas, conocer las salvaguardas actuales y a ayudar con la implementación de
las futuras salvaguardas para controlar y mitigar los riesgos encontrados. El uso de
la Herramienta PILAR fue de gran ayuda para conocer los riesgos e impactos a los
que está expuesto todo el sistema, a través de los resultados se pudo conocer el
impacto que generaría la materialización de las amenazas, además sus gráficas
compararon los impactos actuales, y las misma herramienta propuso un impacto
recomendado basados en estándares internacionales de gestión de la seguridad de
la información. Una vez realizado todo el estudio siguiendo la metodología, se pudo
elaborar una propuesta de Plan de Mejora de la seguridad de la información, este
plan fue elaborado en el marco del cumplimiento de la NTP ISO/IEC 27001:2014, la
cual es obligatoria en todas las instituciones del estado. [ CITATION Bri19 \l 10250 ]

5.3 Antecedentes Internacionales

De acuerdo con Joya y Sacristán en el “Desarrollo de una Propuesta de Mitigación
de Riesgos y Vulnerabilidades en Activos Lógicos para la Empresa Javesalud I.P.S.”,
se brindó un análisis de los activos lógicos de información de la empresa Javesalud
con el fin de encontrar los posibles riesgos y amenazas a los que se encuentran
expuestos. Por medio de la metodología MAGERIT V3, cada activo lógico es
clasificado en una matriz acorde con su interrelación el valor que posee,
identificando qué depreciación o coste generaría en la organización. Además, se
proyectó un descubrimiento de riesgos a raíz de eventos adversos encontrados para
cada activo enlistado. Posteriormente, se realizó una matriz de priorización de
riesgos donde el objetivo principal fue evaluar el impacto que genera cada riesgo
encontrado, clasificando su causa y probabilidad de reproducción. Para finalmente
crear controles a partir de los riesgos encontrados y elaborar un documento
 relacionando la forma de implementación de dichos controles y buenas prácticas de
gestión de sistemas informáticos para que la organización lo utilice; superando así
la problemática de estar expuestos a riesgos y vulnerabilidades de activos lógicos.
[ CITATION Joy17 \l 10250 ]
Con la “APLICACIÓN DE LA METODOLOGÍA MAGERIT PARA EL ANÁLISIS Y GESTIÓN
DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN APLICADO A LA EMPRESA
PESQUERA E INDUSTRIAL BRAVITO S.A. EN LA CIUDAD MACHALA”, Gaona nos habla
de que dicha empresa no tenía medidas de seguridad guiadas y documentadas, por
lo cual ese estudio era de un gran beneficio para minimizar riesgos en el futuro.
Gracias a la metodología MAGERIT donde se siguieron una serie de pasos para el
análisis y gestión de riesgos, se obtuvieron resultados realistas del estado de riesgo
de la empresa, donde se supo escoger las medidas que eran necesarias para mitigar
el riesgo. Se vuelve a hacer mención de la herramienta PILAR, ya que ayudó con la
valoración de los riesgos en diferentes etapas potenciales, en situaciones actuales y
en los objetivos. Después del proyecto, la empresa obtuvo un documento
encaminado de seguridad que fue el punto de partida para la creación de
normativas de seguridad para los recursos informáticos y los empleados que
laboraban en la empresa.[ CITATION Gao13 \l 10250 ]

En la “PROPUESTA DE UN PLAN DE GESTIÓN DE RIESGOS DE TECNOLOGÍA

APLICADO EN LA ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL”, se nos describe la
necesidad de desarrollar un análisis de riesgo tecnológico de orden cualitativo
aplicado en el centro que administra y brindar los servicios de red y sistemas de la
Escuela Superior Politécnica del Litoral siguiendo la metodología MAGERIT. Primero
se procede a denotar la situación actual de la organización, luego a identificar los
activos con sus respectivas amenazas, para proseguir a realizar la medición de
riesgos existentes y sugerir las salvaguardas necesarias que podrían formar parte
del plan de implantación. Para la evaluación se consideró la herramienta PILAR, la
cual soporta el análisis y gestión de los riesgos de sistemas de información
siguiendo la metodología MAGERIT. Finalmente se desarrolló el plan de seguridad
que costó de una política de seguridad y un plan de ejecución que conlleva la
participación del personal de varias áreas e implementación y mejora de procesos
aplicando medidas preventivas y correctoras para reducir los niveles de riesgo
existentes, además de reconocer el nivel de riesgo residual al cual aún se
encuentran expuestos los sistemas y procesos de la organización. [ CITATION Mol15
\l 10250 ]

5.4 Fundamentación Teórica

 MAGERIT V1
El MAGERIT es una metodología enfocada a la seguridad del sistema en el
desarrollo del mismo, fue desarrollada por el Ministerio de Administraciones
Públicas y permite un seguimiento exhaustivo de la seguridad del sistema,
ajustándose a criterios como los de ITSEC, para la posterior homologación y
certificación del sistema de información desde el punto de vista de la seguridad.
Esta metodología define bien los riesgos que deben minimizarse con medidas de
seguridad que garanticen la autenticación, confidencialidad, integridad y
disponibilidad de los sistemas de información; para mantenerlos a salvo de los
distintos peligros que los acechan.
 El MAGERIT está constituido por cuatro fases: la planificación del proyecto de
riesgos, el análisis de riesgos, la gestión de riesgos y la selección de salvaguardas.
Para la Planificación del Análisis y Gestión de Riesgos, se tiene por objetivo
principal el establecer y definir el marco general de referencia para todo proyecto
de realización de análisis y gestión de riesgos. Esto nos dice que su finalidad es
definir metas (de funcionalidad y servicios futuros a prestar) a largo plazo, así como
estimar las necesidades de información en función de dichas metas (considerando
tanto el entorno como la visión). Todo para conseguir dos grandes resultados: la
definición precisa del proyecto de Análisis y Gestión de Riesgos y de su dominio; y la
programación ajustada para desarrollar dicho proyecto, teniendo en cuenta las
prioridades y recursos.
En segundo lugar, tenemos el Análisis de Riesgos, tiene como objeto evaluar el
riesgo del sistema en estudio, tanto el intrínseco (sin salvaguardas), como el
efectivo (incluyendo el efecto de las salvaguardas implementadas si se trata de un
sistema actual, no de un sistema previsto); mostrar al comité director las áreas del
sistema con mayor riesgo; y presentar y obtener la aprobación de los umbrales de
riesgo aceptables o asumibles. Aquí se identifica, evalúa y combina los elementos
definidos en el correspondiente submodelo, con el resultado de una evaluación del
Riesgo en el Dominio del proyecto que sea utilizable para la Identificación y Gestión
de las Salvaguardas que puedan contrarrestar el Riesgo no asumible.
En la etapa de Gestión del Riesgo se tiene por finalidad identificar y seleccionar las
funciones de salvaguarda apropiadas para reducir el riesgo a un nivel aceptable. Los
puntos de partida para esta etapa están constituidos por la documentación de la
etapa anterior, referida a la descripción de los componentes del riesgo (activos,
funciones y mecanismos de salvaguarda existentes, amenazas, vulnerabilidades e
impactos), a los niveles de riesgos calculados y a los umbrales de riesgo aceptados
por el comité director.
Finalmente, está la Selección de Salvaguardas que busca la selección de los
mecanismos de salvaguarda que materialicen las funciones y servicios de
salvaguarda, respeten las restricciones y reduzcan los riesgos por debajo de los
umbrales deseados. Esta etapa parte de los resultados de las etapas anteriores en
cuanto a la identificación de los mecanismos de salvaguarda implantados
actualmente y de las funciones y servicios de salvaguarda que cubren, así como el
grado de su implantación. También son recordadas las funciones y servicios de
salvaguarda seleccionados, capaces de reducir el riesgo hasta alcanzar los umbrales
previamente elegidos (o bien actualizados, si se ha visto su necesidad). Por último la
etapa posibilita la recopilación de todos los informes obtenidos, para generar el
documento final del Análisis y Gestión de Riesgos, además de los documentos de
presentación de resultados a los diversos niveles de la organización.

 MAGERIT V3
Esta versión del MAGERIT continúa siendo una metodología de Análisis y Gestión de
Riesgos, pero se divide en tres libros: “Método”, “Catálogo de Elementos” y “Guía
de Técnicas”. Tiene como objetivos concienciar a los responsables de las
organizaciones de información de la existencia de riesgos y de la necesidad de
gestionarlos, ofrecer un método sistemático para analizar los riesgos derivados del
uso de tecnologías de la información y comunicaciones (TIC), ayudar a descubrir y
planificar el tratamiento oportuno para mantener los riesgos bajo control
 indirectos, preparar a la organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso.
PILAR es un conjunto de herramientas EAR (Entorno de Análisis de Riesgos) cuya
función es el análisis y la gestión de riesgos de un sistema de información siguiendo
la metodología MAGERIT y está desarrollada y financiada parcialmente por el
Centro Criptológico Nacional (CCN). Se actualizan periódicamente y existen diversas
variantes. Está dirigida a todas aquellas organizaciones que cuentan con
infraestructuras de TIC y que tienen la necesidad de gestionar de forma eficiente
sus activos, realizando Análisis de Impacto y Continuidad de Operaciones, tanto
cuantitativos como cualitativos.
La solución PILAR permite analizar los riesgos en varias dimensiones:
confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Todo ello a
lo largo de diversas etapas de tratamiento. También es muy parametrizable,
permite parametrizar a partir de las características del sistema, los perfiles de
amenazas, las dependencias entre los activos, las dimensiones de seguridad que
queremos tener en cuenta en nuestro análisis de riesgos y los perfiles de
protección. PILAR permite realizar análisis cuantitativos y cualitativos; y Análisis de
Impacto y Continuidad de Operaciones.

 Políticas de Seguridad

El OSIPTEL es el organismo público regulador del sector de telecomunicaciones y

este considera a la información como un activo valioso para el cumplimiento de sus
funciones y alcance de sus objetivos estratégicos. Por tanto, resulta necesario
gestionar la seguridad de la información estableciendo mecanismos para proteger
su confidencialidad, disponibilidad e integridad ante amenazas internas o externas,
deliberadas o accidentales; y se compromete a cumplir con los requisitos aplicables
en seguridad de la información y mejorar continuamente su Sistema de Gestión de
Seguridad de la Información.

Bibliografía

Briceño, C. (2019). APLICACIÓN DE LA METODOLOGÍA MAGERIT PARA LA ELABORACIÓN DE UN

PLAN DE MEJORA DE LA SEGURIDAD DE LOS ACTIVOS DE INFORMACIÓN DE LA ZONA
ESPECIAL DE DESARROLLO – ZED PAITA. Provincia, Perú. Obtenido de
https://repositorio.unp.edu.pe/bitstream/handle/UNP/2061/INF-BRI-HUA-2019.pdf?
sequence=1&isAllowed=y

Gaona, K. (2013). APLICACIÓN DE LA METODOLOGÍA MAGERIT PARA EL ANÁLISIS Y GESTIÓN

DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN APLICADO A LA EMPRESA
PESQUERA E INDUSTRIAL BRAVITO S.A. EN LA CIUDAD MACHALA. Ecuador. Obtenido
de https://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf

Joya, J., & Sacristán, C. (Diciembre de 2017). Desarrollo de una Propuesta de Mitigación de
Riesgos y Vulnerabilidades en Activos Lógicos para la Empresa Javesalud I.P.S.
 Colombia. Obtenido de
https://repository.ucatolica.edu.co/bitstream/10983/15405/1/Proyecto%20Final
%20Especializacion%20Seguridad%20de%20la%20Informacion.pdf

Molina, M. (2015). PROPUESTA DE UN PLAN DE GESTIÓN DE RIESGOS DE TECNOLOGÍA

APLICADO EN LA ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL. Madrid, España.
Obtenido de http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-
2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf

Moscos, L., Peña, E., & Soto, M. (2018). MODELO DE GESTIÓN DE RIESGOS DE TI QUE
CONTRIBUYE A LA OPERACIÓN DE LOS PROCESOS DE GESTIÓN COMERCIAL DE LAS
EMPRESAS DEL SECTOR DE SANEAMIENTO DEL NORTE DEL PERÚ. Chiclayo,
Lambayeque, Perú. Obtenido de
https://tesis.usat.edu.pe/bitstream/20.500.12423/1409/1/TM_SotoCastrillonMariadel
Carmen_PenaNu%C3%B1ezEdgard_MoscosoAnayaLissette.pdf

Ñañez, O. (2019). MODELO DE GESTIÓN DE RIESGOS DE TI BASADOS EN LA NORMA ISO/IEC

27005 Y METODOLOGÍA MAGERIT PARA MEJORAR LA GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN EN LA UNIVERSIDAD NACIONAL TORIBIO RODRÍGUEZ DE MENDOZA –
CHACHAPOYAS PERÚ. Lambayeque, Perú. Obtenido de
https://repositorio.unprg.edu.pe/bitstream/handle/20.500.12893/6110/BC-
%204020%20%c3%91A%c3%91EZ%20CAMPOS.pdf?sequence=1&isAllowed=y