Sin ttulo de diapositiva

1
Análisis y gestión de riesgos de los sistemas de
información Metodología MAGERIT
2
El proyecto de análisis y gestión de riesgos
- Tiene como objetivo la toma de una decisión. -
Que es la acción de neutralizar un riesgo
considerado no aceptable. - La acción se plasma
en la implantación de salvaguardas. -
Salvaguardas escogidas entre alternativas o -
excluyentes. - El estado final de seguridad
alcanzado puede no coincidir con el estado final
de seguridad deseado. - Pues entran en juego
restricciones económicas, técnicas,
temporales, sociales, culturales, etc.
3
Seguridad de los Sistemas de Información
Dónde estamos? Dónde queremos/podemos
llegar? Qué pasos vamos a dar? Por
qué? Cómo?
Análisis y gestión de riesgos MAGERIT o Por
dónde empiezo?
4
Hábito 1 Sea proactivo Hábito 2 Empiece con un
fin en la mente Hábito 3 Primero, lo
primero. Stephen R. Covey
Cada una de estas metodologías transforma la
experiencia ad hoc en sistema cada una
transforma la anécdota en información cada una
transforma la destreza en algo que puede
enseñarse y aprenderse. Peter F. Drucker
5
Objetivos de MAGERIT
el análisis de los riesgos Conocer y evaluar
el riesgo -Identificar amenazas que acechan al
Sistema de Información (activos) -Determinar la
vulnerabilidad del sistema ante esas amenazas
-Estimar el impacto o grado de perjuicio de una
seguridad insuficiente -Obtener información
cuantitativa y cualitativa del riesgo que se
corre la gestión de los riesgos Adoptar
medidas -Basada en los resultados obtenidos en
el análisis de los riesgos -Permite seleccionar
e implantar salvaguardas de seguridad -Conocer,
prevenir, impedir, reducir o controlar riesgos
identificados -y así reducir al mínimo su
potencialidad o sus posibles perjuicios.
6
MAGERIT en la Gestión de la Seguridad de los SI
Gestión global de la SSI - Acción permanente,
cíclica y recurrente - Continua por cambios en
sistema y entorno Análisis y gestión de riesgos
- Fase nuclear en gestión de la seguridad -
Conocer dónde estamos - Aporta información para
decisiones - Proporción riesgos/ estado del
arte / costes
7
MAGERIT en proyectos de complejidad media y alta
8
MAGERIT en proyectos de complejidad media y alta
1ª Aplicación Componentes que implican riesgos
menores gt Seguridad práctica Componentes que
implican riesgos mayores gt AGR detallado Resultad
o de la 1ª aplicación Visión sintética -
Determinación global Objetivos, Estrategia y
Política de Seguridad - Planificación inicial de
la seguridad - Primera determinación de la
Organización necesaria - Implantación de Salvag.
generales en componentes de riesgos bajos -
Concienciación - Preparación a la Reacción ante
eventos Siguientes aplicaciones - Se aplica a
los componentes que presentan riesgos mayores -
Análisis y gestión de riesgos proporcionado al
riesgo detectado
9
Aplicación de MAGERIT (I)
- Es aplicable a la totalidad del ciclo de vida
del sistema de información - Se puede llevar a
cabo en diferentes momentos, - Con diferentes
grados de precisión, detalle y rigor, -
Dependiendo del tamaño de la organización y de la
complejidad del SI - Sistemas en
operación - Sistemas en desarrollo Integración
con MÉTRICA v.2.1 o superior
10
Aplicación de MAGERIT (II)
Aporta racionalidad en - El conocimiento del
estado de seguridad de los SI - En la
introducción de medidas de seguridad Ayuda a
garantizar una adecuada cobertura - En
extensión, para que no queden elementos fuera del
análisis - (inventario exhaustivo) - En
intensidad, para que se alcance la profundidad
necesaria Recoge la necesidad de dar
importancia a la incrustación de mecanismos de
seguridad en el corazón de los SI - Paliando
insuficiencias de los sistemas vigentes - Aseguran
do desarrollo de sistemas reformados o nuevos en
todas las fases de su ciclo de desarrollo,
desde la planificación hasta la implantación y
mantenimiento.
11
El Modelo MAGERIT
Submodelo Elementos proporciona los
componentes Submodelo Eventos relaciona los
componentes entre sí y con t Submodelo Procesos
descripción funcional proyecto de seguridad
12
El Submodelo de Procesos (I)
- Etapas, Actividades y Tareas QUÉ Y CUANDO -
Técnicas a utilizar CÓMO - Productos
PARA QUÉ - Funciones y responsabilidades
QUIÉN
13
El Submodelo de Procesos (II)
Ayuda - a seguir el procedimiento general - a
adaptarlo al problema concreto
El Procedimiento particularizado para el proyecto
de seguridad - determina Funciones y Servicios
de Salvaguarda adecuados a los problemas -
indica tipos de Mecanismos de Salvaguarda para
resolverlos. - No todas las medidas deducibles de
la metodología son relevantes para cada situación.
14
El Submodelo de Elementos
Activos Amenazas Vulnerabilidades Impactos Riesgo
Salvaguardas
Definición Características Tipos Atributos Métrica
s Otras
15
Tipos de proyectos MAGERIT
Adaptación cada organización sensibilidades
diferentes en SSI - situación dentro del ciclo
de estudio - marco estratégico, planes
globales - análisis de grupos de múltiples
activos - gestión de riesgos de activos
concretos - determinación de mecanismos
específicos de salvaguarda - envergadura -
complejidad e incertidumbre relativas del
Dominio estudiado - tipo de estudio adecuado a
la situación (corto, simplificado, ...) -
granularidad adoptada - problemas específicos
que se desee solventar - Seguridad lógica
de redes y comunicaciones - Protección datos
carácter personal efecto 2000 - Evaluación y
certificación de sistemas o productos -
Auditorías de seguridad Planes de Emergencia y
Contingencia
16
Conducción del proyecto
La Gestión global de Seguridad es una acción
permanente, cíclica y recurrente. Dos tipos de
medidas generales en la conducción de un
proyecto - desarrollo del proyecto en forma
iterativa - control frecuente en hitos de
seguimiento y decisión para evitar desvíos.
17
Elementos de MAGERIT Un Conjunto de Guías
- Guía de Aproximación a la Seguridad de los
SI - Guía de Procedimientos - Guía de
Técnicas - Guía para Responsables del Dominio
protegible - Guía para Desarrolladores de
Aplicaciones - Arquitectura de la información
y especificaciones de la interfaz para el
intercambio de datos - Referencia de Normas
legales y técnicas
18
Elementos de MAGERIT Herramienta de apoyo
Herramienta 2 Avanzada - Permite realizar un
Análisis y Gestión de riesgos detallado. - Para
proyectos de complejidad media o alta en
seguridad. - Se apoya en técnicas
cuantitativas. Se puede obtener (con la
denominación de RIS2K) en http//www.map.es/csi
/pg5r30.htm
19
Aplicación de MAGERIT
No olvidar que - MAGERIT no es un corsé
rígido. - La metodología es un modelo de
máximos que se ha de adaptar a cada situación
particular. Las necesidades varían según
tamaño y características de las organizaciones.
20
Aplicación de MAGERIT
Preguntas?
21
De qué nos tenemos que preocupar en SSI
Aspectos claves - Continuidad de los procesos de
la organización. - La protección de la
información, especialmente datos personales. - La
seguridad, validez y eficacia de las
transacciones EIT. Dependencia creciente de las
técnicas EIT para - desarrollo de la actividad -
ejercicio de competencias - las comunicaciones y
notificaciones internas y externas. La pérdida
de autenticidad, confidencialidad, integridad y
disponibilidad tiene un impacto negativo. La
gestión de la seguridad persigue alcanzar y
mantener niveles adecuados de ACID.
22
Qué deben satisfacer las salvaguardas
Requisitos de seguridad tales como los
siguientes - restricción de utilización y acceso
a datos e informaciones a personas
autorizadas - prevención de alteraciones o
pérdidas de los datos e informaciones -
protección de los procesos informáticos frente a
manipulaciones no autorizadas - conservación
de la información (Ej. documentos
administrativos) - garantía de disponibilidad y
acceso. En particular en las comunicaciones -
prevención de la interceptación, alteración y
accesos no autorizados - constancia de la
transmisión y recepción, de sus fechas y del
contenido íntegro de las telecomunicaciones -
identificación fidedigna del remitente y del
destinatario.
23
Algunos ejemplos AGR y el Efecto 2000
Activos afectados -gt Necesidad de un inventario
exhaustivo. Amenazas los defectos se
transforman en amenazas. - A la disponibilidad
fallo del activo - A la integridad corrupción
de los datos Vulnerabilidad - Puede existir
la certeza - Evoluciona durante la
adaptación Impacto - Puede darse el impacto
pleno Riesgo evoluciona durante la
adaptación Salvaguardas Valoración
cuantitativa. - Proyecto de adaptación - Plan
de contingencias
24
AGR y Protección de datos de carácter personal
(N. Básico)
Activos Necesidad de un inventario
exhaustivo. - Descripción de ficheros y
estructura - Descripción de sistemas de
información que los tratan - Inventario de
usuarios - Definición y documentación de
funciones y obligaciones Amenazas - A la
confidencialidad - A la integridad Vulnerabilidad
Debilidades del sistema en relación a C e I de
los datos Impacto Consecuencias -gt Sanción tras
una inspección Riesgo Función de Vulnerabilidad
e Impacto Salvaguardas Documento de seguridad
exigido - Conocimiento por el personal de las
normas y consecuencias - Identificación,
autenticación y control de acceso - Gestión de
incidencias -gt Registro de incidencias - Copias
de respaldo y recuperación de los datos. Gestión
de soportes
25
Ejemplo INTRANET ADMINISTRATIVA (I)
Nº de amenazas

• Deficiencias en la
• organización
• Errores de usuarios
• Llenado máximo
• no previsto de
• almacenamiento
• Escucha mediante
• herramientas de
• análisis de red
• o de sniffers
• Suplantación de
• indentidad
• Craqueo de
• passwords
• Caballos de Troya

• Accidentes o sucesos
• imprevisibles
• Errores administrador
• Indisponibilidad técnica
• por causas propias
• Acceso físico no
• autorizado
• Abuso administrador
• Vulneración salvaguardas
• Acceso a información
• crítica de seguridad

• Errores o
• vulnerabilidades
• del SW/aplicaciones
• Acceso lógico no
• autorizado a través
• depuertos de
• comunicaciones
• Ataque de
• denegación de
• servicio

• Acceso lógico no autorizado con corrupción o
  destrucción
• (Virus)

Muy Frecuente
Frecuencia Normal
Poco Frecuente
Frecuente
V
26
Ejemplo INTRANET ADMINISTRATIVA (II)
Nº de amenazas

• Accidentes o
• sucesos imprevisibles
• Indisponibilidad técnica
• por causas propias
• Acceso físico no
• autorizado
• Caballos de Troya
• Acceso lógico no autorizado con corrupción o
  destrucción (Virus)
• Ataque de denegación de
• servicio
• Vulneración salvaguardas
• Acceso a información
• crítica de seguridad

• Deficiencias en la
• organización
• Errores administrador
• Llenado máximo
• no previsto de
• almacenamiento
• Abuso administrador
• Suplantación de
• indentidad
• Craqueo de
• passwords

• Errores de usuarios
• Errores o
• vulnerabilidades
• del SW/aplicaciones
• Escucha mediante
• herramientas de
• análisis de red
• o de sniffers
• Acceso lógico no
• autorizado a través
• depuertos de
• comunicaciones

Alto
Bajo
Medio
I
27
Ejemplo EXTRANET(I)
28
Ejemplo EXTRANET(II)

• Amenazas
• Acceso no autorizado personal interno / externo
• Difusión de virus accidental / provocada
• Registro de eventos revelación, destrucción,
  modificación no aut.
• Errores del administrador administración,
  instalación, operación
• Caída del sistema, agotamiento de recursos
  accidental provocada
• Indisponibilidad del sistema provocada
• Corrupción de los datos
• Vulnerabilidades inadvertidas del software
• Ataque físico

29
Ejemplo EXTRANET(III)
Esfuerzo de protección
Coste
Esfuerzo de ruptura
Nivel de seguridad
30
Ejemplo EXTRANET(IV)
31
Submodelo de Elementos
32
Activos (I)
Definición Recursos del SI o relacionados con
éste, necesarios para que la organización
funcione correctamente y alcance los objetivos
propuestos por su dirección
5. Otros activos
4. Funcionalidades de la organización
3. Información
2. Sistema de información
1. Entorno
Características Subestados de Seguridad -
Autenticación - Integridad - Confidencialidad -
Disponibilidad
33
Activos (II) Subestados de seguridad
Subestado A de autenticación Dar y reconocer
la autenticidad de los Activos del Dominio y/o
la identidad de los actores y/o la autorización
por parte de los autorizadores, así como la
verificación de dichas tres cuestiones.
Subestado C de confidencialidad Previene
contra la divulgación no autorizada Concierne
sobre todo a Activos de tipo Información, Se
relaciona con la Intimidad, cuando esa
Información se refiere a personas físicas, que
trata la Ley Orgánica 15/1999
34
Activos (II) Subestados de seguridad
Subestado I de integridad. Previene contra
modificación o destrucción no autorizadas de
Activos La integridad está vinculada a la
fiabilidad funcional del sistema de información y
suele referirse a Activos de tipo
Información. Subestado D de disponibilidad.
Previene contra la denegación no autorizada de
acceso a Activos La disponibilidad se asocia a
la fiabilidad técnica (tasa de fallos) de los
componentes del sistema de información.
35
Activos (III)
Atributos - Valoración intrínseca del activo
del estado de seguridad del activo Métricas -
de valoración intrínseca Activos inventariados,
o no Activos no inventariables - de
valoración del estado de seguridad del activo
Indicaciones complementarias Otras
enumeraciones de Activos - Grupos jerárquicos de
Activos - Activos según Amenazas, salvaguardas -
Activos no tipificados o subestados de
seguridad - Por su naturaleza
36
Amenazas (I)
Definición Eventos que pueden desencadenar un
incidente en la organización, produciendo daños
materiales o pérdidas inmateriales en sus
activos. Características Al materializarse
modifican estado de seguridad de Activos.
Tipos Grupos de Amenazas
- Hackers - Usuarios no autorizados - Proveedores
de servicios - Antiguos empleados - Usuarios
autorizados desleales
- Accidentes - Errores - Intencionales
presenciales - Intencionales remotas
37
Amenazas (II)
Tipos Grupos de Amenazas
Accidentes -accidente físico de origen
industrial -avería -accidente físico de
origen natural -interrupción de servicios o
suministros -accidentes mecánicos o
electromagnéticos Errores -de utilización ,
de diseño -de ruta, secuencia o
entrega -inadecuación de monitorización,
trazabilidad,... Intencionales presenciales
-acceso físico no autorizado -acceso lógico no
autorizado (sólo lectura) -acceso lógico no
autorizado (lectura y escritura) -acceso
lógico no autorizado con destrucción -Indisponi
bilidad de recursos Intencionales
remotas -acceso lógico no autorizado
(pasivo) -acceso lógico no autorizado
(destrucción) -acceso lógico no autorizado
(modificación) -suplantación de
origen -repudio de origen o destino
38
Amenazas (III)
Atributos No destacables Métricas - Sólo
interesa si está asociada al activo como
agresión materializada - Ayuda para
valorar la Vulnerabilidad
Indicaciones complementarias Otras enumeraciones
más detalladas. - Agrupación de Amenazas en
escenarios -gt Amenaza, Vulnerab., Activo,
Impacto - Grupos jerárquicos de Amenazas - Grupos
de Amenazas según subestados de seguridad
39
Vulnerabilidades (I)
Definición Potencialidad o posibilidad de
ocurrencia de la materialización de una amenaza
sobre el activo Características Propiedad de la
relación entre un Activo y una Amenaza
Tipos - Vulnerabilidad intrínseca considera
Activo y Amenaza - Vulnerabilidad efectiva tiene
en cuenta las Salvaguardas
40
Vulnerabilidades (II)
Atributos Vulnerabilidad intrínseca - Potenci
alidad autónoma respecto al Activo
amenazado - Potencialidad derivada de la
relación Activo-Amenaza Factores
subjetivos Oportunidad de acceso al
dominio Métricas
Período entre ocurrencias Valor en la escala
subjetiva Escalas subjetivas Por día Por
año lt 1 vez por semana Frecuencia muy
alta 0,2 50 lt cada 2 meses Frecuencia
alta 0,02 5 lt 1 año Frecuencia
media 0,002 1 lt 6 años Frecuencia
baja 0,0002 0,2 gt 6 años Frecuencia muy
baja 0 0,02
Indicaciones complementarias Se clasifica según
el Activo y la Amenaza a los que se asocia.
41
Impactos (I)
Definición Consecuencia de la materialización
de una amenaza sobre un activo. Características
Diferencia de estimaciones en el estado de
seguridad del Activo.
Tipos - Impactos con consecuencias cualitativas
funcionales (ACID) - Impactos con consecuencias
cuantitativas - Impactos con consecuencias
cualitativas orgánicas
42
Impactos (II)
Atributos - Consecuencias directas Gravedad
intrínseca del resultado Agravante
circunstancial - Consecuencias indirectas
Aspecto cualitativo Aspecto
cuantitativo Métricas - Escalas cualitativas
tiempo de falta de disponibilidad - Unidades
monetarias escala con niveles orientativos
Rango de valores Impacto lt 100.000 Muy bajo lt
1.000.000 Bajo lt 10.000.000 Medio lt
100.000.000 Alto gt 100.000.000 Muy alto
Indicaciones complementarias - Cuantificación de
impactos -gt Cálculo del riesgo - Medir impactos
en unidades monetarias no siempre posible Coste
de reposición del activo dañado Coste de
reposición de la función realizada por el activo
dañado
43
Riesgo (I)
Definición Posibilidad de que se produzca un
impacto determinado en un Activo, en un Dominio
o en toda la Organización. Características
Valor calculado que permita tomas decisiones.
Tipos - Riesgo calculado intrínseco antes de
aplicar salvaguardas - Riesgo calculado
residual tras aplicar salvaguardas - Umbral de
riesgo base para decidir por comparación
44
Riesgo (II)
Atributos - Restricción - Propagación del
riesgos Métricas Vulnerabilidad como
frecuencia x Impacto como valor monetario de
reposición Riesgo como impacto acumulado
durante un período.
Rango de costes anuales (en pesetas) Riesgo lt
50.000 Muy bajo en torno a
500.000 Bajo en torno a 5.000.000 Medio en
torno a 50.000.000 Alto gt 100.000.000 Muy
alto
45
Riesgo (III)
En los casos más complejos se usa una tabla
cualitativa
Impacto x Vulnerabilidades -gt Rango de
Riesgos Muy bajo Muy baja, Baja, Media, Alta Muy
bajo Muy bajo Muy alta Bajo Bajo Muy baja,
Baja, Media Medio Muy baja, Baja Bajo Alta,
Muy alta Medio Medio Media, Alta, Muy
alta Alto Muy baja Alto Baja, Media, Alta,
Muy alta Alto Muy alto Muy baja Muy alto Baja,
Media, Alta, Muy alta Muy alto
46
Riesgo (IV)
Simplificación de la tabla cualitativa anterior
47
Funciones, Servicios y Mecanismos de salvaguarda
(I)
Definición Función o Servicio de salvaguarda
acción que reduce el riesgo. Mecanismo de
salvaguarda procedimiento o dispositivo, físico
o lógico Características Función (Criterios
ITSEC) o Servicio (ISO - 7498-2) de Salvaguarda
reducción de la Vulnerabilidad reducción del
impacto
48
Funciones, Servicios y Mecanismos de salvaguarda
(II)
Tipos
Funciones o servicios preventivos - Actúan sobre
vulnerabilidad - Reducen potencialidad de
materialización de Amenaza - Actúan contra
amenazas humanas Salvaguardas
preventivas . Concienciación, información,
formación . Disuasión . Prevención .
Detección preventiva
Funciones o servicios curativos - Actúan sobre
impacto - Reducen la gravedad - Actúan contra
amenazas de todos los tipos Salvaguardas
curativas . Corrección . Recuperación . Detección
curativa
49
Funciones, Servicios y Mecanismos de salvaguarda
(III)
Atributos - Eficacia genérica - Eficacia
concreta Métricas - Función o Servicio de
salvaguarda derivada del poder reductor del
riesgo - Mecanismo de salvagurada ligado al
coste técnico u organizativo Indicaciones
complementarias Evolución de los modelos de
protección desde ciudades abiertas a ciudades
amuralladas
50
Submodelo de procesos
51
Etapa 1 Planificación del análisis y gestión de
riesgos
Objetivos - Establecer y definir marco de
referencia para el proyecto de AGR. - Motivar a
la dirección - Demostrar la oportunidad de
realizar un AGR - Afirmar y dar a conocer la
voluntad política de la realización del AGR -
Crear las condiciones para el buen desarrollo del
proyecto Actividades 1. Oportunidad de
realización 2. Definición de dominio y
objetivos 3. Organización y planificación del
proyecto 4. Lanzamiento del proyecto Documentaci
ón final Planificación del análisis y gestión de
riesgos
52
Etapa 2 Análisis de riesgos
Objetivos - Evaluar el riesgo del sistema,
intrínseco y efectivo - Mostrar al Comité
director las áreas del sistema con mayor riesgo -
Presentar y obtener aprobación de umbrales de
riesgo aceptables Actividades 1. Recogida de
información 2. Identificación y agrupación de
activos 3. Identificación y evaluación de
amenazas 4. Identificación y estimación de
vulnerabilidades 5. Identificación y valoración
de impactos 6. Evaluación del riesgo Documentaci
ón final Riesgo global, por áreas, áreas
críticas, umbrales de riesgo

53
Etapa 3 Gestión del riesgo
Objetivos - Identificar y seleccionar las
funciones de salvaguarda apropiadas para
reducir el riesgo a un nivel aceptable. Actividad
es 1. Interpretación del riesgo 2.
Identificación de funciones de salvaguarda y
estimación de su efectividad 3. Selección de las
fucniones de salvaguarda 4. Cumplimiento de
objetivos Documentación final Lista final de
funciones y servicios de salvaguarda propuestos
54
Etapa 4 Selección de salvaguardas
Objetivos Selección de los mecanismos de
salvaguarda que materialicen las funciones y
servicios de salvaguarda, respeten las
restricciones y reduzcan los riesgos por debajo
de los umbrales deseados. Actividades 1.
Identificación de los mecanismos 2. Selección
de mecanismos de salvaguarda 3. Especificación
de los mecanismos a implantar 4. Orientación a
la planificación de la implantación 5.
Integración de resultados Documentación final
Informe final del análisis y gestión de riesgos
55
Etapa 1 PLANIFICACIÓN DEL ANÁLISIS Y GESTIÓN DE
RIESGOS
Actividad 1.1 Oportunidad de realización T
1.1.1(única) Clarificar la oportunidad de
realización Actividad 1.2 Definición de dominio
y objetivos T 1.2.1 Especificar los objetivos
del proyecto T 1.2.2 Definir el dominio y los
limites del proyecto T 1.2.3 Identificar el
entorno y restricciones generales T 1.2.4
Estimar dimensión, coste y retornos del
proyecto Actividad 1.3 Planificación del
proyecto T 1.3.1 Evaluar cargas y planificar
entrevistas T 1.3.2 Organizar a los
participantes T 1.3.3 Planificar el
trabajo Actividad 1.4 Lanzamiento del
proyecto T 1.4.1 Adaptar los cuestionarios T
1.4.2 Seleccionar criterios de evaluación y
técnicas para el proy. T 1.4.3 Asignar los
recursos necesarios
56
Etapa 2 ANÁLISIS DE RIESGOS
A 2.1 Recogida de información T 2.1.1 Preparar
la información T 2.1.2 Realización de las
entrevistas T 2.1.3 Analizar la información
recogida A 2.2 Identificación y agrupación de
ACTIVOS T 2.2.1 Identificar activos y grupos
de activos T 2.2.2 Identificar mecanismos de
salvaguarda existentes T 2.2.3 Valorar
activos A 2.3 Identificación y evaluación de
AMENAZAS Tarea 2.3.1 Identificar y agrupar
amenazas Tarea 2.3.2 Establecer los árboles de
fallos A 2.4 Identificación y estimación de
VULNERABILIDADES Tarea 2.4.1 Identificar
vulnerabilidades Tarea 2.4.2 Estimar
vulnerabilidades A 2.5 Identificación y
valoración de IMPACTOS Tarea 2.5.1 Identificar
impactos Tarea 2.5.2 Tipificar
impactos Tarea 2.5.3 Valorar impactos A
2.6 Evaluación del RIESGO Tarea 2.6.1 Evaluar
el riesgo intrínseco Tarea 2.6.2 Analizar
las funciones de salvaguarda exist. Tarea
2.6.3 Evaluar el riesgo efectivo
57
Etapa 3 GESTIÓN DE RIESGOS
Actividad 3.1 Interpretación del Riesgo T
3.1.1 (única) Interpretar los riesgos
Actividad 3.2 Identificación y estimación de
Funciones de salvaguarda T 3.2.1 Identificar
funciones de salvaguarda. T 3.2.2 Estimar la
efectividad de las funciones de
salvaguarda. Actividad 3.3 Selección de
Funciones de Salvaguarda T 3.3.1 Aplicar los
parámetros de selección T 3.3.2 Evaluar el
riesgo Actividad 3.4 Cumplimiento de
objetivos T 3.4.1 (única) Determinar el
cumplimiento de los objetivos
58
Etapa 4 SELECCIÓN DE SALVAGUARDAS
Actividad 4.1 Identificación de mecanismos de
salvaguarda T 4.1.1 Identificar mecanismos
posibles T 4.1.2 Estudiar mecanismos
implantados T 4.1.3 Incorporar
restricciones Actividad 4.2 Selección de
mecanismos de salvaguarda T 4.2.1 Identificar
mecanismos a implantar T 4.2.2 Evaluar el
riesgo (mecanismos elegidos) T 4.2.3
Seleccionar mecanismos a implantar Actividad 4.3
Especificación de los mecanismos a implantar T
4.3.1 (única) Especificar los mecanismos a
implantar Actividad 4.4 Planificación de la
implantación T 4.4.1 Priorizar mecanismos T
4.4.2 Evaluar los recursos necesarios T 4.4.3
Elaborar cronogramas tentativos Actividad 4.5
Integración de resultados T 4.5.1 (única)
Integrar los resultados