Esquemas de Seguridad Informática

Análisis de Riesgos Consideraciones adicionales durante el análisis del riesgo

En cualquier análisis del riesgo deben tomarse en cuenta tres costos o valores fundamentales:

  • Costo del sistema informático (Cr): valor de los recursos y la información a proteger.

  • Costo de los medios necesarios (Ca): qué medios y el costo respectivo que un criptoanalista requiere para romper las medidas de seguridad establecidas en el sistema.

  • Costo de las medidas de seguridad necesarias (Cs): medidas y su costo para salvaguardar los bienes informáticos.

Para que la política se seguridad del sistema sea lógica debe cumplirse la siguiente relación:


Ca > Cr > Cs

En el que Ca > Cr, significa que el ataque al sistema debe ser  más costoso que su valor.

El que Cr > Cs, significa que no debe costar más la información que la información protegida. Si esto ocurre, resultaría conveniente no proteger el sistema y volver a obtener la información en caso de pérdida.

a) Análisis del valor del sistema informático

Al evaluarse el sistema informático que se desea proteger, su valor puede desglosarse en dos parte fundamentales:


  • El valor intrínseco del producto que se va a proteger.


  • Los costos derivados de su pérdida.

b) Valor intrínseco

Es la parte más sencilla de valorar, puesto que en la mayoría de los casos se pueden establecer valores objetivos y medibles  de los recursos e información. Se trata de enumerar los recursos incluidos en el sistema informático y de establecer su valor.

c) Costos derivados

Dependiendo del tipo de sistema con que se trata, pueden ser muy distintos, o su valor e importancia relativa pueden variar enormemente. En términos generales se puede incluir los siguientes conceptos:

  • Valor de sustituir el hardware.

  • Valor de sustituir el software.

  • Valor de los resultados.

  • Costo de reproducir los experimentos significativos.

  • Costo de regenerar la información personal.