1

PROGRAMA DE FORMACIN
GESTION DE LA SEGURIDAD
INFORMATICA
ACTIVIDAD DE APRENDIZAJE 3:
Informe valoracin de riesgos del
sistema de informacin
Introduccin
El siguiente material de formacin,
busca dar a conocer los conceptos de El
Riesgo y las fases necesarias para
valorar el los activos de informacin de
la organizacin.

Descripcin material del programa
El material de formacin propuesto para
la actividad de aprendizaje 3, busca
describir de una forma fcil y prctica
los temas a desarrollar con el fin que el
Aprendiz realice satisfactoriamente las
actividades propuestas en la Unidad 3
del curso.
Contenido
Tema 1: informe procesos crticos y
riesgos de seguridad de la informacin 1
Qu es Riesgo? .............................. 1
Clasificacin de Riesgos ................... 1
Fases para la Valoracin del Riesgo 1
Identificacin de Riesgos .................. 2
Identificacin de Controles ................ 2
Valoracin de Riesgos ...................... 3
Riesgo Inherente ............................... 4
Riesgo Marginal ................................ 4


Tema 1: informe de procesos crticos
y riesgos de seguridad de la
informacin
Qu es riesgo?
Un riesgo en seguridad informtica, es
un evento incierto el cual, puede
producir efectos positivos o negativos
sobre los activos de la organizacin.
Dentro de las caractersticas de un
riesgo se pueden mencionar:
- Situacionales, varan de una
situacin a otra.
- Interdependiente, al tratar un
riesgo puede provocar otro riesgo
o aumentar su impacto.
- Magnitud.
- Tiempo.
Clasificacin de riesgos

Los riesgos se clasifican en:
- Fuentes de riesgos internos: Sus
fuentes se dan dentro de la
organizacin.
- Fuentes de riesgos externo: Sus
fuentes se dan fuera de la
organizacin.
Fases para la valoracin del riesgo

Para realizar la valoracin del riesgo, se


2
debe identificar los activos de
informacin de la empresa, y determinar
el valor de stos. Con estos elementos,
se procede a identificar el grado de
exposicin e impacto que puede generar
a la organizacin, si los activos son
alterados de alguna forma.

Para llevar a cabo el proceso de
valoracin del riesgo, se deben de tener
en cuenta las siguientes fases:
1.identificacin de riesgos. 2.
identificacin de controles.

Identificacin de riesgos

En esta fase, se determina para cada
uno de los activos de la organizacin,
las amenazas a las que est expuesto
el activo y se da prioridad al activo en
riesgo (en confidencialidad,
integridad, disponibilidad) que tenga
mayor valor para la organizacin.
Identificacin de controles

En esta fase, se define, disea y se
realiza seguimiento a los controles
que permitan tratar y evaluar los
riesgos que se deban implementar
para mitigar el impacto de las
amenazas identificadas en la primera
fase.

Los Controles tienen una escala
cualitativa:

- Muy Adecuado
- Adecuado
- Moderado
- Dbil
- Muy Dbil

Los cuales se cuantifican en:

- Eficiencia: del 10% al 90%
- Marginalidad: entre 0.1 y 0.9
(vase. tabla 1).







FUENTE: (Caviedes, Prado, muoz,
(Sin fecha)

Para llevar a cabo la valoracin del
riesgo en cuanto a su eficacia, se debe
Cualific
acin
Consideracin Efici
enci
a
Margi
nalida
d
Muy
Adecua
do
El control establecido tiene
un diseo fuerte, es
automtico y se comprueba
su efectividad
90% 0.1
Adecua
do
El control establecido tiene
un diseo fuerte, no es
automtico, se comprueba
su efectividad
70% 0.3
Modera
do
El control establecido tiene
un diseo fuerte, no es
automtico, no se
comprueba su efectividad
50% 0.5
Dbil El control establecido no
tiene un diseo fuerte, no es
automtico, pero se
comprueba su efectividad
30% 0.7
Muy
Dbil
El control establecido no
tiene un diseo fuerte, no es
automtico, no se
comprueba su efectividad
10% 0.9
Tabla1.Evaluacin del control del riesgo.


3
considerar la fortaleza del control que se
establece para mitigar el riesgo, el grado
de automatizacin y, si se tienen o no
registros de la eficiencia del control
establecido.
Valoracin de riesgos

En esta fase, se debe de considerar la
probabilidad de que la amenaza que se
identifica ocurra, e impacte el activo.

Para determinar la probabilidad de que
ocurra la amenaza se establecen las
siguientes frecuencias:

- Nada Frecuente
- Poco Frecuente
- Normal
- Frecuente
- Muy Frecuente
A los cuales se les asigna un valor
cualitativo entre 0.2 y 1. (vase, tabla 2).








Para determinar el impacto del activo en
cuanto a la probabilidad de ocurrencia,
se determina la siguiente degradacin:

- Insignificante
- Menor
- Moderado
- Mayor
- Catastrfico

A los cuales se les asigna un valor entre
0.2 y 1(Vase. Tabla 3).




Valor Degradacin Ocurrencia
0.2 insignificante El activo no sufre daos
que impidan su
operacin
0.4 menor El activo sufre daos y
puede continuar
operando
0.6 moderado El activo sufre daos y
su operacin es
restringida
0.8 mayor El activo sufre daos
que impiden su
operacin y puede
recuperar dentro del
tiempo tolerable para la
operacin
1 catastrfico El activo sufre daos
irreparables y la
operacin se altera
considerablemente




Al identificar la probabilidad de que
ocurra una amenaza (tabla 2) y la
Valor Frecuencia Ocurrencia
0.2 nada
frecuente
no ha sucedido
0.4 poco
frecuente
sucede cada 10
aos
0.6 normal sucede una vez
al ao
0.8 frecuente sucede
mensualmente
1 muy
frecuente
sucede
diariamente
Tabla 2. Probabilidad de que Ocurra una
Amenaza
FUENTE: (Caviedes, Prado, muoz,
(sin fecha)
FUENTE: Caviedes, Prado, muoz, (Sin
Fecha)
Tabla 3. Estimacin de Impacto


4
estimacin de impacto (tabla 3), se
procede a calcular el riesgo inherente y
el riesgo marginal.

Riesgo inherente

Son riesgos que surgen de diferentes
fuentes como errores, irregularidades o
fallas que pueden darse de forma
individual o grupal en la organizacin,
especialmente con informacin
financiera, administrativa u operativa.

Para el clculo del riesgo inherente se
utiliza la siguiente formula:

riesgo_inherente = frecuencia *
degradacin.

Dnde:

frecuencia: es el valor obtenido de la
probabilidad de que ocurra una
amenaza (tabla 2)
degradacin: es el valor obtenido de la
estimacin de impacto (tabla 3)

Riesgo marginal

Es el lmite o margen que pueden tener
los riesgos dentro de la organizacin.

Para el clculo del riesgo marginal se
utiliza la siguiente formula:

riesgo_marginal = riesgo_inherente *
marginalidad

Dnde:

- riesgo_inherente: es calculado en
la formula anterior
- marginalidad: es el valor obtenido
en la evaluacin de control del
riesgo (tabla 1)


Al obtener los resultados, se deber
establecer una respuesta a los riesgos
identificados para cada uno de los
activos de informacin de la
organizacin, a los cuales se les
realizara seguimiento en cuanto a
eficiencia y respuesta, teniendo en
cuenta la documentacin de los planes
de mitigacin (sean efectivos o no) para
futuras consultas.











Referencias
Identificar activos
de informacin de
la organizacin
Realizar la
valoracin de los
activos
Identificar riesgos
Identificar y
evaluar el control
del riesgo
Probabilidad de
ocurrir una
amenaza
Estimacin de
impacto de la
amenaza
Calcular el riesgo
inherente y el
riesgo marginal
Documentar el
proceso
FUENTE: (Guzmn, sin fecha)
Tabla 4. Metodologa para la valoracin
del riesgo


5

Dussan, Antonio (2006) Polticas de
seguridad informtica. Artculo web.
Consultado el 15 de diciembre de
2013, en:
http://www.unilibrecali.edu.co/entramado
/images/stories/pdf_articulos/volumen2/
Politicas_de_seguridad_informtica.pdf


Emaza. Los 10 tipos de activos en la
seguridad de la informacin Qu son y
cmo valorarlos? artculo web.
Consultado el 15 de diciembre de
2013, en:
http://www.seguridadinformacion.net/los-
10-tipos-de-activos-en-la-seguridad-de-
la-informacion-que-son-y-
comovalorarlos/
































































6
CONTROL DE DOCUMENTO

































Autores Nombre Cargo Dependencia Fecha
Expertos temticos Jenny Marisol
Henao Garcia
Experta temtica


Sena - Centro de
diseo e innovacin
tecnolgica industrial
regional Risaralda.

Diciembre 20 de
2013
Yuly Paulin Saenz
Agudelo
Experta temtica

Sena - Centro de
diseo e innovacin
tecnolgica industrial
regional Risaralda.

Diciembre 20 de
2013
Revisin John Jairo
Alvarado Gonzlez
Guionista Sena - Centro de
diseo e innovacin
tecnolgica industrial
regional Risaralda.

Diciembre 23 de
2013
Andrs Felipe
Valencia Pimienta
Lder lnea de
produccin
Sena - Centro de
diseo e innovacin
tecnolgica industrial
regional Risaralda.

Diciembre 23 de
2013


7
CRDITOS

Equipo Lnea de Produccin,
SENA Centro de diseo e
innovacin tecnolgica industria,
Dosquebradas

Lder lnea de produccin:
Andrs Felipe Valencia Pimienta

Apoyo lnea de produccin:
Carlos Andrs Mesa Montoya

Asesor pedaggico:
Edward Abilio Luna Daz

Elaboracin de contenidos
expertas temticas:
Yuly Pauln Senz Giraldo
Yenny Marisol Henao Garca

Guionistas:
John Jairo Alvarado Gonzlez
Gabriel Gmez Franco

Diseadores:
Lina Marcela Cardona
Mario Fernando Lpez Cardona

Desarrolladores Front End:
Julin Giraldo Rodrguez
Ricardo Bermdez Osorio
Cristian Fernando Dvila Lpez