Академический Документы
Профессиональный Документы
Культура Документы
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
Modelo
unificado para
identificacin y
valoracin de
los riesgos de
los activos de
informacin en
una
organizacin
RESUMEN
En el pas hay sectores, como el financiero y el
asegurador, donde existen reglamentaciones
que obligan a las empresas a establecer
esquemas para mantener la seguridad de la
informacin;
desafortunadamente
esta
situacin no es regla sino excepcin y se
observa que la mayora de las empresas no
tienen claridad sobre el tema y normalmente
confunden seguridad de la informacin con
seguridad
informtica,
como
ha
sido
evidenciado por la Asociacin Colombiana de
Ingenieros de Sistemas (ACIS) en varios de los
estudios realizados tanto a nivel nacional como
latinoamericano.
En los ltimos aos la sensacin de
inseguridad se ha incrementado y a hoy se han
hecho comunes los ataques de comunidades
de
hackers a empresas y estamentos
gubernamentales dentro y fuera del pas, que
muestran que a nivel global existen altos
grados de vulnerabilidad en la proteccin de la
informacin.
Pgina 2
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
1. INTRODUCCIN
Pgina 3
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
Pgina 4
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
Descripcin
Nmero de identificacin nico con que se identificar el activo dentro del
inventario.
de Nombre con que se reconoce el activo dentro de la organizacin.
Tipo activo
Grupo
Informacin
Descripcin
Toda fuente de informacin fsica o electrnica (Bases de datos y archivos de
datos, contratos y acuerdos, documentacin del sistema, informacin sobre
investigacin, manuales de usuario, material de formacin, procedimientos
operativos o de soporte, planes para la continuidad del negocio, acuerdos de
recuperacin, registros de auditora e informacin archivada.
Aplicaciones Todos los componentes de software de los sistemas de informacin, software
del sistema, herramientas de desarrollo y utilidades.
Infraestructura Todas las instalaciones y dispositivos fsicos requeridos para la ejecucin de
un proceso (instalaciones, equipos de computacin, equipos de
comunicaciones, medios removibles y otros equipos).
Personas
Personas naturales con sus calificaciones, habilidades y experiencia.
Servicios
Todo servicio propio o suministrado por terceros (agua, energa elctrica,
telecomunicaciones, aire acondicionado, sistemas de extincin de incendios,
monitoreo, mantenimiento de hardware, software o infraestructura).
Capital
Recursos econmicos directos requeridos para la realizacin de un proceso.
financiero
Pgina 5
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
C
I
D
R
PP
:
:
:
:
:
Confidencialidad
Integridad
Disponibilidad
Confiabilidad (reliability)
Peso Proceso
La informacin es de
carcter PUBLICO y no
se tiene ningn
impacto sobre el
resultado del proceso
en caso de ser
accedido por personas
no autorizadas
La informacin a pesar
de ser de carcter
PUBLICO ya ha sido
clasificada y nutrida
por la organizacin y
de ser accedida por
personas no
autorizadas podra
afectar el resultado o
poner en riesgo la
empresa
VALORACIN
3
La informacin es de
carcter RESTRINGIDO
pero de ser accedida
por personas no
autorizadas no
afectara en mayor
grado el resultado o
pondra en riesgo la
empresa
La informacin es de
carcter RESTRINGIDO
y de ser accedida por
personas no
autorizadas podra
afectar el resultado del
proceso o poner en
riesgo la empresa
La informacin es de
carcter SECRETO y en
caso de ser accedida
por personas no
autorizadas el impacto
final sobre el proceso o
resultado de la
empresa sera muy
grave
VALORACIN
ATRIBUTO
I
N
T
E
G
R
I
D
A
D
La informacin no es
crtica, y no tiene
repercusin en el
proceso. Si presentara
errores la prdida que
origina es muy
pequea y su
reconstruccin
consiste en la
repeticin de un
proceso sencillo.
La informacin no es
crtica pero es bsica
para algunas
decisiones menores
del proceso. La
ocurrencia de un
fraude o errores sobre
la misma podra
ocasionar prdidas.
La informacin es
crtica y sobre ella se
basan algunas
decisiones del proceso.
La ocurrencia de un
fraude o errores sobre
la misma ocasionar
prdidas.
La informacin es
crtica y es aquella en
la cual se basan
decisiones importantes
del proceso. La
ocurrencia de un
fraude o errores sobre
la misma ocasionar
prdidas importantes
o severas, por lo cual,
la informacin necesita
un nivel razonable de
proteccin contra
error y fraude.
La informacin es base
para la toma de
decisiones estratgicas
o es fundamental para
la proteccin de los
individuos de la
organizacin. La
ocurrencia de un
fraude o errores sobre
la misma ocasionar
prdidas graves o
catastrficas, por lo
cual, la informacin
deber estar libre de
error
VALORACIN
ATRIBUTO
D
I
S
P
O
N
I
B
I
L
I
D
A
D
ATRIBUTO
C
O
N
F
I
A
B
I
L
I
D
A
D
El tiempo para
recuperar la
informacin no es
crtico, puede esperar
una semana o ms sin
tener consecuencia
sobre el resultado del
proceso.
VALORACIN
3
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
Consideracin
El control o salvaguarda establecido tiene un diseo fuerte, es
automtico y se ha comprobado su efectividad
El control o salvaguarda establecido tiene un diseo fuerte, no es
automtico, pero se ha comprobado su efectividad
El control o salvaguarda establecido tiene un diseo fuerte, no es
automtico o no se ha comprobado su efectividad
El control o salvaguarda establecido no tiene un diseo fuerte, no
es automtico, pero se ha comprobado su efectividad
El control o salvaguarda establecido no tiene un diseo fuerte, no
es automtico y no se ha comprobado su efectividad
Eficiencia
Marginalidad
90%
0.1
70%
0.3
50%
0.5
30%
0.7
10%
0.9
Valoracin de riesgos:
En la tercera etapa de esta fase se hace la
valoracin de riesgos considerando dos
variables: la probabilidad de que la amenaza
identificada se haga realidad y el impacto o
Frecuencia
Ocurrencia
0.2
Nada frecuente
No ha sucedido
0.4
Poco frecuente
0.6
Normal
0.8
Frecuente
Ha sucedido mensualmente
Muy frecuente
Sucede diariamente
Degradacin
0.2
Insignificante
Ocurrencia
0.4
Menor
0.6
Moderado
0.8
Mayor
Catastrfico
Pgina 7
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
RiesgoInherente=Frecuencia*Degradacin
RiesgoMarginal=RiesgoInherente*Marginalidad
Pgina 8
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
Pgina 9
Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin
Pgina 10