Valoración de Riesgos de Información PDF

METODOLOGA PARA VALORACIN DE RIESGOS
DE ACTIVOS DE INFORMACIN
CDIGO
2213200-OT-037
VERSIN
01
PGINA:
1 de 31
SECRETARA GENERAL
ALCALDA MAYOR DE BOGOT.
ELABORO
NOMBRE
Edelmira Rodrguez G
REVISO
Fabio Fernando
Snchez Snchez
APROB
Mnica del Pilar Rubio

Arenas
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
CARGO
Prof-especializado
Subdirector de
Informtica y
Sistemas
FECHA
08-08-2012
10-08-2012
Directora Corporativa 16-10-2012
2211700-OT-037 Versin 01
FIRMA

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
2 de 31
TABLA DE CONTENIDO
GLOSARIO .................................................................................................................... 4
1
INTRODUCCIN ................................................................................................ 6
2
PREMISA ............................................................................................................ 6
3
GENERALIDADES .............................................................................................. 7
3.1.1 Definir el personal involucrado en los talleres de anlisis de riesgo..................... 8
4
DESCRIPCIN ................................................................................................... 9
4.1
DETERMINAR EL CONTEXTO ESTRATGICO ................................................. 9
4.1.1 Compromiso de la Alta y Media Direccin ........................................................... 9
4.2
IDENTIFICACIN DEL RIESGO .......................................................................... 9
4.2.1 Identificacin de los activos a analizar ................................................................. 9
4.2.2 Identificacin del Tipo de Riesgo ....................................................................... 10
4.3
ANALIZAR LOS RIESGOS ................................................................................ 11
4.3.1 Vulnerabilidades ................................................................................................ 11
4.3.2 Amenazas ......................................................................................................... 12
4.3.3 Descripcin del Riesgo y sus Consecuencias.................................................... 13
4.3.4 Variables para el Anlisis .................................................................................. 14
4.4
VALORACIN DEL RIESGO ............................................................................. 19
4.4.1 Identificacin de los Controles Existentes en la Secretara para la Proteccin del Activo
19
4.4.2 Naturaleza de control ........................................................................................ 23
4.4.3 Caractersticas del Control ................................................................................ 23
4.4.4 Factores ............................................................................................................ 23
4.4.5 Variables para la valoracin .............................................................................. 24
4.4.6 Probabilidad. ..................................................................................................... 24
4.4.7 Impacto ............................................................................................................. 24
4.4.8 Nivel de Riesgo Residual................................................................................... 27
4.5
TRATAMIENTO DE LOS RIESGOS .................................................................. 28
4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28
4.5.2 Acciones de Mitigacin ...................................................................................... 28
4.6
REVISIN Y MONITORIZACIN....................................................................... 30
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
3 de 31
LISTADO DE TABLAS
Tabla 1. Ejemplo Valoracin Activos ................................................................................ 9

Tabla 2. Identificacin del riesgo .................................................................................... 11
Tabla 3. Identificacin de vulnerabilidades ..................................................................... 12
Tabla 4. Identificacin de amenazas .............................................................................. 13
Tabla 5. Descripcin del riesgo y consecuencias ........................................................... 14
Tabla 6. Escala de probabilidad ..................................................................................... 15
Tabla 7. Escala de impacto ............................................................................................ 16
Tabla 8. Anlisis del Riesgo. .......................................................................................... 17
Tabla 9. Catlogo de controles....................................................................................... 23
Tabla 10. Factores calificacin de controles................................................................... 24
Tabla 11. Escala de probabilidad ................................................................................... 24
Tabla 12. Escala de impacto .......................................................................................... 25
Tabla 13. Valoracin del Riesgo..................................................................................... 26
LISTADO DE FIGURAS
Figura 2. Matriz de Riesgo. ............................................................................................ 27
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
4 de 31
GLOSARIO
Causa: Son los medios, circunstancias y agentes que generan los riesgos. 1
Amenazas: Es un ente o escenario interno o externo que puede hacer uso de una
vulnerabilidad para generar un perjuicio o impacto negativo en la organizacin.
(Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades
pueden ser explotadas u ocasionadas.
Vulnerabilidad: Es una falencia o debilidad que puede estar presente en la tecnologa,
las personas o en las polticas y procedimientos de la entidad.
Riesgo en la seguridad de la informacin: Es un escenario bajo el cual una amenaza
determinada puede explotar las vulnerabilidades de los activos o grupos de activos
generando un impacto negativo a la Secretara General y evitando que sta pueda
cumplir con sus objetivos.
Probabilidad: Es la posibilidad que la amenaza aproveche la vulnerabilidad para
materializar el riesgo.
Impacto: Son las consecuencias que genera un riesgo una vez se materialice.
Controles: Acciones o mecanismos definidos para prevenir o reducir el impacto de los
eventos que ponen en riesgo, la adecuada ejecucin de las actividades y tareas
requeridas para el logro de objetivos de los procesos de una entidad.
Controles Preventivos: aquellos que actan para eliminar las causas del riesgo para
prevenir su ocurrencia o materializacin2.
1
Tomado de Procedimiento para la administracin del riesgo Cod. 2210111-PR-214 Secretaria General de la
Alcalda Mayor.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
5 de 31
Controles Correctivos: aquellos que permiten el restablecimiento de la actividad

despus de ser detectado un evento no deseable; tambin permiten la modificacin de
las acciones que propiciaron su ocurrencia3.
2
3
IDEM
IDEM
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
6 de 31
1 INTRODUCCIN
El anlisis de riesgos de los activos de informacin permite identificar, analizar, evaluar
y definir el manejo de los riesgos, para as apoyar el cumplimiento de los objetivos de la
entidad, y disminuir a un nivel aceptable el impacto de la materializacin de dichos
riesgos; la gestin de riesgos permite que los responsables de los procesos conozcan
los riesgos de sus activos de informacin y acompaen de manera ms efectiva la
implementacin de los controles y acciones de mejora.
2 PREMISA
Antes de iniciar el anlisis de riesgos se requiere que cada proceso de la Secretara
General diligencie el inventario de activos de informacin con su respectiva valoracin
de acuerdo a lo establecido en la Gua para el Inventario y la Clasificacin de Activos de
Informacin de la Secretara General de la Alcalda Mayor de Bogot D.C. (2213200GS-004). Los activos de informacin a los cuales se les realizar el proceso de
identificacin de riesgos sern a los que tengan un valor de Muy Alto en el valor total
de los activos de informacin de acuerdo con lo registrado por cada proceso en el
inventario de activos de informacin.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
7 de 31
3 GENERALIDADES
El enfoque de riesgos definido se basa en la identificacin de las amenazas y
vulnerabilidades presentes en los activos a analizar; el clculo de la probabilidad y el
impacto de materializacin de los riesgos y cmo pueden afectar las actividades
impidiendo el logro de los objetivos.
Actividades desarrolladas para la gestin del riesgo:
Definir el enfoque organizacional para la valoracin del riesgo:

o Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles
de riesgo aceptables teniendo en cuenta la metodologa aplicada en la
Secretara General.
Planificacin:
o Dentro de las actividades de planificacin estn:
-
Definir el personal que ser encargado de apoyar la actividad de

identificacin de riesgo.
Seleccionar de inventario los activos objeto de anlisis.
Identificar el riesgo:
o Describir el riesgo
Identificar las causas:

o Esta actividad corresponde a la identificacin de los pares vulnerabilidad
Amenaza.4
Analizar los riesgos:
Para cada vulnerabilidad identificada se debe establecer cul es la amenaza que puede aprovechase de la misma, es
por esta razn que se habla de identificacin de par amenaza vulnerabilidad, es importante tener en cuenta que un
riesgo puede tener ms de un par amenaza vulnerabilidad relacionado.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
8 de 31
o Estimar los niveles de los riesgos.
Identificacin de la probabilidad
Identificacin del impacto
Valorar el riesgo
-
Identificacin de los controles existentes

-
Identificacin de la probabilidad
Identificacin del impacto
Evaluar e Identificar las opciones para el tratamiento de los riesgos.
Seleccionar los controles para el tratamiento de los riesgos
3.1.1 Definir el personal involucrado en los talleres de anlisis de riesgo

El personal encargado de realizar del anlisis de riesgos sobre los activos de
informacin en lo posible debe ser el mismo que realiz la identificacin y valoracin de
los activos de informacin de cada uno de los procesos. Se debe tener en cuenta que el
personal que lo realice debe tener pleno conocimiento del proceso al cual pertenecen
los activos y de la interaccin de stos en el proceso en cualquier caso podr solicitar
apoyo de otros funcionarios del proceso.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
9 de 31
4 DESCRIPCIN
4.1 DETERMINAR EL CONTEXTO ESTRATGICO
4.1.1 Compromiso de la Alta y Media Direccin
Para el xito en la implementacin de una adecuada administracin del riesgo, es
indispensable el compromiso de la Alta Direccin como encargada, en primera
instancia, de estimular la cultura de la identificacin y prevencin de riesgos y en
segunda instancia de definir las polticas de administracin de riesgos. Para lograrlo es
importante la definicin de canales directos de comunicacin y el apoyo a todas las
acciones emprendidas en este sentido, propiciando los espacios y asignando los
recursos necesarios. As mismo, debe designar a un directivo que asesore y apoye todo
el proceso de diseo e implementacin del Componente de Administracin del Riesgo.
4.2 IDENTIFICACIN DEL RIESGO

Para realizar la actividad de anlisis de riesgos se debe tener en cuenta la forma
establecida para la organizacin de la informacin descrita en este procedimiento.
4.2.1 Identificacin de los activos a analizar

De la matriz de inventario de activos por procesos se deben identificar los activos de
informacin en los cuales el valor total del activo es Muy Alto (MA) debido a que estos
sern los que se tendrn en cuenta para realizar el anlisis de riesgo.
VALOR
Nombre
Activo
Confidencialidad
(MB / B / M /A / MA)
Integridad
(MB / B / M /A / MA)
Disponibilidad
(MB / B / M /A / MA)
Valor
(MB / B / M /A / MA)
MA
MA
Correo
Electrnico
Tabla 1. Ejemplo Valoracin Activos
Estos activos deben ser diligenciados con el nombre y descripcin del activo
respectivamente.
Tipo
Nombre del Activo
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
Descripcin del Activo
2211700-OT-037 Versin 01

7
Correo Electrnico
CDIGO
2213200-OT-037
VERSIN
01
PGINA:
10 de 31
Servicio empleado para el envo de comunicaciones

internas y externas.
4.2.2 Identificacin del Tipo de Riesgo

Las tipologas de riesgo que se deben tener en cuenta para esta actividad son los
siguientes:
Acceso no autorizado o perdida de confidencialidad del activo de informacin.
Prdida de la integridad del activo informacin.
Prdida de la disponibilidad del activo de informacin.
Los tipos de riesgo que se analizarn a cada activo sern aquellos en los cuales el valor
en de la propiedad este en los niveles MA, A o M, para esto se debe consultar el
inventario de activos de informacin del
proceso. Es decir que si un activo de
informacin fue valorado como muestra el siguiente cuadro:

VALOR
Nombre
Activo
Confidencialidad
(MB / B / M /A / MA)
Integridad
(MB / B / M /A / MA)
Disponibilidad
(MB / B / M /A / MA)
Valor
(MB / B / M /A / MA)
MA
MA
Correo
Electrnico
Los tipos de riesgo que sern analizados en el activo sern:
En este caso el acceso no autorizado o prdida de confidencialidad del activo de

informacin no se analizar debido a que su valor es Bajo (B).
Ejemplo
Tipo
7
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
Nombre
del Activo
Tipo del Riesgo
Correo
Electrnico
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
11 de 31

Tabla 2. Identificacin del riesgo
4.3 ANALIZAR LOS RIESGOS

Para analizar los riesgos se debe identificar las causas del riesgo las cuales son los
medios, circunstancias y agentes que generan los riesgos 5 y estas se dividen en dos
elementos que son:
4.3.1 Vulnerabilidades
Las vulnerabilidades son falencias o debilidades que pueden estar presentes en la
tecnologa, las personas o en las polticas y procedimientos de la entidad.
Para la identificacin de las vulnerabilidades se debe tener en cuenta:

o El activo de informacin que se est analizando y el tipo de riesgo
identificado, de acuerdo a esto, se comienza a describir que debilidades
tiene este activo que puedan llevar a que el tipo de riesgo se materialice.
o Las pruebas de Intrusin realizadas, dado que muchos de los activos de
informacin son almacenados, distribuidos, resguardados y protegidos por
la infraestructura de informacin y tecnologa.
o Informes de Auditoras sobre el SGSI.
Ejemplo
TIPO
Nombre
del Activo
CAUSAS
Tipo de Riesgo
Vulnerabilidades
Tomado de Procedimiento para la administracin del riesgo Cod. 2210111-PR-214 Secretaria General de la
Alcalda Mayor.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

TIPO
Nombre
del Activo
CDIGO
2213200-OT-037
VERSIN
01
PGINA:
12 de 31
CAUSAS
Tipo de Riesgo
Vulnerabilidades
Mantenimientos no adecuados de la
infraestructura
Inadecuada
gestin
de
Prdida de la disponibilidad
vulnerabilidades tcnicas.
Correo
del activo de informacin.
Electrnico
Falta de documentacin de los
servicios o aplicaciones.
Deficiencia en los canales de
comunicacin.
Tabla 3. Identificacin de vulnerabilidades
4.3.2 Amenazas
Son entes o escenarios internos o externos que puede hacer uso de una vulnerabilidad
para generar un perjuicio o impacto negativo en la organizacin (Materializar el riesgo),
o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u
ocasionadas.
Los tipos de amenazas son:

o Recurso
Humano:
Conjunto
de
personas
vinculadas
directa
indirectamente con el Activo de Informacin (personal externo e interno)

o Procesos: Actividades para la transformacin de elementos de entrada,
en productos o servicios para satisfacer una necesidad
o Tecnologa: Es el conjunto de herramientas empleadas para soportar el
activo de informacin. Incluye: hardware, software y telecomunicaciones.
o Infraestructura: Es el conjunto de elementos de apoyo para el
funcionamiento de uno de los Activos de Informacin.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
13 de 31
o Externos: Son eventos asociados a la fuerza de la naturaleza u

ocasionados por terceros, que se escapan en cuanto a su causa y origen
al control de la Entidad.
Para identificar las amenazas se debe tener en cuenta el activo de informacin, el tipo
de riesgo y las vulnerabilidades inherentes al activo. Adicional a lo anterior se debe
considerar que una misma vulnerabilidad puede ser aprovechada por diferentes
amenazas, por ejemplo la vulnerabilidad inadecuado control de acceso puede ser
aprovechada por el Recurso Humano u ocasionada por procesos.
TIPO
Ejemplo
Nombre
del Activo
CAUSAS
Tipo de Riesgo
Vulnerabilidades
Amenazas
Mantenimientos no adecuados de
Procesos
la infraestructura
Inadecuada
gestin
de
Procesos
vulnerabilidades tcnicas.
Prdida de la disponibilidad Inadecuada
gestin
de Recurso
Correo
del activo de informacin. vulnerabilidades tcnicas.
Humano
Electrnico
Falta de documentacin de los
Procesos
servicios o aplicaciones.
Deficiencia en los canales de Tecnologa
comunicacin.
Tabla 4. Identificacin de amenazas
4.3.3 Descripcin del Riesgo y sus Consecuencias

Descripcin del riesgo
En este punto se debe definir la relacin y la razn por la cual se puede presentar o
materializar el riesgo teniendo en cuenta la amenaza y la vulnerabilidad identificadas.
Es decir, se debe explicar de qu manera la amenaza se puede aprovechar de la
vulnerabilidad para que el tipo de riesgo se materialice.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
14 de 31
Consecuencias
Definir el resultado de la materializacin del riesgo. Es decir que pasara si se llega a
materializar el riesgo.
Ejemplo
TIPO
Nombre
del
Activo
Tipo de
Riesgo
CAUSAS
DESCRIPCIN DEL RIESGO
Vulnerabilidades
Amenazas
Mantenimientos no
adecuados de la Procesos
infraestructura
CONSECUENCIAS
Prdida de la
disponibilidad
de
del activo de Falta
documentacin de
informacin.
Procesos
Correo
los
servicios
o
Electrnic
aplicaciones
o
Deficiencia en los
canales
de Tecnologa
comunicacin
Debido a una falla en el proceso

en cuanto a la planeacin de los
mantenimientos
se
puede
suscitar
la
perdida
de
disponibilidad del servicio de
Correo Electrnico
Retrasos
en
realizacin de
actividades
proceso
la
las
del
Debido a la falta de organizacin

en el proceso en cuanto a la
documentacin de la operacin
de la infraestructura de T.I se
puede presentar no disponibilidad
del
Servicio
de
Correo
Electrnico
Retrasos
en
realizacin de
actividades
proceso
la
las
del
Debido a problemas suscitados

por la tecnologa se pueden
presentar deficiencias en los
canales de comunicacin los
cuales llevan a perdida de
disponibilidad del servicio de
Correo Electrnico.
Retrasos
en
realizacin de
actividades
proceso
la
las
del
Tabla 5. Descripcin del riesgo y consecuencias
4.3.4 Variables para el Anlisis

Las variables descritas a continuacin se definen para cada para amenaza
vulnerabilidad sin tener en cuenta los controles existentes.
Probabilidad
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
15 de 31
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.

Para esto se utiliza la siguiente escala:
ESCALA DE PROBABILIDAD
Evento que puede ocurrir slo en circunstancias excepcionales ,
entre 0 y una vez cada seis meses
Raro
Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2
Posible
Probable
casi
certeza
y 5 veces en un semestre.
Evento que puede ocurrir en algunas de las circunstancias entre
seis y 10 veces en un semestre.
Evento que puede ocurrir en casi siempre entre 11 y 15 veces en
un semestre.
Evento que puede ocurrir en la mayora de las circunstancias
ms de 15 veces en un semestre.
Tabla 6. Escala de probabilidad
Impacto
Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza
la siguiente escala, identificando cual sera el impacto de acuerdo a cada tipo (Usuario,
Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el
que haya dado ms alto.
ESCALA DE IMPACTO
Nivel
Usuario
Procesos
Financiero
Aprendizaje
No tiene impacto Impacta negativamente

Impacta
Impacta de forma
Financiero para la la posibilidad de adquirir
Insignificante negativamente la leve la operacin
secretaria
o
sus conocimiento por parte
imagen del un rol. de un rol
procesos
de un rol.
Menor
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
Impacta
Impacta
negativamente la importante
imagen
del operacin
proceso.
proceso
Se pueden presentar Impacta negativamente

la sobrecostos
la posibilidad de adquirir
del (reprocesos) a nivel conocimiento a nivel de
de proceso
un proceso
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
16 de 31
ESCALA DE IMPACTO
Nivel
Usuario
Procesos
Financiero
Aprendizaje
Moderado
Impacta
Impacta
negativamente la negativamente no sobrecostos
la
oportunidad
de
imagen no slo slo la operacin (reprocesos) no slo adquirir conocimiento no
del
proceso del
proceso en
el
proceso slo
del
proceso
evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros
otros procesos
otros procesos
procesos.
procesos.
Mayor
Impacta
Impacta negativamente
Se pueden presentar
Impacta
negativamente la
la
oportunidad
de
sobrecostos
negativamente la operacin de la
adquirir conocimiento a
(reprocesos)
imagen de la Secretaria sus
nivel de todos los
significativos para la
Secretaria
objetivos
procesos
de
la
Secretaria general
misionales
secretaria.
Impacta
Se pueden presentar
Impacta
negativamente la sobrecostos
negativamente la
la
oportunidad
de
no solo operacin (reprocesos)
Catastrfico
imagen
del
adquirir conocimiento al
de la Secretaria si significativos para el
distrito
distrito
no otras entidades distrito
del distrito
Tabla 7. Escala de impacto
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
17 de 31
Ejemplo
Anlisis del Riesgo
Tipo
Nombre del
Descripcin del
Activo
Activo
Causas
Descripcin del
Tipo de Riesgo
Vulnerabilidades
Probabilidad
falla
una
en
el
proceso
cuanto
la
planeacin
empleado para el Prdida de la
los
Retrasos
mantenimientos
realizacin de las
envi
Electrnico
comunicaciones
internas
de disponibilidad
del activo de
y informacin.
Mantenimientos no
infraestructura
externas.
se
de
puede actividades
suscitar
perdida
la proceso
de
disponibilidad
del servicio de
Correo
Electrnico
Tabla 8. Anlisis del Riesgo.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
Zona de Riesgo
en
a
Servicio
Correo
Impacto
Amenazas
Debido
Consecuencia
Riesgo
2211700-OT-037 Versin 01
en
la
del
Zona
Probable
Mayor
riesgo
Extrema
de

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
18 de 31
Ejemplo
Anlisis del Riesgo
Tipo
Nombre del
Descripcin del
Activo
Activo
Causas
Descripcin del
Tipo de Riesgo
Vulnerabilidades
Probabilidad
falla
una
en
el
proceso
cuanto
la
planeacin
empleado para el Prdida de la
los
Retrasos
mantenimientos
realizacin de las
envi
Electrnico
comunicaciones
internas
de disponibilidad
del activo de
y informacin.
Mantenimientos no
infraestructura
externas.
se
de
puede actividades
suscitar
perdida
la proceso
de
disponibilidad
del servicio de
Correo
Electrnico
Tabla 8. Anlisis del Riesgo.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01
Zona de Riesgo
en
a
Servicio
Correo
Impacto
Amenazas
Debido
Consecuencia
Riesgo
en
la
del
Zona
Probable
Mayor
riesgo
Extrema
de

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
19 de 31
4.4 VALORACIN DEL RIESGO

4.4.1 Identificacin de los Controles Existentes en la Secretara para la
Proteccin del Activo
Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad
y el riesgo que se est evaluando. Para la seleccin de controles se puede tener en
cuenta el siguiente catlogo:
DOMINIO
POLITICA
SEGURIDAD
OBJETIVO DE CONTROL
DE Poltica de Seguridad de la
Informacin
Nro.
1
2
ORGANIZACION
DE SEGURIDAD
Partes Externas
GESTIN
ACTIVOS
DE Responsabilidad
activos
por
los
4
5
Asignacin de responsabilidades para la

seguridad de la informacin
Proceso de autorizacin para los servicios

de procesamiento de informacin
Acuerdos de confidencialidad
Contacto con las autoridades
Contactos con grupos de inters especial
10
Revisin independiente de la seguridad

de la informacin
11
Identificacin de los riesgos relacionados

con las partes externas
12
Consideraciones de la seguridad cuando

se trata con los clientes.
13
Consideraciones de la seguridad en los

acuerdos con terceras partes
14
Inventario de Activos de Informacin
15
Propiedad de los Activos de Informacin

Uso aceptable de los Activos de
Informacin
16
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
Documento de la poltica de seguridad de

la informacin
Revisin de la poltica de seguridad de la
informacin
Compromiso de la direccin con la
Coordinacin de la seguridad de la
informacin
Organizacin de la Seguridad
de la Informacin
CONTROLES
2211700-OT-037 Versin 01

DOMINIO
OBJETIVO DE CONTROL
2213200-OT-037
VERSIN
01
PGINA:
20 de 31
Nro.
CONTROLES
45
Gestin de la Prestacin del servicio por

parte de terceros
46
Monitoreo y revisin de los servicios por

terceras partes
47
Gestin de los cambios en los servicios

por terceras partes
Planificacin y aceptacin del

sistema
48
Gestin de la capacidad
49
Gestin de la aceptacin del sistema
Proteccin contra cdigos

mviles y maliciosos
50
Controles contra cdigos maliciosos
51
Control contra cdigos mviles
52
Respaldo de la informacin
53
Controles de las redes
54
Seguridad de los servicios de red
55
Gestin de los medios removibles

Eliminacin
de
los
medios
de
almacenamiento
Procedimientos para el manejo de la
informacin
Seguridad de la documentacin del
sistema
Gestin de la prestacin del

servicio por terceras partes
Respaldo
Gestin de la Seguridad de las
Redes
56
Manejo de los Medios
57
58
59
60
Intercambio de Informacin
Servicios
Electrnico
Monitoreo
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
CDIGO
de
61
Polticas y procedimientos para el

intercambio de informacin
Acuerdos para el intercambio de
informacin
62
Gestin de los Medios fsicos en trnsito

Gestin del uso de la mensajera
electrnica
63
Controles de para la interconexin de

sistemas de informacin del negocio
64
Proteccin de la informacin generada de

las actividades de Comercio electrnico
65
Proteccin de la informacin generada por

las transacciones en lnea
66
Proteccin de la integridad
Informacin disponible al pblico
67
Registro de auditoras
68
Monitoreo del uso del sistema
69
Proteccin de la informacin del registro
70
Registros del administrador y del operador
71
Registro de fallas
Comercio
2211700-OT-037 Versin 01
de
la

DOMINIO
OBJETIVO DE CONTROL
Nro.
Requisitos del negocio para el

control de acceso
Gestin
Usuarios
de
Acceso
Responsabilidades
usuarios
de
de
los
DE
Control de Acceso a
Aplicaciones
y
a
Informacin
las
la
Computacin Mvil y Trabajo

Remoto
Requisitos de seguridad de
los sistemas de informacin
VERSIN
01
PGINA:
21 de 31
CONTROLES
Sincronizacin de relojes
73
Poltica de control del acceso
74
Registro de usuarios
75
Gestin de privilegios
76
77
Gestin de contraseas para usuarios

Revisin de los derechos de acceso de
los usuarios
78
Uso de contraseas
79
Norma Equipo de usuario desatendido
80
Norma de escritorio despejado y de

Pantalla despejada
82
Norma del uso de los servicios en red

Autenticacin
de
usuarios
para
conexiones externas
83
Identificacin de los equipos en las redes
84
Proteccin
de
los
puertos
configuracin y diagnstico remoto
85
Separacin en las redes
86
Control de las conexiones en red
87
Control del enrutamiento en la red
88
Procedimientos de ingreso seguros
89
Identificacin y autenticacin del usuario
90
Sistema de gestin de contraseas
91
Uso de las utilidades del sistema
92
Tiempo de inactividad de la sesin
93
Limitacin del tiempo de conexin
94
Restriccin del acceso a la informacin
95
96
Aislamiento de sistemas sensibles

Gestin
de
la
Computacin
comunicaciones mviles
97
Gestin del Trabajo remoto
Control de Acceso a redes
Control de Acceso al sistema

Operativo
2213200-OT-037
72
81
CONTROL
ACCESO
CDIGO
98
ADQUISICIN,
DESARROLLO
y
99
MANTENIMIENTO
DE SISTEMAS DE Procesamiento correcto de las 100
aplicaciones
INFORMACIN
101
Anlisis y especificacin de los requisitos

de seguridad.
Validacin de los datos de entrada
Control del procesamiento interno
Verificacin de la Integridad del mensaje
102 Validacin de los datos de salida
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
de
2211700-OT-037 Versin 01

DOMINIO
OBJETIVO DE CONTROL
Controles Criptogrficos
CDIGO
2213200-OT-037
VERSIN
01
PGINA:
22 de 31
Nro.
CONTROLES
Poltica sobre el uso de
103 criptogrficos
controles
104 Gestin de llaves

105 Control del software operativo
Proteccin de los datos de prueba del
Seguridad de los archivos del
106
sistema
sistema
Control del acceso al cdigo fuente de
107 programas
Seguridad en los procesos de

desarrollo y soporte
108 Procedimientos de control de cambios

Revisin tcnica de las aplicaciones
despus de los cambios en el sistema
109 operativo
Restricciones en los cambios a los
110 paquetes de software
Normativa relacionada con la Fuga de
111 Informacin
Desarrollo
de
software
contratado
112 externamente
Gestin de la Vulnerabilidad
Tcnica
113 Control de las vulnerabilidades tcnicas
GESTION
INCIDENTES
MONITOREO
DE
-
Reporte sobre los eventos de seguridad

Reporte sobre los eventos y
114
de la informacin
las debilidades de seguridad
Reporte sobre las debilidades en la
de la informacin
115 seguridad
Responsabilidades y procedimientos para
116 la gestin de incidentes
Gestin de los incidentes y las

Aprendizaje debido a los incidentes de
mejoras en la seguridad de la
117
informacin
Procedimiento para recoleccin de
118 evidencias
Inclusin de la seguridad de la
informacin en el proceso de gestin de la
119 continuidad del negocio
Continuidad del negocio y evaluacin de
120 riesgos
GESTIN DE LA Aspectos de seguridad de la
Desarrollo e implementacin de planes de
CONTINUIDAD DEL informacin en la Gestin de
continuidad que incluyan la seguridad de
NEGOCIO
la Continuidad de Negocios
121 la informacin
Estructura para la planificacin de la
122 continuidad del negocio
Pruebas, mantenimiento y reevaluacin
123 de los planes de continuidad del negocio
CUMPLIMIENTO
Cumplimiento
de
requisitos legales
los
124 Identificacin de la legislacin aplicable

125 Derechos de propiedad intelectual (DPI)
126 Proteccin
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01
de
los
registros
de
la

DOMINIO
OBJETIVO DE CONTROL
Nro.
CDIGO
2213200-OT-037
VERSIN
01
PGINA:
23 de 31
CONTROLES
organizacin
Proteccin de los datos y privacidad de la

127 informacin personal
Prevencin del uso inadecuado de los
servicios
de
procesamiento
de
128 informacin
Reglamentacin
de
los
controles
129 criptogrficos
Cumplimiento con las polticas y las
Cumplimiento de las Polticas
y las normas de seguridad y 130 normas de seguridad
cumplimiento tcnico
131 Verificacin del cumplimiento tcnico
Controles de auditora de los sistemas de
Consideraciones
de
la 132 informacin
Auditora de los sistemas de
Proteccin de las herramientas de
Informacin
133 auditora de los sistemas de informacin
Tabla 9. Catlogo de controles.
4.4.2 Naturaleza de control

Los controles pueden ser preventivos o correctivos
Control Preventivos
Los controles preventivos son aquellos que estn enfocados en la mitigacin de las
causas (amenaza - vulnerabilidad) para evitar su materializacin.
Controles Correctivos
Los controles correctivos estn enfocados en la recuperacin de los activos luego de la

materializacin del riesgo.
4.4.3 Caractersticas del Control

Para todos los controles identificados se debe especificar si el control se encuentra
documentado, si el control se est aplicando y si el control es efectivo es minimizar el
riesgo.
4.4.4 Factores
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
24 de 31
Valoracin del control

El control se encuentra
documentado
SI
NO
Se aplica el control
SI
NO
Es efectivo para minimizar el riesgo

SI
NO
Tabla 10. Factores calificacin de controles.
4.4.5 Variables para la valoracin

Para establecer la valoracin del riesgo se debe tener en cuenta la probabilidad y el
impacto de cada par amenaza vulnerabilidad y los controles existentes para la
mitigacin del riesgo.
4.4.6 Probabilidad.
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.
Para esto se utiliza la siguiente escala:
ESCALA DE PROBABILIDAD
1
Raro
Improbable
Posible
Probable
casi certeza
Evento que puede ocurrir slo en circunstancias excepcionales , entre

0 y una vez cada seis meses
Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5
veces en un semestre.
Evento que puede ocurrir en algunas de las circunstancias entre seis y
10 veces en un semestre.
Evento que puede ocurrir en casi siempre entre 11 y 15 veces en un
semestre.
Evento que puede ocurrir en la mayora de las circunstancias ms de
15 veces en un semestre.
Tabla 11. Escala de probabilidad
4.4.7 Impacto
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
25 de 31
Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza
la siguiente escala, identificando cual sera el impacto de acuerdo a cada tipo (Usuario,
Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el
que haya dado ms alto.
ESCALA DE IMPACTO
Nivel
Usuario
Procesos
Financiero
Aprendizaje
No tiene impacto Impacta negativamente

Impacta
Impacta de forma
Financiero para la la posibilidad de adquirir
Insignificante negativamente la leve la operacin
secretaria
o
sus conocimiento por parte
imagen del un rol. de un rol
procesos
de un rol.
Menor
Impacta
Impacta
negativamente la importante
imagen
del operacin
proceso.
proceso

la sobrecostos
la posibilidad de adquirir
del (reprocesos) a nivel conocimiento a nivel de
de proceso
un proceso
Moderado
Impacta
Impacta
negativamente la negativamente no sobrecostos
la
oportunidad
de
imagen no slo slo la operacin (reprocesos) no slo adquirir conocimiento no
del
proceso del
proceso en
el
proceso slo
del
proceso
evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros
otros procesos
otros procesos
procesos.
procesos.
Mayor
Impacta
Se pueden presentar
Impacta
negativamente la
la
oportunidad
de
sobrecostos
negativamente la operacin de la
adquirir conocimiento a
(reprocesos)
imagen de la Secretaria sus
nivel de todos los
significativos para la
Secretaria
objetivos
procesos
de
la
Secretaria general
misionales
secretaria.
Impacta
Se pueden presentar
Impacta
negativamente la sobrecostos
negativamente la
la
oportunidad
de
no solo operacin (reprocesos)
Catastrfico
imagen
del
adquirir conocimiento al
de la Secretaria si significativos para el
distrito
distrito
no otras entidades distrito
del distrito
Tabla 12. Escala de impacto
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2213200-OT-037
VERSIN
01
PGINA:
26 de 31
Ejemplo
Anlisis del
Riesgo
Tip
o
Nombr
e del
Activo
Descripci
n del
Activo
Causas
Vulnerabilid
ades
Correo
Electr
nico
Servicio
empleado
para
el
envi
de
comunicaci
ones
internas y
externas.
Descripci
n del
Riesgo
Tipo de
Riesgo
Prdida
de
la
disponibili
dad del
activo de
informaci
n.
Mantenimien
tos
no
adecuados
de
la
infraestructu
ra
Consecue
ncia
Probabili
dad
Impa
cto
Zona de
Riesgo
Controles
Asociado
s
Natural
eza del
Control
Amena
zas
Proces
os
Debido a
una
falla
en
el
proceso en
cuanto a la
planeacin
de
los
mantenimi
entos
se
puede
suscitar la
perdida de
disponibilid
ad
del
servicio de
Correo
Electrnico
Retrasos
en
la
realizacin
de
las
actividade
s
del
proceso
Probable
Mayo
r
Zona de riesgo
Extrema
Procedimie
ntos
de
contrato
con
proveedor
es
de
Tecnologa
de
Informaci
n
Contratos
de
mantenimi
ento
preventivo
de
la
infraestruct
ura
de
tecnolgic
a
Contratos
de
mantenimi
ento
correctivo
de
la
infraestruct
ura
de
tecnolgic
a
El control
se
encuentra
document
ado
Se
aplica
el
contro
l
Es
efectivo
para
minimiz
ar el
riesgo
SI
S
I
S
I
2211700-OT-037 Versin 01
NO
N
O
Preventi
vo
Preventi
vo
Correcti
vo
Tabla 13. Valoracin del Riesgo
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
Valoracin del
Riesgo
Valoracin del control
Descripcin del impacto

Probabili
dad
Impact
o
Usua
rio
NO
Posible
Moder
ado
Proce
so
Financi
ero
Descrip
cin del
impacto
Zona de
Riesgo
Proceso
s
Zona
de
riesgo Alta
Aprendi
zaje

CDIGO
2211700-OT-037
VERSIN
01
PGINA:
27 de 31
4.4.8 Nivel de Riesgo Residual

Corresponde al nivel de riesgo de la Secretaria con los controles existentes, el nivel de
riesgo residual da la pauta para la definicin de nuevos controles o mejoras de los
existentes teniendo en cuenta que el nivel aceptable de riesgo es el nivel bajo para los
dems niveles se deber definir planes para su tratamiento.
IMPACTO
PROBABILIDAD
1
2
3
4
Insignificante
Menor
Moderado
Mayor
Catastrfico
Raro
Improbable
Posible
Probable
Casi Certeza
A
A
E
E
B: Zona de Riesgo Baja, Asumir el Riesgo, Accin Preventiva, Monitorizacin del Riesgo
M: Zona de riesgo Moderada, asumir el riesgo, reducir el riesgo, Definir planes de tratamiento
A: Zona de riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir, Definir planes de tratamiento
E: Zona de riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o transferir, Definir planes de
tratamiento
Figura 1. Matriz de Riesgo.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2211700-OT-037
VERSIN
01
PGINA:
28 de 31
4.5 TRATAMIENTO DE LOS RIESGOS

Una vez se ha calculado el riesgo residual se procede a definir los proyectos que van a
permitir disminuir los riesgos de los niveles Inaceptable, Importante, Moderado y Tolerable
al nivel Aceptable:
Los riesgos calificados como Inaceptable, Importante, Moderado y Tolerable
sern incluidos dentro de los planes de mitigacin.
4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y

Altos
Las opciones para el tratamiento de los riesgos son las siguientes:
Evitar el riesgo: tomar las medidas encaminadas a prevenir su materializacin
Reducir el riesgo: implica tomar medidas encaminadas a disminuir
tanto la
probabilidad (medidas de prevencin), como el impacto (medidas de proteccin)

Compartir o transferir el riesgo: Reduce su efecto a travs del traspaso de las
prdidas a otras organizaciones, como el caso de los contratos de seguros o a travs
de otros medio que permite distribuir la porcin de riesgo con otra entidad como los
traspasos de riesgo compartido.
Asumir el riesgo: acepta la prdida residual probable y elaborar planes de
contingencia para su manejo.
4.5.2 Acciones de Mitigacin

Determine las acciones de tratamiento identificando responsables, cronograma e
indicadores entre otros.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01
CDIGO
2211700-OT-037
VERSIN
01
PGINA:
29 de 31

CDIGO
2211700-OT-037
VERSIN
01
PGINA:
30 de 31
4.6 REVISIN Y MONITORIZACIN

Una vez diseado y validado el plan para administrar los riesgos, en el mapa de riesgos, es
necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una
amenaza para la secretaria.
El monitoreo es esencial para asegurar que las acciones se estn llevando a cabo y evaluar
la eficacia en su implementacin adelantando revisiones sobre la marcha para evidenciar
todas aquellas situaciones o factores que pueden estar influyendo en la aplicacin de las
acciones preventivas.
A partir del anlisis y calificacin de riesgos, se debe formular un plan para el tratamiento de
riesgos que identifique la gestin apropiada, los recursos, responsabilidad y prioridades
para manejar los riesgos de seguridad de la informacin.
La Secretaria debe ejecutar procedimientos de seguimiento y revisin para detectar
oportunamente los errores en los procesamientos e identificar con prontitud incidentes e
intentos de violacin de seguridad, as como determinar si las acciones tomadas para
solucionar un problema de seguridad fueron eficaces.
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
2211700-OT-037 Versin 01

CDIGO
2211700-OT-037
VERSIN
01
PGINA:
31 de 31
CONTROL DE CAMBIOS
ACTIVIDADES QUE
SUFRIERON CAMBIOS
Creacin del Documento
Carrera 8 No. 10 65
Tel.: 381 30 00
www.bogota.gov.co
Info: Lnea 195
Info: Lnea 195
CAMBIOS EFECTUADOS
N.A.
2211700-OT-037 Versin 01
FECHA DEL
VERSIN
CAMBIO
08-08-2012
01

Valoración de Riesgos de Información PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Valoración de Riesgos de Información PDF

Загружено:

Авторское право:

Доступные форматы

METODOLOGA PARA VALORACIN DE RIESGOS

Mnica del Pilar Rubio

Directora Corporativa 16-10-2012

METODOLOGA PARA VALORACIN DE RIESGOS

METODOLOGA PARA VALORACIN DE RIESGOS

Tabla 1. Ejemplo Valoracin Activos ................................................................................ 9

Figura 2. Matriz de Riesgo. ............................................................................................ 27

METODOLOGA PARA VALORACIN DE RIESGOS

METODOLOGA PARA VALORACIN DE RIESGOS

Controles Correctivos: aquellos que permiten el restablecimiento de la actividad

METODOLOGA PARA VALORACIN DE RIESGOS

METODOLOGA PARA VALORACIN DE RIESGOS

Definir el enfoque organizacional para la valoracin del riesgo:

Definir el personal que ser encargado de apoyar la actividad de

Seleccionar de inventario los activos objeto de anlisis.

Identificar las causas:

Analizar los riesgos:

METODOLOGA PARA VALORACIN DE RIESGOS

o Estimar los niveles de los riesgos.

Identificacin del impacto

Identificacin de los controles existentes

o Estimar los niveles de los riesgos.

Identificacin del impacto

Evaluar e Identificar las opciones para el tratamiento de los riesgos.

Seleccionar los controles para el tratamiento de los riesgos

3.1.1 Definir el personal involucrado en los talleres de anlisis de riesgo

METODOLOGA PARA VALORACIN DE RIESGOS

4.2 IDENTIFICACIN DEL RIESGO

4.2.1 Identificacin de los activos a analizar

Tabla 1. Ejemplo Valoracin Activos

Nombre del Activo

Descripcin del Activo

METODOLOGA PARA VALORACIN DE RIESGOS

Servicio empleado para el envo de comunicaciones

4.2.2 Identificacin del Tipo de Riesgo

Acceso no autorizado o perdida de confidencialidad del activo de informacin.

Prdida de la integridad del activo informacin.

Prdida de la disponibilidad del activo de informacin.

proceso. Es decir que si un activo de

informacin fue valorado como muestra el siguiente cuadro:

Los tipos de riesgo que sern analizados en el activo sern:

Prdida de la integridad del activo informacin.

Prdida de la disponibilidad del activo de informacin.

En este caso el acceso no autorizado o prdida de confidencialidad del activo de

Tipo del Riesgo

METODOLOGA PARA VALORACIN DE RIESGOS

Prdida de la integridad del activo informacin.

4.3 ANALIZAR LOS RIESGOS

Para la identificacin de las vulnerabilidades se debe tener en cuenta:

METODOLOGA PARA VALORACIN DE RIESGOS

Los tipos de amenazas son:

indirectamente con el Activo de Informacin (personal externo e interno)

METODOLOGA PARA VALORACIN DE RIESGOS

o Externos: Son eventos asociados a la fuerza de la naturaleza u

4.3.3 Descripcin del Riesgo y sus Consecuencias

METODOLOGA PARA VALORACIN DE RIESGOS

Debido a una falla en el proceso

Debido a la falta de organizacin

Debido a problemas suscitados

Tabla 5. Descripcin del riesgo y consecuencias

4.3.4 Variables para el Anlisis

METODOLOGA PARA VALORACIN DE RIESGOS

Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.