AGR Metodologia Analisis Riesgos(Aritmetica)
-
Upload
guillermo-fuentes -
Category
Documents
-
view
216 -
download
4
description
Transcript of AGR Metodologia Analisis Riesgos(Aritmetica)
-
AGR_METODOLOGA_ANLISIS_RIESGOS
Cdigo: Versin: Fecha: Pgina 1 de 6
Inventario de Activos
Para realizar el inventario de activos se harn las siguientes consideraciones:
1. Cada activo ser clasificado en una de las siguientes categoras:
Servicios: Procesos de negocio definidos en el alcance, servicios internos
considerados crticos para el funcionamiento de los procesos de negocio. Los
servicios de terceros que se consideren importantes tambin se incluirn.
Informacin: Datos de cualquier tipo y formato, independientemente de cmo
estn organizados y de dnde estn alojados. Es un activo intangible.
Instalaciones: Infraestrucutra, instalaciones como oficinas, despachos o el CPD.
Hardware: Considerado como un dispositivo electrnico ms la configuracin
necesaria para que funcione. No se considera la informacin que tiene, sta
ser otro activo diferente de la categora informacin.
Software: Aplicaciones informticas de todo tipo, como ofimtica, desarrollo,
administracin, gestin, de sistemas, etc. Los datos que puedan manejar se
considerarn en un activo de la categora informacin.
Soportes de informacin: Dispositivos transportables que poseen informacin en
su interior. Tambin se considera soporte el papel con informacin impresa.
Redes de comunicaciones: Red local de la empresa, adems de los dispositivos
de red, como router, switch, hub, firewall, etc., considerados junto con su
configuracin.
Personal: Personas concretas que por el conocimiento que poseen, no por la
experiencia, se consideran imprescindibles en la empresa.
Otros: credibilidad, buena imagen, know-how, etc.
2. Se har una valoracin cualitativa de los activos, respondiendo a criterios objetivos.
Para esta valoracin se consideran los siguientes campos:
Nombre del activo
Cantidad (unidades)
Categora (Descritas en el punto 1)
Propietario del activo: Persona o cargo que administra, autoriza el uso, regula o
gestiona el activo.
Confidencialidad: Una perdida de confidencialidad puede derivar en
incidencias de seguridad cuando un usuario no autorizado accede al activo.
Este usuario puede adquirir un conocimiento que utilice para perjudicar los
intereses de la organizacin.
Se debe valorar el activo en funcin de la importancia que tiene para la
organizacin una prdida de confidencialidad sobre el mismo.
-
AGR_METODOLOGA_ANLISIS_RIESGOS
Cdigo: Versin: Fecha: Pgina 2 de 6
Valor
cualitativo
Valor
cuantitativo
Criterio Impacto
econmico
Muy alta 5 Hacerlo pblico supone una falta total de
confianza y la prdida de negocio.
> 3000
Alta 4 Hacerlo pblico daara la imagen y se sufrira
una prdida de confianza.
1001 - 3000
Media 3 Hacerlo pblico supone una prdida leve de
confianza de la opinin pblica
301 - 1000
Baja 2 Hacerlo pblico supone una prdida mnima
de confianza de la opinin pblica
21 - 300
Muy baja 1 Se puede hacer pblico < 20
Integridad: Se refiere a la exactitud y completitud de la informacin. Una
perdida de integridad puede hacernos ver datos que no son correctos o
completos. En relacin a otras categoras de activos, la prdida de
integridad se refiere a un mal funcionamiento, uso o puesta en marcha del
activo.
Se debe valorar el activo en cuanto a la importancia que tiene para la
organizacin su integridad.
Valor
cualitativo
Valor
cuantitativo
Criterio Impacto
econmico
Muy alta 5 No se puede funcionar sin ello > 3000
Alta 4 Se produce ralentizacin de actividades y mal
funcionamiento del servicio
1001 - 3000
Media 3 Se producen errores leves de funcionamiento
del servicio
301 - 1000
Baja 2 Se producen errores despreciables que no
afectaran prcticamente al servicio
21 - 300
Muy baja 1 No afecta al servicio < 20
Disponibilidad: La disponibilidad de un activo puede afectar
negativamente al negocio, provocando que ciertos procesos se vean
mermados o cancelados durante el tiempo que dicho activo se
encuentra inoperante. Un activo disponible debe ser accesible en el
momento en el que se necesite.
Hay que considerar el tiempo necesario en sustituir y dejar el activo como
estaba antes de la ocurrencia de algn evento que comprometa su
seguridad. Valorar cuanto tiempo podramos prescindir del activo.
-
AGR_METODOLOGA_ANLISIS_RIESGOS
Cdigo: Versin: Fecha: Pgina 3 de 6
Valor
cualitativo
Valor
cuantitativo
Criterio Impacto
econmico
Muy alta 5 No poder prescindir del activo ms de 2 horas > 3000
Alta 4 No poder prescindir del activo ms de 4 horas 1001 - 3000
Media 3 No poder prescindir del activo ms de 1 da 301 - 1000
Baja 2 No poder prescindir del activo ms de 2 das 21 - 300
Muy baja 1 Poder prescindir del activo 2 das o ms < 20
Importancia (Clasificacin global): Una vez hemos valorado todos los
activos bajo estos criterios, se calcular su valor global para la organizacin. Este clculo se realiza mediante la media aritmtica de los
valores de confidencialidad, integridad y disponibilidad.
Valor cualitativo Valor cuantitativo
Muy alta Entre 4.5 (no incluido) y 5
Alta Entre 3.5 (no incluido) y 4.5
Media Entre 2.5 (no incluido) y 3.5
Baja Entre 1.5 (no incluido) y 2.5
Muy baja Entre 1 y 1.5
Sin valor 0
-
AGR_METODOLOGA_ANLISIS_RIESGOS
Cdigo: Versin: Fecha: Pgina 4 de 6
Anlisis de Riesgos
Una vez terminada la valoracin de los activos, se proceder a hacer un estudio para
examinar las amenazas, vulnerabilidades, impacto y riesgo, para cada activo. El mtodo
de trabajo ser el siguiente:
1. Para cada activo se determinan las amenazas que pueden afectarle. Las
amenazas son eventos que pueden desencadenar un incidente en la
organizacin, produciendo daos materiales o prdidas inmateriales en sus
activos. La consecuencia de una amenaza, si se materializa, es un incidente que
modifica el estado de la seguridad de los activos afectados.
Se van a definir cuatro tipos de amenazas:
De origen naturales.
De origen industrial.
Intencionadas.
No intencionadas.
Se seleccionarn las amenazas que realmente afectan a cada activo.
2. Asociar a cada amenaza la Vulnerabilidad que puede explotarla: debilidad que
tiene el activo para que la amenaza pueda materializarse.
3. Probabilidad de ocurrencia de la amenaza: probabilidad de que una amenaza se
materialice explotando su vulnerabilidad correspondiente. Se valorar segn la
propia experiencia de la persona que realiza la valoracin.
Se mide en una escala segn los siguientes valores.
Valor cualitativo Valor cuantitativo Criterio
Muy alta 5 Ocurre a diario o varias veces al da
Alta 4 Ocurre varias veces a la semana
Media 3 Ocurre una vez al mes
Baja 2 Ocurre varias veces al ao
Muy baja 1 Ocurre como mucho una vez al ao
4. Impacto en caso de ocurrencia: Determinar la degradacin que producira en la
organizacin la materializacin de la amenaza. El impacto en un activo es la
consecuencia cuando ya se ha materializado la amenaza.
Se mide la diferencia entre el estado de seguridad de un activo antes y despus
de materializarse dicha amenaza.
-
AGR_METODOLOGA_ANLISIS_RIESGOS
Cdigo: Versin: Fecha: Pgina 5 de 6
Valor
cualitativo
Valor
cuantitativo
Criterio Impacto
econmico
Muy alto 5 Dao irrecuperable en alguno de los activos de
la organizacin, que afecta a la eficacia o
seguridad de la organizacin.
> 3000
Alto 4 Dao recuperable a largo plazo (meses) en
alguno de los activos de la organizacin, que
puede causar a su vez un posible impacto
significativo en otras organizaciones.
1001 - 3000
Medio 3 Dao recuperable a medio plazo (das) en
alguno de los activos de la organizacin, que
penaliza la eficacia de las actividades propias
de la organizacin.
301 - 1000
Bajo 2 Dao recuperable a corto plazo (horas) en
alguno de los activos de la organizacin, que
causa interrupcin eventual limitada de las
actividades de la organizacin.
21 - 300
Muy bajo 1 Cause un dao irrelevante a efectos prcticos < 20
5. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en
un conjunto de activos o en toda la organizacin.
La metodologa empleada en el anlisis de riesgos debe perseguir un objetivo
claro: obtener un valor que nos indique el riesgo asociado a los activos y que nos
permita tomar decisiones priorizadas. Estas decisiones tienen que tomarse por
comparacin con un umbral de riesgo fijado de antemano.
El clculo del riesgo, de una amenaza en concreto, se realiza mediante la media
aritmtica de los valores de la importancia, la probabilidad y el impacto.
Valor cualitativo Valor cuantitativo
Muy alta Entre 4.5 (no incluido) y 5
Alta Entre 3.5 (no incluido) y 4.5
Media Entre 2.5 (no incluido) y 3.5
Baja Entre 1.5 (no incluido) y 2.5
Muy baja Entre 1 y 1.5
Sin valor 0
-
AGR_METODOLOGA_ANLISIS_RIESGOS
Cdigo: Versin: Fecha: Pgina 6 de 6
Gestin de Riesgos
Una vez realizado el anlisis de riesgos, el comit de seguridad debe aprobar los
resultados obtenidos.
A continuacin, el comit debe aprobar los niveles de riesgo asumibles por la
organizacin. Para aquellos activos que no se asuman riesgos asociados, se debe
establecer un plan de tratamiento de riesgos que incluya la definicin de controles a
implementar, plazos, responsabilidades y descripcin de las actividades a realizar.
El plan de tratamiento de riesgos contendr, adems de la informacin descrita
anteriormente, el seguimiento de las actividades de manera que su visualizacin permita
el estado actual de cada uno de los controles.
Aparte de la aplicacin de controles, existe la posibilidad de transferir los riesgos o
asumirlos:
Los riesgos se pueden transferir a travs de acuerdos con compaas de
seguros o proveedores.
En cuanto la posibilidad de asumir riesgos, esta accin debe ser realizada con
el consentimiento escrito de direccin.