AGR_METODOLOGA_ANLISIS_RIESGOS

Cdigo: Versin: Fecha: Pgina 1 de 6

Inventario de Activos

Para realizar el inventario de activos se harn las siguientes consideraciones:

1. Cada activo ser clasificado en una de las siguientes categoras:

Servicios: Procesos de negocio definidos en el alcance, servicios internos

considerados crticos para el funcionamiento de los procesos de negocio. Los

servicios de terceros que se consideren importantes tambin se incluirn.

Informacin: Datos de cualquier tipo y formato, independientemente de cmo

estn organizados y de dnde estn alojados. Es un activo intangible.

Instalaciones: Infraestrucutra, instalaciones como oficinas, despachos o el CPD.

Hardware: Considerado como un dispositivo electrnico ms la configuracin

necesaria para que funcione. No se considera la informacin que tiene, sta

ser otro activo diferente de la categora informacin.

Software: Aplicaciones informticas de todo tipo, como ofimtica, desarrollo,

administracin, gestin, de sistemas, etc. Los datos que puedan manejar se

considerarn en un activo de la categora informacin.

Soportes de informacin: Dispositivos transportables que poseen informacin en

su interior. Tambin se considera soporte el papel con informacin impresa.

Redes de comunicaciones: Red local de la empresa, adems de los dispositivos

de red, como router, switch, hub, firewall, etc., considerados junto con su

configuracin.

Personal: Personas concretas que por el conocimiento que poseen, no por la

experiencia, se consideran imprescindibles en la empresa.

Otros: credibilidad, buena imagen, know-how, etc.

2. Se har una valoracin cualitativa de los activos, respondiendo a criterios objetivos.

Para esta valoracin se consideran los siguientes campos:

Nombre del activo

Cantidad (unidades)

Categora (Descritas en el punto 1)

Propietario del activo: Persona o cargo que administra, autoriza el uso, regula o

gestiona el activo.

Confidencialidad: Una perdida de confidencialidad puede derivar en

incidencias de seguridad cuando un usuario no autorizado accede al activo.

Este usuario puede adquirir un conocimiento que utilice para perjudicar los

intereses de la organizacin.

Se debe valorar el activo en funcin de la importancia que tiene para la

organizacin una prdida de confidencialidad sobre el mismo.

AGR_METODOLOGA_ANLISIS_RIESGOS

Cdigo: Versin: Fecha: Pgina 2 de 6

Valor

cualitativo

Valor

cuantitativo

Criterio Impacto

econmico

Muy alta 5 Hacerlo pblico supone una falta total de

confianza y la prdida de negocio.

> 3000

Alta 4 Hacerlo pblico daara la imagen y se sufrira

una prdida de confianza.

1001 - 3000

Media 3 Hacerlo pblico supone una prdida leve de

confianza de la opinin pblica

301 - 1000

Baja 2 Hacerlo pblico supone una prdida mnima

de confianza de la opinin pblica

21 - 300

Muy baja 1 Se puede hacer pblico < 20

Integridad: Se refiere a la exactitud y completitud de la informacin. Una

perdida de integridad puede hacernos ver datos que no son correctos o

completos. En relacin a otras categoras de activos, la prdida de

integridad se refiere a un mal funcionamiento, uso o puesta en marcha del

activo.

Se debe valorar el activo en cuanto a la importancia que tiene para la

organizacin su integridad.

Valor

cualitativo

Valor

cuantitativo

Criterio Impacto

econmico

Muy alta 5 No se puede funcionar sin ello > 3000

Alta 4 Se produce ralentizacin de actividades y mal

funcionamiento del servicio

1001 - 3000

Media 3 Se producen errores leves de funcionamiento

del servicio

301 - 1000

Baja 2 Se producen errores despreciables que no

afectaran prcticamente al servicio

21 - 300

Muy baja 1 No afecta al servicio < 20

Disponibilidad: La disponibilidad de un activo puede afectar

negativamente al negocio, provocando que ciertos procesos se vean

mermados o cancelados durante el tiempo que dicho activo se

encuentra inoperante. Un activo disponible debe ser accesible en el

momento en el que se necesite.

Hay que considerar el tiempo necesario en sustituir y dejar el activo como

estaba antes de la ocurrencia de algn evento que comprometa su

seguridad. Valorar cuanto tiempo podramos prescindir del activo.

AGR_METODOLOGA_ANLISIS_RIESGOS

Cdigo: Versin: Fecha: Pgina 3 de 6

Valor

cualitativo

Valor

cuantitativo

Criterio Impacto

econmico

Muy alta 5 No poder prescindir del activo ms de 2 horas > 3000

Alta 4 No poder prescindir del activo ms de 4 horas 1001 - 3000

Media 3 No poder prescindir del activo ms de 1 da 301 - 1000

Baja 2 No poder prescindir del activo ms de 2 das 21 - 300

Muy baja 1 Poder prescindir del activo 2 das o ms < 20

Importancia (Clasificacin global): Una vez hemos valorado todos los

activos bajo estos criterios, se calcular su valor global para la organizacin. Este clculo se realiza mediante la media aritmtica de los

valores de confidencialidad, integridad y disponibilidad.

Valor cualitativo Valor cuantitativo

Muy alta Entre 4.5 (no incluido) y 5

Alta Entre 3.5 (no incluido) y 4.5

Media Entre 2.5 (no incluido) y 3.5

Baja Entre 1.5 (no incluido) y 2.5

Muy baja Entre 1 y 1.5

Sin valor 0

AGR_METODOLOGA_ANLISIS_RIESGOS

Cdigo: Versin: Fecha: Pgina 4 de 6

Anlisis de Riesgos

Una vez terminada la valoracin de los activos, se proceder a hacer un estudio para

examinar las amenazas, vulnerabilidades, impacto y riesgo, para cada activo. El mtodo

de trabajo ser el siguiente:

1. Para cada activo se determinan las amenazas que pueden afectarle. Las

amenazas son eventos que pueden desencadenar un incidente en la

organizacin, produciendo daos materiales o prdidas inmateriales en sus

activos. La consecuencia de una amenaza, si se materializa, es un incidente que

modifica el estado de la seguridad de los activos afectados.

Se van a definir cuatro tipos de amenazas:

De origen naturales.

De origen industrial.

Intencionadas.

No intencionadas.

Se seleccionarn las amenazas que realmente afectan a cada activo.

2. Asociar a cada amenaza la Vulnerabilidad que puede explotarla: debilidad que

tiene el activo para que la amenaza pueda materializarse.

3. Probabilidad de ocurrencia de la amenaza: probabilidad de que una amenaza se

materialice explotando su vulnerabilidad correspondiente. Se valorar segn la

propia experiencia de la persona que realiza la valoracin.

Se mide en una escala segn los siguientes valores.

Valor cualitativo Valor cuantitativo Criterio

Muy alta 5 Ocurre a diario o varias veces al da

Alta 4 Ocurre varias veces a la semana

Media 3 Ocurre una vez al mes

Baja 2 Ocurre varias veces al ao

Muy baja 1 Ocurre como mucho una vez al ao

4. Impacto en caso de ocurrencia: Determinar la degradacin que producira en la

organizacin la materializacin de la amenaza. El impacto en un activo es la

consecuencia cuando ya se ha materializado la amenaza.

Se mide la diferencia entre el estado de seguridad de un activo antes y despus

de materializarse dicha amenaza.

AGR_METODOLOGA_ANLISIS_RIESGOS

Cdigo: Versin: Fecha: Pgina 5 de 6

Valor

cualitativo

Valor

cuantitativo

Criterio Impacto

econmico

Muy alto 5 Dao irrecuperable en alguno de los activos de

la organizacin, que afecta a la eficacia o

seguridad de la organizacin.

> 3000

Alto 4 Dao recuperable a largo plazo (meses) en

alguno de los activos de la organizacin, que

puede causar a su vez un posible impacto

significativo en otras organizaciones.

1001 - 3000

Medio 3 Dao recuperable a medio plazo (das) en

alguno de los activos de la organizacin, que

penaliza la eficacia de las actividades propias

de la organizacin.

301 - 1000

Bajo 2 Dao recuperable a corto plazo (horas) en

alguno de los activos de la organizacin, que

causa interrupcin eventual limitada de las

actividades de la organizacin.

21 - 300

Muy bajo 1 Cause un dao irrelevante a efectos prcticos < 20

5. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en

un conjunto de activos o en toda la organizacin.

La metodologa empleada en el anlisis de riesgos debe perseguir un objetivo

claro: obtener un valor que nos indique el riesgo asociado a los activos y que nos

permita tomar decisiones priorizadas. Estas decisiones tienen que tomarse por

comparacin con un umbral de riesgo fijado de antemano.

El clculo del riesgo, de una amenaza en concreto, se realiza mediante la media

aritmtica de los valores de la importancia, la probabilidad y el impacto.

Valor cualitativo Valor cuantitativo

Muy alta Entre 4.5 (no incluido) y 5

Alta Entre 3.5 (no incluido) y 4.5

Media Entre 2.5 (no incluido) y 3.5

Baja Entre 1.5 (no incluido) y 2.5

Muy baja Entre 1 y 1.5

Sin valor 0

AGR_METODOLOGA_ANLISIS_RIESGOS

Cdigo: Versin: Fecha: Pgina 6 de 6

Gestin de Riesgos

Una vez realizado el anlisis de riesgos, el comit de seguridad debe aprobar los

resultados obtenidos.

A continuacin, el comit debe aprobar los niveles de riesgo asumibles por la

organizacin. Para aquellos activos que no se asuman riesgos asociados, se debe

establecer un plan de tratamiento de riesgos que incluya la definicin de controles a

implementar, plazos, responsabilidades y descripcin de las actividades a realizar.

El plan de tratamiento de riesgos contendr, adems de la informacin descrita

anteriormente, el seguimiento de las actividades de manera que su visualizacin permita

el estado actual de cada uno de los controles.

Aparte de la aplicacin de controles, existe la posibilidad de transferir los riesgos o

asumirlos:

Los riesgos se pueden transferir a travs de acuerdos con compaas de

seguros o proveedores.

En cuanto la posibilidad de asumir riesgos, esta accin debe ser realizada con

el consentimiento escrito de direccin.