AGR Metodologia Analisis Riesgos(Aritmetica)

6
AGR_METODOLOGÍA_ANÁLISIS_RIESGOS Código: Versión: Fecha: Página 1 de 6 Inventario de Activos Para realizar el inventario de activos se harán las siguientes consideraciones: 1. Cada activo será clasificado en una de las siguientes categorías: Servicios: Procesos de negocio definidos en el alcance, servicios internos considerados críticos para el funcionamiento de los procesos de negocio. Los servicios de terceros que se consideren importantes también se incluirán. Información: Datos de cualquier tipo y formato, independientemente de cómo estén organizados y de dónde estén alojados. Es un activo intangible. Instalaciones: Infraestrucutra, instalaciones como oficinas, despachos o el CPD. Hardware: Considerado como un dispositivo electrónico más la configuración necesaria para que funcione. No se considera la información que tiene, ésta será otro activo diferente de la categoría información. Software: Aplicaciones informáticas de todo tipo, como ofimática, desarrollo, administración, gestión, de sistemas, etc. Los datos que puedan manejar se considerarán en un activo de la categoría información. Soportes de información: Dispositivos transportables que poseen información en su interior. También se considera soporte el papel con información impresa. Redes de comunicaciones: Red local de la empresa, además de los dispositivos de red, como router, switch, hub, firewall, etc., considerados junto con su configuración. Personal: Personas concretas que por el conocimiento que poseen, no por la experiencia, se consideran imprescindibles en la empresa. Otros: credibilidad, buena imagen, know-how, etc. 2. Se hará una valoración cualitativa de los activos, respondiendo a criterios objetivos. Para esta valoración se consideran los siguientes campos: Nombre del activo Cantidad (unidades) Categoría (Descritas en el punto 1) Propietario del activo: Persona o cargo que administra, autoriza el uso, regula o gestiona el activo. Confidencialidad: Una perdida de confidencialidad puede derivar en incidencias de seguridad cuando un usuario no autorizado accede al activo. Este usuario puede adquirir un conocimiento que utilice para perjudicar los intereses de la organización. Se debe valorar el activo en función de la importancia que tiene para la organización una pérdida de confidencialidad sobre el mismo.

description

AGR Metodología Análisis Riesgos (Aritmética) para ISO/IEC 20000-1, ISO 27001 y ISO 31000ITIL V3

Transcript of AGR Metodologia Analisis Riesgos(Aritmetica)

  • AGR_METODOLOGA_ANLISIS_RIESGOS

    Cdigo: Versin: Fecha: Pgina 1 de 6

    Inventario de Activos

    Para realizar el inventario de activos se harn las siguientes consideraciones:

    1. Cada activo ser clasificado en una de las siguientes categoras:

    Servicios: Procesos de negocio definidos en el alcance, servicios internos

    considerados crticos para el funcionamiento de los procesos de negocio. Los

    servicios de terceros que se consideren importantes tambin se incluirn.

    Informacin: Datos de cualquier tipo y formato, independientemente de cmo

    estn organizados y de dnde estn alojados. Es un activo intangible.

    Instalaciones: Infraestrucutra, instalaciones como oficinas, despachos o el CPD.

    Hardware: Considerado como un dispositivo electrnico ms la configuracin

    necesaria para que funcione. No se considera la informacin que tiene, sta

    ser otro activo diferente de la categora informacin.

    Software: Aplicaciones informticas de todo tipo, como ofimtica, desarrollo,

    administracin, gestin, de sistemas, etc. Los datos que puedan manejar se

    considerarn en un activo de la categora informacin.

    Soportes de informacin: Dispositivos transportables que poseen informacin en

    su interior. Tambin se considera soporte el papel con informacin impresa.

    Redes de comunicaciones: Red local de la empresa, adems de los dispositivos

    de red, como router, switch, hub, firewall, etc., considerados junto con su

    configuracin.

    Personal: Personas concretas que por el conocimiento que poseen, no por la

    experiencia, se consideran imprescindibles en la empresa.

    Otros: credibilidad, buena imagen, know-how, etc.

    2. Se har una valoracin cualitativa de los activos, respondiendo a criterios objetivos.

    Para esta valoracin se consideran los siguientes campos:

    Nombre del activo

    Cantidad (unidades)

    Categora (Descritas en el punto 1)

    Propietario del activo: Persona o cargo que administra, autoriza el uso, regula o

    gestiona el activo.

    Confidencialidad: Una perdida de confidencialidad puede derivar en

    incidencias de seguridad cuando un usuario no autorizado accede al activo.

    Este usuario puede adquirir un conocimiento que utilice para perjudicar los

    intereses de la organizacin.

    Se debe valorar el activo en funcin de la importancia que tiene para la

    organizacin una prdida de confidencialidad sobre el mismo.

  • AGR_METODOLOGA_ANLISIS_RIESGOS

    Cdigo: Versin: Fecha: Pgina 2 de 6

    Valor

    cualitativo

    Valor

    cuantitativo

    Criterio Impacto

    econmico

    Muy alta 5 Hacerlo pblico supone una falta total de

    confianza y la prdida de negocio.

    > 3000

    Alta 4 Hacerlo pblico daara la imagen y se sufrira

    una prdida de confianza.

    1001 - 3000

    Media 3 Hacerlo pblico supone una prdida leve de

    confianza de la opinin pblica

    301 - 1000

    Baja 2 Hacerlo pblico supone una prdida mnima

    de confianza de la opinin pblica

    21 - 300

    Muy baja 1 Se puede hacer pblico < 20

    Integridad: Se refiere a la exactitud y completitud de la informacin. Una

    perdida de integridad puede hacernos ver datos que no son correctos o

    completos. En relacin a otras categoras de activos, la prdida de

    integridad se refiere a un mal funcionamiento, uso o puesta en marcha del

    activo.

    Se debe valorar el activo en cuanto a la importancia que tiene para la

    organizacin su integridad.

    Valor

    cualitativo

    Valor

    cuantitativo

    Criterio Impacto

    econmico

    Muy alta 5 No se puede funcionar sin ello > 3000

    Alta 4 Se produce ralentizacin de actividades y mal

    funcionamiento del servicio

    1001 - 3000

    Media 3 Se producen errores leves de funcionamiento

    del servicio

    301 - 1000

    Baja 2 Se producen errores despreciables que no

    afectaran prcticamente al servicio

    21 - 300

    Muy baja 1 No afecta al servicio < 20

    Disponibilidad: La disponibilidad de un activo puede afectar

    negativamente al negocio, provocando que ciertos procesos se vean

    mermados o cancelados durante el tiempo que dicho activo se

    encuentra inoperante. Un activo disponible debe ser accesible en el

    momento en el que se necesite.

    Hay que considerar el tiempo necesario en sustituir y dejar el activo como

    estaba antes de la ocurrencia de algn evento que comprometa su

    seguridad. Valorar cuanto tiempo podramos prescindir del activo.

  • AGR_METODOLOGA_ANLISIS_RIESGOS

    Cdigo: Versin: Fecha: Pgina 3 de 6

    Valor

    cualitativo

    Valor

    cuantitativo

    Criterio Impacto

    econmico

    Muy alta 5 No poder prescindir del activo ms de 2 horas > 3000

    Alta 4 No poder prescindir del activo ms de 4 horas 1001 - 3000

    Media 3 No poder prescindir del activo ms de 1 da 301 - 1000

    Baja 2 No poder prescindir del activo ms de 2 das 21 - 300

    Muy baja 1 Poder prescindir del activo 2 das o ms < 20

    Importancia (Clasificacin global): Una vez hemos valorado todos los

    activos bajo estos criterios, se calcular su valor global para la organizacin. Este clculo se realiza mediante la media aritmtica de los

    valores de confidencialidad, integridad y disponibilidad.

    Valor cualitativo Valor cuantitativo

    Muy alta Entre 4.5 (no incluido) y 5

    Alta Entre 3.5 (no incluido) y 4.5

    Media Entre 2.5 (no incluido) y 3.5

    Baja Entre 1.5 (no incluido) y 2.5

    Muy baja Entre 1 y 1.5

    Sin valor 0

  • AGR_METODOLOGA_ANLISIS_RIESGOS

    Cdigo: Versin: Fecha: Pgina 4 de 6

    Anlisis de Riesgos

    Una vez terminada la valoracin de los activos, se proceder a hacer un estudio para

    examinar las amenazas, vulnerabilidades, impacto y riesgo, para cada activo. El mtodo

    de trabajo ser el siguiente:

    1. Para cada activo se determinan las amenazas que pueden afectarle. Las

    amenazas son eventos que pueden desencadenar un incidente en la

    organizacin, produciendo daos materiales o prdidas inmateriales en sus

    activos. La consecuencia de una amenaza, si se materializa, es un incidente que

    modifica el estado de la seguridad de los activos afectados.

    Se van a definir cuatro tipos de amenazas:

    De origen naturales.

    De origen industrial.

    Intencionadas.

    No intencionadas.

    Se seleccionarn las amenazas que realmente afectan a cada activo.

    2. Asociar a cada amenaza la Vulnerabilidad que puede explotarla: debilidad que

    tiene el activo para que la amenaza pueda materializarse.

    3. Probabilidad de ocurrencia de la amenaza: probabilidad de que una amenaza se

    materialice explotando su vulnerabilidad correspondiente. Se valorar segn la

    propia experiencia de la persona que realiza la valoracin.

    Se mide en una escala segn los siguientes valores.

    Valor cualitativo Valor cuantitativo Criterio

    Muy alta 5 Ocurre a diario o varias veces al da

    Alta 4 Ocurre varias veces a la semana

    Media 3 Ocurre una vez al mes

    Baja 2 Ocurre varias veces al ao

    Muy baja 1 Ocurre como mucho una vez al ao

    4. Impacto en caso de ocurrencia: Determinar la degradacin que producira en la

    organizacin la materializacin de la amenaza. El impacto en un activo es la

    consecuencia cuando ya se ha materializado la amenaza.

    Se mide la diferencia entre el estado de seguridad de un activo antes y despus

    de materializarse dicha amenaza.

  • AGR_METODOLOGA_ANLISIS_RIESGOS

    Cdigo: Versin: Fecha: Pgina 5 de 6

    Valor

    cualitativo

    Valor

    cuantitativo

    Criterio Impacto

    econmico

    Muy alto 5 Dao irrecuperable en alguno de los activos de

    la organizacin, que afecta a la eficacia o

    seguridad de la organizacin.

    > 3000

    Alto 4 Dao recuperable a largo plazo (meses) en

    alguno de los activos de la organizacin, que

    puede causar a su vez un posible impacto

    significativo en otras organizaciones.

    1001 - 3000

    Medio 3 Dao recuperable a medio plazo (das) en

    alguno de los activos de la organizacin, que

    penaliza la eficacia de las actividades propias

    de la organizacin.

    301 - 1000

    Bajo 2 Dao recuperable a corto plazo (horas) en

    alguno de los activos de la organizacin, que

    causa interrupcin eventual limitada de las

    actividades de la organizacin.

    21 - 300

    Muy bajo 1 Cause un dao irrelevante a efectos prcticos < 20

    5. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en

    un conjunto de activos o en toda la organizacin.

    La metodologa empleada en el anlisis de riesgos debe perseguir un objetivo

    claro: obtener un valor que nos indique el riesgo asociado a los activos y que nos

    permita tomar decisiones priorizadas. Estas decisiones tienen que tomarse por

    comparacin con un umbral de riesgo fijado de antemano.

    El clculo del riesgo, de una amenaza en concreto, se realiza mediante la media

    aritmtica de los valores de la importancia, la probabilidad y el impacto.

    Valor cualitativo Valor cuantitativo

    Muy alta Entre 4.5 (no incluido) y 5

    Alta Entre 3.5 (no incluido) y 4.5

    Media Entre 2.5 (no incluido) y 3.5

    Baja Entre 1.5 (no incluido) y 2.5

    Muy baja Entre 1 y 1.5

    Sin valor 0

  • AGR_METODOLOGA_ANLISIS_RIESGOS

    Cdigo: Versin: Fecha: Pgina 6 de 6

    Gestin de Riesgos

    Una vez realizado el anlisis de riesgos, el comit de seguridad debe aprobar los

    resultados obtenidos.

    A continuacin, el comit debe aprobar los niveles de riesgo asumibles por la

    organizacin. Para aquellos activos que no se asuman riesgos asociados, se debe

    establecer un plan de tratamiento de riesgos que incluya la definicin de controles a

    implementar, plazos, responsabilidades y descripcin de las actividades a realizar.

    El plan de tratamiento de riesgos contendr, adems de la informacin descrita

    anteriormente, el seguimiento de las actividades de manera que su visualizacin permita

    el estado actual de cada uno de los controles.

    Aparte de la aplicacin de controles, existe la posibilidad de transferir los riesgos o

    asumirlos:

    Los riesgos se pueden transferir a travs de acuerdos con compaas de

    seguros o proveedores.

    En cuanto la posibilidad de asumir riesgos, esta accin debe ser realizada con

    el consentimiento escrito de direccin.