1

PROGRAMA DE FORMACIÓN

GESTION DE LA SEGURIDAD

INFORMATICA

ACTIVIDAD DE APRENDIZAJE 3:

Informe valoración de riesgos del

sistema de información

Introducción

El siguiente material de formación,

busca dar a conocer los conceptos de El

Riesgo y las fases necesarias para

valorar el los activos de información de

la organización.

Descripción material del programa

El material de formación propuesto para

la actividad de aprendizaje 3, busca

describir de una forma fácil y práctica

los temas a desarrollar con el fin que el

Aprendiz realice satisfactoriamente las

actividades propuestas en la Unidad 3

del curso.

Contenido Tema 1: informe procesos críticos y

riesgos de seguridad de la información 1

¿Qué es Riesgo? .............................. 1

Clasificación de Riesgos ................... 1

Fases para la Valoración del Riesgo 1

Identificación de Riesgos .................. 2

Identificación de Controles ................ 2

Valoración de Riesgos ...................... 3

Riesgo Inherente ............................... 4

Riesgo Marginal ................................ 4

Tema 1: informe de procesos críticos

y riesgos de seguridad de la

información

¿Qué es riesgo? Un riesgo en seguridad informática, es

un evento incierto el cual, puede

producir efectos positivos o negativos

sobre los activos de la organización.

Dentro de las características de un

riesgo se pueden mencionar:

- Situacionales, varían de una

situación a otra.

- Interdependiente, al tratar un

riesgo puede provocar otro riesgo

o aumentar su impacto.

- Magnitud.

- Tiempo.

Clasificación de riesgos

Los riesgos se clasifican en:

- Fuentes de riesgos internos: Sus

fuentes se dan dentro de la

organización.

- Fuentes de riesgos externo: Sus

fuentes se dan fuera de la

organización.

Fases para la valoración del riesgo

Para realizar la valoración del riesgo, se

2

debe identificar los activos de

información de la empresa, y determinar

el valor de éstos. Con estos elementos,

se procede a identificar el grado de

exposición e impacto que puede generar

a la organización, si los activos son

alterados de alguna forma.

Para llevar a cabo el proceso de

valoración del riesgo, se deben de tener

en cuenta las siguientes fases:

1.identificación de riesgos. 2.

identificación de controles.

Identificación de riesgos

En esta fase, se determina para cada

uno de los activos de la organización,

las amenazas a las que está expuesto

el activo y se da prioridad al activo en

riesgo (en confidencialidad,

integridad, disponibilidad) que tenga

mayor valor para la organización.

Identificación de controles

En esta fase, se define, diseña y se

realiza seguimiento a los controles

que permitan tratar y evaluar los

riesgos que se deban implementar

para mitigar el impacto de las

amenazas identificadas en la primera

fase.

Los Controles tienen una escala

cualitativa:

- Muy Adecuado

- Adecuado

- Moderado

- Débil

- Muy Débil

Los cuales se cuantifican en:

- Eficiencia: del 10% al 90%

- Marginalidad: entre 0.1 y 0.9

(véase. tabla 1).

FUENTE: (Caviedes, Prado, muñoz,

(Sin fecha)

Para llevar a cabo la valoración del

riesgo en cuanto a su eficacia, se debe

Cualificación

Consideración Eficienci

a

Marginalida

d

Muy Adecua

do

El control establecido tiene un diseño fuerte, es automático y se comprueba su efectividad

90% 0.1

Adecuado

El control establecido tiene un diseño fuerte, no es automático, se comprueba su efectividad

70% 0.3

Moderado

El control establecido tiene un diseño fuerte, no es automático, no se comprueba su efectividad

50% 0.5

Débil El control establecido no tiene un diseño fuerte, no es automático, pero se comprueba su efectividad

30% 0.7

Muy Débil

El control establecido no tiene un diseño fuerte, no es automático, no se comprueba su efectividad

10% 0.9

Tabla1.Evaluación del control del riesgo.

3

considerar la fortaleza del control que se

establece para mitigar el riesgo, el grado

de automatización y, si se tienen o no

registros de la eficiencia del control

establecido.

Valoración de riesgos

En esta fase, se debe de considerar la

probabilidad de que la amenaza que se

identifica ocurra, e impacte el activo.

Para determinar la probabilidad de que

ocurra la amenaza se establecen las

siguientes frecuencias:

- Nada Frecuente

- Poco Frecuente

- Normal

- Frecuente

- Muy Frecuente

A los cuales se les asigna un valor

cualitativo entre 0.2 y 1. (véase, tabla 2).

Para determinar el impacto del activo en

cuanto a la probabilidad de ocurrencia,

se determina la siguiente degradación:

- Insignificante

- Menor

- Moderado

- Mayor

- Catastrófico

A los cuales se les asigna un valor entre

0.2 y 1(Véase. Tabla 3).

Valor Degradación Ocurrencia

0.2 insignificante El activo no sufre daños que impidan su operación

0.4 menor El activo sufre daños y puede continuar operando

0.6 moderado El activo sufre daños y su operación es restringida

0.8 mayor El activo sufre daños que impiden su operación y puede recuperar dentro del tiempo tolerable para la operación

1 catastrófico El activo sufre daños irreparables y la operación se altera considerablemente

Al identificar la probabilidad de que

ocurra una amenaza (tabla 2) y la

Valor Frecuencia Ocurrencia

0.2 nada frecuente

no ha sucedido

0.4 poco frecuente

sucede cada 10 años

0.6 normal sucede una vez al año

0.8 frecuente sucede mensualmente

1 muy frecuente

sucede diariamente

Tabla 2. Probabilidad de que Ocurra una

Amenaza

FUENTE: (Caviedes, Prado, muñoz,

(sin fecha)

FUENTE: Caviedes, Prado, muñoz, (Sin

Fecha)

Tabla 3. Estimación de Impacto

4

estimación de impacto (tabla 3), se

procede a calcular el riesgo inherente y

el riesgo marginal.

Riesgo inherente

Son riesgos que surgen de diferentes

fuentes como errores, irregularidades o

fallas que pueden darse de forma

individual o grupal en la organización,

especialmente con información

financiera, administrativa u operativa.

Para el cálculo del riesgo inherente se

utiliza la siguiente formula:

riesgo_inherente = frecuencia *

degradación.

Dónde:

frecuencia: es el valor obtenido de la

probabilidad de que ocurra una

amenaza (tabla 2)

degradación: es el valor obtenido de la

estimación de impacto (tabla 3)

Riesgo marginal

Es el límite o margen que pueden tener

los riesgos dentro de la organización.

Para el cálculo del riesgo marginal se

utiliza la siguiente formula:

riesgo_marginal = riesgo_inherente *

marginalidad

Dónde:

- riesgo_inherente: es calculado en

la formula anterior

- marginalidad: es el valor obtenido

en la evaluación de control del

riesgo (tabla 1)

Al obtener los resultados, se deberá

establecer una respuesta a los riesgos

identificados para cada uno de los

activos de información de la

organización, a los cuales se les

realizara seguimiento en cuanto a

eficiencia y respuesta, teniendo en

cuenta la documentación de los planes

de mitigación (sean efectivos o no) para

futuras consultas.

Referencias

Identificar activos de información de

la organización

Realizar la valoración de los

activos Identificar riesgos

Identificar y evaluar el control

del riesgo

Probabilidad de ocurrir una amenaza

Estimación de impacto de la

amenaza

Calcular el riesgo inherente y el

riesgo marginal

Documentar el proceso

FUENTE: (Guzmán, sin fecha)

Tabla 4. Metodología para la valoración

del riesgo

5

Dussan, Antonio (2006) Políticas de seguridad informática. Artículo web. Consultado el 15 de diciembre de 2013, en: http://www.unilibrecali.edu.co/entramado/images/stories/pdf_articulos/volumen2/Politicas_de_seguridad_informtica.pdf

Emaza. Los 10 tipos de activos en la

seguridad de la información ¿Qué son y

cómo valorarlos? artículo web.

Consultado el 15 de diciembre de

2013, en:

http://www.seguridadinformacion.net/los-

10-tipos-de-activos-en-la-seguridad-de-

la-informacion-que-son-y-

comovalorarlos/

6

CONTROL DE DOCUMENTO

Autores Nombre Cargo Dependencia Fecha

Expertos temáticos Jenny Marisol Henao Garcia

Experta temática

Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.

Diciembre 20 de 2013

Yuly Paulin Saenz Agudelo

Experta temática

Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.

Diciembre 20 de 2013

Revisión John Jairo Alvarado González

Guionista Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.

Diciembre 23 de 2013

Andrés Felipe Valencia Pimienta

Líder línea de producción

Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.

Diciembre 23 de 2013

7

CRÉDITOS

Equipo Línea de Producción,

SENA Centro de diseño e

innovación tecnológica industria,

Dosquebradas

Líder línea de producción:

Andrés Felipe Valencia Pimienta

Apoyo línea de producción:

Carlos Andrés Mesa Montoya

Asesor pedagógico:

Edward Abilio Luna Díaz

Elaboración de contenidos

expertas temáticas:

Yuly Paulín Sáenz Giraldo

Yenny Marisol Henao García

Guionistas:

John Jairo Alvarado González

Gabriel Gómez Franco

Diseñadores:

Lina Marcela Cardona

Mario Fernando López Cardona

Desarrolladores Front End:

Julián Giraldo Rodríguez

Ricardo Bermúdez Osorio

Cristian Fernando Dávila López