Teniendo en cuanta los activos de información mencionados en el anterior plan de trabajo, primero debemos de conocer los conceptos relacionados con el ‘análisis de riesgos’ y la ‘seguridad en la información’: A'!na&a: Es la causa potencial de un daño a un activo. V%ln!ra-ilidad: ebilidad de un activo !ue puede ser aprovec"ada por una amena#a. I'.acto: consecuencias de !ue la amena#a ocurra. Ri!sgo intr/ns!co: cálculo del daño probable a un activo si se encontrara desprotegido. Sal#ag%arda: $edida t%cnica u organi#ativa !ue ayuda a disminuir el riesgo. Ri!sgo r!sid%al : &iesgo remanente tras la aplicación de salvaguardas Inventario de la organización mencionado en la actividad anterior :
M!todolog/a d! Mag!rit :
$agerit es una metodolog'a de análisis y gestión de riesgos de los (istemas de )nformación elaborada por el *onsejo (uperior de +dministración Electrónica para minimi#ar los riesgos de la implantación y uso de las Tecnolog'as de la )nformación. *on base en eso podemos mencionar los siguientes activos de la
información en la organi#ación de (imón:
ara reali#ar este tipo de inventarios podemos utili#ar "erramientas como )-+&, los cuales contienen interfaces agiles y fáciles de utili#ar y proporcionar capacidades tiles en este proceso: Valoraci(n c%antitati#a : inero Valoraci(n c%alitati#a: bajo, $edio, +lto o de / a 0/. 1asados en un criterio se puede utili#ar caracter'sticas principales de la información: )ntegridad, *onfidencialidad y disponibilidad.
E2isten muc"as formas de valorar activos: $a !ntr!#ista y $a !nc%!sta son los más utili#ados, seleccionando un muestreo del personal de la organi#ación.
(e puede abordar el análisis de riesgos con varios enfo!ues dependiendo del grado de profundidad con el !ue se !uiera o pueda reali#ar el análisis:0. Enfo!ue de $'nimos: (e escoge un conjunto m'nimo de activos y se "ace un análisis conjunto, de manera !ue se emplean una cantidad m'nima de recursos, consumiendo poco tiempo y por lo tanto tiene el coste es menor. 3. Enfo!ue informal: *on este enfo!ue, no se necesita formación especial para reali#arlo ni necesita de tantos recursos de tiempo y personal como el análisis detallado. 4. Enfo!ue detallado: *on este enfo!ue se consigue una idea muy e2acta y objetiva de los riesgos a los !ue se enfrenta la organi#ación. 5. Enfo!ue combinado: *on un enfo!ue de alto nivel al principio, permite determinar cuáles son los activos en los !ue "abrá !ue invertir más antes de utili#ar muc"os recursos en el análisis. Id!nti+icar a'!na&as
6na ve# identificado los activos de la organi#ación podemos definir cuáles son las vulnerabilidades de los activos: +tendiendo a su origen, e2isten dos tipos de amena#as: E0t!rnas: 7ue son las causadas por alguien 8"ac9ers, proveedores, clientes, etc. o algo !ue no pertenece a la organi#ación. Ejemplos de amena#as de este tipo son los virus y las tormentas:
Int!rnas: Estas amena#as son causadas por alguien !ue pertenece a la organi#ación, por ejemplo, errores de usuario o errores de configuración.
Nor'ati#idad d! la s!g%ridad in+or',tica !n la !'.r!sa d! Si'(n:
-o primero !ue se debe de "acer es determinar con la junta directiva !ue la seguridad informática de su organi#ación debe de "acer parte de sus procesos y procedimientos, esto aumentara la efectividad del proceso de (;() determinando !ue los objetivos marcados se cumplan y !ue se minimicen el impacto de los riesgos !ue pueda correr la organi#ación: *omo normas a implantar tenemos: ISO:
+dmitiendo de esta forma certificar a la empresa de (imón en el cumplimiento de sus caracter'sticas marcadas en la norma. (egn las normas de la información en *olombia estas son: -ey >3?@0AAA, ec 34B5@3/03, -ey 03?4@3//A, -ey 0>C0@3/03, ec 04??@3/04 y -ey 0450@3//A.