Tema 4- Valoración de Activos

PROGRAMA DE FORMACIÓN GESTION DE LA SEGURIDAD INFORMATICA ACTIVIDAD DE APRENDIZAJE 3: Informe valoración de riesgos del sistema de información Introducción El siguiente material de formación, busca dar a conocer los conceptos de El Riesgo y las fases necesarias para valorar el los activos de información de la organización.

Descripción material del programa El material de formación propuesto para la actividad de aprendizaje 3, busca describir de una forma fácil y práctica los temas a desarrollar con el fin que el  Aprendiz realice satisfactoriamente las actividades propuestas en la Unidad 3 del curso.

Riesgo Marginal ................................ ................................ 4

Tema 1: informe de procesos críticos y riesgos de seguridad de la información ¿Qué es riesgo?

Un riesgo en seguridad informática, es un evento incierto el cual, puede producir efectos positivos o negativos sobre los activos de la organización. Dentro de las características de un riesgo se pueden mencionar: -

Situacionales, varían de una situación a otra. - Interdependiente, al tratar un riesgo puede provocar otro riesgo o aumentar su impacto. - Magnitud. - Tiempo. Clasificación de riesgos

Contenido

Tema 1: informe procesos críticos y riesgos de seguridad de la información 1 ¿Qué es Riesgo? ............................ .............................. .. 1 Clasificación de Riesgos ................... 1 Fases para la Valoración del Riesgo 1 Identificación de Riesgos .................. .................. 2 Identificación de Controles ................ 2 Valoración de Riesgos ...................... ...................... 3 Riesgo Inherente ............................... ............................... 4

Los riesgos se clasifican en: -

Fuentes de riesgos internos: Sus fuentes se dan dentro de la organización. Fuentes de riesgos externo: Sus fuentes se dan fuera de la organización.

Fases para la valoración del riesgo

Para realizar la valoración del riesgo, se

1

debe identificar los activos de información de la empresa, y determinar el valor de éstos. Con estos elementos, se procede a identificar el grado de exposición e impacto que puede generar a la organización, si los activos son alterados de alguna forma.

-

Los cuales se cuantifican en: - Eficiencia: del 10% al 90% - Marginalidad: entre 0.1 y 0.9 (véase. tabla 1).

Para llevar a cabo el proceso de valoración del riesgo, se deben de tener en cuenta las siguientes fases: 1.identificación de riesgos. 2. identificación de controles. Identificación de riesgos

En esta fase, se determina para cada uno de los activos de la organización, las amenazas a las que está expuesto el activo y se da prioridad al activo en riesgo (en confidencialidad, integridad, disponibilidad) que tenga mayor valor para la organización. Identificación de controles

Los Controles cualitativa: -

tienen

Muy Adecuado Adecuado

Tabla1.Evaluación del control del riesgo. Cualific ación

Consideración

Muy Adecua do

El control establecido tiene un diseño fuerte, es automático y se comprueba su efectividad El control establecido tiene un diseño fuerte, no es automático, se comprueba su efectividad El control establecido tiene un diseño fuerte, no es automático, no se comprueba su efectividad El control establecido no tiene un diseño fuerte, no es automático, pero se comprueba su efectividad El control establecido no tiene un diseño fuerte, no es automático, no se comprueba su efectividad

Adecua do Modera do Débil

En esta fase, se define, diseña y se realiza seguimiento a los controles que permitan tratar y evaluar los riesgos que se deban implementar para mitigar el impacto de las amenazas identificadas en la primera fase. una

escala

Moderado Débil Muy Débil

Muy Débil

Efici enci a 90%

Margi nalida d 0.1

70%

0.3

50%

0.5

30%

0.7

10%

0.9

FUENTE: (Caviedes, Prado, muñoz, (Sin fecha) Para llevar a cabo la valoración del riesgo en cuanto a su eficacia, se debe

2

considerar la fortaleza del control que se establece para mitigar el riesgo, el grado de automatización y, si se tienen o no registros de la eficiencia del control establecido.

Para determinar el impacto del activo en cuanto a la probabilidad de ocurrencia, se determina la siguiente degradación:

Valoración de riesgos

-

En esta fase, se debe de considerar la probabilidad de que la amenaza que se identifica ocurra, e impacte el activo. Para determinar la probabilidad de que ocurra la amenaza se establecen las siguientes frecuencias: - Nada Frecuente - Poco Frecuente - Normal - Frecuente - Muy Frecuente  A los cuales se les asigna un valor cualitativo entre 0.2 y 1. (véase, tabla 2). Tabla 2. Probabilidad de que Ocurra una Amenaza

Valor 0.2

0.6

Frecuencia nada frecuente poco frecuente normal

0.8

frecuente

1

muy frecuente

0.4

Ocurrencia no ha sucedido sucede cada 10 años sucede una vez al año sucede mensualmente sucede diariamente

FUENTE: (Caviedes, Prado, muñoz, (sin fecha)

Insignificante Menor Moderado Mayor Catastrófico

 A los cuales se les asigna un valor entre 0.2 y 1(Véase. Tabla 3). Tabla 3. Estimación de Impacto Valor 0.2

Degradación insignificante

0.4

menor

0.6

moderado

0.8

mayor

1

catastrófico

Ocurrencia El activo no sufre daños que impidan su operación El activo sufre daños y puede continuar operando El activo sufre daños y su operación es restringida El activo sufre daños que impiden su operación y puede recuperar dentro del tiempo tolerable para la operación El activo sufre daños irreparables y la operación se altera considerablemente

FUENTE: Caviedes, Prado, muñoz, (Sin Fecha)  Al identificar la probabilidad de que ocurra una amenaza (tabla 2) y la

3

estimación de impacto (tabla 3), se procede a calcular el riesgo inherente y el riesgo marginal.

-

Riesgo inherente

Son riesgos que surgen de diferentes fuentes como errores, irregularidades o fallas que pueden darse de forma individual o grupal en la organización, especialmente con información financiera, administrativa u operativa. Para el cálculo del riesgo inherente se utiliza la siguiente formula: riesgo_inherente degradación.

Dónde:

=

frecuencia

*

Dónde: frecuencia: es el valor obtenido de la probabilidad de que ocurra una amenaza (tabla 2) degradación: es el valor obtenido de la estimación de impacto (tabla 3)

riesgo_inherente: es calculado en la formula anterior marginalidad: es el valor obtenido en la evaluación de control del riesgo (tabla 1)

 Al obtener los resultados, se deberá establecer una respuesta a los riesgos identificados para cada uno de los activos de información de la organización, a los cuales se les realizara seguimiento en cuanto a eficiencia y respuesta, teniendo en cuenta la documentación de los planes de mitigación (sean efectivos o no) para futuras consultas. Tabla 4. Metodología para la valoración del ries o Identificar activos de información de la organización

Realizar la valoración de los activos

Identificar riesgos

Estimación de impacto de la amenaza

Probabilidad de ocurrir una amenaza

Identificar y evaluar el control del riesgo

Calcular el riesgo inherente y el riesgo marginal

Documentar el proceso

Riesgo marginal

Es el límite o margen que pueden tener los riesgos dentro de la organización. Para el cálculo del riesgo marginal se utiliza la siguiente formula:

FUENTE: (Guzmán, sin fecha)

riesgo_marginal = riesgo_inherente * marginalidad

Referencias

4

Dussan, Antonio (2006) Políticas de seguridad

informática.

Artículo

web.

Consultado el 15 de diciembre de 2013, en: http://www.unilibrecali.edu.co/entramado /images/stories/pdf_articulos/volumen2/ Politicas_de_seguridad_informtica.pdf  Emaza. Los 10 tipos de activos en la seguridad de la información ¿Qué son y cómo valorarlos? artículo web.

Consultado el 15 de diciembre de 2013, en: http://www.seguridadinformacion.net/los10-tipos-de-activos-en-la-seguridad-dela-informacion-que-son-ycomovalorarlos/

5

CONTROL DE DOCUMENTO

Autores

Nombre

Cargo

Dependencia

Fecha

Expertos temáticos

Jenny Marisol Henao Garcia

Experta temática

Sena - Centro de diseño e innovación tecnológica industrial  –regional Risaralda.

Diciembre 20 de 2013

Yuly Paulin Saenz  Agudelo

Experta temática

Sena - Centro de diseño e innovación tecnológica industrial  –regional Risaralda.

Diciembre 20 de 2013

John Jairo  Alvarado González

Guionista

Sena - Centro de diseño e innovación tecnológica industrial  –regional Risaralda.

Diciembre 23 de 2013

 Andrés Felipe Valencia Pimienta

Líder línea de producción

Sena - Centro de diseño e innovación tecnológica industrial  –regional Risaralda.

Diciembre 23 de 2013

Revisión

6

CRÉDITOS Equipo Línea de Producción, SENA Centro de diseño e innovación tecnológica industria, Dosquebradas Líder línea de producción:  Andrés Felipe Valencia Pimienta  Apoyo línea de producción: Carlos Andrés Mesa Montoya  Asesor pedagógico: Edward Abilio Luna Díaz Elaboración de contenidos expertas temáticas: Yuly Paulín Sáenz Giraldo Yenny Marisol Henao García Guionistas: John Jairo Alvarado González Gabriel Gómez Franco Diseñadores: Lina Marcela Cardona Mario Fernando López Cardona Desarrolladores Front End: Julián Giraldo Rodríguez Ricardo Bermúdez Osorio Cristian Fernando Dávila López

7