PROGRAMA DE FORMACIÓN GESTION DE LA SEGURIDAD INFORMATICA ACTIVIDAD DE APRENDIZAJE 3: Informe valoración de riesgos del sistema de información Introducción El siguiente material de formación, busca dar a conocer los conceptos de El Riesgo y las fases necesarias para valorar el los activos de información de la organización.
Descripción material del programa El material de formación propuesto para la actividad de aprendizaje 3, busca describir de una forma fácil y práctica los temas a desarrollar con el fin que el Aprendiz realice satisfactoriamente las actividades propuestas en la Unidad 3 del curso.
Riesgo Marginal ................................ ................................ 4
Tema 1: informe de procesos críticos y riesgos de seguridad de la información ¿Qué es riesgo?
Un riesgo en seguridad informática, es un evento incierto el cual, puede producir efectos positivos o negativos sobre los activos de la organización. Dentro de las características de un riesgo se pueden mencionar: -
Situacionales, varían de una situación a otra. - Interdependiente, al tratar un riesgo puede provocar otro riesgo o aumentar su impacto. - Magnitud. - Tiempo. Clasificación de riesgos
Contenido
Tema 1: informe procesos críticos y riesgos de seguridad de la información 1 ¿Qué es Riesgo? ............................ .............................. .. 1 Clasificación de Riesgos ................... 1 Fases para la Valoración del Riesgo 1 Identificación de Riesgos .................. .................. 2 Identificación de Controles ................ 2 Valoración de Riesgos ...................... ...................... 3 Riesgo Inherente ............................... ............................... 4
Los riesgos se clasifican en: -
Fuentes de riesgos internos: Sus fuentes se dan dentro de la organización. Fuentes de riesgos externo: Sus fuentes se dan fuera de la organización.
Fases para la valoración del riesgo
Para realizar la valoración del riesgo, se
1
debe identificar los activos de información de la empresa, y determinar el valor de éstos. Con estos elementos, se procede a identificar el grado de exposición e impacto que puede generar a la organización, si los activos son alterados de alguna forma.
-
Los cuales se cuantifican en: - Eficiencia: del 10% al 90% - Marginalidad: entre 0.1 y 0.9 (véase. tabla 1).
Para llevar a cabo el proceso de valoración del riesgo, se deben de tener en cuenta las siguientes fases: 1.identificación de riesgos. 2. identificación de controles. Identificación de riesgos
En esta fase, se determina para cada uno de los activos de la organización, las amenazas a las que está expuesto el activo y se da prioridad al activo en riesgo (en confidencialidad, integridad, disponibilidad) que tenga mayor valor para la organización. Identificación de controles
Los Controles cualitativa: -
tienen
Muy Adecuado Adecuado
Tabla1.Evaluación del control del riesgo. Cualific ación
Consideración
Muy Adecua do
El control establecido tiene un diseño fuerte, es automático y se comprueba su efectividad El control establecido tiene un diseño fuerte, no es automático, se comprueba su efectividad El control establecido tiene un diseño fuerte, no es automático, no se comprueba su efectividad El control establecido no tiene un diseño fuerte, no es automático, pero se comprueba su efectividad El control establecido no tiene un diseño fuerte, no es automático, no se comprueba su efectividad
Adecua do Modera do Débil
En esta fase, se define, diseña y se realiza seguimiento a los controles que permitan tratar y evaluar los riesgos que se deban implementar para mitigar el impacto de las amenazas identificadas en la primera fase. una
escala
Moderado Débil Muy Débil
Muy Débil
Efici enci a 90%
Margi nalida d 0.1
70%
0.3
50%
0.5
30%
0.7
10%
0.9
FUENTE: (Caviedes, Prado, muñoz, (Sin fecha) Para llevar a cabo la valoración del riesgo en cuanto a su eficacia, se debe
2
considerar la fortaleza del control que se establece para mitigar el riesgo, el grado de automatización y, si se tienen o no registros de la eficiencia del control establecido.
Para determinar el impacto del activo en cuanto a la probabilidad de ocurrencia, se determina la siguiente degradación:
Valoración de riesgos
-
En esta fase, se debe de considerar la probabilidad de que la amenaza que se identifica ocurra, e impacte el activo. Para determinar la probabilidad de que ocurra la amenaza se establecen las siguientes frecuencias: - Nada Frecuente - Poco Frecuente - Normal - Frecuente - Muy Frecuente A los cuales se les asigna un valor cualitativo entre 0.2 y 1. (véase, tabla 2). Tabla 2. Probabilidad de que Ocurra una Amenaza
Valor 0.2
0.6
Frecuencia nada frecuente poco frecuente normal
0.8
frecuente
1
muy frecuente
0.4
Ocurrencia no ha sucedido sucede cada 10 años sucede una vez al año sucede mensualmente sucede diariamente
FUENTE: (Caviedes, Prado, muñoz, (sin fecha)
Insignificante Menor Moderado Mayor Catastrófico
A los cuales se les asigna un valor entre 0.2 y 1(Véase. Tabla 3). Tabla 3. Estimación de Impacto Valor 0.2
Degradación insignificante
0.4
menor
0.6
moderado
0.8
mayor
1
catastrófico
Ocurrencia El activo no sufre daños que impidan su operación El activo sufre daños y puede continuar operando El activo sufre daños y su operación es restringida El activo sufre daños que impiden su operación y puede recuperar dentro del tiempo tolerable para la operación El activo sufre daños irreparables y la operación se altera considerablemente
FUENTE: Caviedes, Prado, muñoz, (Sin Fecha) Al identificar la probabilidad de que ocurra una amenaza (tabla 2) y la
3
estimación de impacto (tabla 3), se procede a calcular el riesgo inherente y el riesgo marginal.
-
Riesgo inherente
Son riesgos que surgen de diferentes fuentes como errores, irregularidades o fallas que pueden darse de forma individual o grupal en la organización, especialmente con información financiera, administrativa u operativa. Para el cálculo del riesgo inherente se utiliza la siguiente formula: riesgo_inherente degradación.
Dónde:
=
frecuencia
*
Dónde: frecuencia: es el valor obtenido de la probabilidad de que ocurra una amenaza (tabla 2) degradación: es el valor obtenido de la estimación de impacto (tabla 3)
riesgo_inherente: es calculado en la formula anterior marginalidad: es el valor obtenido en la evaluación de control del riesgo (tabla 1)
Al obtener los resultados, se deberá establecer una respuesta a los riesgos identificados para cada uno de los activos de información de la organización, a los cuales se les realizara seguimiento en cuanto a eficiencia y respuesta, teniendo en cuenta la documentación de los planes de mitigación (sean efectivos o no) para futuras consultas. Tabla 4. Metodología para la valoración del ries o Identificar activos de información de la organización
Realizar la valoración de los activos
Identificar riesgos
Estimación de impacto de la amenaza
Probabilidad de ocurrir una amenaza
Identificar y evaluar el control del riesgo
Calcular el riesgo inherente y el riesgo marginal
Documentar el proceso
Riesgo marginal
Es el límite o margen que pueden tener los riesgos dentro de la organización. Para el cálculo del riesgo marginal se utiliza la siguiente formula:
FUENTE: (Guzmán, sin fecha)
riesgo_marginal = riesgo_inherente * marginalidad
Referencias
4
Dussan, Antonio (2006) Políticas de seguridad
informática.
Artículo
web.
Consultado el 15 de diciembre de 2013, en: http://www.unilibrecali.edu.co/entramado /images/stories/pdf_articulos/volumen2/ Politicas_de_seguridad_informtica.pdf Emaza. Los 10 tipos de activos en la seguridad de la información ¿Qué son y cómo valorarlos? artículo web.
Consultado el 15 de diciembre de 2013, en: http://www.seguridadinformacion.net/los10-tipos-de-activos-en-la-seguridad-dela-informacion-que-son-ycomovalorarlos/
5
CONTROL DE DOCUMENTO
Autores
Nombre
Cargo
Dependencia
Fecha
Expertos temáticos
Jenny Marisol Henao Garcia
Experta temática
Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.
Diciembre 20 de 2013
Yuly Paulin Saenz Agudelo
Experta temática
Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.
Diciembre 20 de 2013
John Jairo Alvarado González
Guionista
Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.
Diciembre 23 de 2013
Andrés Felipe Valencia Pimienta
Líder línea de producción
Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.
Diciembre 23 de 2013
Revisión
6
CRÉDITOS Equipo Línea de Producción, SENA Centro de diseño e innovación tecnológica industria, Dosquebradas Líder línea de producción: Andrés Felipe Valencia Pimienta Apoyo línea de producción: Carlos Andrés Mesa Montoya Asesor pedagógico: Edward Abilio Luna Díaz Elaboración de contenidos expertas temáticas: Yuly Paulín Sáenz Giraldo Yenny Marisol Henao García Guionistas: John Jairo Alvarado González Gabriel Gómez Franco Diseñadores: Lina Marcela Cardona Mario Fernando López Cardona Desarrolladores Front End: Julián Giraldo Rodríguez Ricardo Bermúdez Osorio Cristian Fernando Dávila López
7