Professional Documents
Culture Documents
IDENTIFICACIN
DE RIESGOS
EVALUACIN
DE RIESGOS
TRATAMIENTO
DE RIESGOS
ANLISIS
DE RIESGOS
SELECCIN E
IMPLANTACIN
SEGUIMIENTO
Y MEDICIN
Esta breve gua se centrar en las primeras dos actividades del proceso de gestin de riesgos, llegando
hasta la definicin de recomendaciones de controles a implementar que permitan reducir el riesgo al que el
sistema en estudio est expuesto.
Pgina 1 de 7
Antes de continuar definiremos al riesgo como funcin de la probabilidad de que una amenaza aproveche o
explote una potencial vulnerabilidad en un activo de informacin, y de la magnitud del dao resultante de tal
evento adverso en la organizacin.
VALOR
Informacin que puede ser conocida y utilizada sin autorizacin por cualquier
persona, dentro o fuera de la Universidad.
Informacin que puede ser conocida y utilizada por todos los agentes de la
Universidad.
Informacin que slo puede ser conocida y utilizada por un grupo de agentes,
que la necesiten para realizar su trabajo.
Informacin que slo puede ser conocida y utilizada por un grupo muy reducido
de agentes, cuya divulgacin podra ocasionar un perjuicio a la Univ. o terceros.
Pgina 2 de 7
VALOR
DISPONIBILIDAD
VALOR
El valor mximo de las tres caractersticas determinar la criticidad del activo de informacin analizado.
Si todos son 0
Si el mximo es 1
Si el mximo es 2
Si el mximo es 3
==>
==>
==>
==>
Criticidad 0-Nula
Criticidad 1-Baja
Criticidad 2-Media
Criticidad 3-Alta
INTEGRIDAD
DISPONIBILIDAD
CRITICIDAD
Red de Telefona
Destructoras de papel
...
ACTIVO
de origen natural: eventos tales como inundaciones, terremotos, tornados, incendios, tormentas
elctricas y otros desastres naturales.
de origen humano: eventos que son permitidos o causados por seres humanos, sean estos actos
involuntarios tales como errores en la operatoria, errores de programacin, ausencia de personal
tcnico responsable; o bien acciones intencionales tales como la comisin de robo o fraude, el
acceso no autorizado a la informacin, la suplantacin de identidad, etc.
del entorno: tales como interrupciones prolongadas de servicios elctricos o de comunicaciones,
fallas por obsolescencia o mal funcionamiento de equipamiento, etc.
CRITICIDAD
VULNERABILIDAD
Alta de
movimientos
mensuales
CRITICIDAD
VULNERABILIDAD
AMENAZA
Inexistencia de copias de
respaldo
Eliminacin insegura de la
informacin
Divulgacin no autorizada de
la informacin
...
...
Pgina 4 de 7
Por ejemplo, podra estimarse que tras un incendio controlado, un archivo de legajos se vera afectado un
50 % en su integridad. En el caso de un sistema informtico, una falla elctrica podra afectar en un 100 %
la disponibilidad del mismo, sin afectar (0 %) su confidencialidad.
El impacto se calcula en base al mximo valor de degradacin que la amenaza produce sobre un activo, y
la criticidad del activo definida en los pasos anteriores, por ejemplo, mediante la multiplicacin de tales
valores.
Ejemplo: Valoracin de amenazas
DEGRADACIN
CONFID.
INTEG.
DISP.
IMPACTO
(TOTAL)
0,00%
40,00%
50,00%
2 x 50% = 1
0,00%
100,00%
70,00%
2 x 100% = 2
...
AMENAZA
Pgina 5 de 7
El cmputo de la probabilidad suele basarse en los valores histricos de frecuencia con la que ocurre (o
podra ocurrir) un evento en forma anual. Por ejemplo, si ocurren fallas elctricas al menos una vez al mes,
la frecuencia de dicha amenaza ser 12; si ocurre una inundacin cada cuatro aos, la frecuencia de dicha
amenaza ser 1/4. El riesgo al que est expuesto un activo surge de la multiplicacin de la frecuencia anual
por el impacto estimado en el paso anterior.
Ejemplo: Determinacin del riesgo
FREC.
(ANUAL)
IMPACTO
(TOTAL)
RIESGO
1x1=1
Borrado accidental de la
informacin
3x2=6
...
ACTIVO
Alta de
movimientos
mensuales
AMENAZA
Por ejemplo, la incorporacin de energa a bateras permitira reducir la frecuencia de los cortes de energa
elctrica a slo 3 por ao; la incorporacin de alarmas contra incendios permitira detectar tal evento en
forma temprana reduciendo la degradacin que se produzca sobre los activos afectados.
Pgina 6 de 7
Alta de
movimientos
mensuales
VULNERABILIDAD
AMENAZA
Borrado accidental de la
informacin
Inexistencia de
copia de respaldo
Fallo en el disco rgido de
la PC
SALVAGUARDAS
-Copias de seguridad
-Capacitacin al usuario
-Restriccin de permisos
-Copias de seguridad
-Mantenimiento preventivo
...
Pgina 7 de 7