Desarrollo metodolgico

ANALISIS DE RIESGO

1. Valoracin de procesos (mapa de procesos)

2. Valoracin de activos de informacin

2. Valoracin de activos de informacin

Requerimientos de seguridad:
Confidencialidad vs trazabilidad.
Integridad vs trazabilidad.
Disponibilidad vs integridad.
Confidencialidad vs autenticidad de usuario.
Integridad vs autenticidad de usuario (cambios)
Integridad vs autenticidad de datos.

3. Valoracin de recursos de informacin

Identificacin de los recursos de informacin
como elemento necesario para el inventario
de activos de informacin. Es necesario que
estos recursos se ubiquen en categoras para
el anlisis posterior.
Los recursos no tienen valor intrnseco debido a
que el valor se asocia al activo de informacin.

4. Dependencias entre activos y recursos de

informacin
Cada activo esta soportado por uno o mas
recursos.
Un recurso puede estar asociado a uno o mas
activos.
No considerar dependencias entre recursos,
debido a que todos los recursos soportan a los
activos.

5. Valoracin de vulnerabilidades

6. Valoracin de amenazas
Para la valoracin de las amenazas es
necesario estimar la frecuencia de ocurrencia
y el porcentaje de degradacin de los
requerimientos de seguridad.
Hay amenazas intencionales o fortuitas.

Amenazas fortuitas

Informacin histrica de su realizacin.

Exposicin de los activos a cada amenaza.
Anlisis del entorno.
Cambios en la estructura organizativa o
tecnolgica de la organizacin.
Anlisis de procesos externos que pueden
incrementar la amenaza.

Amenazas intencionales
Beneficio de identificar un potencial ataque.
Exposicin de informacin de las
vulnerabilidades.
Existencia de motivaciones para que se
generen ataques.
La actividad que realiza la organizacin.
El tamao de la organizacin (usuarios).
Informacin relacionada con terceros.
Acceso por terceros sobre la informacin
organizacional y tecnolgica de la empresa.

Impacto de las amenazas sobre los

requerimientos de seguridad
Capacidad de afectar al recurso o parte de l.

Identificar si afecta partes claves o secundarias

del recurso.
Como se afecta el recurso, de manera
permanente o nica.

7. Clculo del riesgo intrnseco.

Es la perdida anual del recurso considerando
que no hay proteccin del mismo. Se calcula:
Valor del activo.
Exposicin (Frecuencia y % de degradacin).

8. Valoracin de la proteccin
Diseo de la proteccin (Prevenir o reducir
impacto).
Tipo de proteccin: preventiva o detectiva.
Modo de operacin: manual o automtica.
Formacin de responsables: configuracin y
operacin.
Facilidad de implementacin, configuracin y
administracin.

8. Valoracin de la proteccin

Especificidad de la proteccin.
Dependencia entre protecciones.
Dependencia entre usuarios.
Sistema de control o de auditoria.

Valoracin de efectividad
Sin efecto: la proteccin no tiene ningn
impacto sobre la amenaza.
Poca efectividad: la proteccin tiene un
impacto indirecto o general sobre la amenaza.
Efectivo: la proteccin reduce la frecuencia o
el impacto de la amenaza de forma
significativa.
Muy efectivo: proteccin diseada
correctamente.

Alcance y nivel de implementacin

Nivel 0: inexistente.
Nivel 1: inicial. Se hace por iniciativa.
Nivel 2. repetible. Es de conocimiento general
pero no hay formalizacin.
Nivel 3. Formalizado. Documentado y
aprobado segn un SGC.
Nivel 4. Gestionado. En operacin.
Nivel 5. Optimizado. Mejora continua.

9. Gestin del riesgo

Clasificacin:

Estrategias de gestin

Estrategias de gestin

ANALISIS DE RIESGO

ZONA DE RIESGO