PROGRAMA DE FORMACIN

GESTION DE LA SEGURIDAD
INFORMATICA
ACTIVIDAD DE APRENDIZAJE 3:
Informe valoracin de riesgos del
sistema de informacin
Introduccin
El siguiente material de formacin,
busca dar a conocer los conceptos de El
Riesgo y las fases necesarias para
valorar el los activos de informacin de
la organizacin.

Descripcin material del programa

El material de formacin propuesto para
la actividad de aprendizaje 3, busca
describir de una forma fcil y prctica
los temas a desarrollar con el fin que el
Aprendiz realice satisfactoriamente las
actividades propuestas en la Unidad 3
del curso.

Riesgo Marginal ................................ 4

Tema 1: informe de procesos crticos

y riesgos de seguridad de la
informacin
Qu es riesgo?
Un riesgo en seguridad informtica, es
un evento incierto el cual, puede
producir efectos positivos o negativos
sobre los activos de la organizacin.
Dentro de las caractersticas de un
riesgo se pueden mencionar:
-

Situacionales, varan de una

situacin a otra.
Interdependiente, al tratar un
riesgo puede provocar otro riesgo
o aumentar su impacto.
Magnitud.
Tiempo.

Clasificacin de riesgos

Contenido
Tema 1: informe procesos crticos y
riesgos de seguridad de la informacin 1
Qu es Riesgo? .............................. 1

Los riesgos se clasifican en:

-

Clasificacin de Riesgos ................... 1

Fases para la Valoracin del Riesgo 1
Identificacin de Riesgos .................. 2

Fuentes de riesgos internos: Sus

fuentes se dan dentro de la
organizacin.
Fuentes de riesgos externo: Sus
fuentes se dan fuera de la
organizacin.

Identificacin de Controles ................ 2

Valoracin de Riesgos ...................... 3

Fases para la valoracin del riesgo

Riesgo Inherente ............................... 4

Para realizar la valoracin del riesgo, se

debe
identificar
los
activos
de
informacin de la empresa, y determinar
el valor de stos. Con estos elementos,
se procede a identificar el grado de
exposicin e impacto que puede generar
a la organizacin, si los activos son
alterados de alguna forma.

Los cuales se cuantifican en:

- Eficiencia: del 10% al 90%
- Marginalidad: entre 0.1 y 0.9
(vase. tabla 1).

Para llevar a cabo el proceso de

valoracin del riesgo, se deben de tener
en cuenta las siguientes fases:
1.identificacin
de
riesgos.
2.
identificacin de controles.

Identificacin de riesgos
En esta fase, se determina para cada
uno de los activos de la organizacin,
las amenazas a las que est expuesto
el activo y se da prioridad al activo en
riesgo
(en
confidencialidad,
integridad, disponibilidad) que tenga
mayor valor para la organizacin.

Tabla1.Evaluacin del control del riesgo.

Cualific
acin

Consideracin

Muy
Adecua
do

El control establecido tiene

un
diseo
fuerte,
es
automtico y se comprueba
su efectividad
El control establecido tiene
un diseo fuerte, no es
automtico, se comprueba
su efectividad
El control establecido tiene
un diseo fuerte, no es
automtico,
no
se
comprueba su efectividad
El control establecido no
tiene un diseo fuerte, no es
automtico,
pero
se
comprueba su efectividad
El control establecido no
tiene un diseo fuerte, no es
automtico,
no
se
comprueba su efectividad

Adecua
do

Modera
do

Identificacin de controles
Dbil

En esta fase, se define, disea y se

realiza seguimiento a los controles
que permitan tratar y evaluar los
riesgos que se deban implementar
para mitigar el impacto de las
amenazas identificadas en la primera
fase.
Los Controles
cualitativa:
-

tienen

Muy Adecuado
Adecuado

una

escala

Moderado
Dbil
Muy Dbil

Muy
Dbil

Efici
enci
a
90%

Margi
nalida
d
0.1

2
70%

0.3

50%

0.5

30%

0.7

10%

0.9

FUENTE: (Caviedes, Prado, muoz,

(Sin fecha)
Para llevar a cabo la valoracin del
riesgo en cuanto a su eficacia, se debe

considerar la fortaleza del control que se

establece para mitigar el riesgo, el grado
de automatizacin y, si se tienen o no
registros de la eficiencia del control
establecido.

Para determinar el impacto del activo en

cuanto a la probabilidad de ocurrencia,
se determina la siguiente degradacin:

Valoracin de riesgos

En esta fase, se debe de considerar la

probabilidad de que la amenaza que se
identifica ocurra, e impacte el activo.
Para determinar la probabilidad de que
ocurra la amenaza se establecen las
siguientes frecuencias:
- Nada Frecuente
- Poco Frecuente
- Normal
- Frecuente
- Muy Frecuente
A los cuales se les asigna un valor
cualitativo entre 0.2 y 1. (vase, tabla 2).
Tabla 2. Probabilidad de que Ocurra una
Amenaza

Valor
0.2

0.6

Frecuencia
nada
frecuente
poco
frecuente
normal

0.8

frecuente

muy
frecuente

0.4

Ocurrencia
no ha sucedido
sucede cada 10
aos
sucede una vez
al ao
sucede
mensualmente
sucede
diariamente

FUENTE: (Caviedes, Prado, muoz,

(sin fecha)

Insignificante
Menor
Moderado
Mayor
Catastrfico

A los cuales se les asigna un valor entre

0.2 y 1(Vase. Tabla 3).

Tabla 3. Estimacin de Impacto

Valor
0.2

Degradacin
insignificante

0.4

menor

0.6

moderado

0.8

mayor

catastrfico

Ocurrencia
El activo no sufre daos
que
impidan
su
operacin
El activo sufre daos y
puede
continuar
operando
El activo sufre daos y
su
operacin
es
restringida
El activo sufre daos
que
impiden
su
operacin
y
puede
recuperar dentro del
tiempo tolerable para la
operacin
El activo sufre daos
irreparables
y
la
operacin se altera
considerablemente

FUENTE: Caviedes, Prado, muoz, (Sin

Fecha)
Al identificar la probabilidad de que
ocurra una amenaza (tabla 2) y la

estimacin de impacto (tabla 3), se

procede a calcular el riesgo inherente y
el riesgo marginal.

Riesgo inherente
Son riesgos que surgen de diferentes
fuentes como errores, irregularidades o
fallas que pueden darse de forma
individual o grupal en la organizacin,
especialmente
con
informacin
financiera, administrativa u operativa.
Para el clculo del riesgo inherente se
utiliza la siguiente formula:
riesgo_inherente
degradacin.

Dnde:

frecuencia

Dnde:

riesgo_inherente: es calculado en
la formula anterior
marginalidad: es el valor obtenido
en la evaluacin de control del
riesgo (tabla 1)

Al obtener los resultados, se deber

establecer una respuesta a los riesgos
identificados para cada uno de los
activos
de
informacin
de
la
organizacin, a los cuales se les
realizara seguimiento en cuanto a
eficiencia y respuesta, teniendo en
cuenta la documentacin de los planes
de mitigacin (sean efectivos o no) para
futuras consultas.
Tabla 4. Metodologa para la valoracin
del riesgo

frecuencia: es el valor obtenido de la

probabilidad de que ocurra una
amenaza (tabla 2)
degradacin: es el valor obtenido de la
estimacin de impacto (tabla 3)

Identificar activos
de informacin de
la organizacin

Realizar la
valoracin de los
activos

Identificar riesgos

Estimacin de
impacto de la
amenaza

Probabilidad de
ocurrir una
amenaza

Identificar y
evaluar el control
del riesgo

Calcular el riesgo
inherente y el
riesgo marginal

Documentar el
proceso

Riesgo marginal
Es el lmite o margen que pueden tener
los riesgos dentro de la organizacin.
Para el clculo del riesgo marginal se
utiliza la siguiente formula:

FUENTE: (Guzmn, sin fecha)

riesgo_marginal = riesgo_inherente *
marginalidad
Referencias

Dussan, Antonio (2006) Polticas de

seguridad informtica. Artculo web.
Consultado el 15 de diciembre de
2013,
en:
http://www.unilibrecali.edu.co/entramado
/images/stories/pdf_articulos/volumen2/
Politicas_de_seguridad_informtica.pdf
Emaza. Los 10 tipos de activos en la
seguridad de la informacin Qu son y
cmo
valorarlos?
artculo
web.
Consultado el 15 de diciembre de
2013,
en:
http://www.seguridadinformacion.net/los10-tipos-de-activos-en-la-seguridad-dela-informacion-que-son-ycomovalorarlos/

CONTROL DE DOCUMENTO

Autores

Nombre

Cargo

Dependencia

Fecha

Expertos temticos

Jenny Marisol
Henao Garcia

Experta temtica

Sena - Centro de
diseo e innovacin
tecnolgica industrial
regional Risaralda.

Diciembre 20 de
2013

Yuly Paulin Saenz

Agudelo

Experta temtica

Sena - Centro de
diseo e innovacin
tecnolgica industrial
regional Risaralda.

Diciembre 20 de
2013

John Jairo
Alvarado Gonzlez

Guionista

Sena - Centro de
diseo e innovacin
tecnolgica industrial
regional Risaralda.

Diciembre 23 de
2013

Andrs Felipe
Valencia Pimienta

Lder lnea de
produccin

Sena - Centro de
diseo e innovacin
tecnolgica industrial
regional Risaralda.

Diciembre 23 de
2013

Revisin

CRDITOS
Equipo Lnea de Produccin,
SENA Centro de diseo e
innovacin tecnolgica industria,
Dosquebradas
Lder lnea de produccin:
Andrs Felipe Valencia Pimienta
Apoyo lnea de produccin:
Carlos Andrs Mesa Montoya
Asesor pedaggico:
Edward Abilio Luna Daz
Elaboracin de contenidos
expertas temticas:
Yuly Pauln Senz Giraldo
Yenny Marisol Henao Garca
Guionistas:
John Jairo Alvarado Gonzlez
Gabriel Gmez Franco
Diseadores:
Lina Marcela Cardona
Mario Fernando Lpez Cardona
Desarrolladores Front End:
Julin Giraldo Rodrguez
Ricardo Bermdez Osorio
Cristian Fernando Dvila Lpez