Está en la página 1de 12

Instructivo de Gestin de Riesgo

0.
1.
2.
3.
4.
5.
6.

ndice
Objetivo............................................................................................................................1
Alcance.............................................................................................................................1
Documentos de referencia.................................................................................................1
Definiciones......................................................................................................................1
Responsabilidades.............................................................................................................1
Descripcin.......................................................................................................................2
6.1 DESCRIPCIN DEL INSTRUCTIVO DE GESTIN DE RIESGO...................................................2
6.2 IDENTIFICACIN Y EVALUACIN DE RIESGO......................................................................2
6.3 GESTIN DE CONTROLES................................................................................................5
7. Documentos relacionados..................................................................................................7
8. Aprobacin y modificaciones.............................................................................................7
8.1 APROBACIN.................................................................................................................8
8.2 MODIFICACIONES...........................................................................................................8
9. Anexos..............................................................................................................................8
9.1 CRITERIO DE VALORIZACION DEL CID...............................................................................8
9.2 TABLA DE IMPACTO DEL RIESGO.......................................................................................8
9.3 TABLA DE PROBABILIDAD................................................................................................8
9.4 TABLA DE VALORES DE RIESGO........................................................................................8
9.5 CUADRO DEL RIESGO EN GENERAL...................................................................................8
9.6 CRITERIO DE TRATAMIENTO DEL RIESGO...........................................................................8

1. Objetivo
Establecer los pasos a seguir para realizar las actividades de Gestin de riesgo de forma efectiva.
2. Alcance
Se aplica a todos los riesgos que poseen los activos segn el alcance establecido en el SGSI.
3. Documentos de referencia

ISO/IEC 27001:2005

Xxxxxx, Procedimiento de Gestin de Riesgo


4. Definiciones

SOC: Security Operation Center (Centro de operaciones de seguridad).

SGSI: Sistema de Gestin de Seguridad de la Informacin.

Activo: Todo aquello que tenga valor para la organizacin.


Amenaza: Todo aquello que represente un peligro o que pueda causar un dao a los activos de
la organizacin.
Vulnerabilidad: Es una debilidad o falta de control en un sistema, aplicacin o infraestructura
que con la capacidad de permitir la materializacin de una amenaza.
Impacto: Es la consecuencia de la explotacin de una vulnerabilidad por una amenaza debido a
la falta o falla de controles, generando prdida en confidencialidad, integridad y disponibilidad de la
informacin u otros activos.

Riesgo: Es la probabilidad de que una amenaza sea explotada por una vulnerabilidad causando
un impacto negativo al negocio.

CID: Confidencialidad, Integridad y Disponibilidad.

TISO: Technical Information Security Officer.

FISO: Funtional Information Security Officer.


5. Responsabilidades
Durante las actividades de la Gestin de Riesgo participan:

Los Gerentes de las areas que participa en el proceso.

La persona responsable del proceso.

Las personas que interactan en el proceso en forma directa.


La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 1

XXXXXXXX

de 12

El FISO y TISO para elaborar, actualizar y velar por la documentacin resultante de la Gestin
de Riesgo y el presente documento.

6. Descripcin
6.1 DESCRIPCIN DEL INSTRUCTIVO DE GESTIN DE RIESGO
El instructivo de Gestin de Riesgo, consiste en:

Identificacin y Evaluacin del Riesgo.


o Informe de riesgo
o Planilla de gestin de riesgo.

Gestin de controles
o Formulario de identificacin y aceptacin del riesgo.
o Aceptacin de riesgo.
o Plan de mitigacin de riesgo.

6.2 IDENTIFICACIN Y EVALUACIN DE RIESGO


6.2.1 Identificacin de activos
El activo se identifica a travs de la siguiente tabla:
Tipo de Activo

Cdigo

Activo

Funcin

Criticidad

A continuacin se detalla cada columna de la tabla:


Tipo de Activo: Se clasifica al tipo por su naturaleza. Dentro de las posibles categoras se encuentran:
Tipo de Activo
INF
DOC
FIS
SOF
PER
SER

Descripcin
Informacin
Documentos
Fsicos
Software
Personas
Servicios

Cdigo: Es la identificacin del activo. El cdigo se forma de la concatenacin del campo Tipo de Activo
(3 dgitos alfabticos) + el N de la fila (4 dgitos numricos). Por ejemplo, FIS0001.
Activo: Es el nombre por el cual se denomina vulgarmente al activo.
Funcin: Es una descripcin breve de la funcin que cumple el activo.
Criticidad: Es el grado de importancia del activo para el negocio. A continuacin se describe los
distintos valores de criticidad:
Criticidad
Alta

Descripcin
Activo critico para que persista el negocio.

Media

Activo con posibilidades de otro canal en caso de irrupcin.

Baja

Activo que no impacta en el negocio.

6.2.2 Identificacin de amenazas y vulnerabilidades.


A continuacin se detalla la identificacin de amenazas y vulnerabilidades, con previa explicacin del
riesgo identificado.
En la seccin para la identificacin del riesgo se debe indicar:

tem 1 y 2: Un cdigo para el riesgo que sirva para identificarlo respecto de otros.

tem 3: La persona que identific el riesgo

tem 4: La fecha en que se levant el riesgo.


La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 2

XXXXXXXX

de 12

Riesgo (tem 1)
RIESGO:

(tem 2)

IDENTIFICADO POR

(tem 3)

FECHA:

(tem 4)

En la seccin para la identificacin de vulnerabilidades y amenazas se debe indicar:

tem 5: Las amenazas que pueden explotar dichas vulnerabilidades


tem 6: Las vulnerabilidades que se detectaron para un o unos activos agrupados segn el
riesgo.
CAUSAS Y CONSECUENCIAS
AMENAZAS QUE PODRAN CONCRETARSE

VULNERABILIDADES IDENTIFICADAS

(tem 5)

(tem 6 )

6.2.3 Aspecto de seguridad.


A continuacin se describe los diferentes valores que se deben asignar para cada activo segn la
amenaza-vulnerabilidad a la que le corresponda, para asignar a la Confidencialidad, Integridad y
Disponibilidad:

Confidencialidad: Valor que representa el impacto negativo que tendra la organizacin si la


Confidencialidad de la informacin que el activo representa se ve expuesta cuando la vulnerabilidad amenaza sobre dichos activos se manifieste.
o

Un valor 1 bajo implica que no hay divulgacin de informacin que este restringida su
distribucin.

Un valor 2 o medio significa que habiendo exposicin de informacin restringida esto no


afecta gravemente los interese de la organizacin

Un valor 3 o alto significa que existe exposicin de informacin valiosa que se


encontraba restringida al conocimiento slo de algunas personas.

Integridad: Valor que representa el impacto negativo que tendra la organizacin si la


Integridad de la informacin que el activo representa se ve distorsionada cuando la vulnerabilidad amenaza sobre dichos activos se manifieste.
o

Un valor 1 bajo implica que no hay compromiso de la veracidad o completitud de la


informacin o que su alteracin no afecta procesos importantes ya que existen
controles que la detectarn y/o la corregirn.

Un valor 2 o medio significa que habiendo compromiso de la veracidad o completitud de


la informacin esto no afecta gravemente los intereses de la organizacin.

Un valor 3 o alto significa que existe compromiso de la veracidad o completitud de la


informacin y que afecta gravemente los intereses de la organizacin.

Disponibilidad: Valor que representa el impacto negativo que tendra la organizacin si la


Disponibilidad de la informacin que el activo representa se ve afectada cuando la vulnerabilidad amenaza sobre dichos activos se manifieste.
o

Un valor 1 bajo implica que no hay compromiso de la disponibilidad de la informacin


o que la indisponibilidad no afecta procesos importantes ya que existen controles que la
detectarn y/o la corregirn.

Un valor 2 o medio significa que habiendo compromiso de la disponibilidad de la


informacin esto no afecta gravemente los intereses de la organizacin.

Un valor 3 o alto significa que existe compromiso de la disponibilidad de la informacin


y que afecta gravemente los intereses de la organizacin.

En el anexo 9.1 Criterio de valorizacin del CID se detalla a profundidad.


En la seccin para la identificacin del valor CID se debe indicar:

tem 7: Se debe repetir el mayor valor de toda la columna C (Confidencialidad).


La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 3

XXXXXXXX

de 12

tem 8: Se debe repetir el mayor valor de toda la columna I (Integridad).

tem 9: Se debe repetir el mayor valor de toda la columna D (Disponibilidad).

TOTAL VALORES CID (mximo valor por cada aspecto afectado)

(tem 7)

(tem 8)

(tem 9)

La valorizacin del CID se documenta en la planilla Gestin de Riesgo.xls.


6.2.4 Justificacin del impacto asignado.
En la seccin para la valorizacin el impacto se debe indicar:

tem 10: Ingresar una justificacin que describa el impacto. El total de valores CID y se extrae
el valor asignado de la tabla de impacto de riesgo del anexo 9.2. Se pueden agregar datos empricos
que expliquen el valor resultante.
JUSTIFICACIN DEL IMPACTO ASIGNADO (VALOR ASIGNADO A LA CID)
(tem 10)

6.2.5 Justificacin de la probabilidad asignada.


En la seccin para la valorizacin de la probabilidad se debe indicar:

tem 11: Ingresar una justificacin que refuerce la probabilidad ingresada. Se debe tomar la
mayor probabilidad de ocurrencia del grupo de riesgo que se est evaluando. En el anexo 9.3 Tabla
de probabilidad, se especifican las distintas probabilidades de impactos. Se pueden agregar datos
empricos que expliquen la opcin elegida.
JUSTIFICACIN DE LA PROBABILIDAD ASIGNADA:
(tem 11)

6.2.6 Valorizacin del riesgo.


En la seccin para la valorizacin del riesgo se debe indicar:

tem 12: Se debe marcar con una X la casilla correspondiente al valor determinado segn la
tabla de impacto sobre los activos que se describe en el anexo 9.2, con los valores totales del CID.

tem 13: Se debe marcar con una X la casilla correspondiente segn la probabilidad del riesgo
ms alta que exista en el grupo. En el anexo 9.3 Tabla de probabilidad se describen los posibles
valores.

tem 14: Se debe marcar con una X el casillero que corresponda segn los criterio de
Valorizacin del riesgo del anexo 9.4 Tabla de valores de riesgo.
VALORIZACIN DEL RIESGO
*Con los valores asignados al Impacto y a la Probabilidad, se determina el Grado del Riesgo utilizando la Tabla de
Grado.
GRADO DEL RIESGO
IMPACTO DEL RIESGO.

PROBABILIDAD DEL RIESGO.

No Aceptable.

Casi Cierta.

Mayor.

Altamente
Probable.

Moderado.

Probable.

Menor.

Improbable.

Mnimo.

Remota.

tem 12

tem 13

Menor

Moderado

Mayor

No
Aceptable

tem 14

La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 4

XXXXXXXX

de 12

Toda la informacin correspondiente al punto 6.2 del presente documento, se plasma; en el Informe de
Riesgo, C01(M-GEN-03) y en la planilla Gestin de riesgo.xls
6.3 GESTIN DE CONTROLES
6.3.1 Identificacin de controles.
En la seccin para la identificacin de controles se debe indicar:

tem 15: Cdigo que Identifica de forma nica a cada riesgo:

tem 16: Las amenazas que pueden explotar dichas vulnerabilidades

tem 17: Las vulnerabilidades que se detectaron para los activos agrupados segn el riesgo.

tem 18: Nombre de la medida de control detectada

tem 19: Valor asignado que representa el aporte del control a la Confidencialidad de la
informacin respecto del activo que protege.
o

Un valor 1 bajo implica que no hay proteccin a la divulgacin no autorizada de la


informacin de los activos identificados en la seccin anterior.

Un valor 2 o medio significa que protege de la divulgacin no autorizada de informacin


pero no es suficiente o un cubre todos los activos identificados en la seccin anterior.

Un valor 3 o alto significa que protege adecuadamente de la divulgacin no autorizada


de informacin y aplica a todos los activos identificados en la seccin anterior.

tem 20: Valor asignado que representa el aporte del control a la Integridad de la informacin
respecto del activo que protege
o

Un valor 1 bajo significa que no aporta a proteger la veracidad y/o completitud de la


informacin de los activos identificados en la seccin anterior.

Un valor 2 o medio significa que aporta a controlar la veracidad o completitud de la


informacin no es suficiente o no cubre todos los activos identificados en la seccin
anterior.

Un valor 3 o alto significa que protege adecuadamente la veracidad o completitud de la


informacin y aplica a todos los activos identificados en la seccin anterior.

tem 21: Valor asignado que representa el aporte del control a la Disponibilidad de la
informacin respecto del activo que protege.
o

Un valor 1 bajo significa que no aporta a mejorar o proveer disponibilidad de la


informacin de los activos identificados en la seccin anterior.

Un valor 2 o medio significa que el aporte a la disponibilidad de la informacin no es


suficiente o no cubre todos los activos identificados en la seccin anterior.

Un valor 3 o alto significa que los niveles de disponibilidad de la informacin requeridos


se cumplen y aplica a todos los activos identificados en la seccin anterior.

tem 22: Es la calificacin de madurez del control identificado. Los valores y su significado
pueden ser:
o

5-No existe: El control mencionado no est correctamente aplicado o su aplicacin no


es regular.

4-Diseado sin implementar: El control se ha definido y ha pasado la etapa de diseo


pero no se ha implementado.

3-Implementado sin probar: el control est desarrollado pero an no existen evidencia


de su correcto funcionamiento.

4-Probado: el control ha pasado las etapas de diseo e implementacin y existen


evidencias de su aplicacin exitosa segn lo esperado.

5-Probado y mejorado: el control ha cumplido un ciclo de vida completo y esta siendo


actualizado para conseguir mejor rendimiento para ajustarse a las necesidades
actuales.

CDIGO DEL RIESGO

tem 15

La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 5

XXXXXXXX

de 12

AMENAZAS QUE PODRAN CONCRETARSE

VULNERABILIDADES IDENTIFICADAS

tem 16

tem 17
MEDIDAS DE CONTROL:
ESTADO DEL CONTROL:
1 No existe.
2 Documentado sin
implementar
3 Implementado sin
documentar.
4 Probado.
5 Probado y mejorado.

NIVEL DE SEGURIDAD
APORTADO
DESCRIPCIN:

tem 18

tem 19

tem 20

tem 21

tem 22

6.3.2 Tratamiento del riesgo.


En la seccin para el tratamiento del riesgo se debe indicar:

tem 23: Se debe seleccionar con una x la opcin para tratar el riesgo. Las opciones descriptas
en el anexo 9.6 Criterio de tratamiento de riesgo:
ACCIN A SEGUIR
Accin

ACEPTAR

tem 23

ELUDIR

TRANSFERIR

MITIGAR

6.3.3 Responsabilidades de la accin a seguir.


En la seccin para las responsabilidades de la accin a seguir se debe indicar:

tem 24: Se debe registrar el responsable de decidir que accin tomar frente al riesgo.

tem 25: Se debe asignar a uno o varios responsables el accionar tomada por el responsable.

tem 26: El responsable del accionar debe firmar su decisin.

RESPONSABILIDADES DE LA ACCIN A SEGUIR


Responsable de la decisin

tem 24

Responsable de la implementacin

tem 25

Firma del responsable de la decisin

tem 26

Los puntos 6.3.1, 6.3.2 y 6.3.3 del presente documento se documentan en el formulario Identificacin
y accin de controles.
6.3.2 Aceptacin de riesgo.
En la seccin para la aceptacin del riesgo se debe indicar:

tem 27: Activos que pertenecen a la aceptacin del riesgo.

tem 28: Cdigo del riesgo.

tem 29: Titulo del riesgo, es decir, amenaza-vulnerabilidad.

tem 30: Valor del grado del riesgo. Ver tem 14.

tem 31: Nombre de la persona que identifico la aceptacin del riesgo.


La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 6

XXXXXXXX

de 12

tem 32: Cargo que ocupa dicha persona.

tem 33: Fecha en la que se acepta el riesgo.

tem 34: Firma de los responsables de la aceptacin del riesgo.

Activo

tem 27

Declaracin de la aceptacin del riesgo.


N
1
2
3

Cdigo
tem 28

Ttulo del riesgo


tem 29

Nombre

tem 31

Cargo

tem 32

Fecha

tem 33

Grado
tem 30

tem 34
___________________________________
___
Firma de responsable/s de
aceptacin de riesgo/s

La aceptacin del riesgo se documenta en el formulario Aceptacin de Riesgo F01(M-GEN-03).


6.3.3 Plan de mitigacin de riesgo.
En la seccin para el plan de mitigacin de riesgo se debe indicar:

tem 35: Riesgo al que se desea mitigar.


tem 36: Numero de control seleccionado segn el Anexo A: Objetivos de Control y Controles
del estndar ISO 27001:2005

tem 37: Responsable de la implementacin del control.

tem 38: Fechas de inicio estimada para la implementacin del control.

tem 39: Fechas de fin estimada para la implementacin del control.

tem 40: Observacin del control.

tem 41: Se debe marcar con una x la cantidad de meses que lleva la implementacin.

Plan de mitigacin de riesgo

Cronograma de implementacin

Riesgo

Control

Responsable

Fecha de
inicio

Fecha de
fin

Observacin

tem
35

tem 36

tem 37

tem 38

tem 39

tem 40

0
1

0
2

0
3

0
4

0
5

0
6

0
7

0
8

0
9

1
0

1
1

tem 41
EL punto 6.3.3 del mismo se encuentra documentado en el Plan de Mitigacin de Riesgo XXXXX.

7. Documentos relacionados
La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 7

XXXXXXXX

de 12

1
2

CO1(M-GEN.03), Informe de Riesgo.

Xxxxxxxxxx, Plan de Mitigacin del Riesgo.

F01(M-GEN-03), Aceptacin del riesgo.

Gestin de Riesgo.xls
8. Aprobacin y modificaciones
8.1 APROBACIN
El presente documento fue:
Elaborado por:

Revisado por:

Aprobado por:

Rodrigo Toledo
8.2 MODIFICACIONES
No aplica.
9. Anexos
9.1 CRITERIO DE VALORIZACION DEL CID
9.2 TABLA DE IMPACTO DEL RIESGO
9.3 TABLA DE PROBABILIDAD
9.4 TABLA DE VALORES DE RIESGO
9.5 CUADRO DEL RIESGO EN GENERAL
9.6 CRITERIO DE TRATAMIENTO DEL RIESGO

9.1 CRITERIO DE VALORIZACION DEL CID


A continuacin se presentan los criterios que sern utilizados para valorizar los activos de informacin
identificados, segn su Confidencialidad, Integridad y Disponibilidad.
9.1.1 Confidencialidad
Concepto por el cual se asegura que la informacin es accedida slo por las personas autorizadas para
ello.
Valor

Clasificacin

Definicin

Alta

Es la informacin o recurso que


debe ser divulgada slo a fuentes
autorizadas, controladas y
debidamente identificadas.
Debe ser modificada y leda por
un grupo reducido de personas
autorizadas y claramente
identificadas.

La divulgacin no autorizada produce:


- Prdida de la ventaja competitiva
- Uso malicioso en contra de la organizacin
- Prdidas financieras que no pueden ser absorbidas
por la Organizacin
- Demandas legales que daan la imagen y confianza
pblica de la organizacin

Media

Es la informacin que debe ser


divulgada slo al personal de las
reas que la manejan y
modificada slo por personas
autorizadas e individualizadas

La divulgacin no autorizada produce:


- Prdida potencial de la ventaja competitiva
- Uso malicioso en contra de la imagen o situaciones
puntuales
- Prdidas financieras que pueden ser absorbidas por la
Subgerencia
- No se producen demandas legales

Baja

Es la informacin que puede ser


divulgada a pblico general, pero
que slo puede ser modificada
por personas autorizadas.

La divulgacin no autorizada no representa perjuicio


para la organizacin

Consecuencia

9.1.2 Integridad
La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 8

XXXXXXXX

de 12

Concepto por el cual se salvaguarda la exactitud y totalidad de la informacin, tanto en su


procesamiento, transmisin y almacenamiento.
Valor

Clasificacin

Criterio

Alta

Media

Baja

Consecuencia

Es la informacin o recurso que al


ser modificado, intencional o
casualmente, por personas o
procesos autorizados o no
autorizados provoca daos de
gran magnitud

La falta de integridad produce daos de gran magnitud


los que se pueden expresar como:
- Prdidas econmicas (prdida, incumplimiento de
metas).
- Falla de los procesos informticos (incapacidad de
ejecutarlos por un perodo de tiempo ms all de lo
estimado como manejable).
- Dao de la imagen de la organizacin (dao a nivel
nacional e internacional que no se puede reparar en el
corto plazo).
- Prdida de la confianza de los clientes / usuarios.

Es la informacin o recurso que al


ser modificado, intencional o
casualmente, por personas o
procesos autorizados o no
autorizados provoca daos de
mediana magnitud

La falta de integridad produce daos de mediana


magnitud los que se pueden expresar como:
- Prdidas econmicas (menor ganancia,
incumplimiento de metas en menor escala).
- Falla de los procesos informticos (incapacidad de
ejecutarlos por un periodo de tiempo que est en el
lmite superior de lo estimado como manejable).
- Dao de la imagen de la organizacin (dao a nivel
nacional, se puede reparar en el corto plazo).
- Prdida de la confianza de los clientes / usuarios.

Es la informacin o recurso que al


ser modificado, intencional o
casualmente, por personas o
procesos autorizados o no
autorizados provoca daos de
pequea magnitud

La falta de integridad produce daos de pequea


magnitud los que se pueden expresar como:
- Prdidas econmicas (no impacta las ganancias, se
cumplen las metas).
- Falla de los procesos informticos (incapacidad de
ejecutarlos por un perodo de tiempo pero este es
manejable).
- Dao de la imagen de la organizacin (dao a nivel
nacional que puede no ser percibido y se puede reparar
prontamente).
- Prdida de la confianza de los clientes / usuarios.

9.1.3 Disponibilidad
Concepto por el cual se asegura que los usuarios autorizados tengan acceso a la informacin y los
activos asociados cuando sean requeridos.
Valor

Clasificacin

Alta

Definicin

Consecuencia

Es informacin o activo
indispensable para la continuidad
de la organizacin.
El recurso principal y el
alternativo no pueden faltar por
un perodo prolongado de tiempo
en horarios crticos.

La falta de disponibilidad por perodos prolongados


produce:
- Incumplimiento a los acuerdos de nivel de servicio. La
transicin entre el recurso principal y el alternativo no
debe impactar el acuerdo de servicio.
- Perjuicios legales que afectan la imagen de la
organizacin.
- Perjuicios econmicos que no pueden ser absorbidos
por la Organizacin.
- Problemas sindicales.

La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina 9

XXXXXXXX

de 12

Media

La disponibilidad de la informacin
es necesaria para la continuidad
de la organizacin, pero existen
canales alternativos para
contrarrestar una prdida de
disponibilidad en un tiempo
razonable.
El recurso principal y el
alternativo pueden quedar fuera
de servicio por un periodo mnimo
de tiempo en horarios crticos.

La falta de disponibilidad produce:


- Que los niveles de servicio acordados se puedan ver
afectados en la transicin entre el medio principal y el
alternativo.
- Perjuicios legales que no comprometen la imagen de
la organizacin.
- Perjuicios econmicos que pueden ser absorbidos por
la Organizacin.
- No hay problemas sindicales

Baja

Es informacin o activos de apoyo


o segundarios para el negocio.
La informacin se encuentra
duplicada en varias fuentes.
Si no est disponible no
compromete procesos operativos
importantes

La falta de disponibilidad produce:


- Que los niveles de servicio acordados para los
procesos operativos importantes, no se ven afectados.
- Problemas administrativos y operativos no
significativos.
- Perjuicios econmicos que no son significativos.
- No hay perjuicios legales.
- No hay problemas sindicales

9.2 TABLA DE IMPACTO DEL RIESGO


La siguiente tabla permite determinar el Impacto que tiene el riesgo identificado, al considerar cmo se
afecta la Confidencialidad, Integridad y Disponibilidad de los activos de informacin.
Aspecto de Seguridad
afectado por el riesgo

IMPACTO

MNIMO

BAJO

ALTO

BAJO

MODERADO

ALTO

ALTO

ALTO

MUY ALTO

BAJO

MODERADO

ALTO

MODERADO

MODERADO

ALTO

ALTO

ALTO

MUY ALTO

ALTO

ALTO

MUY ALTO

ALTO

ALTO

MUY ALTO

La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina

XXXXXXXX

10 de 12

MUY ALTO

MUY ALTO

MUY ALTO

9.3 TABLA DE PROBABILIDAD


La siguiente tabla especifica la descripcin de las opciones de probabilidad que tiene cada impacto
identificado, segn los controles actuales sobre los activos:
Probabilidad

Descripcin

Remota

El evento no ocurre nunca o casi nunca.

Improbable

Si bien el evento puede ocurrir el periodo entre uno y otro evento puede ser muy grande.

Probable

Es posible que ocurra el evento con una frecuencia baja.

Altamente probable

Existen antecedentes de que el evento ocurrir, dentro de un plazo de tiempo que


implique una accin para enfrentarlo pero la frecuencia no es alta.

Casi Cierta

El evento se sabe que ocurre con cierto grado de certeza y que la frecuencia es alta.

9.4 TABLA DE VALORES DE RIESGO.


La siguiente tabla permite determinar el Valor del Riesgo donde se han considerado los valores
asignados a Impacto y Probabilidad.
Al llevar ambos conceptos a una tabla de doble entrada se puede obtener la siguiente relacin y se
establecen los valores para los diferentes escenarios .
Tabla de Valorizacin de Riesgos
Impacto

Probabilidad

Riesgo

No Aceptable.

Casi Cierta.

No Aceptable

25

Mayor.

Casi Cierta.

No Aceptable

20

Moderado.

Casi Cierta.

Mayor

15

Menor.

Casi Cierta.

Moderado

10

Mnimo.

. Casi Cierta.

Moderado

No Aceptable.

Altamente Probable.

No Aceptable

20

Mayor.

Altamente Probable.

Mayor

16

Moderado.

Altamente Probable.

Moderado

12

Menor.

Altamente Probable.

Moderado

Mnimo.

Altamente Probable.

Menor

No Aceptable.

Probable.

Mayor

15

Mayor.

Probable

Mayor

12

Moderado.

Probable

Moderado

Menor.

Probable

Moderado

Mnimo.

Probable

Menor

No Aceptable.

Improbable.

Moderado

10

Mayor.

Improbable

Moderado

Moderado.

Improbable

Menor

Menor.

Improbable

Menor

Mnimo.

Improbable

Menor

No Aceptable.

Remota

Moderado

Mayor.

Remota

Moderado

Moderado.

Remota

Menor

Menor.

Remota

Menor

La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina

XXXXXXXX

11 de 12

Mnimo.

Remota

Menor

9.5 CUADRO DEL RIESGO EN GENERAL


A continuacin se detalla el cuadro del riesgo en general y su consideracin del riesgo como resultado
de la combinacin Impacto - Probabilidad:
IMPACTO
5-No Aceptable
4-Mayor
3-Moderado
2-Menor
1-Mnimo
1-Remota

2-Improbable

3-Probable

4-Altamente
Probable

5-Casi Cierta

PROBABILIDAD

NO ACEPTABLE
MAYOR
MODERADO
MENOR

9.6 CRITERIO DEL TRATAMIENTO DEL RIESGO


A continuacin se detalla el criterio del tratamiento del riesgo.
Tratamiento

Descripcin

Aceptar el riesgo
Eludir el riesgo

Reconocer la existencia del riesgo y sus consecuencias sin tomar


ninguna medida directa sobre ellos.
Utilizando un activo distinto o modificando el proceso, de manera que
las amenazas originales ya no lo afecten.

Transferir el riesgo

Mover el riesgo para que una entidad distinta asuma las consecuencias
de la materializacin de las amenazas.

Mitigar el riesgo

Lo cual significa adoptar medidas que minimicen la vulnerabilidad que


permite la existencia del riesgo

La versin vigente de este documento se encuentra en el servidor. Las copias fuera del mismo se consideran no controladas.
Cdigo
Versin
Vigencia
Reemplaza a
Pgina

XXXXXXXX

12 de 12