Anlisis de Riesgo de la Seguridad de la Informacin

VALORACIN
La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en
alguna escala de niveles). Los criterios ms importantes a respetar son:

Homogeneidad:

Es importante poder comparar valores aunque sean de diferentes dimensiones a fin de

poder combinar valores propios y valores acumulados, as como poder determinar si es
ms grave el dao en una dimensin o en otra.

Relatividad:

Es importante poder relativizar el valor de un activo en comparacin con otros activos.

Se ha elegido una escala detallada de tres valores:

Importancia del Activo

Valor Criterio

3 Alto De gran importancia a la organizacin

2 Medio De importancia a la organizacin

1 Bajo De menor importancia a la organizacin

Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada
activo. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a nuestros activos y causar un dao.

Tipos de amenazas a determinar:

[N] Desastres naturales

Sucesos que pueden ocurrir sin intervencin de los seres humanos como causa directa
o indirecta.

[I] De origen industrial

Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de

tipo industrial.

Estas amenazas pueden darse de forma accidental o deliberada.

23
Anlisis de Riesgo de la Seguridad de la Informacin

[A] Ataques intencionados

Fallos deliberados causados por las personas.

La numeracin no es consecutiva para coordinarla con los errores no intencionados,

muchas veces de naturaleza similar a los ataques deliberados, difiriendo nicamente
en el propsito del sujeto.

Para cada amenaza se presenta un cuadro como el siguiente:

[cdigo] Ttulo descriptivo de la amenaza

Tipos de activos: Dimensiones:

Que se pueden ver afectados por este 1. De seguridad que se pueden ver
afectadas por este tipo de amenaza,
tipo de amenazas
ordenadas de ms a menos relevante.

Descripcin:

Complementaria o ms detallada de la amenaza: lo que le puede ocurrir a activos del

tipo indicado con las consecuencias indicadas.

Valoracin de las amenazas.

Cuando un activo es vctima de una amenaza, no se ve afectado en todas sus
dimensiones, ni en la misma cuanta. Una vez determinado que una amenaza puede
perjudicar a un activo, hay que estimar cun vulnerable es el activo, en dos sentidos:

Degradacin: cun perjudicado resultara el activo

Frecuencia: cada cunto se materializa la amenaza

La degradacin mide el dao causado por un incidente en el supuesto de que

ocurriera.

Dao causado por la amenaza

Valor Criterio

3 Alto Dao grave

2 Medio Dao importante

1 Bajo Dao menor

24
Anlisis de Riesgo de la Seguridad de la Informacin

La frecuencia pone en perspectiva aquella degradacin, pues una amenaza puede ser
de terribles consecuencias pero de muy improbable materializacin; mientras que otra
amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar
acumulando un dao considerable.

Frecuencia con que sucede la amenaza.

Valor Criterio

3 Alto Bastante Frecuente

2 Medio Frecuente

1 Bajo Poco Frecuente

Paso 3: Determinacin del impacto

Se denomina impacto a la medida del dao sobre el activo derivado de la
materializacin de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradacin que causan las amenazas, es directo derivar el impacto
que estas tendran sobre el sistema.

Clasificacin del Impacto

Valor Criterio

3 Alto Alto impacto

2 Medio Impacto moderado

1 Bajo Bajo impacto

Se puede calcular el impacto en base a tablas sencillas de doble entrada:

DEGRADACION
IMPACTO
B M A

A M A A

VALOR M B M A

B B B M

25