SERVICIO NACIONAL DE APRENDIZAJE Versin: 01

SISTEMA INTEGRADO DE GESTIN

Procedimiento Creacin y Adecuacin de Programas de Fecha: 08-10-2013
Formacin Virtual y a Distancia Cdigo: G001-
Gua de Aprendizaje para el Programa de Formacin P002-GFPI
Complementaria Virtual

GUA DE APRENDIZAJE N 4

1. IDENTIFICACIN DE LA GUIA DE APRENDIZAJE: Valoracin de riesgos

Programa de Formacin: Gestin de seguridad Cdigo: 21720170

informtica Versin: 2
Resultados de Aprendizaje: Competencia:
Realizar informe identificando los procesos crticos, Diagnosticar el nivel de
los activos de la informacin y la valoracin del riesgo seguridad de la informacin de
de la seguridad informtica con estndares de acuerdo a las polticas de la
seguridad nacional e internacional. organizacin
Duracin de la gua ( en horas): 10 horas

2. INTRODUCCIN

Bienvenido a la actividad de aprendizaje 4 del programa de formacin Gestin de

Seguridad Informtica GSI, la cual le permitir identificar los riesgos de los activos,
determinar la probabilidad de ocurrencia, los controles del riesgo y el impacto que las
amenazas pueden causar al negocio.

La valoracin de riesgos es un proceso que permite evaluar la magnitud de prdida o

daos que pueden tener los activos de informacin de una empresa, stos pueden ser
por fuentes internas o externas a la empresa. El principal objetivo es identificar los
riesgos de los activos, determinar la probabilidad de ocurrencia, los controles del riesgo y
el impacto que las amenazas puede tener para la empresa, dejando documentacin de
los procesos, planes, ejecuciones y seguimientos necesarios para valorar y mitigar los
riesgos de los activos.

Todas las actividades que se efectan o interactan dentro de la organizacin, implican

riesgos. El riesgo es un evento incierto sobre los activos de la organizacin. El riesgo, se
debe identificar, valorar para establecer sus consecuencias en la organizacin y su
probabilidad de ocurrencia.

La actividad preliminar al desarrollo de la formacin requiere de la revisin detenida del

material del programa de formacin del RAP 4 valoracin de riesgos, de la exploracin
de los enlaces externos y de las respectivas consultas en Internet.

3. ESTRUCTURACION DIDACTICA DE LAS ACTIVIDADES DE APRENDIZAJE

 SERVICIO NACIONAL DE APRENDIZAJE Versin: 01
SISTEMA INTEGRADO DE GESTIN
Procedimiento Creacin y Adecuacin de Programas de Fecha: 08-10-2013
Formacin Virtual y a Distancia Cdigo: G001-
Gua de Aprendizaje para el Programa de Formacin P002-GFPI
Complementaria Virtual

3.1 Actividades de Reflexin inicial.

El primer paso para identificar los elementos y planes necesarios para la valoracin de
los riesgos, es seleccionar los activos de informacin y determinar el valor que stos
tienen para la organizacin, detallndolos en un informe que se toma como base para
realizar la valoracin de los riesgos que pueden surgir para cada uno de los activos. Es
importante que durante el proceso de valoracin de activos de informacin, se
documente cada uno de los tems que se tuvieron en cuenta durante el proceso, desde la
identificacin de amenazas y la probabilidad de ocurrencia, hasta los controles de riesgos
e impacto de las amenazas para los activos de la organizacin. Cada uno de estos
elementos deben de estar documentados, para llevar un registro de actividades o
elementos necesarios para la evaluacin y mitigacin de riesgos, que permita un
seguimiento y control a los procesos realizados, donde se verifique la factibilidad de
stos para alcanzar los objetivos o replantear los procesos si es el caso. Esta
documentacin adems de registrar esta informacin, permite consultar los procesos
implementados con xito o fracaso del tratamiento de amenazas.

Cules son los elementos y planes necesarios para la evaluacin de riesgos

presentes en los activos de informacin de la empresa?

Nota: esta actividad tiene como finalidad encaminarlo y motivarlo en el desarrollo de los
temas de esta gua de aprendizaje, por tal motivo no es calificable. Tenga en cuenta
los conceptos asimilados en la semana 3.

3.2 Actividades de contextualizacin e identificacin de conocimientos necesarios

para el aprendizaje

Foro: Valoracin de riesgos

Durante esta semana se asimilaron conceptos sobre la valoracin de riesgos de los

activos de informacin, que permitan identificar el grado de exposicin e impacto que
pueden generar a la organizacin, si los activos son alterados de alguna forma.

Analice el objeto de aprendizaje (OA) "Valoracin de riesgos, el cual se encuentra en la

ruta:
Opcin del men del curso Materiales del programa
Subcarpeta Materiales de formacin
Subcarpeta Materiales Actividad de aprendizaje 4

Pgina 2 de 8
 SERVICIO NACIONAL DE APRENDIZAJE Versin: 01
SISTEMA INTEGRADO DE GESTIN
Procedimiento Creacin y Adecuacin de Programas de Fecha: 08-10-2013
Formacin Virtual y a Distancia Cdigo: G001-
Gua de Aprendizaje para el Programa de Formacin P002-GFPI
Complementaria Virtual

Y participe en el Foro Valoracin de riesgos, argumentando y debatiendo sus

respuestas, a la siguiente pregunta orientadora:

Qu ventajas tiene para una empresa, el documentar la metodologa de

valoracin, mitigacin y seguimiento de riesgos en los activos de informacin?

Recuerde que debe retroalimentar la participacin de mnimo dos compaeros con ideas
suficientemente soportadas.

Este foro estar disponible en la opcin del men del curso Actividades, en la ruta:

Carpeta Actividad de aprendizaje 4: identificar los riesgos de los activos, determinar la

probabilidad de ocurrencia, los controles del riesgo y el impacto que las amenazas
pueden causar al negocio
Subcarpeta Evidencias Actividad de Aprendizaje 4
Enlace Foro: Valoracin de riesgos

3.3 Actividades de apropiacin del conocimiento (Conceptualizacin y Teorizacin)

Cuestionario: Valoracin de riesgos

Los conocimientos adquiridos mediante el seguimiento y aplicacin de esta gua de

aprendizaje 4, resultan claves para reconocer los conceptos bsicos sobre valoracin de
riesgos. Le invitamos a avanzar en este proceso, teniendo en cuenta los requerimientos
para el alcance de las competencias que propone el programa de formacin Gestin de
la Seguridad Informtica - GSI.

El desarrollo del resultado de aprendizaje identificar los riesgos de los activos,

determinar la probabilidad de ocurrencia, los controles del riesgo y el impacto que las
amenazas pueden causar al negocio, hace necesario que usted como aprendiz se
apropie conocimientos basados en los siguientes conceptos:

QU ES RIESGO?

PRINCIPIOS DE GESTIN DEL RIESGO (ISO 31000- FRETT, N. 2013)

CLASIFICACIN DEL RIESGO

FASES PARA LA VALORACIN DEL RIESGO
Identificacin de riesgos

Pgina 3 de 8
 SERVICIO NACIONAL DE APRENDIZAJE Versin: 01
SISTEMA INTEGRADO DE GESTIN
Procedimiento Creacin y Adecuacin de Programas de Fecha: 08-10-2013
Formacin Virtual y a Distancia Cdigo: G001-
Gua de Aprendizaje para el Programa de Formacin P002-GFPI
Complementaria Virtual

Identificacin de controles

VALORACIN DEL RIESGO

Riesgo inherente
Riesgo marginal

MARCO DE TRABAJO

3.4 Actividades de transferencia del conocimiento.

Informe: Anlisis de caso: Simn III

Siguiendo con el caso de Simn, y como asesor de la empresa y habiendo identificado

los activos de informacin en la semana 3, Simn desea saber cul es la valoracin del
riesgo presente en cada uno de los activos de la empresa y de qu manera puede aplicar
las normas y metodologas de seguridad informtica.

Para ello, realice lo siguiente:

1. Analice el objeto de aprendizaje (OA) "Valoracin de riesgos, el cual se encuentra
en la ruta:
Opcin del men del curso Materiales del programa
Subcarpeta Materiales de formacin
Subcarpeta Materiales Actividad de aprendizaje 4

2. Puede documentarse con el material de apoyo para la semana 4.

3. Una vez termine de documentarse debe entregar como evidencia lo siguiente:

Elabore un documento en Word donde mencione y explique los riesgos presentes
en cada uno de los activos de la empresa.
Debe tener presente las normas ICONTEC en su ltima versin para la
elaboracin de documentos escritos.
Guarde el documento final y envelo dentro del plazo sealado por su instructor, a
travs de la opcin del men del curso Actividades, en la ruta:
Carpeta Actividad de aprendizaje 4: identificar los riesgos de los activos,
determinar la probabilidad de ocurrencia, los controles del riesgo y el impacto
que las amenazas pueden causar al negocio
Subcarpeta Evidencias Actividad de Aprendizaje 4
Enlace Informe: Anlisis de caso: Simn III

Pgina 4 de 8
 SERVICIO NACIONAL DE APRENDIZAJE Versin: 01
SISTEMA INTEGRADO DE GESTIN
Procedimiento Creacin y Adecuacin de Programas de Fecha: 08-10-2013
Formacin Virtual y a Distancia Cdigo: G001-
Gua de Aprendizaje para el Programa de Formacin P002-GFPI
Complementaria Virtual

o Nota: Si al momento de enviar el archivo (Actividad), el sistema genera el error:

"Archivo invlido", debe tener en cuenta que este error se debe a que:

En el momento que est adjuntando el archivo, lo tiene abierto. Cirrelo y pruebe

nuevamente adjuntndolo en Adjuntar archivo, Examinar mi equipo.

3.5 Actividades de evaluacin.

Evidencias de Aprendizaje Criterios de Evaluacin Tcnicas e Instrumentos

de Evaluacin

De conocimiento : Aplica las normas Enlace en LMS Prueba de

Cuestionario: Valoracin de internacionales y las Conocimiento.
riesgos metodologas de buenas
prcticas de seguridad
informtica a la
administracin de
sistemas de informacin
de acuerdo a los
parmetros de
confidencialidad,
disponibilidad, integridad y
Auditabilidad.

De desempeo: Aplica las normas Enlace en LMS Foro de

Foro: Valoracin de riesgos internacionales y las discusin.
metodologas de buenas
prcticas de seguridad
informtica a la
administracin de
sistemas de informacin
de acuerdo a los
parmetros de
confidencialidad,
disponibilidad, integridad y
Auditabilidad.

De producto: Elabora informe Enlace en LMS Actividad

Informe: Caso Simn III identificando procesos y informe escrito.
riesgos de los activos de la

Pgina 5 de 8
 SERVICIO NACIONAL DE APRENDIZAJE Versin: 01
SISTEMA INTEGRADO DE GESTIN
Procedimiento Creacin y Adecuacin de Programas de Fecha: 08-10-2013
Formacin Virtual y a Distancia Cdigo: G001-
Gua de Aprendizaje para el Programa de Formacin P002-GFPI
Complementaria Virtual

informacin en una
organizacin segn los
estndares de seguridad
nacional e internacional.

4. RECURSOS PARA EL APRENDIZAJE

Ambiente requerido:

Ambiente de navegacin (computador y conexin a Internet).

Material requerido:
Material descargable de la actividad de aprendizaje 4
Documentos de apoyo de la semana 4
Material interactivo de la actividad de aprendizaje 4:
Valoracin de riesgos

5. GLOSARIO DE TRMINOS

ACTIVO: Conjunto de todos los bienes y derechos con valor monetario que son
propiedad de una organizacin, institucin o individuo, y que se reflejan en su
contabilidad.

AMENAZA: Causa de riesgo que crea aptitud daina sobre personas y bienes.

ACTIVIDAD: Conjunto de operaciones o tareas propias de una persona o entidad.

CONTROL: Regulacin, manual o automtica, sobre un sistema.

INFORME: Descripcin, oral o escrita, de las caractersticas y circunstancias de un

suceso o asunto.

PROCESO: Es un conjunto de actividades o eventos (coordinados u organizados) que se

realizan o suceden (alternativa o simultneamente) bajo ciertas circunstancias en un
determinado lapso de tiempo.

Pgina 6 de 8
 SERVICIO NACIONAL DE APRENDIZAJE Versin: 01
SISTEMA INTEGRADO DE GESTIN
Procedimiento Creacin y Adecuacin de Programas de Fecha: 08-10-2013
Formacin Virtual y a Distancia Cdigo: G001-
Gua de Aprendizaje para el Programa de Formacin P002-GFPI
Complementaria Virtual

RIESGO: Posibilidad de dao bajo determinadas circunstancias.

SISTEMA DE INFORMACIN (SI): Es un conjunto de elementos orientados al

Autores Nombre Cargo Dependencia Fecha

tratamiento y administracin de datos e informacin, organizados y listos para su uso

posterior, generados para cubrir una necesidad u objetivo.

VALORACIN: Accin y efecto de valorar.

6. BIBLIOGRAFA/ WEBGRAFA

GOMEZ, . (2007). Enciclopedia de la seguridad informtica. Alfaomega grupo editor,

Mxico.

Anlisis y evaluacin del riesgo de informacin: un caso en la Banca. Aplicacin del ISO
27001:2005. Consultado el 20 de julio de 2015 en:
http://www.iso27000.es/download/Evaluacion_Riesgo_iso27001.pdf

Como gestionar activos de informacin. Consultado el 20 de julio de 2015 en:

http://www.alide.org.pe/fn13_fin_rev1_activos.asp

Modelo unificado para identificacin y valoracin de riesgos de los activos de informacin

en una organizacin. Consultado el 20 de julio de 2015 en:
http://bibliotecadigital.icesi.edu.co/biblioteca_digital/bitstream/10906/68413/3/articulo_mo
delo_unificado_identificacion.pdf

7. CONTROL DEL DOCUMENTO (ELABORADA POR)

Pgina 7 de 8
 SERVICIO NACIONAL DE APRENDIZAJE Versin: 01
SISTEMA INTEGRADO DE GESTIN
Procedimiento Creacin y Adecuacin de Programas de Fecha: 08-10-2013
Formacin Virtual y a Distancia Cdigo: G001-
Gua de Aprendizaje para el Programa de Formacin P002-GFPI
Complementaria Virtual

Yenny Marisol
Centro de Diseo e
Henao Garca Expertas Diciembre 20
Innovacin
Temticas Tecnolgica de 2013
Yuly Pauln Industrial
Regional Risaralda.
Senz Giraldo

Revisin Edward Abilio Asesor Centro de Diseo e Diciembre 20

Luna Diaz Pedaggico Innovacin de 2013
Tecnolgica
Industrial
Regional Risaralda.

Pgina 8 de 8